您可能听说过 Carnivore,这是一个由美国联邦调查局 (FBI) 开发的备受争议的程序,旨在让该机构能够访问涉嫌犯罪分子的在线/电子邮件活动。对许多人来说,它令人毛骨悚然地联想到乔治·奥威尔的《1984》。尽管联邦调查局在2005年1月之前就放弃了 Carnivore,转而使用市售的窃听软件,但这个曾承诺在计算机通信监控领域重塑联邦调查局特定影响力的程序,其结构和应用方式仍引人入胜。
广告
Carnivore 的演变
Carnivore 是联邦调查局使用的第三代在线检测软件。尽管关于第一个版本的信息从未公开,但许多人认为它实际上是一款名为 Etherpeek 的现成商业程序。
1997年,联邦调查局部署了第二代程序 Omnivore。根据联邦调查局发布的信息,Omnivore 旨在查看通过特定互联网服务提供商 (ISP) 的电子邮件流量,并从目标来源捕获电子邮件,将其保存到磁带备份驱动器或实时打印。Omnivore 于1999年末退役,取而代之的是一个更全面的系统,即 DragonWare Suite,它允许联邦调查局重建电子邮件、下载的文件甚至网页。
广告
DragonWare 包含三个部分
- Carnivore - 一个基于 Windows NT/2000 的系统,用于捕获信息
- Packeteer - 未发布官方信息,但据推测是一个用于将数据包重新组合成连贯消息或网页的应用程序
- Coolminer - 未发布官方信息,但据推测是一个用于推断和分析消息中发现的数据的应用程序
如您所见,官方从未发布过关于 DragonWare Suite 的太多信息,Packeteer 和 Coolminer 更是只字未提,关于 Carnivore 的详细信息也少之又少。但我们确实知道,Carnivore 基本上是一个数据包嗅探器,这项技术相当普遍,并且已经存在一段时间了。
广告
数据包嗅探
计算机网络管理员多年来一直使用数据包嗅探器来监控他们的网络,执行诊断测试或排查问题。本质上,数据包嗅探器是一个程序,可以查看它所连接的网络上通过的所有信息。当数据在网络上往返流动时,程序会查看或“嗅探”每个数据包。
通常,一台计算机只会查看寻址到它自己的数据包,而忽略网络上的其他流量。当在计算机上设置数据包嗅探器时,嗅探器的网络接口会设置为混杂模式。这意味着它会查看通过的所有内容。流量大小主要取决于计算机在网络中的位置。网络中某个独立分支上的客户端系统只能看到一小部分网络流量,而主域服务器则几乎可以看到所有流量。
广告
数据包嗅探器通常可以通过以下两种方式之一设置
- 未过滤 - 捕获所有数据包
- 已过滤 - 仅捕获包含特定数据元素的数据包
包含目标数据的数据包在通过时会被复制。程序根据其配置将这些副本存储在内存或硬盘驱动器上。然后可以仔细分析这些副本,以查找特定信息或模式。
当您连接到互联网时,您正在加入一个由您的 ISP 维护的网络。该 ISP 的网络与其他 ISP 维护的网络进行通信,从而构成了互联网的基础。放置在您的 ISP 服务器之一上的数据包嗅探器可能会监控您的所有在线活动,例如:
- 您访问了哪些网站
- 您在该网站上查看了什么
- 您向谁发送电子邮件
- 您发送的电子邮件内容
- 您从网站下载了什么
- 您使用了哪些流媒体事件,例如音频、视频和互联网电话
- 谁访问了您的网站(如果您有网站)
事实上,许多 ISP 使用数据包嗅探器作为诊断工具。此外,许多 ISP 将数据副本(例如电子邮件)作为其备份系统的一部分进行维护。Carnivore 及其姊妹程序对联邦调查局来说是备受争议的一步,但它们并非新技术。
广告
Carnivore 的工作流程
现在您对 Carnivore 有了一些了解,让我们来看看它是如何运作的:
联邦调查局有合理理由怀疑某人从事犯罪活动,并请求法院命令查看嫌疑人的在线活动。法院仅批准对电子邮件流量进行全面内容窃听的请求,并发布命令。
广告
“内容窃听”是电话监控中使用的术语,意味着数据包中的所有内容都可以被捕获和使用。另一种窃听类型是追踪与拦截,这意味着联邦调查局只能捕获目的地信息,例如正在发送的邮件的电子邮件账户或嫌疑人正在访问的网站地址。追踪与拦截的反向形式,称为呼出登记,用于跟踪发送给嫌疑人的电子邮件来源或嫌疑人网站的访问来源。
联邦调查局联系嫌疑人的 ISP,并请求获取嫌疑人活动备份文件的副本。联邦调查局在 ISP 处设置一台 Carnivore 计算机,以监控嫌疑人的活动。该计算机包括:
- 一台配备 128 兆字节 (MB) 内存 (RAM) 的奔腾 III Windows NT/2000 系统
- 一个商业通信软件应用程序
- 一个定制的 C++ 应用程序,与上述商业程序协同工作,提供数据包嗅探和过滤功能
- 一种物理锁定系统,需要特殊密码才能访问计算机(这使得除了联邦调查局以外的任何人都无法物理访问 Carnivore 系统。)
- 一个网络隔离设备,使 Carnivore 系统对网络上的其他任何设备都不可见(这可以防止任何人从其他计算机入侵该系统。)
- 一个 2 吉字节 (GB) Iomega Jaz 驱动器,用于存储捕获的数据(Jaz 驱动器使用 2GB 可移动墨盒,可以像软盘一样轻松更换。)
联邦调查局使用嫌疑人的IP 地址配置 Carnivore 软件,以便 Carnivore 只捕获来自该特定位置的数据包。它会忽略所有其他数据包。Carnivore 复制来自嫌疑人系统的所有数据包,而不会阻碍网络流量。一旦复制完成,它们会经过一个过滤器,该过滤器只保留电子邮件数据包。程序根据数据包的协议来确定数据包中包含的内容。例如,所有电子邮件数据包都使用简单邮件传输协议 (SMTP)。电子邮件数据包会保存到 Jaz 墨盒中。联邦调查局特工每隔一两天就会访问 ISP,更换 Jaz 墨盒。特工会将取出的墨盒放入一个标注日期并密封的容器中。如果密封破损,破损者必须签名、注明日期并重新密封——否则,墨盒可能会被视为“已受损”。未经法院批准,监控不得持续超过一个月。完成后,联邦调查局会将该系统从 ISP 处移除。捕获的数据将使用 Packeteer 和 Coolminer 进行处理。如果结果提供了足够的证据,联邦调查局可以将其作为针对嫌疑人案件的一部分。
ISP 不会将客户活动数据作为其备份的一部分进行维护。
上面的示例展示了系统如何识别要存储哪些数据包。
广告
Carnivore 的“猎物”
联邦调查局计划出于特定原因使用 Carnivore。特别是,当一个人被怀疑犯有以下罪行时,该机构会请求法院命令使用 Carnivore:
- 恐怖主义
- 儿童色情/剥削
- 间谍活动
- 信息战
- 欺诈
有一些关键问题引起了各方的极大关注:
广告
- 隐私 - 许多人认为 Carnivore 严重侵犯了隐私。虽然滥用的可能性确实存在,但《电子通信隐私法》(ECPA) 为所有类型的电子通信提供法律隐私保护。任何类型的电子监控都需要法院命令,并且必须显示有合理理由表明嫌疑人从事犯罪活动。因此,任何不遵守 ECPA 的 Carnivore 使用方式都是非法的,并可能被视为违宪。
- 监管 - 人们普遍认为 Carnivore 是一个庞大的系统,可能允许美国政府控制互联网并规范其使用。要做到这一点,需要一个惊人的基础设施——联邦调查局需要在每个 ISP 处部署 Carnivore 系统,包括私人、商业和教育机构的 ISP。虽然理论上可能对美国境内所有运营的 ISP 这样做,但仍然无法监管美国管辖范围之外的 ISP。任何此类举动也会面临各方的强烈反对。
- 言论自由 - 一些人认为 Carnivore 监控了通过 ISP 的所有内容,寻找某些关键词,如“炸弹”或“暗杀”。任何数据包嗅探器都可以设置为查找特定的字符或数据模式。然而,如果没有合理理由,联邦调查局就没有理由监控您的在线活动,如果他们这样做,将严重违反 ECPA 和您的宪法言论自由权。
- 梯队 - 据传这是由美国国家安全局 (NSA) 开发的一个秘密网络,旨在检测和捕获跨越国际边界、包含特定关键词(如“炸弹”或“暗杀”)的数据包。没有确凿证据支持梯队的存在。许多人将这个传闻中的系统与 Carnivore 系统混淆了。
所有这些担忧使得 Carnivore 的实施对联邦调查局来说举步维艰。联邦调查局拒绝披露 Carnivore 的源代码和某些其他技术信息,这只会加剧人们的担忧。但是,只要在 ECPA 的限制和指导方针内使用,Carnivore 就有可能成为打击犯罪战争中的有用武器。
广告
常见问题
哪个政府机构拥有 Carnivore 程序?
Carnivore 程序是联邦调查局运行的一个有争议的软件监控系统。
更多信息
相关 十万个为什么 文章
更多精彩链接
- CNN.com:联邦调查局终止 Carnivore 互联网调查 - 2005 年 1 月 19 日
- Slashdot.org:来自 Carnivore 评论员 Henry H. Perrit, Jr. 的回答
- Sniff'em:一款基于 Windows 的数据包嗅探器
- Infosyssec.org:信息安全门户