Архивы: по дате | по разделам | по авторам

Кому страшен carnivore?

Архив
автор : Ричард Форно   03.11.2000

На сайте ФБР [1] Carnivore описывается как «диагностическое средство» (в отличие от устройств для подслушивания). Разумеется, Carnivore таковым и является, но предполагать, что это его основное назначение, значило бы поверить ФБР на слово. Все равно как убийца настаивал бы, что его пистолет - это не пистолет, а «средство для забивания пуль в стену».

На сайте ФБР  [1] Carnivore описывается как «диагностическое средство» (в отличие от устройств для подслушивания). Разумеется, Carnivore таковым и является, но предполагать, что это его основное назначение, значило бы поверить ФБР на слово. Все равно как убийца настаивал бы, что его пистолет - это не пистолет, а «средство для забивания пуль в стену». Назначение Carnivore в том, чтобы дать возможность ФБР быстро получать информацию из сети провайдера, не заботясь о выполнении формальностей, требуемых процедурой предъявления судебного предписания.

Помощник директора ФБР Дональд Керр (Donald Kerr) недавно заявил Конгрессу: «Carnivore работает примерно, как коммерческий «сниффер» и подобные диагностические сетевые средства, постоянно используемые провайдерами, за исключением того, что предоставляет ФБР уникальную возможность отделить коммуникацию, которую можно законно перехватить, от той, которую перехватывать нельзя. Если судебное предписание позволяет перехватить один тип коммуникации (например, электронную почту), но не другие типы (например, коммуникацию в ходе покупок по Internet), Carnivore можно сконфигурировать для перехвата только почты, отправляемой на адрес или с адреса указанного лица».

Керр также сообщил, что Carnivore «является специализированным анализатором (сниффером), который запускается как прикладная программа на обычном персональном компьютере под управлением Microsoft Windows. Он «выхватывает» передающиеся по сети пакеты и копирует и сохраняет только те из них, которые в точности отвечают набору фильтров, запрограммированных в соответствии с судебным предписанием. Этот набор фильтров может быть весьма сложным, что дает ФБР возможность собирать информацию в соответствии с конкретным судебным предписанием».

Давайте проанализируем это заявление. У ФБР есть средство, позволяющее отделять «законно перехватываемый» трафик от «постороннего». И это - как заявляет ФРБ - обеспечит ребят из федеральных правоохранительных органов возможностью перехвата цифровых коммуникаций (почты, Web-трафика, Internet-пейджинга), соответствующей их возможностям в сфере традиционной телефонии.

Система Carnivore заявлена как единица оборудования или «черный ящик», внедряемый каждому провайдеру для мониторинга коммуникации при наличии предписания. Это означает обречь несчастную машинку под Windows на перехват гигабайтов данных в реальном времени, если не настроить ее на мониторинг лишь определенных портов (smtp, pop или irc). Однако Carnivore - как и любой сниффер - и в этом случае будет собирать все, относящееся к соответствующим протоколам. Начальники из ФБР говорят, что он им откроет (по предписанию) только «информацию из заголовков» писем подозреваемого. Интересно, если используются только заголовки, куда девается все остальное (например, содержание писем или приложений к ним)?

Уникален ли Carnivore? Отнюдь, множество компаний использует снифферы так же, для контроля за соблюдением внутренних правил или для обычных целей администрирования сети, при этом чаще анализируются источник, получатель и тип протокола коммуникации, чем ее содержание. Есть масса бесплатных и коммерческих программ-снифферов. На самом деле были сообщения, что и Carnivore основан на одном из таких коммерческих снифферов, а именно EtherPeek.

Керр в своих показаниях Конгрессу продолжает: «Важно определить, что мы понимаем под «сниффингом». Проблема фильтрации пользовательских сообщений в Сети сложна, но Carnivore с ней справляется. Он не ищет в содержании сообщений ключевые слова типа «бомба» или «наркотики», он отбирает сообщения на основе критериев, явно указанных в судебном предписании, например, сообщения, переданные на определенный адрес или с определенного адреса почты или отправленные определенному лицу или определенным лицом».

Или в ФБР занимаются самообманом, или пытаются надуть нас. Давайте посмотрим, как работает EtherPeek (и любой подобный сниффер). Внизу приведены образцы двух перехватов сообщения, которое я сам себе отправил, выполненных при помощи EtherPeek. Сниффер был сконфигурирован на перехват исключительно smtp-коммуникации (рис. 1).

Этот «снимок» предоставляет EtherPeek (или Carnivore, или любому другому снифферу) ряд имен серверов, IP-адресов и сопутствующей информации из заголовков, из которой можно узнать, откуда отправлено сообщение, как оно передавалось и прочие интересные подробности.

В следующем «снимке» (рис. 2) содержится полный заголовок сообщения, но также и его содержание («Secret Secret!!»). Если использовать функцию Snooptrace, можно объединить их в одно целое (рис. 3).

В ФБР заявляют, что будут использовать это средство для законного перехвата трафика. Выше мы показали, что Carnivore способен захватить гораздо больше информации, чем только «заголовки», и что средства такого типа способны выполнять поиск ключевых слов. Обычные средства типа EtherPeek способны фильтровать трафик, но даже чтобы определить адрес электронной почты, уже нужно выполнить функцию поиска в большом объеме захватываемой информации.

Если в ФБР (например, используя Carnivore) хотят только определить почтовые адреса, с которых и на которые идет почта с определенного адреса, игнорируя содержание, они получат эту информацию, однако остальную им необходимо отбросить. Но захотят ли они этим ограничиться?

И вот здесь мы сталкиваемся с отличием Carnivore от традиционного подслушивания и протоколирования телефонных переговоров. В «обычной» телефонии запрос на «протоколирование» позволяет правоохранительному органу узнать, с каких номеров и на какие номера шли звонки с определенного номера. Назовем это «служебной информацией». Протоколирование требует ордера генерального прокурора или федерального судьи. Отдельное предписание (или ордер) требуется на проведение «прослушивания», то есть ознакомления с содержанием разговора, который ведут стороны, идентифицированные в процессе «протоколирования».

Нужно понимать, что критерии предоставления ордера на проведение этих двух мероприятий (протоколирование служебной информации и прослушивание разговоров) существенно различаются. Для получения ордера на прослушивание требуется предоставление более весомых свидетельств незаконной деятельности, в то время как для получения ордера на протоколирование достаточно менее весомых - в предположении, что протоколирование не дает возможности ознакомления с содержанием разговоров и, соответственно, угроза частной жизни лиц (по крайней мере, теоретически) ниже  [2].

Традиционно при проведении прослушивания требуется физический контроль со стороны сотрудника правоохранительных органов с целью обеспечения того, чтобы записывались лишь разговоры лица или лиц, в отношении которых выдан ордер. С другой стороны, Carnivore (как и предполагает его имя  [3]) «ест все, что видит», и работает без контроля оператора. Вот пример потенциальной проблемы.

Допустим, получен ордер на прослушивание телефонных переговоров подозреваемого X. По прослушиваемой линии звонит ребенок подозреваемого. В соответствии с действующими правилами, оператор системы должен прекратить запись и прослушивание этого звонка.

Теперь допустим, что получен ордер на перехват служебной информации подозреваемого X с помощью Carnivore (это пример, которым оперировал Керр). За компьютер подозреваемого садится его ребенок, который пользуется общим семейным почтовым адресом и отправляет письмо однокласснице. В распоряжении ФБР окажется (см. выше) полный текст всех сообщений, отправленных с этого адреса и на него, вне зависимости от того, кто их отправил. В отличие от телефонного прослушивания, оператора, который должен следить за тем, чтобы записывалась только информация, исходящая от подозреваемого, нет.

Заявление ФБР о том, что используются только заголовки, влечет вопрос: «А куда деваются остальные собранные данные?» Ведь Carnivore совмещает функции «протоколирования» и «прослушивания», и здесь кроется возможность злоупотреблений или использования средства способом, не соответствующим духу закона, намеренно разделяющего эти сущности и запрещающего их объединение.

А Carnivore их совмещает в реальном (или близком к реальному) времени. Использование одной и той же технологии реализует обе функции. Конечно, в ФБР заявляют, что не будут превышать своих полномочий, но давайте рассмотрим еще один сценарий.

Подозреваемый X использует электронную почту для связи с подозреваемым Y. ФБР испрашивает и получает ордер на использование Carnivore «только для получения адресов, используемых X и Y для обмена информацией о незаконной деятельности по распространению «пиратского» софта». Как показано выше, содержание всех сообщений, которыми обменялись X и Y, также окажется доступным.

ФБР заявило Конгрессу, что Carnivore будет использоваться только для перехвата заголовков, однако в его архиве хранится весь массив перехваченной информации. В рамках этого сценария можно предположить, что содержанием одного из сообщений было участие подозреваемого в распространении номеров чужих кредиток.

Использование содержания такого сообщения будет выходом за пределы полномочий, определенных ордером на перехват служебной информации. Но остаются две возможности для злоупотреблений. Во-первых, для получения разрешения на «использование» перехваченного содержания может быть придумано отдельное обоснование. Во-вторых, хотя ФБР и не сможет «использовать»  [4] такой архив, на его основе могут исследоваться версии или вестись оперативные «разработки». Помните, как был арестован легендарный гангстер Ал Капоне (Al Capone)? Не за то, что он был гангстером, а по обвинению в уклонении от налогов.

Carnivore предоставляет ФБР массу возможностей для слежки в цифровой век и открывает вполне реальные перспективы злоупотребления этими возможностями со стороны отдельных сотрудников. Как только будут получены доказательства, что такие злоупотребления действительно имели место, ФБР окажется в очень непростой ситуации. А то, что ФБР уклоняется от публичной или независимой профессиональной экспертизы этой технологии, только укрепляет подозрения в том, что в ней заложены возможности злоупотреблений.

Способам использования и ограничениям на использование этого устройства стоит посвятить серьезный анализ и критику.

В то же время, если Carnivore используется в строгом соответствии с заявлениями ФБР, обойти его нетрудно любому, немного разбирающемуся в сетевых технологиях (и поэтому я не рассматриваю его внедрение как персональную угрозу; я озабочен лишь его потенциалом к злоупотреблениям и угрозой гражданским правам).

Блокировать угрозу Carnivore будет нетрудно для обладающего здравым смыслом пользователя:

  • Используйте VPN и защищенные каналы. Если вы общаетесь поверх SSL, сниффер «увидит» лишь абракадабру.

  • Смените диапазон. Используйте нетрадиционные порты для почтовых протоколов или чатов.

  • Будьте непостоянны. Используйте не просто почту, а ряд адресов с различными интерфейсами (POP3, IMAP, APOP, эккаунт с Web-интерфейсом). Используйте IRC и Internet-пейджеры… Возможностей много!

  • И, наконец, шифруйте почту. Я слышал, что самое неприятное для агента, перехватившего сообщение, это увидеть, что оно содержит «--- BEGIN PGP MESSAGE ---»…

Кажется маловероятным, что крупные поставщики будут разрабатывать оборудование, не содержащее «лазейку» для перехвата, поэтому дело каждого найти способ защитить и обезопасить свою коммуникацию - PGP, ZKS Freedom и средства, которые еще только предстоит разработать.

Лучшее решение - это обеспечить, чтобы все, что вы считаете приватной информацией, шифровалось до того, как покинет ваш компьютер и контролируемую вами зону.

Сокр. пер. с англ. М.О. Впервые опубликовано на www.infowarrior.org.


1 (обратно к тексту) - См. www.fbi.gov/programs/carnivore/carnivore.htm. - Примеч. автора.
2 (обратно к тексту) - В России, согласно ФЗ «О связи», служебная информация подведена под общую защиту тайны связи без каких-либо оговорок. Открытой статистики законного ограничения тайны связи нет, и критерии предоставления ордеров нам неизвестны. - Здесь и далее примеч. М.О.
3 (обратно к тексту) - «Плотоядное» (англ.).
4 (обратно к тексту) - То есть представить в качестве доказательства или свидетельства в суде.
© ООО "Компьютерра-Онлайн", 1997-2019
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.