Saludos de fin de año

Hay 2 días al año sobre los que no puedes hacer nada: AYER Y MAÑANA: solamente hoy podrás perdonar, sonreír, soñar, amar, sentir…

Feliz y próspero año 2009.

Que tortugas ninjas ni ocho y cuarto !! el original es el oso ninja !!

Es sabido que los orientales basaron sus técnicas de artes marciales en la observación de los animales y en sus comportamientos.

De ahi que surge el poderoso estilo del tigre, el ágil estilo del mono, el veloz estilo de la serpiente, el combate a corta distancia de la mantis y muchos mas....

Pero ese proceso de observación y de sistematización de esas técnicas se lograron con el pasar de las décadas... pero eso es porque no conocían a Claude, un oso negro asiático del zoológico de Hiroshima que es todo un especialista en el uso del baston !!



Aunque para mi que Claude vio KungFu Panda y ahora quiere ser como "PO" su nuevo ídolo del cine !!

Diez razones por las que la cerveza es mejor que las religiones

  • Nadie lo matará por no beber cerveza.

  • La cerveza no le dice cómo tener sexo.

  • La cerveza nunca ha causado guerras importantes (ni inquisiciones, ni cruzadas sangrientas).

  • La cerveza no fuerza a los menores de edad, que no pueden pensar por sí mismos.

  • Cuando usted tiene cerveza, usted no se la pasa tocando puertas ajenas intentando que otras personas tomen una.

  • A nadie han quemado en hogueras, colgado en una horca, o torturado hasta la muerte por defender una marca de cerveza.

  • Usted no tiene que esperar más de 2.000 años por una segunda cerveza.

  • Hay leyes que dictaminan que las etiquetas de cerveza no pueden mentirle a usted y que deben informarle sobre el daño que le acarrean a su salud.

  • Usted puede demostrar la existencia de la cerveza.

  • Si usted ha consagrado su vida a la cerveza, hay grupos que pueden ayudarle.

¡Vaya!... El sistema ha detectado un problema (#719)

Y si !! si usas aplicaciones BETA alguna vez tenia que pasar !!! y despues de unos minutos que reintentaba conectar y no podía, no me quedo otra que cerrar la sesión y abrirla de nuevo.

Lo bueno es que al conectarme nuevamente todo estaba ahi. Vaya a saber que es eso del error #719....

"La telepresencia de Cisco" en numeros (Cisco Telepresence)

  • 10 fueron los requerimientos de la gente de marketing le paso a ingenieria como base para desarrollar la Telepresencia
  • 3 pantallas de "súper alta definición" componen el modelo CT 3000p
  • 1080 x 1900 es la resolución de la imagen de cada una de las pantallas y cada una de las cámaras (una cámara por pantalla).
  • 65" es el tamaño de cada pantalla.
  • 4 enchufes de 20 Amperes se necesita para el CTP3000.
  • 10 paliet es lo que ocupa el CTP3000p cuando esta envalado.
  • 7975 es el modelo de telefono IP de Cisco que utilizan para controlar el equipo de Telepresencia (en ves de un control remoto).
  • 4 son los modelos de los end-point de telepresencia (3000, 3200, 1000 y 500).
  • 400KB o mas debe ser el buffer de entrada del switch donde se conecte el end-poing.
  • 1740 paquetes por segundo transmite el CTP3000 en su maxima calidad de imagen.
  • 1 Gbps debe ser la interfase del switch a la que se conecte.
  • 5.5 Mbps ocupa cada uno de los flujos de video (el CTP3000 usa 3 flujos ).
  • 200 ms de restardo es lo máximo permitido en el enlace de punto a punto.
  • 40 ms es el jitter máximo permitido
  • 0.2% de perdida de paquetes es lo máximo permitido

  • 48 son los flujos de video que puede manejar el equipo de Connferencia Multipuntos.
  • 15 ms es el delay agregado por el eqiupo de Multipunto (no hace transcoding).
  • 240 Mbps seria el cosumo maximo de red del equipo Multipunto.

  • Aproximadamente 1000 son los equipos ya instalados e el mundo.
  • pero cerca de 300 estan son de Cisco para uso interno.

y para terminar.... hablemos del precio, que aunque nunca lo mencionaron, estamos hablando de que montar dos puntos con un CTP3000 puede estar un poco por debajo de los u$d 500.000 !!!

Las frases de la semana

Un Geek es un Nerd pero con vida social


Un Flogger es un Emo pero con colores

Cual es el mejor antivirus ?

Hablando de preguntas complicadas, o mejor dicho.. hablando de respuestas complicadas. Si a mi me preguntan no hay mejor antivirus que un usuario capacitado. Un usuario con conocimiento de lo que hace y un par de herramientas básicas puede estar a salvo de la mayoria de los problemas. Pero logico, esa es mi humilde opinión, y como la mía hay muchas mas, y entre ellas esta la de la "ShadowServer Fundation"

La ShadowServer Fundation es una organización que reúne especialistas en seguridad y entre otras tantas tareas que hacen, es la de evaluar los distintos antivirus del mercado contra varios miles de archivos infectados. Lo bueno es que estas pruebas las realizan con distintas periodos de tiempo y sobre distintas cantidad de arhivos. Mientras que las pruebas diarias (los resultados son los que estan abajo) son sobre unos 135000 archivos que deben ser revisados en 24 horas, tambien existe una prueba sobre sobre mas de 6.000.000 de archivos donde los productos antivirus tiene hasta 6 meses para revisarlos.

vendor detected total percent
Ikarus 133,266 135,210 98.56%
AntiVir 132,937 135,210 98.32%
F-Prot6 131,832 135,210 97.50%
F-Secure 131,560 135,210 97.30%
QuickHeal 131,403 135,210 97.18%
Kaspersky 131,308 135,210 97.11%
NOD32 131,182 135,210 97.02%
BitDefender 131,099 135,210 96.96%
AVG7 130,936 135,210 96.84%
Avast-Commercial 130,856 135,210 96.78%
VBA32 130,843 135,210 96.77%
TrendMicro 130,120 135,210 96.24%
Norman 130,106 135,210 96.23%
Avast 129,683 135,210 95.91%
Clam 125,404 135,210 92.75%
Vexira 124,336 135,210 91.96%
VirusBuster 124,269 135,210 91.91%
McAfee 112,892 135,210 83.49%
Panda 100,549 135,210 74.37%
DrWeb 30,921 135,210 22.87%


Es interesante revisar todas las estadisticas (diaria, semanal,mensual y demas) para tener una idea mas global de la situacion. Haciendo un resumen rapido es interesante destacar como ClamAV siempre esta por encima de Panda y McAfee, y aunque los primeros puestos cambian constantemente de prueba a prueba, Nod32 y AVG7 se mantienen siempre arriba en las primeras posiciones.

Cabe destacar, que estas pruebas en realidad no determinan el mejor antivirus para un puesto de trabajo, ya que existen soluciones antivirus que no solo utilizan su base de datos de firmas para detectar un virus. Ya son varios los productos que son capaces de analizar "comportamiento" de los procesos y en base a estos determinar si son un posibles virus o malware y los bloquean.

Pero este tipo de pruebas si son muy importante a la hora de pensar en soluciones antivirus para servidores de correo, servidores proxy o hasta agregarle un antivirus a un servidor que tenga recursos compartidos, ya que para este tipo de servicios la deteccion por firma es la mejor (por no decir la unica) forma de detección de virus. Para este tipo de situaciones este tipo de pruebas si largan resultados contundentes.

Revisando la pagina de ShadowServer.org también vamos a encontrar otras estadísticas que realizan, como estadisticas de ataques de DDOS, cantidad de botnets y demas. Por ejemplo el siguiente es uno de los graficos que generan donde muestasn la cantidad de Botnets



No he revisado mucho la pagina ni muy detenidamente, pero ya la agende para revisarla mas tranquilo cuando llegue a casa.

Cisco Security Agent y las nuevas tendencias de Cisco

Hace unos años atrás escuche que "Cisco abandona el negocio de los router", y entre los motivos que dio el orador fueron dos. Por un lado fue que hoy en dia todo tiende a ser IP y que la gran invención de Cisco que fueron los router multiprotocolos ya no tienen mucho sentido y por otro, y que me pareció la mas valedera fue el comentario de "hasta los chinos hacen buenos router ahora".

Con esto quedaba en evidencia que Cisco cambio su plan de negocio y el rumbo que tomo son los servicios y aplicaciones, pero sin dejar de lado los equipamiento de redes.

En el marco de la Cisco Networkers 2008, asisti a la charla de "Entendiendo las técnicas de mitigación de amenazas host-based" que fue en si una charla explicando el "Cisco Security Agent", que como dice el nombre es un pequeño agente que monitorea y/o bloquea las acciones y procesos que suceden en los puestos de trabajo o en los servidores y se administran de manera centralizada.

Puntos a destacar tiene un par como que puede llegar a generar politicas en forma automatica en base a comportamientos de muchos equipos, viene para varios sistemas operativos entre los que esta incluido Solaris y Linux RedHat y todos los agentes se reportan a un server centralizado a través de simples peticiones https, pero sin conocer a los otros productos de la competencia, estos puntos no creo que marquen una ventaja competitiva.

Lo bueno y que seguro que es una ventaja interesante, es que no solo revisa acciones locales, sino que monitorea el trafico de red que genera cada host, y en modo de aprendizaje o de filtrado se lo puede integrar a los sistema de deteccion de intruso (IDS) o con los switch y router para modificar las reglas de acceso y filtrar trafico externo o hasta modificar las reglas del QoS.

Otro punto interesante es que el CSA no es ni antivirus ni antispyware, y por para poder brindar una solucion mas completa integraron CLAMAV a su producto, y según el comentario del orador Cisco esta ayudando con la generación de las firmas de nuevos virus, aunque no pude encontrar nada de informacion "mas oficial" que lo respaldara este dato.

Con esto, una vez mas se ve que Cisco se viene amigando con Linux y el Open Source, desde crear sus agentes para plataformas Linux (esta bien, por lo pronto es solo para RedHat, pero ya se viene la de Suse y posiblemente alguno mas) hasta empezar integrar software OpenSource en sus productos, y quien sabe que sera lo proximo....


Mi primera CreamFields


Después que por el 2001 catepuku machu (o como se escriba) tocaron en la Creamdfields mi interés por la misma decayo vastante al punto de borrarla a la creamfied entre "los eventos a los que me gustarian asistir". Pero como justo llege a Buenos Aires el dia que estaba la Creamfields y no tenia planes para el sabado a la noche, me decidi a ir.

Primero antes de ir a comprar la entrada, busque un poco en internet ( que como estaba en el microcentro y no queria pagar me fui a la galeria pacifico a usar su wifi gratis sin tener que exponer mucho la notebook a la vistas de todos) para ver quienes estaban esta vez, no porque sea un gran conocedor de los DJ de musica electronica, sino porque se que bandas NO HACEN musica electronica :P, y aunque habian muchos nombres desconocidos, vi uno que conocia y que queria escucharlo en vivo, en la Creamfield 2008 entre otros tantos estaba Hernan Cattaneo.

Tambien estube lellendo un par de noticias e info del evento y pintaba una puesta en escena mas que importante, mucha pontencia muchas luces, un par de escenarios muy grandes y en total 7 arenas, en donde desde las 3 de la tarde se iban a desplegar la larga lista de DJ y par de bandas.

La primera impresion, mientras iba caminando por los costados del autodromo de buenos aires hacia la puerta fue muy buena, cerca de las 21:00, estando en la calle se escuchaba muy bien, y no solo me refiero a potencia, sino a calidad de sonido. Mientras me iba arrimando a la puerta la cantidad de gente queriendo entrar empezo aumentar, pero nunca en un numero tan inmanejagle como fue Tiento 2007 (3 horas en la cola), tal vez eso de hacer la fiesta desde tan temprano y no haber llegado tan tarde fue mas que bueno.

Mientras la noche fue avzando la primera impresion no cambio, pero si se le agrego un punto muy importante... "COMO NO VINE ANTES !!!"

La Creamfields no es una fiesta electronica, son 7 fiestas electronicas en un solo lugar, son 7 DJ o bandas haciendo lo suyo todos en paralelo, pudiendo elegir a donde ir a parar y que escuchar, y con suficiente espacio abierto para alejarte un poco de la multitud y seguir apreciendo desde lejos alguna de las Arenas o simplemente tirarse en el pasto a mirar el cielo mientras se escucha musica.

No voy hacer muchos comentarios sobre quienes estuvieron o como estuvieron, porque seguro que de esos vas a encontrar muchos blog dando vueltas por ahi, pero lo que si voy a decir es que desde que asistí a la edicion 2008 de la Creamfield, esta ha vuelto a estar en mi lista de "los eventos a los que volveria a asistir"

Consejos si es tu primera Creamfields

* Si es en el autodromo la forma mas facil y barata de llegar desde el microcentro es a traves del subte y luego te tomas el premetro. Si te tomas el premetro equivicado (que fue mi caso) no te preocupes, no te deja tan lejos, son unas 12 cuadras asi en linea recta.

* Es convenitente ir temprano por tres motivos. Por un lado el utimo premetro sale como a las 21. por lo que si vas mas tarde vas a tener que buscar otro medio de transporte. Por otro lado, a esa hora no hay mucha gente, por lo que se puede llegar a disfrutar mucho mas y estas mucho mas cerca de los DJ de turno. Y por ultimo si te gusta la musica electronica, que mejor que estar 8 horas o mas bailando y escuchado musica electronica ??

* A la hora de comprar la bebedia, es conveniente comprar todo de una. Un par de champagne con speed y un par de cervezas es una muy bena cantidad de alcohol como para garanizar una buena noche y volver a caminando a casa y con todo en su lugar (la ropa, el telefono/camara de foto y el estomago)

* Es recomendable comer algo "liviano" antes de entrar a la Creamfields. Unas OREO es buena idea. Entre el chocolate y la grasa de la crema te van ayudar a pasar bien la noche.

* NO COMPRES AGUA !!! el agua es gratis !! hay carpas (no señaladas) donde hay 3 o 4 dispenser de agua y te podes servir agua sin problema y gratis. Logico, a las 3 de la mañana, ya casi no quedaba agua en ningua de las dos carpas (dos por lo menos que yo encontre)

* CAMINA LA CREAMFIELDS !! no estas en una fieta, estas en un predio donde hay 7 fiestas, 4 o 5 lugares donde venden bebidas, 3 lugares donde vende cominda, como 6 lugares donde ha y baños publicos, y en ocaciones la gente se junta en un solo lugar dejando los otros casi desocupados (dato importante tratandose de los baños y de la comida :P)

* Debido a la cantidad de DJ y bandas que pasan por la Creamfields, es conveniente que te hagas el listado de lugares y hora donde estar. Una de los puntos muy buenos a rescatar del evento es que resperaton muy bien (o casi muy bien) los horarios de cada DJ, por lo que cada uno pudo empezar a la hora que debia.

y seguro que se pueden tener en cuenta muchas cosas mas, pero esas son las principales que se me vienen a la cabeza, hoy lunes despues de habier pasado la resaca "post Creamfield"

La frase de la semana

Leyendo blogs me encontré con una frase que hace alusión a la memoria de intercambio que dice:
La memoria es como los orgasmos. Es mucho mejor si no tienes que fingirlos.

-- Seymour Cray

La frase me causo cierta gracia, y me trajo en mente una vieja enseñanza en mis primeros pasos en el mundo unix cuando trabaje como Help Desk en IMPSA. Por aquellos tiempos veía que uno de los administradores corría algunos script con un punto (.) antes del nombre del script, cuando le pregunte el porque me respondió:

El punto es como el forro. Evitan que se creen los hijos.

-- David Pla
La explicación fue tan didáctica que aun la uso al momento de explicar para que el punto (.) antes de algunos scripts.



"Cisco Networkers 2008"



Estimado(a) PABLO ARIEL VARGAS

Gracias por registrarse a Cisco Networkers 2008. Su número de registro es NWS08AR-12114. Su pago ha sido registrado y su número de confirmación de registro ....

Asi comienza el mail que acabo de recibir confirmando mi inscripción de Cisco Networkers 2008 que desde el lunes 10 de noviembre y por 4 dias se va a llevar a cabo en Buenos Aires.


Con esta, va a ser la segunda ves que asisto. La ves pasada fue en el año 2002, que a pesar de que fue cuando estábamos recién acomodándonos de la devaluación, Cisco aprovecho justamente eso para hacer valer sus dolares y alquilo casi medio hotel Hilton y monto una "expo-congreso-capacitación-fiesta" que para mi, sigue siendo el mejor evento informático de este estilo al que he asistido, y es por eso que aprovechamos para volver a ir.

Este año, las cosas han cambiado un poco, por no decir que el "presupuesto autorizado" parece ser mucho menor que en el 2002, ya que a pesar de seguir siendo un evento de 4 días y con mas de 30 sesiones de tecnología, debido a que solo son dos los dias destinados a estas charlas, por la superpocision de las mismas quedamos limitados a que solo se pueden asistir a 6 sesiones, dejando el primer dia solo para los "Techtorials" (talleres prácticos y con un costo adicional) y el ultimo para el "Show Room" de empresas amigas.

Las charlas se ven muy interesantes, y justamente por eso es que la gran superposición de las mismas es algo que me hubiera gustado que no pasara, pero bueno, no quedo otra que armar la agenda analizando bien cada uno de las opciones y ya estamos anotados a un par de charlas de seguridad, de diseño de redes Man y Wlan y hasta algo de virtualizacion en centro de datos (aprovechando que andamos estudiando el tema :) ).

Entre las cosas interesantes que tiene este evento, es que Cisco aprovecha para acercar y establecer relaciones entre sus clientes y sus ingenieros y personal de soporte. Para ello este año tiene programado "Technology Showcase" de 4 dias en donde al lado de cada uno de los equipos de Cisco hay un especialista dispuesto a recibir todas las preguntas pertinentes (la foto de arriba es de uno de los tantos Rack con equipos que habían en la expo).

Esta año, el encargado de contar en que anda la empresa del puentecito es el mismo vicepresidente de la compañía, y aunque es muy probable que a charla ronde en base a la movilidad, también es muy probable que hagan mucho incapie en sus nuevos router multicervicios, que no son mas que router con un switch integrado modulares que se le pueden ir agregando funcionalidades de Voip, VPN y PIX y hasta puertos USB para poder conectar discos externos y convertir el router en un pequeño NAS para la oficina.

Aunque uno puede llegar a suponer de que va a ser la charla, con Cisco no se puede saber con que nos va a delitar esta vez. En el 2002, en pleno auge de las redes inalámbricas presentaron un triciclo con un telefono IP y wifi que lo hacían circular por la sala para demostrar lo bien que andaba su roaming entre Access Point.

Igual, para los que me conocen, saben que no solo voy por las charlas, al fin y al cabo "No solo de tecnológica vive el hombre". De las 4 noches, en tres hay algun evento, desde la fiesta de bienvenida, un "happy hour" y la fiesta de despedida, que aunque no creo que esten "Los Auténticos Decadentes" ni "Diego Torres" como la vez pasada, seguro que alguna sorpresita va haber, y sino la barra con tragos libres compensaran muy bien sus ausencias. Aparte... quien no quiere tener una semana de vacaciones en noviembre ??

Usando a Google como Proxy Web

Aunque si siguera con los titulos "sensacionalistas" de los ultimos post, a este le podria haber puesto "Como saltar las restricciones de un proxy web usando Google Web ToolKit".

Revisando los registros del apache de uno de los server, vi un link desde el que habían llegado varias visitas que me llamo la atención. A primera vista parecia una referencia normal desde google, pero al ver los parametros pasados al servidor de Google me parecio extraño. La URL desde donde venia la visita era algo asi como:

http://www.google.es/m/search?eosr=on&mrestrict=xhtmlonly&q=blog+jamon+vino+

Al ingresar a la url se ve que es uno mas de los servicios de Google. En este caso se trata de la versión para teléfonos móviles del buscador.

Pero lo interesante pasa la hacer click sobre los links y ver lo que trae de resultado, ya que estos links no direccionan al sitio, sino que utilizan las Google Web Toolkit de Google e instaladas un el servidor de Google y funcionando como un PROXY WEB.

Entonces los que navegan desde su celular, solo accede al servidor de Google y este de encarga de adaptar cada una de las pagina para que se vean bien en los dispositivos moviles.

Hasta aca, todo bien, si no fuera que cualquiera, desde cualquier navegador puede accederlas, entonces despues de unas simples pruebas llegamos a que si en nuestros navegador ingresamos a la siguiente direccion:

http://www.google.es/gwt/n?u=http%3A%2F%2Fwww.google.com

Podemos acceder al buscador de Google usando a Google como Proxy, y con esto saltar las limitaciones en los proxy web impuestas por algún malvado SysAdmin :P

Como modificar el orden de busqueda de los nombre de maquinas en Microsoft Windows 2000/2003

La respuesta es simple:

NO SE PUEDE !!

Una practica común, no mucho pero lo he hecho un par de veces, es cambiar el orden de búsqueda de los nombre de host en un sistema Linux.

Simplemente editando el archivo /etc/host.conf uno le puede definir con el parámetro order se le indica al resolver el orden de debe realizar la búsqueda para resolver los nombres de maquinas. Si citamos el manual del archivo host.conf nos dice:
order Esta palabra clave especifica como se realizan las busquedas de hosts. Deberi­a estar seguida de uno o mas metodos de busqueda, separados por comas. Metodos validos son bind, hosts, y nis.
Ahora si citamos el articulo KB 139270 de la "base de conocimiento de M$" nos dice que:
Note By default, Windows 2000 and Windows Server 2003 try to resolve a name through DNS before they try to resolve it through the earlier-version node-type configuration. DNS or NetBIOS lookup order priority cannot be modified by applying this registry entry in Windows 2000 and Windows Server 2003.


y todavia hay gente que me pregunta "que podes hacer con Linux que no podas hacer en Windows??" bueno.. acá tienen una mas para agregar a la lista de cosas que se pueden hacer con Linux que no se pueden hacer con Windows.





Y empezamos a estudiar algo de virtualizacion

En estos dias me he puesto a estudiar un poco sobre virtualización con Vmware y entre las cosas que he ido encontrando, hay un blog a destacar y agendar.

BeVirtual es un blog destinado a virtualización, donde he encontrado información muy buena, entre las que voy a replicar dos noticias que me parecieron de lo mas interesantes.

Por un lado una video comparativo entre el Hyper-v de M$ y el ESXi de VMware. Esta bien que el video esta hecho por la gente de VMware, pero con un objetivo bien claro , que es mostrar cual lleva mas tiempo de instalación, cual es el que hay que hacer mas click y en cual hay que escribir mas, y cual tiene mas pasos de instalación y hay que reiniciar mas veces ( y si, si, todas las respuestas apuntan al mismo producto :) )


Por otro lado, una noticia que me sorprendió cuando la leí, pero que después me pareció de lo mas obvio, fue que Cisco se junto con Vmware y desarrollo los Ciscos VN-Link y mas precisamente el Cisco Nexus 1000V, que no es mas que un producto que remplaza los switch virtuales de VMware por un "switch" Cisco, esto para poder implementar VLAN, QoS, ACL y demás características de los switch Cisco entre las maquinas virtuales que corran sobre el hypervisor de VMware.

Algo lindo de esto, es que la consola de administración de estos y los otros switch de la familia Cisco Nexus, usan una consola de administración que corre NX-OS, que junto con IOS son los sistemas operativos de los productos Cisco.

Los bueno del NS-OS utiliza MontaVista, que a pesar de lo que nos puede indicar su nombre, es un producto y herramientas de desarrollo para dispositivos con Linux embebidos. Esto es muy bueno, ya que al parecer la empresa de San FranCISCO y que tiene de logo el puente de San Francisco (si, de ahí viene le nombre de la empresa) se esta amigando con el sistema operativo del pinguino, teniendo en cuenta que hasta hace unos años atrás todos sus productos de software corrían "embebidos" solo en plataformas Microsoft.



Buscando mi servidor en listas negras de SPAM (II)

Como el Spam sigue siendo uno de los grandes problemas entre los servidores que administro, es que seguimos dándole vueltas al tema y seguimos encontrando herramientas que ayudan para el caso.

En primer lugar encontramos a MxToolsBox que posee una herramienta que nos permite buscar en varias RBL a la vez.

Por otro lado, están los de Robtex.com, que aunque ya la habíamos usado hace tiempo para buscar en varias listas negras, nos detuvimos unos minutos en las otras herramientas que tiene, y hay una muy buena que nos indica los datos mas importantes de nuestro dominio, obteniendo información de los registros A,NS y MX, de sus IP y a donde apuntan sus inversos (PTR), y que nos da el resultado en forma gráfica para poder analizarla rápidamente.

La frase de la semana

Siempre me han gustado las frases, proverbios y los dichos por como pueden compactar tantas verdades o conocimientos en tan pocas palabras.

Hoy al buscar información sobre unos códigos de error me encontré con una frase de Confusio que no pude resistir a replicar:

Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí.

Trafico Aereo Mundial

Revisando uno de esos tantos blog que hay por ahí, encontré una animación del trafico aéreo mundial... y no me quedo otra que replicarlo


Probando la velocidad de un sitio WEB

En varias ocasiones he usado el Apache Benchmark (AB) del Apache 2 para probar los servidores web y medir los tiempos de conexión y de respuesta, pero hace unos meses encontré una herramienta muy interesante para poder hacer lo mismo con una pagina web y cada uno de sus componentes (imagenes, js, rss, etc, etc).


Se trata de una de las herramientas del sitio Pingdom.com desde la cual le podemos pasar un URL y genera estadisticas y un grafico con los datos de conexion y tiempo de respuesta de la pagina.


Entre las detalles a destacar, se encuentran dos. Por un lado que mide el tiempo de acceso a cada uno de los componentes de la pagina, e indicando de donde viene el objeto. Esto es muy útil cuando en una pagina se introducen contenidos de otros sitios o servidores, para poder determinar quien es el que genera la "demora" al cargar la pagina. Dato también interesante para cuando la pagina contiene publicidad o se utilizan template o scripts gratuitos de terceros.

Por otro lado, se pueden guardar los resultados de las pruebas, por lo que se puede probar varias veces y en horas diferentes del dia y después poder ver los resultados, o inclusive guardar las pruebas para luego ser revisadas por un tercero, y ya que estamos acá les paso el el reporte de este blog del dia 31 de julio, o sea que por lo menos un par de meses quedan guardados los resultados.

Luego, entre las otras herramientas de Pingdom.com también tenemos un ping y un traceroute que por ahí también son útiles para probar conectividad con los sitios web.

"Mi correo no llega a Hotmail"

Como administrado de servidores de correo esa suele ser un reclamo que se suele escuchar, y hasta hace un tiempo no había mucho por hacer mas que empezar a revisar los registros de nuestros servidores o buscar si nuestros servidores o nuestras redes habían sido agregadas en alguna lista negra.

Pero la gente de "Windows Live" (como se hacen llamar ahora :P ) han puesto a disposición de los administradores de red una herramienta llamada "Smart Network Data Service" o simplemente SNDS. Esta herramienta esta pensada para ayudar a los postmaster de otras redes a que puedan saber como son gestionados y tratados los correos que entran a Hotmail y sus dominios relacionados.

En el reporte que se genera se puedan observar estadísticas de los mail que llegan a los server de "Windows Live" desde nuestros servidores y como han sido tratados en general los correos de este servidor.


Esta herramienta le da un a puntuación a nuestro servidor según la cantidad de spam recibido desde el, en base a la siguiente escala:

Verde : menos del 10% de los corres es spam
Amarrillo: entre el 10% y 90% de los correos es spam
Rojo: mas del 90% de los correos es marcado como spam

Con esto nos damos una buena idea de que es lo que estan pasando con los correos una vez que entran, y aunque no se puede hacer un seguimiento de un mail en particular, nos permite dar una idea de que es lo que esta pasando.

A su ves, en la ultima columna, en la de comentarios pueden aparecer mensajes mas especificos sobre los problemas encontrados o porque han sido considerados como spam. Estos comentarios pueden llegar a ser textos como "Virus-infected emails" o "Malware hosting" o "Open Proxy status".

Como limitación, y como para controlar un poco el acceso a esta herramienta, para acceder a estos reportes se deben cumplir dos condiciones, Por un lado disponer de una cuenta de "Windows Live" para poderse autenticar y acceder, y luego ser de alguna forma el responsable de la red o IP.

Para determinar que se es el "responsable" de la red o IP utiliza un proceso muy simple, el sistema (SNDS) envía un email a la dirección de correo del "responsable de la red o servidor" con un link de verificación, que luego hay que entrar para poder terminar el proceso.

Para determinar la dirección de correo a la cual se le va a enviar el correo con el link de verificación lo realizan con consultas de los datos de ASN (Autonomous System Number) de la red y en el caso de un solo IP, resuelve el inverso del IP y toma como direcciones validas a abuse@dominio y a postmaster@dominio, de esta manera, la gente de Windows Live limita el acceso a los resultados de sus reportes.

Lo bueno es que uno puede ir agregando a una misma cuenta, tantos servidores o redes uno tenga y hasta permite generar un reporte que para poder ser accedido no requiera autenticación (aunque este ultimo solo en formato csv), el cual esta pensado para ser accedidos por script, para poder generar nuestros propios reportes a mostrar.

Por el momento, vamos a seguir probando esta herramienta y darles un puntito a la gente de "Windows Live" por pensar generar estos reportes, que aunque no son muy detallados es una herramienta mas para tener a mano.

Open Drink !!!

Esto de compartir conocimientos esta llegando a todas las areas, no solo a la informática. Ya es muy conocido el opensource, por ahí desde hace unos años que que surgieron varios proyectos sobre hardware libre ( openhardware )... pero esto es lo mas: OPENCOLA !!

Un par de ingleses que se pusieron realizar una gaseosa cola muy similar o mejor dicho con el mismo gusto y sabor que la Coca Cola. Aca les dejo los links, la version orifinal de OpenCola:

http://sparror.cubecinema.com/cube/cola/new_recipe.html

Asique sera cuestion de probar a ver que sale.... lo unico, que de la receta es para 117 litros, por lo que si sale mal, va a ser un monton de agua tirada !!

Carnivore, FBI y un un documento rescatado del cache de google

Después de terminar el post sobre las RBL, me pregunto que fue de la vida del sistema de FBI para inspeccionar los email (carnivoro) y me "encontré" con un documento que parece como el alegado del porque y como funciona carnivoro, y hasta traducido (original en ingles y la traducción párrafo a párrafo).

Pero porque lo de "encontré" entre comillas ? Porque para verlo tuve que recurrir a cache de google y a un par de trucos mas, y como me pareció interesante y considere que no es bueno que se pierda.... hago un super copy&paste para que perdure un poco mas...

Esta por demas decir que no soy el autor del articulo, ni me hago responsable por el mismo (y que ni siquiera lo he terminado de leer :P ), y que el mismo fue encontrado en un buscador de Internet, que su auntor se desconoce al igual que tambien se desconoce la identidad de la persona que inicio la traducción al español, y que se encuentra replicado en este blog solo con el fin de poder tener una copia de respaldo del mismo y que no se vuelta a perder y bla, bla bla..

3.1.3 FOREIGN INTELLIGENCE SURVEILLANCE ACT

The Foreign Intelligence Surveillance Act (FISA) provides for electronic surveillance of foreign powers and agents of foreign powers in the United States for the purpose of obtaining foreign intelligence information. If no "United States person" likely will be overheard, then no court order is required, only certification by the Attorney General.xvii

.EL ACTO DE VIGILANCIA DE 3.1.3 INTELIGENCIA EXTRANJERA
El Acto de Vigilancia de la Inteligencia Extranjera (FISA) mantiene vigilancia electrónica de poderes extranjeros y agentes de poderes extranjeros en los Estados Unidos con el propósito de obtener la información de inteligencia extranjera. Si ninguna "persona de Estados Unidos" probablemente se oirá por casualidad, entonces ningún orden judicial se requiere, sólo certificación por el Abogado General.xvii

If a United States person is involved, however, FISA requires an order issued by a special foreign intelligence surveillance court. A judge of the special court must approve the electronic surveillance if it is found that the requirements of the statute have been satisfied.xviii The order if must specify the identity or provide a description of the target of the electronic surveillance, the nature and location of each facility or place at which electronic surveillance will be directed, the type of information sought to be acquired and the type of communications or activities to be subjected to the surveillance, the means by which the electronic surveillance will be effected and whether physical entry will be used to effect the surveillance, the period of time during which the electronic surveillance is approved, and, when more than one surveillance device is used under the order, the authorized coverage of each device and the minimization procedures to be applied.xix

.Si una persona de Estados Unidos está envuelta, sin embargo, FISA requiere un orden emitido por la corte de vigilancia de una inteligencia extranjera especial. Juez de la corte especial debe aprobar la vigilancia electrónica si se encuentra que los requisitos del estatuto han sido satisfied.xviii El orden si debe especificar la identidad o debe proporcionar una descripción del blanco de la vigilancia electrónica, la naturaleza y situación de cada facilidad o debe poner a que la vigilancia electrónica se dirigirá, el tipo de información buscó ser adquirido y el tipo de comunicaciones o actividades ser sujetado a la vigilancia, los medios por que la vigilancia electrónica se efectuará y si la entrada física se usará efectuar la vigilancia, el periodo de tiempo durante que la vigilancia electrónica es aceptado, y, cuando más de uno el dispositivo de vigilancia se usa bajo el orden, el fondos autorizado de cada dispositivo y los procedimientos de minimización para ser applied.xix

The order also must direct that the minimization procedures be followed and may direct third parties to furnish law enforcement authorities with necessary information, facilities, or technical assistance necessary to accomplish the electronic surveillance in a manner that will protect its secrecy and interfere minimally with the services of the subject of that order.xx

.El orden también debe dirigir que los procedimientos de minimización se sigan y pueden dirigir terceras fiestas para amueblar las autoridades de entrada en vigor de ley con la información necesaria, medios, o ayuda técnica necesario lograr la vigilancia electrónica de una manera que protegerá su secreto e interferirá mínimamente con los servicios del asunto de ese order.xx

Applications for FISA orders may be made only with the approval of the Attorney General and upon a certification by the Assistant to the President for National Security Affairs, or other designated national security officials, that the information sought is foreign intelligence information and that such information cannot reasonably be obtained by normal investigative techniques.xxi Finally, foreign intelligence pen trap devices may be installed and used pursuant to orders by the special court or a specially designated United States Magistrate Judge and requires similar findings and directions.xxii

.Sólo pueden hacerse aplicaciones para los órdenes de FISA con la aprobación del Abogado General y en una certificación por el Ayudante al Presidente para los Asuntos de Seguridad Nacionales, u otros oficiales de seguridad nacionales designados que la información buscada son la información de inteligencia extranjera y esa tal información no puede obtenerse razonablemente por techniques.xxi Finally investigador normal, los dispositivos de trampa de pluma de inteligencias extranjeras pueden instalarse y pueden usarse consiguiente a los órdenes por la corte especial o un Estados Unidos especialmente designados Magistrado Judge y requiere resultados similares y directions.xxii


3.2 THE ELECTRONIC SURVEILLANCE PROCESS

3.2.1 THE DECISION TO USE CARNIVORE

A decision to use electronic eavesdropping comes only after a criminal investigation has proceeded substantially. This timing of the decision is true for a number of reasons. First, the FBI must demonstrate to the satisfaction of a judge probable cause that a crime has been committed or is about to be committed and that the surveillance is necessary to obtain relevant information. Even to obtain authorization for pen-trap surveillance, the FBI must show the relevance of the information sought. Second, the FBI in the electronic surveillance context must explain why traditional enforcement methods are insufficient to obtain the information desired. Third, in order to obtain a court order authorizing electronic eavesdropping, the FBI must amass significant details. For instance, the FBI must discover the identity of the target's ISP, the target's e-mail address, etc. Fourth, given the typical 4-6 month delay in receiving authorization for an electronic wiretap, FBI investigators are not likely to seek to deploy such means except in large ongoing investigations after substantial material has already been unearthed. Finally, use of electronic surveillance is expensive in terms of resources, making it much more likely that FBI agents will use electronic surveillance as a last resort.

If a case agent in the midst of a national security or criminal investigation determines that electronic surveillance may be needed, the agent contacts the Chief Division Counsel (CDC)xxiii and a Technically Trained Agent (TTA) in the field office for advice. The FBI separates responsibility for administration of technical surveillance from those pursuing leads in a criminal or national security investigation. That separation minimizes the chance that technical surveillance will be used prematurely. TTAs are experienced Special Agents who have been selected for advanced training. CDCs are familiar with the statutory requirements for eavesdropping. The TTA and CDC may counsel the Special Agent about what information might ultimately be necessary should a court order be sought, whether it is information identifying the URL of a web site engaged in money laundering or a target's ISP. After continued consultation with the CDC and TTA, the case agent, with field office supervisory approval, may then determine that electronic surveillance is required. These procedures are formalized in the MIOG,xxiv and evidently have been consistently followed. In. the case of electronic wiretapping for content, the case agent must clear the application with superiors within the field office, with FBI Headquarters, and then with the DoJ.xxv This chain of command has been formalized.

3.2 EL PROCESO DE VIGILANCIA ELECTRÓNICO
3.2.1 LA DECISIÓN PARA USAR EL CARNÍVORO
Una decisión para usar el escuchando detrás de las puertas electrónico sólo viene después de que una investigación delictiva ha procedido substancialmente. Esto cronometrando de la decisión es verdadero por varios razones. Primero, el FBI debe demostrar a la satisfacción de un juez causa probable que un crimen se ha comprometido o se ha sido sobre ser comprometido y que la vigilancia es necesaria obtener la información pertinente. Incluso para obtener la autorización para la vigilancia del pluma-trampa, el FBI debe mostrar la relevancia de la información buscada. Segundo, el FBI en el contexto de vigilancia electrónico debe explicar por qué los métodos de la entrada en vigor tradicionales son insuficientes obtener la información deseada. Tercero para obtener un orden judicial que autoriza el escuchar detrás de las puertas electrónico, el FBI debe juntar los detalles significantes. Por ejemplo, el FBI debe descubrir la identidad del ISP del blanco, la dirección del e-mail del blanco, el etc. Cuarto, dado el 4-6 retraso del mes típico en la autorización receptor para un wiretap electrónico, no es probable que investigadores de FBI busquen desplegar cosas así significa excepto en las investigaciones continuadas grandes después de que el material sustancial ya se ha desenterrado. Finalmente, el uso de vigilancia electrónica es caro por lo que se refiere a los recursos, mientras haciéndole muy más probablemente ese agentes de FBI usarán la vigilancia electrónica como un último recurso.
Si agente del caso en medio de una seguridad nacional o la investigación delictiva determina esa vigilancia electrónica puede necesitarse, el agente avisa el Consejo de la División Principal (CDC)xxiii y un Técnicamente el Agente Especializado (TTA) en la oficina del campo para consejo. El FBI separa la responsabilidad por la administración de vigilancia técnica de esas primacías siguiendo en un delincuente o la investigación de seguridad nacional. Esa separación minimiza la oportunidad que la vigilancia técnica se usará prematuramente. TTAs son Agentes Especiales experimentados que han sido seleccionados para el entrenamiento avanzado. CDCs están familiarizados con los requisitos estatutarios por escuchar detrás de las puertas. El TTA y CDC pueden aconsejar al Agente Especial sobre qué información podría ser finalmente necesario deba un orden judicial se busque, si es información que identifica el URL de un sitio de tejido comprometida en laundering de dinero o el ISP de un blanco. Después de la consultación continuada con el CDC y TTA, el agente del caso, con la oficina del campo la aprobación de supervisión, puede determinar entonces esa vigilancia electrónica se requiere. Estos procedimientos se formalizan en el MIOG,xxiv y evidentemente se siguen de forma consistente. En. el caso de wiretapping electrónico para el volumen, el agente del caso debe aclarar la aplicación con los superiores dentro de la oficina del campo, con la Oficina principal de FBI, y entonces con el DoJ.xxv Esta cadena de orden se ha formalizado.



The procedures to obtain authorization for a pen-trap surveillance are less rigorous. The case agent must justify in writing the need for pen-trap surveillance rather than more conventional investigative techniques. This justification, initialed by a supervisor, is placed in the case file and pen-register control file.xxvi The division counsel may be consulted on application language and the TTA must be consulted regarding availability of equipment.xxvii

The application for a court order in either context is authored by FBI attorneys in conjunction with those at DoJ (or the U.S. Attorney's Office if the objective is a pen-trap) based on information furnished by the case agent. Advice on the language in the application is widely sought and received from each level in the review process.

The court determines in both sets of circumstances (electronic monitoring or pen trap) whether to grant the application ex parte. If satisfied that the Title III requirements have been met the court typically issues two orders: one authorizing the intercept and the second directing the relevant ISP to cooperate in the venture. The second order usually contains less information than the first omitting, for example, the purpose of the investigation and sometimes the name of the target.

3.2.2 DEPLOYMENT OF CARNIVORE

In discussions with the ISP, the TTA and Special Agent determine how best to ensure implementation. The ISP may have means available to obtain the target information narrowly and precisely. For instance, if all the information sought can be obtained by setting up a clone e-mail account, most ISPs can comply. Problems, however, may exist if the ISP lacks the technology to narrow sufficiently the information retrieved to comply with the court order, or conversely, if it cannot retrieve sufficient information. (At times, the FBI also is concerned about disclosing too much information to the ISP, as in a sensitive national security investigation.) If the ISP cannot comply fully with the court order, then application of Carnivore represents the first stage of minimization, as described elsewhere. Carnivore limits the information retrieved to that specified in the court order. The TTA engages in discussions with ISP representatives to explain the functionality of Carnivore and assure the integrity of the ISP's network.

If Carnivore is selected as the most appropriate means of complying with the court order, the TTA assumes responsibility for its deployment. Given that use of Carnivore has been limited, highly trained personnel from FBI Headquarters have, so far, played a critical role in the implementation process, although there is no procedural requirement for their participation. The TTAs -- with or without help from headquarters -- then configure the system according to the specifications in the court order.

If the order, for instance, specifies intercepting e-mail to and from adam@mailserve.com, an agent must enter that e-mail address into the appropriate field of the Carnivore input screen. If the order specifies intercepting all traffic between port 25 of a specific Internet server and an IP address assigned to a particular target, the agent must enter the appropriate alphanumeric string into the appropriate field in the input screen for Carnivore to specify the server and port 25; and also enter the appropriate values to specify -- or to allow the hardware and software to determine -- the IP address assigned to the target in a particular session by Dynamic Host Configuration Protocol (DHCP) or RADIUS. The mapping is usually straightforward, although IITRI learned of one case in which the FBI requested the U.S. Attorney to obtain a new Title III order to eliminate ambiguities. The configurations programmed can be retrieved later to ensure compliance with the court order. Nonetheless, the potential for human error cannot be discounted -- agents must program Carnivore to match the potentially ambiguous information in the court order.

The work area at the ISP is secured, and substantial precautions are taken to ensure that no ISP staff members have access to the unit. Precautions are taken so that no one in the area can manipulate the hardware to see the data as it is retrieved. If individuals, despite the precautions, could access the information released by Carnivore, they could reassemble it using readily-available software to reveal its contents. Under FBI practice, the TTA does not receive any of the information retrieved via Carnivore. These procedures again are not formalized, but security is important to ensure that the chain of custody is not broken. Currently, all Carnivore units are maintained at FBI Headquarters and returned there after a session has been completed.

3.2.3 ANALYSIS OF THE INFORMATION RETRIEVED BY CARNIVORE

The information retrieved can be reassembled by the case agent using specially designed software called CoolMiner and Packeteer, collectively known as DragonWare. The case agent can obtain the intercepted information remotely as it is received by Carnivore, or can await until the information is retrieved on the Jazz disk in the computer.

The case agent then carries out a second round of minimization. On a PC on which DragonWare is installed, the agent determines which information is relevant and which is not. The irrelevant information is deleted immediately and no copies are kept. The relevant information becomes part of the working papers of the investigation. There are no checks of which IITRI is aware to monitor the extent of this second minimization. The original disk (with information not reassembled) is sealed and stored. The disk is not tamper-proof. None of the information in the original disk is entered into a database. Pursuant to Title III, the court at the conclusion of the investigation must notify any target of the electronic search -- and apparently at its discretion any other individual whose communications were frequently intercepted during the Carnivore session -- about the fact of interception. The judge who authorized the interception retains jurisdiction over the intercept and often monitors in a general way the conduct of the surveillance.

Finally, if the information obtained has been encrypted, the case agent must determine whether to apply decryption techniques to the encrypted messages received. Carnivore itself has no power to decrypt. Thus, depending upon the perceived importance of the information, the case agent may contact FBI headquarters for help in decrypting the information retrieved by Carnivore.

.Los procedimientos para obtener la autorización para una vigilancia del pluma-trampa son menos rigurosos. El agente del caso debe justificar la necesidad por escrito por la vigilancia del pluma-trampa en lugar de las técnicas investigadoras más convencionales. Esta justificación, firmada con iniciales por un supervisor, se pone en el archivo del caso y mando del pluma-registro que file.xxvi que El consejo de la división puede consultarse en el idioma de la aplicación y el TTA debe consultarse con respecto a la disponibilidad de equipment.xxvii
La aplicación para un orden judicial en cualquier contexto está el authored por abogados de FBI junto con aquéllos en DoJ (o la Oficina del Abogado americano si el objetivo es un pluma-trampa) basado en información amueblada por el agente del caso. Consejo en el idioma en la aplicación se busca ampliamente y recibió de cada nivelado en el proceso de la revisión.
La corte determina en ambos juegos de circunstancias (supervisando electrónico o escribe la trampa) si para conceder la parte de ex de aplicación. Si satisfizo que el Título que se han reunido III requisitos típicamente la corte emite dos órdenes: uno que autoriza el intercepte y el segundo que dirige el ISP pertinente para cooperar en la ventura. El segundo orden normalmente contiene menos información que el omitiendo primero, por ejemplo, el propósito de la investigación y a veces el nombre del blanco.
3.2.2 DESPLIEGUE DE CARNÍVORO
En las discusiones con el ISP, el TTA y el Agente Especial determinan qué el mejor para asegurar la aplicación. El ISP puede tener los medios disponible obtener la información designado estrechamente y precisamente. Por ejemplo, si toda la información buscada puede ser obtenida preparando una cuenta de e-mail de clon, la mayoría del ISPs puede cumplir. Los problemas, sin embargo, pueden existir si al ISP le falta la tecnología para estrechar la información recuperada para obedecer el orden judicial suficientemente, o recíprocamente, si no puede recuperar la información suficiente. (A veces, el FBI también se preocupa por descubrir la demasiada información al ISP, como en una investigación de seguridad nacional sensible.) Si el ISP no puede obedecer el orden judicial totalmente, entonces la aplicación de Carnívoro representa la primera fase de minimización, como descrito en otra parte. El carnívoro limita la información recuperada a eso especificado en el orden judicial. El TTA compromete en las discusiones con representantes de ISP explicar la funcionalidad de Carnívoro y asegurar la integridad de la red del ISP.
Si el Carnívoro se selecciona como los medios más apropiados de obedecer el orden judicial, el TTA asume la responsabilidad por su despliegue. Dado ese uso de Carnívoro ha sido el personal limitado, muy especializado de la Oficina principal de FBI, hasta ahora, ha jugado un papel crítico en el proceso de aplicación, aunque no hay ningún requisito procesal para su participación. El TTAs--con o sin la ayuda de la oficina principal--entonces configure el sistema según las especificaciones en el orden judicial.
Si el orden, por ejemplo, especifica interceptando el e-mail a y de adam@mailserve.com, un agente debe entrar en esa dirección del e-mail en el campo apropiado del Carnívoro entre la pantalla. Si el orden especifica interceptando todo el tráfico entre puerto 25 de un servidor de Internet específico y una dirección de IP asignó a un blanco particular, el agente debe entrar en el cordón alfanumérico apropiado en el campo apropiado en la pantalla de la entrada para el Carnívoro especificar el servidor y poner a babor 25; y también entra en los valores apropiados para especificar--o para permitir el hardware y software para determinar--la dirección de IP asignó al blanco en una sesión particular por el Anfitrión Protocolo de la Configuración Dinámico (DHCP) o RADIO. La cartografía es normalmente sincera, aunque IITRI aprendió de un caso en que el FBI le pidió al Abogado americano que obtuviera un nuevo Título III orden para eliminar las ambigüedades. Pueden recuperarse las configuraciones programadas después para asegurar la complacencia con el orden judicial. No obstante, el potencial para el error humano no puede descontarse--agentes deben programar el Carnívoro para emparejar la información potencialmente ambigua en el orden judicial.
El área de trabajo al ISP es se toman las precauciones asegurado, y sustanciales para asegurar que ningún ISP provee de personal que los miembros tienen el acceso a la unidad. Se toman las precauciones que para que nadie en el área pueda manipular el hardware para ver los datos como él se recupera. Si los individuos, a pesar de las precauciones, pudieran acceder la información soltada por el Carnívoro, ellos podrían volverlo a montar usando el software prontamente-disponible para revelar sus volúmenes. Bajo la práctica de FBI, el TTA no recibe cualquiera de la información recuperado vía el Carnívoro. Estos procedimientos no se formalizan de nuevo, pero la seguridad es importante asegurar que la cadena de custodia no esté rota. Actualmente, todas las unidades del Carnívoro se mantienen en la Oficina principal de FBI y volvieron allí después de que una sesión se ha completado.
3.2.3 ANÁLISIS DE LA INFORMACIÓN RECUPERADO POR EL CARNÍVORO
La información recuperada puede ser vuelta a montar por el agente del caso que usa el software especialmente diseñado llamó CoolMiner y Packeteer, colectivamente conocido como DragonWare. El agente del caso puede obtener la información interceptada remotamente como él se recibe por el Carnívoro, o puede esperar hasta la información se recupera en el disco del Jazz en la computadora.
El agente del caso lleva a cabo una segunda ronda de minimización entonces. En un PC en que DragonWare se instala, el agente determina qué información es pertinente y qué no es. La información no pertinente se anula inmediatamente y ninguna copia se guarda. La información pertinente se vuelve parte de los papeles activos de la investigación. Hay ningún cheque de que IITRI es consciente supervisar la magnitud de este segundo minimización. El disco original (con información no vuelta a montar) se sella y guardó. El disco no es ninguna manosear-prueba. En ninguno de la información en el disco original se entra en un banco de datos. Consiguiente para Titular III, la corte a la conclusión de la investigación debe notificar cualquier designado de la búsqueda electrónica--y al parecer a su discreción cualquier otro individuo cuyo frecuentemente se interceptaron las comunicaciones durante la sesión del Carnívoro--sobre el hecho de interceptación. El juez que autorizó la interceptación retiene la jurisdicción encima del intercepte y a menudo los amonestadores de una manera general la conducta de la vigilancia.
Finalmente, si la información obtenida ha sido el encrypted, el agente del caso debe determinar si aplicar las técnicas del decryption a los mensajes del encrypted recibieron. El carnívoro él no tiene el poder al decrypt. Así, dependiendo en la importancia percibida de la información, el agente del caso puede avisar la oficina principal de FBI para la ayuda en decrypting que la información recuperó por el Carnívoro.

3.3 EXTERNAL AND INTERNAL CHECKS ON THE PROCESS

There are innumerable external and internal checks overseeing federal law enforcement authorities' use of Carnivore. Outside the law enforcement agency, both judges and Congress monitor implementation of electronic surveillance. Within the agency, there are checks of intensive training for personnel, structural separation between technical and case agents, and inspections. These checks taken together reduce the possibility that Carnivore will be abused.

3.3.1 EXTERNAL CHECKS

3.3.1.1 JUDICIAL OVERSIGHT

Judges are involved in the Carnivore process throughout. They discharge a critical function at the court-order stage, monitor minimization, and, duration during the surveillance, exercise oversight of record keeping and provide notice to targets after the investigation has completed.xxviii

As an initial matter, only Article III judges can authorize Title III and FISA intercepts. This requirement unlike in the conventional warrant or pen-trap contexts, limits the number of judicial officials who can approve intercept orders. Also, Article III judges are more immune from political pressures because of their job tenure and protection from salary diminution.

Moreover, before law enforcement agencies can obtain authorization for an intercept from the court, they must submit substantial information to the supervising judge. The judge must be satisfied that the FBI has demonstrated probable cause that a crime has been committed, that the information sought cannot be determined in any conventional manner, and that probable cause exists to believe that relevant information will be retrieved by the intercept. The court also ensures that efforts at minimization have taken place. After the interception has started, the court often spot-checks minimization, ensures that the interception does not continue longer than is necessary, and that the information obtained is sealed. At the conclusion of the investigation, the court also determines which parties to notify of the fact of interception. The notification increases the chance that those subject to surveillance will mount a legal challenge to the propriety of the investigation, as mentioned below. Judicial involvement is pervasive, and minimizes the risk that electronic surveillance will be unnecessary, overbroad, or too lengthy.xxix Similar protections exist in the FISA context.

3.3.1.2 CRIMINAL AND CIVIL SANCTIONS

Congress also has exerted significant control over the electronic surveillance process by providing for civil and criminal sanctions. Under Title III, any person whose electronic communication is wrongfully intercepted can recover actual damages, punitive damages (in appropriate cases), and attorney fees.xxx Even if actual damages cannot be shown, statutory damages for the greater of $100 per day or $10,000 can be recovered.xxxi The interceptor can block the suit by showing good faith reliance on a court order or statutory authorization. Criminal penalties are imposed on any individual who intentionally intercepts wire communications without authorization or discloses the contents having reason to know that the information was obtained through an illegal interception under 18 U.S.C. § 2511. Defendants can include law enforcement officials who abuse their authority to intercept electronic communications or divulge their contents. Under FISA, as well, individuals are guilty of an offense if they engage in unauthorized electronic surveillance or disclose information having reason to know that the information was obtained in an unauthorized manner.xxxii A defense is provided if a court order sanctioned the interception or disclosure.xxxiii Finally, anyone knowingly violating the restrictions on pen devices can be fined, imprisoned for not more than one year, or fined and imprisoned.xxxiv In short, Congress provided for deterrence of misconduct by creating a civil remedy in the electronic communication and FISA contexts and criminal sanctions in all three contexts.xxxv

3.3.1.3 APPLICABILITY OF EXCLUSIONARY RULE

FISA provides for suppressing any evidence illegally obtained through either electronic intercepts or pen-trap devices.xxxvi The exclusionary remedy provides a deterrent against overbroad or vindictive surveillance. In contrast, the electronic communications and pen register schemes do not provide for exclusion of evidence in a criminal trial if the procedures of the governing statutes are violated. Although Title III does include an exclusionary rule for interception of wire and oral communication,xxxvii no comparable rule is included for interception of electronic communication.xxxviii Defendants in criminal trials can move to suppress the electronic communication on the ground that they were subject to an unreasonable search or seizure within the meaning of the Fourth Amendment,xxxix but cannot rely on any procedural violation of the statute itself Note, however, that the availability of an exclusionary rule does not offer direct protection for those not suspected of criminal or foreign intelligence activity who may be caught within the web of surveillance.

3.3.1.4 REPORTING REQUIREMENT

Congress also exercises control by imposing reporting requirements. Under 18 U.S.C. § 2519, the supervising judge of electronic intercepts pursuant to Title III must report to the Administrative Office of the United States the fact and type of intercept order requested and granted or denied. Moreover, the Attorney General must independently report the same information in the aggregate each year to the Administrative Office. Under the pen trap provisions, the Attorney General shall annually report to Congress on the number of pen register orders and trap and trace devices applied for each year.xl Under FISA, the Attorney General must transmit to the Administrative Office each year a report of the total number of applications made for orders and extension of orders and the total numbers of such orders and extensions granted.x1i Congress has also required the Attorney General to report to congressional committees, on a semiannual basis, the extent of its electronic surveillance activities under FISA. These extensive reporting requirements permit Congress more information with which to assess the efficacy of the surveillance systems. Although to a lesser extent than the criminal and civil sanctions discussed above, the reporting provisions add some deterrence to misconduct.

The FBI's conduct of electronic surveillance is not unchecked. Both courts and Congress exercise significant oversight responsibility, lessening the possibility that law enforcement officials will use Carnivore in an unauthorized or careless manner.

3.3.2 INTERNAL CHECKS

In addition to the external checks, the FBI has itself placed many checks on the conduct of electronic surveillance. These internal checks further minimize the chance for abuse.

3.3.2.1 THE NEED FOR APPROVAL FROM SUPERIORS

Only certain authorized attorneys of the United States can approve a request for an Article III intercept, ensuring a measure of internal scrutiny and deliberation. With respect to electronic communication,xlii only the Attorney General, Deputy Attorney General, Associate Attorney General, any Assistant Attorney General, or several others specially designated by the Attorney General may authorize application for an electronic intercept.xliii With respect to FISA, only the Attorney General can authorize the intercept. This centralized authority prevents widely dispersed law enforcement officials from making the intercept decision on their own volition.xliv

3.3.2.2 TRAINING AND STRUCTURAL SEPARATION OF CASE AGENTS FROM TECHNICAL AGENTS

Electronic surveillance cannot be conducted under FBI procedures without the involvement of Technical Advisors (TAs), TTAs, and the Electronic Surveillance Technology Section (ESTS) of the Laboratory Division.

TAs and TTAs are assigned to field offices. The TA is a TTA assigned to the Special Agent in Charge of a field office to advise on all aspects of electronic surveillance. "The TA must be actively involved in all office management decisions concerning the application of technical investigative techniques."x1v The TA monitors the conduct of the TTAs.

TTAs are experienced agent investigators with a minimum of two years experience who have applied and been selected for TTA training and certification. TTA candidates complete one year of on-the-job training under the supervision of the TA, followed by formal training at the FBI's Engineering Research Facility on basic electronics, computer and networking technology, basic architecture of telephone networks, switch-based intercepts, and data intercepts. To be designated a TTA, candidates must pass all examinations and practical problems, after which they are assigned as TTAs to a field office.xlvi In order to maintain their certification, TTAs must spend at least 20 percent of their time on technical investigative support matters and attend technical in-service training. TTAs may never be used as monitoring agents of court-ordered intercepts.xlvii

"All technical equipment in the field office is under the care, custody and control of the TA."xlviii "Technical equipment can only be sent from FBI Headquarters to the TA. Technical equipment is never sent to Special Agents who are not TTAs.xlix The TA maintains a control system for equipment accountability. No part or function of any equipment may be altered without specific FBI headquarters authorization.1

The TTA is responsible for ensuring that proper authority has been obtained for technical equipment use and for maintaining a file which contains the documented authority (court orders, SAC, or supervisory approval). TTAs may not permit the use of technical equipment until such court order or other authority has been seen or orally verified from supervisory personnel. Such oral verification must be documented and maintained in the file with the court orders.li In short, both the training and separation of personnel into case and technical groupings minimize the chance that the Carnivore power will be abused.

3.3.2.3 INTERNAL DISCIPLINE

Finally, law enforcement agents sometimes face discipline within their agencies for arbitrary or excessive searches. Many field offices have established internal mechanisms to oversee conduct of case agents. Offices may recognize that illegal searches can be counterproductive and jeopardize the agency's reputation in the public eye. In addition, FBI senior officials from FBI headquarters periodically inspect the practices of each field office. Such inspections commonly focus on the practices and procedures used in electronic surveillance.

.3.3 CHEQUES EXTERNOS E INTERIORES EN EL PROCESO
Hay cheques externos e interiores innumerables que vigilan el uso de autoridades de entrada en vigor de ley federales de Carnívoro. Fuera de la agencia de entrada en vigor de ley, jueces y " aplicación de amonestador de Congreso de vigilancia electrónica. Dentro de la agencia, hay cheques de entrenamiento intensivo para el personal, la separación estructural entre técnico y agentes del caso, e inspecciones. Estos cheques tomados juntos reducen la posibilidad que el Carnívoro se abusará.
3.3.1 CHEQUES EXTERNOS
3.3.1.1 VIGILANCIA JUDICIAL
Jueces están envueltos en el proceso del Carnívoro a lo largo de. Ellos descargan una función crítica en la fase del corte-orden, el minimización del amonestador, y, duración durante la vigilancia, vigilancia del ejercicio de registro que guarda y proporciona el aviso a los blancos después de que la investigación tiene completed.xxviii
Como una materia inicial, sólo Artículo III jueces pueden autorizar el Título III y FISA intercepta. Este requisito diferente en la garantía convencional o contextos del pluma-trampa, límites el número de oficiales judiciales que pueden aprobar intercepta los órdenes. También, Artículo III jueces son más inmunes de las presiones políticas debido a su tenencia del trabajo y protección de la disminución del sueldo.
Es más, antes de las agencias de entrada en vigor de ley la autorización puede obtener para un intercepte de la corte, ellos deben someter la información sustancial al juez dirigiendo. El juez debe satisfacerse que el FBI ha demostrado causa probable que un crimen se ha comprometido, que no puede determinarse la información buscada de cualquier manera convencional, y esa causa probable existe para creer que la información pertinente se recuperará por el intercepte. La corte también asegura que los esfuerzos al minimización han tenido lugar. Después de que la interceptación ha empezado, la corte a menudo el minimización de los mancha-cheques, asegura que la interceptación no continúa más mucho tiempo que es necesario, y que la información obtenida se sella. A la conclusión de la investigación, la corte determina también qué fiestas para notificar del hecho de interceptación. La notificación aumenta la oportunidad que aquéllos sujeto a la vigilancia montarán un desafío legal a la conveniencia de la investigación, como mencionado debajo. El envolvimiento judicial es penetrante, y minimiza el riesgo que la vigilancia electrónica será innecesaria, el overbroad, o también lengthy.xxix que los protections Similares existen en el contexto de FISA.
3.3.1.2 SANCIONES DELICTIVAS Y CIVILES
El congreso también ha ejercido el mando significante encima del proceso de vigilancia electrónico manteniendo las sanciones civiles y delictivas. Bajo el Título III, cualquier persona cuya comunicación electrónica se intercepta injustamente puede recuperar los daño y perjuicios reales, los daño y perjuicios punitivos (en los casos apropiados), y abogado fees.xxx aun cuando no pueden mostrarse los daño y perjuicios reales, los daño y perjuicios estatutarios para el mayor de $100 por día o $10,000 recovered.xxxi puede ser Los interceptor pueden bloquear el traje mostrando la confianza de fe buena en un orden judicial o la autorización estatutaria. Se imponen las multas delictivas en cualquier individuo que intencionalmente intercepta las comunicaciones del alambre sin la autorización o descubre los volúmenes que tienen la razón para saber que la información se obtuvo a través de una interceptación ilegal bajo 18 U.S.C. § 2511. Los demandados pueden incluir a oficiales de entrada en vigor de ley que abusan su autoridad para interceptar las comunicaciones electrónicas o divulgar sus volúmenes. Bajo FISA, también, los individuos son culpables de una ofensa si ellos comprometen en la vigilancia electrónica desautorizado o descubren información que tiene la razón para saber que la información se obtuvo en un manner.xxxii desautorizado que UNA defensa se proporciona si un orden judicial sancionara la interceptación o disclosure.xxxiii Finally, cualquiera violando las restricciones a sabiendas en los dispositivos de la pluma pueden multarse, no encarcelado para más de un año, o multó e imprisoned.xxxiv para abreviar, el Congreso mantuvo disuasión de mala conducta creando un remedio civil en la comunicación electrónica y contextos de FISA y sanciones del delincuente en todos los tres contexts.xxxv
3.3.1.3 PERTINENCIA DE REGLA DE EXCLUSIONARY
FISA mantiene suprimiendo cualquier evidencia u obtenida a través de electrónico ilegalmente intercepta o pluma-trampa devices.xxxvi El remedio del exclusionary proporciona un disuasivo contra overbroad o la vigilancia vindicativa. En el contraste, las comunicaciones electrónicas y esquemas de registro de pluma no mantienen exclusión de evidencia en un ensayo delictivo si se violan los procedimientos de los estatutos gobernantes. Aunque el Título III incluyen una regla del exclusionary para la interceptación de alambre y communication,xxxvii del oral ninguna regla comparable es incluido para la interceptación de Demandados de communication.xxxviii electrónicos en los ensayos delictivos puede mover para suprimir la comunicación electrónica en la tierra que ellos estaban sujeto a una búsqueda irrazonable o cogida dentro del significado del Cuarto Amendment,xxxix pero no puede confiar en cualquier violación procesal del propio estatuto la Nota, sin embargo, que la disponibilidad de una regla del exclusionary no ofrece protección directa para aquéllos no sospechados de delincuente o la actividad de inteligencia extranjera que pueden ser cogidos dentro del tejido de vigilancia.
3.3.1.4 REQUISITO INFORMANDO
El congreso también ejerce el mando el informando imponiendo los requisitos. Bajo 18 U.S.C. § 2519, el juez dirigiendo de electrónico intercepta consiguiente Titular III deben informar a la Oficina Administrativa de los Estados Unidos el hecho y tipo de intercepte orden pedido y concedió o negó. Es más, el Abogado General debe informar la misma información independientemente en el agregado cada año a la Oficina Administrativa. Bajo los comestibleses de trampa de pluma, el Abogado General informará anualmente al Congreso en el número de registro de la pluma pide y la trampa y dispositivos del rastro solicitaron cada year.xl Bajo FISA, el Abogado General debe transmitir a la Oficina Administrativa cada año un informe del número total de aplicaciones constituido los órdenes y extensión de órdenes y los números totales de cosas así pide y extensiones el Congreso de granted.x1i también ha requerido al Abogado General informar a los comités del congreso, en una base semestral, la magnitud de sus actividades de vigilancia electrónicas bajo FISA. Estos requisitos informando extensos permiten más información al Congreso con que para evaluar la eficacia de los sistemas de vigilancia. Aunque en menor grado que las sanciones delictivas y civiles discutieron sobre, los comestibleses informando agregan un poco de disuasión para dirigir mal.
La conducta del FBI de vigilancia electrónica no es desenfrenada. Cortes y " ejercicio del Congreso la responsabilidad de vigilancia significante, disminuyendo la posibilidad que oficiales de entrada en vigor de ley usarán el Carnívoro de una manera desautorizado o descuidada.
3.3.2 CHEQUES INTERIORES
Además de los cheques externos, el FBI se tiene puesto muchos cheques en la conducta de vigilancia electrónica. Estos cheques interiores minimizan la oportunidad más allá para el abuso.
3.3.2.1 LA NECESIDAD PARA LA APROBACIÓN DE LOS SUPERIORES
Sólo ciertos abogados autorizados de los Estados Unidos pueden aprobar una demanda para un Artículo que III interceptan, mientras asegurando una medida de escrutinio interior y deliberación. Con respecto al communication,xlii electrónico sólo el Abogado General, Diputado Abogado Abogado General General, Asociado, cualquier Abogado General Auxiliar, o algunos que especialmente otros designaron por el Abogado General pueden autorizar la aplicación para un intercept.xliii electrónico con respecto a FISA, sólo el Abogado General puede autorizar el intercepte. Esto centralizó la autoridad les impide a los oficiales de entrada en vigor de ley ampliamente dispersados hacer el intercepte la decisión en su propio volition.xliv
3.3.2.2 ENTRENAMIENTO Y LA SEPARACIÓN ESTRUCTURAL DE AGENTES DEL CASO DE LOS AGENTES TÉCNICOS
No puede dirigirse la vigilancia electrónica bajo los procedimientos de FBI sin el envolvimiento de Consejeros Técnicos (TAs), TTAs, y la Sección de Tecnología de Vigilancia Electrónica (ESTS) de la División del Laboratorio.
Se asignan TAs y TTAs para presentar las oficinas. El TA es que un TTA asignó al Agente Especial en el Cargo de una oficina del campo aconsejar en todos los aspectos de vigilancia electrónica. "El TA debe ser involucrado activamente en todas las decisiones de dirección de oficina acerca de la aplicación de técnicas investigadoras técnicas. "el x1v El TA supervisa la conducta del TTAs.
TTAs son los investigadores del agente experimentados con un mínimo de dos experiencia de los años que ha aplicado y ha seleccionado para TTA que entrena y certificación. Candidatos de TTA completan un año de en-el-trabajo que entrena bajo la vigilancia del TA, siguió por el entrenamiento formal al FBI está Diseñando la Facilidad de la Investigación en la electrónica básica, computadora y tecnología de la gestión de redes, la arquitectura básica de redes del teléfono, interruptor-basado intercepta, y el datos intercepta. Candidatos deben pasar todos los exámenes y los problemas prácticos después de que ellos se asignan como TTAs a un campo office.xlvi para mantener su certificación ser designado un TTA, TTAs debe gastar 20 por ciento de su tiempo por lo menos en las materias de apoyo investigadoras técnicas y debe asistir al entrenamiento del en-servicio técnico. TTAs nunca puede usarse como supervisar a agentes de intercepts.xlvii corte-pedido
"El equipo todo técnico en la oficina del campo está bajo el cuidado, custodia y mando del TA. "xlviii "que sólo pueden enviarse los equipos Técnicos de la Oficina principal de FBI al TA. Nunca se envía el equipo técnico a Agentes Especiales que no son TTAs.xlix El TA mantiene un sistema del mando para la responsabilidad de equipo. Ninguna parte o función de cualquier equipo pueden alterarse sin la oficina principal de FBI específica authorization.1
El TTA es responsable para asegurar esa autoridad apropiada se ha obtenido para el equipo técnico use y por mantener un archivo que contiene la autoridad documentada (los órdenes judiciales, BOLSA, o la aprobación de supervisión). TTAs no puede permitir el uso de equipo técnico hasta el tal orden de la corte u otra autoridad se ha visto u oralmente se ha verificado del personal de supervisión. La tal comprobación oral debe documentarse y debe mantenerse para abreviar en el archivo con el orders.li judicial, el entrenamiento y " separación de personal en el caso y las agrupaciones técnicas minimizan la oportunidad que el poder del Carnívoro se abusará.
3.3.2.3 DISCIPLINA INTERIOR
Finalmente, agentes de entrada en vigor de ley a veces enfrentan la disciplina dentro de sus agencias para las búsquedas arbitrarias o excesivas. Muchos presentan que las oficinas han establecido los mecanismos interiores para vigilar conducta de agentes del caso. Las oficinas pueden reconocer que ese búsquedas del ilegal pueden ser contraproducentes y pueden arriesgarse la reputación de la agencia en el ojo público. Además, FBI los mayores oficiales de la oficina principal de FBI inspeccionan las prácticas de cada oficina del campo periódicamente. Las tales inspecciones normalmente enfocan en las prácticas y procedimientos usados en la vigilancia electrónica.

3.4 SYSTEM ARCHITECTURE

The Carnivore system architecture comprises: (1) a one-way tap into an Ethernet data steam; (2) a general purpose computer to filter and collect data; (3) additional general purpose computers to control the collection and examine the data; (4) a telephone link to the collection computer; and (5) DragonWare software written by the FBI. DragonWare includes Carnivore software to filter and record IP packets and Packeteer and CoolMiner, two additional programs that reconstruct e-mail and other Internet traffic from the collected packets.

3.4.1 THE ETHERNET TAP

Carnivore is connected to a 10Base-T Ethernet using a Century Tap made by Shoniti System. In. a typical installation (see Figure 3- 1), an existing line is disconnected from a hub or switch and plugged into port A of the tap. A new line is run from port B to the hub/switch. The tap passes the traffic along the line from A to B and from B to A as if it were a standard cable. At the same time, it takes a copy of the transmit data in each direction and feeds it to ports 1 and 2.

.3.4 ARQUITECTURA DEL SISTEMA
La arquitectura de sistema de Carnívoro comprende: (1) una palmadita sentido único en un Ethernet datos vapor; (2) una computadora del propósito general para filtrarse y coleccionar los datos; (3) las computadoras del propósito generales adicionales para controlar la colección y examinar los datos; (4) un eslabón del teléfono a la computadora de la colección; y (5) software de DragonWare escrito por el FBI. DragonWare incluye el software del Carnívoro para filtrarse y registro los paquetes de IP y Packeteer y CoolMiner, dos programas adicionales que reconstruyen e-mail y otro tráfico de Internet de los paquetes reunido.
3.4.1 LA PALMADITA DE ETHERNET
El carnívoro se conecta a un 10Base-T Ethernet que usan una Palmadita del Siglo hizo por el Sistema de Shoniti. En. una instalación típica (vea la Figura 3 - 1), una línea existente está desconectada de un cubo o interruptor y tapó en el puerto UN de la palmadita. Una nueva línea se corre del puerto B al hub/switch. La palmadita pasa el tráfico a lo largo de la línea de UN a B y de B a UN cuando si fuera un cable normal. Al mismo tiempo, toma una copia del transmita los datos en cada dirección y alimentos él a los puertos 1 y 2.

Figure 3-1. Pinouts for Century Tap

Additional cables connect ports 1and 2 to a standard hub. The cable used to connect port 2 to the hub must either be a cross-connect cable, or connect to the uplink port of the hub. This connection ensures that both sides of the communication on the Ethernet appear at the hub, but no data can be sent from the hub. The Carnivore system is then connected to any open port on the hub. This cabling arrangement and the Shoniti tap ensure Carnivore is in a receive-only mode. The transmission lines from the Ethernet adapter are not connected to anything inside the tap. The tap has a latency of only 1 bit time at 100 Mbps, so network performance should not be affected.

The FBI technicians who install Carnivore work with ISP personnel to have Carnivore connected to the smallest bandwidth pipe possible that ensures gathering the traffic of the individual for whom the court order was obtained.

3.4.2 COMPUTERS

Carnivore employs a generic Pentium-class PC, with a generic 100 Mbps Ethernet adapter. The adapter is set to promiscuous mode and acquires all the traffic that comes across the network to which it is connected via a read-only tap. As each packet is acquired, Carnivore software tests it against filter settings selected using graphical user interface (GUI) controls. Packets that pass through the filters are saved to a removable Jazz disk. The data that do not meet the filter criteria are discarded without being saved to any disk.

Jazz drive is located behind a key-lockable panel on the Carnivore box. While this panel is not tamperproof, it does provide a degree of control over who can remove the Jazz disk from the computer. Only FBI personnel have the keys to the lock. When the Jazz disk is removed, it is placed in a container that is sealed and then taken to the judge that granted the court order permitting the collection.

There is no time synchronization among Carnivore computers. All time stamps are based on the local system clock. Coordination of times relies on the various system clocks having been synchronized prior to the start of collection and operating correctly during collection.

3.4.3 TELEPHONE LINK

The collection computer is installed without a keyboard or monitor and, in operational use, Carnivore might not be physically accessible to case agents. However, each Carnivore computer is equipped with an off-the-shelf 56-kbps modem allowing it to communicate via a standard analog telephone link.

Once Carnivore has been installed at the ISP, it is normally controlled remotely. The Carnivore collection computer modem is connected to a dedicated analog voice line installed especially for the Carnivore deployment. It does not use one of the modems from the ISP's modem pool, nor is it controllable via the Internet. PCAnywhere, a standard commercial product from Symantec Inc., is installed on the collection computer to allow the additional computers to control the collection computer via the telephone link. PCAnywhere is run as a service. If the collection computer loses power and reboots when power is restored, PCAnywhere will start automatically; the FBI does not need to visit the ISP, nor do ISP personnel have to access Carnivore. PCAnywhere is set up to use PCAnywhere Identification and Authentication, with each person using the collection computer having a separate ID and password. PCAnywhere is also set to use symmetric encryption to protect the data transfer. The host PCAnywhere software is set to start all connections with the screen locked.

The telephone line is protected by an electronic key; only a computer with a matching key can connect. The keys are COTS Challenger Security Products (CSP) from Computer Peripheral Systems, Inc., which have demonstrated capability to protect the link from sustained attempts at penetration. IITRI contacted Challenger to determine how many possible combinations of Lock and Key were possible. Challenger replied that the CSP is a random number generator that expands the base system code, which is different 'in each secure system. This code, along with other variables, changes with each call. The result is about one billion possible combinations. Each time a CSP lock is called, it issues a different challenge. The corresponding key is expected to accept the challenge and, through one of its many algorithms, use the modified base code and other variables to reply properly. A case agent controlling the Carnivore collection computer from an external computer must know the correct telephone number and have an appropriately- keyed CSP device, PCAnywhere software, a valid user name and password, and the Administrator password for the Carnivore collection box. Once connected, the agent can use Carnivore as if the agent were physically at the Carnivore collection box; starting or stopping collection and downloading collected data. An additional password is required to access the advanced setup features and change the filter settings. Data are downloaded by using the file transfer features of PCAnywhere. Files can also be uploaded to the collection computer using the same features, though there is no operational reason to do so.

3.4.4 CARNIVORE SOFTWARE PROGRAM

Carnivore is the name of the software program running on the collection computer that filters and records IP packets. When the collection computer is started, it automatically logs in as the Administrator. The Carnivore program is in the start-up group for the Administrator, so it also starts automatically. If the Carnivore program was collecting when the system was last shut down, it will begin collecting again automatically. This automatic reboot feature was set up so that data lost because of a power failure would be held to a minimum.

Carnivore has two levels of functionality: a main screen and an advanced screen. When the program is started, the agent sees the main screen (Figure 3-2) with four functions implemented via button selections. One set of buttons starts and stops collection. Another toggles the collection details display. A third forces collection to start using a new file, making the current file available for downloading. The fourth is used to access the advanced screen (filter settings). The program has a separate password for accessing the filter settings. A case agent, can access the collection device via remote dial-in to start and stop collection, cause the collection to start into a new file, and download the collected data. However, that agent does not need to know the password that allows the filter settings to be changed.

.Figure 3-1. Pinouts para la Palmadita del Siglo

Los cables adicionales conectan pone a babor 1and 2 a un cubo normal. El cable o conectaba puerto 2 al cubo debe ser un cruz-conecte el cable, o conecte al puerto del uplink del cubo. Esta conexión asegura que ambos lados de la comunicación en el Ethernet aparecen al cubo, pero ningún datos puede enviarse del cubo. El sistema del Carnívoro se conecta entonces a cualquier puerto abierto en el cubo. Esto cablegrafiando arreglo y el Shoniti taladran asegure el Carnívoro está en un modo recibir-único. La transmisión linea del adaptador de Ethernet no se conecta a nada dentro de la palmadita. La palmadita tiene una latencia de sólo 1 tiempo del pedazo a 100 Mbps, para que la actuación de la red no debe afectarse.
Los técnicos de FBI que instalan el trabajo del Carnívoro con el personal de ISP tener el Carnívoro conectados al bandwidth más pequeño conducen por tuberías posible que eso asegura la recolección el tráfico del individuo para quien el orden judicial fue obtenido.
3.4.2 COMPUTADORAS
El carnívoro emplea un Pentium-clase genérico PC, con un 100 Mbps genéricos el adaptador de Ethernet. El adaptador se pone al modo promiscuo y adquiere todo el tráfico que se encuentra con la red a que se conecta vía un leer-sólo palmadita. Cuando cada paquete es adquirido, el software del Carnívoro lo prueba contra las escenas del filtro seleccionó usando la interface del usuario gráfica (GUI) los mandos. Se ahorran paquetes que atraviesan los filtros a un disco del Jazz trasladable. Se desechan los datos que no se encuentran el criterio del filtro a menos que ahorrándose a cualquier disco.
El paseo del jazz se localiza detrás de un importante-lockable el tablero en la caja del Carnívoro. Mientras este tablero no es ningún tamperproof, proporciona un grado de mando encima de quién puede quitar el disco del Jazz de la computadora. Sólo personal de FBI tiene las llaves a la cerradura. Cuando el disco del Jazz está alejado, se pone en un recipiente que se sella y entonces tomado al juez que concedió el orden judicial que permite la colección.
No hay ninguna sincronización de tiempo entre las computadoras del Carnívoro. Todas las estampas de tiempo son basado en el reloj del sistema local. La coordinación de tiempos confía en los varios relojes del sistema se habido sincronizado anterior a la salida de colección y operando correctamente durante la colección.
3.4.3 ESLABÓN DEL TELÉFONO
La computadora de la colección se instala sin un teclado o amonestador y, en el uso operacional, el Carnívoro no podría ser físicamente accesible embalar a agentes. Sin embargo, cada computadora del Carnívoro está provista con un fuera de-el-estante 56-kbps módem que le permite comunicar vía un eslabón del teléfono analógico normal.
Una vez el Carnívoro se ha instalado al ISP, normalmente se controla remotamente. El Carnívoro colección computadora módem se conecta a una línea de la voz analógica especializada instalada sobre todo para el despliegue del Carnívoro. No usa uno de los módemes de la piscina del módem del ISP, ni es él controlable vía el Internet. PCAnywhere, un producto comercial normal de Symantec Inc., se instala en la computadora de la colección para permitirles a las computadoras adicionales controlar a la computadora de la colección vía el eslabón del teléfono. PCAnywhere se corre como un servicio. Si la computadora de la colección pierde poder y reboots que cuando el poder se restaura, PCAnywhere empezará automáticamente; el FBI no necesita visitar el ISP, ni hace el personal de ISP tiene que acceder el Carnívoro. PCAnywhere es fijo a usar Identificación de PCAnywhere y Autenticación, con cada persona que usa a la computadora de la colección que tiene un ID separado y contraseña. PCAnywhere también se pone para usar el encryption simétrico para proteger el traslado de los datos. El organizador que el software de PCAnywhere se pone para empezar todas las conexiones con la pantalla cerró con llave.
La línea telefónica es protegido por una llave electrónica; sólo una computadora con una llave emparejando puede conectar. Las llaves son los SITIOS PARA ANIMALES DOMÉSTICOS Desafiador Seguridad Productos (CSP) de la Computadora los Sistemas Periféricos, Inc., qué ha demostrado la capacidad para proteger el eslabón de los esfuerzos sostenidos a la penetración. IITRI avisó al Desafiador para determinar cuántas posibles combinaciones de Cerradura y Llave eran posibles. El desafiador contestó que el CSP es un generador de número de azar que extiende el código del sistema bajo que es diferente ' en cada sistema seguro. Este código, junto con otras variables, los cambios con cada llamada. El resultado es aproximadamente una mil millones posibles combinaciones. Cada tiempo que una cerradura de CSP se llama emite un desafío diferente. Se espera que la llave correspondiente acepte el desafío y, a través de uno de su muchos algoritmos, use el código bajo modificado y otras variables para contestar propiamente. Un agente del caso que controla a la computadora de colección de Carnívoro de una computadora externa debe saber el número del teléfono correcto y debe tener un apropiadamente - codificó dispositivo de CSP, software de PCAnywhere, un nombre del usuario válido y contraseña, y la contraseña del Administrador para la caja de colección de Carnívoro. Una vez conectado, el agente puede usar el Carnívoro como si el agente estaba físicamente en la caja de colección de Carnívoro; empezando o deteniendo la colección y transmitiendo los datos reunido. Una contraseña adicional se exige acceder el arreglo avanzado ofrece y cambia las escenas del filtro. Los datos son transmitidos usando los rasgos de traslado de archivo de PCAnywhere. Los archivos también pueden ser los uploaded a la computadora de la colección que usa los mismos rasgos, aunque no hay ninguna razón operacional para hacer para que.
3.4.4 PROGRAMA DE SOFTWARE DE CARNÍVORO
El carnívoro es el nombre del programa del software que corre en la computadora de la colección que se filtra y graba los paquetes de IP. Cuando la computadora de la colección se empieza, anota automáticamente en como el Administrador. El programa del Carnívoro está en el grupo salida-despierto para el Administrador, para que también empieza automáticamente. Si el programa del Carnívoro estuviera coleccionando que cuando el sistema estaba abajo en último lugar cerrado, empezará coleccionando de nuevo automáticamente. Este rasgo del reboot automático era fijo a que para que los datos perdieran debido a un fracaso de poder se sostendría a un mínimo.
El carnívoro tiene dos niveles de funcionalidad: una pantalla principal y una pantalla avanzada. Cuando el programa se empieza, el agente ve la pantalla principal (Figura 3-2) con cuatro funciones llevadas a cabo vía las selecciones del botón. Uno puso de salidas de los botones y colección de las paradas. Otro las barras traviesas la colección detalla el despliegue. Una tercera colección de fuerzas para empezar usando un nuevo archivo, haciendo el archivo actual disponible para transmitir. El cuarto se usa para acceder la pantalla avanzada (las escenas del filtro). El programa tiene una contraseña separada por acceder las escenas del filtro. Agente del caso, puede acceder el dispositivo de la colección vía remoto dial-en empezar y detener la colección, cause la colección para empezar en un nuevo archivo, y transmita los datos reunido. Sin embargo, ese agente no necesita saber la contraseña que permite cambiar las escenas del filtro.


Figure 3-2. Carnivore Main Screen

IITRI discovered that the password to the advanced screen is compiled into the source code. Apparently, a password is selected and implemented for each Carnivore deployment. There is no mechanism in Carnivore software to change the password. However, IITRI was able to use a Hex Editor to find and change the current advanced password.
.Figure 3-2. El carnívoro la Pantalla Principal

IITRI descubrió que la contraseña a la pantalla avanzada se compila en el código de la fuente. Al parecer, una contraseña se selecciona y llevó a cabo para cada despliegue del Carnívoro. No hay ningún mecanismo en el software del Carnívoro cambiar la contraseña. Sin embargo, IITRI pudo usar a un Editor del Hechizo para encontrar y cambiar la contraseña avanzada actual.


Figure 3-3. Carnivore Advanced Menu

The Carnivore advanced menu (Figure 3-3) allows a precise description of the parameters of the data to be collected. Packets can be filtered on IP address, protocol, text strings, port, and e-mail address. IP address filtering can be based on either fixed or dynamically- assigned addresses. If IP filtering is not turned on, all packets that pass the other filters are collected regardless of what IP address those packets may have. The advanced menu also allows the operator to save and recall filter settings, to specify the location of the output files, and specify the maximum file size of each output file.

3.4.4.1 FILTERING

3.4.4.1.1 FIXED IP FILTERING

The simplest form of collection is one based on a fixed IP address. If the subject is using a computer that has a fixed IP address, [REDACTED: clause relating to operational methods XXXXXXXXXXXXXXXXXXXXX][in original], this feature can be used. On the advanced menu screen, the agent inputs the IP address, or a range of IP addresses, to be collected. There is no limit to this range; a range of 0.0.0.0 through 255.255.255.255 will be accepted by the program, but this range is the same as not selecting any IP filtering. In actual practice, the agent would select only what is specified by the court order. All packets that pass the P address filter are kept for further processing. Other filters, as described below, may cause the packet to be discarded before writing to the disk.

3.4.4.1.2 DYNAMIC IP FILTERING

Where fixed IP collection is not possible, Carnivore supports collection of dynamically-allocated IP addresses that are made via either RADIUS or DHCP. For DHCP, the Media Access Control (MAC) address of the machine to be collected must be input, and for RADIUS, the user name must be input. A range of valid IP addresses must also be specified for RADIUS. The menu screen allows inputting a starting IP address, which would be used if the target subject was already logged on when collection is started. This starting IP address is required because the protocol that sets the IP address (either DHCP or RADIUS) is only used once at the start of the session. Carnivore would be unable to collect anything until the next DHCP or RADIUS exchange. If the current IP address of the target cannot be determined, this extra selection allows collection to start immediately. However, although this feature is on the menu screen, it is not supported by the underlying code. It does not matter what values are entered into this field; it is ignored. Dynamic IP filtering does not start until after the first DHCP or RADIUS protocol packets for the input MAC address are read.

3.4.4.1.3 PROTOCOL FILTERING

There are settings to select which protocols to collect. The three options are TCP, UDP, and ICMP. Each cf these can be set to full, pen, or none. The full setting collects all packets for the specified IP addresses (see paragraphs 3.4.1.1 and 3.4.1.2) that use the protocol. The pen mode setting only collects address information appropriate for the protocol, e.g., FROM and TO fields of SMTP e-mail or IP address for FTP and HTTP traffic). If address-only information is not available within a given protocol, no packets are collected. In addition to the addresses, Carnivore collects the packets associated with the collected communications, but replaces the actual data with Xs. This data replacement allows CoolMiner to report byte counts for the TCP sessions, even in pen mode. In addition, if the Carnivore raw output is examined using a hexadecimal editor, the byte counts for various fields of a protocol (such as Subject) can be determined. If none is selected, no packets for that protocol are collected. The default setting for each of these protocols is none.

3.4.4.1.4 TEXT FILTERING

Carnivore can be set to check for specific text strings. For example, a setting could be made to collect all TCP packets from a specific IP address that contains the text string "FBI". There is also an option to collect the entire TCP transmission for any packet that contains the given text string. This collection of packets starts with the packet that contains the string and continues for the remainder of that TCP session until the end, whether or not the text string is in each packet. Every packet is checked and then either saved or discarded before checking the next packet. If the search word appears in the next to last packet of a TCP transmission, only the last two packets are collected when this feature is used. Carnivore cannot go back and retrieve the packets that were examined and discarded earlier.

Text filtering capability allows the FBI to capture Internet e-mail such as Hotmail. For example, Carnivore can be set to filter HTTP packets looking for the string "&login=username" where username represents the target of the court order.

3.4.4.1.5 PORT FILTERING

For TCP or UDP filtering, any or all ports can be selected. If only ports 25 (SMTP), 80 (HTTP), and 110 (POP3) are of interest, only those three need be selected. Ports can be selected using a pull-down menu or by typing in the port number or range of port numbers. It is possible to select all ports.

3.4.4.1.6 E-MAIL ADDRESS FILTERING

Carnivore can filter SMTP or POP3 traffic based upon the e-mail address. The proper mode must be selected and the email address to be collected must be entered. If SMTP or POP3 ports are selected (see paragraph 3.4.4.1.5) and no e-mail address is selected, Carnivore collects all packets for those ports.

3.4.4.2 FILTER PRECEDENCE

While it might be intuitive to drink that all of the filters are joined by a Boolean AND, they are not. The following describes the interaction of the various filters:

*

Fixed IP, DHCP, and RADIUS all work in parallel. Packets that have IP addresses, as selected by any of those three filters, are held for further processing. These packets might eventually be discarded by another filter.

*

If fixed IP is chosen along with SMTP or POP collection for a specific e-mail address or POP user, Carnivore collects only packets for that email address or POP user that also have the chosen IP address.

*

If RADIUS or DHCP is chosen along with SMTP or POP collection for a specific e-mail address or POP user, Carnivore first checks for the RADIUS or DHCP protocols to determine the IP address. Nothing is collected prior to the IP address being determined. Once determined, Carnivore collects only packets for that e-mail address or POP user that also have the chosen IP address.

*

If SMTP or POP collection is specified without providing an IP address (either fixed or dynamic), all e-mail messages that match the user names specified are collected regardless of IP address.

*

The text string search is a Boolean AND function with all other filters, except for SMTP and POP. The text string match is ignored if SMTP or POP collection is chosen for a specific e-mail address or user.

3.4.4.3 OUTPUT DIRECTORY AND ARCHIVE FILE SIZE

All packets that have passed all the filters are saved to a file. This file is typically stored on a 2-Gbyte Jazz disk. However, there is nothing in the program to prevent collection from being stored on the hard drive. The storage location is a selection made at setup time and is any valid path name for Windows NT. Three files are stored. One is a ".vor" file that contains the actual collected data, along with a short header. Another is a ".output" file that contains a human readable version of the settings used to collect that data in the corresponding ".vor" file. The third is a ".error" file and contains any error messages that may be generated during the collection session.

File names contain the date and time that collection was started, as determined by the system time. The ".vor" files may also have an extension if more than one file was used for collection.

Data is buffered prior to output. Carnivore writes the data to the output buffer, which is flushed to disk when the block size appropriate for the media selected has been reached, when the "next file" button is clicked, or when collection has been stopped. The block size for collection to fixed media is 128 kbytes and for removable media is 64 kbytes.

As a part of the settings, a maximum file size for the collected data can be chosen. When this limit is reached, the collected data file is closed, and a new file is created. This feature is useful for downloading the data (see paragraph 3.4.3) in smaller increments. The input value for the maximum file size must be an integer. If a floating-point number is entered, only the integer part is used. If zero (or a decimal number less than 1) is chosen, then there is no maximum files size (other than what the physical media can hold).

3.4.4.4 ANALYSIS SOFTWARE

DragonWare includes two programs for analysis of packets obtained from Carnivore. These programs are called Packeteer and CoolMiner. The Packeteer program takes the collection of IP packets in ".vor" files, reconstructs the TCP session, and creates a series of files that can be viewed with CoolMiner. The CoolMiner program is used by the case agent to further select which data to view. For example, CoolMiner can be set to show only certain types of packets (e.g., HTTP). The purpose of this setting is not to limit collection, but to make it easier to view, analyze, and minimize the collected data. The agent first might want to look at the HTTP traffic and then later look at the e-mail traffic. By using CoolMiner, the agent does not have to look at everything at one time.

IITRI used Packeteer and CoolMiner to simplify the testing procedures. Although these programs are outside the scope of the evaluation, IITRI did verify their operation by examining the input and output files with a hexidecimal editor. IITRI discovered software bugs in both programs that caused them to fail to display correctly some of the data collected by Carnivore. When notified about the bugs, the FBI corrected some of them. Other bugs are still under investigation as of the date of this report.

3.4.4.5 THROUGHPUT

IITRI attempted to determine the throughput capacity of Carnivore both experimentally and analytically. Experimental attempts failed to drive sufficient traffic across the local area network to make Carnivore drop packets; traffic never reached the point where packets were dropped. From IITRI's analysis and discussion with the FBI, it was determined the true throughput limitation is based on output to the recording device. Limits are discussed in paragraph 4.2.8.

3.5 SOFTWARE ARCHITECTURE

The Carnivore software consists of four components

1. TapNDIS driver (written in C) derived from sample source code provided with Win32 Network Driver Interface Specification (NDIS) Framework (WinDis 32), a product of Printing Communications Associates, Inc. (PCAUSA, http://www.pcausa.com/) The license for WinDis 32 prevents the FBI from releasing the source code for this driver, and possibly for TapAPI.dll, to the public. The relevant portions of the WinDis 32 license are shown in Appendix D.

2. TapAPI.dll (written in C++) provides the API for accessing the NDIS driver functionality from other applications.

3. Carnivore.dll (written in C++) provides functionality for controlling the intercept of raw data.

4. Carnivore.exe (written in Visual Basic) is the GUI for Carnivore.

3.5.1 TAPNDIS DRIVER

TapNDIS is a kernel-mode driver that captures the Ethernet packets as they are received, applies some filtering to the packet, and copies the packet to a shared memory buffer if the conditions of the filter are satisfied. The contents of the shared memory buffer are available to the Carnivore application through calling TAPgetFrames (entry point to TapAPI.dll). Writing selected packets to a data file is also handled through the driver.

The source code for TapNDIS is contained in 13 files totaling 10,322 noncomment lines of code (13,162 total lines). Nine of the source files, or approximately 40 percent of the code, were apparently borrowed intact, or with only minor changes, from WinDis 32 sample programs as they contain comment blocks asserting PCAUSA's copyright. Only five of these files have comments indicating where minor changes were made for Carnivore. Two small files were generated by Microsoft Developer Studio according to the comment block at the beginning of each file. The remaining two files (tapndis.c and tapndis.h) do not contain any comments to indicate whether they are mostly original code or were borrowed from WinDis 32 sample programs. These files contain all of the logic for the driver-level filters and for writing data to a file. IITRI assumed, therefore, they are the core of the Carnivore implementation. It appears from the contents of tapndis.h that FBI developers intend to move all filtering for Carnivore to TapNDIS, but only the first stages have been implemented in version 1.3.4.

Outline of filtering algorithm

1. If filtering is suspended then ignore the packet

2. If all packets are requested then intercept the packet

3. For 802.3 Ethernet, if the protocol matches a requested protocol, then intercept the packet

4. For Version 2 Ethernet, filter on the following items as requested, in the given order, rejecting immediately on the first failure: protocol, source, and destination Ethernet addresses, protocol within protocol (UDP, TCP, ICMP, etc.) and, for IPV4, source and destination IP addresses; combined IP address and port; combined Ethernet address and port; combined Ethernet address and protocol; and text string search with wildcard.

IITRI discovered that TapAPI calls for steps 1 and 2 are never made from Carnivore.dll. The implication is Carnivore is not intended to: (1) collect all packets or (2) suspend packet collection (e.g., because buffers are full versus stop collection).

Primary packet filtering is confined to a single function. If the packet satisfies the filtering criteria, a function is called to copy the packet to the shared memory buffer. If there is enough room in the buffer, copying succeeds and the status count is incremented by the length of the packet. Otherwise, status counts for frames overflowed and frames missed are both incremented by one. The count of frames missed is requested by Carnivore.dll and reported as packets lost. If the data rate were sufficiently high, it is likely that the driver could miss packets without detecting the miss. Appendix D provides descriptions of the primary TapNDIS functions.

3.5.2 TAPAPI DRIVER

The TapAPI driver provides the API for accessing the functionality of the driver TapNDIS. The source code for TapAPI is contained in six files totaling 4,120 noncomment lines of code (6,889 total lines). TapAPI provides 45 entry points callable from Carnivore.dll. In Carnivore version 1.3.4, only 22 are used to

*

Connect to the driver for packet collection or terminate collection

*

Open or close an output file to which raw data will be written

*

Set packet filters

*

Retrieve packet data and write it to the output file

*

Stop and reset collection, including functions to halt collection when a dynamic IP address is no longer valid

*

Request status or retrieve error messages

Appendix D provides complete descriptions of the API entry points.

3.5.3 CARNIVORE.DLL

This DLL controls the collection of data by Carnivore in response to a parameter file established by the user interface and commands from the user interface. Nine entry points are provided; 13 classes are used internally. The source code is contained in 41 files totaling 6,278 noncomment lines of code (9,954 total lines). Two of the source code files (mediaSupport.cpp and mediaSupport.h) contain code that is Iomega proprietary, preventing them from being made public. Entry points and classes are defined in Appendix D.

Once started, Carnivore runs an infinite loop. The following algorithm is performed each time through the loop:

1. If collection is not running, do nothing.

2. If shared memory buffer overflow in the TapNDIS driver has been detected and filtering is on for DHCP or RADIUS, reset the filters, flush the buffer, and redownload the filters to the driver to restart collection. Regardless of DHCP or RADIUS filtering, reset the memory buffer overflow flag. (At this point, the program does not call the driver interface to check for an overflow. Instead, it is using a flag that is set by the function GetStatus, which is called by the GUI on a timer running at intervals of approximately 0.25 seconds. This timing interval does leave a small window for problems to occur if Carnivore processes packets between the time the buffer overflows and GetStatus is called and the program never detects the buffer overflow. The only indication that this overflow might have happened would be if the value of nPktsLostUser was nonzero and there were no messages in the output.txt file about the buffer being filled.)

3. If media full has not been detected, attempt to retrieve and process packets. (Again, the program is checking for media full based on a flag set by the function GetStatus.) Apply the remaining filter criteria (not handled by the TapNDIS driver) to each packet. If the packet is rejected by a filter, it is discarded. Otherwise, if Carnivore is being used in pen mode, the packet is truncated as specified in Table 3-1. Then the packet (or truncated packet in pen mode) is passed back to the TapNDIS driver (via a call to TAPputData) to be written to the output file. The remaining filter criteria are applied in the following order:

i. RADIUS

ii. DHCP

iii. SMTP

iv. POP3

v. Telnet

vi. FTP

vii. Text (includes TCP, UDP, and ICMP)

Table 3-1. Pen Mode Packet Information

.Figure 3-3. Carnivore Advanced Menu

The Carnivore advanced menu (Figure 3-3) allows a precise description of the parameters of the data to be collected. Packets can be filtered on IP address, protocol, text strings, port, and e-mail address. IP address filtering can be based on either fixed or dynamically- assigned addresses. If IP filtering is not turned on, all packets that pass the other filters are collected regardless of what IP address those packets may have. The advanced menu also allows the operator to save and recall filter settings, to specify the location of the output files, and specify the maximum file size of each output file.
3.4.4.1 FILTERING
3.4.4.1.1 FIXED IP FILTERING
The simplest form of collection is one based on a fixed IP address. If the subject is using a computer that has a fixed IP address, [REDACTED: clause relating to operational methods XXXXXXXXXXXXXXXXXXXXX][in original], this feature can be used. On the advanced menu screen, the agent inputs the IP address, or a range of IP addresses, to be collected. There is no limit to this range; a range of 0.0.0.0 through 255.255.255.255 will be accepted by the program, but this range is the same as not selecting any IP filtering. In actual practice, the agent would select only what is specified by the court order. All packets that pass the P address filter are kept for further processing. Other filters, as described below, may cause the packet to be discarded before writing to the disk.
3.4.4.1.2 DYNAMIC IP FILTERING
Where fixed IP collection is not possible, Carnivore supports collection of dynamically-allocated IP addresses that are made via either RADIUS or DHCP. For DHCP, the Media Access Control (MAC) address of the machine to be collected must be input, and for RADIUS, the user name must be input. A range of valid IP addresses must also be specified for RADIUS. The menu screen allows inputting a starting IP address, which would be used if the target subject was already logged on when collection is started. This starting IP address is required because the protocol that sets the IP address (either DHCP or RADIUS) is only used once at the start of the session. Carnivore would be unable to collect anything until the next DHCP or RADIUS exchange. If the current IP address of the target cannot be determined, this extra selection allows collection to start immediately. However, although this feature is on the menu screen, it is not supported by the underlying code. It does not matter what values are entered into this field; it is ignored. Dynamic IP filtering does not start until after the first DHCP or RADIUS protocol packets for the input MAC address are read.
3.4.4.1.3 PROTOCOL FILTERING
There are settings to select which protocols to collect. The three options are TCP, UDP, and ICMP. Each cf these can be set to full, pen, or none. The full setting collects all packets for the specified IP addresses (see paragraphs 3.4.1.1 and 3.4.1.2) that use the protocol. The pen mode setting only collects address information appropriate for the protocol, e.g., FROM and TO fields of SMTP e-mail or IP address for FTP and HTTP traffic). If address-only information is not available within a given protocol, no packets are collected. In addition to the addresses, Carnivore collects the packets associated with the collected communications, but replaces the actual data with Xs. This data replacement allows CoolMiner to report byte counts for the TCP sessions, even in pen mode. In addition, if the Carnivore raw output is examined using a hexadecimal editor, the byte counts for various fields of a protocol (such as Subject) can be determined. If none is selected, no packets for that protocol are collected. The default setting for each of these protocols is none.
3.4.4.1.4 TEXT FILTERING
Carnivore can be set to check for specific text strings. For example, a setting could be made to collect all TCP packets from a specific IP address that contains the text string "FBI". There is also an option to collect the entire TCP transmission for any packet that contains the given text string. This collection of packets starts with the packet that contains the string and continues for the remainder of that TCP session until the end, whether or not the text string is in each packet. Every packet is checked and then either saved or discarded before checking the next packet. If the search word appears in the next to last packet of a TCP transmission, only the last two packets are collected when this feature is used. Carnivore cannot go back and retrieve the packets that were examined and discarded earlier.
Text filtering capability allows the FBI to capture Internet e-mail such as Hotmail. For example, Carnivore can be set to filter HTTP packets looking for the string "&login=username" where username represents the target of the court order.
3.4.4.1.5 PORT FILTERING
For TCP or UDP filtering, any or all ports can be selected. If only ports 25 (SMTP), 80 (HTTP), and 110 (POP3) are of interest, only those three need be selected. Ports can be selected using a pull-down menu or by typing in the port number or range of port numbers. It is possible to select all ports.
3.4.4.1.6 E-MAIL ADDRESS FILTERING
Carnivore can filter SMTP or POP3 traffic based upon the e-mail address. The proper mode must be selected and the email address to be collected must be entered. If SMTP or POP3 ports are selected (see paragraph 3.4.4.1.5) and no e-mail address is selected, Carnivore collects all packets for those ports.
3.4.4.2 FILTER PRECEDENCE
While it might be intuitive to drink that all of the filters are joined by a Boolean AND, they are not. The following describes the interaction of the various filters:

Fixed IP, DHCP, and RADIUS all work in parallel. Packets that have IP addresses, as selected by any of those three filters, are held for further processing. These packets might eventually be discarded by another filter.
If fixed IP is chosen along with SMTP or POP collection for a specific e-mail address or POP user, Carnivore collects only packets for that email address or POP user that also have the chosen IP address.
If RADIUS or DHCP is chosen along with SMTP or POP collection for a specific e-mail address or POP user, Carnivore first checks for the RADIUS or DHCP protocols to determine the IP address. Nothing is collected prior to the IP address being determined. Once determined, Carnivore collects only packets for that e-mail address or POP user that also have the chosen IP address.
If SMTP or POP collection is specified without providing an IP address (either fixed or dynamic), all e-mail messages that match the user names specified are collected regardless of IP address.
The text string search is a Boolean AND function with all other filters, except for SMTP and POP. The text string match is ignored if SMTP or POP collection is chosen for a specific e-mail address or user.
3.4.4.3 OUTPUT DIRECTORY AND ARCHIVE FILE SIZE
All packets that have passed all the filters are saved to a file. This file is typically stored on a 2-Gbyte Jazz disk. However, there is nothing in the program to prevent collection from being stored on the hard drive. The storage location is a selection made at setup time and is any valid path name for Windows NT. Three files are stored. One is a ".vor" file that contains the actual collected data, along with a short header. Another is a ".output" file that contains a human readable version of the settings used to collect that data in the corresponding ".vor" file. The third is a ".error" file and contains any error messages that may be generated during the collection session.
File names contain the date and time that collection was started, as determined by the system time. The ".vor" files may also have an extension if more than one file was used for collection.
Data is buffered prior to output. Carnivore writes the data to the output buffer, which is flushed to disk when the block size appropriate for the media selected has been reached, when the "next file" button is clicked, or when collection has been stopped. The block size for collection to fixed media is 128 kbytes and for removable media is 64 kbytes.
As a part of the settings, a maximum file size for the collected data can be chosen. When this limit is reached, the collected data file is closed, and a new file is created. This feature is useful for downloading the data (see paragraph 3.4.3) in smaller increments. The input value for the maximum file size must be an integer. If a floating-point number is entered, only the integer part is used. If zero (or a decimal number less than 1) is chosen, then there is no maximum files size (other than what the physical media can hold).
3.4.4.4 ANALYSIS SOFTWARE
DragonWare includes two programs for analysis of packets obtained from Carnivore. These programs are called Packeteer and CoolMiner. The Packeteer program takes the collection of IP packets in ".vor" files, reconstructs the TCP session, and creates a series of files that can be viewed with CoolMiner. The CoolMiner program is used by the case agent to further select which data to view. For example, CoolMiner can be set to show only certain types of packets (e.g., HTTP). The purpose of this setting is not to limit collection, but to make it easier to view, analyze, and minimize the collected data. The agent first might want to look at the HTTP traffic and then later look at the e-mail traffic. By using CoolMiner, the agent does not have to look at everything at one time.
IITRI used Packeteer and CoolMiner to simplify the testing procedures. Although these programs are outside the scope of the evaluation, IITRI did verify their operation by examining the input and output files with a hexidecimal editor. IITRI discovered software bugs in both programs that caused them to fail to display correctly some of the data collected by Carnivore. When notified about the bugs, the FBI corrected some of them. Other bugs are still under investigation as of the date of this report.
3.4.4.5 THROUGHPUT
IITRI attempted to determine the throughput capacity of Carnivore both experimentally and analytically. Experimental attempts failed to drive sufficient traffic across the local area network to make Carnivore drop packets; traffic never reached the point where packets were dropped. From IITRI's analysis and discussion with the FBI, it was determined the true throughput limitation is based on output to the recording device. Limits are discussed in paragraph 4.2.8.

3.5 SOFTWARE ARCHITECTURE
The Carnivore software consists of four components
1. TapNDIS driver (written in C) derived from sample source code provided with Win32 Network Driver Interface Specification (NDIS) Framework (WinDis 32), a product of Printing Communications Associates, Inc. (PCAUSA, http://www.pcausa.com/) The license for WinDis 32 prevents the FBI from releasing the source code for this driver, and possibly for TapAPI.dll, to the public. The relevant portions of the WinDis 32 license are shown in Appendix D.
2. TapAPI.dll (written in C++) provides the API for accessing the NDIS driver functionality from other applications.
3. Carnivore.dll (written in C++) provides functionality for controlling the intercept of raw data.
4. Carnivore.exe (written in Visual Basic) is the GUI for Carnivore.
3.5.1 TAPNDIS DRIVER
TapNDIS is a kernel-mode driver that captures the Ethernet packets as they are received, applies some filtering to the packet, and copies the packet to a shared memory buffer if the conditions of the filter are satisfied. The contents of the shared memory buffer are available to the Carnivore application through calling TAPgetFrames (entry point to TapAPI.dll). Writing selected packets to a data file is also handled through the driver.
The source code for TapNDIS is contained in 13 files totaling 10,322 noncomment lines of code (13,162 total lines). Nine of the source files, or approximately 40 percent of the code, were apparently borrowed intact, or with only minor changes, from WinDis 32 sample programs as they contain comment blocks asserting PCAUSA's copyright. Only five of these files have comments indicating where minor changes were made for Carnivore. Two small files were generated by Microsoft Developer Studio according to the comment block at the beginning of each file. The remaining two files (tapndis.c and tapndis.h) do not contain any comments to indicate whether they are mostly original code or were borrowed from WinDis 32 sample programs. These files contain all of the logic for the driver-level filters and for writing data to a file. IITRI assumed, therefore, they are the core of the Carnivore implementation. It appears from the contents of tapndis.h that FBI developers intend to move all filtering for Carnivore to TapNDIS, but only the first stages have been implemented in version 1.3.4.
Outline of filtering algorithm
1. If filtering is suspended then ignore the packet
2. If all packets are requested then intercept the packet
3. For 802.3 Ethernet, if the protocol matches a requested protocol, then intercept the packet
4. For Version 2 Ethernet, filter on the following items as requested, in the given order, rejecting immediately on the first failure: protocol, source, and destination Ethernet addresses, protocol within protocol (UDP, TCP, ICMP, etc.) and, for IPV4, source and destination IP addresses; combined IP address and port; combined Ethernet address and port; combined Ethernet address and protocol; and text string search with wildcard.
IITRI discovered that TapAPI calls for steps 1 and 2 are never made from Carnivore.dll. The implication is Carnivore is not intended to: (1) collect all packets or (2) suspend packet collection (e.g., because buffers are full versus stop collection).
Primary packet filtering is confined to a single function. If the packet satisfies the filtering criteria, a function is called to copy the packet to the shared memory buffer. If there is enough room in the buffer, copying succeeds and the status count is incremented by the length of the packet. Otherwise, status counts for frames overflowed and frames missed are both incremented by one. The count of frames missed is requested by Carnivore.dll and reported as packets lost. If the data rate were sufficiently high, it is likely that the driver could miss packets without detecting the miss. Appendix D provides descriptions of the primary TapNDIS functions.
3.5.2 TAPAPI DRIVER
The TapAPI driver provides the API for accessing the functionality of the driver TapNDIS. The source code for TapAPI is contained in six files totaling 4,120 noncomment lines of code (6,889 total lines). TapAPI provides 45 entry points callable from Carnivore.dll. In Carnivore version 1.3.4, only 22 are used to

Connect to the driver for packet collection or terminate collection
Open or close an output file to which raw data will be written
Set packet filters
Retrieve packet data and write it to the output file
Stop and reset collection, including functions to halt collection when a dynamic IP address is no longer valid
Request status or retrieve error messages
Appendix D provides complete descriptions of the API entry points.
3.5.3 CARNIVORE.DLL
This DLL controls the collection of data by Carnivore in response to a parameter file established by the user interface and commands from the user interface. Nine entry points are provided; 13 classes are used internally. The source code is contained in 41 files totaling 6,278 noncomment lines of code (9,954 total lines). Two of the source code files (mediaSupport.cpp and mediaSupport.h) contain code that is Iomega proprietary, preventing them from being made public. Entry points and classes are defined in Appendix D.
Once started, Carnivore runs an infinite loop. The following algorithm is performed each time through the loop:
1. If collection is not running, do nothing.
2. If shared memory buffer overflow in the TapNDIS driver has been detected and filtering is on for DHCP or RADIUS, reset the filters, flush the buffer, and redownload the filters to the driver to restart collection. Regardless of DHCP or RADIUS filtering, reset the memory buffer overflow flag. (At this point, the program does not call the driver interface to check for an overflow. Instead, it is using a flag that is set by the function GetStatus, which is called by the GUI on a timer running at intervals of approximately 0.25 seconds. This timing interval does leave a small window for problems to occur if Carnivore processes packets between the time the buffer overflows and GetStatus is called and the program never detects the buffer overflow. The only indication that this overflow might have happened would be if the value of nPktsLostUser was nonzero and there were no messages in the output.txt file about the buffer being filled.)
3. If media full has not been detected, attempt to retrieve and process packets. (Again, the program is checking for media full based on a flag set by the function GetStatus.) Apply the remaining filter criteria (not handled by the TapNDIS driver) to each packet. If the packet is rejected by a filter, it is discarded. Otherwise, if Carnivore is being used in pen mode, the packet is truncated as specified in Table 3-1. Then the packet (or truncated packet in pen mode) is passed back to the TapNDIS driver (via a call to TAPputData) to be written to the output file. The remaining filter criteria are applied in the following order:
i. RADIUS
ii. DHCP
iii. SMTP
iv. POP3
v. Telnet
vi. FTP
vii. Text (includes TCP, UDP, and ICMP)

Table 3-1. Pen Mode Packet Information

4. If no packets were available for processing, free some stale nodes from the processing objects and sleep for 1 ms (freeing the CPU for any queued events).

5. If either Start or Stop has been called from the GUI, handle it as described in Appendix D.

6. If NextFile has been called from the GUI, close out the current output data file and start a new file.

7. If PrepareToStop has been called from the GUI, reset the filters in the TapNDIS driver so no more packets are intercepted.

8. If Shutdown has been called from the GUI, set flag to prevent executing the loop again.

9. If collection is running and the agent has pressed the eject button on the removable drive, do the following: close out the current output data file; eject disk and wait for new disk to be available; create directory for output files and open new files (.output.txt, error.txt, and data files); write header to new data file; if DHCP or RADIUS filtering is on and shared memory buffer overflow has occurred in the TapNDIS driver (checked by call to driver interface), reset the filters, flush the buffer, and redownload the filters to the driver to restart collection; and check for available space on the removable media.

Output from Carnivore 1.3.4 is written to three files as follows:

* Raw data packets are written to one or more .vor files. In full mode, the complete contents of all packets that are not rejected by one of the filters are written to the files. Table 3-1 shows the information that is written to the files in pen mode for packets that are not rejected.

* Operational messages are written to a output.txt file. These messages include descriptions of the filters used for the collection, start and stop indicators, and information about the tracking of FTP and telnet sessions. Details about all possible messages are provided in the description of the class CLogFile in Appendix D.

* Error messages for all errors recognized by Carnivore are written to a error.txt file. Details about the possible error messages are provided in the description of the class CLogFile in Appendix D.

3.5.4 CARNIVORE.EXE

All agent interaction with Carnivore is provided through a GUI written in Visual Basic. The main form (frmMain) is used for starting and stopping collection and for displaying status information. The button labeled "Advanced..." is used to access a second form (frmAdvanced) that is used to set up the collection filters and create the user configuration file for Carnivore. There are six additional forms that are dialog boxes for various user responses. Two other forms included in the program are a splash screen displayed on startup and a full-screen solid background displayed whenever Carnivore is running. There are also 15 classes that are used in the GUI, mostly for storing filter parameters, and a module file that includes a few auxiliary functions, global variables, and declarations for all Win32 API calls used in the GUI and the exported functions from Carnivore.dll. In addition, there are four forms included in the program and nine associated classes that have all code commented out because a decision was made not to implement the features they were to provide (a scheduling capability for collections that were supposed to be limited to certain hours, some more sophisticated filters, and a real-time viewer for viewing data packets in the vor file), but they have been left 'in the program. The source directory provided to IITRI also included five form files and two class files that are not used in compiling Carnivore. One of the forms appears to be for a feature (adding case tracking information) that was dropped from the design but may be implemented in the future.

3.5.5 DEVELOPMENT PROCESS

No formal development process was followed for the development of Carnivore through version 1.3.4. The Carnivore program was a quick-reaction capability program developed to meet the needs of the FBI for operational cases. None of the existing network sniffers (such as EtherPeek) could collect the proper amount of data (only what is allowed; nothing more, nothing less). This type of development is appropriate as a "proof of concept" but it is not appropriate for operational systems. Because of this lack of development methodology, important considerations, such as accountability and audit, were missed.
3.6 LABORATORY TESTS

Carnivore was designed to collect target communication authorized by court orders. According to the FBI, not every feature that Carnivore provides has been used in real collection cases. Carnivore is a case tool, not a COTS product. To achieve the purpose of evaluating the entire capability of Carnivore, the test cases are divided into two parts:

1. Test cases one through five examine typical collection cases, i.e., the model scenarios requested in the Statement of Work (SOW).

2. Test cases six through thirteen examine the general capability of Carnivore. Features that may have not been used by the FBI 'in real collection cases, but are provided by Carnivore, are included in these test cases. The following paragraphs summarize the test cases.

Details, including screen shots of the filter set up, are provided in Appendix C. The information includes the rationale that was used when designing the test cases and the tests results. For each of the test cases that did not pass, or partially passed, an explanation of the failure is provided.

3.6.1 TEST 1 NONCONTENT E-MAIL COLLECTION

Description: Collect noncontent fields on e-mail sent to and from a target. This test is for pen mode e-mail collection on SMTP (TCP port 25), and POP3 (port 110). The target's e-mail ID is a required input to the filter for this test.

Objective: Verify that Carnivore does collect the e-mail addresses that were sent from and to a target, and does not collect any of the target's e-mail subject and content.

Expected result: Carnivore will collect only the FROM and TO addresses of the e-mail that was sent from and to a target.

Result: Carnivore did not collect any fields other than TO and FROM, but in some trials failed to collect FROM and TO information. One problem is a known weakness in Carnivore detailed in paragraph 4.2.8. IITRI also observed that in some instances, Packeteer misclassifies the POP3 messages as SMTP and this misclassification causes CoolMiner to display the wrong information. This misclassification is not a Carnivore bug.

IITRI observed that time-stamps for packets collected appeared to be incorrect possibly because of a problem with conversion from Microsoft internal date format to the standard UNIX format (used by CoolMiner), and possibly in the conversion between Greenwich Mean Time (GMT) and local time.

IITRI observed that in pen mode Carnivore replaces e-mail header information with Xs. When the data are viewed in CoolMiner it is easy to determine the length of each field in the header and the length of the entire message.

Retest: The FBI provided a patch for the time-stamp problem and a new version of CoolMiner. A retest shows the time-stamp problem is fixed and is consistent with the system collection time. The Carnivore raw data for SMTP looked correct, however there still are possible problems with information displayed by CoolMiner. For SMTP traffic, the FROM e-mail address (the target's in this test case) is correctly displayed, but the TO address is not shown (the nontarget's in this test case). Packeteer and CoolMiner appear to be looking for the other e-mail addresses in the TO and FROM lines in the e-mail message, which Carnivore has purposely blanked out to avoid collecting information about communication between nontargeted entities. IITRI believes the program should instead be looking for the RCPT-TO lines, which Carnivore properly collects.

3.6.2 TEST 2 NONCONTENT WEB BROWSING COLLECTION

Description: Collect the source and destination IP addresses for a target's web browsing activities. This test is a pen mode collection on HTTP (TCP port 80).

Objective: Verify that Carnivore does collect the target's HTTP web browsing activity source and destination IP address, does not collect the URL and content of the target's web activities, and does not collect other users' communication.

Result: Passed.

IITRI observed that CoolMiner provides information on how many bytes are transferred between the client and the server. The data sizes can also be counted from the Carnivore raw data.

3.6.3 TEST 3 NONCONTENT FILE TRANSFER ACTIVITY COLLECTION

Description: Collect the source and destination IP addresses for a target's FTP activities. This test is a pen mode collection on FTP (TCP ports 20 and 21).

Objective: Verify that Carnivore does collect the target's file downloading activity source and destination IP address and does not collect the file content and other users' FTP activities.

Result: Passed.

As in tests 1and 2, the amount of data transferred is captured.

3.6.4 TEST 4 FULL COLLECTION ON A FIXED IP ADDRESS

Description: Collect the contents of communications to and from a target, who has a fixed IP address. This test is a full mode collection.

Objective: Verify that Carnivore does collect the target's communication and that no other users' (i.e., other IP addresses) communications can be collected.

Expected result: Web browsing contents, FTP login session, commands and data, and e-mail contents are all captured from the target fixed IP address.

Result: Passed.

3.6.5 TEST 5 E-MAIL CONTENT COLLECTION

Description: Collect the contents of e-mail communications that were sent from and to a target. This test is a full mode collection on the target's e-mail ID.

Objective: Verify that Carnivore does collect the contents of a target's e-mail, but does not collect other users' communications.

Result: Passed.

3.6.6 TEST 6 ALIAS E-MAIL COLLECTION

Description: E-mail collection of a target who has an alias for outgoing e~mail. This test is an e-mail mode collection on SMTP and POP3 (TCP ports 25 and 110). The target's e-mail user ID is entered into the filter for collection.

Objective: A court order authorizes collecting the full content e-mail traffic to and from a target and the ISP determined the target's e-mail address is marydoe@location.org However, the target made an alias "NOBODY" for her outgoing e-mail address. Verify that Carnivore will not collect the target's e-mail by filtering on her real user ID.

Result: Passed.

3.6.7 TEST 7 FILTERING TEXT STRING ON WEB ACTIVITY COLLECTION

Description: Collect the web browsing contents that contain a specific text string. This test is a full mode collection of a given text string on HTTP (TCP port 80).

Objective: Carnivore does collect the target's web browsing contents that contain a specific text string, and only the web pages contain the searched string, not other web browsing pages.

Result: Passed.

3.6.8 TEST 8 POWER FAILURE AND RESTORATION

Description: Power failure and restoration test.

Objective: Verify that after the power is restored, Carnivore automatically starts up and continues to collect what it was originally set up to collect. Also, verify that Carnivore recovers all of the data that was collected before the power outage.

Expected result: After the power is restored, Carnivore recovers to the state where it was before the power failure and continues to use the original filter setup to collect traffic.

Result: Carnivore did not recover to a collecting state as it was supposed to. Two errors were noted: (1) during the restart procedure, a TAP interface error in connecting to the Ethernet card occurred; (2) the data collected before the power failure was lost. This lost data is the result of a trade-off between processing speed, having padding in the collected data, or possibly losing some data. Carnivore does not write collected data into a disk until a block size of data is collected, a user activates the "next file" feature, or Carnivore is stopped.

3.6.9 TEST 9 FULL MODE COLLECTION FOR ALL TCP PORTS

Description: Collect all the user's TCP communications with a minimum filter setup.

Objective: By choosing a minimum filtering, i.e., all TCP ports on full collection mode, Carnivore will collect all the user's TCP communication. Verify that when selecting TCP protocol without selecting any ports, the default to Carnivore is collecting all TCP ports.

Expected result: Carnivore collects all TCP traffic from every device that is attached to the miffing segment

Result: Passed.

3.6.10 TEST 10 COLLECT FROM A DHCP ASSIGNED IP ADDRESS

Description: Collect the contents of communications to and from a target who has a dynamic (DHCP assigned) IP address.

Objective: Carnivore filter GUI provides three entry fields for DHCP setup, i.e., MAC address, Ports (67 and 68), and Startup IP. In order to collect communication from a specific DHCP-configured device, what data must be entered in the filter? Also, it is assumed that the Startup IP field can be used by Carnivore to immediately start collecting the traffic of a user who has already been assigned an IP address without waiting for the next DHCP-based IP assignment.

Expected result: (1) With a known MAC address but without a Startup IP, collection for that target does not begin until after a DHCP-based IP assignment occurs. (2) With a known MAC address and a Startup IP set to the currently-assigned IP address for the target, collection begins immediately.

Result: (1) Both MAC address and DHCP ports are required data entries for the filter to have Carnivore collect communication from a specific DHCP-configured IP address. (2) Data entered to the Startup IP field was totally ignored by Carnivore. A DHCP exchange was always required for Carnivore to collect from a specific dynamic IP address.

3.6.11 TEST 11 FILTERING ON TEXT STRING FOR E-MAIL COLLECTION

Description: Collect e-mail with a key word.

Objective: When filtering on a given text string and the target's IP address (either fixed or dynamic), verify that Carnivore only collects the target's e-mail messages that contain the given text string.

Result: Carnivore behaves exactly as expected. E-mail that contains the search text string is captured and e-mail that does not contain the search text string is not captured. However, this capture condition is not always clear from CoolMiner analysis. If the text string is in the e-mail header (for instance, part of the Subject), then CoolMiner displays the message properly. If the search text string is only in the body of the message, it does not display the message. This condition is because Carnivore does not start collecting packets until it sees the search text string. If the string is only in the body, the header of the message have already passed without being collected. CoolMiner needs the entire set of e-mail protocol packets in order to display properly. CoolMiner displays the collected packets as TCP packets of an unknown application.

The raw output of Carnivore was examined to verify the results shown by CoolMiner.

3.6.12 TEST 12 FILTERING ON TEXT STRING AND E-MAIL ADDRESS OR E-MAIL USERID FOR E-MAIL COLLECTION

Description: Collect e-mail with a key word and a user name.

Objective: When filtering on a given text string and the target's e-mail ID, verify that Carnivore only collects the target's e-mail containing that given text string.

Result: Because of a performance trade-off, Carnivore filters for the text search string at the driver level. Filters for a specific e-mail user is at the application level. After this test was completed, it was learned that the text string search is ignored when filtering for a specific e-mail address.

3.6.13 TEST 13 FILTERING ON TEXT STRING FOR FTP COLLECTION

Description: Collect FTP communication containing a key word.

Objective: When a text string is entered into the filter and FTP ports 20 and 21 are selected, Carnivore should only collect the FTP activities containing that given text string.

Result: Analysis of the raw Carnivore output shows that the correct data was collected. Carnivore either collected the FTP packets that matched the given text strings or collected from the first packet containing the text string to the end of that session (if the Trigger on Full Session check box was checked). In either case, Packeteer failed to assemble all of the packets together for an entire FTP session (because not all packets were collected) and, in turn, CoolMiner could not provide the result of correct collection. The purpose of this test was to determine if Carnivore collects according to its filter setup, not to evaluate the post-processing tools Packeteer or CoolMiner. The Carnivore output was correct.

.4. Si ningún paquete estuviera disponible para procesar, libre algunos nodos rancios de los objetos del proceso y duerme para 1 ms (librando el CPU para cualquiera hicieron cola los eventos).
5. si Salida o la Parada se ha llamado del GUI, manéjelo como descrito en el Apéndice D.
6. si NextFile se ha llamado del GUI, cierre fuera los datos del rendimiento actuales archive y empieza un nuevo archivo.
7. si PrepareToStop se ha llamado del GUI, restableció los filtros en el chófer de TapNDIS para que ningún más paquete se intercepta.
8. si el Cierre se ha llamado del GUI, la bandera del juego para prevenir ejecutando la vuelta de nuevo.
9. si la colección está corriendo y el agente ha apretado el arroje el botón en el paseo trasladable, haga a lo siguiente: cierre fuera el archivo de datos de rendimiento actual; arroje el disco y espera por el nuevo disco para estar disponible; cree el directorio para el rendimiento archiva y abre los nuevos archivos (.output.txt, error.txt, y el datos archiva); escriba el título al nuevo archivo de los datos; si DHCP o el RADIO filtrarse es adelante y la memoria compartido la inundación más de color de ante ha ocurrido en el chófer de TapNDIS (verificó por la llamada a la interface del chófer), restablezca los filtros, vacíe el pulidor, y redownload los filtros al chófer para reiniciar la colección; e inspecciona para el espacio disponible los medios de comunicación trasladables.
El rendimiento de Carnívoro 1.3.4 se escribe a tres archivos como sigue:

Se escriben los paquetes de los datos crudos a uno o más archivos de .vor. Por completo el modo, se escriben los volúmenes completos de todos los paquetes que no se rechazan por uno de los filtros a los archivos. La mesa 3-1 muestras la información que se escribe a los archivos en el modo de la pluma para paquetes que no se rechazan.
Se escriben los mensajes operacionales a un archivo de output.txt. Estos mensajes incluyen las descripciones de los filtros usadas para la colección, la salida e indicadores de la parada, e información sobre el rastrear de FTP y sesiones del telnet. Se proporcionan detalles sobre los todo posibles mensajes en la descripción de la clase CLogFile en el Apéndice D.
Se escriben mensajes del error para todos los errores reconocidos por el Carnívoro a un archivo de error.txt. Se proporcionan detalles sobre los posibles mensajes del error en la descripción de la clase CLogFile en el Apéndice D.
3.5.4 CARNIVORE.EXE
Toda la interacción del agente con el Carnívoro se proporciona a través de un GUI escrito en el Elemento esencial Visual. La forma principal (el frmMain) se usa por empezar y detener la colección y por desplegar la información de estado. El botón etiquetó "Avanzado..." se usa para acceder una segunda forma (el frmAdvanced) eso se usa para preparar la colección se filtra y crea el archivo de configuración de usuario para el Carnívoro. Hay seis formas adicionales que son las cajas del diálogo para las varias contestaciones del usuario. Dos otras formas incluidas en el programa son una pantalla de la salpicadura desplegada en el startup y un lleno-pantalla fondo sólido desplegado siempre que el Carnívoro esté corriendo. Hay también 15 clases que se usan en el GUI, principalmente por guardar los parámetros del filtro, y un archivo del módulo que incluye unas funciones auxiliares, variables globales, y declaraciones para todas las Win32 API llamadas usó en los GUI y las funciones exportadas de Carnivore.dll. hay cuatro formas incluidas en el programa y nueve clases asociadas que tienen todo el código comentadas fuera además, porque una decisión era hecho no llevar a cabo los rasgos que ellos eran proporcionar (una capacidad de planificación para colecciones que se suponía que era limitado a ciertas horas, filtros más sofisticados, y un espectador del real-tiempo por ver los paquetes de los datos en el vor archiva), pero ellos han quedado ' en el programa. El directorio de la fuente también proporcionado a IITRI incluyó cinco archivos de la forma y dos archivos de la clase que no se usan compilando el Carnívoro. Una de las formas parece ser para un rasgo (agregando caso que rastrea la información) eso se dejó caer del plan pero puede llevarse a cabo en el futuro.
3.5.5 PROCESO DE DESARROLLO
Ningún proceso de desarrollo formal se siguió para el desarrollo de Carnívoro a través de versión 1.3.4. El programa del Carnívoro era un programa de capacidad de rápido-reacción desarrolló para satisfacer las necesidades del FBI por los casos operacionales. Ninguno de los olfateadores de la red existentes (como EtherPeek) podría coleccionar la cantidad apropiada de datos (lo que se permite; nada más, nada menos). Este tipo de desarrollo es apropiado como un "la prueba de concepto" pero no es apropiado para los sistemas operacionales. Debido a esta falta de metodología de desarrollo, las consideraciones importantes, como la responsabilidad e interviene, se extrañó.
3.6 LABORATORIO PRUEBA
El carnívoro fue diseñado para coleccionar comunicación designado autorizada por los órdenes de la corte. No según el FBI, cada rasgo que el Carnívoro proporciona se ha usado en los casos de la colección reales. El carnívoro es una herramienta del caso, no un producto de los SITIOS PARA ANIMALES DOMÉSTICOS. Lograr el propósito de evaluar la capacidad entera de Carnívoro, los casos de la prueba son dividido en dos partes:
1. la prueba embala uno a través de cinco examine la colección típica embala, es decir, los guiones ejemplares pidieron en la Declaración de Trabajo (la CERDA).
2. la prueba embala seis a través de trece examine la capacidad general de Carnívoro. Rasgos que no se pueden haber usado por el FBI ' en los casos de la colección reales, pero se proporciona por el Carnívoro, es incluido en éstos pruebe los casos. Los párrafos siguientes resumen los casos de la prueba.
Se proporcionan detalles, incluso los tiros de la pantalla del filtro preparados, en el Apéndice C. La información incluye la razón que se usó cuando diseñando la prueba embala y las pruebas resultan. Para cada uno de los casos de la prueba que no pasaron, o parcialmente pasó, una explicación del fracaso se proporciona.
3.6.1 PRUEBA 1 NONCONTENT E-MAIL COLLECTION
La descripción: Coleccione el noncontent presenta en e-mail enviado a y de un blanco. Esta prueba es para la pluma modo e-mail colección en SMTP (TCP ponen a babor 25), y POP3 (puerto 110). el e-mail ID de El blanco es una entrada requerida al filtro para esta prueba.
El objetivo: Verifique ese Carnívoro colecciona las direcciones del e-mail de que se enviaron y a un blanco, y no colecciona nada del asunto del e-mail del blanco y satisfecho.
El resultado esperado: El carnívoro coleccionará sólo el DE y A las direcciones del e-mail de que se envió y a un blanco.
El resultado: El carnívoro no coleccionó ningún campo de otra manera que A y DE, pero en algunos ensayos coleccionar DE fallaron y A la información. Un problema es una debilidad conocida en Carnívoro detallado en párrafo 4.2.8. IITRI también observó eso en algunos casos, misclassifies de Packeteer los mensajes de POP3 como SMTP y este misclassification causa CoolMiner para desplegar la información mala. Este misclassification no es un bicho del Carnívoro.
IITRI observó eso los tiempo-estampa para paquetes coleccionados aparecido posiblemente ser incorrecto debido a un problema con la conversión de Microsoft el formato de la fecha interior al formato de UNIX normal (usó por CoolMiner), y posiblemente en la conversión entre Greenwich Time Malo (GMT) y el tiempo local.
IITRI observó eso en el Carnívoro de modo de pluma reemplaza la información de título de e-mail con Xs. Cuando los datos se ven en CoolMiner que es fácil de determinar la longitud de cada campo en el título y la longitud del mensaje entero.
Retest: El FBI mantuvo un parche el problema del tiempo-estampa y una nueva versión de CoolMiner. Un retest muestra que el problema del tiempo-estampa es fijo y es consistente con el tiempo de colección de sistema. El Carnívoro los datos crudos para SMTP parecían correctos, hay sin embargo todavía posibles problemas con información desplegada por CoolMiner. Porque SMTP trafican, el DE la dirección del e-mail (el blanco en este caso de la prueba) se despliega correctamente, pero el dirigirse no se muestra (el nontarget en esta prueba embale). Packeteer y CoolMiner aparecen estar pareciendo para las otras direcciones del e-mail en el A y DE las líneas en el mensaje del e-mail que el Carnívoro ha borrado intencionalmente fuera evitar la información colectiva sobre la comunicación entre las entidades del nontargeted. IITRI cree que el programa debe estar buscando en cambio el RCPT-A líneas que el Carnívoro colecciona propiamente.
3.6.2 PRUEBA 2 TEJIDO DE NONCONTENT QUE HOJEA LA COLECCIÓN
La descripción: Coleccione la fuente y destino que IP se dirige para el tejido de un blanco que hojea las actividades. Esta prueba es una colección de modo de pluma en HTTP (TCP ponen a babor 80).
El objetivo: Verifique que ese Carnívoro colecciona el tejido de HTTP del blanco que hojea fuente de actividad y destino IP se dirigen, no colecciona el URL y volumen de las actividades de tejido del blanco, y no colecciona la comunicación de otros usuarios.
El resultado: Pasado.
IITRI observó ese CoolMiner proporciona la información sobre cuántos bytes se transfiere entre el cliente y el servidor. Los tamaños de los datos también pueden contarse del Carnívoro los datos crudos.
3.6.3 PRUEBA 3 NONCONTENT ARCHIVO TRASLADO ACTIVIDAD COLECCIÓN
La descripción: Coleccione la fuente y destino que IP se dirige para las actividades de FTP de un blanco. Esta prueba es una colección de modo de pluma en FTP (TCP pone a babor 20 y 21).
El objetivo: Verifique que ese Carnívoro colecciona el archivo del blanco que transmite fuente de actividad y destino IP se dirigen y no colecciona el archivo las actividades de FTP de usuarios satisfechos y otros.
El resultado: Pasado.
Como en pruebas 1and 2, la cantidad de datos transferida se captura.
3.6.4 PRUEBA 4 COLECCIÓN LLENA EN UNA DIRECCIÓN DE IP FIJA
La descripción: Coleccione los volúmenes de comunicaciones a y de un blanco que tiene una dirección de IP fija. Esta prueba es una colección del modo llena.
El objetivo: Verifique ese Carnívoro colecciona la comunicación del blanco y que ningún otro usuario (es decir, otro IP se dirige) pueden coleccionarse las comunicaciones.
El resultado esperado: Tejido que hojea volúmenes, FTP login sesión, los órdenes y datos, y volúmenes del e-mail es todos capturados de la dirección de IP fija designado.
El resultado: Pasado.
3.6.5 PRUEBA 5 E-MAIL LA COLECCIÓN SATISFECHA
La descripción: Coleccione los volúmenes de comunicaciones del e-mail de que se enviaron y a un blanco. Esta prueba es una colección del modo llena en el e-mail ID del blanco.
El objetivo: Verifique ese Carnívoro colecciona los volúmenes del e-mail de un blanco, pero no colecciona las comunicaciones de otros usuarios.
El resultado: Pasado.
3.6.6 PRUEBA 6 COLLECTION DE E-MAIL DE SEUDÓNIMO
La descripción: Mande electrónicamente colección de un blanco que tiene un alias para el e~mail saliente. Esta prueba es una colección de modo de e-mail en SMTP y POP3 (TCP pone a babor 25 y 110). el usuario del e-mail de El blanco en que ID se entra en el filtro para la colección.
El objetivo: Un orden judicial autoriza coleccionar el tráfico del e-mail satisfecho lleno a y de un blanco y el ISP determinó la dirección del e-mail del blanco es marydoe@location.org However, el blanco hizo un alias "NADIE" para su dirección del e-mail saliente. Verifique que ese Carnívoro no coleccionará el e-mail del blanco filtrándose en su usuario real ID.
El resultado: Pasado.
3.6.7 PRUEBA 7 CORDÓN DE TEXTO DE FILTRACIÓN EN LA COLECCIÓN DE ACTIVIDAD DE TEJIDO
La descripción: Coleccione el tejido que hojea volúmenes que contienen un cordón del texto específico. Esta prueba es una colección del modo llena de un cordón del texto dado en HTTP (TCP ponen a babor 80).
El objetivo: El carnívoro colecciona el tejido del blanco que hojea volúmenes que contienen un cordón del texto específico, y sólo las páginas de tejido contienen el cordón investigado, no otro tejido que hojea las páginas.
El resultado: Pasado.
3.6.8 PRUEBA 8 FRACASO DE PODER Y RESTAURACIÓN
La descripción: Impulse fracaso y prueba de la restauración.
El objetivo: Verifique que después de que el poder se restaura, el Carnívoro automáticamente las salidas a y continúa coleccionando lo que era originalmente fijo a coleccionar. También, verifique ese Carnívoro recupera todos los datos que eran reunido antes del paro de poder.
El resultado esperado: Después de que el poder se restaura, el Carnívoro recupera al estado dónde estaba antes del fracaso de poder y continúa usando el arreglo del filtro original para coleccionar el tráfico.
El resultado: El carnívoro no recuperó a un estado colectivo como él se supuso a. Dos errores eran nombrados: (1) durante el reinicie el procedimiento, un error de interface de PALMADITA conectando a la tarjeta de Ethernet ocurrió; (2) el datos coleccionado antes del fracaso de poder estaba perdido. Esto perdió el datos es el resultado de un comercio-apagado entre procesar la velocidad, teniendo el relleno en los datos reunido, o perder algunos datos posiblemente. El carnívoro no escribe los datos reunido en un disco hasta un tamaño del bloque de datos es reunido, un usuario activa el "próximo archivo" el rasgo, o el Carnívoro se detiene.
3.6.9 PRUEBA 9 COLECCIÓN DEL MODO LLENA PARA TODOS LOS PUERTOS DE TCP
La descripción: Coleccione las comunicaciones de TCP de todo el usuario con un arreglo del filtro mínimo.
El objetivo: Escogiendo una filtración mínima, es decir, todo el TCP pone a babor en el modo de la colección lleno, el Carnívoro coleccionará la comunicación de TCP de todo el usuario. Verifique que al seleccionar el protocolo de TCP sin seleccionar cualquier puerto, el valor por defecto al Carnívoro está coleccionando todos los puertos de TCP.
El resultado esperado: El carnívoro colecciona que todos los TCP trafican de cada dispositivo que se ata al segmento ofendiendo
El resultado: Pasado.
3.6.10 PRUEBA 10 COLECCIONA DE UN DHCP ASSIGNED LA DIRECCIÓN DE IP
La descripción: Coleccione los volúmenes de comunicaciones a y de un blanco que tiene un dinámico (DHCP asignó) la dirección de IP.
El objetivo: Filtro del carnívoro que GUI proporciona que tres entrada presenta para el arreglo de DHCP, es decir, MAC se dirigen, Puertos (67 y 68), y Startup IP. ¿Para coleccionar la comunicación de un dispositivo DHCP-configurado específico, en qué datos deben entrarse en el filtro? También, es supuesto que el Startup que el campo de IP puede usarse por el Carnívoro para empezar coleccionando el tráfico de un usuario que ya ha sido asignado una dirección de IP sin esperar por la próxima asignación de IP DHCP-basado inmediatamente.
El resultado esperado: (1) con una dirección de MAC conocida pero sin un Startup IP, la colección para ese blanco no empieza hasta después de que una asignación de IP DHCP-basado ocurre. (2) con una dirección de MAC conocida y un Startup IP puso al IP actualmente-asignado diríjase para el blanco, la colección empieza inmediatamente.
El resultado: (1) se requieren dirección de MAC y " puertos de DHCP las entradas de los datos para el filtro tener el Carnívoro coleccionar la comunicación de una dirección de IP DHCP-configurada específica. (2) los datos entraron al Startup el campo de IP era totalmente ignorado por el Carnívoro. Un intercambio de DHCP siempre se requirió para el Carnívoro para coleccionar de una dirección de IP dinámica específica.
3.6.11 PRUEBA 11 FILTRACIÓN EN EL CORDÓN DEL TEXTO PARA LA COLLECTION DEL E-MAIL
La descripción: Coleccione el e-mail con una palabra importante.
El objetivo: Al filtrarse en un cordón del texto dado y los IP del blanco se dirigen (arregló o dinámico), sólo verifique ese Carnívoro colecciona los mensajes del e-mail del blanco que contienen el cordón del texto dado.
El resultado: El carnívoro se comporta exactamente como esperado. E-mail que contiene el cordón de texto de búsqueda se captura y e-mail que no contiene el cordón de texto de búsqueda no se captura. Sin embargo, esta condición de la captura no siempre está clara del análisis de CoolMiner. Si el cordón del texto está en el título del e-mail (por ejemplo, parte del Asunto), entonces CoolMiner despliega el mensaje propiamente. Si el cordón de texto de búsqueda sólo está en el cuerpo del mensaje, no despliega el mensaje. Esta condición es porque el Carnívoro no empieza los paquetes colectivos hasta que vea el cordón de texto de búsqueda. Si el cordón sólo está en el cuerpo, el título del mensaje ya ha pasado sin ser reunido. CoolMiner necesita el juego entero de e-mail los paquetes protocolares para desplegar propiamente. CoolMiner despliega los paquetes reunido como los paquetes de TCP de una aplicación desconocida.
El rendimiento crudo de Carnívoro fue examinado para verificar los resultados mostrados por CoolMiner.
3.6.12 PRUEBA 12 FILTRACIÓN EN EL CORDÓN DEL TEXTO Y ADDRESS DEL E-MAIL OREGÓN E-MAIL USERID PARA LA COLLECTION DEL E-MAIL
La descripción: Coleccione el e-mail con una palabra importante y un nombre del usuario.
El objetivo: Al filtrarse en un cordón del texto dado y el e-mail ID del blanco, sólo verifique que ese Carnívoro colecciona el e-mail del blanco que contiene eso dado el cordón del texto.
El resultado: Debido a una actuación comercio-fuera de, el Carnívoro se filtra para el cordón de búsqueda de texto al nivel del chófer. Los filtros para un usuario del e-mail específico están en el nivel de la aplicación. Después de que esta prueba fue completada, era sabio que la búsqueda de cordón de texto se ignora al filtrarse para una dirección del e-mail específica.
3.6.13 PRUEBA 13 FILTRACIÓN EN EL CORDÓN DEL TEXTO PARA LA COLECCIÓN DE FTP
La descripción: Coleccione comunicación de FTP que contiene una palabra importante.
El objetivo: Cuando en un cordón del texto se entra en el filtro y FTP pone a babor se seleccionan 20 y 21, el Carnívoro debe coleccionar sólo las actividades de FTP que contienen eso dadas el cordón del texto.
El resultado: El análisis de las muestras de rendimiento de Carnívoro crudas que el datos correcto era reunido. Carnívoro o coleccionado los paquetes de FTP que emparejaron el texto dado ata o reunido del primer paquete en conteniendo el cordón del texto al extremo de esa sesión (si el Gatillo en la caja de cheque de Sesión Llena fuera verificado). Packeteer no congregó todos los paquetes juntos para una sesión de FTP entera En cualquier caso, (porque no todos los paquetes eran reunido) y, a su vez, CoolMiner no podría proporcionar el resultado de colección correcta. El propósito de esta prueba era determinar que si el Carnívoro colecciona según su arreglo del filtro, no evaluar el poste-proceso labra con herramienta Packeteer o CoolMiner. El rendimiento del Carnívoro era correcto.

[Pages 4-1 to 4-9.]

SECTION 4
CONCLUSIONS
4.1 ASSUMPTIONS

Given the time constraints of this evaluation, IITRI made several assumptions about various components in order to establish a boundary of trust. These assumptions included

* The Century Tap from Shoniti Systems is effective in making Carnivore a read-only device. No evidence was seen that Carnivore transmitted any data through the device, nor did there appear to be any functionality in Carnivore to transmit. IITRI is satisfied from analysis that the tap is one way, but performed no specific testing of the tap to ensure no data was transmitted.

* Windows NT file system and mechanisms to ensure data in the file system are not corrupted are sufficiently reliable that they do not impact this evaluation.

* The CPS (see paragraph 3.4.3) devices are sufficiently robust to protect the remote connection.

* PCAnywhere, in particular symmetric encryption; PCAnywhere authentication; and PCAnywhere logging works properly. PCAnywhere was not evaluated; however, IITRI determined through experiment and a literature search the extent to which PCAnywhere supports Carnivore requirements.

* Dynamic IP addresses assignments via DHCP and RADIUS are sufficiently similar and Carnivore works in a sufficiently similar manner for dynamic IP addresses that observation and conclusions made for DHCP apply equally to RADIUS.

4.2 GENERAL CONCLUSIONS

A wide range of interested parties has expressed additional concerns about Carnivore, many of which were also listed as part of the purpose for this evaluation. Rather than address each concern individually, IITRI chose to draw a series of general conclusions that, with supporting points, will allow each party to address its own concerns.

4.2.1 NEED FOR CARNIVORE

Carnivore represents technology that protects privacy and enables lawful surveillance better than alternatives. Carnivore restricts collected information in a precise manner that cannot be duplicated by other means. Although certain of Carnivore's functions could be duplicated by commercial products, there is no incentive to do so. The legitimate market for such a product is limited to law enforcement -- a market already served by Carnivore. Moreover, publicly available products, such as EtherPeek, described in Appendix B, are not capable of limiting collection as precisely as most court orders require, resulting in over-collection and greater reliance on human intervention to minimize the information collected.

Many ISPs are unwilling or unable to collect only the information specified in a court order, requiring direct FBI use of tools like Carnivore to fulfill court-ordered requirements. In addition, the details of some highly sensitive investigations should not be disclosed to ISPs, many of whom may present risks of inappropriate disclosure.

4.2.2 LEGAL AND ORGANIZATIONAL CONTROLS

Carnivore is used under the same basic legal and organizational controls as are employed for telephone wiretaps and telephone pen-trap devices. Multiple organizational approvals are required for Carnivore deployment before a court order is issued; significant post-collection organizational and judicial controls exist as well.

Carnivore, like traditional telephone wiretaps (see Appendix A) uses human involvement to satisfy legal minimization requirements. Carnivore employs two minimizations. First the collection computer selects pertinent packets. Second, a designated case agent reviews captured data to exclude nonpertinent information. This minimization is analogous, but not perfectly so, to turning off telephone intercept equipment to exclude nonpertinent conversations.

In response to specific concerns, IITRI evaluated the minimization process described independently by FBI headquarters and field personnel and reached the following conclusions:

* The supervising judge can, and regularly does, independently verify that traffic collected is only what was legally authorized.

* Controls exist over minimization, in that the post-minimization file reveals any nonpertinent information that escaped the minimization process. Inadequate minimization can be detected through judicial oversight through the FBI 'inspection process, or in civil or criminal litigation involving alleged misuse of Carnivore. However, except for FBI procedures and professionalism, there are no assurances against additional copies being made of an inadequately minimized intercept.

4.2.3 COLLECTION

Based on laboratory tests, Carnivore can collect everything that passes by on the Ethernet segment to which it is connected. This capability is no different from any other packet sniffer (see Appendix B describing a commercial sniffer). It is up to the agent who sets up Carnivore to select the proper set of filters so only the data that is allowed by the court order is actually collected. The system contains no automated checks for valid configuration. However, based on analysis of the Carnivore process, IITRI concludes there are significant procedural checks to minimize configuration errors. Multiple agents and FBI technical advisers, and often ISP personnel, must agree on the settings before Carnivore is turned on.

Given a choice between under-collection versus potential over-collection, Carnivore design generally errs on the side of under-collection. To the extent that Carnivore under-collects information, no appreciable risk exists that the meaning of intercepted information would be altered. However, the result of this conscious decision on the part of the FBI, is to introduce exploitable technical weaknesses. These weaknesses, among others, are described in paragraph 4.2.5.

In one case, Carnivore version 1.3.4 collects more than would be permitted by the strictest possible construction of the pen-trap statute. In pen mode surveillance of certain e-mail protocols, Carnivore captures the contents of the TO and FROM fields. It replaces each character in the other fields with an X. Using one-to-one replacement permits users to determine the length (but not the content) of all of the fields defined by the e-mail protocol; for example, of the SUBJECT field and of the body of the message. Access to the length of individual fields does not appear to have a parallel in telephone pen-trap surveillance.

Except for the field-length data referred to in the preceding paragraph, there was no evidence of over-collection during any of the tests. Carnivore bases its collection filters on various protocols as defined by industry RFCs. In the case where a network uses a nonstandard implementation of a protocol, over collection can occur. For example, the FBI admitted that a previous version of Carnivore handled pipelined SMTP (RFC 2920) incorrectly. However, it should be noted that when this situation occurs, the over-collected data is sealed and given to the judge, without being given to the case agent. The developers then, if permitted, and possible, analyze what protocol deviation is in use and make changes to Carnivore to allow it to collect properly.

In response to particular concerns expressed about collection, IITRI concludes

* While the system was designed to, and can, perform fine-tuned searches, it is also capable of broad sweeps. Incorrectly configured, Carnivore can record any traffic it monitors.

* Carnivore can, e.g., in court authorized counter-cyber-terrorism activities, scan a subset of network traffic for specific strings or access by or to specific sites. This capability is necessary to collect court-ordered data transmitted with nonstandard protocols where message boundaries do not occur at packet boundaries, such as Hotmail.

* Properly configured, Carnivore examines traffic and determines which pieces are allowed by its filter settings.
o It accumulates no data other than that which passes its filters
o It restricts data available to the FBI to specific types from or to specific users
o It is used only when the implementation guarantees it will riot drop packets and potentially miss the sign-off of a dynamically-assigned IP address

* Carnivore version 1.3.4 mixes pen-trap and full-content capability in one device. Unless correctly configured, the device can over-collect under a pen-trap order.

* Carnivore collects more than ordinary e-mail correspondence. In full collection mode, for example, it can record whatever transactions occur through TCP, UDP, and ICMP protocols including HTTP, FTP, SMTP, POP3, Exchange Mail, IMAP, CCmail, voice over IP, and streaming media. E-commerce payments-related communications, however, typically use Secure Sockets Layer (SSL), which are not decrypted by Carnivore.

* Carnivore does not come close to having enough power "to spy on almost everyone with an e-mail account." In order to work effectively it must reject the majority of packets it monitors. It also monitors only the packets traversing the wire to which it is connected. Typically, this wire is a network segment handling only a subset of a particular ISP's traffic.

4.2.4 ACCOUNTABILITY

IITRI did not find adequate provisions for auditing the use of Carnivore. The Carnivore version 1.3.4 collection computer is always logged in as the "Administrator" rather than using individual user IDs. The PCAnywhere remote access software, while using unique login IDs, does not provide audit on an individual basis. As noted in paragraph 3.4.4, the password to the advanced menu is embedded in the Carnivore executable software. Therefore, it is not possible to determine who, among a group of agents with the password, may have set or changed filter settings. In fact, any action taken by the Carnivore system could have been directed by anyone knowing the Administrator password. It is impossible to trace the actions to specific individuals. Auditing is crucial in security. It is the means by which users are held accountable for their actions.

4.2.5 INTEGRITY

Carnivore version 1.3.4 has significant deficiencies in protection for the integrity of the information it collects. Information gathered by Carnivore may be lost or corrupted by physical attack, software bugs, or power failure. Also, the relationship among Carnivore filter settings, collected data, and other investigative activities may be difficult to establish. These deficiencies make Carnivore less effective as an investigative tool.

Lack of physical control of the Carnivore collection computer engenders some risk of compromise by untrustworthy ISP personnel. Once the FBI technicians have installed Carnivore it is under control of the ISP. Although the collection computer is left without a monitor, keyboard, or mouse, the ports are not normally covered or disabled and nothing prevents someone at the ISP from connecting those peripherals. That person could watch while a case agent uses remote dial-in access to download data and learn enough to gain control of the collection computer. To date, the FBI has relied on existing physical security measures at trusted ISP installations.

FBI tools to view, analyze, and minimize raw Carnivore output contain several material weaknesses. These tools include Packeteer, to reconstruct higher protocol sessions from IP packets, and CoolMiner, to display the results. Neither Packeteer nor CoolMiner are used to limit the data collected from the target, although they are used by case agents for further minimization. During testing, IITRI found several bugs in the interfaces between Carnivore, Packeteer, and CoolMiner. These include

* The time stamps for the collected packets displayed by CoolMiner did not match what was expected. While originally thought to be a CoolMiner software bug, the FBI provided a patch to the Carnivore program that fixed this problem.

* Some instances of valid SMTP collection were being displayed as POP data. This software bug was determined to be a problem with the way Packeteer processed the data. The data collected by Carnivore were correct.

As of the date of this report, this bug has not yet been fixed. Carnivore does not consistently recover from power failures. IITRI noted two problems. First, because of the way Carnivore buffers data into blocks before actually writing to disk, any power failure guarantees the loss of between 0 and max_block_size bytes of already collected data. This loss is in addition to any data missed while power is off. As noted earlier, the max_block_size for fixed disk is 128 kbytes and for removable disks is 64 kbytes. Second, there is a race condition that prevents the Carnivore program, as it is starting up, from reliably accessing the Ethernet interface. When this failure occurs, and the Carnivore program had been collecting earlier (before the power failure), it is not able to automatically begin collecting again. Someone must manually access the system to start the collection.

In Carnivore version 1.3.4, as evaluated, it is not possible to definitively show what settings were used to collect any given set of data. Although the parameters for collection are stored in the same directory as the collected data, they are in a separate file and the only link among the files is implied by the file names. Should files become separated, it may be difficult to prove what settings and what software were actually used to collect the data.

There is no time synchronization within Carnivore. The time stamps are dependent upon the correct setting of the collection computer's clock and its continued correct operation. While this deficiency may not seem to be important, multiple Carnivore devices might be used in an investigation or it might be necessary to correlate Carnivore collection with other collateral evidence. If so, it is important to note that the time stamps from Carnivore are only as good as the original source for the time and the accuracy of the collection computer.

While Windows NT and the way its file systems work were not evaluated, other factors could affect data integrity. For example, since there are no checksums or other protections on the collected data files and no individual accountability, anyone could edit the collected data. Since all users all log in as Administrator, evidence of the changed files could be erased.

4.2.6 CARNIVORE DEVELOPMENT ENVIRONMENT

No formal development process was used for Carnivore through version 1.3.4. Consequently, technical issues such as software correctness, system robustness, user interfaces, audit, and accountability and security were not well addressed. While this lack of a formal development process might have been acceptable for a "proof of concept" demonstration, it is not appropriate for an operational system. Operational systems should be developed with rigorous tracing of requirements through design, development and testing, strong configuration management and good management insight into the development process. A more formal development process has been established for Carnivore version 2.0, but IITRI has not evaluated the effectiveness of the new process.

4.2.7 MISCELLANEOUS CONCERNS

The purpose for the independent evaluation of Carnivore includes a number of concerns about the effect on privacy of individuals who are not the target of court-ordered surveillance. Examining those concerns, IITRI concludes that Carnivore version 1.3.4 does not

* Read all incoming and outgoing e-mail messages, including sender, recipients, message subject and body. It stores packets for later analysis only after they are positively linked by the filter settings to a target

* Monitor the web-surfing and downloading habits of all the ISP's customers, including web searches for information or people. It can only record for later evaluation some IITRI files retrieved by a target

* Monitor or read all other electronic activity for that ISP, including instant messages (such as with ICQ), person-to-person file transfers, web publishing, FTP, Telnet, newsgroups, online purchases, and anything else that is routed through that ISP. It can only record a subset of such files for a specific user

In addition, IITRI noted public concern that the FBI and DoJ may use Carnivore for purposes other than surveillance. Based on evaluation of the architecture and implementation, and the capabilities of the Carnivore software, IITRI concludes that Carnivore version 1.3.4 cannot

* Alter or remove packets from the network or introduce new packets

* Block any traffic on the network

* Remove images, terms, etc. from communications

* Seize control of any portion of Internet traffic

* Shut down or shut off the communications of any person, web site, company, or ISP

* Shut off accounts, ISPs, etc. to "contain" an investigation

4.2.8 RELEASE OF CARNIVORE

The FBI has legitimate reasons to oppose public release of Carnivore version 1.3.4. The FBI is restricted, by license, from releasing the commercial code that forms the basis of the tool. Furthermore, the current version has technical limitations that could be exploited to defeat surveillance if they were revealed.

Federal constitutional and statutory law recognizes the need to protect law enforcement sources and methods. FOIA contains an explicit exemption for information that would disclose confidential law enforcement techniques or compromise ongoing criminal investigations. Specific technical limitations of Carnivore, IITRI believes, fall within these protections and are listed below. Carnivore

* Can be countered with simple, public-domain encryption.

* Cannot effectively collect POP3 e-mail messages in pen mode. It has insufficient capacity to separate allowed versus forbidden information from the messages. It therefore, collects nothing. During testing, IITRI determined that for pen mode collection of POP e-mail, the only information collected was the POP control messages. All that could be seen was that the target user had authenticated to the POP Server at a given time and that messages were retrieved. No TO or FROM information was collected.

* Cannot manage nonstandard protocol implementations. Nonstandard implementations may result in potential over-collection and, typically, collection is terminated. When fixes have been made, e.g., to handle pipelined e-mail transmissions, they could open additional mechanisms to defeat Carnivore, if revealed. Testing against nonstandard implementation is extremely difficult.

* Has a limited ability to process Internet e-mail accounts. The current implementation requires explicit knowledge of the format of the provider's log-in messages.

* Cannot collect in high-traffic environments. Customers of certain ISPs are effectively beyond reach. The FBI has found that when collecting a steady flow of packets, Carnivore can handle up to 60 Mbps without dropping packets if writing its collected data to a high speed hard disk. If writing to the Jazz disk, the rate drops to 15 Mbps, and if writing to a Zip disk, the rate drops to 5 Mbps. (Rates provided by the FBI; not verified through testing.)

* Uses support tools that have additional limitations. Packeteer cannot reconstruct all TCP-based protocols and CoolMiner fails to report certain information present in the Packeteer output. IITRI also found situations in which CoolMiner output did not reflect the output of Carnivore.

4.3 DOJ QUESTIONS

IITRI's general conclusions address concerns for privacy. These paragraphs address the DoJ's specific questions about Carnivore. IITRI conclusions are provided in the following paragraphs.

4.3.1 DOJ QUESTION 1

Question. Does Carnivore provide investigators with all, but only, the information it is designed and set to provide in accordance with a given court order?

Answer. When Carnivore version 1.3.4 is used correctly under a Title III order, it provides investigators with no more information than is permitted by a given court order. Because of performance limitations, in some cases it provides investigators with less information than they are permitted to collect. In the pen mode, it creates files for certain e-mail protocols that can be analyzed to determine more than simple TO and FROM information Details of our conclusions about collection are provided in paragraph 4.2.3.

IITRI observed thorough training and supervision programs used by the FBI to ensure that agents understand the limitations on the information they can obtain under a court order, the technical means to collect such information, and the consequences of over- or under-collection. Examination of code found no hidden capabilities that would allow Carnivore to collect information without the knowledge of the agents using it.

4.3.2 DOJ QUESTION 2

Question. Does Carnivore introduce any new, material risks of operational or security impairment of an ISP's network?

Answer. Operating Carnivore version 1.3.4 introduces no operational or security risks to the ISP where it is installed. This conclusion is supported by IITRI's architecture evaluation and discussions with ISPs.

Carnivore attaches to the ISP network by using a read-only tap. This tap introduces, at most a 1-bit time delay -- far less than most standard network equipment. Discussions with ISP representatives confirmed that the read-only tap is employed for field installation and the FBI takes reasonable steps to minimize interference with ISP operations. Because it is read-only and cannot introduce traffic, Carnivore cannot place an additional load on the ISP network, nor can it alter or otherwise compromise operations.

Situations may arise in which he ISP is asked to make changes to its operation to accommodate court-ordered surveillance. A change to operations carries some risk and must be approached and implemented with due caution.

The remote control link (see paragraph 3.4.3) does establish a path to the Carnivore collection computer within the ISP's secure facility. IITRI found: (1) the link does not provide access to ISP equipment; (2) the link is adequately protected from unauthorized use; and (3) the link cannot be used to access information not already stored on Carnivore.

4.3.3 DOJ QUESTION 3

Question. Does Carnivore risk unauthorized acquisition, whether intentional or unintentional, of electronic communication information by: (1) FBI personnel or (2) persons other than FBI personnel?

Answer. Carnivore version 1.3.4 introduces some risk of both intentional and unintentional unauthorized acquisition of electronic communication information by FBI personnel, but introduces little additional risk of acquisition by persons other than FBI personnel. Because FBI personnel must select the proper settings for Carnivore to comply with the court order, there is always the possibility of error. The chance of an error in specifying Carnivore settings is low because of the large number of individuals involved in framing the court order and determining the feasibility of its implementation by Carnivore. There is, however, the possibility of unintentional error; for example, clicking the radio button for full collection when the operator meant to click the radio button next to it for pen-trap collection. There is no mechanism for detecting or minimizing the likelihood of such an unintentional setup error.

Intentional violations of court-prescribed limitations, or of FBI procedures, are likely to be detected through judicial oversight and FBI supervision. Evaluation of the risk of undetected intentional violation of court-prescribed limitations or of FBI procedures is beyond the scope of this report.

The risk that persons other than the FBI would have access to the collected data is very small. This access is limited by both the electronic authentication devices on the remote telephone line and using user-name and password authentication within the remote access program. ISP personnel can possibly gain access to the data, but they already have access by virtue of having access to their own network.

4.3.4 DOJ QUESTION 4

Question. Does Carnivore provide protections, including audit functions and operational procedures or practices, commensurate with the level of the risks?

Answer. While operational procedures or practices appear sound, Carnivore version 1.3.4 does not provide protections, especially audit functions, commensurate with the level of the risks. Details of these risks are presented in paragraphs 4.2.4, Accountability, and 4.2.5, Integrity.

.
SECCIÓN 4
LAS CONCLUSIONES

4.1 ASUNCIONES
Dado los constreñimiento de tiempo de esta evaluación, IITRI hizo varias asunciones sobre los varios componentes para establecer un límite de confianza. Estas asunciones incluyeron

La Palmadita del Siglo de los Sistemas de Shoniti es eficaz haciendo un dispositivo leer-único al Carnívoro. Ninguna evidencia fue vista que el Carnívoro transmitió cualquier datos a través del dispositivo, ni parecía haber alguna funcionalidad en el Carnívoro transmitir. IITRI está satisfecho del análisis que la palmadita es una manera, pero realizó ninguna comprobación específica de la palmadita para no asegurar ningún datos se transmitió.
Windows NT archivan sistema y mecanismos para asegurar los datos en el sistema del archivo no está corrompido es suficientemente fiable que ellos no impactan esta evaluación.
El CPS (vea párrafo 3.4.3) los dispositivos son suficientemente robustos proteger la conexión remota.
PCAnywhere, en particular el encryption simétrico,; La autenticación de PCAnywhere; y PCAnywhere que anota los trabajos propiamente. PCAnywhere no fue evaluado; sin embargo, IITRI determinó a través del experimento y una búsqueda de la literatura hasta que punto PCAnywhere apoya los requisitos del Carnívoro.
IP dinámico se dirige las asignaciones vía DHCP y RADIO es suficientemente similar y el Carnívoro trabaja de una manera suficientemente similar para las direcciones de IP dinámicas que la observación y conclusiones constituyeron DHCP aplique igualmente al RADIO.
4.2 CONCLUSIONES GENERALES
Una gama amplia de fiestas interesadas ha expresado las preocupaciones adicionales sobre Carnívoro muchos de los cuales también se listó como la parte del propósito para esta evaluación. En lugar de la dirección cada preocupación individualmente, IITRI escogió dibujar una serie de conclusiones generales que, con los puntos de apoyo, permitirá cada fiesta para dirigirse sus propias preocupaciones.
4.2.1 NECESIDAD PARA EL CARNÍVORO
El carnívoro representa tecnología que protege el retiro y habilita bien la vigilancia legal que las alternativas. El carnívoro restringe la información reunido de una manera precisa que no puede reproducirse por otros medios. Aunque cierto de las funciones de Carnívoro podría reproducirse por los productos comerciales, no hay ningún incentivo para hacer para que. El mercado legítimo para semejante producto se limita a la entrada en vigor de la ley--un mercado ya servido por el Carnívoro. Es más, los productos públicamente disponibles, como EtherPeek, describieron en el Apéndice B, no es capaz de limitar la colección tan precisamente como la mayoría de los órdenes judiciales requieren, mientras produciendo encima de-colección y la confianza mayor en la intervención humana minimizar la información coleccionaron.
Muchos ISPs son involuntarios o incapaces coleccionar sólo la información especificada en un orden judicial, mientras requiriendo uso de FBI directo de herramientas como el Carnívoro cumplir los requisitos corte-pedidos. Además, los detalles de algunos que no deben descubrirse las investigaciones muy sensibles a ISPs, muchos de quien puede presentar riesgos de descubrimiento impropio.
4.2.2 MANDOS LEGALES Y ORGÁNICOS
El carnívoro se usa bajo el mismo elemento esencial los mandos legales y orgánicos como es empleado para los wiretaps del teléfono y dispositivos de pluma-trampa de teléfono. Se requieren las aprobaciones orgánicas múltiples para el despliegue del Carnívoro antes de que un orden judicial se emita; poste-colección significante que los mandos orgánicos y judiciales también existen.
El carnívoro, como el wiretaps del teléfono tradicional (vea el Apéndice UN) usa el envolvimiento humano para satisfacer los requisitos de minimización legales. El carnívoro emplea dos minimización. Primero la computadora de la colección selecciona los paquetes pertinentes. Segundo, un revisiones de agente de caso designadas capturaron los datos para excluir la información del nonpertinent. Este minimización es análogo, pero no absolutamente para que, a apagar el teléfono los equipos interceptan para excluir las conversaciones del nonpertinent.
En la contestación a las preocupaciones específicas, IITRI evaluó el proceso de minimización descrito independientemente por la oficina principal de FBI y personal del campo y sacó las conclusiones siguientes:

El juez dirigiendo puede, y regularmente hace, independientemente verifique ese tráfico coleccionado es lo que fue autorizado legalmente.
Los mandos existen encima del minimización, en que el archivo de poste-minimización revela cualquier información del nonpertinent que escapó el proceso de minimización. Puede descubrirse el minimización inadecuado a través de la vigilancia judicial a través del FBI ' el proceso de la inspección, o en litigación civil o delictiva que involucra mal uso supuesto de Carnívoro. No hay convicciones sin embargo, contra el ser de las copias adicional hecho de salvo los procedimientos de FBI y profesionalismo, un inadecuadamente minimizó intercepte.
4.2.3 COLECCIÓN
Basado en las pruebas del laboratorio, el Carnívoro puede coleccionar todo que los pasos por en el segmento de Ethernet a que se conecta. Esta capacidad es ningún diferente de cualquier otro olfateador del paquete (vea el Apéndice B que describe un olfateador comercial). depende del agente que prepara el Carnívoro para seleccionar el juego apropiado de filtros tan sólo el datos que se permite por el orden judicial es realmente reunido. El sistema no contiene ningún cheque automatizado para la configuración válida. Sin embargo, basado en el análisis del proceso del Carnívoro, IITRI concluye hay cheques procesales significantes para minimizar los errores de la configuración. Los agentes múltiples y FBI los consejeros técnicos, y a menudo el personal de ISP, debe estar de acuerdo en las escenas antes del Carnívoro ha encendido.
Dado una opción entre el bajo-colección contra el encima de-colección potencial, el plan del Carnívoro generalmente yerra en el lado de bajo-colección. A la magnitud que el Carnívoro bajo-colecciona la información, ningún riesgo apreciable existe que el significado de información interceptada se alteraría. Sin embargo, el resultado de esta decisión consciente por parte del FBI, es introducir las debilidades técnicas explotables. Se describen estas debilidades, entre otros, en párrafo 4.2.5.
En un caso, Carnívoro versión 1.3.4 colecciona más de se permitiría por la posible construcción más estricta del estatuto del pluma-trampa. En la vigilancia de modo de pluma de ciertos protocolos del e-mail, el Carnívoro captura los volúmenes del A y DE los campos. Reemplaza cada carácter en los otros campos con un X. Using un reemplazo les permite a los usuarios determinar la longitud (pero no el volumen) de todos los campos definidos por el protocolo del e-mail; por ejemplo, del campo SUJETO y del cuerpo del mensaje. Acceda a la longitud de campos individuales no parezca tener un paralelo en la vigilancia de pluma-trampa de teléfono.
Salvo los datos de campo-longitud se referidos a en el párrafo precedente, había ninguna evidencia de encima de-colección durante cualquiera de las pruebas. El carnívoro basa sus filtros de la colección en los varios protocolos como definido por la industria RFCs. En el caso dónde una red usa una aplicación del nonstandard de un protocolo, encima de la colección puede ocurrir. Por ejemplo, el FBI admitió que una versión anterior de Carnívoro se ocupó de pipelined SMTP (RFC 2920) incorrectamente. Sin embargo, debe notarse que cuando esta situación ocurre, el datos encima de-reunido se sella y dado al juez, sin darse al agente del caso. Los diseñadores entonces, si permitió, y posible, analiza qué desviación protocolar está en el uso y hace los cambios al Carnívoro permitirle coleccionar propiamente.
En la contestación a las preocupaciones particulares expresada sobre la colección, IITRI concluye

Mientras el sistema se diseñó a, y puede, realice las búsquedas multa-puestas a punto, también es capaz de barridos anchos. Incorrectamente configurado, el Carnívoro puede grabar cualquier tráfico que supervisa.
Por ejemplo, el carnívoro puede en las actividades de contador-cyber-terrorismo autorizadas judiciales, examina un subconjunto de tráfico de la red para los cordones específicos o accede por o a los sitios específicos. Esta capacidad es necesaria coleccionar datos corte-pedidos transmitidos con protocolos del nonstandard dónde los límites del mensaje no ocurren a los límites del paquete, como Hotmail.
Propiamente configurado, el Carnívoro examina el tráfico y determina qué pedazos se permiten por sus escenas del filtro.

No aumenta ningún datos de otra manera que eso que los pasos sus filtros

Restringe los datos disponible al FBI a los tipos específicos de o a los usuarios específicos

Sólo se usa cuando la aplicación garantiza que armará escándalo los paquetes de la gota y potencialmente extrañará el señal-apagado de una dirección de IP dinámicamente-asignada

La versión del carnívoro 1.3.4 pluma-trampa de las mezclas y la capacidad lleno-satisfecha en un dispositivo. A menos que correctamente configuró, el dispositivo puede encima de-coleccionar bajo un orden del pluma-trampa.
El carnívoro colecciona la correspondencia del e-mail más ordinaria. Por ejemplo, por completo modo de la colección que puede grabar que las transacciones cualquier ocurren a través de TCP, UDP, y protocolos de ICMP incluso HTTP, FTP, SMTP, POP3, el Correo del Intercambio, que IMAP, CCmail, expresan encima de IP, y vertiendo los medios de comunicación. El E-comercio las comunicaciones pago-relacionadas, sin embargo, usan la Capa de los Enchufes Segura típicamente (SSL), qué no es los decrypted por el Carnívoro.
El carnívoro no viene cerca de tener bastante poder "para espiar en casi todos con una cuenta del e-mail". para trabajar él eficazmente la mayoría de paquetes que supervisa debe rechazar. También supervisa sólo los paquetes que cruzan el alambre a que se conecta. Típicamente, este alambre es un manejo de segmento de red sólo un subconjunto del tráfico de un ISP particular.
4.2.4 RESPONSABILIDAD
IITRI no encontró los comestibleses adecuados por intervenir el uso de Carnívoro. La versión del Carnívoro 1.3.4 computadora de la colección siempre es anotada en como el "Administrador" en lugar de usando al usuario individual IDs. El PCAnywhere el software de acceso remoto, mientras usando el único login IDs, no proporcione la auditoría en una base individual. Como nombrado en párrafo 3.4.4, la contraseña al menú avanzado es incluido en el Carnívoro el software ejecutable. Por consiguiente, no es posible determinar quién, entre un grupo de agentes con la contraseña, puede haber puesto o puede haber cambiado las escenas del filtro. De hecho, cualquier acción tomada por el sistema del Carnívoro que ha sabido la contraseña del Administrador podría dirigirse por cualquiera. Es imposible de rastrear las acciones a los individuos específicos. Intervenir es crucial en la seguridad. Es los medios por que se sostienen los usuarios responsable para sus acciones.
4.2.5 INTEGRIDAD
El carnívoro versión 1.3.4 tiene las deficiencias significantes en protección para la integridad de la información colecciona. Información recogida por el Carnívoro puede perderse o puede adulterarse por el ataque físico, bichos del software, o fracaso de poder. También, la relación entre las escenas de filtro de Carnívoro, los datos reunido, y otras actividades investigadoras pueden ser difíciles establecer. Estas deficiencias hacen el Carnívoro menos eficaz como una herramienta investigadora.
Falte de mando físico de la computadora de colección de Carnívoro engendra algún riesgo de compromiso por el personal de ISP poco fiable. Una vez los técnicos de FBI han instalado Carnívoro que está bajo el mando del ISP. Aunque la computadora de la colección se sale sin un amonestador, teclado, o ratón, los puertos normalmente no se cubren o se desactivan y nada impide a alguien al ISP conectar esos periféricos. Esa persona podría mirar mientras un usos de agente de caso remoto dial-en el acceso transmitir los datos y aprender bastante para ganar mando de la computadora de la colección. Para fechar, el FBI ha confiado en la seguridad física existiendo mide a las instalaciones de ISP confiadas.
FBI labra con herramienta para ver, analiza, y minimiza el rendimiento del Carnívoro crudo contenga varias debilidades materiales. Estas herramientas incluyen Packeteer, reconstruir las sesiones protocolares más altas de los paquetes de IP, y CoolMiner, desplegar los resultados. No son acostumbrados ni Packeteer " ni CoolMiner a limitar los datos coleccionados del blanco, aunque ellos se usan por agentes del caso para el minimización extenso. Durante probar, IITRI encontró varios bichos en las interfaces entre el Carnívoro, Packeteer, y CoolMiner. Éstos incluyen

El tiempo estampa para los paquetes reunido desplegados por CoolMiner no empareje lo que se esperó. Mientras originalmente pensó ser un CoolMiner software bicho, el FBI proporcionó un parche al programa del Carnívoro que arregló este problema.
Estaban desplegándose algunos casos de colección de SMTP válida como los datos del ESTALLIDO. Este bicho del software fue determinado para ser un problema con la manera que Packeteer procesó los datos. Los datos coleccionados por el Carnívoro eran correctos.
A partir de la fecha de este informe, este bicho no ha sido todavía fijo. El carnívoro no recupera de forma consistente de los fracasos de poder. IITRI notó dos problemas. Primero, debido a los manera Carnívoro pulidores datos en los bloques antes de realmente escribir al disco, cualquier fracaso de poder garantiza la pérdida de entre 0 y bytes del max_block_size de ya datos reunido. Esta pérdida está además de cualquier datos extrañado mientras el poder está apagado. Como notado antes, el max_block_size para el disco fijo es 128 kbytes y para los discos trasladables es 64 kbytes. Segundo, hay una condición de la raza que previene el programa del Carnívoro, como él está poniendo en marcha, de acceder la interface de Ethernet fiablemente. Cuando este fracaso ocurre, y el programa del Carnívoro había estado coleccionando antes (antes del fracaso de poder), no puede empezar coleccionando de nuevo automáticamente. Alguien debe acceder el sistema por mano para empezar la colección.
En el Carnívoro versión 1.3.4, como evaluado, no es posible mostrar qué escenas definitivamente fue usado para coleccionar cualquier juego dado de datos. Aunque se guardan los parámetros para la colección en el mismo directorio como los datos reunido, ellos están en un archivo separado y el único eslabón entre los archivos es implícito por los nombres del archivo. Deba se separan los archivos, puede ser difícil demostrar se usaron qué escenas y qué software realmente para coleccionar los datos.
No hay ninguna sincronización de tiempo dentro del Carnívoro. Las estampas de tiempo son dependientes en la escena correcta del reloj de la computadora de la colección y su funcionamiento correcto continuado. Mientras esta deficiencia no puede parecer ser los dispositivos del Carnívoro importantes, múltiples podría usarse en una investigación o podría ser necesario poner en correlación la colección del Carnívoro con otra evidencia colateral. En ese caso, es importante a nota que el tiempo estampa del Carnívoro sólo es tan bueno como la fuente original para el tiempo y la exactitud de la computadora de la colección.
Mientras Windows NT y la manera su trabajo de sistemas de archivo no fue evaluado, otros factores podrían afectar la integridad de los datos. Por ejemplo, desde que hay ningún checksums u otros protections en los datos reunido archiva y ninguna responsabilidad individual, cualquiera podría revisar los datos reunido. Desde todos los usuarios todo el leño en como Administrador, la evidencia de los archivos cambiados podría borrarse.
4.2.6 AMBIENTE DE DESARROLLO DE CARNÍVORO
Ningún proceso de desarrollo formal se usó para el Carnívoro a través de versión 1.3.4. Por consiguiente, problemas técnicos como la exactitud del software, no se dirigieron bien robustez del sistema, interfaces del usuario, auditoría, y responsabilidad y seguridad. Mientras esta falta de un proceso de desarrollo formal podría haber sido aceptable para un "la prueba de concepto" la demostración, no es apropiado para un sistema operacional. Deben desarrollarse los sistemas operacionales con el trazado riguroso de requisitos a través del plan, desarrollo y comprobación, dirección de la configuración fuerte y visión de dirección buena en el proceso de desarrollo. Un proceso de desarrollo más formal se ha establecido para el Carnívoro versión 2.0, pero IITRI no ha evaluado la efectividad del nuevo proceso.
4.2.7 PREOCUPACIONES MISCELÁNEAS
El propósito para la evaluación independiente de Carnívoro incluye varios preocupaciones sobre el efecto en el retiro de individuos que no son el blanco de vigilancia corte-pedida. Examinando esas preocupaciones, IITRI concluye ese Carnívoro que versión 1.3.4 no hace

Lea mensajes del e-mail todo entrantes y salientes, incluso el remitente, destinatarios, asunto del mensaje y cuerpo. Sólo guarda los paquetes para el análisis más tarde después de que ellos se unen positivamente por las escenas del filtro a un blanco
Supervise el tejido-surf y transmitiendo hábitos de los clientes de todo el ISP, incluso las búsquedas de tejido para información o las personas. Sólo puede grabar para evaluación más tarde que algunos archivos de IITRI recuperaron por un blanco
Amonestador o leyó toda la otra actividad electrónica para ese ISP, incluso los mensajes instante (como con ICQ), traslados del archivo persona a persona, el tejido publicando, FTP, Telnet, el newsgroups, las compras en línea, y nada más que se derrota a través de ese ISP. Puede grabar que sólo un subconjunto de cosas así archiva para un usuario específico
Además, IITRI notó la preocupación pública que el FBI y DoJ puede usar el Carnívoro para los propósitos de otra manera que la vigilancia. Basado en la evaluación de la arquitectura y aplicación, y las capacidades del software del Carnívoro, IITRI concluye ese Carnívoro que versión 1.3.4 no puede

Altere o quite los paquetes de la red o introduzca los nuevos paquetes
Bloquee cualquier tráfico en la red
Quite imágenes, las condiciones, etc. de las comunicaciones
Asga mando de cualquier porción de tráfico de Internet
Cierre o cierre fuera de las comunicaciones de cualquier persona, sitio de tejido, compañía, o ISP
Cierre fuera de las cuentas, ISPs, etc. a "contenga" una investigación
4.2.8 DESCARGO DE CARNÍVORO
El FBI tiene las razones legítimas para oponer descargo público de Carnívoro versión 1.3.4. El FBI se restringe, por la licencia, de soltar el código comercial que forma la base de la herramienta. Además, la versión actual tiene limitaciones técnicas que podrían explotarse para derrotar la vigilancia si ellos fueron revelados.
La ley constitucional y estatutaria federal reconoce la necesidad de proteger fuentes de entrada en vigor de ley y métodos. FOIA contiene una exención explícita para información que descubriría técnicas de entrada en vigor de ley confidenciales o compromiso las investigaciones delictivas continuadas. Las limitaciones técnicas específicas de Carnívoro, IITRI cree, se cae dentro de estos protections y se lista debajo. El carnívoro

Puede oponerse a con simple, el encryption del público-dominio.
No pueda coleccionar eficazmente que POP3 mandan electrónicamente los mensajes en el modo de la pluma. Tiene capacidad insuficiente de separar permitida contra la información prohibida de los mensajes. Él por consiguiente, no colecciona nada. Durante probar, IITRI determinó que para la colección de modo de pluma de e-mail del ESTALLIDO, la única información coleccionada era los mensajes de mando de ESTALLIDO. Todos que podrían verse eran que el usuario designado había autenticado al Servidor del ESTALLIDO en un momento dado y que se recuperaron los mensajes. Ningún A o DE la información era reunido.
No pueda manejar el nonstandard las aplicaciones protocolares. Las aplicaciones de Nonstandard pueden producir el encima de-colección potencial y, típicamente, la colección se termina. Por ejemplo, cuando los apuros han sido hecho ocuparse de pipelined mande electrónicamente las transmisiones, ellos podrían abrir los mecanismos adicionales para derrotar el Carnívoro, si reveló. Probando contra la aplicación del nonstandard es sumamente difícil.
Tiene una habilidad limitada de procesar las Internet e-mail cuentas. La aplicación actual requiere conocimiento explícito del formato del proveedor leño-en los mensajes.
No pueda coleccionar en los ambientes de alto-tráfico. Clientes de cierto ISPs están eficazmente más allá del alcance. El FBI ha encontrado que al coleccionar un flujo firme de paquetes, el Carnívoro puede manejar a a 60 Mbps sin dejar caer los paquetes si escribiendo sus datos reunido a un disco duro de velocidad alto. Si escribiendo al disco del Jazz, la proporción deja caer a 15 Mbps, y si escribiendo a un disco del Silbido, la proporción deja caer a 5 Mbps. (Proporciones proporcionadas por el FBI; no verificado a través de probar.)
Los usos apoyan herramientas que tienen las limitaciones adicionales. Packeteer no puede reconstruir todos los protocolos TCP-basado y CoolMiner no informa cierto presente de información en el rendimiento de Packeteer. IITRI también encontró situaciones en que el rendimiento de CoolMiner no reflejó el rendimiento de Carnívoro.
4.3 PREGUNTAS DE DOJ
Las conclusiones generales de IITRI se dirigen las preocupaciones para el retiro. Estos párrafos se dirigen las preguntas específicas del DoJ sobre el Carnívoro. Se proporcionan las conclusiones de IITRI en los párrafos siguientes.
4.3.1 DOJ QUESTION 1
La pregunta. ¿El Carnívoro les proporciona todos a investigadores, pero sólo, la información se diseña y puso para proporcionar de acuerdo con un orden judicial dado?
La respuesta. Cuando Carnívoro que versión 1.3.4 se usa correctamente bajo un Título III orden, proporciona a investigadores sin más información que se permite por un orden judicial dado. En algunos casos les proporciona menos información que ellos a investigadores debido a las limitaciones de la actuación, se permite coleccionar. En el modo de la pluma, crea los archivos con toda seguridad protocolos del e-mail que pueden analizarse para determinar más simple A y DE los Detalles de información de nuestras conclusiones sobre la colección se proporciona en párrafo 4.2.3.
IITRI observó el entrenamiento completo y programas de vigilancia usados por el FBI para asegurar que agentes entienden las limitaciones en la información que ellos pueden obtener bajo un orden judicial, los medios técnicos para coleccionar la tal información, y las consecuencias de encima de - o bajo-colección. El examen de código encontró ninguna capacidad oculta que permitiría el Carnívoro para coleccionar la información sin el conocimiento de los agentes que lo usan.
4.3.2 DOJ QUESTION 2
La pregunta. ¿El Carnívoro introduce algún nuevo, material riesgo de operacional o deterioro de seguridad de la red de un ISP?
La respuesta. El Carnívoro operando versión 1.3.4 introduce ningún operacional o la seguridad se arriesga al ISP dónde se instala. Esta conclusión se apoya por la evaluación de la arquitectura de IITRI y discusiones con ISPs.
El carnívoro ata a la red de ISP usando un leer-sólo palmadita. Esta palmadita introduce, el más a lo sumo un retraso de tiempo de 1-pedazo--lejos menos de más equipo de la red normal. Las discusiones con representantes de ISP confirmados que el leer-sólo palmadita es empleado para la instalación del campo y el FBI toma los pasos razonables para minimizar la interferencia con los funcionamientos de ISP. Porque leer-sólo es y no puede introducir el tráfico, el Carnívoro no puede poner una carga adicional en la red de ISP, ni puede alterar o por otra parte los funcionamientos de compromiso.
Las situaciones pueden levantarse en que él ISP se pide hacer los cambios a su funcionamiento acomodar la vigilancia corte-pedida. Un cambio a los funcionamientos lleva algún riesgo y debe aproximarse y llevó a cabo con el cuatela debido.
El eslabón del telemando (vea párrafo 3.4.3) establezca un camino a la computadora de colección de Carnívoro dentro de la facilidad segura del ISP. IITRI encontró: (1) el eslabón no proporciona el acceso al equipo de ISP; (2) el eslabón es adecuadamente protegido del uso desautorizado; y (3) el eslabón no puede usarse para ya no acceder información guardada en el Carnívoro.
4.3.3 DOJ QUESTION 3
La pregunta. Hace el riesgo del Carnívoro la adquisición desautorizado, si intencional o involuntario, de información de comunicación electrónica por: ¿(1) personal de FBI o (2) las personas de otra manera que el personal de FBI?
La respuesta. Carnívoro que versión 1.3.4 presenta a algún riesgo de adquisición desautorizado intencional y " involuntaria de información de comunicación electrónica por el personal de FBI, pero introduce riesgo adicional pequeño de adquisición por las personas de otra manera que el personal de FBI. Porque el personal de FBI debe seleccionar las escenas apropiadas para el Carnívoro obedecer el orden judicial, hay siempre la posibilidad de error. La oportunidad de un error especificando las escenas del Carnívoro es baja debido al número grande de individuos involucrado ideando el orden judicial y determinando la viabilidad de su aplicación por el Carnívoro. Hay, sin embargo, la posibilidad de error involuntario; por ejemplo, pulsando el botón el botón de la radio para la colección llena cuando el operador quiso pulsar el botón el botón de la radio al lado de él para la colección del pluma-trampa. No hay ningún mecanismo por descubrir o minimizar la probabilidad de semejante error del arreglo involuntario.
Las violaciones intencionales de limitaciones corte-prescritas, o de procedimientos de FBI, probablemente será descubierto a través de la vigilancia judicial y vigilancia de FBI. Evaluación del riesgo de violación intencional no detectada de limitaciones corte-prescritas o de procedimientos de FBI está más allá del alcance de este informe.
El riesgo que las personas de otra manera que el FBI tendrían el acceso a los datos reunido es muy pequeño. Este acceso está limitado por ambos los dispositivos de la autenticación electrónicos en la línea telefónica remota y usuario-nombre usando y autenticación de la contraseña dentro del programa de acceso remoto. El personal de ISP puede ganar el acceso posiblemente a los datos, pero ellos ya tienen el acceso en virtud de tener el acceso a su propia red.
4.3.4 DOJ QUESTION 4
La pregunta. ¿El Carnívoro proporciona protections, incluso las funciones de la auditoría y procedimientos operacionales o prácticas, correspondiente con el nivel de los riesgos?
La respuesta. Mientras procedimientos operacionales o prácticas parecen legítimas, el Carnívoro versión 1.3.4 no proporciona protections, sobre todo las funciones de la auditoría, correspondiente con el nivel de los riesgos. Se presentan detalles de estos riesgos en párrafos 4.2.4, Responsabilidad, y 4.2.5, la Integridad.

[Pages A-1 to A-4 (sic).]
SECTION 5
RECOMMENDATIONS

Although IITRI specifically excluded questions of constitutionality and of illegal activity by the FBI from this evaluation, IITRI is concerned that the presence of Carnivore and its successors without safeguards as recommended below: (1) fuels the concerns of responsible privacy advocates and reduces the expectations of privacy by citizens at large and (2) increases public concern about the potential unauthorized activity of law enforcement agents. To reduce these concerns, IITRI makes the recommendations in the following paragraphs to add protections that are commensurate with the level of risks inherent in deploying a system such as Carnivore.
5.1 RECOMMENDATION 1

Continue to use Carnivore rather than less-precise, publicly available sniffer software, such as EtherPeek, when precise collection is required and Carnivore can be configured to reflect the limitations of a court order.

Rationale: Carnivore is sniffer software with limitations in the form of filters, which block Carnivore from capturing all the packets that would be captured by generic sniffer software. Accordingly, the use of Carnivore by the FBI presents less of a threat to privacy interests than using generic sniffer software. IITRI determined that Carnivore, when properly configured under a Title III order, does not over-collect. Accordingly, in the Title III context, continued use of Carnivore instead of publicly-available sniffer software is clearly appropriate.

Using ISP resources to accomplish surveillance is a preferred option by the FBI. However, IITRI verified through analysis, experiment, and interviews with ISPs that Carnivore can perform precision surveillance that cannot be duplicated by the ISP without Carnivore.
5.2 RECOMMENDATION 2

Provide separate versions of Carnivore for pen register and full content collection.

Rationale: IITRI determined that Carnivore over-collects in the pen-trap mode because it indicates the length of fields other than the TO and FROM fields, even though it does not collect the content of those fields. Moreover, placement of pen mode buttons next to full mode buttons on the Carnivore setup screen leaves open the possibility of accidental configuration of Carnivore to collect in the full mode when only pen mode collection has been authorized. The best way to eliminate these risks is to have two separate versions of the Carnivore software -- one for full mode collection and another for pen mode collection -- and to make changes in the pen mode software. The current practice of collecting all the packets related to an e-mail message and then writing Xs in fields other than the FROM and TO fields is undesirable because it reveals the length of those fields. The pen mode software should be rewritten to capture only the SMTP packets containing the MAIL FROM and RCPT TO instructions, ignoring packets between the DATA and QUIT instructions; it should capture only portions of POP packets following a RETR instruction, parsed to include only the text following the keywords, "FROM," "SENDER," and "ORIG-DATE." Extracting the destination or addressee from the message is unnecessary because all messages retrieved through POP are to the same person. Similar modifications in the pen mode software are appropriate to cover other e-mail protocols such as Exchange and CCmail.
5.3 RECOMMENDATION 3

Provide individual accountability for all Carnivore actions. Each setting, start, stop, or retrieval should be traceable to a specific agent. If necessary, alter the software architecture to take advantage of security features in the operating system.

Rationale: Any system that does not provide for individual accountability is not secure. Given that chain-of-custody for the collected evidence is important, it should be important to know who set up the collection and when it was set up, who started the collection and when it was started, who downloaded the data and when it was downloaded, etc.

The biggest obstacle to retrofitting Carnivore version 1.3.4 to provide for individual accountability is that the Carnivore software is implemented as an application, rather than as a service controlled by an application GUI. An example of a program implemented in the latter fashion is PCAnywhere. Because Carnivore is written as an application rather than a service, it cannot be run as a "background" job. This implementation is why the Carnivore computer must be logged in as "Administrator" at all times.

If Carnivore were rewritten so that the collection software ran as a service, it could be started automatically each time the machine was rebooted, just like PCAnywhere. The GUI could be started by anyone that logs in to the machine. Each user could have a separate user ID and, thus, the Windows NT event logs could be used to provide a level of accountability.

To access the advanced features which allow collection parameters to be set, a user ID should be required in addition to a password. The application should use the Windows NT authentication mechanisms so that a password does not need to be compiled into the code.

The Carnivore system should maintain its own audit trail in addition to the Windows NT event logs. Every time collection is started or stopped, a record should be written to a log that records who performed the action and when it was performed. This log should be part of the collected data file. Each file of collection parameters that is created should also contain a log of who created or edited it, and when.
5.4 RECOMMENDATION 4

Enhance physical control of Carnivore when it is deployed.

Rationale: The lack of physical control of the Carnivore computer could be a problem with regard to chain-of-custody for the data collected. A more tamper-resistant or tamper-evident container would be appropriate. At the very least, tamper seals should be placed over the edges of the box and on the connectors for the keyboard, monitor, and mouse. Then, if the ISP attempts to connect its own peripherals, the seals will be broken, showing evidence of tampering.

PCAnywhere should have control over keyboard and mouse defaults to the remote computer. As given to IITRI, control was shared by the local and the remote computers.
5.5 RECOMMENDATION 5

Explicitly bind collected data to the collection configuration by recording the filter settings with each collected file and add a CRC to the recorded file (IITRI understands this capability is being added in Carnivore 2.0). A log of the filter settings used for a given collection should be explicitly bound to each data file collected using that filter set. (IITRI understands this capability is being added in Carnivore 2.0),

Rationale: The collection parameters should be maintained in the same file as the collected data. The file of collected data should be protected by a CRC to provide a higher level of confidence that nothing in the collected data or parameters has been changed. This protection would also make forgery of that data significantly more difficult. If possible, the CRC should be cryptographically based. That is, once the CRC has been computed, it should be encrypted. The cryptovariable (sometimes referred to as a "key") used for the encryption should be different for each Carnivore collection case. Without knowing the cryptovariable, it would be mathematically infeasible for someone to forge a collected dataset.
5.6 RECOMMENDATION 6

Employ a formal development process.

Rationale: Using a formal development process is known to reduce the probability of software errors. This process should include automated requirements tracking, configuration management and independent verification and validation. (IITRI was told that Carnivore is now being developed in such an environment).
5.7 RECOMMENDATION 7

Provide checks in the user interface software to ensure that settings are reasonable and consistent.

Rationale: In the current Carnivore software, it is possible to select filter settings that may not be appropriate or even technically feasible, for example, full TCP collection without any other filters. This selection would collect all information that is available on the local area network. Specifically, prevent filter settings from being used in which no explicit filtering parameters are provided, i.e., require one or more of IP address or range, port numbers, e-mail address, or text string. (IITRI understands that such checks are planned for future versions.)

The GUI should not include features, such as the startup IP address, which are not actually implemented in the system. These features could cause confusion when the device is set up. Similarly, since the text search box is ignored when SMTP or POP collection for a specific user is enabled, the text search box should be "grayed-out" to prevent confusion whenever a specific SMTP or POP e-mail address is entered.
5.8 RECOMMENDATION 8

Work toward public release of Carnivore source code by eliminating exploitable weaknesses. Until that can be done, continue independent evaluation of each Carnivore version to assess effectiveness and risks of over- and under-collection.

Rationale: Whether Carnivore source code should be publicly released is a difficult question to answer. Major parts of the computer science community favor public release of encryption algorithms and code to permit the widest possible scrutiny of possible "holes" in the security provided. On the other hand, sources and methods for criminal surveillance and foreign intelligence collection traditionally have not been disclosed. Revealing a hole in encryption security does not provide all those wishing to defeat the encryption with keys; revealing limitations of surveillance software provides those wishing to evade surveillance with the keys to do so. Nevertheless, the public, service providers and privacy advocates believe they understand how telephone wiretap technology works; they do not understand how electronic surveillance works. Unwarranted concerns about the risks of electronic surveillance could be reduced by more complete information about the software tools used for this type of surveillance. That information could be provided either by releasing software code or by continuing the practice of commissioning independent assessments of the effectiveness and risks of particular tools.
5.9 RECOMMENDATION 9

Once Packeteer and CoolMiner have had all the software bugs fixed, those tools should be offered to the defense in any criminal case in which Carnivore data is used.

Rationale: This offering would help to alleviate negative publicity regarding the DragonWare suite of tools and leave the focus on the Carnivore device itself since that is where the court order is implemented and collection takes place. The Packeteer and Coolminer programs are only for data analysis.

[Pages A-1 to A-2.]
APPENDIX A
TELEPHONE EAVESDROPPING AS A REFERENCE POINT

Since 1968, federal law has explicitly authorized telephone wiretaps and pen-trap surveillance under judicial supervision. In evaluating concerns about the use of Carnivore, it is appropriate to use telephone surveillance as a reference point.
A.1 MINIMIZATION

When a court authorizes a telephone wiretap under Title III, the telephone service provider is obligated to afford law enforcement authorities access to that part of the public switched telephone network (PSTN) containing targeted conversations. Typically, the law enforcement authorities then install monitoring equipment through which law enforcement agents listen to conversations while recording them. Minimization obligations are satisfied by turning off the equipment when content outside the scope of the Title III order is heard, turning the equipment back on periodically to determine if content within the scope of the order is occurring. The efficacy of minimization thus depends upon the judgment of the human listener.
A.2 PEN REGISTER AND TRAP AND TRACE SURVEILLANCE

A pen register device records the telephone numbers on outgoing calls from a targeted telephone subscriber. A trap and trace device records the telephone numbers of incoming calls to a targeted telephone subscriber. The two forms of surveillance often are used together, in which case they are informally referred to as pen-trap surveillance.

Older analog telephone technologies carried signaling data on the same channel that carried the conversation. The signaling data pertinent to pen-trap surveillance comprised dial pulses or tones. Pen register devices for this older technology detect only the pulses or tones and record them. The devices are incapable of "understanding" the conversations. Thus, even though the signaling data and the content is present on the same channel, the monitoring devices are capable of detecting and recording only the signaling data.

Trap and trace monitoring with older technologies required human intervention to trace the channel for a particular call back through the telephone switching equipment to its origin.

Newer digital switching technologies employ out-of-band signaling, meaning that the signaling data necessary to set up a telephone call is carried on a different channel from the conversation itself, after it reaches the switching office nearest the calling subscriber. With these newer technologies, both pen register and trap and trace monitoring occur only on the signaling channel and not on the channel carrying the conversation. Monitoring on this separate signaling channel reinforces the impossibility of the monitoring equipment acquiring the contents of the conversation.

The newer technologies also make it easier to conduct trap and trace surveillance because the signaling channel carries data about the origin of each call, eliminating the necessity for manual tracing of circuits to determine call origin.

Any surveillance of electronic data communication confronts two fundamentally different realities. First, with the exception of FTP file transfer, data used for addressing -- analogous to call set-up information in the voice telephone system -- is part of the same data packets used to communicate content. Thus, all communication set-up information is inherently in-band. Second, both the communication set-up data and the content is digital in form, permitting machine processing of both content and set-up data.

Data packets can be processed by computers only because the information in the data packet is formatted according to standards or protocols. This formatting permits a processing computer to distinguish the communication set-up data; for example, the destination IP address, TCP port, or TCP session number or e-mail destination address from the content of the message. If a monitoring device is properly programmed, it can acquire only the set-up data and discard everything else in a packet. On the other hand, if it acquires entire packets, it acquires content as well as set-up information.

These basic differences between data and voice technologies give rise to concerns that any electronic data monitoring under the authority of a pen-trap order is likely to exceed the intended scope of the pen-trap statutes, which have a much lower legal threshold for monitoring than Title III.

.SECCIÓN 5
LAS RECOMENDACIONES

Aunque IITRI excluyó preguntas de constitucionalidad específicamente y de actividad ilegal por el FBI de esta evaluación, IITRI está interesado que la presencia de Carnívoro y sus sucesores sin los resguardos como recomendado debajo: (1) los combustibles las preocupaciones de abogados del retiro responsables y reduce las expectativas de retiro por los ciudadanos a grande y (2) los aumentos la preocupación pública sobre la actividad desautorizado potencial de agentes de entrada en vigor de ley. Para reducir estas preocupaciones, IITRI hace las recomendaciones en los párrafos siguientes agregar protections que es correspondiente con el nivel de riesgos inherente desplegando un sistema como el Carnívoro.
5.1 RECOMENDACIÓN 1
Continúe usando el Carnívoro en lugar del software del olfateador menos-preciso, públicamente disponible, como EtherPeek, cuando la colección precisa se requiere y el Carnívoro puede configurarse para reflejar las limitaciones de un orden judicial.
La razón: El carnívoro es el software del olfateador con las limitaciones en la forma de filtros que bloquean el Carnívoro de capturar todos los paquetes que se capturarían por el software del olfateador genérico. De acuerdo con, el uso de Carnívoro por el FBI presenta menos de una amenaza al retiro interesa que usando el software del olfateador genérico. IITRI determinó ese Carnívoro, cuando propiamente configuró bajo un Título III orden, no encima de-coleccione. De acuerdo con, en el Título III contexto, el uso continuado de Carnívoro en lugar del software del olfateador públicamente-disponible es claramente apropiado.
Los recursos de ISP usando para lograr la vigilancia son una opción preferida por el FBI. Sin embargo, IITRI verificó a través del análisis, experimento, y entrevistas con ISPs que el Carnívoro puede realizar vigilancia de precisión que no puede reproducirse por el ISP sin el Carnívoro.
5.2 RECOMENDACIÓN 2
Mantenga versiones separadas de Carnívoro el registro de la pluma y la colección satisfecha llena.
La razón: IITRI determinó ese Carnívoro encima de-colecciona en el modo del pluma-trampa porque indica la longitud de campos de otra manera que el A y DE los campos, aunque no colecciona el volumen de esos campos. Es más, la colocación de modo de la pluma abrocha al lado de los botones del modo llenos en la pantalla de arreglo de Carnívoro que sale abierto la posibilidad de configuración accidental de Carnívoro de coleccionar en el modo lleno cuando sólo colección de modo de pluma ha sido autorizada. La manera mejor de eliminar estos riesgos es tener dos versiones separadas del software del Carnívoro--uno para la colección del modo llena y otra para la colección de modo de pluma--y para hacer los cambios en el software de modo de pluma. La práctica actual de coleccionar todos los paquetes relacionó a un mensaje del e-mail y Xs entonces escribiendo en los campos de otra manera que el DE y A los campos es indeseable porque revela la longitud de esos campos. El software de modo de pluma debe volverse a escribir para capturar sólo los paquetes de SMTP que contienen el CORREO DE y RCPT A las instrucciones, ignorando los paquetes entre los DATOS y las instrucciones LIBRES; sólo debe capturar divide de paquetes del ESTALLIDO que siguen una instrucción de RETR, analizados para incluir sólo el texto que sigue las palabras claves, "DE," "el REMITENTE," y "ORIG-FECHA". Extrayendo el destino o destinatario del mensaje es innecesario porque todos los mensajes recuperaron a través del ESTALLIDO es a la misma persona. Las modificaciones similares en el software de modo de pluma son apropiadas cubrir otros protocolos del e-mail como el Intercambio y CCmail.
5.3 RECOMENDACIÓN 3
Mantenga la responsabilidad individual todas las acciones del Carnívoro. Cada escena, salida, parada, o recuperación deben ser identificables a un agente específico. Si necesario, altere la arquitectura del software para aprovecharse de rasgos de seguridad en el sistema operativo.
La razón: Cualquier sistema que no mantiene la responsabilidad individual no está seguro. Dado ese cadena-de-custodia para la evidencia reunido es importante, debe ser importante saber quién preparó la colección y cuando era fijo a, quién empezó la colección y cuando fue empezado, quién transmitió los datos y cuando fue transmitido, etc.
El obstáculo más grande al Carnívoro del retrofitting versión 1.3.4 para mantener la responsabilidad individual es que el software del Carnívoro se lleva a cabo como una aplicación, en lugar de cuando un servicio controló por una aplicación GUI. Un ejemplo de un programa llevado a cabo en la última moda es PCAnywhere. Porque el Carnívoro es escrito como una aplicación en lugar de un servicio, no puede correrse como un "fondo" el trabajo. Esta aplicación es por qué la computadora del Carnívoro debe anotarse en todo momento en como "Administrador."
Si el Carnívoro fuera vuelto a escribir que para que el software de la colección corriera como un servicio, podría empezarse cada tiempo automáticamente la máquina era el rebooted, sólo como PCAnywhere. El GUI podría empezarse por cualquiera que los leños en a la máquina. Cada usuario podría tener un usuario separado ID y, así, el Windows podrían usarse los NT evento leños para proporcionar un nivel de responsabilidad.
Acceder los rasgos avanzados que permiten poner los parámetros de la colección, un usuario que ID debe requerirse además de una contraseña. La aplicación debe usar el Windows los NT autenticación mecanismos para que una contraseña no necesite ser compilada en el código.
El sistema del Carnívoro debe mantener su propio sendero de la auditoría además del Windows los NT evento leños. Cada colección de tiempo se empieza o se detiene, un registro debe escribirse a un leño que archivos que realizaron la acción y cuando fue realizado. Este leño debe ser parte del archivo de los datos reunido. Cada archivo de parámetros de la colección que se crean también debe contener un leño de quién creó o lo revisó, y cuando.
5.4 RECOMENDACIÓN 4
Refuerce mando físico de Carnívoro cuando se despliega.
La razón: La falta de mando físico de la computadora del Carnívoro podría ser un problema con respecto al cadena-de-custodia para los datos coleccionados. Un recipiente más manosear-resistente o manosear-evidente sería apropiado. Al muy menor, manosee deben ponerse las focas encima de los bordes de la caja y en los conectores para el teclado, amonestador, y ratón. Entonces, si el ISP intenta conectar sus propios periféricos, las focas se romperán, mientras mostrando evidencia de manosear.
PCAnywhere debe tener el mando encima del teclado y el ratón tiene como valor predefinido a la computadora remota. Como dado a IITRI, el mando era compartido por el local y las computadoras remotas.
5.5 RECOMENDACIÓN 5
Explícitamente el lazo coleccionó los datos a la configuración de la colección grabando las escenas del filtro con cada archivo reunido y agrega un CRC al archivo grabado (IITRI entiende esta capacidad está agregándose en Carnívoro 2.0). UN leño de las escenas del filtro usado para una colección dada debe ligarse explícitamente a cada archivo de los datos coleccionó usando ese juego del filtro. (IITRI entiende esta capacidad está agregándose en Carnívoro 2.0),
La razón: Los parámetros de la colección deben mantenerse en el mismo archivo como los datos reunido. El archivo de datos reunido debe protegerse por un CRC para proporcionar un nivel más alto de confianza que nada en los datos reunido o se han cambiado los parámetros. Esta protección también haría falsificación de ese datos significativamente más difícil. Si posible, el CRC debe ser cryptographically basados. Es decir, una vez el CRC se ha computado, debe ser los encrypted. El cryptovariable (a veces llamado un "importante") usó para el encryption debe ser diferente para cada caso de colección de Carnívoro. Sin saber el cryptovariable, sería matemáticamente los infeasible para alguien forjar un dataset reunido.
5.6 RECOMENDACIÓN 6
Emplee un proceso de desarrollo formal.
La razón: Usando un proceso de desarrollo formal se conoce para reducir la probabilidad de errores del software. Este proceso debe incluir requisitos rastreando automatizado, dirección de la configuración y comprobación independiente y aprobación. (IITRI fue dicho que el Carnívoro está desarrollándose ahora en semejante ambiente).
5.7 RECOMENDACIÓN 7
Proporcione los cheques en el usuario que une el software para asegurar que las escenas son razonables y consistentes.
La razón: En el software del Carnívoro actual, es posible seleccionar escenas del filtro que no pueden ser apropiado o pueden igualar factible técnicamente, por ejemplo, colección de TCP llena sin cualquier otro filtro. Esta selección coleccionaría toda la información que está disponible en la red del área local. Específicamente, prevenga las escenas del filtro de usarse en que ningún parámetro de la filtración explícito se proporciona, es decir, requiera uno o más de dirección de IP o va, números del puerto, dirección del e-mail, o cordón del texto. (IITRI entiende que se planean los tales cheques para las versiones futuras.)
El GUI no debe incluir los rasgos, como el startup IP se dirigen que realmente no se lleva a cabo en el sistema. Estos rasgos podrían causar la confusión cuando el dispositivo es fijo a. Semejantemente, desde que la caja de búsqueda de texto se ignora que cuando SMTP o colección del ESTALLIDO para un usuario específico se habilitan, la caja de búsqueda de texto debe ser "encanecer-fuera" para prevenir la confusión siempre que un SMTP específico o en la dirección de e-mail de ESTALLIDO se entra.
5.8 RECOMENDACIÓN 8
Trabaje hacia el descargo público de código de fuente de Carnívoro eliminando las debilidades explotables. Hasta eso puede hacerse, continúe evaluación independiente de cada versión del Carnívoro para evaluar efectividad y riesgos de encima de - y bajo-colección.
La razón: Si el código de fuente de Carnívoro debe soltarse públicamente es una pregunta difícil para contestar. Las partes del comandante del favor de comunidad de informática el descargo público de algoritmos del encryption y codifica para permitir el posible escrutinio más ancho de posibles "agujeros" en la seguridad proporcionó. Por otro lado, no se han descubierto las fuentes y métodos para la vigilancia delictiva y la colección de inteligencia extranjera tradicionalmente. Revelando un agujero en la seguridad del encryption no proporciona todos aquéllos deseando derrotar el encryption con las llaves; las limitaciones revelando de software de vigilancia proporcionan aquéllos deseando evadir la vigilancia con las llaves para hacer para que. No obstante, el público, proveedores de servicio y abogados del retiro creen que ellos entienden cómo telefonea los trabajos de tecnología de wiretap; ellos no entienden cómo los trabajos de vigilancia electrónicos. Las preocupaciones injustificadas sobre los riesgos de vigilancia electrónica podrían ser reducidas por la información más completa sobre las herramientas del software usadas para este tipo de vigilancia. Esa información o podría proporcionarse soltando el código del software o continuando la práctica de comisionar valoraciones independientes de la efectividad y riesgos de herramientas particulares.
5.9 RECOMENDACIÓN 9
Una vez Packeteer y CoolMiner han tenido todos los bichos del software arreglados, esas herramientas deben ofrecerse a la defensa en cualquier caso delictivo en que el datos del Carnívoro se usa.
La razón: Esta ofrenda ayudaría aliviar la publicidad negativa con respecto a la colección de DragonWare de herramientas y dejar el enfoque en el propio dispositivo del Carnívoro desde que eso es donde el orden judicial se lleva a cabo y la colección tiene lugar. Los Packeteer y programas de Coolminer sólo son para el análisis de los datos.

[Las páginas UN-1 a UN-2.]
EL APÉNDICE UN
TELÉFONO QUE ESCUCHA DETRÁS DE LAS PUERTAS COMO UN PUNTO DE LA REFERENCIA

Desde 1968, la ley federal ha autorizado wiretaps del teléfono y vigilancia del pluma-trampa explícitamente bajo la vigilancia judicial. Evaluando las preocupaciones sobre el uso de Carnívoro, es apropiado usar la vigilancia del teléfono como un punto de la referencia.
EL MINIMIZACIÓN DE A.1
Cuando una corte autoriza un wiretap del teléfono bajo el Título III, el proveedor de servicio de teléfono se obliga permitirse el lujo de las autoridades de entrada en vigor de ley acceda a esa parte del público cambió la red del teléfono (PSTN) conteniendo las conversaciones del targeted. Típicamente, las autoridades de entrada en vigor de ley instalan supervisando equipo a través de que agentes de entrada en vigor de ley escuchan a las conversaciones entonces mientras grabándolos. Las obligaciones de minimización están satisfechas apagando el equipo cuando satisfecho fuera del alcance del Título III orden se oye, mientras retrocediendo el equipo periódicamente adelante determinar si satisfecho dentro del alcance del orden está ocurriendo. La eficacia de minimización depende así en el juicio del oyente humano.
A.2 PEN EL REGISTRO Y TRAMPA Y VIGILANCIA DEL RASTRO
Un dispositivo de registro de pluma graba que el teléfono numera en las llamadas salientes de un subscriptor de teléfono de targeted. Una trampa y el dispositivo del rastro graba el teléfono numera de llamadas entrantes a un subscriptor de teléfono de targeted. Se usan a menudo juntos las dos formas de vigilancia en que caso que ellos están informalmente llamado la vigilancia del pluma-trampa.
Las tecnologías del teléfono analógicas más viejas llevaron los datos de la señalización en el mismo cauce que llevó la conversación. Los datos de la señalización pertinente para pluma-entrampar vigilancia comprendida el dial pulsa o tonos. Los dispositivos de registro de pluma para esta tecnología más vieja descubren sólo los pulsos o tonos y los graban. Los dispositivos son incapaces de "entendiendo" las conversaciones. Así, aunque los datos de la señalización y el volumen está presente en el mismo cauce, los dispositivos supervisando son capaces de descubrir y grabar sólo los datos de la señalización.
La trampa y rastro que supervisan con las tecnologías más viejas exigieron a la intervención humana rastrear el cauce atrás para una llamada particular a través del teléfono que cambia el equipo a su origen.
Las más nuevas tecnologías cambiando digitales emplean la señalización del fuera-de-venda, mientras significando que los datos de la señalización necesario preparar una llamada telefónica se lleva en un cauce diferente de la propia conversación, después de que llega a la oficina cambiando más cercano el subscriptor de la profesión. Con estas más nuevas tecnologías, los dos el registro de la pluma y trampa y rastro supervisando sólo ocurren en el cauce de la señalización y no en el transporte del cauce la conversación. Supervisando en este refuerzos de cauce de señalización separados la imposibilidad del equipo supervisando que adquiere los volúmenes de la conversación.
Las más nuevas tecnologías también le hacen más fácil para dirigir trampa y vigilancia del rastro porque el cauce de la señalización lleva los datos sobre el origen de cada llamada, mientras eliminando la necesidad por el trazado del manual de circuitos determinar el origen de la llamada.
Cualquier vigilancia de comunicación de los datos electrónica confronta dos realidades fundamentalmente diferentes. Primero, con la excepción de FTP archivo traslado, los datos usaron por dirigirse--análogo para llamar la información de la estructuración en el sistema de teléfono de voz--es la parte de los mismos paquetes de los datos comunicaba el volumen. Así, toda la información de estructuración de comunicación es inherentemente el en-venda. Segundo, los datos de estructuración de comunicación y " el volumen es digital en la forma, mientras permitiendo proceso de la máquina de ambos satisfecho y datos de la estructuración.
Los paquetes de los datos sólo pueden ser procesados por las computadoras porque se estructura la información en el paquete de los datos según normas o protocolos. Este formato le permite a una computadora del proceso distinguir los datos de estructuración de comunicación; por ejemplo, el destino que IP se dirigen, TCP ponen a babor, o TCP sesión número o dirección de destino de e-mail del volumen del mensaje. Si un dispositivo supervisando se programa propiamente, puede adquirir sólo los datos de la estructuración y desecho todo lo demás en un paquete. Por otro lado, si adquiere los paquetes enteros, adquiere el volumen así como la información de la estructuración.
Estas diferencias básicas entre los datos y tecnologías de la voz dan lugar a las preocupaciones que es probable que cualquier datos electrónico que supervisa bajo la autoridad de un orden del pluma-trampa exceda el alcance intencional de los estatutos del pluma-trampa que tienen un muy más bajo umbral legal por supervisar que el Título III.