carnivore چگونه کار می کند

ممکن است تا حالا در مورد carnivore (گوشتخوار)، برنامه بحث برانگیز توسعه یافته توسط دفتر تحقیقات فدرال(اف بی آی) ایالات متحده برای دادن دسترسی به فعالیت های آنلاین / پست الکترونیکی مجرمان مشکوک چیزهایی شنیده باشید. برای بسیاری، این برنامه بطور ترسناکی یادآور کتاب «????» جورج اورول است. اگر چه carnivore به نفع یک نرم افزار استراق سمع تجاری در ژانویه ???? توسط اف بی آی کنار گذاشته شد (برنامه ای که زمانی قرار بود برای تجدید نفوذ خاص اف بی آی در دنیای نظارت بر ارتباطات کامپیوتری بکار رود)، اما این برنامه در ساختار و کاربرد چنان جذاب است که بررسی آن خالی از فایده نخواهد بود. ضمن اینکه اگر هم کنار گذاشتن این برنامه توسط FBI صحت داشته باشد، با اطمینان می توان گفت که نسخه های جامع تر و خطرناک تری از آن در دست استفاده اند.

شاید به نظر برسد که این برنامه شبه بدافزار چون فقط در ایالات متحده استفاده می شود، خطری برای دیگر ساکنان کره زمین به شمار نمی آید. اما متاسفانه واقعیات آمیخه به شایعه در تاریخ این کشور نشان می دهد که هیچ اطمینانی نسبت به استفاده صحیح و محدود از این شبه بدافزار وجود ندارد.

تکامل carnivore
گوشتخوار نسل سوم نرم افزار کشف و شناسایی آنلاین استفاده شده توسط اف بی آی بود. در حالی که اطلاعات در مورد نسخه اول هرگز اعلام نشده است، بسیاری بر این باورند که اولین نسخه در واقع یک برنامه تجاری عمومی به نام Etherpeek بوده است.

در سال ????، اف بی آی نسل دوم برنامه را با نام Omnivore (همه چیز خوار) گسترش داد. بر اساس اطلاعات منتشر شده از سوی اف بی آی، Omnivore برای نظارت بر ترافیک ایمیل در یک سرویس دهنده اینترنتی خاص و دریافت ایمیل های با مقصد خاص و ذخیره آن بر روی یک دستگاه و یا چاپ آن در همان لحظه طراحی شده بود. Omnivore در اواخر سال ???? به نفع یک سیستم جامع تر به نام DragonWare suite (که به اف بی آی اجازه بازسازی پیام های ایمیل، دریافت فایل ها و یا صفحات وب را می داد)، بازنشسته شد.

DragonWare دارای سه بخش مختلف بود:
Carnivore - یک سیستم تحت ویندوز NT/2000 که اطلاعات را ضبط می کند.
Packeteer - هیچ اطلاعات رسمی و موثقی فاش نشده است اما احتمالا برنامه ای سر هم کردن مجدد بسته های (packet) اطلاعاتی است .
Coolminer - هیچ اطلاعات رسمی و موثقی فاش نشده است اما احتمالا برنامه ای برای تحلیل داده هایی است که از پیام ها استخراج شده.

همانطور که می بینید، مقامات اطلاعات زیادی در مورد DragonWare suite، هیچ چیزی در مورد Packeteer و Coolminer و اطلاعات بسیار کمی در مورد Carnivore فاش کردند. اما ما می دانیم که Carnivore اساسا یک packet sniffer بود، تکنولوژی که بسیار رایج است.

Packet Sniffing
مدیران شبکه های کامپیوتری سال ها است که از برنامه های کنترل بسته های اطلاعاتی، برای نظارت بر شبکه های خود و انجام تست های تشخیصی و ??یا عیب یابی مشکل استفاده می کنند. اساسا، packet sniffer برنامه ای است که می تواند تمام اطلاعات شبکه ای را که به آن متصل است ببیند. از آن جایی که داده ها بر روی یک شبکه جریان رفت و برگشتی دارند، این برنامه تک تک بسته های اطلاعاتی را بازبینی می کند.
به طور معمول، یک کامپیوتر فقط بسته هایی را که دارای آدرس اعلام شده باشند نگاه می کند و بقبه بسته ها بر روی شبکه را نادیده می گیرد. هنگامی که packet sniffer بر روی یک کامپیوتر نصب می شود، رابط شبکه آن در حالت بی قاعده تنظیم می شود. این بدان معنی است که این برنامه بدون توجه به شیوه آدرس دهی پاکت های اطلاعاتی، همه بسته ها را نگاه می کند. میزان ترافیک قابل کنترل توسط اسنیفر تا حد زیادی به محل کامپیوتر در شبکه بستگی دارد. یک کامپیوتر در شاخه منفردی از شبکه، تنها بخش کوچکی از ترافیک شبکه را می بیند، در حالی که سرور اصلی تقریبا همه آن را می بیند.

یک برنامه packet sniffer می تواند در دو حالت تنظیم شود:
بدون فیلتر: تمام بسته ها را کنترل می کند.
فیلتر شده : تنها بسته هایی را که حاوی اطلاعات خاص باشند، بازرسی می کند.

بسته هایی که شامل داده های مورد نظر باشند، هنگام عبور از جلو دیدگان اسنیفر، کپی می شوند. برنامه بسته به پیکربندی خود این کپی ها را بر روی حافظه اصلی یا دیسک سخت ذخیره می کند. این نسخه ها سپس می توانند با دقت برای یافتن اطلاعات و یا الگوهای خاص تجزیه و تحلیل شوند

وقتی که شما به اینترنت متصل هستید، در واقع به شبکه ای متصل می شوید که توسط ISP شما مدیریت می شود. شبکه ISP با دیگر شبکه ها که توسط ISP های دیگر نگهداری می شوند در ارتباط است. یک برنامه packet sniffer که بر روی یکی از سرور های ISP قرار دارد به صورت بالقوه می تواند تمامی فعالیت شما را بر روی اینترنت نظارت کند. مانند :.

• از چه وب سایت هایی دیدن کرده اید
• در سایت کدام قسمت ها را دیده اید
• به چه کسی ایمیل فرستاده اید
• محتوای ایمیل ارسالی شما چه بوده است
• از یک سایت خاص چه چیزی دانلود کرده اید
• اگر وب سایتی دارید چه کسانی به وب سایت شما سر می زنند

در واقع بسیاری از ISP ها از برنامه های snifer به عنوان یک ابزار تشخیصی استفاده می کنند. همچنین بسیاری از ISP ها کپی داده هایی مانند ایمیل ها را به عنوان بخشی از سیستم پشتیبان خود نگه می دارند.

عملکرد کارنیوور (Carnivore)
حالا که تاحدودی می دانید کارنیوور چیست، بیایید به چگونگی کارکرد آن نگاهی بیاندازیم:
?- اف بی آی به کسی که در فعالیت های جنایی شرکت دارد، مشکوک است و از دادگاه حکمی را به منظور مشاهده فعالیت آنلاین مظنون درخواست می کند.

?- دادگاه حکم بررسی و کنترل همه جانبه پست الکترونیک را صادر می کند. واژه کنترل همه جانبه (content-wiretap) در «قوانین نظارتی تلفن» ایالات متحده به معنی هر چیزی است که بتوان در یک بسته (packet) ذخیره و استفاده کرد. موارد دیگری از این کنترل تله و ردیابی است، بدین معنی که اف بی آی می تواند تنها اطلاعات مقصد را ذخیره کند. مثل ایمیلی که پیامی با آن فرستاده می شود و یا وب سایتی که مظنون در حال بازدید از آن است. شکل معکوس تله و ردیابی پن رجیستر (pen register) نام دارد که در زمانیکه ایمیلی به مظنون برسد و یا هنگام بازدید مظنون از وب سایت ها، شروع بکار می کند.

?- اف بی آی با شرکت سرویس دهی اینترنت (ISP) مظنون تماس گرفته و یک کپی از فایل های پشتیبان فعالیت های مظنون را می خواهد.

?- ISP داده های فعالیت مشتری را بعنوان بخشی از فایل پشتیبان آن ذخیره نکرده است.

?- اف بی آی یک رایانه کارنیوور را در ISP برای نظارت بر فعالیت های فرد مظنون مستقر می کند.
این کامپیوتر شامل موارد زیر است:
یک سری نرم افزارهای ارتباطی ویژه
یک نوع سیستم امنیت فیزیکی که برای دسترسی به کامپیوتر نیاز به یک رمز عبور خاص دارد. ( این مورد مانع دسترسی فیزیکی افراد بجز اف بی آی به سیستم کارنیوور می شود)
یک دستگاه جداسازی شبکه که سیستم کارنیوور را در تمام شبکه پنهان نگه می دارد ( این مورد از هک شدن سیستم توسط کامپیوتر دیگری جلوگیری می کند. )

?- اف بی آی نرم افزار کارنیوور را با آدرس IP کامپیوتر فرد مظنون پیکر بندی می کند، بطوری که کارنیوور تنها بسته ها را از این مکان خاص ذخیره کرده و سایر بسته ها را رد کند.

?- کارنیوور همه بسته ها را از سیستم مظنون بدون هیچ مانعی از طریق ترافیک شبکه کپی می کند.

?- پس از اینکه کپی ها آماده شد فیلتری بر روی آنها اعمال می شود که تنها بسته های اطلاعاتی مربوط به ایمیل نگهداری شوند. این برنامه بر اساس پروتکل ارتباطی هر بسته، تعیین می کند که بسته ها شامل چه اطلاعاتی هستند. بعنوان مثال بسته های ایمیلی از پروتکل انتقال ایمیل (SMTP) استفاده می کنند.

?- بسته های ایمیلی در ابزار ذخیره سازی خاصی شبیه به هارد اکسترنال ذخیره می شوند.

??- یک مامور اف بی آی هر روز یا دو روز یکبار از آی اس پی بازدید کرده و ابزار ذخیره سازی را جابجا می کند. مامور، هارد پر شده را برداشته و آن را در جعبه ای قرار می دهد که روی آن تاریخ خورده و مهر و موم شده است. اگر مهر صدمه دیده باشد فرد مسئول باید آن را امضا کرده، تاریخ بزند و دوباره آن را مهر کند.

??- این نظارت بدون حکم دادگاه بیشتر از یک ماه نمی تواند ادامه یابد. پس از تکمیل کار، اف بی آی سیستم خود را از آی اس پی خارج خواهد کرد.

??- اطلاعات ذخیره شده با استفاده از نرم افزارهایی همچون پکتیر (packeteer) و کولمینر (coolminer) پردازش می شوند.

??- اگر نتایج بدست آمده مدارک کافی ارائه کنند، اف بی آی می تواند از آنها بعنوان بخشی از پرونده علیه مظنون استفاده کند.

موارد استفاده کارنیوور
اف بی آی از کارنیوور در موارد خاصی استفاده می کند. مخصوصا زمانیکه فردی مظنون به موارد زیر باشد, برای استفاده از کارنیوور از دادگاه درخواست حکم می کند:
تروریسم
کودک آزاری و سوء استفاده جنسی
جاسوسی
جنگ های اطلاعاتی
کلاه برداری

البته چند مسئله کلیدی وجود دارد که موجب نگرانی های بسیاری در بین گروه های مختلف می شود:
حریم خصوصی: بسیاری از مردم کارنیوور را بعنوان نوعی تجاوز به حریم خصوصی خود می دانند، درحالیکه به طور بالقوه امکان سو استفاده از آن وجود دارد. مصوبه حریم خصوصی ارتباطات الکترونیک (ECPA) حمایتی حقوقی از حریم خصوصی را برای همه ارتباطات الکترونیکی فراهم کرده است. هر نوع نظارت الکترونیکی نیاز به حکم دادگاه دارد و باید دلیلی موجه مبنی بر حضور مظنون در فعالیت های جنایی وجود داشته باشد.

مقررات: اعتقاد عمومی بر این بود که کارنیوور سیستم عظیمی است که به دولت آمریکا این امکان را می دهد تا کنترل اینترنت را بدست گیرد و موارد استفاده از آن را تعیین و تنظیم کند. برای این کار نیاز به یک زیرساخت شگفت انگیز است و اف بی آی به قرار دادن سیستم کارنیوور در هر نوع ISP اعم از خانگی، تجاری و آموزشی نیاز خواهد داشت. در حالیکه به لحاظ تئوری انجام این کار برای تمام اپراتور های آی اس پی غیر ممکن است. البته می گویند که هنوز هیچ راهی برای ایجاد این اپراتور ها در خارج از قلمرو قدرت ایالات متحده وجود ندارد. هرگونه حرکتی در این خصوص با مخالفت های جدی از همه طرف روبرو خواهد شد.
.
آزادی بیان: بعضی از مردم فکر می کنند کارنیوور از طریق آی اس پی به همه جریان های مضنون نظارت می کند و بدنبال کلمات کلیدی خاصی همچون ((بمب)) و یا ((ترور)) است. هرگونه نرم افزار پکت اسنیفر (Packet sniffer) می تواند برای جستجوی الگوهای خاصی از کاراکترها و داده ها تنظیم شود. هر چند اف بی آی بدون دلیل احتمالی هیچ توجیهی برای کنترل و نظارت فعالیت آنلاین شما ندارد و برخلاف قوانین عمل کرده است.

اشلون (Echelon): یک شبکه مخفی در حال توسعه توسط آژانس امنیت ملی آمریکا (NSA) است که ظاهرا به منظور شناسایی و ذخیره بسته های اطلاعاتی در تمام دنیا که شامل کلمات کلیدی همچون ((بمب)) و ((قتل)) می باشد، طراحی شده است. هیچ مدرکی مبنی بر وجود و حمایت ایالات متحده از اشلون وجود ندارد. بسیاری از مردم این مورد را با سیستم کارنیوور اشتباه می گیرند.

تمامی این نگرانی ها اجرای کارنیوور را برای اف بی آی به نبردی دشوار تبدیل می سازد. اف بی آی از افشای سورس نرم افزاری و دیگر اطلاعات فنی در مورد کارنیوور خودداری می کند که این فقط به نگرانی مردم می افزاید. اما تا زمانی که این نرم افزار بر اساس محدودیت ها و قوانین فعالیت کند، کارنیوور عاملی موثر و بعنوان سلاحی مفید در جنگ با جرم و جنایت در اختیار FBI خواهد بود.

اما متاسفانه در خصوص اینکه تا چه میزان استفاده از چنین سیستم هایی روال قانونی رعایت می شود یا در اختیار چه کشورها و گروه هایی است، هیچگاه به روشنی و درستی مطلبی بیان نشده است. 

 منبع : negahbaan.com