El Jamon y el Vino

Tirar la vaca

2010-02-01T01:23:00.003-03:00

Es gracioso como el destino nos puede poner trabas o a veces buenos empujones que nos hacen cambiar de rumbo o de planes.

Desde hace ya un tiempo que venia dedicando mi mente a mi retorno a las practicas de Kung Fu. Lo que al principio fue un simple retorno al ejercicio para un bienestar físico y mental poco a poco se convirtió nuevamente en una parte integral de mi vida y de ahí en el factor principal por lo cual todo el resto se movía.

Una vez mas estábamos con la cabeza en "respirar, comer y vivir Kung Fu", al punto tal de ya tener planeado para el primer semestre del 2010 un cronogramas de actividades realizando 6 días a la semana actividad física, y de los cuales 4 de ellos iban a ser netamente: Kung Fu.

Pero hace unos días atrás, al retomar las practicas de Kung Fu paso "algo", que aun no se si es bueno o es malo (quizas solo el cielo lo sepa :) )

En la primer practica de Kung Fu, en el primer salto que realice cai mal y me esguince el pie izquierdo. Entonces mi retorno a las practicas de Kung Fu en el 2010 duraron algo mas de 10 minutos, porque literalmente fue el primer salto que hice en la primer practica del año. La lesión es de tal magnitud que me gane una bota ortopédica por 30 días y hasta algunas sesiones de fisioterapia.

Pero el punto esta que esta lesión nos deja en casi 45 días sin poder hacer muchas actividades físicas, y en un lento retorno a las mismas. Entonces en este punto y luego de no pensarlo mucho fue necesario un replanteamiento de lo que iba a ser el primer semestre del 2010.

Y entonces así de rápido como se armaron las primeras estructuras basadas en las artes marciales, las mismas las desarme y ya estamos armando nuevas, esta ves orientadas a mi otra pasión: La tecnología en general y la Informática y las Redes en particular.

Entre las rápidas medidas realizadas para armar esas estructuras fue la de resucitar un modem GSM que me habían prestado hace unos meses para poder estar nuevamente en linea todo el tiempo posible, ya que desde julio del 2009 que me dí de baja a mi vieja conexión ADSL a Internet era raro verme conectado fuera de mi horario laboral.

Con esto estamos regresando nuevamente a las largas horas sentado en frente de una computadora leyendo, investigando y realizando pruebas sobre temas mas variados relacionado con las TIC... y también estamos hablando de resucitar mi viejo y olvidado Blog.

Así que acá estamos, volviendo a escribir por estos lados.

Y con respecto al rápido cambio de planes y de estructuras podríamos mencionar la idea de los budistas de no "atarse" mas de lo debido a las cosas, o del concepto del Zen de que debemos estar consientes que todo tiene un tiempo y que puede finalizar en cualquier momento, pero en ves de ello, les voy a dejar un video de Miguel Angel Cornejo sobre "tirar la vaca" que desde que lo vi me gusto mucho y lo considero muy bueno y con muchos puntos a rescatar.

2010-01-06T15:05:00.002-03:00

y porque no retomar mi ya algo olvidado blog.... con un pequeño cuento chino

Sàiwengshima Saiweng. El hombre de la frontera que perdió su caballo.

Hace mucho tiempo, cerca de la frontera norte de china, vivian en una pequeña casa, Sàiweng y su hijo Xiaoming. Su única compañía era su caballo Dàma.
Un día los visitó Línju, su vecino, que trajo un pastel de regalo para acompañar al té. Mientras hablaban, comían y bebían Dàma escapó y por mucho que buscaron no lo encontraron. Linjú dijo ¡Qué desgracia más grande!, pero Sàiweng le replicó "sólo el cielo sabe si es una suerte o una desgracia".
Una semana después, padre e hijo oyeron ruido de cascos, era Dàma que había regresado con una yegüa blanca. Sàiweng le contó lo sucedido a Línju, el vecino, quien ahora afirma !Que suerte, ahora tienes dos caballos¡ y de nuevo Sàiweng le replica "sólo el cielo sabe si es una suerte o una desgracia"

Xiaoming al ver la yegüa blanca se monta en ella, pero cae y se lastima la cabeza. Línju dice "Ahora si que ha sido una mala suerte, nadie podrá trabajar las tierras" y de nuevo Sàiweng le replica Shì fú shì huò zhi you tian zhidào que ya sabemos que quiere decir “Si es suerte o desgracia sólo el cielo lo sabe”.

Estaba junto a la cama de Xiaoming cuando en eso llaman a la puerta de la casa. Es un soldado del emperador que viene a reclutar jóvenes para ir a la guerra. Sàiweng, asustado, le explica que su hijo no puede ir porque está herido. El soldado entonces se dirige al vecino y le pregunta por la salud de su hijo, Línju le responde "Mi hijo si que tiene suerte está en perfectamente", pero enseguida se arrepiente, pues el soldado le dice "Muy bien, en ese caso, vamos a buscarlo pues será él el que vaya a la guerra" y quedándose de nuevo solos Sàiweng le dice a su hijo su célebre frase “Shì fú shì huò zhi you tian zhidào”: “Si es suerte desgracia sólo el cielo lo sabe”.

fuente: XIBANYA - CHINA

Como hacer para que Windows ande rapido y bien

2009-08-14T18:08:00.003-03:00

La verdad yo no se... pero con un Quad-Core Xeon y 16GB de RAM podría decirse que "anda..."

Usando event_handler en Plesk

2009-08-07T18:11:00.004-03:00

Entre las virtudes que he de rescatar de Plesk con respecto a los otros Paneles de Control es que la mayoria, y si no es que todas, las tareas de administración se pueden realizar tanto desde la interfaz Web o desde la linea de comandos.

Entre los comandos no muy documentados esta el "event_handler" que nos permite, desde linea de comando, ejecutar nuestros script después de algunos de los eventos predefinidos en Plesk se llevan a cabo.

De esta forma es que podemos crear directorios especiales después de crear una cuenta de correo, cambiar permisos de directorios después de crear un dominio o hasta generar un aviso que se llevo a cabo una tarea de administración.

Para poder listar las tareas ya definidas:

/usr/local/psa/bin/event_handler -l
/usr/local/psa/bin/event_handler --list

y nos vamos a encontrar con una salida como la siguiente:

Id: 2
Name: Service stopped
Priority: 0
User: root
Command: /usr/local/psa/admin/bin/modules/watchdog/wd --unmonit-service=<new_service> --plesk-name

Este es un ejemplo de una tarea que se debe realizar cada vez que se detiene un servicio, y para ser precisos es del modulo Watchdog para que este deje de monitorear un servicio si el mismo se ha detenido.

El evento "Service stopped" es uno de los mas de 100 eventos que ya vienen predefinidos por Plesk, y cada uno de ellos tiene un código único y para poder listarlos usaremos el comando:

/usr/local/psa/bin/event_handler -le
/usr/local/psa/bin/event_handler --list-events

Creando una tarea

Para crear tarea usaremos la opción "-c" o "--create" pasándole algunos argumentos mas, como por ejemplo:

/usr/local/psa/bin/event_handler -c -priority 10 -user root -command "/usr/local/propios/procmail_spam.sh <new_mailname>" -event 52

Con esto estaremos creando una comando nuevo (opción "-c" para crear y "-command" para especificar que comando a ejecutar) que se debe ejecutar cada vez que se cree un nuevo usuario ("-event 52" es "Mail account created" ).

Con este comando también estamos especificando con que usuario se debe ejecutar ese comando, que en nuestro caso es el usuario "root" ( "-user root" ). Para poder ver el listado usuarios que pueden realizar alguna de las tareas programadas:

/usr/local/psa/bin/event_handler -lu
/usr/local/psa/bin/event_handler --list-users

Si vamos a ejecutar varias tareas o comandos en base a un evento, es donde entra en juego las prioridad ( en este ejemplo "-priority 10" ) que es un valor entero que va desde 0 a 100, siendo los comandos con prioridad mas baja los que se van a ejecutar primero.

Cada uno de los eventos maneja variables propias relacionadas con el evento que se esta llevando a cabo, estas variables se puede pasar a los comandos que vamos a ejecutar. En nuestro ejemplo el evento es la creación de un nuevo buzón de correo y la única variable que tiene este evento es "<new_mailname>".

Sobre las variables de cada uno de los eventos, no he encontrado mucha información oficial, mas que un viejo manual en linea de Plesk 8.3 aunque también sirven para las versiones de Plesk 8.6 y 9.2

Modificando una tarea ya existente

Para modificar o eliminar una tarea existente usaremos las opciones "-d" o "-u" para eliminar o borrar una tarea e indicando el identificador de la misma. De esta forma para eliminar una tarea podríamos usar los comandos:

/usr/local/psa/bin/event_handler -d 2
/usr/local/psa/bin/event_handler --delete 2

O para cambiarle la prioridad usaremos:

/usr/local/psa/bin/event_handler --u 2 -priority 10
/usr/local/psa/bin/event_handler --update 2 -priority 10

Como recuperar la contraseña de un Linux o un Windows

2009-05-09T13:38:00.005-03:00

Hace ya varios años atrás, en un charla sobre seguridad, el orador empezo con una frase que hoy dia la sigo repitiendo de vez en cuando:

"La seguridad no existe, es solo una sensación"

Esa charla y esa frase vino a mi memoria hace unos días atrás cuando me encontré con un articulo sobre "Kon Boot" que es un BootCD que nos permite ingresar tanto a Linux como a Windows sin saber ninguna de las contraseñas de usuarios.

Este arrancador, en su versión original para Ubuntu, permite modificar parámetros del kernel de Linux al iniciar, en particular donde se define el identificador del usuario (uid) que corre el proceso. Kon-Boot utiliza ese procedimiento para poder saltar el proceso de autenticación y poder ingresar al sistema con un usuario ficticio pero con privilegios de root.

Por lo que se puede leer en el sitio del proyecto, esta aplicación originalmente se desarrollo para Ubuntu, y luego se fue adaptando para las otras distribuciones. Y aunque no funciona en todas las distribuciones , debido a los distintos parches y configuraciones que cada una aporta a su kernel, ya funciona en varias de ellas, e incluso la nueva versión del Kon-Boot ya soporta varias versiones de Microsoft Windows.

Entre las distribuciones de Linux que esta probadas y funcionan se encuetran:

Gentoo 2.6.24-gentoo-r5
Ubuntu 2.6.24.3-debug
Debian 2.6.18-6-6861
Fedora 2.6.25.9-76.fc9.i6862

y entre las de MS Windows

Windows XP
Windows XP SP1
Windows XP SP2
Windows XP SP3
Windows Vista Business SP0
Windows Vista Ultimate SP1
Windows Vista Ultimate SP0
Windows Server 2003 Enterprise
Windows Server 2008 Standard SP2 (v.275)
Windows 7

Realizando conexions a puertos SSL/TLS

2009-04-22T23:01:00.003-03:00

No es muy complicado probar o verificar muchos de los servicios de Internet a mano con un simple Telnet al puerto del servicio. Con esto no solo podemos verificar que el puerto esta abierto y escuchando, sino que en muchos casos es posible simular o realizar a mano el dialogo con servidor.

Pero en el caso que el servicio a probar utilice SSL o TLS, ya no podemos usar Telnet para poder dialogar con el servidor. Pero para ello podemos usar el comando "openssl" en modo cliente. En particular para simular una simple conexion a un puerto que use SSL o TLS podemos usar :

openssl s_client -connect servidor:puerto

Esto iniciara el dialogo SSL con el servidor y nos mostrara el certificado e informacion del mismo, asi tambien como, si no es un certificado auto-firmado, intentara verificarlo. Una vez finalizado el dialogo y la verificacion del certificado, nos mostrara el resumen de la coneccion como el siguiente:

New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : AES256-SHA
Session-ID: E9F3218C651A1F59CFA21D997AE63CF80810F70CD9D62F456F98B15E85F71C4D
Session-ID-ctx:
Master-Key: ACCA4FE23EEA8C8FE414C3FAB570C1D51115B685CD6662FB56961604272F0C347A57040FA78DDBF42F35E3B205D4A103
Key-Arg : None
Start Time: 1240453754
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)

Luego de esto, ya tenemos la conexión establecida y podemos ejecutar los comandos a mano para probar el servicio en particular como lo haríamos usando Telnet

Mejoras al History del Bash

2009-03-09T21:03:00.003-02:00

Una de las características que le falta al history del bash (por lo menos de mi punto de vista) es poder saber quien y a que hora se ejecutaron los comandos. Para poder solucionar esto existen muchas soluciones, desde agregar keylogers al sistema hasta parchear el mismo fuente del Bash.

Pero los otros dias navegando por un blog encontré una solución que me pareció muy buena y limpia a través del mismo syslog. La idea es agregar en alguno de los scripts de inicio de la sesión de los usuarios una pequeña función que guarda el ultimo comando ejecutado en el syslog a través del comando logger.

En nuestro caso elegimos el archivo /etc/profile y en el le agregamos al final las siguientes lineas:

function history_to_syslog {
declare cmd
cmd=$(fc -ln -0)
logger -p local7.notice -- SESSION = $$, WHO = $(whoami), CMD=$cmd
}

trap history_to_syslog DEBUG

Luego para poder revisar mejor los registros, configuramos el demonio de syslogd para que separe los registros y los guarde en un archivo separado. Para ello agregamos en el /etc/syslog.conf la siguiente linea:

# BASH
local7.* -/var/log/cmdhist.log

Por ahí también es bueno agregar en el logrotate algunas lineas para rotar los logs y evitar que se haga muy grande este archivo. Para ello podemos crear el archivo /etc/logrotate.d/cmdhist y le agregamos las siguientes lineas:

/var/log/cmdhist.log {
daily
rotate 31
compress
missingok
}

y con esto tendremos registrado el día a día de todos los comandos ejecutados en el sistema identificando el usuario, la sesión y la hora en que se ejecuto cada comando.

Lo bueno de esta solución es que le agrega un poco más de seguridad al histórico de los comandos. El bash_history es facil de saltear, si el usuario en algún momento de la sesión ejecutamos el comando:

unset HISTFILE

Con esto, el Bash pierde la configuración de donde tiene que guardar los comandos ejecutados, por lo que al cerrar la sesión no se guardan los comandos ejecutados. La solución de ir guardando los comandos en el syslog, le agrega un poco de seguridad en este aspecto, ya que los comandos se van guardando a medida que se van ejecutando, por lo que hasta los mismos comandos para "borrar las huellas" quedan registrados en el mismo syslog, e inclusive, se puede configurar el demonio del syslog para que guarde los registros en forma remota y de esta forma agregarle un poco mas de seguridad al respecto.

Otra vieja historia Zen

2009-03-06T02:39:00.002-02:00

Recordando viejas historias algunas ves leídas y meditadas, hoy recordé en particular una sobre lo malo que puede ser la ansiedad de querer conseguir resultados.

La historia es la de un gran maestro zen especialista en el manejo de la espada. Un día se le acerca un joven, que conocía la destreza del maestro y le ruega para ser aceptado como su alumno. El maestro acepta y lo toma como su discípulo.

Pero el joven no quería ser el discípulo del gran maestro para ser iniciado en el Zen, lo que deseaba era convertirse en un gran espadachín para poder así vengar la muerte de su familia.

Después de unos años de ser discípulo el alumno, viendo que no avanzaba muy rápido su aprendizaje en el manejo de la espada, el alumno le pregunta al maestro: "en cuanto tiempo voy a ser un gran espadachín ?" y el maestro.. que ya conocía el apuro de su alumno, le dice "en unos 15 años mas"

La frustración del alumno fue muy grande al ver postergado en tanto tiempo su venganza y le volvió a preguntar a su maestro: "y si entreno duro todo los días ?" a lo que el maestro respondió "en ese caso... puede que en 20 años"

Mas asombrado el alumno, le reclama a su maestro "como puede ser ? si todos los días entreno para ello, como puede ser que tarde mas tiempo?"

A lo que el maestro respondió "es que en ese caso vas a estar mas pendiente en llegar al final del camino, que en lo que tienes que hacer realmente para recorrerlo y llegar a destino"

Un poco de informacion sobre SPF

2009-02-17T17:11:00.008-02:00

Es normal escuchar hablar sobre implementar SPF para reducir el SPAM, y aunque ayuda mucho, no es el objetivo principal del mismo. Entonces, que es SPF ? Si nos remitimos a la misma Wikipedia nos dice que SPF "es una protección contra la falsificación de direcciones en el envío de correo electrónico. "

Que sucede, cuando se ideo el protocolo SMTP se pensó en un esquema muy similar a lo que se conocía, que es el correo postal, tratando de imitarlo lo mejor posible. Pero al hacer esto nos encontramos en Internet con un problema que existe en la vida real, y es que al recibir una carta, por mas que esta sea "certificada" y solicite que confirmemos su recepción, al momento de recibirla nadie nos garantiza la identidad del emisor de la misma. Para contrarrestar este problema es que surgio SPF.

SPF es una técnica por la cual, al momento de recibir un correo podemos, a través de una consulta DNS, verificar si el IP desde el cual estamos recibiendo el correo esta autorizado para entregar correos del dominio del emisor., y con esto decidir si aceptamos o no el correo.

Para que esta verificación se pueda llevar a cabo tienen que haber sucedido dos procesos totalmente independientes. Por un lado el emisor tiene que haber agregado un registro del tipo TXT especialmente armado en su zona DNS, con el listado de los servidores autorizados a enviar sus correos. Y por otro lado, el administrado del servidor de correo del dominio receptor debe configurar su servidor para realizar la verificación de cada correo entrante.

El agregar los registros para la verificacion del SPF a nuetro dominios es una tarea relativamente simple y generar el registro aun mas gracias a que existen un par de sitios que nos ayudan a generar ese registro especial que luego deberemos agregar a nuestro servidor DNS. Entre los sitios que nos ayudan a generar este registro podemos destacar el sitio de openSFP.

Un registro SPF mas o menos simple, para nuestro dominio example.com, puede llegar a ser algo mas o menos asi:

example.com. IN TXT "v=spf1 a ptr a:192.168.1.1 a:mail.example.com -all"

Con esta linea agregada al archivo de nuetra zona DNS estamos indicando que los servidores que pueden entregar correos para el dominio example.com son:

a -> el ip con el cual resuelva el dominio (que se obtiene con un simple dig example.com a)
prt -> cualquier IP que al resolver el inverso se encuentre dentro de la zona example.com ( dig -x ip_del_servidor_emisor )
a:192.168.1.1 -> el IP 192.168.1.1
a:mail.example.com -> el IP que tenga el registro mail.example.com (dig mail.example.com a)

La ultima parte de la linea, el "-all" es la política que debe emplear el receptor en caso de no coincidir el IP del servidor emisor con alguno del listado. En nuestros caso, el "-all" indica que solo los IP indicados en el registro son los autorizados para enviar correos, y por ende si se recibe un correo de otro IP que no este listado, deben ser ser tratados como falsos y descartados.

La política opuesta es la de "?all", con la cual estamos indicando que pueden llegar correos de IP que no estén listados, y que estos correos deben ser tratados como "neutrales" y ser aceptados.

Existe una tercer política, y es la que en realidad se sugiere utilizar en la mayoría de los casos, que es "~all". Esta política es considerada como un "softfail" o "falla leve". Esto nos permite indicarle al receptor que puede que el IP del cual esta recibiendo el correo no este listado entre los IP validos pero que puede no ser una falsificación de identidad, y en ese caso que también utilice otros medios para terminar la verificación.

Entre esas otras técnicas que se realizan en caso de un "softfail", es buscar entre la cabecera del correo entrante alguno de los IP validos, para saber si el origen del correo es alguno de los servidores permitidos. Esta ultima política es la que debemos utilizar, por ejemplo, si nuestro servidor de correo utiliza a otro servidor para reenviar los correos (servidor relay o smarthost ) y no siempre conocemos el IP de salida de ese servidor relay.

Con este simple registro TXT agregado a nuestra zona DNS es que estaremos evitando que terceros envíen correos en nombres nuestro, y con ello evitando, por ejemplo, los rebotes de los mail de SPAM enviados por otros usando nuestro dominio.

Plugin para Pidgin del FacebookChat

2009-02-16T22:34:00.005-02:00

Una de las partes mas molestas de la interfase de FaceBook (por lo menos para mi) son el chat y el "cargador simple de fotos".

Y parece que no soy el único que piensa así, porque ya se puede encontrar entre los proyectos de code.google.com un plugin para agregar al Pidgin para poder chatear desde el mismo mensajero.

Si usas Debian o algún derivado, la instalación es muy simple, solo descargas el dpkg y los instalas. Una ves instalado la configuración no presenta ningún misterio y su uso es totalmente transparente.

También buscando un poco por code.google encontré un par de proyectos para las fotos que ya iremos probando, aunque el F-spot también tiene una extensión para exportar las fotos directamente a Facebook, asi que veremos por cual nos quedamos.

Asi que veremos de ir sacando a Facebook de la interfase de Facebook :)

Bloquear el acceso a Gtalk pero no a Gmail con Squid

2009-01-28T01:56:00.003-02:00

Hace algunos días me tope con el siguiente inconveniente configurar un proxy Squid (no transparente) en el cual debía permitir solo el acceso a los correos de Gmail y no al resto de las aplicaciones como por ejemplo el chat, lo hice de la siguiente manera y funciono si alguien tiene una forma mejor que lo postee ;)

Primero que nada agregar las siguientes lineas en el squid.conf

acl cl_congmail src "/etc/squid3/acl/cl_congmail.txt"
acl gmail url_regex "/etc/squid3/acl/gmail.txt"
acl urlmalos url_regex "/etc/squid3/acl/urlmalos.txt"

http_access deny urlmalos
http_access allow gmail cl_congmail

- En el archivo cl_congmail.txt van todas las ips que queremos que tengan gmail por ej:

192.168.1.1
192.168.1.2

- En el archivo gmail.txt puse lo siguiente

.gmail.com
.mail.google.com
.google.com:443

- En el archivo urlmalos si queremos bloquear Gtalk puse la siguiente url

^http://chatenabled.mail.google.com

Registrando los eventos de la funcion mail() en PHP

2009-01-19T15:11:00.004-02:00

Pasando revista por los blog que leo diariamente, me encontré con un articulo de las mejoras de PHP 5.3.0 que esta por salir. Entre ellas se agregan dos facilidades para la funcion mail() muy útiles para los administradores de sistemas.

Uno de los problemas mas comunes en un servidor de hosting con muchos dominios es la de encontrar quien esta abusando de la funcion mail() y esta enviando correos, tarea que a partir de la version 5.3.0 de PHP va a ser mas que simple, ya que se agregan dos nuevos parametros de configuracion.

El primero es el mail.add_x_header que, de habilitarlo desde el php.ini o desde un php_value, le agrega a los mail una cabecera X-PHP-Originating-Script con el nombre del script que esta generando el correo y el UID que lo esta ejecutando. Algo muy útil si tenemos algún retorno de los mail que se envian.

El otro parametro, por ahi un poco mas util, es mail.log que nos permite habilitar el registro de envios de los correos, guardando en un archivo local los script que llaman a la funcion mail() y algunos campos adicionales como los destinatarios de los mail.

Con estas dos nuevas facilidades, se reducirá bastante el tiempo que se pierde en rastrear todos eso correos basura que se disparan aprovechando vulnerabilidades de algunos sitios web.

Lo bueno de esto, es que buscando un poco mas de informacion sobre estas mejoras es que al caer al blog de Ilia Alshanetsky (el desarrollador de esta funcionalidad) podemos encontrar un parche que le podemos aplicar a las versiones actuales de PHP para poder tener estas caracteristicas, por lo que no hace falta esperar mucho para poder empezar a utilizar estas caracteristicas.

Una vieja historia Zen

2009-01-07T11:16:00.002-02:00

Hoy charlando con una amiga, me hizo acordar de una vieja historia Zen que alguna vez lei, y que mas alla de su contenido filosófico sobre los ciclos, la vida, la muerte y demas:

Después de tomar el té, mientras que un estudiante de zen lavaba su taza y la de su maestro, la taza del maestro se le resbaló de entre las manos, cayó al suelo y se rompió. El estudiante se quedó muy preocupado y se lo comunicó a sus compañeros, que lejos de quitarle importancia al asunto, lo asustaron más diciéndole:

"La taza que has roto, era reverenciada por el maestro. Era muy antigua y de gran valor"

El estudiante no sabía cómo contárselo a su maestro sin ser castigado, por lo que se le ocurrió dirigirse a su maestro y decirle lo siguiente:

"Maestro, ¿por qué hay que morir?"

A lo que el maestro le respondió:

"Es lo natural, después de la vida, viene la muerte"

Entonces el discípulo repuso:

"Pero Maestro, ¿no puede algo durar eternamente?"

A lo que el maestro dijo de nuevo:

"Todo tiene su ciclo, las cosas empiezan y luego acaban. Todo lo que nace muere"

En ese momento el discípulo sacó los trozos de la taza rota y se la mostró al maestro diciéndole:

"Maestro, a la taza, le había llegado su tiempo"

Siempre me causo gracia por como el alumno sabiendo la respuesta, hizo la pregunta para que el maestro al responder estuviera preparado para lo que venia, entonces... quien fue el alumno y quien el maestro ??

Ejecutando comandos en multiples servidores

2009-01-05T13:00:00.005-02:00

Uno de los problemas con los que me he encontrado en estas ultimas semanas es la de trabajar de manera sistemática ejecutando el mimo comando sobre varios servidores (un poco menos 200 servidores).

Debido a que esto es mas que molesto (sobre todo por lo rutinario), entonces recordando el viejo comando "expect" empecé a buscar algún script para poder automatizar un poco este tipo de tarea.

Así es como me encontré con los el repositorio de script de nixCraft, de donde rescate un simpático script para poder ingresar a un servidor ssh pasando de parametro la clave, el servidor y el comando a ejecutar.

Despues de unas modificaciones al script el mismo quedo algo mas o menos asi:

#!/usr/bin/expect -f
#
# This program is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License as published by
# the Free Software Foundation; either version 2, or (at your option)
# any later version.
#
# For use:
#  ./sshlogin.exp password server command arg1
#
# ----------------------------------------------------------------------
# Basado en http://bash.cyberciti.biz/security/expect-ssh-login-script/
# ----------------------------------------------------------------------

# set Variables
set password [lrange $argv 0 0]
set ipaddr [lrange $argv 1 1]
set scriptname [lrange $argv 2 2]
set arg1 [lrange $argv 3 3]
set timeout -1

# now connect to remote UNIX box (ipaddr) with given script to execute
spawn -noecho ssh -o "ConnectTimeout 10" root@$ipaddr $scriptname $arg1
match_max 100000

expect {
    # first time
    "*continue connecting*"  { send -- "yes\r"; exp_continue }

    # for passphase key
    "*passphrase*" { send -- "$password\r"; exp_continue }

    # for password
    "*assword*" { send -- "$password\r"; exp_continue }

    # for timeout
    "timeout" { exit }
}

Con ese script podemos, por ejemplo saber cuanto tiempo lleva encendido alguno de nuestros servidores:

./sshlogin.exp la_clave el_server uptime

Con esto, solo hemos resuelto la mitad del problema, que es poder ejecutar el comando sin tener que esperar a que nos pida la clave. Pero la segunda parte es la mas facil.

Vamos a partir generando un archivo con los servidores y sus claves, algo asi como:

servidor_1:clave_1
servidor_2:clave_2
servidor_3:clave_3

Y con un simple script como el siguiente, podemos recorrer el listado de servidores y claves y ejecutar el comando en todos ellos:

#!/bin/bash
mkdir -p log
for linea in `cat server.lst`
do
     server=`echo $linea |awk -F":" '{ print $1 }'`
     clave=`echo $linea |awk -F":" '{ print $2 }'`

     ./sshlogin.exp $clave $server "(wget -q -O - http://miservidorweb.com/inventario.sh|bash)" > log/$server
done

Con esto podemos descargar un script de un servidor y ejecutarlo en el servidor remoto y guardar el resultado en la maquina local.

Saludos de fin de año

2008-12-31T15:47:00.002-02:00

Hay 2 días al año sobre los que no puedes hacer nada: AYER Y MAÑANA: solamente hoy podrás perdonar, sonreír, soñar, amar, sentir…

Feliz y próspero año 2009.

Que tortugas ninjas ni ocho y cuarto !! el original es el oso ninja !!

2008-12-29T14:27:00.002-02:00

Es sabido que los orientales basaron sus técnicas de artes marciales en la observación de los animales y en sus comportamientos.

De ahi que surge el poderoso estilo del tigre, el ágil estilo del mono, el veloz estilo de la serpiente, el combate a corta distancia de la mantis y muchos mas....

Pero ese proceso de observación y de sistematización de esas técnicas se lograron con el pasar de las décadas... pero eso es porque no conocían a Claude, un oso negro asiático del zoológico de Hiroshima que es todo un especialista en el uso del baston !!

Aunque para mi que Claude vio KungFu Panda y ahora quiere ser como "PO" su nuevo ídolo del cine !!

Diez razones por las que la cerveza es mejor que las religiones

2008-12-26T14:55:00.002-02:00

Nadie lo matará por no beber cerveza.

La cerveza no le dice cómo tener sexo.

La cerveza nunca ha causado guerras importantes (ni inquisiciones, ni cruzadas sangrientas).

La cerveza no fuerza a los menores de edad, que no pueden pensar por sí mismos.

Cuando usted tiene cerveza, usted no se la pasa tocando puertas ajenas intentando que otras personas tomen una.

A nadie han quemado en hogueras, colgado en una horca, o torturado hasta la muerte por defender una marca de cerveza.

Usted no tiene que esperar más de 2.000 años por una segunda cerveza.

Hay leyes que dictaminan que las etiquetas de cerveza no pueden mentirle a usted y que deben informarle sobre el daño que le acarrean a su salud.

Usted puede demostrar la existencia de la cerveza.

Si usted ha consagrado su vida a la cerveza, hay grupos que pueden ayudarle.

¡Vaya!... El sistema ha detectado un problema (#719)

2008-11-27T17:02:00.002-02:00

Y si !! si usas aplicaciones BETA alguna vez tenia que pasar !!! y despues de unos minutos que reintentaba conectar y no podía, no me quedo otra que cerrar la sesión y abrirla de nuevo.

Lo bueno es que al conectarme nuevamente todo estaba ahi. Vaya a saber que es eso del error #719....

"La telepresencia de Cisco" en numeros (Cisco Telepresence)

2008-11-13T16:29:00.002-02:00

10 fueron los requerimientos de la gente de marketing le paso a ingenieria como base para desarrollar la Telepresencia
3 pantallas de "súper alta definición" componen el modelo CT 3000p
1080 x 1900 es la resolución de la imagen de cada una de las pantallas y cada una de las cámaras (una cámara por pantalla).
65" es el tamaño de cada pantalla.
4 enchufes de 20 Amperes se necesita para el CTP3000.
10 paliet es lo que ocupa el CTP3000p cuando esta envalado.
7975 es el modelo de telefono IP de Cisco que utilizan para controlar el equipo de Telepresencia (en ves de un control remoto).
4 son los modelos de los end-point de telepresencia (3000, 3200, 1000 y 500).
400KB o mas debe ser el buffer de entrada del switch donde se conecte el end-poing.
1740 paquetes por segundo transmite el CTP3000 en su maxima calidad de imagen.
1 Gbps debe ser la interfase del switch a la que se conecte.
5.5 Mbps ocupa cada uno de los flujos de video (el CTP3000 usa 3 flujos ).
200 ms de restardo es lo máximo permitido en el enlace de punto a punto.
40 ms es el jitter máximo permitido
0.2% de perdida de paquetes es lo máximo permitido

48 son los flujos de video que puede manejar el equipo de Connferencia Multipuntos.
15 ms es el delay agregado por el eqiupo de Multipunto (no hace transcoding).
240 Mbps seria el cosumo maximo de red del equipo Multipunto.

Aproximadamente 1000 son los equipos ya instalados e el mundo.
pero cerca de 300 estan son de Cisco para uso interno.

y para terminar.... hablemos del precio, que aunque nunca lo mencionaron, estamos hablando de que montar dos puntos con un CTP3000 puede estar un poco por debajo de los u$d 500.000 !!!

Las frases de la semana

2008-11-13T14:54:00.001-02:00

Un Geek es un Nerd pero con vida social

Un Flogger es un Emo pero con colores

Cual es el mejor antivirus ?

2008-11-12T09:23:00.003-02:00

Hablando de preguntas complicadas, o mejor dicho.. hablando de respuestas complicadas. Si a mi me preguntan no hay mejor antivirus que un usuario capacitado. Un usuario con conocimiento de lo que hace y un par de herramientas básicas puede estar a salvo de la mayoria de los problemas. Pero logico, esa es mi humilde opinión, y como la mía hay muchas mas, y entre ellas esta la de la "ShadowServer Fundation"

La ShadowServer Fundation es una organización que reúne especialistas en seguridad y entre otras tantas tareas que hacen, es la de evaluar los distintos antivirus del mercado contra varios miles de archivos infectados. Lo bueno es que estas pruebas las realizan con distintas periodos de tiempo y sobre distintas cantidad de arhivos. Mientras que las pruebas diarias (los resultados son los que estan abajo) son sobre unos 135000 archivos que deben ser revisados en 24 horas, tambien existe una prueba sobre sobre mas de 6.000.000 de archivos donde los productos antivirus tiene hasta 6 meses para revisarlos.

vendor	detected	total	percent
Ikarus	133,266	135,210	98.56%
AntiVir	132,937	135,210	98.32%
F-Prot6	131,832	135,210	97.50%
F-Secure	131,560	135,210	97.30%
QuickHeal	131,403	135,210	97.18%
Kaspersky	131,308	135,210	97.11%
NOD32	131,182	135,210	97.02%
BitDefender	131,099	135,210	96.96%
AVG7	130,936	135,210	96.84%
Avast-Commercial	130,856	135,210	96.78%
VBA32	130,843	135,210	96.77%
TrendMicro	130,120	135,210	96.24%
Norman	130,106	135,210	96.23%
Avast	129,683	135,210	95.91%
Clam	125,404	135,210	92.75%
Vexira	124,336	135,210	91.96%
VirusBuster	124,269	135,210	91.91%
McAfee	112,892	135,210	83.49%
Panda	100,549	135,210	74.37%
DrWeb	30,921	135,210	22.87%

Es interesante revisar todas las estadisticas (diaria, semanal,mensual y demas) para tener una idea mas global de la situacion. Haciendo un resumen rapido es interesante destacar como ClamAV siempre esta por encima de Panda y McAfee, y aunque los primeros puestos cambian constantemente de prueba a prueba, Nod32 y AVG7 se mantienen siempre arriba en las primeras posiciones.

Cabe destacar, que estas pruebas en realidad no determinan el mejor antivirus para un puesto de trabajo, ya que existen soluciones antivirus que no solo utilizan su base de datos de firmas para detectar un virus. Ya son varios los productos que son capaces de analizar "comportamiento" de los procesos y en base a estos determinar si son un posibles virus o malware y los bloquean.

Pero este tipo de pruebas si son muy importante a la hora de pensar en soluciones antivirus para servidores de correo, servidores proxy o hasta agregarle un antivirus a un servidor que tenga recursos compartidos, ya que para este tipo de servicios la deteccion por firma es la mejor (por no decir la unica) forma de detección de virus. Para este tipo de situaciones este tipo de pruebas si largan resultados contundentes.

Revisando la pagina de ShadowServer.org también vamos a encontrar otras estadísticas que realizan, como estadisticas de ataques de DDOS, cantidad de botnets y demas. Por ejemplo el siguiente es uno de los graficos que generan donde muestasn la cantidad de Botnets

No he revisado mucho la pagina ni muy detenidamente, pero ya la agende para revisarla mas tranquilo cuando llegue a casa.

Cisco Security Agent y las nuevas tendencias de Cisco

2008-11-11T12:52:00.004-02:00

Hace unos años atrás escuche que "Cisco abandona el negocio de los router", y entre los motivos que dio el orador fueron dos. Por un lado fue que hoy en dia todo tiende a ser IP y que la gran invención de Cisco que fueron los router multiprotocolos ya no tienen mucho sentido y por otro, y que me pareció la mas valedera fue el comentario de "hasta los chinos hacen buenos router ahora".

Con esto quedaba en evidencia que Cisco cambio su plan de negocio y el rumbo que tomo son los servicios y aplicaciones, pero sin dejar de lado los equipamiento de redes.

En el marco de la Cisco Networkers 2008, asisti a la charla de "Entendiendo las técnicas de mitigación de amenazas host-based" que fue en si una charla explicando el "Cisco Security Agent", que como dice el nombre es un pequeño agente que monitorea y/o bloquea las acciones y procesos que suceden en los puestos de trabajo o en los servidores y se administran de manera centralizada.

Puntos a destacar tiene un par como que puede llegar a generar politicas en forma automatica en base a comportamientos de muchos equipos, viene para varios sistemas operativos entre los que esta incluido Solaris y Linux RedHat y todos los agentes se reportan a un server centralizado a través de simples peticiones https, pero sin conocer a los otros productos de la competencia, estos puntos no creo que marquen una ventaja competitiva.

Lo bueno y que seguro que es una ventaja interesante, es que no solo revisa acciones locales, sino que monitorea el trafico de red que genera cada host, y en modo de aprendizaje o de filtrado se lo puede integrar a los sistema de deteccion de intruso (IDS) o con los switch y router para modificar las reglas de acceso y filtrar trafico externo o hasta modificar las reglas del QoS.

Otro punto interesante es que el CSA no es ni antivirus ni antispyware, y por para poder brindar una solucion mas completa integraron CLAMAV a su producto, y según el comentario del orador Cisco esta ayudando con la generación de las firmas de nuevos virus, aunque no pude encontrar nada de informacion "mas oficial" que lo respaldara este dato.

Con esto, una vez mas se ve que Cisco se viene amigando con Linux y el Open Source, desde crear sus agentes para plataformas Linux (esta bien, por lo pronto es solo para RedHat, pero ya se viene la de Suse y posiblemente alguno mas) hasta empezar integrar software OpenSource en sus productos, y quien sabe que sera lo proximo....

Mi primera CreamFields

2008-11-10T18:44:00.004-02:00

Después que por el 2001 catepuku machu (o como se escriba) tocaron en la Creamdfields mi interés por la misma decayo vastante al punto de borrarla a la creamfied entre "los eventos a los que me gustarian asistir". Pero como justo llege a Buenos Aires el dia que estaba la Creamfields y no tenia planes para el sabado a la noche, me decidi a ir.

Primero antes de ir a comprar la entrada, busque un poco en internet ( que como estaba en el microcentro y no queria pagar me fui a la galeria pacifico a usar su wifi gratis sin tener que exponer mucho la notebook a la vistas de todos) para ver quienes estaban esta vez, no porque sea un gran conocedor de los DJ de musica electronica, sino porque se que bandas NO HACEN musica electronica :P, y aunque habian muchos nombres desconocidos, vi uno que conocia y que queria escucharlo en vivo, en la Creamfield 2008 entre otros tantos estaba Hernan Cattaneo.

Tambien estube lellendo un par de noticias e info del evento y pintaba una puesta en escena mas que importante, mucha pontencia muchas luces, un par de escenarios muy grandes y en total 7 arenas, en donde desde las 3 de la tarde se iban a desplegar la larga lista de DJ y par de bandas.

La primera impresion, mientras iba caminando por los costados del autodromo de buenos aires hacia la puerta fue muy buena, cerca de las 21:00, estando en la calle se escuchaba muy bien, y no solo me refiero a potencia, sino a calidad de sonido. Mientras me iba arrimando a la puerta la cantidad de gente queriendo entrar empezo aumentar, pero nunca en un numero tan inmanejagle como fue Tiento 2007 (3 horas en la cola), tal vez eso de hacer la fiesta desde tan temprano y no haber llegado tan tarde fue mas que bueno.

Mientras la noche fue avzando la primera impresion no cambio, pero si se le agrego un punto muy importante... "COMO NO VINE ANTES !!!"

La Creamfields no es una fiesta electronica, son 7 fiestas electronicas en un solo lugar, son 7 DJ o bandas haciendo lo suyo todos en paralelo, pudiendo elegir a donde ir a parar y que escuchar, y con suficiente espacio abierto para alejarte un poco de la multitud y seguir apreciendo desde lejos alguna de las Arenas o simplemente tirarse en el pasto a mirar el cielo mientras se escucha musica.

No voy hacer muchos comentarios sobre quienes estuvieron o como estuvieron, porque seguro que de esos vas a encontrar muchos blog dando vueltas por ahi, pero lo que si voy a decir es que desde que asistí a la edicion 2008 de la Creamfield, esta ha vuelto a estar en mi lista de "los eventos a los que volveria a asistir"

Consejos si es tu primera Creamfields

* Si es en el autodromo la forma mas facil y barata de llegar desde el microcentro es a traves del subte y luego te tomas el premetro. Si te tomas el premetro equivicado (que fue mi caso) no te preocupes, no te deja tan lejos, son unas 12 cuadras asi en linea recta.

* Es convenitente ir temprano por tres motivos. Por un lado el utimo premetro sale como a las 21. por lo que si vas mas tarde vas a tener que buscar otro medio de transporte. Por otro lado, a esa hora no hay mucha gente, por lo que se puede llegar a disfrutar mucho mas y estas mucho mas cerca de los DJ de turno. Y por ultimo si te gusta la musica electronica, que mejor que estar 8 horas o mas bailando y escuchado musica electronica ??

* A la hora de comprar la bebedia, es conveniente comprar todo de una. Un par de champagne con speed y un par de cervezas es una muy bena cantidad de alcohol como para garanizar una buena noche y volver a caminando a casa y con todo en su lugar (la ropa, el telefono/camara de foto y el estomago)

* Es recomendable comer algo "liviano" antes de entrar a la Creamfields. Unas OREO es buena idea. Entre el chocolate y la grasa de la crema te van ayudar a pasar bien la noche.

* NO COMPRES AGUA !!! el agua es gratis !! hay carpas (no señaladas) donde hay 3 o 4 dispenser de agua y te podes servir agua sin problema y gratis. Logico, a las 3 de la mañana, ya casi no quedaba agua en ningua de las dos carpas (dos por lo menos que yo encontre)

* CAMINA LA CREAMFIELDS !! no estas en una fieta, estas en un predio donde hay 7 fiestas, 4 o 5 lugares donde venden bebidas, 3 lugares donde vende cominda, como 6 lugares donde ha y baños publicos, y en ocaciones la gente se junta en un solo lugar dejando los otros casi desocupados (dato importante tratandose de los baños y de la comida :P)

* Debido a la cantidad de DJ y bandas que pasan por la Creamfields, es conveniente que te hagas el listado de lugares y hora donde estar. Una de los puntos muy buenos a rescatar del evento es que resperaton muy bien (o casi muy bien) los horarios de cada DJ, por lo que cada uno pudo empezar a la hora que debia.

y seguro que se pueden tener en cuenta muchas cosas mas, pero esas son las principales que se me vienen a la cabeza, hoy lunes despues de habier pasado la resaca "post Creamfield"

La frase de la semana

2008-10-29T11:21:00.000-02:00

Leyendo blogs me encontré con una frase que hace alusión a la memoria de intercambio que dice:

La memoria es como los orgasmos. Es mucho mejor si no tienes que fingirlos.

-- Seymour Cray

La frase me causo cierta gracia, y me trajo en mente una vieja enseñanza en mis primeros pasos en el mundo unix cuando trabaje como Help Desk en IMPSA. Por aquellos tiempos veía que uno de los administradores corría algunos script con un punto (.) antes del nombre del script, cuando le pregunte el porque me respondió:

El punto es como el forro. Evitan que se creen los hijos.

-- David Pla

La explicación fue tan didáctica que aun la uso al momento de explicar para que el punto (.) antes de algunos scripts.

"Cisco Networkers 2008"

2008-10-28T13:00:00.007-02:00

Estimado(a) PABLO ARIEL VARGAS

Gracias por registrarse a Cisco Networkers 2008. Su número de registro es NWS08AR-12114. Su pago ha sido registrado y su número de confirmación de registro ....

Asi comienza el mail que acabo de recibir confirmando mi inscripción de Cisco Networkers 2008 que desde el lunes 10 de noviembre y por 4 dias se va a llevar a cabo en Buenos Aires.

Con esta, va a ser la segunda ves que asisto. La ves pasada fue en el año 2002, que a pesar de que fue cuando estábamos recién acomodándonos de la devaluación, Cisco aprovecho justamente eso para hacer valer sus dolares y alquilo casi medio hotel Hilton y monto una "expo-congreso-capacitación-fiesta" que para mi, sigue siendo el mejor evento informático de este estilo al que he asistido, y es por eso que aprovechamos para volver a ir.

Este año, las cosas han cambiado un poco, por no decir que el "presupuesto autorizado" parece ser mucho menor que en el 2002, ya que a pesar de seguir siendo un evento de 4 días y con mas de 30 sesiones de tecnología, debido a que solo son dos los dias destinados a estas charlas, por la superpocision de las mismas quedamos limitados a que solo se pueden asistir a 6 sesiones, dejando el primer dia solo para los "Techtorials" (talleres prácticos y con un costo adicional) y el ultimo para el "Show Room" de empresas amigas.

Las charlas se ven muy interesantes, y justamente por eso es que la gran superposición de las mismas es algo que me hubiera gustado que no pasara, pero bueno, no quedo otra que armar la agenda analizando bien cada uno de las opciones y ya estamos anotados a un par de charlas de seguridad, de diseño de redes Man y Wlan y hasta algo de virtualizacion en centro de datos (aprovechando que andamos estudiando el tema :) ).

Entre las cosas interesantes que tiene este evento, es que Cisco aprovecha para acercar y establecer relaciones entre sus clientes y sus ingenieros y personal de soporte. Para ello este año tiene programado "Technology Showcase" de 4 dias en donde al lado de cada uno de los equipos de Cisco hay un especialista dispuesto a recibir todas las preguntas pertinentes (la foto de arriba es de uno de los tantos Rack con equipos que habían en la expo).

Esta año, el encargado de contar en que anda la empresa del puentecito es el mismo vicepresidente de la compañía, y aunque es muy probable que a charla ronde en base a la movilidad, también es muy probable que hagan mucho incapie en sus nuevos router multicervicios, que no son mas que router con un switch integrado modulares que se le pueden ir agregando funcionalidades de Voip, VPN y PIX y hasta puertos USB para poder conectar discos externos y convertir el router en un pequeño NAS para la oficina.

Aunque uno puede llegar a suponer de que va a ser la charla, con Cisco no se puede saber con que nos va a delitar esta vez. En el 2002, en pleno auge de las redes inalámbricas presentaron un triciclo con un telefono IP y wifi que lo hacían circular por la sala para demostrar lo bien que andaba su roaming entre Access Point.

Igual, para los que me conocen, saben que no solo voy por las charlas, al fin y al cabo "No solo de tecnológica vive el hombre". De las 4 noches, en tres hay algun evento, desde la fiesta de bienvenida, un "happy hour" y la fiesta de despedida, que aunque no creo que esten "Los Auténticos Decadentes" ni "Diego Torres" como la vez pasada, seguro que alguna sorpresita va haber, y sino la barra con tragos libres compensaran muy bien sus ausencias. Aparte... quien no quiere tener una semana de vacaciones en noviembre ??

Usando a Google como Proxy Web

2008-10-22T11:28:00.006-02:00

Aunque si siguera con los titulos "sensacionalistas" de los ultimos post, a este le podria haber puesto "Como saltar las restricciones de un proxy web usando Google Web ToolKit".

Revisando los registros del apache de uno de los server, vi un link desde el que habían llegado varias visitas que me llamo la atención. A primera vista parecia una referencia normal desde google, pero al ver los parametros pasados al servidor de Google me parecio extraño. La URL desde donde venia la visita era algo asi como:

http://www.google.es/m/search?eosr=on&mrestrict=xhtmlonly&q=blog+jamon+vino+

Al ingresar a la url se ve que es uno mas de los servicios de Google. En este caso se trata de la versión para teléfonos móviles del buscador.

Pero lo interesante pasa la hacer click sobre los links y ver lo que trae de resultado, ya que estos links no direccionan al sitio, sino que utilizan las Google Web Toolkit de Google e instaladas un el servidor de Google y funcionando como un PROXY WEB.

Entonces los que navegan desde su celular, solo accede al servidor de Google y este de encarga de adaptar cada una de las pagina para que se vean bien en los dispositivos moviles.

Hasta aca, todo bien, si no fuera que cualquiera, desde cualquier navegador puede accederlas, entonces despues de unas simples pruebas llegamos a que si en nuestros navegador ingresamos a la siguiente direccion:

http://www.google.es/gwt/n?u=http%3A%2F%2Fwww.google.com

Podemos acceder al buscador de Google usando a Google como Proxy, y con esto saltar las limitaciones en los proxy web impuestas por algún malvado SysAdmin :P

Como modificar el orden de busqueda de los nombre de maquinas en Microsoft Windows 2000/2003

2008-10-21T11:52:00.003-02:00

La respuesta es simple:

NO SE PUEDE !!

Una practica común, no mucho pero lo he hecho un par de veces, es cambiar el orden de búsqueda de los nombre de host en un sistema Linux.

Simplemente editando el archivo /etc/host.conf uno le puede definir con el parámetro order se le indica al resolver el orden de debe realizar la búsqueda para resolver los nombres de maquinas. Si citamos el manual del archivo host.conf nos dice:

order Esta palabra clave especifica como se realizan las busquedas de hosts. Deberia estar seguida de uno o mas metodos de busqueda, separados por comas. Metodos validos son bind, hosts, y nis.

Ahora si citamos el articulo KB 139270 de la "base de conocimiento de M$" nos dice que:

Note By default, Windows 2000 and Windows Server 2003 try to resolve a name through DNS before they try to resolve it through the earlier-version node-type configuration. DNS or NetBIOS lookup order priority cannot be modified by applying this registry entry in Windows 2000 and Windows Server 2003.

y todavia hay gente que me pregunta "que podes hacer con Linux que no podas hacer en Windows??" bueno.. acá tienen una mas para agregar a la lista de cosas que se pueden hacer con Linux que no se pueden hacer con Windows.

Y empezamos a estudiar algo de virtualizacion

2008-10-16T14:48:00.004-03:00

En estos dias me he puesto a estudiar un poco sobre virtualización con Vmware y entre las cosas que he ido encontrando, hay un blog a destacar y agendar.

BeVirtual es un blog destinado a virtualización, donde he encontrado información muy buena, entre las que voy a replicar dos noticias que me parecieron de lo mas interesantes.

Por un lado una video comparativo entre el Hyper-v de M$ y el ESXi de VMware. Esta bien que el video esta hecho por la gente de VMware, pero con un objetivo bien claro , que es mostrar cual lleva mas tiempo de instalación, cual es el que hay que hacer mas click y en cual hay que escribir mas, y cual tiene mas pasos de instalación y hay que reiniciar mas veces ( y si, si, todas las respuestas apuntan al mismo producto :) )

Por otro lado, una noticia que me sorprendió cuando la leí, pero que después me pareció de lo mas obvio, fue que Cisco se junto con Vmware y desarrollo los Ciscos VN-Link y mas precisamente el Cisco Nexus 1000V, que no es mas que un producto que remplaza los switch virtuales de VMware por un "switch" Cisco, esto para poder implementar VLAN, QoS, ACL y demás características de los switch Cisco entre las maquinas virtuales que corran sobre el hypervisor de VMware.

Algo lindo de esto, es que la consola de administración de estos y los otros switch de la familia Cisco Nexus, usan una consola de administración que corre NX-OS, que junto con IOS son los sistemas operativos de los productos Cisco.

Los bueno del NS-OS utiliza MontaVista, que a pesar de lo que nos puede indicar su nombre, es un producto y herramientas de desarrollo para dispositivos con Linux embebidos. Esto es muy bueno, ya que al parecer la empresa de San FranCISCO y que tiene de logo el puente de San Francisco (si, de ahí viene le nombre de la empresa) se esta amigando con el sistema operativo del pinguino, teniendo en cuenta que hasta hace unos años atrás todos sus productos de software corrían "embebidos" solo en plataformas Microsoft.

Buscando mi servidor en listas negras de SPAM (II)

2008-10-15T16:24:00.004-03:00

Como el Spam sigue siendo uno de los grandes problemas entre los servidores que administro, es que seguimos dándole vueltas al tema y seguimos encontrando herramientas que ayudan para el caso.

En primer lugar encontramos a MxToolsBox que posee una herramienta que nos permite buscar en varias RBL a la vez.

Por otro lado, están los de Robtex.com, que aunque ya la habíamos usado hace tiempo para buscar en varias listas negras, nos detuvimos unos minutos en las otras herramientas que tiene, y hay una muy buena que nos indica los datos mas importantes de nuestro dominio, obteniendo información de los registros A,NS y MX, de sus IP y a donde apuntan sus inversos (PTR), y que nos da el resultado en forma gráfica para poder analizarla rápidamente.

La frase de la semana

2008-10-10T16:40:00.003-03:00

Siempre me han gustado las frases, proverbios y los dichos por como pueden compactar tantas verdades o conocimientos en tan pocas palabras.

Hoy al buscar información sobre unos códigos de error me encontré con una frase de Confusio que no pude resistir a replicar:

Me lo contaron y lo olvidé. Lo vi y lo entendí. Lo hice y lo aprendí.

Trafico Aereo Mundial

2008-10-08T07:53:00.001-03:00

Revisando uno de esos tantos blog que hay por ahí, encontré una animación del trafico aéreo mundial... y no me quedo otra que replicarlo

Probando la velocidad de un sitio WEB

2008-10-07T11:34:00.006-03:00

En varias ocasiones he usado el Apache Benchmark (AB) del Apache 2 para probar los servidores web y medir los tiempos de conexión y de respuesta, pero hace unos meses encontré una herramienta muy interesante para poder hacer lo mismo con una pagina web y cada uno de sus componentes (imagenes, js, rss, etc, etc).

Se trata de una de las herramientas del sitio Pingdom.com desde la cual le podemos pasar un URL y genera estadisticas y un grafico con los datos de conexion y tiempo de respuesta de la pagina.

Entre las detalles a destacar, se encuentran dos. Por un lado que mide el tiempo de acceso a cada uno de los componentes de la pagina, e indicando de donde viene el objeto. Esto es muy útil cuando en una pagina se introducen contenidos de otros sitios o servidores, para poder determinar quien es el que genera la "demora" al cargar la pagina. Dato también interesante para cuando la pagina contiene publicidad o se utilizan template o scripts gratuitos de terceros.

Por otro lado, se pueden guardar los resultados de las pruebas, por lo que se puede probar varias veces y en horas diferentes del dia y después poder ver los resultados, o inclusive guardar las pruebas para luego ser revisadas por un tercero, y ya que estamos acá les paso el el reporte de este blog del dia 31 de julio, o sea que por lo menos un par de meses quedan guardados los resultados.

Luego, entre las otras herramientas de Pingdom.com también tenemos un ping y un traceroute que por ahí también son útiles para probar conectividad con los sitios web.

"Mi correo no llega a Hotmail"

2008-08-29T11:29:00.006-03:00

Como administrado de servidores de correo esa suele ser un reclamo que se suele escuchar, y hasta hace un tiempo no había mucho por hacer mas que empezar a revisar los registros de nuestros servidores o buscar si nuestros servidores o nuestras redes habían sido agregadas en alguna lista negra.

Pero la gente de "Windows Live" (como se hacen llamar ahora :P ) han puesto a disposición de los administradores de red una herramienta llamada "Smart Network Data Service" o simplemente SNDS. Esta herramienta esta pensada para ayudar a los postmaster de otras redes a que puedan saber como son gestionados y tratados los correos que entran a Hotmail y sus dominios relacionados.

En el reporte que se genera se puedan observar estadísticas de los mail que llegan a los server de "Windows Live" desde nuestros servidores y como han sido tratados en general los correos de este servidor.

Esta herramienta le da un a puntuación a nuestro servidor según la cantidad de spam recibido desde el, en base a la siguiente escala:

Verde : menos del 10% de los corres es spam
Amarrillo: entre el 10% y 90% de los correos es spam
Rojo: mas del 90% de los correos es marcado como spam

Con esto nos damos una buena idea de que es lo que estan pasando con los correos una vez que entran, y aunque no se puede hacer un seguimiento de un mail en particular, nos permite dar una idea de que es lo que esta pasando.

A su ves, en la ultima columna, en la de comentarios pueden aparecer mensajes mas especificos sobre los problemas encontrados o porque han sido considerados como spam. Estos comentarios pueden llegar a ser textos como "Virus-infected emails" o "Malware hosting" o "Open Proxy status".

Como limitación, y como para controlar un poco el acceso a esta herramienta, para acceder a estos reportes se deben cumplir dos condiciones, Por un lado disponer de una cuenta de "Windows Live" para poderse autenticar y acceder, y luego ser de alguna forma el responsable de la red o IP.

Para determinar que se es el "responsable" de la red o IP utiliza un proceso muy simple, el sistema (SNDS) envía un email a la dirección de correo del "responsable de la red o servidor" con un link de verificación, que luego hay que entrar para poder terminar el proceso.

Para determinar la dirección de correo a la cual se le va a enviar el correo con el link de verificación lo realizan con consultas de los datos de ASN (Autonomous System Number) de la red y en el caso de un solo IP, resuelve el inverso del IP y toma como direcciones validas a abuse@dominio y a postmaster@dominio, de esta manera, la gente de Windows Live limita el acceso a los resultados de sus reportes.

Lo bueno es que uno puede ir agregando a una misma cuenta, tantos servidores o redes uno tenga y hasta permite generar un reporte que para poder ser accedido no requiera autenticación (aunque este ultimo solo en formato csv), el cual esta pensado para ser accedidos por script, para poder generar nuestros propios reportes a mostrar.

Por el momento, vamos a seguir probando esta herramienta y darles un puntito a la gente de "Windows Live" por pensar generar estos reportes, que aunque no son muy detallados es una herramienta mas para tener a mano.

Open Drink !!!

2008-08-28T14:24:00.003-03:00

Esto de compartir conocimientos esta llegando a todas las areas, no solo a la informática. Ya es muy conocido el opensource, por ahí desde hace unos años que que surgieron varios proyectos sobre hardware libre ( openhardware )... pero esto es lo mas: OPENCOLA !!

Un par de ingleses que se pusieron realizar una gaseosa cola muy similar o mejor dicho con el mismo gusto y sabor que la Coca Cola. Aca les dejo los links, la version orifinal de OpenCola:

http://sparror.cubecinema.com/cube/cola/new_recipe.html

Asique sera cuestion de probar a ver que sale.... lo unico, que de la receta es para 117 litros, por lo que si sale mal, va a ser un monton de agua tirada !!

Carnivore, FBI y un un documento rescatado del cache de google

2008-08-08T12:18:00.004-03:00

Después de terminar el post sobre las RBL, me pregunto que fue de la vida del sistema de FBI para inspeccionar los email (carnivoro) y me "encontré" con un documento que parece como el alegado del porque y como funciona carnivoro, y hasta traducido (original en ingles y la traducción párrafo a párrafo).

Pero porque lo de "encontré" entre comillas ? Porque para verlo tuve que recurrir a cache de google y a un par de trucos mas, y como me pareció interesante y considere que no es bueno que se pierda.... hago un super copy&paste para que perdure un poco mas...

Esta por demas decir que no soy el autor del articulo, ni me hago responsable por el mismo (y que ni siquiera lo he terminado de leer :P ), y que el mismo fue encontrado en un buscador de Internet, que su auntor se desconoce al igual que tambien se desconoce la identidad de la persona que inicio la traducción al español, y que se encuentra replicado en este blog solo con el fin de poder tener una copia de respaldo del mismo y que no se vuelta a perder y bla, bla bla..

3.1.3 FOREIGN INTELLIGENCE SURVEILLANCE ACT

The Foreign Intelligence Surveillance Act (FISA) provides for electronic surveillance of foreign powers and agents of foreign powers in the United States for the purpose of obtaining foreign intelligence information. If no "United States person" likely will be overheard, then no court order is required, only certification by the Attorney General.xvii

.EL ACTO DE VIGILANCIA DE 3.1.3 INTELIGENCIA EXTRANJERA
El Acto de Vigilancia de la Inteligencia Extranjera (FISA) mantiene vigilancia electrónica de poderes extranjeros y agentes de poderes extranjeros en los Estados Unidos con el propósito de obtener la información de inteligencia extranjera. Si ninguna "persona de Estados Unidos" probablemente se oirá por casualidad, entonces ningún orden judicial se requiere, sólo certificación por el Abogado General.xvii

If a United States person is involved, however, FISA requires an order issued by a special foreign intelligence surveillance court. A judge of the special court must approve the electronic surveillance if it is found that the requirements of the statute have been satisfied.xviii The order if must specify the identity or provide a description of the target of the electronic surveillance, the nature and location of each facility or place at which electronic surveillance will be directed, the type of information sought to be acquired and the type of communications or activities to be subjected to the surveillance, the means by which the electronic surveillance will be effected and whether physical entry will be used to effect the surveillance, the period of time during which the electronic surveillance is approved, and, when more than one surveillance device is used under the order, the authorized coverage of each device and the minimization procedures to be applied.xix

.Si una persona de Estados Unidos está envuelta, sin embargo, FISA requiere un orden emitido por la corte de vigilancia de una inteligencia extranjera especial. Juez de la corte especial debe aprobar la vigilancia electrónica si se encuentra que los requisitos del estatuto han sido satisfied.xviii El orden si debe especificar la identidad o debe proporcionar una descripción del blanco de la vigilancia electrónica, la naturaleza y situación de cada facilidad o debe poner a que la vigilancia electrónica se dirigirá, el tipo de información buscó ser adquirido y el tipo de comunicaciones o actividades ser sujetado a la vigilancia, los medios por que la vigilancia electrónica se efectuará y si la entrada física se usará efectuar la vigilancia, el periodo de tiempo durante que la vigilancia electrónica es aceptado, y, cuando más de uno el dispositivo de vigilancia se usa bajo el orden, el fondos autorizado de cada dispositivo y los procedimientos de minimización para ser applied.xix

The order also must direct that the minimization procedures be followed and may direct third parties to furnish law enforcement authorities with necessary information, facilities, or technical assistance necessary to accomplish the electronic surveillance in a manner that will protect its secrecy and interfere minimally with the services of the subject of that order.xx

.El orden también debe dirigir que los procedimientos de minimización se sigan y pueden dirigir terceras fiestas para amueblar las autoridades de entrada en vigor de ley con la información necesaria, medios, o ayuda técnica necesario lograr la vigilancia electrónica de una manera que protegerá su secreto e interferirá mínimamente con los servicios del asunto de ese order.xx

Applications for FISA orders may be made only with the approval of the Attorney General and upon a certification by the Assistant to the President for National Security Affairs, or other designated national security officials, that the information sought is foreign intelligence information and that such information cannot reasonably be obtained by normal investigative techniques.xxi Finally, foreign intelligence pen trap devices may be installed and used pursuant to orders by the special court or a specially designated United States Magistrate Judge and requires similar findings and directions.xxii

.Sólo pueden hacerse aplicaciones para los órdenes de FISA con la aprobación del Abogado General y en una certificación por el Ayudante al Presidente para los Asuntos de Seguridad Nacionales, u otros oficiales de seguridad nacionales designados que la información buscada son la información de inteligencia extranjera y esa tal información no puede obtenerse razonablemente por techniques.xxi Finally investigador normal, los dispositivos de trampa de pluma de inteligencias extranjeras pueden instalarse y pueden usarse consiguiente a los órdenes por la corte especial o un Estados Unidos especialmente designados Magistrado Judge y requiere resultados similares y directions.xxii

3.2 THE ELECTRONIC SURVEILLANCE PROCESS

3.2.1 THE DECISION TO USE CARNIVORE

A decision to use electronic eavesdropping comes only after a criminal investigation has proceeded substantially. This timing of the decision is true for a number of reasons. First, the FBI must demonstrate to the satisfaction of a judge probable cause that a crime has been committed or is about to be committed and that the surveillance is necessary to obtain relevant information. Even to obtain authorization for pen-trap surveillance, the FBI must show the relevance of the information sought. Second, the FBI in the electronic surveillance context must explain why traditional enforcement methods are insufficient to obtain the information desired. Third, in order to obtain a court order authorizing electronic eavesdropping, the FBI must amass significant details. For instance, the FBI must discover the identity of the target's ISP, the target's e-mail address, etc. Fourth, given the typical 4-6 month delay in receiving authorization for an electronic wiretap, FBI investigators are not likely to seek to deploy such means except in large ongoing investigations after substantial material has already been unearthed. Finally, use of electronic surveillance is expensive in terms of resources, making it much more likely that FBI agents will use electronic surveillance as a last resort.

If a case agent in the midst of a national security or criminal investigation determines that electronic surveillance may be needed, the agent contacts the Chief Division Counsel (CDC)xxiii and a Technically Trained Agent (TTA) in the field office for advice. The FBI separates responsibility for administration of technical surveillance from those pursuing leads in a criminal or national security investigation. That separation minimizes the chance that technical surveillance will be used prematurely. TTAs are experienced Special Agents who have been selected for advanced training. CDCs are familiar with the statutory requirements for eavesdropping. The TTA and CDC may counsel the Special Agent about what information might ultimately be necessary should a court order be sought, whether it is information identifying the URL of a web site engaged in money laundering or a target's ISP. After continued consultation with the CDC and TTA, the case agent, with field office supervisory approval, may then determine that electronic surveillance is required. These procedures are formalized in the MIOG,xxiv and evidently have been consistently followed. In. the case of electronic wiretapping for content, the case agent must clear the application with superiors within the field office, with FBI Headquarters, and then with the DoJ.xxv This chain of command has been formalized.

3.2 EL PROCESO DE VIGILANCIA ELECTRÓNICO
3.2.1 LA DECISIÓN PARA USAR EL CARNÍVORO
Una decisión para usar el escuchando detrás de las puertas electrónico sólo viene después de que una investigación delictiva ha procedido substancialmente. Esto cronometrando de la decisión es verdadero por varios razones. Primero, el FBI debe demostrar a la satisfacción de un juez causa probable que un crimen se ha comprometido o se ha sido sobre ser comprometido y que la vigilancia es necesaria obtener la información pertinente. Incluso para obtener la autorización para la vigilancia del pluma-trampa, el FBI debe mostrar la relevancia de la información buscada. Segundo, el FBI en el contexto de vigilancia electrónico debe explicar por qué los métodos de la entrada en vigor tradicionales son insuficientes obtener la información deseada. Tercero para obtener un orden judicial que autoriza el escuchar detrás de las puertas electrónico, el FBI debe juntar los detalles significantes. Por ejemplo, el FBI debe descubrir la identidad del ISP del blanco, la dirección del e-mail del blanco, el etc. Cuarto, dado el 4-6 retraso del mes típico en la autorización receptor para un wiretap electrónico, no es probable que investigadores de FBI busquen desplegar cosas así significa excepto en las investigaciones continuadas grandes después de que el material sustancial ya se ha desenterrado. Finalmente, el uso de vigilancia electrónica es caro por lo que se refiere a los recursos, mientras haciéndole muy más probablemente ese agentes de FBI usarán la vigilancia electrónica como un último recurso.
Si agente del caso en medio de una seguridad nacional o la investigación delictiva determina esa vigilancia electrónica puede necesitarse, el agente avisa el Consejo de la División Principal (CDC)xxiii y un Técnicamente el Agente Especializado (TTA) en la oficina del campo para consejo. El FBI separa la responsabilidad por la administración de vigilancia técnica de esas primacías siguiendo en un delincuente o la investigación de seguridad nacional. Esa separación minimiza la oportunidad que la vigilancia técnica se usará prematuramente. TTAs son Agentes Especiales experimentados que han sido seleccionados para el entrenamiento avanzado. CDCs están familiarizados con los requisitos estatutarios por escuchar detrás de las puertas. El TTA y CDC pueden aconsejar al Agente Especial sobre qué información podría ser finalmente necesario deba un orden judicial se busque, si es información que identifica el URL de un sitio de tejido comprometida en laundering de dinero o el ISP de un blanco. Después de la consultación continuada con el CDC y TTA, el agente del caso, con la oficina del campo la aprobación de supervisión, puede determinar entonces esa vigilancia electrónica se requiere. Estos procedimientos se formalizan en el MIOG,xxiv y evidentemente se siguen de forma consistente. En. el caso de wiretapping electrónico para el volumen, el agente del caso debe aclarar la aplicación con los superiores dentro de la oficina del campo, con la Oficina principal de FBI, y entonces con el DoJ.xxv Esta cadena de orden se ha formalizado.

The procedures to obtain authorization for a pen-trap surveillance are less rigorous. The case agent must justify in writing the need for pen-trap surveillance rather than more conventional investigative techniques. This justification, initialed by a supervisor, is placed in the case file and pen-register control file.xxvi The division counsel may be consulted on application language and the TTA must be consulted regarding availability of equipment.xxvii

The application for a court order in either context is authored by FBI attorneys in conjunction with those at DoJ (or the U.S. Attorney's Office if the objective is a pen-trap) based on information furnished by the case agent. Advice on the language in the application is widely sought and received from each level in the review process.

The court determines in both sets of circumstances (electronic monitoring or pen trap) whether to grant the application ex parte. If satisfied that the Title III requirements have been met the court typically issues two orders: one authorizing the intercept and the second directing the relevant ISP to cooperate in the venture. The second order usually contains less information than the first omitting, for example, the purpose of the investigation and sometimes the name of the target.

3.2.2 DEPLOYMENT OF CARNIVORE

In discussions with the ISP, the TTA and Special Agent determine how best to ensure implementation. The ISP may have means available to obtain the target information narrowly and precisely. For instance, if all the information sought can be obtained by setting up a clone e-mail account, most ISPs can comply. Problems, however, may exist if the ISP lacks the technology to narrow sufficiently the information retrieved to comply with the court order, or conversely, if it cannot retrieve sufficient information. (At times, the FBI also is concerned about disclosing too much information to the ISP, as in a sensitive national security investigation.) If the ISP cannot comply fully with the court order, then application of Carnivore represents the first stage of minimization, as described elsewhere. Carnivore limits the information retrieved to that specified in the court order. The TTA engages in discussions with ISP representatives to explain the functionality of Carnivore and assure the integrity of the ISP's network.

If Carnivore is selected as the most appropriate means of complying with the court order, the TTA assumes responsibility for its deployment. Given that use of Carnivore has been limited, highly trained personnel from FBI Headquarters have, so far, played a critical role in the implementation process, although there is no procedural requirement for their participation. The TTAs -- with or without help from headquarters -- then configure the system according to the specifications in the court order.

If the order, for instance, specifies intercepting e-mail to and from adam@mailserve.com, an agent must enter that e-mail address into the appropriate field of the Carnivore input screen. If the order specifies intercepting all traffic between port 25 of a specific Internet server and an IP address assigned to a particular target, the agent must enter the appropriate alphanumeric string into the appropriate field in the input screen for Carnivore to specify the server and port 25; and also enter the appropriate values to specify -- or to allow the hardware and software to determine -- the IP address assigned to the target in a particular session by Dynamic Host Configuration Protocol (DHCP) or RADIUS. The mapping is usually straightforward, although IITRI learned of one case in which the FBI requested the U.S. Attorney to obtain a new Title III order to eliminate ambiguities. The configurations programmed can be retrieved later to ensure compliance with the court order. Nonetheless, the potential for human error cannot be discounted -- agents must program Carnivore to match the potentially ambiguous information in the court order.

The work area at the ISP is secured, and substantial precautions are taken to ensure that no ISP staff members have access to the unit. Precautions are taken so that no one in the area can manipulate the hardware to see the data as it is retrieved. If individuals, despite the precautions, could access the information released by Carnivore, they could reassemble it using readily-available software to reveal its contents. Under FBI practice, the TTA does not receive any of the information retrieved via Carnivore. These procedures again are not formalized, but security is important to ensure that the chain of custody is not broken. Currently, all Carnivore units are maintained at FBI Headquarters and returned there after a session has been completed.

3.2.3 ANALYSIS OF THE INFORMATION RETRIEVED BY CARNIVORE

The information retrieved can be reassembled by the case agent using specially designed software called CoolMiner and Packeteer, collectively known as DragonWare. The case agent can obtain the intercepted information remotely as it is received by Carnivore, or can await until the information is retrieved on the Jazz disk in the computer.

The case agent then carries out a second round of minimization. On a PC on which DragonWare is installed, the agent determines which information is relevant and which is not. The irrelevant information is deleted immediately and no copies are kept. The relevant information becomes part of the working papers of the investigation. There are no checks of which IITRI is aware to monitor the extent of this second minimization. The original disk (with information not reassembled) is sealed and stored. The disk is not tamper-proof. None of the information in the original disk is entered into a database. Pursuant to Title III, the court at the conclusion of the investigation must notify any target of the electronic search -- and apparently at its discretion any other individual whose communications were frequently intercepted during the Carnivore session -- about the fact of interception. The judge who authorized the interception retains jurisdiction over the intercept and often monitors in a general way the conduct of the surveillance.

Finally, if the information obtained has been encrypted, the case agent must determine whether to apply decryption techniques to the encrypted messages received. Carnivore itself has no power to decrypt. Thus, depending upon the perceived importance of the information, the case agent may contact FBI headquarters for help in decrypting the information retrieved by Carnivore.

.Los procedimientos para obtener la autorización para una vigilancia del pluma-trampa son menos rigurosos. El agente del caso debe justificar la necesidad por escrito por la vigilancia del pluma-trampa en lugar de las técnicas investigadoras más convencionales. Esta justificación, firmada con iniciales por un supervisor, se pone en el archivo del caso y mando del pluma-registro que file.xxvi que El consejo de la división puede consultarse en el idioma de la aplicación y el TTA debe consultarse con respecto a la disponibilidad de equipment.xxvii
La aplicación para un orden judicial en cualquier contexto está el authored por abogados de FBI junto con aquéllos en DoJ (o la Oficina del Abogado americano si el objetivo es un pluma-trampa) basado en información amueblada por el agente del caso. Consejo en el idioma en la aplicación se busca ampliamente y recibió de cada nivelado en el proceso de la revisión.
La corte determina en ambos juegos de circunstancias (supervisando electrónico o escribe la trampa) si para conceder la parte de ex de aplicación. Si satisfizo que el Título que se han reunido III requisitos típicamente la corte emite dos órdenes: uno que autoriza el intercepte y el segundo que dirige el ISP pertinente para cooperar en la ventura. El segundo orden normalmente contiene menos información que el omitiendo primero, por ejemplo, el propósito de la investigación y a veces el nombre del blanco.
3.2.2 DESPLIEGUE DE CARNÍVORO
En las discusiones con el ISP, el TTA y el Agente Especial determinan qué el mejor para asegurar la aplicación. El ISP puede tener los medios disponible obtener la información designado estrechamente y precisamente. Por ejemplo, si toda la información buscada puede ser obtenida preparando una cuenta de e-mail de clon, la mayoría del ISPs puede cumplir. Los problemas, sin embargo, pueden existir si al ISP le falta la tecnología para estrechar la información recuperada para obedecer el orden judicial suficientemente, o recíprocamente, si no puede recuperar la información suficiente. (A veces, el FBI también se preocupa por descubrir la demasiada información al ISP, como en una investigación de seguridad nacional sensible.) Si el ISP no puede obedecer el orden judicial totalmente, entonces la aplicación de Carnívoro representa la primera fase de minimización, como descrito en otra parte. El carnívoro limita la información recuperada a eso especificado en el orden judicial. El TTA compromete en las discusiones con representantes de ISP explicar la funcionalidad de Carnívoro y asegurar la integridad de la red del ISP.
Si el Carnívoro se selecciona como los medios más apropiados de obedecer el orden judicial, el TTA asume la responsabilidad por su despliegue. Dado ese uso de Carnívoro ha sido el personal limitado, muy especializado de la Oficina principal de FBI, hasta ahora, ha jugado un papel crítico en el proceso de aplicación, aunque no hay ningún requisito procesal para su participación. El TTAs--con o sin la ayuda de la oficina principal--entonces configure el sistema según las especificaciones en el orden judicial.
Si el orden, por ejemplo, especifica interceptando el e-mail a y de adam@mailserve.com, un agente debe entrar en esa dirección del e-mail en el campo apropiado del Carnívoro entre la pantalla. Si el orden especifica interceptando todo el tráfico entre puerto 25 de un servidor de Internet específico y una dirección de IP asignó a un blanco particular, el agente debe entrar en el cordón alfanumérico apropiado en el campo apropiado en la pantalla de la entrada para el Carnívoro especificar el servidor y poner a babor 25; y también entra en los valores apropiados para especificar--o para permitir el hardware y software para determinar--la dirección de IP asignó al blanco en una sesión particular por el Anfitrión Protocolo de la Configuración Dinámico (DHCP) o RADIO. La cartografía es normalmente sincera, aunque IITRI aprendió de un caso en que el FBI le pidió al Abogado americano que obtuviera un nuevo Título III orden para eliminar las ambigüedades. Pueden recuperarse las configuraciones programadas después para asegurar la complacencia con el orden judicial. No obstante, el potencial para el error humano no puede descontarse--agentes deben programar el Carnívoro para emparejar la información potencialmente ambigua en el orden judicial.
El área de trabajo al ISP es se toman las precauciones asegurado, y sustanciales para asegurar que ningún ISP provee de personal que los miembros tienen el acceso a la unidad. Se toman las precauciones que para que nadie en el área pueda manipular el hardware para ver los datos como él se recupera. Si los individuos, a pesar de las precauciones, pudieran acceder la información soltada por el Carnívoro, ellos podrían volverlo a montar usando el software prontamente-disponible para revelar sus volúmenes. Bajo la práctica de FBI, el TTA no recibe cualquiera de la información recuperado vía el Carnívoro. Estos procedimientos no se formalizan de nuevo, pero la seguridad es importante asegurar que la cadena de custodia no esté rota. Actualmente, todas las unidades del Carnívoro se mantienen en la Oficina principal de FBI y volvieron allí después de que una sesión se ha completado.
3.2.3 ANÁLISIS DE LA INFORMACIÓN RECUPERADO POR EL CARNÍVORO
La información recuperada puede ser vuelta a montar por el agente del caso que usa el software especialmente diseñado llamó CoolMiner y Packeteer, colectivamente conocido como DragonWare. El agente del caso puede obtener la información interceptada remotamente como él se recibe por el Carnívoro, o puede esperar hasta la información se recupera en el disco del Jazz en la computadora.
El agente del caso lleva a cabo una segunda ronda de minimización entonces. En un PC en que DragonWare se instala, el agente determina qué información es pertinente y qué no es. La información no pertinente se anula inmediatamente y ninguna copia se guarda. La información pertinente se vuelve parte de los papeles activos de la investigación. Hay ningún cheque de que IITRI es consciente supervisar la magnitud de este segundo minimización. El disco original (con información no vuelta a montar) se sella y guardó. El disco no es ninguna manosear-prueba. En ninguno de la información en el disco original se entra en un banco de datos. Consiguiente para Titular III, la corte a la conclusión de la investigación debe notificar cualquier designado de la búsqueda electrónica--y al parecer a su discreción cualquier otro individuo cuyo frecuentemente se interceptaron las comunicaciones durante la sesión del Carnívoro--sobre el hecho de interceptación. El juez que autorizó la interceptación retiene la jurisdicción encima del intercepte y a menudo los amonestadores de una manera general la conducta de la vigilancia.
Finalmente, si la información obtenida ha sido el encrypted, el agente del caso debe determinar si aplicar las técnicas del decryption a los mensajes del encrypted recibieron. El carnívoro él no tiene el poder al decrypt. Así, dependiendo en la importancia percibida de la información, el agente del caso puede avisar la oficina principal de FBI para la ayuda en decrypting que la información recuperó por el Carnívoro.

3.3 EXTERNAL AND INTERNAL CHECKS ON THE PROCESS

There are innumerable external and internal checks overseeing federal law enforcement authorities' use of Carnivore. Outside the law enforcement agency, both judges and Congress monitor implementation of electronic surveillance. Within the agency, there are checks of intensive training for personnel, structural separation between technical and case agents, and inspections. These checks taken together reduce the possibility that Carnivore will be abused.

3.3.1 EXTERNAL CHECKS

3.3.1.1 JUDICIAL OVERSIGHT

Judges are involved in the Carnivore process throughout. They discharge a critical function at the court-order stage, monitor minimization, and, duration during the surveillance, exercise oversight of record keeping and provide notice to targets after the investigation has completed.xxviii

As an initial matter, only Article III judges can authorize Title III and FISA intercepts. This requirement unlike in the conventional warrant or pen-trap contexts, limits the number of judicial officials who can approve intercept orders. Also, Article III judges are more immune from political pressures because of their job tenure and protection from salary diminution.

Moreover, before law enforcement agencies can obtain authorization for an intercept from the court, they must submit substantial information to the supervising judge. The judge must be satisfied that the FBI has demonstrated probable cause that a crime has been committed, that the information sought cannot be determined in any conventional manner, and that probable cause exists to believe that relevant information will be retrieved by the intercept. The court also ensures that efforts at minimization have taken place. After the interception has started, the court often spot-checks minimization, ensures that the interception does not continue longer than is necessary, and that the information obtained is sealed. At the conclusion of the investigation, the court also determines which parties to notify of the fact of interception. The notification increases the chance that those subject to surveillance will mount a legal challenge to the propriety of the investigation, as mentioned below. Judicial involvement is pervasive, and minimizes the risk that electronic surveillance will be unnecessary, overbroad, or too lengthy.xxix Similar protections exist in the FISA context.

3.3.1.2 CRIMINAL AND CIVIL SANCTIONS

Congress also has exerted significant control over the electronic surveillance process by providing for civil and criminal sanctions. Under Title III, any person whose electronic communication is wrongfully intercepted can recover actual damages, punitive damages (in appropriate cases), and attorney fees.xxx Even if actual damages cannot be shown, statutory damages for the greater of $100 per day or $10,000 can be recovered.xxxi The interceptor can block the suit by showing good faith reliance on a court order or statutory authorization. Criminal penalties are imposed on any individual who intentionally intercepts wire communications without authorization or discloses the contents having reason to know that the information was obtained through an illegal interception under 18 U.S.C. § 2511. Defendants can include law enforcement officials who abuse their authority to intercept electronic communications or divulge their contents. Under FISA, as well, individuals are guilty of an offense if they engage in unauthorized electronic surveillance or disclose information having reason to know that the information was obtained in an unauthorized manner.xxxii A defense is provided if a court order sanctioned the interception or disclosure.xxxiii Finally, anyone knowingly violating the restrictions on pen devices can be fined, imprisoned for not more than one year, or fined and imprisoned.xxxiv In short, Congress provided for deterrence of misconduct by creating a civil remedy in the electronic communication and FISA contexts and criminal sanctions in all three contexts.xxxv

3.3.1.3 APPLICABILITY OF EXCLUSIONARY RULE

FISA provides for suppressing any evidence illegally obtained through either electronic intercepts or pen-trap devices.xxxvi The exclusionary remedy provides a deterrent against overbroad or vindictive surveillance. In contrast, the electronic communications and pen register schemes do not provide for exclusion of evidence in a criminal trial if the procedures of the governing statutes are violated. Although Title III does include an exclusionary rule for interception of wire and oral communication,xxxvii no comparable rule is included for interception of electronic communication.xxxviii Defendants in criminal trials can move to suppress the electronic communication on the ground that they were subject to an unreasonable search or seizure within the meaning of the Fourth Amendment,xxxix but cannot rely on any procedural violation of the statute itself Note, however, that the availability of an exclusionary rule does not offer direct protection for those not suspected of criminal or foreign intelligence activity who may be caught within the web of surveillance.

3.3.1.4 REPORTING REQUIREMENT

Congress also exercises control by imposing reporting requirements. Under 18 U.S.C. § 2519, the supervising judge of electronic intercepts pursuant to Title III must report to the Administrative Office of the United States the fact and type of intercept order requested and granted or denied. Moreover, the Attorney General must independently report the same information in the aggregate each year to the Administrative Office. Under the pen trap provisions, the Attorney General shall annually report to Congress on the number of pen register orders and trap and trace devices applied for each year.xl Under FISA, the Attorney General must transmit to the Administrative Office each year a report of the total number of applications made for orders and extension of orders and the total numbers of such orders and extensions granted.x1i Congress has also required the Attorney General to report to congressional committees, on a semiannual basis, the extent of its electronic surveillance activities under FISA. These extensive reporting requirements permit Congress more information with which to assess the efficacy of the surveillance systems. Although to a lesser extent than the criminal and civil sanctions discussed above, the reporting provisions add some deterrence to misconduct.

The FBI's conduct of electronic surveillance is not unchecked. Both courts and Congress exercise significant oversight responsibility, lessening the possibility that law enforcement officials will use Carnivore in an unauthorized or careless manner.

3.3.2 INTERNAL CHECKS

In addition to the external checks, the FBI has itself placed many checks on the conduct of electronic surveillance. These internal checks further minimize the chance for abuse.

3.3.2.1 THE NEED FOR APPROVAL FROM SUPERIORS

Only certain authorized attorneys of the United States can approve a request for an Article III intercept, ensuring a measure of internal scrutiny and deliberation. With respect to electronic communication,xlii only the Attorney General, Deputy Attorney General, Associate Attorney General, any Assistant Attorney General, or several others specially designated by the Attorney General may authorize application for an electronic intercept.xliii With respect to FISA, only the Attorney General can authorize the intercept. This centralized authority prevents widely dispersed law enforcement officials from making the intercept decision on their own volition.xliv

3.3.2.2 TRAINING AND STRUCTURAL SEPARATION OF CASE AGENTS FROM TECHNICAL AGENTS

Electronic surveillance cannot be conducted under FBI procedures without the involvement of Technical Advisors (TAs), TTAs, and the Electronic Surveillance Technology Section (ESTS) of the Laboratory Division.

TAs and TTAs are assigned to field offices. The TA is a TTA assigned to the Special Agent in Charge of a field office to advise on all aspects of electronic surveillance. "The TA must be actively involved in all office management decisions concerning the application of technical investigative techniques."x1v The TA monitors the conduct of the TTAs.

TTAs are experienced agent investigators with a minimum of two years experience who have applied and been selected for TTA training and certification. TTA candidates complete one year of on-the-job training under the supervision of the TA, followed by formal training at the FBI's Engineering Research Facility on basic electronics, computer and networking technology, basic architecture of telephone networks, switch-based intercepts, and data intercepts. To be designated a TTA, candidates must pass all examinations and practical problems, after which they are assigned as TTAs to a field office.xlvi In order to maintain their certification, TTAs must spend at least 20 percent of their time on technical investigative support matters and attend technical in-service training. TTAs may never be used as monitoring agents of court-ordered intercepts.xlvii

"All technical equipment in the field office is under the care, custody and control of the TA."xlviii "Technical equipment can only be sent from FBI Headquarters to the TA. Technical equipment is never sent to Special Agents who are not TTAs.xlix The TA maintains a control system for equipment accountability. No part or function of any equipment may be altered without specific FBI headquarters authorization.1

The TTA is responsible for ensuring that proper authority has been obtained for technical equipment use and for maintaining a file which contains the documented authority (court orders, SAC, or supervisory approval). TTAs may not permit the use of technical equipment until such court order or other authority has been seen or orally verified from supervisory personnel. Such oral verification must be documented and maintained in the file with the court orders.li In short, both the training and separation of personnel into case and technical groupings minimize the chance that the Carnivore power will be abused.

3.3.2.3 INTERNAL DISCIPLINE

Finally, law enforcement agents sometimes face discipline within their agencies for arbitrary or excessive searches. Many field offices have established internal mechanisms to oversee conduct of case agents. Offices may recognize that illegal searches can be counterproductive and jeopardize the agency's reputation in the public eye. In addition, FBI senior officials from FBI headquarters periodically inspect the practices of each field office. Such inspections commonly focus on the practices and procedures used in electronic surveillance.

.3.3 CHEQUES EXTERNOS E INTERIORES EN EL PROCESO
Hay cheques externos e interiores innumerables que vigilan el uso de autoridades de entrada en vigor de ley federales de Carnívoro. Fuera de la agencia de entrada en vigor de ley, jueces y " aplicación de amonestador de Congreso de vigilancia electrónica. Dentro de la agencia, hay cheques de entrenamiento intensivo para el personal, la separación estructural entre técnico y agentes del caso, e inspecciones. Estos cheques tomados juntos reducen la posibilidad que el Carnívoro se abusará.
3.3.1 CHEQUES EXTERNOS
3.3.1.1 VIGILANCIA JUDICIAL
Jueces están envueltos en el proceso del Carnívoro a lo largo de. Ellos descargan una función crítica en la fase del corte-orden, el minimización del amonestador, y, duración durante la vigilancia, vigilancia del ejercicio de registro que guarda y proporciona el aviso a los blancos después de que la investigación tiene completed.xxviii
Como una materia inicial, sólo Artículo III jueces pueden autorizar el Título III y FISA intercepta. Este requisito diferente en la garantía convencional o contextos del pluma-trampa, límites el número de oficiales judiciales que pueden aprobar intercepta los órdenes. También, Artículo III jueces son más inmunes de las presiones políticas debido a su tenencia del trabajo y protección de la disminución del sueldo.
Es más, antes de las agencias de entrada en vigor de ley la autorización puede obtener para un intercepte de la corte, ellos deben someter la información sustancial al juez dirigiendo. El juez debe satisfacerse que el FBI ha demostrado causa probable que un crimen se ha comprometido, que no puede determinarse la información buscada de cualquier manera convencional, y esa causa probable existe para creer que la información pertinente se recuperará por el intercepte. La corte también asegura que los esfuerzos al minimización han tenido lugar. Después de que la interceptación ha empezado, la corte a menudo el minimización de los mancha-cheques, asegura que la interceptación no continúa más mucho tiempo que es necesario, y que la información obtenida se sella. A la conclusión de la investigación, la corte determina también qué fiestas para notificar del hecho de interceptación. La notificación aumenta la oportunidad que aquéllos sujeto a la vigilancia montarán un desafío legal a la conveniencia de la investigación, como mencionado debajo. El envolvimiento judicial es penetrante, y minimiza el riesgo que la vigilancia electrónica será innecesaria, el overbroad, o también lengthy.xxix que los protections Similares existen en el contexto de FISA.
3.3.1.2 SANCIONES DELICTIVAS Y CIVILES
El congreso también ha ejercido el mando significante encima del proceso de vigilancia electrónico manteniendo las sanciones civiles y delictivas. Bajo el Título III, cualquier persona cuya comunicación electrónica se intercepta injustamente puede recuperar los daño y perjuicios reales, los daño y perjuicios punitivos (en los casos apropiados), y abogado fees.xxx aun cuando no pueden mostrarse los daño y perjuicios reales, los daño y perjuicios estatutarios para el mayor de $100 por día o $10,000 recovered.xxxi puede ser Los interceptor pueden bloquear el traje mostrando la confianza de fe buena en un orden judicial o la autorización estatutaria. Se imponen las multas delictivas en cualquier individuo que intencionalmente intercepta las comunicaciones del alambre sin la autorización o descubre los volúmenes que tienen la razón para saber que la información se obtuvo a través de una interceptación ilegal bajo 18 U.S.C. § 2511. Los demandados pueden incluir a oficiales de entrada en vigor de ley que abusan su autoridad para interceptar las comunicaciones electrónicas o divulgar sus volúmenes. Bajo FISA, también, los individuos son culpables de una ofensa si ellos comprometen en la vigilancia electrónica desautorizado o descubren información que tiene la razón para saber que la información se obtuvo en un manner.xxxii desautorizado que UNA defensa se proporciona si un orden judicial sancionara la interceptación o disclosure.xxxiii Finally, cualquiera violando las restricciones a sabiendas en los dispositivos de la pluma pueden multarse, no encarcelado para más de un año, o multó e imprisoned.xxxiv para abreviar, el Congreso mantuvo disuasión de mala conducta creando un remedio civil en la comunicación electrónica y contextos de FISA y sanciones del delincuente en todos los tres contexts.xxxv
3.3.1.3 PERTINENCIA DE REGLA DE EXCLUSIONARY
FISA mantiene suprimiendo cualquier evidencia u obtenida a través de electrónico ilegalmente intercepta o pluma-trampa devices.xxxvi El remedio del exclusionary proporciona un disuasivo contra overbroad o la vigilancia vindicativa. En el contraste, las comunicaciones electrónicas y esquemas de registro de pluma no mantienen exclusión de evidencia en un ensayo delictivo si se violan los procedimientos de los estatutos gobernantes. Aunque el Título III incluyen una regla del exclusionary para la interceptación de alambre y communication,xxxvii del oral ninguna regla comparable es incluido para la interceptación de Demandados de communication.xxxviii electrónicos en los ensayos delictivos puede mover para suprimir la comunicación electrónica en la tierra que ellos estaban sujeto a una búsqueda irrazonable o cogida dentro del significado del Cuarto Amendment,xxxix pero no puede confiar en cualquier violación procesal del propio estatuto la Nota, sin embargo, que la disponibilidad de una regla del exclusionary no ofrece protección directa para aquéllos no sospechados de delincuente o la actividad de inteligencia extranjera que pueden ser cogidos dentro del tejido de vigilancia.
3.3.1.4 REQUISITO INFORMANDO
El congreso también ejerce el mando el informando imponiendo los requisitos. Bajo 18 U.S.C. § 2519, el juez dirigiendo de electrónico intercepta consiguiente Titular III deben informar a la Oficina Administrativa de los Estados Unidos el hecho y tipo de intercepte orden pedido y concedió o negó. Es más, el Abogado General debe informar la misma información independientemente en el agregado cada año a la Oficina Administrativa. Bajo los comestibleses de trampa de pluma, el Abogado General informará anualmente al Congreso en el número de registro de la pluma pide y la trampa y dispositivos del rastro solicitaron cada year.xl Bajo FISA, el Abogado General debe transmitir a la Oficina Administrativa cada año un informe del número total de aplicaciones constituido los órdenes y extensión de órdenes y los números totales de cosas así pide y extensiones el Congreso de granted.x1i también ha requerido al Abogado General informar a los comités del congreso, en una base semestral, la magnitud de sus actividades de vigilancia electrónicas bajo FISA. Estos requisitos informando extensos permiten más información al Congreso con que para evaluar la eficacia de los sistemas de vigilancia. Aunque en menor grado que las sanciones delictivas y civiles discutieron sobre, los comestibleses informando agregan un poco de disuasión para dirigir mal.
La conducta del FBI de vigilancia electrónica no es desenfrenada. Cortes y " ejercicio del Congreso la responsabilidad de vigilancia significante, disminuyendo la posibilidad que oficiales de entrada en vigor de ley usarán el Carnívoro de una manera desautorizado o descuidada.
3.3.2 CHEQUES INTERIORES
Además de los cheques externos, el FBI se tiene puesto muchos cheques en la conducta de vigilancia electrónica. Estos cheques interiores minimizan la oportunidad más allá para el abuso.
3.3.2.1 LA NECESIDAD PARA LA APROBACIÓN DE LOS SUPERIORES
Sólo ciertos abogados autorizados de los Estados Unidos pueden aprobar una demanda para un Artículo que III interceptan, mientras asegurando una medida de escrutinio interior y deliberación. Con respecto al communication,xlii electrónico sólo el Abogado General, Diputado Abogado Abogado General General, Asociado, cualquier Abogado General Auxiliar, o algunos que especialmente otros designaron por el Abogado General pueden autorizar la aplicación para un intercept.xliii electrónico con respecto a FISA, sólo el Abogado General puede autorizar el intercepte. Esto centralizó la autoridad les impide a los oficiales de entrada en vigor de ley ampliamente dispersados hacer el intercepte la decisión en su propio volition.xliv
3.3.2.2 ENTRENAMIENTO Y LA SEPARACIÓN ESTRUCTURAL DE AGENTES DEL CASO DE LOS AGENTES TÉCNICOS
No puede dirigirse la vigilancia electrónica bajo los procedimientos de FBI sin el envolvimiento de Consejeros Técnicos (TAs), TTAs, y la Sección de Tecnología de Vigilancia Electrónica (ESTS) de la División del Laboratorio.
Se asignan TAs y TTAs para presentar las oficinas. El TA es que un TTA asignó al Agente Especial en el Cargo de una oficina del campo aconsejar en todos los aspectos de vigilancia electrónica. "El TA debe ser involucrado activamente en todas las decisiones de dirección de oficina acerca de la aplicación de técnicas investigadoras técnicas. "el x1v El TA supervisa la conducta del TTAs.
TTAs son los investigadores del agente experimentados con un mínimo de dos experiencia de los años que ha aplicado y ha seleccionado para TTA que entrena y certificación. Candidatos de TTA completan un año de en-el-trabajo que entrena bajo la vigilancia del TA, siguió por el entrenamiento formal al FBI está Diseñando la Facilidad de la Investigación en la electrónica básica, computadora y tecnología de la gestión de redes, la arquitectura básica de redes del teléfono, interruptor-basado intercepta, y el datos intercepta. Candidatos deben pasar todos los exámenes y los problemas prácticos después de que ellos se asignan como TTAs a un campo office.xlvi para mantener su certificación ser designado un TTA, TTAs debe gastar 20 por ciento de su tiempo por lo menos en las materias de apoyo investigadoras técnicas y debe asistir al entrenamiento del en-servicio técnico. TTAs nunca puede usarse como supervisar a agentes de intercepts.xlvii corte-pedido
"El equipo todo técnico en la oficina del campo está bajo el cuidado, custodia y mando del TA. "xlviii "que sólo pueden enviarse los equipos Técnicos de la Oficina principal de FBI al TA. Nunca se envía el equipo técnico a Agentes Especiales que no son TTAs.xlix El TA mantiene un sistema del mando para la responsabilidad de equipo. Ninguna parte o función de cualquier equipo pueden alterarse sin la oficina principal de FBI específica authorization.1
El TTA es responsable para asegurar esa autoridad apropiada se ha obtenido para el equipo técnico use y por mantener un archivo que contiene la autoridad documentada (los órdenes judiciales, BOLSA, o la aprobación de supervisión). TTAs no puede permitir el uso de equipo técnico hasta el tal orden de la corte u otra autoridad se ha visto u oralmente se ha verificado del personal de supervisión. La tal comprobación oral debe documentarse y debe mantenerse para abreviar en el archivo con el orders.li judicial, el entrenamiento y " separación de personal en el caso y las agrupaciones técnicas minimizan la oportunidad que el poder del Carnívoro se abusará.
3.3.2.3 DISCIPLINA INTERIOR
Finalmente, agentes de entrada en vigor de ley a veces enfrentan la disciplina dentro de sus agencias para las búsquedas arbitrarias o excesivas. Muchos presentan que las oficinas han establecido los mecanismos interiores para vigilar conducta de agentes del caso. Las oficinas pueden reconocer que ese búsquedas del ilegal pueden ser contraproducentes y pueden arriesgarse la reputación de la agencia en el ojo público. Además, FBI los mayores oficiales de la oficina principal de FBI inspeccionan las prácticas de cada oficina del campo periódicamente. Las tales inspecciones normalmente enfocan en las prácticas y procedimientos usados en la vigilancia electrónica.

3.4 SYSTEM ARCHITECTURE

The Carnivore system architecture comprises: (1) a one-way tap into an Ethernet data steam; (2) a general purpose computer to filter and collect data; (3) additional general purpose computers to control the collection and examine the data; (4) a telephone link to the collection computer; and (5) DragonWare software written by the FBI. DragonWare includes Carnivore software to filter and record IP packets and Packeteer and CoolMiner, two additional programs that reconstruct e-mail and other Internet traffic from the collected packets.

3.4.1 THE ETHERNET TAP

Carnivore is connected to a 10Base-T Ethernet using a Century Tap made by Shoniti System. In. a typical installation (see Figure 3- 1), an existing line is disconnected from a hub or switch and plugged into port A of the tap. A new line is run from port B to the hub/switch. The tap passes the traffic along the line from A to B and from B to A as if it were a standard cable. At the same time, it takes a copy of the transmit data in each direction and feeds it to ports 1 and 2.

.3.4 ARQUITECTURA DEL SISTEMA
La arquitectura de sistema de Carnívoro comprende: (1) una palmadita sentido único en un Ethernet datos vapor; (2) una computadora del propósito general para filtrarse y coleccionar los datos; (3) las computadoras del propósito generales adicionales para controlar la colección y examinar los datos; (4) un eslabón del teléfono a la computadora de la colección; y (5) software de DragonWare escrito por el FBI. DragonWare incluye el software del Carnívoro para filtrarse y registro los paquetes de IP y Packeteer y CoolMiner, dos programas adicionales que reconstruyen e-mail y otro tráfico de Internet de los paquetes reunido.
3.4.1 LA PALMADITA DE ETHERNET
El carnívoro se conecta a un 10Base-T Ethernet que usan una Palmadita del Siglo hizo por el Sistema de Shoniti. En. una instalación típica (vea la Figura 3 - 1), una línea existente está desconectada de un cubo o interruptor y tapó en el puerto UN de la palmadita. Una nueva línea se corre del puerto B al hub/switch. La palmadita pasa el tráfico a lo largo de la línea de UN a B y de B a UN cuando si fuera un cable normal. Al mismo tiempo, toma una copia del transmita los datos en cada dirección y alimentos él a los puertos 1 y 2.

Figure 3-1. Pinouts for Century Tap

Additional cables connect ports 1and 2 to a standard hub. The cable used to connect port 2 to the hub must either be a cross-connect cable, or connect to the uplink port of the hub. This connection ensures that both sides of the communication on the Ethernet appear at the hub, but no data can be sent from the hub. The Carnivore system is then connected to any open port on the hub. This cabling arrangement and the Shoniti tap ensure Carnivore is in a receive-only mode. The transmission lines from the Ethernet adapter are not connected to anything inside the tap. The tap has a latency of only 1 bit time at 100 Mbps, so network performance should not be affected.

The FBI technicians who install Carnivore work with ISP personnel to have Carnivore connected to the smallest bandwidth pipe possible that ensures gathering the traffic of the individual for whom the court order was obtained.

3.4.2 COMPUTERS

Carnivore employs a generic Pentium-class PC, with a generic 100 Mbps Ethernet adapter. The adapter is set to promiscuous mode and acquires all the traffic that comes across the network to which it is connected via a read-only tap. As each packet is acquired, Carnivore software tests it against filter settings selected using graphical user interface (GUI) controls. Packets that pass through the filters are saved to a removable Jazz disk. The data that do not meet the filter criteria are discarded without being saved to any disk.

Jazz drive is located behind a key-lockable panel on the Carnivore box. While this panel is not tamperproof, it does provide a degree of control over who can remove the Jazz disk from the computer. Only FBI personnel have the keys to the lock. When the Jazz disk is removed, it is placed in a container that is sealed and then taken to the judge that granted the court order permitting the collection.

There is no time synchronization among Carnivore computers. All time stamps are based on the local system clock. Coordination of times relies on the various system clocks having been synchronized prior to the start of collection and operating correctly during collection.

3.4.3 TELEPHONE LINK

The collection computer is installed without a keyboard or monitor and, in operational use, Carnivore might not be physically accessible to case agents. However, each Carnivore computer is equipped with an off-the-shelf 56-kbps modem allowing it to communicate via a standard analog telephone link.

Once Carnivore has been installed at the ISP, it is normally controlled remotely. The Carnivore collection computer modem is connected to a dedicated analog voice line installed especially for the Carnivore deployment. It does not use one of the modems from the ISP's modem pool, nor is it controllable via the Internet. PCAnywhere, a standard commercial product from Symantec Inc., is installed on the collection computer to allow the additional computers to control the collection computer via the telephone link. PCAnywhere is run as a service. If the collection computer loses power and reboots when power is restored, PCAnywhere will start automatically; the FBI does not need to visit the ISP, nor do ISP personnel have to access Carnivore. PCAnywhere is set up to use PCAnywhere Identification and Authentication, with each person using the collection computer having a separate ID and password. PCAnywhere is also set to use symmetric encryption to protect the data transfer. The host PCAnywhere software is set to start all connections with the screen locked.

The telephone line is protected by an electronic key; only a computer with a matching key can connect. The keys are COTS Challenger Security Products (CSP) from Computer Peripheral Systems, Inc., which have demonstrated capability to protect the link from sustained attempts at penetration. IITRI contacted Challenger to determine how many possible combinations of Lock and Key were possible. Challenger replied that the CSP is a random number generator that expands the base system code, which is different 'in each secure system. This code, along with other variables, changes with each call. The result is about one billion possible combinations. Each time a CSP lock is called, it issues a different challenge. The corresponding key is expected to accept the challenge and, through one of its many algorithms, use the modified base code and other variables to reply properly. A case agent controlling the Carnivore collection computer from an external computer must know the correct telephone number and have an appropriately- keyed CSP device, PCAnywhere software, a valid user name and password, and the Administrator password for the Carnivore collection box. Once connected, the agent can use Carnivore as if the agent were physically at the Carnivore collection box; starting or stopping collection and downloading collected data. An additional password is required to access the advanced setup features and change the filter settings. Data are downloaded by using the file transfer features of PCAnywhere. Files can also be uploaded to the collection computer using the same features, though there is no operational reason to do so.

3.4.4 CARNIVORE SOFTWARE PROGRAM

Carnivore is the name of the software program running on the collection computer that filters and records IP packets. When the collection computer is started, it automatically logs in as the Administrator. The Carnivore program is in the start-up group for the Administrator, so it also starts automatically. If the Carnivore program was collecting when the system was last shut down, it will begin collecting again automatically. This automatic reboot feature was set up so that data lost because of a power failure would be held to a minimum.

Carnivore has two levels of functionality: a main screen and an advanced screen. When the program is started, the agent sees the main screen (Figure 3-2) with four functions implemented via button selections. One set of buttons starts and stops collection. Another toggles the collection details display. A third forces collection to start using a new file, making the current file available for downloading. The fourth is used to access the advanced screen (filter settings). The program has a separate password for accessing the filter settings. A case agent, can access the collection device via remote dial-in to start and stop collection, cause the collection to start into a new file, and download the collected data. However, that agent does not need to know the password that allows the filter settings to be changed.

.Figure 3-1. Pinouts para la Palmadita del Siglo

Los cables adicionales conectan pone a babor 1and 2 a un cubo normal. El cable o conectaba puerto 2 al cubo debe ser un cruz-conecte el cable, o conecte al puerto del uplink del cubo. Esta conexión asegura que ambos lados de la comunicación en el Ethernet aparecen al cubo, pero ningún datos puede enviarse del cubo. El sistema del Carnívoro se conecta entonces a cualquier puerto abierto en el cubo. Esto cablegrafiando arreglo y el Shoniti taladran asegure el Carnívoro está en un modo recibir-único. La transmisión linea del adaptador de Ethernet no se conecta a nada dentro de la palmadita. La palmadita tiene una latencia de sólo 1 tiempo del pedazo a 100 Mbps, para que la actuación de la red no debe afectarse.
Los técnicos de FBI que instalan el trabajo del Carnívoro con el personal de ISP tener el Carnívoro conectados al bandwidth más pequeño conducen por tuberías posible que eso asegura la recolección el tráfico del individuo para quien el orden judicial fue obtenido.
3.4.2 COMPUTADORAS
El carnívoro emplea un Pentium-clase genérico PC, con un 100 Mbps genéricos el adaptador de Ethernet. El adaptador se pone al modo promiscuo y adquiere todo el tráfico que se encuentra con la red a que se conecta vía un leer-sólo palmadita. Cuando cada paquete es adquirido, el software del Carnívoro lo prueba contra las escenas del filtro seleccionó usando la interface del usuario gráfica (GUI) los mandos. Se ahorran paquetes que atraviesan los filtros a un disco del Jazz trasladable. Se desechan los datos que no se encuentran el criterio del filtro a menos que ahorrándose a cualquier disco.
El paseo del jazz se localiza detrás de un importante-lockable el tablero en la caja del Carnívoro. Mientras este tablero no es ningún tamperproof, proporciona un grado de mando encima de quién puede quitar el disco del Jazz de la computadora. Sólo personal de FBI tiene las llaves a la cerradura. Cuando el disco del Jazz está alejado, se pone en un recipiente que se sella y entonces tomado al juez que concedió el orden judicial que permite la colección.
No hay ninguna sincronización de tiempo entre las computadoras del Carnívoro. Todas las estampas de tiempo son basado en el reloj del sistema local. La coordinación de tiempos confía en los varios relojes del sistema se habido sincronizado anterior a la salida de colección y operando correctamente durante la colección.
3.4.3 ESLABÓN DEL TELÉFONO
La computadora de la colección se instala sin un teclado o amonestador y, en el uso operacional, el Carnívoro no podría ser físicamente accesible embalar a agentes. Sin embargo, cada computadora del Carnívoro está provista con un fuera de-el-estante 56-kbps módem que le permite comunicar vía un eslabón del teléfono analógico normal.
Una vez el Carnívoro se ha instalado al ISP, normalmente se controla remotamente. El Carnívoro colección computadora módem se conecta a una línea de la voz analógica especializada instalada sobre todo para el despliegue del Carnívoro. No usa uno de los módemes de la piscina del módem del ISP, ni es él controlable vía el Internet. PCAnywhere, un producto comercial normal de Symantec Inc., se instala en la computadora de la colección para permitirles a las computadoras adicionales controlar a la computadora de la colección vía el eslabón del teléfono. PCAnywhere se corre como un servicio. Si la computadora de la colección pierde poder y reboots que cuando el poder se restaura, PCAnywhere empezará automáticamente; el FBI no necesita visitar el ISP, ni hace el personal de ISP tiene que acceder el Carnívoro. PCAnywhere es fijo a usar Identificación de PCAnywhere y Autenticación, con cada persona que usa a la computadora de la colección que tiene un ID separado y contraseña. PCAnywhere también se pone para usar el encryption simétrico para proteger el traslado de los datos. El organizador que el software de PCAnywhere se pone para empezar todas las conexiones con la pantalla cerró con llave.
La línea telefónica es protegido por una llave electrónica; sólo una computadora con una llave emparejando puede conectar. Las llaves son los SITIOS PARA ANIMALES DOMÉSTICOS Desafiador Seguridad Productos (CSP) de la Computadora los Sistemas Periféricos, Inc., qué ha demostrado la capacidad para proteger el eslabón de los esfuerzos sostenidos a la penetración. IITRI avisó al Desafiador para determinar cuántas posibles combinaciones de Cerradura y Llave eran posibles. El desafiador contestó que el CSP es un generador de número de azar que extiende el código del sistema bajo que es diferente ' en cada sistema seguro. Este código, junto con otras variables, los cambios con cada llamada. El resultado es aproximadamente una mil millones posibles combinaciones. Cada tiempo que una cerradura de CSP se llama emite un desafío diferente. Se espera que la llave correspondiente acepte el desafío y, a través de uno de su muchos algoritmos, use el código bajo modificado y otras variables para contestar propiamente. Un agente del caso que controla a la computadora de colección de Carnívoro de una computadora externa debe saber el número del teléfono correcto y debe tener un apropiadamente - codificó dispositivo de CSP, software de PCAnywhere, un nombre del usuario válido y contraseña, y la contraseña del Administrador para la caja de colección de Carnívoro. Una vez conectado, el agente puede usar el Carnívoro como si el agente estaba físicamente en la caja de colección de Carnívoro; empezando o deteniendo la colección y transmitiendo los datos reunido. Una contraseña adicional se exige acceder el arreglo avanzado ofrece y cambia las escenas del filtro. Los datos son transmitidos usando los rasgos de traslado de archivo de PCAnywhere. Los archivos también pueden ser los uploaded a la computadora de la colección que usa los mismos rasgos, aunque no hay ninguna razón operacional para hacer para que.
3.4.4 PROGRAMA DE SOFTWARE DE CARNÍVORO
El carnívoro es el nombre del programa del software que corre en la computadora de la colección que se filtra y graba los paquetes de IP. Cuando la computadora de la colección se empieza, anota automáticamente en como el Administrador. El programa del Carnívoro está en el grupo salida-despierto para el Administrador, para que también empieza automáticamente. Si el programa del Carnívoro estuviera coleccionando que cuando el sistema estaba abajo en último lugar cerrado, empezará coleccionando de nuevo automáticamente. Este rasgo del reboot automático era fijo a que para que los datos perdieran debido a un fracaso de poder se sostendría a un mínimo.
El carnívoro tiene dos niveles de funcionalidad: una pantalla principal y una pantalla avanzada. Cuando el programa se empieza, el agente ve la pantalla principal (Figura 3-2) con cuatro funciones llevadas a cabo vía las selecciones del botón. Uno puso de salidas de los botones y colección de las paradas. Otro las barras traviesas la colección detalla el despliegue. Una tercera colección de fuerzas para empezar usando un nuevo archivo, haciendo el archivo actual disponible para transmitir. El cuarto se usa para acceder la pantalla avanzada (las escenas del filtro). El programa tiene una contraseña separada por acceder las escenas del filtro. Agente del caso, puede acceder el dispositivo de la colección vía remoto dial-en empezar y detener la colección, cause la colección para empezar en un nuevo archivo, y transmita los datos reunido. Sin embargo, ese agente no necesita saber la contraseña que permite cambiar las escenas del filtro.

Figure 3-2. Carnivore Main Screen

IITRI discovered that the password to the advanced screen is compiled into the source code. Apparently, a password is selected and implemented for each Carnivore deployment. There is no mechanism in Carnivore software to change the password. However, IITRI was able to use a Hex Editor to find and change the current advanced password.
.Figure 3-2. El carnívoro la Pantalla Principal

IITRI descubrió que la contraseña a la pantalla avanzada se compila en el código de la fuente. Al parecer, una contraseña se selecciona y llevó a cabo para cada despliegue del Carnívoro. No hay ningún mecanismo en el software del Carnívoro cambiar la contraseña. Sin embargo, IITRI pudo usar a un Editor del Hechizo para encontrar y cambiar la contraseña avanzada actual.

Figure 3-3. Carnivore Advanced Menu

The Carnivore advanced menu (Figure 3-3) allows a precise description of the parameters of the data to be collected. Packets can be filtered on IP address, protocol, text strings, port, and e-mail address. IP address filtering can be based on either fixed or dynamically- assigned addresses. If IP filtering is not turned on, all packets that pass the other filters are collected regardless of what IP address those packets may have. The advanced menu also allows the operator to save and recall filter settings, to specify the location of the output files, and specify the maximum file size of each output file.

3.4.4.1 FILTERING

3.4.4.1.1 FIXED IP FILTERING

The simplest form of collection is one based on a fixed IP address. If the subject is using a computer that has a fixed IP address, [REDACTED: clause relating to operational methods XXXXXXXXXXXXXXXXXXXXX][in original], this feature can be used. On the advanced menu screen, the agent inputs the IP address, or a range of IP addresses, to be collected. There is no limit to this range; a range of 0.0.0.0 through 255.255.255.255 will be accepted by the program, but this range is the same as not selecting any IP filtering. In actual practice, the agent would select only what is specified by the court order. All packets that pass the P address filter are kept for further processing. Other filters, as described below, may cause the packet to be discarded before writing to the disk.

3.4.4.1.2 DYNAMIC IP FILTERING

Where fixed IP collection is not possible, Carnivore supports collection of dynamically-allocated IP addresses that are made via either RADIUS or DHCP. For DHCP, the Media Access Control (MAC) address of the machine to be collected must be input, and for RADIUS, the user name must be input. A range of valid IP addresses must also be specified for RADIUS. The menu screen allows inputting a starting IP address, which would be used if the target subject was already logged on when collection is started. This starting IP address is required because the protocol that sets the IP address (either DHCP or RADIUS) is only used once at the start of the session. Carnivore would be unable to collect anything until the next DHCP or RADIUS exchange. If the current IP address of the target cannot be determined, this extra selection allows collection to start immediately. However, although this feature is on the menu screen, it is not supported by the underlying code. It does not matter what values are entered into this field; it is ignored. Dynamic IP filtering does not start until after the first DHCP or RADIUS protocol packets for the input MAC address are read.

3.4.4.1.3 PROTOCOL FILTERING

There are settings to select which protocols to collect. The three options are TCP, UDP, and ICMP. Each cf these can be set to full, pen, or none. The full setting collects all packets for the specified IP addresses (see paragraphs 3.4.1.1 and 3.4.1.2) that use the protocol. The pen mode setting only collects address information appropriate for the protocol, e.g., FROM and TO fields of SMTP e-mail or IP address for FTP and HTTP traffic). If address-only information is not available within a given protocol, no packets are collected. In addition to the addresses, Carnivore collects the packets associated with the collected communications, but replaces the actual data with Xs. This data replacement allows CoolMiner to report byte counts for the TCP sessions, even in pen mode. In addition, if the Carnivore raw output is examined using a hexadecimal editor, the byte counts for various fields of a protocol (such as Subject) can be determined. If none is selected, no packets for that protocol are collected. The default setting for each of these protocols is none.

3.4.4.1.4 TEXT FILTERING

Carnivore can be set to check for specific text strings. For example, a setting could be made to collect all TCP packets from a specific IP address that contains the text string "FBI". There is also an option to collect the entire TCP transmission for any packet that contains the given text string. This collection of packets starts with the packet that contains the string and continues for the remainder of that TCP session until the end, whether or not the text string is in each packet. Every packet is checked and then either saved or discarded before checking the next packet. If the search word appears in the next to last packet of a TCP transmission, only the last two packets are collected when this feature is used. Carnivore cannot go back and retrieve the packets that were examined and discarded earlier.

Text filtering capability allows the FBI to capture Internet e-mail such as Hotmail. For example, Carnivore can be set to filter HTTP packets looking for the string "&login=username" where username represents the target of the court order.

3.4.4.1.5 PORT FILTERING

For TCP or UDP filtering, any or all ports can be selected. If only ports 25 (SMTP), 80 (HTTP), and 110 (POP3) are of interest, only those three need be selected. Ports can be selected using a pull-down menu or by typing in the port number or range of port numbers. It is possible to select all ports.

3.4.4.1.6 E-MAIL ADDRESS FILTERING

Carnivore can filter SMTP or POP3 traffic based upon the e-mail address. The proper mode must be selected and the email address to be collected must be entered. If SMTP or POP3 ports are selected (see paragraph 3.4.4.1.5) and no e-mail address is selected, Carnivore collects all packets for those ports.

3.4.4.2 FILTER PRECEDENCE

While it might be intuitive to drink that all of the filters are joined by a Boolean AND, they are not. The following describes the interaction of the various filters:

*

Fixed IP, DHCP, and RADIUS all work in parallel. Packets that have IP addresses, as selected by any of those three filters, are held for further processing. These packets might eventually be discarded by another filter.

*

If fixed IP is chosen along with SMTP or POP collection for a specific e-mail address or POP user, Carnivore collects only packets for that email address or POP user that also have the chosen IP address.

*

If RADIUS or DHCP is chosen along with SMTP or POP collection for a specific e-mail address or POP user, Carnivore first checks for the RADIUS or DHCP protocols to determine the IP address. Nothing is collected prior to the IP address being determined. Once determined, Carnivore collects only packets for that e-mail address or POP user that also have the chosen IP address.

*

If SMTP or POP collection is specified without providing an IP address (either fixed or dynamic), all e-mail messages that match the user names specified are collected regardless of IP address.

*

The text string search is a Boolean AND function with all other filters, except for SMTP and POP. The text string match is ignored if SMTP or POP collection is chosen for a specific e-mail address or user.

3.4.4.3 OUTPUT DIRECTORY AND ARCHIVE FILE SIZE

All packets that have passed all the filters are saved to a file. This file is typically stored on a 2-Gbyte Jazz disk. However, there is nothing in the program to prevent collection from being stored on the hard drive. The storage location is a selection made at setup time and is any valid path name for Windows NT. Three files are stored. One is a ".vor" file that contains the actual collected data, along with a short header. Another is a ".output" file that contains a human readable version of the settings used to collect that data in the corresponding ".vor" file. The third is a ".error" file and contains any error messages that may be generated during the collection session.

File names contain the date and time that collection was started, as determined by the system time. The ".vor" files may also have an extension if more than one file was used for collection.

Data is buffered prior to output. Carnivore writes the data to the output buffer, which is flushed to disk when the block size appropriate for the media selected has been reached, when the "next file" button is clicked, or when collection has been stopped. The block size for collection to fixed media is 128 kbytes and for removable media is 64 kbytes.

As a part of the settings, a maximum file size for the collected data can be chosen. When this limit is reached, the collected data file is closed, and a new file is created. This feature is useful for downloading the data (see paragraph 3.4.3) in smaller increments. The input value for the maximum file size must be an integer. If a floating-point number is entered, only the integer part is used. If zero (or a decimal number less than 1) is chosen, then there is no maximum files size (other than what the physical media can hold).

3.4.4.4 ANALYSIS SOFTWARE

DragonWare includes two programs for analysis of packets obtained from Carnivore. These programs are called Packeteer and CoolMiner. The Packeteer program takes the collection of IP packets in ".vor" files, reconstructs the TCP session, and creates a series of files that can be viewed with CoolMiner. The CoolMiner program is used by the case agent to further select which data to view. For example, CoolMiner can be set to show only certain types of packets (e.g., HTTP). The purpose of this setting is not to limit collection, but to make it easier to view, analyze, and minimize the collected data. The agent first might want to look at the HTTP traffic and then later look at the e-mail traffic. By using CoolMiner, the agent does not have to look at everything at one time.

IITRI used Packeteer and CoolMiner to simplify the testing procedures. Although these programs are outside the scope of the evaluation, IITRI did verify their operation by examining the input and output files with a hexidecimal editor. IITRI discovered software bugs in both programs that caused them to fail to display correctly some of the data collected by Carnivore. When notified about the bugs, the FBI corrected some of them. Other bugs are still under investigation as of the date of this report.

3.4.4.5 THROUGHPUT

IITRI attempted to determine the throughput capacity of Carnivore both experimentally and analytically. Experimental attempts failed to drive sufficient traffic across the local area network to make Carnivore drop packets; traffic never reached the point where packets were dropped. From IITRI's analysis and discussion with the FBI, it was determined the true throughput limitation is based on output to the recording device. Limits are discussed in paragraph 4.2.8.

3.5 SOFTWARE ARCHITECTURE

The Carnivore software consists of four components

1. TapNDIS driver (written in C) derived from sample source code provided with Win32 Network Driver Interface Specification (NDIS) Framework (WinDis 32), a product of Printing Communications Associates, Inc. (PCAUSA, http://www.pcausa.com/) The license for WinDis 32 prevents the FBI from releasing the source code for this driver, and possibly for TapAPI.dll, to the public. The relevant portions of the WinDis 32 license are shown in Appendix D.

2. TapAPI.dll (written in C++) provides the API for accessing the NDIS driver functionality from other applications.

3. Carnivore.dll (written in C++) provides functionality for controlling the intercept of raw data.

4. Carnivore.exe (written in Visual Basic) is the GUI for Carnivore.

3.5.1 TAPNDIS DRIVER

TapNDIS is a kernel-mode driver that captures the Ethernet packets as they are received, applies some filtering to the packet, and copies the packet to a shared memory buffer if the conditions of the filter are satisfied. The contents of the shared memory buffer are available to the Carnivore application through calling TAPgetFrames (entry point to TapAPI.dll). Writing selected packets to a data file is also handled through the driver.

The source code for TapNDIS is contained in 13 files totaling 10,322 noncomment lines of code (13,162 total lines). Nine of the source files, or approximately 40 percent of the code, were apparently borrowed intact, or with only minor changes, from WinDis 32 sample programs as they contain comment blocks asserting PCAUSA's copyright. Only five of these files have comments indicating where minor changes were made for Carnivore. Two small files were generated by Microsoft Developer Studio according to the comment block at the beginning of each file. The remaining two files (tapndis.c and tapndis.h) do not contain any comments to indicate whether they are mostly original code or were borrowed from WinDis 32 sample programs. These files contain all of the logic for the driver-level filters and for writing data to a file. IITRI assumed, therefore, they are the core of the Carnivore implementation. It appears from the contents of tapndis.h that FBI developers intend to move all filtering for Carnivore to TapNDIS, but only the first stages have been implemented in version 1.3.4.

Outline of filtering algorithm

1. If filtering is suspended then ignore the packet

2. If all packets are requested then intercept the packet

3. For 802.3 Ethernet, if the protocol matches a requested protocol, then intercept the packet

4. For Version 2 Ethernet, filter on the following items as requested, in the given order, rejecting immediately on the first failure: protocol, source, and destination Ethernet addresses, protocol within protocol (UDP, TCP, ICMP, etc.) and, for IPV4, source and destination IP addresses; combined IP address and port; combined Ethernet address and port; combined Ethernet address and protocol; and text string search with wildcard.

IITRI discovered that TapAPI calls for steps 1 and 2 are never made from Carnivore.dll. The implication is Carnivore is not intended to: (1) collect all packets or (2) suspend packet collection (e.g., because buffers are full versus stop collection).

Primary packet filtering is confined to a single function. If the packet satisfies the filtering criteria, a function is called to copy the packet to the shared memory buffer. If there is enough room in the buffer, copying succeeds and the status count is incremented by the length of the packet. Otherwise, status counts for frames overflowed and frames missed are both incremented by one. The count of frames missed is requested by Carnivore.dll and reported as packets lost. If the data rate were sufficiently high, it is likely that the driver could miss packets without detecting the miss. Appendix D provides descriptions of the primary TapNDIS functions.

3.5.2 TAPAPI DRIVER

The TapAPI driver provides the API for accessing the functionality of the driver TapNDIS. The source code for TapAPI is contained in six files totaling 4,120 noncomment lines of code (6,889 total lines). TapAPI provides 45 entry points callable from Carnivore.dll. In Carnivore version 1.3.4, only 22 are used to

*

Connect to the driver for packet collection or terminate collection

*

Open or close an output file to which raw data will be written

*

Set packet filters

*

Retrieve packet data and write it to the output file

*

Stop and reset collection, including functions to halt collection when a dynamic IP address is no longer valid

*

Request status or retrieve error messages

Appendix D provides complete descriptions of the API entry points.

3.5.3 CARNIVORE.DLL

This DLL controls the collection of data by Carnivore in response to a parameter file established by the user interface and commands from the user interface. Nine entry points are provided; 13 classes are used internally. The source code is contained in 41 files totaling 6,278 noncomment lines of code (9,954 total lines). Two of the source code files (mediaSupport.cpp and mediaSupport.h) contain code that is Iomega proprietary, preventing them from being made public. Entry points and classes are defined in Appendix D.

Once started, Carnivore runs an infinite loop. The following algorithm is performed each time through the loop:

1. If collection is not running, do nothing.

2. If shared memory buffer overflow in the TapNDIS driver has been detected and filtering is on for DHCP or RADIUS, reset the filters, flush the buffer, and redownload the filters to the driver to restart collection. Regardless of DHCP or RADIUS filtering, reset the memory buffer overflow flag. (At this point, the program does not call the driver interface to check for an overflow. Instead, it is using a flag that is set by the function GetStatus, which is called by the GUI on a timer running at intervals of approximately 0.25 seconds. This timing interval does leave a small window for problems to occur if Carnivore processes packets between the time the buffer overflows and GetStatus is called and the program never detects the buffer overflow. The only indication that this overflow might have happened would be if the value of nPktsLostUser was nonzero and there were no messages in the output.txt file about the buffer being filled.)

3. If media full has not been detected, attempt to retrieve and process packets. (Again, the program is checking for media full based on a flag set by the function GetStatus.) Apply the remaining filter criteria (not handled by the TapNDIS driver) to each packet. If the packet is rejected by a filter, it is discarded. Otherwise, if Carnivore is being used in pen mode, the packet is truncated as specified in Table 3-1. Then the packet (or truncated packet in pen mode) is passed back to the TapNDIS driver (via a call to TAPputData) to be written to the output file. The remaining filter criteria are applied in the following order:

i. RADIUS

ii. DHCP

iii. SMTP

iv. POP3

v. Telnet

vi. FTP

vii. Text (includes TCP, UDP, and ICMP)

Table 3-1. Pen Mode Packet Information

.Figure 3-3. Carnivore Advanced Menu

The Carnivore advanced menu (Figure 3-3) allows a precise description of the parameters of the data to be collected. Packets can be filtered on IP address, protocol, text strings, port, and e-mail address. IP address filtering can be based on either fixed or dynamically- assigned addresses. If IP filtering is not turned on, all packets that pass the other filters are collected regardless of what IP address those packets may have. The advanced menu also allows the operator to save and recall filter settings, to specify the location of the output files, and specify the maximum file size of each output file.
3.4.4.1 FILTERING
3.4.4.1.1 FIXED IP FILTERING
The simplest form of collection is one based on a fixed IP address. If the subject is using a computer that has a fixed IP address, [REDACTED: clause relating to operational methods XXXXXXXXXXXXXXXXXXXXX][in original], this feature can be used. On the advanced menu screen, the agent inputs the IP address, or a range of IP addresses, to be collected. There is no limit to this range; a range of 0.0.0.0 through 255.255.255.255 will be accepted by the program, but this range is the same as not selecting any IP filtering. In actual practice, the agent would select only what is specified by the court order. All packets that pass the P address filter are kept for further processing. Other filters, as described below, may cause the packet to be discarded before writing to the disk.
3.4.4.1.2 DYNAMIC IP FILTERING
Where fixed IP collection is not possible, Carnivore supports collection of dynamically-allocated IP addresses that are made via either RADIUS or DHCP. For DHCP, the Media Access Control (MAC) address of the machine to be collected must be input, and for RADIUS, the user name must be input. A range of valid IP addresses must also be specified for RADIUS. The menu screen allows inputting a starting IP address, which would be used if the target subject was already logged on when collection is started. This starting IP address is required because the protocol that sets the IP address (either DHCP or RADIUS) is only used once at the start of the session. Carnivore would be unable to collect anything until the next DHCP or RADIUS exchange. If the current IP address of the target cannot be determined, this extra selection allows collection to start immediately. However, although this feature is on the menu screen, it is not supported by the underlying code. It does not matter what values are entered into this field; it is ignored. Dynamic IP filtering does not start until after the first DHCP or RADIUS protocol packets for the input MAC address are read.
3.4.4.1.3 PROTOCOL FILTERING
There are settings to select which protocols to collect. The three options are TCP, UDP, and ICMP. Each cf these can be set to full, pen, or none. The full setting collects all packets for the specified IP addresses (see paragraphs 3.4.1.1 and 3.4.1.2) that use the protocol. The pen mode setting only collects address information appropriate for the protocol, e.g., FROM and TO fields of SMTP e-mail or IP address for FTP and HTTP traffic). If address-only information is not available within a given protocol, no packets are collected. In addition to the addresses, Carnivore collects the packets associated with the collected communications, but replaces the actual data with Xs. This data replacement allows CoolMiner to report byte counts for the TCP sessions, even in pen mode. In addition, if the Carnivore raw output is examined using a hexadecimal editor, the byte counts for various fields of a protocol (such as Subject) can be determined. If none is selected, no packets for that protocol are collected. The default setting for each of these protocols is none.
3.4.4.1.4 TEXT FILTERING
Carnivore can be set to check for specific text strings. For example, a setting could be made to collect all TCP packets from a specific IP address that contains the text string "FBI". There is also an option to collect the entire TCP transmission for any packet that contains the given text string. This collection of packets starts with the packet that contains the string and continues for the remainder of that TCP session until the end, whether or not the text string is in each packet. Every packet is checked and then either saved or discarded before checking the next packet. If the search word appears in the next to last packet of a TCP transmission, only the last two packets are collected when this feature is used. Carnivore cannot go back and retrieve the packets that were examined and discarded earlier.
Text filtering capability allows the FBI to capture Internet e-mail such as Hotmail. For example, Carnivore can be set to filter HTTP packets looking for the string "&login=username" where username represents the target of the court order.
3.4.4.1.5 PORT FILTERING
For TCP or UDP filtering, any or all ports can be selected. If only ports 25 (SMTP), 80 (HTTP), and 110 (POP3) are of interest, only those three need be selected. Ports can be selected using a pull-down menu or by typing in the port number or range of port numbers. It is possible to select all ports.
3.4.4.1.6 E-MAIL ADDRESS FILTERING
Carnivore can filter SMTP or POP3 traffic based upon the e-mail address. The proper mode must be selected and the email address to be collected must be entered. If SMTP or POP3 ports are selected (see paragraph 3.4.4.1.5) and no e-mail address is selected, Carnivore collects all packets for those ports.
3.4.4.2 FILTER PRECEDENCE
While it might be intuitive to drink that all of the filters are joined by a Boolean AND, they are not. The following describes the interaction of the various filters:

Fixed IP, DHCP, and RADIUS all work in parallel. Packets that have IP addresses, as selected by any of those three filters, are held for further processing. These packets might eventually be discarded by another filter.
If fixed IP is chosen along with SMTP or POP collection for a specific e-mail address or POP user, Carnivore collects only packets for that email address or POP user that also have the chosen IP address.
If RADIUS or DHCP is chosen along with SMTP or POP collection for a specific e-mail address or POP user, Carnivore first checks for the RADIUS or DHCP protocols to determine the IP address. Nothing is collected prior to the IP address being determined. Once determined, Carnivore collects only packets for that e-mail address or POP user that also have the chosen IP address.
If SMTP or POP collection is specified without providing an IP address (either fixed or dynamic), all e-mail messages that match the user names specified are collected regardless of IP address.
The text string search is a Boolean AND function with all other filters, except for SMTP and POP. The text string match is ignored if SMTP or POP collection is chosen for a specific e-mail address or user.
3.4.4.3 OUTPUT DIRECTORY AND ARCHIVE FILE SIZE
All packets that have passed all the filters are saved to a file. This file is typically stored on a 2-Gbyte Jazz disk. However, there is nothing in the program to prevent collection from being stored on the hard drive. The storage location is a selection made at setup time and is any valid path name for Windows NT. Three files are stored. One is a ".vor" file that contains the actual collected data, along with a short header. Another is a ".output" file that contains a human readable version of the settings used to collect that data in the corresponding ".vor" file. The third is a ".error" file and contains any error messages that may be generated during the collection session.
File names contain the date and time that collection was started, as determined by the system time. The ".vor" files may also have an extension if more than one file was used for collection.
Data is buffered prior to output. Carnivore writes the data to the output buffer, which is flushed to disk when the block size appropriate for the media selected has been reached, when the "next file" button is clicked, or when collection has been stopped. The block size for collection to fixed media is 128 kbytes and for removable media is 64 kbytes.
As a part of the settings, a maximum file size for the collected data can be chosen. When this limit is reached, the collected data file is closed, and a new file is created. This feature is useful for downloading the data (see paragraph 3.4.3) in smaller increments. The input value for the maximum file size must be an integer. If a floating-point number is entered, only the integer part is used. If zero (or a decimal number less than 1) is chosen, then there is no maximum files size (other than what the physical media can hold).
3.4.4.4 ANALYSIS SOFTWARE
DragonWare includes two programs for analysis of packets obtained from Carnivore. These programs are called Packeteer and CoolMiner. The Packeteer program takes the collection of IP packets in ".vor" files, reconstructs the TCP session, and creates a series of files that can be viewed with CoolMiner. The CoolMiner program is used by the case agent to further select which data to view. For example, CoolMiner can be set to show only certain types of packets (e.g., HTTP). The purpose of this setting is not to limit collection, but to make it easier to view, analyze, and minimize the collected data. The agent first might want to look at the HTTP traffic and then later look at the e-mail traffic. By using CoolMiner, the agent does not have to look at everything at one time.
IITRI used Packeteer and CoolMiner to simplify the testing procedures. Although these programs are outside the scope of the evaluation, IITRI did verify their operation by examining the input and output files with a hexidecimal editor. IITRI discovered software bugs in both programs that caused them to fail to display correctly some of the data collected by Carnivore. When notified about the bugs, the FBI corrected some of them. Other bugs are still under investigation as of the date of this report.
3.4.4.5 THROUGHPUT
IITRI attempted to determine the throughput capacity of Carnivore both experimentally and analytically. Experimental attempts failed to drive sufficient traffic across the local area network to make Carnivore drop packets; traffic never reached the point where packets were dropped. From IITRI's analysis and discussion with the FBI, it was determined the true throughput limitation is based on output to the recording device. Limits are discussed in paragraph 4.2.8.

3.5 SOFTWARE ARCHITECTURE
The Carnivore software consists of four components
1. TapNDIS driver (written in C) derived from sample source code provided with Win32 Network Driver Interface Specification (NDIS) Framework (WinDis 32), a product of Printing Communications Associates, Inc. (PCAUSA, http://www.pcausa.com/) The license for WinDis 32 prevents the FBI from releasing the source code for this driver, and possibly for TapAPI.dll, to the public. The relevant portions of the WinDis 32 license are shown in Appendix D.
2. TapAPI.dll (written in C++) provides the API for accessing the NDIS driver functionality from other applications.
3. Carnivore.dll (written in C++) provides functionality for controlling the intercept of raw data.
4. Carnivore.exe (written in Visual Basic) is the GUI for Carnivore.
3.5.1 TAPNDIS DRIVER
TapNDIS is a kernel-mode driver that captures the Ethernet packets as they are received, applies some filtering to the packet, and copies the packet to a shared memory buffer if the conditions of the filter are satisfied. The contents of the shared memory buffer are available to the Carnivore application through calling TAPgetFrames (entry point to TapAPI.dll). Writing selected packets to a data file is also handled through the driver.
The source code for TapNDIS is contained in 13 files totaling 10,322 noncomment lines of code (13,162 total lines). Nine of the source files, or approximately 40 percent of the code, were apparently borrowed intact, or with only minor changes, from WinDis 32 sample programs as they contain comment blocks asserting PCAUSA's copyright. Only five of these files have comments indicating where minor changes were made for Carnivore. Two small files were generated by Microsoft Developer Studio according to the comment block at the beginning of each file. The remaining two files (tapndis.c and tapndis.h) do not contain any comments to indicate whether they are mostly original code or were borrowed from WinDis 32 sample programs. These files contain all of the logic for the driver-level filters and for writing data to a file. IITRI assumed, therefore, they are the core of the Carnivore implementation. It appears from the contents of tapndis.h that FBI developers intend to move all filtering for Carnivore to TapNDIS, but only the first stages have been implemented in version 1.3.4.
Outline of filtering algorithm
1. If filtering is suspended then ignore the packet
2. If all packets are requested then intercept the packet
3. For 802.3 Ethernet, if the protocol matches a requested protocol, then intercept the packet
4. For Version 2 Ethernet, filter on the following items as requested, in the given order, rejecting immediately on the first failure: protocol, source, and destination Ethernet addresses, protocol within protocol (UDP, TCP, ICMP, etc.) and, for IPV4, source and destination IP addresses; combined IP address and port; combined Ethernet address and port; combined Ethernet address and protocol; and text string search with wildcard.
IITRI discovered that TapAPI calls for steps 1 and 2 are never made from Carnivore.dll. The implication is Carnivore is not intended to: (1) collect all packets or (2) suspend packet collection (e.g., because buffers are full versus stop collection).
Primary packet filtering is confined to a single function. If the packet satisfies the filtering criteria, a function is called to copy the packet to the shared memory buffer. If there is enough room in the buffer, copying succeeds and the status count is incremented by the length of the packet. Otherwise, status counts for frames overflowed and frames missed are both incremented by one. The count of frames missed is requested by Carnivore.dll and reported as packets lost. If the data rate were sufficiently high, it is likely that the driver could miss packets without detecting the miss. Appendix D provides descriptions of the primary TapNDIS functions.
3.5.2 TAPAPI DRIVER
The TapAPI driver provides the API for accessing the functionality of the driver TapNDIS. The source code for TapAPI is contained in six files totaling 4,120 noncomment lines of code (6,889 total lines). TapAPI provides 45 entry points callable from Carnivore.dll. In Carnivore version 1.3.4, only 22 are used to

Connect to the driver for packet collection or terminate collection
Open or close an output file to which raw data will be written
Set packet filters
Retrieve packet data and write it to the output file
Stop and reset collection, including functions to halt collection when a dynamic IP address is no longer valid
Request status or retrieve error messages
Appendix D provides complete descriptions of the API entry points.
3.5.3 CARNIVORE.DLL
This DLL controls the collection of data by Carnivore in response to a parameter file established by the user interface and commands from the user interface. Nine entry points are provided; 13 classes are used internally. The source code is contained in 41 files totaling 6,278 noncomment lines of code (9,954 total lines). Two of the source code files (mediaSupport.cpp and mediaSupport.h) contain code that is Iomega proprietary, preventing them from being made public. Entry points and classes are defined in Appendix D.
Once started, Carnivore runs an infinite loop. The following algorithm is performed each time through the loop:
1. If collection is not running, do nothing.
2. If shared memory buffer overflow in the TapNDIS driver has been detected and filtering is on for DHCP or RADIUS, reset the filters, flush the buffer, and redownload the filters to the driver to restart collection. Regardless of DHCP or RADIUS filtering, reset the memory buffer overflow flag. (At this point, the program does not call the driver interface to check for an overflow. Instead, it is using a flag that is set by the function GetStatus, which is called by the GUI on a timer running at intervals of approximately 0.25 seconds. This timing interval does leave a small window for problems to occur if Carnivore processes packets between the time the buffer overflows and GetStatus is called and the program never detects the buffer overflow. The only indication that this overflow might have happened would be if the value of nPktsLostUser was nonzero and there were no messages in the output.txt file about the buffer being filled.)
3. If media full has not been detected, attempt to retrieve and process packets. (Again, the program is checking for media full based on a flag set by the function GetStatus.) Apply the remaining filter criteria (not handled by the TapNDIS driver) to each packet. If the packet is rejected by a filter, it is discarded. Otherwise, if Carnivore is being used in pen mode, the packet is truncated as specified in Table 3-1. Then the packet (or truncated packet in pen mode) is passed back to the TapNDIS driver (via a call to TAPputData) to be written to the output file. The remaining filter criteria are applied in the following order:
i. RADIUS
ii. DHCP
iii. SMTP
iv. POP3
v. Telnet
vi. FTP
vii. Text (includes TCP, UDP, and ICMP)

Table 3-1. Pen Mode Packet Information

4. If no packets were available for processing, free some stale nodes from the processing objects and sleep for 1 ms (freeing the CPU for any queued events).

5. If either Start or Stop has been called from the GUI, handle it as described in Appendix D.

6. If NextFile has been called from the GUI, close out the current output data file and start a new file.

7. If PrepareToStop has been called from the GUI, reset the filters in the TapNDIS driver so no more packets are intercepted.

8. If Shutdown has been called from the GUI, set flag to prevent executing the loop again.

9. If collection is running and the agent has pressed the eject button on the removable drive, do the following: close out the current output data file; eject disk and wait for new disk to be available; create directory for output files and open new files (.output.txt, error.txt, and data files); write header to new data file; if DHCP or RADIUS filtering is on and shared memory buffer overflow has occurred in the TapNDIS driver (checked by call to driver interface), reset the filters, flush the buffer, and redownload the filters to the driver to restart collection; and check for available space on the removable media.

Output from Carnivore 1.3.4 is written to three files as follows:

* Raw data packets are written to one or more .vor files. In full mode, the complete contents of all packets that are not rejected by one of the filters are written to the files. Table 3-1 shows the information that is written to the files in pen mode for packets that are not rejected.

* Operational messages are written to a output.txt file. These messages include descriptions of the filters used for the collection, start and stop indicators, and information about the tracking of FTP and telnet sessions. Details about all possible messages are provided in the description of the class CLogFile in Appendix D.

* Error messages for all errors recognized by Carnivore are written to a error.txt file. Details about the possible error messages are provided in the description of the class CLogFile in Appendix D.

3.5.4 CARNIVORE.EXE

All agent interaction with Carnivore is provided through a GUI written in Visual Basic. The main form (frmMain) is used for starting and stopping collection and for displaying status information. The button labeled "Advanced..." is used to access a second form (frmAdvanced) that is used to set up the collection filters and create the user configuration file for Carnivore. There are six additional forms that are dialog boxes for various user responses. Two other forms included in the program are a splash screen displayed on startup and a full-screen solid background displayed whenever Carnivore is running. There are also 15 classes that are used in the GUI, mostly for storing filter parameters, and a module file that includes a few auxiliary functions, global variables, and declarations for all Win32 API calls used in the GUI and the exported functions from Carnivore.dll. In addition, there are four forms included in the program and nine associated classes that have all code commented out because a decision was made not to implement the features they were to provide (a scheduling capability for collections that were supposed to be limited to certain hours, some more sophisticated filters, and a real-time viewer for viewing data packets in the vor file), but they have been left 'in the program. The source directory provided to IITRI also included five form files and two class files that are not used in compiling Carnivore. One of the forms appears to be for a feature (adding case tracking information) that was dropped from the design but may be implemented in the future.

3.5.5 DEVELOPMENT PROCESS

No formal development process was followed for the development of Carnivore through version 1.3.4. The Carnivore program was a quick-reaction capability program developed to meet the needs of the FBI for operational cases. None of the existing network sniffers (such as EtherPeek) could collect the proper amount of data (only what is allowed; nothing more, nothing less). This type of development is appropriate as a "proof of concept" but it is not appropriate for operational systems. Because of this lack of development methodology, important considerations, such as accountability and audit, were missed.
3.6 LABORATORY TESTS

Carnivore was designed to collect target communication authorized by court orders. According to the FBI, not every feature that Carnivore provides has been used in real collection cases. Carnivore is a case tool, not a COTS product. To achieve the purpose of evaluating the entire capability of Carnivore, the test cases are divided into two parts:

1. Test cases one through five examine typical collection cases, i.e., the model scenarios requested in the Statement of Work (SOW).

2. Test cases six through thirteen examine the general capability of Carnivore. Features that may have not been used by the FBI 'in real collection cases, but are provided by Carnivore, are included in these test cases. The following paragraphs summarize the test cases.

Details, including screen shots of the filter set up, are provided in Appendix C. The information includes the rationale that was used when designing the test cases and the tests results. For each of the test cases that did not pass, or partially passed, an explanation of the failure is provided.

3.6.1 TEST 1 NONCONTENT E-MAIL COLLECTION

Description: Collect noncontent fields on e-mail sent to and from a target. This test is for pen mode e-mail collection on SMTP (TCP port 25), and POP3 (port 110). The target's e-mail ID is a required input to the filter for this test.

Objective: Verify that Carnivore does collect the e-mail addresses that were sent from and to a target, and does not collect any of the target's e-mail subject and content.

Expected result: Carnivore will collect only the FROM and TO addresses of the e-mail that was sent from and to a target.

Result: Carnivore did not collect any fields other than TO and FROM, but in some trials failed to collect FROM and TO information. One problem is a known weakness in Carnivore detailed in paragraph 4.2.8. IITRI also observed that in some instances, Packeteer misclassifies the POP3 messages as SMTP and this misclassification causes CoolMiner to display the wrong information. This misclassification is not a Carnivore bug.

IITRI observed that time-stamps for packets collected appeared to be incorrect possibly because of a problem with conversion from Microsoft internal date format to the standard UNIX format (used by CoolMiner), and possibly in the conversion between Greenwich Mean Time (GMT) and local time.

IITRI observed that in pen mode Carnivore replaces e-mail header information with Xs. When the data are viewed in CoolMiner it is easy to determine the length of each field in the header and the length of the entire message.

Retest: The FBI provided a patch for the time-stamp problem and a new version of CoolMiner. A retest shows the time-stamp problem is fixed and is consistent with the system collection time. The Carnivore raw data for SMTP looked correct, however there still are possible problems with information displayed by CoolMiner. For SMTP traffic, the FROM e-mail address (the target's in this test case) is correctly displayed, but the TO address is not shown (the nontarget's in this test case). Packeteer and CoolMiner appear to be looking for the other e-mail addresses in the TO and FROM lines in the e-mail message, which Carnivore has purposely blanked out to avoid collecting information about communication between nontargeted entities. IITRI believes the program should instead be looking for the RCPT-TO lines, which Carnivore properly collects.

3.6.2 TEST 2 NONCONTENT WEB BROWSING COLLECTION

Description: Collect the source and destination IP addresses for a target's web browsing activities. This test is a pen mode collection on HTTP (TCP port 80).

Objective: Verify that Carnivore does collect the target's HTTP web browsing activity source and destination IP address, does not collect the URL and content of the target's web activities, and does not collect other users' communication.

Result: Passed.

IITRI observed that CoolMiner provides information on how many bytes are transferred between the client and the server. The data sizes can also be counted from the Carnivore raw data.

3.6.3 TEST 3 NONCONTENT FILE TRANSFER ACTIVITY COLLECTION

Description: Collect the source and destination IP addresses for a target's FTP activities. This test is a pen mode collection on FTP (TCP ports 20 and 21).

Objective: Verify that Carnivore does collect the target's file downloading activity source and destination IP address and does not collect the file content and other users' FTP activities.

Result: Passed.

As in tests 1and 2, the amount of data transferred is captured.

3.6.4 TEST 4 FULL COLLECTION ON A FIXED IP ADDRESS

Description: Collect the contents of communications to and from a target, who has a fixed IP address. This test is a full mode collection.

Objective: Verify that Carnivore does collect the target's communication and that no other users' (i.e., other IP addresses) communications can be collected.

Expected result: Web browsing contents, FTP login session, commands and data, and e-mail contents are all captured from the target fixed IP address.

Result: Passed.

3.6.5 TEST 5 E-MAIL CONTENT COLLECTION

Description: Collect the contents of e-mail communications that were sent from and to a target. This test is a full mode collection on the target's e-mail ID.

Objective: Verify that Carnivore does collect the contents of a target's e-mail, but does not collect other users' communications.

Result: Passed.

3.6.6 TEST 6 ALIAS E-MAIL COLLECTION

Description: E-mail collection of a target who has an alias for outgoing e~mail. This test is an e-mail mode collection on SMTP and POP3 (TCP ports 25 and 110). The target's e-mail user ID is entered into the filter for collection.

Objective: A court order authorizes collecting the full content e-mail traffic to and from a target and the ISP determined the target's e-mail address is marydoe@location.org However, the target made an alias "NOBODY" for her outgoing e-mail address. Verify that Carnivore will not collect the target's e-mail by filtering on her real user ID.

Result: Passed.

3.6.7 TEST 7 FILTERING TEXT STRING ON WEB ACTIVITY COLLECTION

Description: Collect the web browsing contents that contain a specific text string. This test is a full mode collection of a given text string on HTTP (TCP port 80).

Objective: Carnivore does collect the target's web browsing contents that contain a specific text string, and only the web pages contain the searched string, not other web browsing pages.

Result: Passed.

3.6.8 TEST 8 POWER FAILURE AND RESTORATION

Description: Power failure and restoration test.

Objective: Verify that after the power is restored, Carnivore automatically starts up and continues to collect what it was originally set up to collect. Also, verify that Carnivore recovers all of the data that was collected before the power outage.

Expected result: After the power is restored, Carnivore recovers to the state where it was before the power failure and continues to use the original filter setup to collect traffic.

Result: Carnivore did not recover to a collecting state as it was supposed to. Two errors were noted: (1) during the restart procedure, a TAP interface error in connecting to the Ethernet card occurred; (2) the data collected before the power failure was lost. This lost data is the result of a trade-off between processing speed, having padding in the collected data, or possibly losing some data. Carnivore does not write collected data into a disk until a block size of data is collected, a user activates the "next file" feature, or Carnivore is stopped.

3.6.9 TEST 9 FULL MODE COLLECTION FOR ALL TCP PORTS

Description: Collect all the user's TCP communications with a minimum filter setup.

Objective: By choosing a minimum filtering, i.e., all TCP ports on full collection mode, Carnivore will collect all the user's TCP communication. Verify that when selecting TCP protocol without selecting any ports, the default to Carnivore is collecting all TCP ports.

Expected result: Carnivore collects all TCP traffic from every device that is attached to the miffing segment

Result: Passed.

3.6.10 TEST 10 COLLECT FROM A DHCP ASSIGNED IP ADDRESS

Description: Collect the contents of communications to and from a target who has a dynamic (DHCP assigned) IP address.

Objective: Carnivore filter GUI provides three entry fields for DHCP setup, i.e., MAC address, Ports (67 and 68), and Startup IP. In order to collect communication from a specific DHCP-configured device, what data must be entered in the filter? Also, it is assumed that the Startup IP field can be used by Carnivore to immediately start collecting the traffic of a user who has already been assigned an IP address without waiting for the next DHCP-based IP assignment.

Expected result: (1) With a known MAC address but without a Startup IP, collection for that target does not begin until after a DHCP-based IP assignment occurs. (2) With a known MAC address and a Startup IP set to the currently-assigned IP address for the target, collection begins immediately.

Result: (1) Both MAC address and DHCP ports are required data entries for the filter to have Carnivore collect communication from a specific DHCP-configured IP address. (2) Data entered to the Startup IP field was totally ignored by Carnivore. A DHCP exchange was always required for Carnivore to collect from a specific dynamic IP address.

3.6.11 TEST 11 FILTERING ON TEXT STRING FOR E-MAIL COLLECTION

Description: Collect e-mail with a key word.

Objective: When filtering on a given text string and the target's IP address (either fixed or dynamic), verify that Carnivore only collects the target's e-mail messages that contain the given text string.

Result: Carnivore behaves exactly as expected. E-mail that contains the search text string is captured and e-mail that does not contain the search text string is not captured. However, this capture condition is not always clear from CoolMiner analysis. If the text string is in the e-mail header (for instance, part of the Subject), then CoolMiner displays the message properly. If the search text string is only in the body of the message, it does not display the message. This condition is because Carnivore does not start collecting packets until it sees the search text string. If the string is only in the body, the header of the message have already passed without being collected. CoolMiner needs the entire set of e-mail protocol packets in order to display properly. CoolMiner displays the collected packets as TCP packets of an unknown application.

The raw output of Carnivore was examined to verify the results shown by CoolMiner.

3.6.12 TEST 12 FILTERING ON TEXT STRING AND E-MAIL ADDRESS OR E-MAIL USERID FOR E-MAIL COLLECTION

Description: Collect e-mail with a key word and a user name.

Objective: When filtering on a given text string and the target's e-mail ID, verify that Carnivore only collects the target's e-mail containing that given text string.

Result: Because of a performance trade-off, Carnivore filters for the text search string at the driver level. Filters for a specific e-mail user is at the application level. After this test was completed, it was learned that the text string search is ignored when filtering for a specific e-mail address.

3.6.13 TEST 13 FILTERING ON TEXT STRING FOR FTP COLLECTION

Description: Collect FTP communication containing a key word.

Objective: When a text string is entered into the filter and FTP ports 20 and 21 are selected, Carnivore should only collect the FTP activities containing that given text string.

Result: Analysis of the raw Carnivore output shows that the correct data was collected. Carnivore either collected the FTP packets that matched the given text strings or collected from the first packet containing the text string to the end of that session (if the Trigger on Full Session check box was checked). In either case, Packeteer failed to assemble all of the packets together for an entire FTP session (because not all packets were collected) and, in turn, CoolMiner could not provide the result of correct collection. The purpose of this test was to determine if Carnivore collects according to its filter setup, not to evaluate the post-processing tools Packeteer or CoolMiner. The Carnivore output was correct.

.4. Si ningún paquete estuviera disponible para procesar, libre algunos nodos rancios de los objetos del proceso y duerme para 1 ms (librando el CPU para cualquiera hicieron cola los eventos).
5. si Salida o la Parada se ha llamado del GUI, manéjelo como descrito en el Apéndice D.
6. si NextFile se ha llamado del GUI, cierre fuera los datos del rendimiento actuales archive y empieza un nuevo archivo.
7. si PrepareToStop se ha llamado del GUI, restableció los filtros en el chófer de TapNDIS para que ningún más paquete se intercepta.
8. si el Cierre se ha llamado del GUI, la bandera del juego para prevenir ejecutando la vuelta de nuevo.
9. si la colección está corriendo y el agente ha apretado el arroje el botón en el paseo trasladable, haga a lo siguiente: cierre fuera el archivo de datos de rendimiento actual; arroje el disco y espera por el nuevo disco para estar disponible; cree el directorio para el rendimiento archiva y abre los nuevos archivos (.output.txt, error.txt, y el datos archiva); escriba el título al nuevo archivo de los datos; si DHCP o el RADIO filtrarse es adelante y la memoria compartido la inundación más de color de ante ha ocurrido en el chófer de TapNDIS (verificó por la llamada a la interface del chófer), restablezca los filtros, vacíe el pulidor, y redownload los filtros al chófer para reiniciar la colección; e inspecciona para el espacio disponible los medios de comunicación trasladables.
El rendimiento de Carnívoro 1.3.4 se escribe a tres archivos como sigue:

Se escriben los paquetes de los datos crudos a uno o más archivos de .vor. Por completo el modo, se escriben los volúmenes completos de todos los paquetes que no se rechazan por uno de los filtros a los archivos. La mesa 3-1 muestras la información que se escribe a los archivos en el modo de la pluma para paquetes que no se rechazan.
Se escriben los mensajes operacionales a un archivo de output.txt. Estos mensajes incluyen las descripciones de los filtros usadas para la colección, la salida e indicadores de la parada, e información sobre el rastrear de FTP y sesiones del telnet. Se proporcionan detalles sobre los todo posibles mensajes en la descripción de la clase CLogFile en el Apéndice D.
Se escriben mensajes del error para todos los errores reconocidos por el Carnívoro a un archivo de error.txt. Se proporcionan detalles sobre los posibles mensajes del error en la descripción de la clase CLogFile en el Apéndice D.
3.5.4 CARNIVORE.EXE
Toda la interacción del agente con el Carnívoro se proporciona a través de un GUI escrito en el Elemento esencial Visual. La forma principal (el frmMain) se usa por empezar y detener la colección y por desplegar la información de estado. El botón etiquetó "Avanzado..." se usa para acceder una segunda forma (el frmAdvanced) eso se usa para preparar la colección se filtra y crea el archivo de configuración de usuario para el Carnívoro. Hay seis formas adicionales que son las cajas del diálogo para las varias contestaciones del usuario. Dos otras formas incluidas en el programa son una pantalla de la salpicadura desplegada en el startup y un lleno-pantalla fondo sólido desplegado siempre que el Carnívoro esté corriendo. Hay también 15 clases que se usan en el GUI, principalmente por guardar los parámetros del filtro, y un archivo del módulo que incluye unas funciones auxiliares, variables globales, y declaraciones para todas las Win32 API llamadas usó en los GUI y las funciones exportadas de Carnivore.dll. hay cuatro formas incluidas en el programa y nueve clases asociadas que tienen todo el código comentadas fuera además, porque una decisión era hecho no llevar a cabo los rasgos que ellos eran proporcionar (una capacidad de planificación para colecciones que se suponía que era limitado a ciertas horas, filtros más sofisticados, y un espectador del real-tiempo por ver los paquetes de los datos en el vor archiva), pero ellos han quedado ' en el programa. El directorio de la fuente también proporcionado a IITRI incluyó cinco archivos de la forma y dos archivos de la clase que no se usan compilando el Carnívoro. Una de las formas parece ser para un rasgo (agregando caso que rastrea la información) eso se dejó caer del plan pero puede llevarse a cabo en el futuro.
3.5.5 PROCESO DE DESARROLLO
Ningún proceso de desarrollo formal se siguió para el desarrollo de Carnívoro a través de versión 1.3.4. El programa del Carnívoro era un programa de capacidad de rápido-reacción desarrolló para satisfacer las necesidades del FBI por los casos operacionales. Ninguno de los olfateadores de la red existentes (como EtherPeek) podría coleccionar la cantidad apropiada de datos (lo que se permite; nada más, nada menos). Este tipo de desarrollo es apropiado como un "la prueba de concepto" pero no es apropiado para los sistemas operacionales. Debido a esta falta de metodología de desarrollo, las consideraciones importantes, como la responsabilidad e interviene, se extrañó.
3.6 LABORATORIO PRUEBA
El carnívoro fue diseñado para coleccionar comunicación designado autorizada por los órdenes de la corte. No según el FBI, cada rasgo que el Carnívoro proporciona se ha usado en los casos de la colección reales. El carnívoro es una herramienta del caso, no un producto de los SITIOS PARA ANIMALES DOMÉSTICOS. Lograr el propósito de evaluar la capacidad entera de Carnívoro, los casos de la prueba son dividido en dos partes:
1. la prueba embala uno a través de cinco examine la colección típica embala, es decir, los guiones ejemplares pidieron en la Declaración de Trabajo (la CERDA).
2. la prueba embala seis a través de trece examine la capacidad general de Carnívoro. Rasgos que no se pueden haber usado por el FBI ' en los casos de la colección reales, pero se proporciona por el Carnívoro, es incluido en éstos pruebe los casos. Los párrafos siguientes resumen los casos de la prueba.
Se proporcionan detalles, incluso los tiros de la pantalla del filtro preparados, en el Apéndice C. La información incluye la razón que se usó cuando diseñando la prueba embala y las pruebas resultan. Para cada uno de los casos de la prueba que no pasaron, o parcialmente pasó, una explicación del fracaso se proporciona.
3.6.1 PRUEBA 1 NONCONTENT E-MAIL COLLECTION
La descripción: Coleccione el noncontent presenta en e-mail enviado a y de un blanco. Esta prueba es para la pluma modo e-mail colección en SMTP (TCP ponen a babor 25), y POP3 (puerto 110). el e-mail ID de El blanco es una entrada requerida al filtro para esta prueba.
El objetivo: Verifique ese Carnívoro colecciona las direcciones del e-mail de que se enviaron y a un blanco, y no colecciona nada del asunto del e-mail del blanco y satisfecho.
El resultado esperado: El carnívoro coleccionará sólo el DE y A las direcciones del e-mail de que se envió y a un blanco.
El resultado: El carnívoro no coleccionó ningún campo de otra manera que A y DE, pero en algunos ensayos coleccionar DE fallaron y A la información. Un problema es una debilidad conocida en Carnívoro detallado en párrafo 4.2.8. IITRI también observó eso en algunos casos, misclassifies de Packeteer los mensajes de POP3 como SMTP y este misclassification causa CoolMiner para desplegar la información mala. Este misclassification no es un bicho del Carnívoro.
IITRI observó eso los tiempo-estampa para paquetes coleccionados aparecido posiblemente ser incorrecto debido a un problema con la conversión de Microsoft el formato de la fecha interior al formato de UNIX normal (usó por CoolMiner), y posiblemente en la conversión entre Greenwich Time Malo (GMT) y el tiempo local.
IITRI observó eso en el Carnívoro de modo de pluma reemplaza la información de título de e-mail con Xs. Cuando los datos se ven en CoolMiner que es fácil de determinar la longitud de cada campo en el título y la longitud del mensaje entero.
Retest: El FBI mantuvo un parche el problema del tiempo-estampa y una nueva versión de CoolMiner. Un retest muestra que el problema del tiempo-estampa es fijo y es consistente con el tiempo de colección de sistema. El Carnívoro los datos crudos para SMTP parecían correctos, hay sin embargo todavía posibles problemas con información desplegada por CoolMiner. Porque SMTP trafican, el DE la dirección del e-mail (el blanco en este caso de la prueba) se despliega correctamente, pero el dirigirse no se muestra (el nontarget en esta prueba embale). Packeteer y CoolMiner aparecen estar pareciendo para las otras direcciones del e-mail en el A y DE las líneas en el mensaje del e-mail que el Carnívoro ha borrado intencionalmente fuera evitar la información colectiva sobre la comunicación entre las entidades del nontargeted. IITRI cree que el programa debe estar buscando en cambio el RCPT-A líneas que el Carnívoro colecciona propiamente.
3.6.2 PRUEBA 2 TEJIDO DE NONCONTENT QUE HOJEA LA COLECCIÓN
La descripción: Coleccione la fuente y destino que IP se dirige para el tejido de un blanco que hojea las actividades. Esta prueba es una colección de modo de pluma en HTTP (TCP ponen a babor 80).
El objetivo: Verifique que ese Carnívoro colecciona el tejido de HTTP del blanco que hojea fuente de actividad y destino IP se dirigen, no colecciona el URL y volumen de las actividades de tejido del blanco, y no colecciona la comunicación de otros usuarios.
El resultado: Pasado.
IITRI observó ese CoolMiner proporciona la información sobre cuántos bytes se transfiere entre el cliente y el servidor. Los tamaños de los datos también pueden contarse del Carnívoro los datos crudos.
3.6.3 PRUEBA 3 NONCONTENT ARCHIVO TRASLADO ACTIVIDAD COLECCIÓN
La descripción: Coleccione la fuente y destino que IP se dirige para las actividades de FTP de un blanco. Esta prueba es una colección de modo de pluma en FTP (TCP pone a babor 20 y 21).
El objetivo: Verifique que ese Carnívoro colecciona el archivo del blanco que transmite fuente de actividad y destino IP se dirigen y no colecciona el archivo las actividades de FTP de usuarios satisfechos y otros.
El resultado: Pasado.
Como en pruebas 1and 2, la cantidad de datos transferida se captura.
3.6.4 PRUEBA 4 COLECCIÓN LLENA EN UNA DIRECCIÓN DE IP FIJA
La descripción: Coleccione los volúmenes de comunicaciones a y de un blanco que tiene una dirección de IP fija. Esta prueba es una colección del modo llena.
El objetivo: Verifique ese Carnívoro colecciona la comunicación del blanco y que ningún otro usuario (es decir, otro IP se dirige) pueden coleccionarse las comunicaciones.
El resultado esperado: Tejido que hojea volúmenes, FTP login sesión, los órdenes y datos, y volúmenes del e-mail es todos capturados de la dirección de IP fija designado.
El resultado: Pasado.
3.6.5 PRUEBA 5 E-MAIL LA COLECCIÓN SATISFECHA
La descripción: Coleccione los volúmenes de comunicaciones del e-mail de que se enviaron y a un blanco. Esta prueba es una colección del modo llena en el e-mail ID del blanco.
El objetivo: Verifique ese Carnívoro colecciona los volúmenes del e-mail de un blanco, pero no colecciona las comunicaciones de otros usuarios.
El resultado: Pasado.
3.6.6 PRUEBA 6 COLLECTION DE E-MAIL DE SEUDÓNIMO
La descripción: Mande electrónicamente colección de un blanco que tiene un alias para el e~mail saliente. Esta prueba es una colección de modo de e-mail en SMTP y POP3 (TCP pone a babor 25 y 110). el usuario del e-mail de El blanco en que ID se entra en el filtro para la colección.
El objetivo: Un orden judicial autoriza coleccionar el tráfico del e-mail satisfecho lleno a y de un blanco y el ISP determinó la dirección del e-mail del blanco es marydoe@location.org However, el blanco hizo un alias "NADIE" para su dirección del e-mail saliente. Verifique que ese Carnívoro no coleccionará el e-mail del blanco filtrándose en su usuario real ID.
El resultado: Pasado.
3.6.7 PRUEBA 7 CORDÓN DE TEXTO DE FILTRACIÓN EN LA COLECCIÓN DE ACTIVIDAD DE TEJIDO
La descripción: Coleccione el tejido que hojea volúmenes que contienen un cordón del texto específico. Esta prueba es una colección del modo llena de un cordón del texto dado en HTTP (TCP ponen a babor 80).
El objetivo: El carnívoro colecciona el tejido del blanco que hojea volúmenes que contienen un cordón del texto específico, y sólo las páginas de tejido contienen el cordón investigado, no otro tejido que hojea las páginas.
El resultado: Pasado.
3.6.8 PRUEBA 8 FRACASO DE PODER Y RESTAURACIÓN
La descripción: Impulse fracaso y prueba de la restauración.
El objetivo: Verifique que después de que el poder se restaura, el Carnívoro automáticamente las salidas a y continúa coleccionando lo que era originalmente fijo a coleccionar. También, verifique ese Carnívoro recupera todos los datos que eran reunido antes del paro de poder.
El resultado esperado: Después de que el poder se restaura, el Carnívoro recupera al estado dónde estaba antes del fracaso de poder y continúa usando el arreglo del filtro original para coleccionar el tráfico.
El resultado: El carnívoro no recuperó a un estado colectivo como él se supuso a. Dos errores eran nombrados: (1) durante el reinicie el procedimiento, un error de interface de PALMADITA conectando a la tarjeta de Ethernet ocurrió; (2) el datos coleccionado antes del fracaso de poder estaba perdido. Esto perdió el datos es el resultado de un comercio-apagado entre procesar la velocidad, teniendo el relleno en los datos reunido, o perder algunos datos posiblemente. El carnívoro no escribe los datos reunido en un disco hasta un tamaño del bloque de datos es reunido, un usuario activa el "próximo archivo" el rasgo, o el Carnívoro se detiene.
3.6.9 PRUEBA 9 COLECCIÓN DEL MODO LLENA PARA TODOS LOS PUERTOS DE TCP
La descripción: Coleccione las comunicaciones de TCP de todo el usuario con un arreglo del filtro mínimo.
El objetivo: Escogiendo una filtración mínima, es decir, todo el TCP pone a babor en el modo de la colección lleno, el Carnívoro coleccionará la comunicación de TCP de todo el usuario. Verifique que al seleccionar el protocolo de TCP sin seleccionar cualquier puerto, el valor por defecto al Carnívoro está coleccionando todos los puertos de TCP.
El resultado esperado: El carnívoro colecciona que todos los TCP trafican de cada dispositivo que se ata al segmento ofendiendo
El resultado: Pasado.
3.6.10 PRUEBA 10 COLECCIONA DE UN DHCP ASSIGNED LA DIRECCIÓN DE IP
La descripción: Coleccione los volúmenes de comunicaciones a y de un blanco que tiene un dinámico (DHCP asignó) la dirección de IP.
El objetivo: Filtro del carnívoro que GUI proporciona que tres entrada presenta para el arreglo de DHCP, es decir, MAC se dirigen, Puertos (67 y 68), y Startup IP. ¿Para coleccionar la comunicación de un dispositivo DHCP-configurado específico, en qué datos deben entrarse en el filtro? También, es supuesto que el Startup que el campo de IP puede usarse por el Carnívoro para empezar coleccionando el tráfico de un usuario que ya ha sido asignado una dirección de IP sin esperar por la próxima asignación de IP DHCP-basado inmediatamente.
El resultado esperado: (1) con una dirección de MAC conocida pero sin un Startup IP, la colección para ese blanco no empieza hasta después de que una asignación de IP DHCP-basado ocurre. (2) con una dirección de MAC conocida y un Startup IP puso al IP actualmente-asignado diríjase para el blanco, la colección empieza inmediatamente.
El resultado: (1) se requieren dirección de MAC y " puertos de DHCP las entradas de los datos para el filtro tener el Carnívoro coleccionar la comunicación de una dirección de IP DHCP-configurada específica. (2) los datos entraron al Startup el campo de IP era totalmente ignorado por el Carnívoro. Un intercambio de DHCP siempre se requirió para el Carnívoro para coleccionar de una dirección de IP dinámica específica.
3.6.11 PRUEBA 11 FILTRACIÓN EN EL CORDÓN DEL TEXTO PARA LA COLLECTION DEL E-MAIL
La descripción: Coleccione el e-mail con una palabra importante.
El objetivo: Al filtrarse en un cordón del texto dado y los IP del blanco se dirigen (arregló o dinámico), sólo verifique ese Carnívoro colecciona los mensajes del e-mail del blanco que contienen el cordón del texto dado.
El resultado: El carnívoro se comporta exactamente como esperado. E-mail que contiene el cordón de texto de búsqueda se captura y e-mail que no contiene el cordón de texto de búsqueda no se captura. Sin embargo, esta condición de la captura no siempre está clara del análisis de CoolMiner. Si el cordón del texto está en el título del e-mail (por ejemplo, parte del Asunto), entonces CoolMiner despliega el mensaje propiamente. Si el cordón de texto de búsqueda sólo está en el cuerpo del mensaje, no despliega el mensaje. Esta condición es porque el Carnívoro no empieza los paquetes colectivos hasta que vea el cordón de texto de búsqueda. Si el cordón sólo está en el cuerpo, el título del mensaje ya ha pasado sin ser reunido. CoolMiner necesita el juego entero de e-mail los paquetes protocolares para desplegar propiamente. CoolMiner despliega los paquetes reunido como los paquetes de TCP de una aplicación desconocida.
El rendimiento crudo de Carnívoro fue examinado para verificar los resultados mostrados por CoolMiner.
3.6.12 PRUEBA 12 FILTRACIÓN EN EL CORDÓN DEL TEXTO Y ADDRESS DEL E-MAIL OREGÓN E-MAIL USERID PARA LA COLLECTION DEL E-MAIL
La descripción: Coleccione el e-mail con una palabra importante y un nombre del usuario.
El objetivo: Al filtrarse en un cordón del texto dado y el e-mail ID del blanco, sólo verifique que ese Carnívoro colecciona el e-mail del blanco que contiene eso dado el cordón del texto.
El resultado: Debido a una actuación comercio-fuera de, el Carnívoro se filtra para el cordón de búsqueda de texto al nivel del chófer. Los filtros para un usuario del e-mail específico están en el nivel de la aplicación. Después de que esta prueba fue completada, era sabio que la búsqueda de cordón de texto se ignora al filtrarse para una dirección del e-mail específica.
3.6.13 PRUEBA 13 FILTRACIÓN EN EL CORDÓN DEL TEXTO PARA LA COLECCIÓN DE FTP
La descripción: Coleccione comunicación de FTP que contiene una palabra importante.
El objetivo: Cuando en un cordón del texto se entra en el filtro y FTP pone a babor se seleccionan 20 y 21, el Carnívoro debe coleccionar sólo las actividades de FTP que contienen eso dadas el cordón del texto.
El resultado: El análisis de las muestras de rendimiento de Carnívoro crudas que el datos correcto era reunido. Carnívoro o coleccionado los paquetes de FTP que emparejaron el texto dado ata o reunido del primer paquete en conteniendo el cordón del texto al extremo de esa sesión (si el Gatillo en la caja de cheque de Sesión Llena fuera verificado). Packeteer no congregó todos los paquetes juntos para una sesión de FTP entera En cualquier caso, (porque no todos los paquetes eran reunido) y, a su vez, CoolMiner no podría proporcionar el resultado de colección correcta. El propósito de esta prueba era determinar que si el Carnívoro colecciona según su arreglo del filtro, no evaluar el poste-proceso labra con herramienta Packeteer o CoolMiner. El rendimiento del Carnívoro era correcto.

[Pages 4-1 to 4-9.]

SECTION 4
CONCLUSIONS
4.1 ASSUMPTIONS

Given the time constraints of this evaluation, IITRI made several assumptions about various components in order to establish a boundary of trust. These assumptions included

* The Century Tap from Shoniti Systems is effective in making Carnivore a read-only device. No evidence was seen that Carnivore transmitted any data through the device, nor did there appear to be any functionality in Carnivore to transmit. IITRI is satisfied from analysis that the tap is one way, but performed no specific testing of the tap to ensure no data was transmitted.

* Windows NT file system and mechanisms to ensure data in the file system are not corrupted are sufficiently reliable that they do not impact this evaluation.

* The CPS (see paragraph 3.4.3) devices are sufficiently robust to protect the remote connection.

* PCAnywhere, in particular symmetric encryption; PCAnywhere authentication; and PCAnywhere logging works properly. PCAnywhere was not evaluated; however, IITRI determined through experiment and a literature search the extent to which PCAnywhere supports Carnivore requirements.

* Dynamic IP addresses assignments via DHCP and RADIUS are sufficiently similar and Carnivore works in a sufficiently similar manner for dynamic IP addresses that observation and conclusions made for DHCP apply equally to RADIUS.

4.2 GENERAL CONCLUSIONS

A wide range of interested parties has expressed additional concerns about Carnivore, many of which were also listed as part of the purpose for this evaluation. Rather than address each concern individually, IITRI chose to draw a series of general conclusions that, with supporting points, will allow each party to address its own concerns.

4.2.1 NEED FOR CARNIVORE

Carnivore represents technology that protects privacy and enables lawful surveillance better than alternatives. Carnivore restricts collected information in a precise manner that cannot be duplicated by other means. Although certain of Carnivore's functions could be duplicated by commercial products, there is no incentive to do so. The legitimate market for such a product is limited to law enforcement -- a market already served by Carnivore. Moreover, publicly available products, such as EtherPeek, described in Appendix B, are not capable of limiting collection as precisely as most court orders require, resulting in over-collection and greater reliance on human intervention to minimize the information collected.

Many ISPs are unwilling or unable to collect only the information specified in a court order, requiring direct FBI use of tools like Carnivore to fulfill court-ordered requirements. In addition, the details of some highly sensitive investigations should not be disclosed to ISPs, many of whom may present risks of inappropriate disclosure.

4.2.2 LEGAL AND ORGANIZATIONAL CONTROLS

Carnivore is used under the same basic legal and organizational controls as are employed for telephone wiretaps and telephone pen-trap devices. Multiple organizational approvals are required for Carnivore deployment before a court order is issued; significant post-collection organizational and judicial controls exist as well.

Carnivore, like traditional telephone wiretaps (see Appendix A) uses human involvement to satisfy legal minimization requirements. Carnivore employs two minimizations. First the collection computer selects pertinent packets. Second, a designated case agent reviews captured data to exclude nonpertinent information. This minimization is analogous, but not perfectly so, to turning off telephone intercept equipment to exclude nonpertinent conversations.

In response to specific concerns, IITRI evaluated the minimization process described independently by FBI headquarters and field personnel and reached the following conclusions:

* The supervising judge can, and regularly does, independently verify that traffic collected is only what was legally authorized.

* Controls exist over minimization, in that the post-minimization file reveals any nonpertinent information that escaped the minimization process. Inadequate minimization can be detected through judicial oversight through the FBI 'inspection process, or in civil or criminal litigation involving alleged misuse of Carnivore. However, except for FBI procedures and professionalism, there are no assurances against additional copies being made of an inadequately minimized intercept.

4.2.3 COLLECTION

Based on laboratory tests, Carnivore can collect everything that passes by on the Ethernet segment to which it is connected. This capability is no different from any other packet sniffer (see Appendix B describing a commercial sniffer). It is up to the agent who sets up Carnivore to select the proper set of filters so only the data that is allowed by the court order is actually collected. The system contains no automated checks for valid configuration. However, based on analysis of the Carnivore process, IITRI concludes there are significant procedural checks to minimize configuration errors. Multiple agents and FBI technical advisers, and often ISP personnel, must agree on the settings before Carnivore is turned on.

Given a choice between under-collection versus potential over-collection, Carnivore design generally errs on the side of under-collection. To the extent that Carnivore under-collects information, no appreciable risk exists that the meaning of intercepted information would be altered. However, the result of this conscious decision on the part of the FBI, is to introduce exploitable technical weaknesses. These weaknesses, among others, are described in paragraph 4.2.5.

In one case, Carnivore version 1.3.4 collects more than would be permitted by the strictest possible construction of the pen-trap statute. In pen mode surveillance of certain e-mail protocols, Carnivore captures the contents of the TO and FROM fields. It replaces each character in the other fields with an X. Using one-to-one replacement permits users to determine the length (but not the content) of all of the fields defined by the e-mail protocol; for example, of the SUBJECT field and of the body of the message. Access to the length of individual fields does not appear to have a parallel in telephone pen-trap surveillance.

Except for the field-length data referred to in the preceding paragraph, there was no evidence of over-collection during any of the tests. Carnivore bases its collection filters on various protocols as defined by industry RFCs. In the case where a network uses a nonstandard implementation of a protocol, over collection can occur. For example, the FBI admitted that a previous version of Carnivore handled pipelined SMTP (RFC 2920) incorrectly. However, it should be noted that when this situation occurs, the over-collected data is sealed and given to the judge, without being given to the case agent. The developers then, if permitted, and possible, analyze what protocol deviation is in use and make changes to Carnivore to allow it to collect properly.

In response to particular concerns expressed about collection, IITRI concludes

* While the system was designed to, and can, perform fine-tuned searches, it is also capable of broad sweeps. Incorrectly configured, Carnivore can record any traffic it monitors.

* Carnivore can, e.g., in court authorized counter-cyber-terrorism activities, scan a subset of network traffic for specific strings or access by or to specific sites. This capability is necessary to collect court-ordered data transmitted with nonstandard protocols where message boundaries do not occur at packet boundaries, such as Hotmail.

* Properly configured, Carnivore examines traffic and determines which pieces are allowed by its filter settings.
o It accumulates no data other than that which passes its filters
o It restricts data available to the FBI to specific types from or to specific users
o It is used only when the implementation guarantees it will riot drop packets and potentially miss the sign-off of a dynamically-assigned IP address

* Carnivore version 1.3.4 mixes pen-trap and full-content capability in one device. Unless correctly configured, the device can over-collect under a pen-trap order.

* Carnivore collects more than ordinary e-mail correspondence. In full collection mode, for example, it can record whatever transactions occur through TCP, UDP, and ICMP protocols including HTTP, FTP, SMTP, POP3, Exchange Mail, IMAP, CCmail, voice over IP, and streaming media. E-commerce payments-related communications, however, typically use Secure Sockets Layer (SSL), which are not decrypted by Carnivore.

* Carnivore does not come close to having enough power "to spy on almost everyone with an e-mail account." In order to work effectively it must reject the majority of packets it monitors. It also monitors only the packets traversing the wire to which it is connected. Typically, this wire is a network segment handling only a subset of a particular ISP's traffic.

4.2.4 ACCOUNTABILITY

IITRI did not find adequate provisions for auditing the use of Carnivore. The Carnivore version 1.3.4 collection computer is always logged in as the "Administrator" rather than using individual user IDs. The PCAnywhere remote access software, while using unique login IDs, does not provide audit on an individual basis. As noted in paragraph 3.4.4, the password to the advanced menu is embedded in the Carnivore executable software. Therefore, it is not possible to determine who, among a group of agents with the password, may have set or changed filter settings. In fact, any action taken by the Carnivore system could have been directed by anyone knowing the Administrator password. It is impossible to trace the actions to specific individuals. Auditing is crucial in security. It is the means by which users are held accountable for their actions.

4.2.5 INTEGRITY

Carnivore version 1.3.4 has significant deficiencies in protection for the integrity of the information it collects. Information gathered by Carnivore may be lost or corrupted by physical attack, software bugs, or power failure. Also, the relationship among Carnivore filter settings, collected data, and other investigative activities may be difficult to establish. These deficiencies make Carnivore less effective as an investigative tool.

Lack of physical control of the Carnivore collection computer engenders some risk of compromise by untrustworthy ISP personnel. Once the FBI technicians have installed Carnivore it is under control of the ISP. Although the collection computer is left without a monitor, keyboard, or mouse, the ports are not normally covered or disabled and nothing prevents someone at the ISP from connecting those peripherals. That person could watch while a case agent uses remote dial-in access to download data and learn enough to gain control of the collection computer. To date, the FBI has relied on existing physical security measures at trusted ISP installations.

FBI tools to view, analyze, and minimize raw Carnivore output contain several material weaknesses. These tools include Packeteer, to reconstruct higher protocol sessions from IP packets, and CoolMiner, to display the results. Neither Packeteer nor CoolMiner are used to limit the data collected from the target, although they are used by case agents for further minimization. During testing, IITRI found several bugs in the interfaces between Carnivore, Packeteer, and CoolMiner. These include

* The time stamps for the collected packets displayed by CoolMiner did not match what was expected. While originally thought to be a CoolMiner software bug, the FBI provided a patch to the Carnivore program that fixed this problem.

* Some instances of valid SMTP collection were being displayed as POP data. This software bug was determined to be a problem with the way Packeteer processed the data. The data collected by Carnivore were correct.

As of the date of this report, this bug has not yet been fixed. Carnivore does not consistently recover from power failures. IITRI noted two problems. First, because of the way Carnivore buffers data into blocks before actually writing to disk, any power failure guarantees the loss of between 0 and max_block_size bytes of already collected data. This loss is in addition to any data missed while power is off. As noted earlier, the max_block_size for fixed disk is 128 kbytes and for removable disks is 64 kbytes. Second, there is a race condition that prevents the Carnivore program, as it is starting up, from reliably accessing the Ethernet interface. When this failure occurs, and the Carnivore program had been collecting earlier (before the power failure), it is not able to automatically begin collecting again. Someone must manually access the system to start the collection.

In Carnivore version 1.3.4, as evaluated, it is not possible to definitively show what settings were used to collect any given set of data. Although the parameters for collection are stored in the same directory as the collected data, they are in a separate file and the only link among the files is implied by the file names. Should files become separated, it may be difficult to prove what settings and what software were actually used to collect the data.

There is no time synchronization within Carnivore. The time stamps are dependent upon the correct setting of the collection computer's clock and its continued correct operation. While this deficiency may not seem to be important, multiple Carnivore devices might be used in an investigation or it might be necessary to correlate Carnivore collection with other collateral evidence. If so, it is important to note that the time stamps from Carnivore are only as good as the original source for the time and the accuracy of the collection computer.

While Windows NT and the way its file systems work were not evaluated, other factors could affect data integrity. For example, since there are no checksums or other protections on the collected data files and no individual accountability, anyone could edit the collected data. Since all users all log in as Administrator, evidence of the changed files could be erased.

4.2.6 CARNIVORE DEVELOPMENT ENVIRONMENT

No formal development process was used for Carnivore through version 1.3.4. Consequently, technical issues such as software correctness, system robustness, user interfaces, audit, and accountability and security were not well addressed. While this lack of a formal development process might have been acceptable for a "proof of concept" demonstration, it is not appropriate for an operational system. Operational systems should be developed with rigorous tracing of requirements through design, development and testing, strong configuration management and good management insight into the development process. A more formal development process has been established for Carnivore version 2.0, but IITRI has not evaluated the effectiveness of the new process.

4.2.7 MISCELLANEOUS CONCERNS

The purpose for the independent evaluation of Carnivore includes a number of concerns about the effect on privacy of individuals who are not the target of court-ordered surveillance. Examining those concerns, IITRI concludes that Carnivore version 1.3.4 does not

* Read all incoming and outgoing e-mail messages, including sender, recipients, message subject and body. It stores packets for later analysis only after they are positively linked by the filter settings to a target

* Monitor the web-surfing and downloading habits of all the ISP's customers, including web searches for information or people. It can only record for later evaluation some IITRI files retrieved by a target

* Monitor or read all other electronic activity for that ISP, including instant messages (such as with ICQ), person-to-person file transfers, web publishing, FTP, Telnet, newsgroups, online purchases, and anything else that is routed through that ISP. It can only record a subset of such files for a specific user

In addition, IITRI noted public concern that the FBI and DoJ may use Carnivore for purposes other than surveillance. Based on evaluation of the architecture and implementation, and the capabilities of the Carnivore software, IITRI concludes that Carnivore version 1.3.4 cannot

* Alter or remove packets from the network or introduce new packets

* Block any traffic on the network

* Remove images, terms, etc. from communications

* Seize control of any portion of Internet traffic

* Shut down or shut off the communications of any person, web site, company, or ISP

* Shut off accounts, ISPs, etc. to "contain" an investigation

4.2.8 RELEASE OF CARNIVORE

The FBI has legitimate reasons to oppose public release of Carnivore version 1.3.4. The FBI is restricted, by license, from releasing the commercial code that forms the basis of the tool. Furthermore, the current version has technical limitations that could be exploited to defeat surveillance if they were revealed.

Federal constitutional and statutory law recognizes the need to protect law enforcement sources and methods. FOIA contains an explicit exemption for information that would disclose confidential law enforcement techniques or compromise ongoing criminal investigations. Specific technical limitations of Carnivore, IITRI believes, fall within these protections and are listed below. Carnivore

* Can be countered with simple, public-domain encryption.

* Cannot effectively collect POP3 e-mail messages in pen mode. It has insufficient capacity to separate allowed versus forbidden information from the messages. It therefore, collects nothing. During testing, IITRI determined that for pen mode collection of POP e-mail, the only information collected was the POP control messages. All that could be seen was that the target user had authenticated to the POP Server at a given time and that messages were retrieved. No TO or FROM information was collected.

* Cannot manage nonstandard protocol implementations. Nonstandard implementations may result in potential over-collection and, typically, collection is terminated. When fixes have been made, e.g., to handle pipelined e-mail transmissions, they could open additional mechanisms to defeat Carnivore, if revealed. Testing against nonstandard implementation is extremely difficult.

* Has a limited ability to process Internet e-mail accounts. The current implementation requires explicit knowledge of the format of the provider's log-in messages.

* Cannot collect in high-traffic environments. Customers of certain ISPs are effectively beyond reach. The FBI has found that when collecting a steady flow of packets, Carnivore can handle up to 60 Mbps without dropping packets if writing its collected data to a high speed hard disk. If writing to the Jazz disk, the rate drops to 15 Mbps, and if writing to a Zip disk, the rate drops to 5 Mbps. (Rates provided by the FBI; not verified through testing.)

* Uses support tools that have additional limitations. Packeteer cannot reconstruct all TCP-based protocols and CoolMiner fails to report certain information present in the Packeteer output. IITRI also found situations in which CoolMiner output did not reflect the output of Carnivore.

4.3 DOJ QUESTIONS

IITRI's general conclusions address concerns for privacy. These paragraphs address the DoJ's specific questions about Carnivore. IITRI conclusions are provided in the following paragraphs.

4.3.1 DOJ QUESTION 1

Question. Does Carnivore provide investigators with all, but only, the information it is designed and set to provide in accordance with a given court order?

Answer. When Carnivore version 1.3.4 is used correctly under a Title III order, it provides investigators with no more information than is permitted by a given court order. Because of performance limitations, in some cases it provides investigators with less information than they are permitted to collect. In the pen mode, it creates files for certain e-mail protocols that can be analyzed to determine more than simple TO and FROM information Details of our conclusions about collection are provided in paragraph 4.2.3.

IITRI observed thorough training and supervision programs used by the FBI to ensure that agents understand the limitations on the information they can obtain under a court order, the technical means to collect such information, and the consequences of over- or under-collection. Examination of code found no hidden capabilities that would allow Carnivore to collect information without the knowledge of the agents using it.

4.3.2 DOJ QUESTION 2

Question. Does Carnivore introduce any new, material risks of operational or security impairment of an ISP's network?

Answer. Operating Carnivore version 1.3.4 introduces no operational or security risks to the ISP where it is installed. This conclusion is supported by IITRI's architecture evaluation and discussions with ISPs.

Carnivore attaches to the ISP network by using a read-only tap. This tap introduces, at most a 1-bit time delay -- far less than most standard network equipment. Discussions with ISP representatives confirmed that the read-only tap is employed for field installation and the FBI takes reasonable steps to minimize interference with ISP operations. Because it is read-only and cannot introduce traffic, Carnivore cannot place an additional load on the ISP network, nor can it alter or otherwise compromise operations.

Situations may arise in which he ISP is asked to make changes to its operation to accommodate court-ordered surveillance. A change to operations carries some risk and must be approached and implemented with due caution.

The remote control link (see paragraph 3.4.3) does establish a path to the Carnivore collection computer within the ISP's secure facility. IITRI found: (1) the link does not provide access to ISP equipment; (2) the link is adequately protected from unauthorized use; and (3) the link cannot be used to access information not already stored on Carnivore.

4.3.3 DOJ QUESTION 3

Question. Does Carnivore risk unauthorized acquisition, whether intentional or unintentional, of electronic communication information by: (1) FBI personnel or (2) persons other than FBI personnel?

Answer. Carnivore version 1.3.4 introduces some risk of both intentional and unintentional unauthorized acquisition of electronic communication information by FBI personnel, but introduces little additional risk of acquisition by persons other than FBI personnel. Because FBI personnel must select the proper settings for Carnivore to comply with the court order, there is always the possibility of error. The chance of an error in specifying Carnivore settings is low because of the large number of individuals involved in framing the court order and determining the feasibility of its implementation by Carnivore. There is, however, the possibility of unintentional error; for example, clicking the radio button for full collection when the operator meant to click the radio button next to it for pen-trap collection. There is no mechanism for detecting or minimizing the likelihood of such an unintentional setup error.

Intentional violations of court-prescribed limitations, or of FBI procedures, are likely to be detected through judicial oversight and FBI supervision. Evaluation of the risk of undetected intentional violation of court-prescribed limitations or of FBI procedures is beyond the scope of this report.

The risk that persons other than the FBI would have access to the collected data is very small. This access is limited by both the electronic authentication devices on the remote telephone line and using user-name and password authentication within the remote access program. ISP personnel can possibly gain access to the data, but they already have access by virtue of having access to their own network.

4.3.4 DOJ QUESTION 4

Question. Does Carnivore provide protections, including audit functions and operational procedures or practices, commensurate with the level of the risks?

Answer. While operational procedures or practices appear sound, Carnivore version 1.3.4 does not provide protections, especially audit functions, commensurate with the level of the risks. Details of these risks are presented in paragraphs 4.2.4, Accountability, and 4.2.5, Integrity.

.
SECCIÓN 4
LAS CONCLUSIONES

4.1 ASUNCIONES
Dado los constreñimiento de tiempo de esta evaluación, IITRI hizo varias asunciones sobre los varios componentes para establecer un límite de confianza. Estas asunciones incluyeron

La Palmadita del Siglo de los Sistemas de Shoniti es eficaz haciendo un dispositivo leer-único al Carnívoro. Ninguna evidencia fue vista que el Carnívoro transmitió cualquier datos a través del dispositivo, ni parecía haber alguna funcionalidad en el Carnívoro transmitir. IITRI está satisfecho del análisis que la palmadita es una manera, pero realizó ninguna comprobación específica de la palmadita para no asegurar ningún datos se transmitió.
Windows NT archivan sistema y mecanismos para asegurar los datos en el sistema del archivo no está corrompido es suficientemente fiable que ellos no impactan esta evaluación.
El CPS (vea párrafo 3.4.3) los dispositivos son suficientemente robustos proteger la conexión remota.
PCAnywhere, en particular el encryption simétrico,; La autenticación de PCAnywhere; y PCAnywhere que anota los trabajos propiamente. PCAnywhere no fue evaluado; sin embargo, IITRI determinó a través del experimento y una búsqueda de la literatura hasta que punto PCAnywhere apoya los requisitos del Carnívoro.
IP dinámico se dirige las asignaciones vía DHCP y RADIO es suficientemente similar y el Carnívoro trabaja de una manera suficientemente similar para las direcciones de IP dinámicas que la observación y conclusiones constituyeron DHCP aplique igualmente al RADIO.
4.2 CONCLUSIONES GENERALES
Una gama amplia de fiestas interesadas ha expresado las preocupaciones adicionales sobre Carnívoro muchos de los cuales también se listó como la parte del propósito para esta evaluación. En lugar de la dirección cada preocupación individualmente, IITRI escogió dibujar una serie de conclusiones generales que, con los puntos de apoyo, permitirá cada fiesta para dirigirse sus propias preocupaciones.
4.2.1 NECESIDAD PARA EL CARNÍVORO
El carnívoro representa tecnología que protege el retiro y habilita bien la vigilancia legal que las alternativas. El carnívoro restringe la información reunido de una manera precisa que no puede reproducirse por otros medios. Aunque cierto de las funciones de Carnívoro podría reproducirse por los productos comerciales, no hay ningún incentivo para hacer para que. El mercado legítimo para semejante producto se limita a la entrada en vigor de la ley--un mercado ya servido por el Carnívoro. Es más, los productos públicamente disponibles, como EtherPeek, describieron en el Apéndice B, no es capaz de limitar la colección tan precisamente como la mayoría de los órdenes judiciales requieren, mientras produciendo encima de-colección y la confianza mayor en la intervención humana minimizar la información coleccionaron.
Muchos ISPs son involuntarios o incapaces coleccionar sólo la información especificada en un orden judicial, mientras requiriendo uso de FBI directo de herramientas como el Carnívoro cumplir los requisitos corte-pedidos. Además, los detalles de algunos que no deben descubrirse las investigaciones muy sensibles a ISPs, muchos de quien puede presentar riesgos de descubrimiento impropio.
4.2.2 MANDOS LEGALES Y ORGÁNICOS
El carnívoro se usa bajo el mismo elemento esencial los mandos legales y orgánicos como es empleado para los wiretaps del teléfono y dispositivos de pluma-trampa de teléfono. Se requieren las aprobaciones orgánicas múltiples para el despliegue del Carnívoro antes de que un orden judicial se emita; poste-colección significante que los mandos orgánicos y judiciales también existen.
El carnívoro, como el wiretaps del teléfono tradicional (vea el Apéndice UN) usa el envolvimiento humano para satisfacer los requisitos de minimización legales. El carnívoro emplea dos minimización. Primero la computadora de la colección selecciona los paquetes pertinentes. Segundo, un revisiones de agente de caso designadas capturaron los datos para excluir la información del nonpertinent. Este minimización es análogo, pero no absolutamente para que, a apagar el teléfono los equipos interceptan para excluir las conversaciones del nonpertinent.
En la contestación a las preocupaciones específicas, IITRI evaluó el proceso de minimización descrito independientemente por la oficina principal de FBI y personal del campo y sacó las conclusiones siguientes:

El juez dirigiendo puede, y regularmente hace, independientemente verifique ese tráfico coleccionado es lo que fue autorizado legalmente.
Los mandos existen encima del minimización, en que el archivo de poste-minimización revela cualquier información del nonpertinent que escapó el proceso de minimización. Puede descubrirse el minimización inadecuado a través de la vigilancia judicial a través del FBI ' el proceso de la inspección, o en litigación civil o delictiva que involucra mal uso supuesto de Carnívoro. No hay convicciones sin embargo, contra el ser de las copias adicional hecho de salvo los procedimientos de FBI y profesionalismo, un inadecuadamente minimizó intercepte.
4.2.3 COLECCIÓN
Basado en las pruebas del laboratorio, el Carnívoro puede coleccionar todo que los pasos por en el segmento de Ethernet a que se conecta. Esta capacidad es ningún diferente de cualquier otro olfateador del paquete (vea el Apéndice B que describe un olfateador comercial). depende del agente que prepara el Carnívoro para seleccionar el juego apropiado de filtros tan sólo el datos que se permite por el orden judicial es realmente reunido. El sistema no contiene ningún cheque automatizado para la configuración válida. Sin embargo, basado en el análisis del proceso del Carnívoro, IITRI concluye hay cheques procesales significantes para minimizar los errores de la configuración. Los agentes múltiples y FBI los consejeros técnicos, y a menudo el personal de ISP, debe estar de acuerdo en las escenas antes del Carnívoro ha encendido.
Dado una opción entre el bajo-colección contra el encima de-colección potencial, el plan del Carnívoro generalmente yerra en el lado de bajo-colección. A la magnitud que el Carnívoro bajo-colecciona la información, ningún riesgo apreciable existe que el significado de información interceptada se alteraría. Sin embargo, el resultado de esta decisión consciente por parte del FBI, es introducir las debilidades técnicas explotables. Se describen estas debilidades, entre otros, en párrafo 4.2.5.
En un caso, Carnívoro versión 1.3.4 colecciona más de se permitiría por la posible construcción más estricta del estatuto del pluma-trampa. En la vigilancia de modo de pluma de ciertos protocolos del e-mail, el Carnívoro captura los volúmenes del A y DE los campos. Reemplaza cada carácter en los otros campos con un X. Using un reemplazo les permite a los usuarios determinar la longitud (pero no el volumen) de todos los campos definidos por el protocolo del e-mail; por ejemplo, del campo SUJETO y del cuerpo del mensaje. Acceda a la longitud de campos individuales no parezca tener un paralelo en la vigilancia de pluma-trampa de teléfono.
Salvo los datos de campo-longitud se referidos a en el párrafo precedente, había ninguna evidencia de encima de-colección durante cualquiera de las pruebas. El carnívoro basa sus filtros de la colección en los varios protocolos como definido por la industria RFCs. En el caso dónde una red usa una aplicación del nonstandard de un protocolo, encima de la colección puede ocurrir. Por ejemplo, el FBI admitió que una versión anterior de Carnívoro se ocupó de pipelined SMTP (RFC 2920) incorrectamente. Sin embargo, debe notarse que cuando esta situación ocurre, el datos encima de-reunido se sella y dado al juez, sin darse al agente del caso. Los diseñadores entonces, si permitió, y posible, analiza qué desviación protocolar está en el uso y hace los cambios al Carnívoro permitirle coleccionar propiamente.
En la contestación a las preocupaciones particulares expresada sobre la colección, IITRI concluye

Mientras el sistema se diseñó a, y puede, realice las búsquedas multa-puestas a punto, también es capaz de barridos anchos. Incorrectamente configurado, el Carnívoro puede grabar cualquier tráfico que supervisa.
Por ejemplo, el carnívoro puede en las actividades de contador-cyber-terrorismo autorizadas judiciales, examina un subconjunto de tráfico de la red para los cordones específicos o accede por o a los sitios específicos. Esta capacidad es necesaria coleccionar datos corte-pedidos transmitidos con protocolos del nonstandard dónde los límites del mensaje no ocurren a los límites del paquete, como Hotmail.
Propiamente configurado, el Carnívoro examina el tráfico y determina qué pedazos se permiten por sus escenas del filtro.

No aumenta ningún datos de otra manera que eso que los pasos sus filtros

Restringe los datos disponible al FBI a los tipos específicos de o a los usuarios específicos

Sólo se usa cuando la aplicación garantiza que armará escándalo los paquetes de la gota y potencialmente extrañará el señal-apagado de una dirección de IP dinámicamente-asignada

La versión del carnívoro 1.3.4 pluma-trampa de las mezclas y la capacidad lleno-satisfecha en un dispositivo. A menos que correctamente configuró, el dispositivo puede encima de-coleccionar bajo un orden del pluma-trampa.
El carnívoro colecciona la correspondencia del e-mail más ordinaria. Por ejemplo, por completo modo de la colección que puede grabar que las transacciones cualquier ocurren a través de TCP, UDP, y protocolos de ICMP incluso HTTP, FTP, SMTP, POP3, el Correo del Intercambio, que IMAP, CCmail, expresan encima de IP, y vertiendo los medios de comunicación. El E-comercio las comunicaciones pago-relacionadas, sin embargo, usan la Capa de los Enchufes Segura típicamente (SSL), qué no es los decrypted por el Carnívoro.
El carnívoro no viene cerca de tener bastante poder "para espiar en casi todos con una cuenta del e-mail". para trabajar él eficazmente la mayoría de paquetes que supervisa debe rechazar. También supervisa sólo los paquetes que cruzan el alambre a que se conecta. Típicamente, este alambre es un manejo de segmento de red sólo un subconjunto del tráfico de un ISP particular.
4.2.4 RESPONSABILIDAD
IITRI no encontró los comestibleses adecuados por intervenir el uso de Carnívoro. La versión del Carnívoro 1.3.4 computadora de la colección siempre es anotada en como el "Administrador" en lugar de usando al usuario individual IDs. El PCAnywhere el software de acceso remoto, mientras usando el único login IDs, no proporcione la auditoría en una base individual. Como nombrado en párrafo 3.4.4, la contraseña al menú avanzado es incluido en el Carnívoro el software ejecutable. Por consiguiente, no es posible determinar quién, entre un grupo de agentes con la contraseña, puede haber puesto o puede haber cambiado las escenas del filtro. De hecho, cualquier acción tomada por el sistema del Carnívoro que ha sabido la contraseña del Administrador podría dirigirse por cualquiera. Es imposible de rastrear las acciones a los individuos específicos. Intervenir es crucial en la seguridad. Es los medios por que se sostienen los usuarios responsable para sus acciones.
4.2.5 INTEGRIDAD
El carnívoro versión 1.3.4 tiene las deficiencias significantes en protección para la integridad de la información colecciona. Información recogida por el Carnívoro puede perderse o puede adulterarse por el ataque físico, bichos del software, o fracaso de poder. También, la relación entre las escenas de filtro de Carnívoro, los datos reunido, y otras actividades investigadoras pueden ser difíciles establecer. Estas deficiencias hacen el Carnívoro menos eficaz como una herramienta investigadora.
Falte de mando físico de la computadora de colección de Carnívoro engendra algún riesgo de compromiso por el personal de ISP poco fiable. Una vez los técnicos de FBI han instalado Carnívoro que está bajo el mando del ISP. Aunque la computadora de la colección se sale sin un amonestador, teclado, o ratón, los puertos normalmente no se cubren o se desactivan y nada impide a alguien al ISP conectar esos periféricos. Esa persona podría mirar mientras un usos de agente de caso remoto dial-en el acceso transmitir los datos y aprender bastante para ganar mando de la computadora de la colección. Para fechar, el FBI ha confiado en la seguridad física existiendo mide a las instalaciones de ISP confiadas.
FBI labra con herramienta para ver, analiza, y minimiza el rendimiento del Carnívoro crudo contenga varias debilidades materiales. Estas herramientas incluyen Packeteer, reconstruir las sesiones protocolares más altas de los paquetes de IP, y CoolMiner, desplegar los resultados. No son acostumbrados ni Packeteer " ni CoolMiner a limitar los datos coleccionados del blanco, aunque ellos se usan por agentes del caso para el minimización extenso. Durante probar, IITRI encontró varios bichos en las interfaces entre el Carnívoro, Packeteer, y CoolMiner. Éstos incluyen

El tiempo estampa para los paquetes reunido desplegados por CoolMiner no empareje lo que se esperó. Mientras originalmente pensó ser un CoolMiner software bicho, el FBI proporcionó un parche al programa del Carnívoro que arregló este problema.
Estaban desplegándose algunos casos de colección de SMTP válida como los datos del ESTALLIDO. Este bicho del software fue determinado para ser un problema con la manera que Packeteer procesó los datos. Los datos coleccionados por el Carnívoro eran correctos.
A partir de la fecha de este informe, este bicho no ha sido todavía fijo. El carnívoro no recupera de forma consistente de los fracasos de poder. IITRI notó dos problemas. Primero, debido a los manera Carnívoro pulidores datos en los bloques antes de realmente escribir al disco, cualquier fracaso de poder garantiza la pérdida de entre 0 y bytes del max_block_size de ya datos reunido. Esta pérdida está además de cualquier datos extrañado mientras el poder está apagado. Como notado antes, el max_block_size para el disco fijo es 128 kbytes y para los discos trasladables es 64 kbytes. Segundo, hay una condición de la raza que previene el programa del Carnívoro, como él está poniendo en marcha, de acceder la interface de Ethernet fiablemente. Cuando este fracaso ocurre, y el programa del Carnívoro había estado coleccionando antes (antes del fracaso de poder), no puede empezar coleccionando de nuevo automáticamente. Alguien debe acceder el sistema por mano para empezar la colección.
En el Carnívoro versión 1.3.4, como evaluado, no es posible mostrar qué escenas definitivamente fue usado para coleccionar cualquier juego dado de datos. Aunque se guardan los parámetros para la colección en el mismo directorio como los datos reunido, ellos están en un archivo separado y el único eslabón entre los archivos es implícito por los nombres del archivo. Deba se separan los archivos, puede ser difícil demostrar se usaron qué escenas y qué software realmente para coleccionar los datos.
No hay ninguna sincronización de tiempo dentro del Carnívoro. Las estampas de tiempo son dependientes en la escena correcta del reloj de la computadora de la colección y su funcionamiento correcto continuado. Mientras esta deficiencia no puede parecer ser los dispositivos del Carnívoro importantes, múltiples podría usarse en una investigación o podría ser necesario poner en correlación la colección del Carnívoro con otra evidencia colateral. En ese caso, es importante a nota que el tiempo estampa del Carnívoro sólo es tan bueno como la fuente original para el tiempo y la exactitud de la computadora de la colección.
Mientras Windows NT y la manera su trabajo de sistemas de archivo no fue evaluado, otros factores podrían afectar la integridad de los datos. Por ejemplo, desde que hay ningún checksums u otros protections en los datos reunido archiva y ninguna responsabilidad individual, cualquiera podría revisar los datos reunido. Desde todos los usuarios todo el leño en como Administrador, la evidencia de los archivos cambiados podría borrarse.
4.2.6 AMBIENTE DE DESARROLLO DE CARNÍVORO
Ningún proceso de desarrollo formal se usó para el Carnívoro a través de versión 1.3.4. Por consiguiente, problemas técnicos como la exactitud del software, no se dirigieron bien robustez del sistema, interfaces del usuario, auditoría, y responsabilidad y seguridad. Mientras esta falta de un proceso de desarrollo formal podría haber sido aceptable para un "la prueba de concepto" la demostración, no es apropiado para un sistema operacional. Deben desarrollarse los sistemas operacionales con el trazado riguroso de requisitos a través del plan, desarrollo y comprobación, dirección de la configuración fuerte y visión de dirección buena en el proceso de desarrollo. Un proceso de desarrollo más formal se ha establecido para el Carnívoro versión 2.0, pero IITRI no ha evaluado la efectividad del nuevo proceso.
4.2.7 PREOCUPACIONES MISCELÁNEAS
El propósito para la evaluación independiente de Carnívoro incluye varios preocupaciones sobre el efecto en el retiro de individuos que no son el blanco de vigilancia corte-pedida. Examinando esas preocupaciones, IITRI concluye ese Carnívoro que versión 1.3.4 no hace

Lea mensajes del e-mail todo entrantes y salientes, incluso el remitente, destinatarios, asunto del mensaje y cuerpo. Sólo guarda los paquetes para el análisis más tarde después de que ellos se unen positivamente por las escenas del filtro a un blanco
Supervise el tejido-surf y transmitiendo hábitos de los clientes de todo el ISP, incluso las búsquedas de tejido para información o las personas. Sólo puede grabar para evaluación más tarde que algunos archivos de IITRI recuperaron por un blanco
Amonestador o leyó toda la otra actividad electrónica para ese ISP, incluso los mensajes instante (como con ICQ), traslados del archivo persona a persona, el tejido publicando, FTP, Telnet, el newsgroups, las compras en línea, y nada más que se derrota a través de ese ISP. Puede grabar que sólo un subconjunto de cosas así archiva para un usuario específico
Además, IITRI notó la preocupación pública que el FBI y DoJ puede usar el Carnívoro para los propósitos de otra manera que la vigilancia. Basado en la evaluación de la arquitectura y aplicación, y las capacidades del software del Carnívoro, IITRI concluye ese Carnívoro que versión 1.3.4 no puede

Altere o quite los paquetes de la red o introduzca los nuevos paquetes
Bloquee cualquier tráfico en la red
Quite imágenes, las condiciones, etc. de las comunicaciones
Asga mando de cualquier porción de tráfico de Internet
Cierre o cierre fuera de las comunicaciones de cualquier persona, sitio de tejido, compañía, o ISP
Cierre fuera de las cuentas, ISPs, etc. a "contenga" una investigación
4.2.8 DESCARGO DE CARNÍVORO
El FBI tiene las razones legítimas para oponer descargo público de Carnívoro versión 1.3.4. El FBI se restringe, por la licencia, de soltar el código comercial que forma la base de la herramienta. Además, la versión actual tiene limitaciones técnicas que podrían explotarse para derrotar la vigilancia si ellos fueron revelados.
La ley constitucional y estatutaria federal reconoce la necesidad de proteger fuentes de entrada en vigor de ley y métodos. FOIA contiene una exención explícita para información que descubriría técnicas de entrada en vigor de ley confidenciales o compromiso las investigaciones delictivas continuadas. Las limitaciones técnicas específicas de Carnívoro, IITRI cree, se cae dentro de estos protections y se lista debajo. El carnívoro

Puede oponerse a con simple, el encryption del público-dominio.
No pueda coleccionar eficazmente que POP3 mandan electrónicamente los mensajes en el modo de la pluma. Tiene capacidad insuficiente de separar permitida contra la información prohibida de los mensajes. Él por consiguiente, no colecciona nada. Durante probar, IITRI determinó que para la colección de modo de pluma de e-mail del ESTALLIDO, la única información coleccionada era los mensajes de mando de ESTALLIDO. Todos que podrían verse eran que el usuario designado había autenticado al Servidor del ESTALLIDO en un momento dado y que se recuperaron los mensajes. Ningún A o DE la información era reunido.
No pueda manejar el nonstandard las aplicaciones protocolares. Las aplicaciones de Nonstandard pueden producir el encima de-colección potencial y, típicamente, la colección se termina. Por ejemplo, cuando los apuros han sido hecho ocuparse de pipelined mande electrónicamente las transmisiones, ellos podrían abrir los mecanismos adicionales para derrotar el Carnívoro, si reveló. Probando contra la aplicación del nonstandard es sumamente difícil.
Tiene una habilidad limitada de procesar las Internet e-mail cuentas. La aplicación actual requiere conocimiento explícito del formato del proveedor leño-en los mensajes.
No pueda coleccionar en los ambientes de alto-tráfico. Clientes de cierto ISPs están eficazmente más allá del alcance. El FBI ha encontrado que al coleccionar un flujo firme de paquetes, el Carnívoro puede manejar a a 60 Mbps sin dejar caer los paquetes si escribiendo sus datos reunido a un disco duro de velocidad alto. Si escribiendo al disco del Jazz, la proporción deja caer a 15 Mbps, y si escribiendo a un disco del Silbido, la proporción deja caer a 5 Mbps. (Proporciones proporcionadas por el FBI; no verificado a través de probar.)
Los usos apoyan herramientas que tienen las limitaciones adicionales. Packeteer no puede reconstruir todos los protocolos TCP-basado y CoolMiner no informa cierto presente de información en el rendimiento de Packeteer. IITRI también encontró situaciones en que el rendimiento de CoolMiner no reflejó el rendimiento de Carnívoro.
4.3 PREGUNTAS DE DOJ
Las conclusiones generales de IITRI se dirigen las preocupaciones para el retiro. Estos párrafos se dirigen las preguntas específicas del DoJ sobre el Carnívoro. Se proporcionan las conclusiones de IITRI en los párrafos siguientes.
4.3.1 DOJ QUESTION 1
La pregunta. ¿El Carnívoro les proporciona todos a investigadores, pero sólo, la información se diseña y puso para proporcionar de acuerdo con un orden judicial dado?
La respuesta. Cuando Carnívoro que versión 1.3.4 se usa correctamente bajo un Título III orden, proporciona a investigadores sin más información que se permite por un orden judicial dado. En algunos casos les proporciona menos información que ellos a investigadores debido a las limitaciones de la actuación, se permite coleccionar. En el modo de la pluma, crea los archivos con toda seguridad protocolos del e-mail que pueden analizarse para determinar más simple A y DE los Detalles de información de nuestras conclusiones sobre la colección se proporciona en párrafo 4.2.3.
IITRI observó el entrenamiento completo y programas de vigilancia usados por el FBI para asegurar que agentes entienden las limitaciones en la información que ellos pueden obtener bajo un orden judicial, los medios técnicos para coleccionar la tal información, y las consecuencias de encima de - o bajo-colección. El examen de código encontró ninguna capacidad oculta que permitiría el Carnívoro para coleccionar la información sin el conocimiento de los agentes que lo usan.
4.3.2 DOJ QUESTION 2
La pregunta. ¿El Carnívoro introduce algún nuevo, material riesgo de operacional o deterioro de seguridad de la red de un ISP?
La respuesta. El Carnívoro operando versión 1.3.4 introduce ningún operacional o la seguridad se arriesga al ISP dónde se instala. Esta conclusión se apoya por la evaluación de la arquitectura de IITRI y discusiones con ISPs.
El carnívoro ata a la red de ISP usando un leer-sólo palmadita. Esta palmadita introduce, el más a lo sumo un retraso de tiempo de 1-pedazo--lejos menos de más equipo de la red normal. Las discusiones con representantes de ISP confirmados que el leer-sólo palmadita es empleado para la instalación del campo y el FBI toma los pasos razonables para minimizar la interferencia con los funcionamientos de ISP. Porque leer-sólo es y no puede introducir el tráfico, el Carnívoro no puede poner una carga adicional en la red de ISP, ni puede alterar o por otra parte los funcionamientos de compromiso.
Las situaciones pueden levantarse en que él ISP se pide hacer los cambios a su funcionamiento acomodar la vigilancia corte-pedida. Un cambio a los funcionamientos lleva algún riesgo y debe aproximarse y llevó a cabo con el cuatela debido.
El eslabón del telemando (vea párrafo 3.4.3) establezca un camino a la computadora de colección de Carnívoro dentro de la facilidad segura del ISP. IITRI encontró: (1) el eslabón no proporciona el acceso al equipo de ISP; (2) el eslabón es adecuadamente protegido del uso desautorizado; y (3) el eslabón no puede usarse para ya no acceder información guardada en el Carnívoro.
4.3.3 DOJ QUESTION 3
La pregunta. Hace el riesgo del Carnívoro la adquisición desautorizado, si intencional o involuntario, de información de comunicación electrónica por: ¿(1) personal de FBI o (2) las personas de otra manera que el personal de FBI?
La respuesta. Carnívoro que versión 1.3.4 presenta a algún riesgo de adquisición desautorizado intencional y " involuntaria de información de comunicación electrónica por el personal de FBI, pero introduce riesgo adicional pequeño de adquisición por las personas de otra manera que el personal de FBI. Porque el personal de FBI debe seleccionar las escenas apropiadas para el Carnívoro obedecer el orden judicial, hay siempre la posibilidad de error. La oportunidad de un error especificando las escenas del Carnívoro es baja debido al número grande de individuos involucrado ideando el orden judicial y determinando la viabilidad de su aplicación por el Carnívoro. Hay, sin embargo, la posibilidad de error involuntario; por ejemplo, pulsando el botón el botón de la radio para la colección llena cuando el operador quiso pulsar el botón el botón de la radio al lado de él para la colección del pluma-trampa. No hay ningún mecanismo por descubrir o minimizar la probabilidad de semejante error del arreglo involuntario.
Las violaciones intencionales de limitaciones corte-prescritas, o de procedimientos de FBI, probablemente será descubierto a través de la vigilancia judicial y vigilancia de FBI. Evaluación del riesgo de violación intencional no detectada de limitaciones corte-prescritas o de procedimientos de FBI está más allá del alcance de este informe.
El riesgo que las personas de otra manera que el FBI tendrían el acceso a los datos reunido es muy pequeño. Este acceso está limitado por ambos los dispositivos de la autenticación electrónicos en la línea telefónica remota y usuario-nombre usando y autenticación de la contraseña dentro del programa de acceso remoto. El personal de ISP puede ganar el acceso posiblemente a los datos, pero ellos ya tienen el acceso en virtud de tener el acceso a su propia red.
4.3.4 DOJ QUESTION 4
La pregunta. ¿El Carnívoro proporciona protections, incluso las funciones de la auditoría y procedimientos operacionales o prácticas, correspondiente con el nivel de los riesgos?
La respuesta. Mientras procedimientos operacionales o prácticas parecen legítimas, el Carnívoro versión 1.3.4 no proporciona protections, sobre todo las funciones de la auditoría, correspondiente con el nivel de los riesgos. Se presentan detalles de estos riesgos en párrafos 4.2.4, Responsabilidad, y 4.2.5, la Integridad.

[Pages A-1 to A-4 (sic).]
SECTION 5
RECOMMENDATIONS

Although IITRI specifically excluded questions of constitutionality and of illegal activity by the FBI from this evaluation, IITRI is concerned that the presence of Carnivore and its successors without safeguards as recommended below: (1) fuels the concerns of responsible privacy advocates and reduces the expectations of privacy by citizens at large and (2) increases public concern about the potential unauthorized activity of law enforcement agents. To reduce these concerns, IITRI makes the recommendations in the following paragraphs to add protections that are commensurate with the level of risks inherent in deploying a system such as Carnivore.
5.1 RECOMMENDATION 1

Continue to use Carnivore rather than less-precise, publicly available sniffer software, such as EtherPeek, when precise collection is required and Carnivore can be configured to reflect the limitations of a court order.

Rationale: Carnivore is sniffer software with limitations in the form of filters, which block Carnivore from capturing all the packets that would be captured by generic sniffer software. Accordingly, the use of Carnivore by the FBI presents less of a threat to privacy interests than using generic sniffer software. IITRI determined that Carnivore, when properly configured under a Title III order, does not over-collect. Accordingly, in the Title III context, continued use of Carnivore instead of publicly-available sniffer software is clearly appropriate.

Using ISP resources to accomplish surveillance is a preferred option by the FBI. However, IITRI verified through analysis, experiment, and interviews with ISPs that Carnivore can perform precision surveillance that cannot be duplicated by the ISP without Carnivore.
5.2 RECOMMENDATION 2

Provide separate versions of Carnivore for pen register and full content collection.

Rationale: IITRI determined that Carnivore over-collects in the pen-trap mode because it indicates the length of fields other than the TO and FROM fields, even though it does not collect the content of those fields. Moreover, placement of pen mode buttons next to full mode buttons on the Carnivore setup screen leaves open the possibility of accidental configuration of Carnivore to collect in the full mode when only pen mode collection has been authorized. The best way to eliminate these risks is to have two separate versions of the Carnivore software -- one for full mode collection and another for pen mode collection -- and to make changes in the pen mode software. The current practice of collecting all the packets related to an e-mail message and then writing Xs in fields other than the FROM and TO fields is undesirable because it reveals the length of those fields. The pen mode software should be rewritten to capture only the SMTP packets containing the MAIL FROM and RCPT TO instructions, ignoring packets between the DATA and QUIT instructions; it should capture only portions of POP packets following a RETR instruction, parsed to include only the text following the keywords, "FROM," "SENDER," and "ORIG-DATE." Extracting the destination or addressee from the message is unnecessary because all messages retrieved through POP are to the same person. Similar modifications in the pen mode software are appropriate to cover other e-mail protocols such as Exchange and CCmail.
5.3 RECOMMENDATION 3

Provide individual accountability for all Carnivore actions. Each setting, start, stop, or retrieval should be traceable to a specific agent. If necessary, alter the software architecture to take advantage of security features in the operating system.

Rationale: Any system that does not provide for individual accountability is not secure. Given that chain-of-custody for the collected evidence is important, it should be important to know who set up the collection and when it was set up, who started the collection and when it was started, who downloaded the data and when it was downloaded, etc.

The biggest obstacle to retrofitting Carnivore version 1.3.4 to provide for individual accountability is that the Carnivore software is implemented as an application, rather than as a service controlled by an application GUI. An example of a program implemented in the latter fashion is PCAnywhere. Because Carnivore is written as an application rather than a service, it cannot be run as a "background" job. This implementation is why the Carnivore computer must be logged in as "Administrator" at all times.

If Carnivore were rewritten so that the collection software ran as a service, it could be started automatically each time the machine was rebooted, just like PCAnywhere. The GUI could be started by anyone that logs in to the machine. Each user could have a separate user ID and, thus, the Windows NT event logs could be used to provide a level of accountability.

To access the advanced features which allow collection parameters to be set, a user ID should be required in addition to a password. The application should use the Windows NT authentication mechanisms so that a password does not need to be compiled into the code.

The Carnivore system should maintain its own audit trail in addition to the Windows NT event logs. Every time collection is started or stopped, a record should be written to a log that records who performed the action and when it was performed. This log should be part of the collected data file. Each file of collection parameters that is created should also contain a log of who created or edited it, and when.
5.4 RECOMMENDATION 4

Enhance physical control of Carnivore when it is deployed.

Rationale: The lack of physical control of the Carnivore computer could be a problem with regard to chain-of-custody for the data collected. A more tamper-resistant or tamper-evident container would be appropriate. At the very least, tamper seals should be placed over the edges of the box and on the connectors for the keyboard, monitor, and mouse. Then, if the ISP attempts to connect its own peripherals, the seals will be broken, showing evidence of tampering.

PCAnywhere should have control over keyboard and mouse defaults to the remote computer. As given to IITRI, control was shared by the local and the remote computers.
5.5 RECOMMENDATION 5

Explicitly bind collected data to the collection configuration by recording the filter settings with each collected file and add a CRC to the recorded file (IITRI understands this capability is being added in Carnivore 2.0). A log of the filter settings used for a given collection should be explicitly bound to each data file collected using that filter set. (IITRI understands this capability is being added in Carnivore 2.0),

Rationale: The collection parameters should be maintained in the same file as the collected data. The file of collected data should be protected by a CRC to provide a higher level of confidence that nothing in the collected data or parameters has been changed. This protection would also make forgery of that data significantly more difficult. If possible, the CRC should be cryptographically based. That is, once the CRC has been computed, it should be encrypted. The cryptovariable (sometimes referred to as a "key") used for the encryption should be different for each Carnivore collection case. Without knowing the cryptovariable, it would be mathematically infeasible for someone to forge a collected dataset.
5.6 RECOMMENDATION 6

Employ a formal development process.

Rationale: Using a formal development process is known to reduce the probability of software errors. This process should include automated requirements tracking, configuration management and independent verification and validation. (IITRI was told that Carnivore is now being developed in such an environment).
5.7 RECOMMENDATION 7

Provide checks in the user interface software to ensure that settings are reasonable and consistent.

Rationale: In the current Carnivore software, it is possible to select filter settings that may not be appropriate or even technically feasible, for example, full TCP collection without any other filters. This selection would collect all information that is available on the local area network. Specifically, prevent filter settings from being used in which no explicit filtering parameters are provided, i.e., require one or more of IP address or range, port numbers, e-mail address, or text string. (IITRI understands that such checks are planned for future versions.)

The GUI should not include features, such as the startup IP address, which are not actually implemented in the system. These features could cause confusion when the device is set up. Similarly, since the text search box is ignored when SMTP or POP collection for a specific user is enabled, the text search box should be "grayed-out" to prevent confusion whenever a specific SMTP or POP e-mail address is entered.
5.8 RECOMMENDATION 8

Work toward public release of Carnivore source code by eliminating exploitable weaknesses. Until that can be done, continue independent evaluation of each Carnivore version to assess effectiveness and risks of over- and under-collection.

Rationale: Whether Carnivore source code should be publicly released is a difficult question to answer. Major parts of the computer science community favor public release of encryption algorithms and code to permit the widest possible scrutiny of possible "holes" in the security provided. On the other hand, sources and methods for criminal surveillance and foreign intelligence collection traditionally have not been disclosed. Revealing a hole in encryption security does not provide all those wishing to defeat the encryption with keys; revealing limitations of surveillance software provides those wishing to evade surveillance with the keys to do so. Nevertheless, the public, service providers and privacy advocates believe they understand how telephone wiretap technology works; they do not understand how electronic surveillance works. Unwarranted concerns about the risks of electronic surveillance could be reduced by more complete information about the software tools used for this type of surveillance. That information could be provided either by releasing software code or by continuing the practice of commissioning independent assessments of the effectiveness and risks of particular tools.
5.9 RECOMMENDATION 9

Once Packeteer and CoolMiner have had all the software bugs fixed, those tools should be offered to the defense in any criminal case in which Carnivore data is used.

Rationale: This offering would help to alleviate negative publicity regarding the DragonWare suite of tools and leave the focus on the Carnivore device itself since that is where the court order is implemented and collection takes place. The Packeteer and Coolminer programs are only for data analysis.

[Pages A-1 to A-2.]
APPENDIX A
TELEPHONE EAVESDROPPING AS A REFERENCE POINT

Since 1968, federal law has explicitly authorized telephone wiretaps and pen-trap surveillance under judicial supervision. In evaluating concerns about the use of Carnivore, it is appropriate to use telephone surveillance as a reference point.
A.1 MINIMIZATION

When a court authorizes a telephone wiretap under Title III, the telephone service provider is obligated to afford law enforcement authorities access to that part of the public switched telephone network (PSTN) containing targeted conversations. Typically, the law enforcement authorities then install monitoring equipment through which law enforcement agents listen to conversations while recording them. Minimization obligations are satisfied by turning off the equipment when content outside the scope of the Title III order is heard, turning the equipment back on periodically to determine if content within the scope of the order is occurring. The efficacy of minimization thus depends upon the judgment of the human listener.
A.2 PEN REGISTER AND TRAP AND TRACE SURVEILLANCE

A pen register device records the telephone numbers on outgoing calls from a targeted telephone subscriber. A trap and trace device records the telephone numbers of incoming calls to a targeted telephone subscriber. The two forms of surveillance often are used together, in which case they are informally referred to as pen-trap surveillance.

Older analog telephone technologies carried signaling data on the same channel that carried the conversation. The signaling data pertinent to pen-trap surveillance comprised dial pulses or tones. Pen register devices for this older technology detect only the pulses or tones and record them. The devices are incapable of "understanding" the conversations. Thus, even though the signaling data and the content is present on the same channel, the monitoring devices are capable of detecting and recording only the signaling data.

Trap and trace monitoring with older technologies required human intervention to trace the channel for a particular call back through the telephone switching equipment to its origin.

Newer digital switching technologies employ out-of-band signaling, meaning that the signaling data necessary to set up a telephone call is carried on a different channel from the conversation itself, after it reaches the switching office nearest the calling subscriber. With these newer technologies, both pen register and trap and trace monitoring occur only on the signaling channel and not on the channel carrying the conversation. Monitoring on this separate signaling channel reinforces the impossibility of the monitoring equipment acquiring the contents of the conversation.

The newer technologies also make it easier to conduct trap and trace surveillance because the signaling channel carries data about the origin of each call, eliminating the necessity for manual tracing of circuits to determine call origin.

Any surveillance of electronic data communication confronts two fundamentally different realities. First, with the exception of FTP file transfer, data used for addressing -- analogous to call set-up information in the voice telephone system -- is part of the same data packets used to communicate content. Thus, all communication set-up information is inherently in-band. Second, both the communication set-up data and the content is digital in form, permitting machine processing of both content and set-up data.

Data packets can be processed by computers only because the information in the data packet is formatted according to standards or protocols. This formatting permits a processing computer to distinguish the communication set-up data; for example, the destination IP address, TCP port, or TCP session number or e-mail destination address from the content of the message. If a monitoring device is properly programmed, it can acquire only the set-up data and discard everything else in a packet. On the other hand, if it acquires entire packets, it acquires content as well as set-up information.

These basic differences between data and voice technologies give rise to concerns that any electronic data monitoring under the authority of a pen-trap order is likely to exceed the intended scope of the pen-trap statutes, which have a much lower legal threshold for monitoring than Title III.

.SECCIÓN 5
LAS RECOMENDACIONES

Aunque IITRI excluyó preguntas de constitucionalidad específicamente y de actividad ilegal por el FBI de esta evaluación, IITRI está interesado que la presencia de Carnívoro y sus sucesores sin los resguardos como recomendado debajo: (1) los combustibles las preocupaciones de abogados del retiro responsables y reduce las expectativas de retiro por los ciudadanos a grande y (2) los aumentos la preocupación pública sobre la actividad desautorizado potencial de agentes de entrada en vigor de ley. Para reducir estas preocupaciones, IITRI hace las recomendaciones en los párrafos siguientes agregar protections que es correspondiente con el nivel de riesgos inherente desplegando un sistema como el Carnívoro.
5.1 RECOMENDACIÓN 1
Continúe usando el Carnívoro en lugar del software del olfateador menos-preciso, públicamente disponible, como EtherPeek, cuando la colección precisa se requiere y el Carnívoro puede configurarse para reflejar las limitaciones de un orden judicial.
La razón: El carnívoro es el software del olfateador con las limitaciones en la forma de filtros que bloquean el Carnívoro de capturar todos los paquetes que se capturarían por el software del olfateador genérico. De acuerdo con, el uso de Carnívoro por el FBI presenta menos de una amenaza al retiro interesa que usando el software del olfateador genérico. IITRI determinó ese Carnívoro, cuando propiamente configuró bajo un Título III orden, no encima de-coleccione. De acuerdo con, en el Título III contexto, el uso continuado de Carnívoro en lugar del software del olfateador públicamente-disponible es claramente apropiado.
Los recursos de ISP usando para lograr la vigilancia son una opción preferida por el FBI. Sin embargo, IITRI verificó a través del análisis, experimento, y entrevistas con ISPs que el Carnívoro puede realizar vigilancia de precisión que no puede reproducirse por el ISP sin el Carnívoro.
5.2 RECOMENDACIÓN 2
Mantenga versiones separadas de Carnívoro el registro de la pluma y la colección satisfecha llena.
La razón: IITRI determinó ese Carnívoro encima de-colecciona en el modo del pluma-trampa porque indica la longitud de campos de otra manera que el A y DE los campos, aunque no colecciona el volumen de esos campos. Es más, la colocación de modo de la pluma abrocha al lado de los botones del modo llenos en la pantalla de arreglo de Carnívoro que sale abierto la posibilidad de configuración accidental de Carnívoro de coleccionar en el modo lleno cuando sólo colección de modo de pluma ha sido autorizada. La manera mejor de eliminar estos riesgos es tener dos versiones separadas del software del Carnívoro--uno para la colección del modo llena y otra para la colección de modo de pluma--y para hacer los cambios en el software de modo de pluma. La práctica actual de coleccionar todos los paquetes relacionó a un mensaje del e-mail y Xs entonces escribiendo en los campos de otra manera que el DE y A los campos es indeseable porque revela la longitud de esos campos. El software de modo de pluma debe volverse a escribir para capturar sólo los paquetes de SMTP que contienen el CORREO DE y RCPT A las instrucciones, ignorando los paquetes entre los DATOS y las instrucciones LIBRES; sólo debe capturar divide de paquetes del ESTALLIDO que siguen una instrucción de RETR, analizados para incluir sólo el texto que sigue las palabras claves, "DE," "el REMITENTE," y "ORIG-FECHA". Extrayendo el destino o destinatario del mensaje es innecesario porque todos los mensajes recuperaron a través del ESTALLIDO es a la misma persona. Las modificaciones similares en el software de modo de pluma son apropiadas cubrir otros protocolos del e-mail como el Intercambio y CCmail.
5.3 RECOMENDACIÓN 3
Mantenga la responsabilidad individual todas las acciones del Carnívoro. Cada escena, salida, parada, o recuperación deben ser identificables a un agente específico. Si necesario, altere la arquitectura del software para aprovecharse de rasgos de seguridad en el sistema operativo.
La razón: Cualquier sistema que no mantiene la responsabilidad individual no está seguro. Dado ese cadena-de-custodia para la evidencia reunido es importante, debe ser importante saber quién preparó la colección y cuando era fijo a, quién empezó la colección y cuando fue empezado, quién transmitió los datos y cuando fue transmitido, etc.
El obstáculo más grande al Carnívoro del retrofitting versión 1.3.4 para mantener la responsabilidad individual es que el software del Carnívoro se lleva a cabo como una aplicación, en lugar de cuando un servicio controló por una aplicación GUI. Un ejemplo de un programa llevado a cabo en la última moda es PCAnywhere. Porque el Carnívoro es escrito como una aplicación en lugar de un servicio, no puede correrse como un "fondo" el trabajo. Esta aplicación es por qué la computadora del Carnívoro debe anotarse en todo momento en como "Administrador."
Si el Carnívoro fuera vuelto a escribir que para que el software de la colección corriera como un servicio, podría empezarse cada tiempo automáticamente la máquina era el rebooted, sólo como PCAnywhere. El GUI podría empezarse por cualquiera que los leños en a la máquina. Cada usuario podría tener un usuario separado ID y, así, el Windows podrían usarse los NT evento leños para proporcionar un nivel de responsabilidad.
Acceder los rasgos avanzados que permiten poner los parámetros de la colección, un usuario que ID debe requerirse además de una contraseña. La aplicación debe usar el Windows los NT autenticación mecanismos para que una contraseña no necesite ser compilada en el código.
El sistema del Carnívoro debe mantener su propio sendero de la auditoría además del Windows los NT evento leños. Cada colección de tiempo se empieza o se detiene, un registro debe escribirse a un leño que archivos que realizaron la acción y cuando fue realizado. Este leño debe ser parte del archivo de los datos reunido. Cada archivo de parámetros de la colección que se crean también debe contener un leño de quién creó o lo revisó, y cuando.
5.4 RECOMENDACIÓN 4
Refuerce mando físico de Carnívoro cuando se despliega.
La razón: La falta de mando físico de la computadora del Carnívoro podría ser un problema con respecto al cadena-de-custodia para los datos coleccionados. Un recipiente más manosear-resistente o manosear-evidente sería apropiado. Al muy menor, manosee deben ponerse las focas encima de los bordes de la caja y en los conectores para el teclado, amonestador, y ratón. Entonces, si el ISP intenta conectar sus propios periféricos, las focas se romperán, mientras mostrando evidencia de manosear.
PCAnywhere debe tener el mando encima del teclado y el ratón tiene como valor predefinido a la computadora remota. Como dado a IITRI, el mando era compartido por el local y las computadoras remotas.
5.5 RECOMENDACIÓN 5
Explícitamente el lazo coleccionó los datos a la configuración de la colección grabando las escenas del filtro con cada archivo reunido y agrega un CRC al archivo grabado (IITRI entiende esta capacidad está agregándose en Carnívoro 2.0). UN leño de las escenas del filtro usado para una colección dada debe ligarse explícitamente a cada archivo de los datos coleccionó usando ese juego del filtro. (IITRI entiende esta capacidad está agregándose en Carnívoro 2.0),
La razón: Los parámetros de la colección deben mantenerse en el mismo archivo como los datos reunido. El archivo de datos reunido debe protegerse por un CRC para proporcionar un nivel más alto de confianza que nada en los datos reunido o se han cambiado los parámetros. Esta protección también haría falsificación de ese datos significativamente más difícil. Si posible, el CRC debe ser cryptographically basados. Es decir, una vez el CRC se ha computado, debe ser los encrypted. El cryptovariable (a veces llamado un "importante") usó para el encryption debe ser diferente para cada caso de colección de Carnívoro. Sin saber el cryptovariable, sería matemáticamente los infeasible para alguien forjar un dataset reunido.
5.6 RECOMENDACIÓN 6
Emplee un proceso de desarrollo formal.
La razón: Usando un proceso de desarrollo formal se conoce para reducir la probabilidad de errores del software. Este proceso debe incluir requisitos rastreando automatizado, dirección de la configuración y comprobación independiente y aprobación. (IITRI fue dicho que el Carnívoro está desarrollándose ahora en semejante ambiente).
5.7 RECOMENDACIÓN 7
Proporcione los cheques en el usuario que une el software para asegurar que las escenas son razonables y consistentes.
La razón: En el software del Carnívoro actual, es posible seleccionar escenas del filtro que no pueden ser apropiado o pueden igualar factible técnicamente, por ejemplo, colección de TCP llena sin cualquier otro filtro. Esta selección coleccionaría toda la información que está disponible en la red del área local. Específicamente, prevenga las escenas del filtro de usarse en que ningún parámetro de la filtración explícito se proporciona, es decir, requiera uno o más de dirección de IP o va, números del puerto, dirección del e-mail, o cordón del texto. (IITRI entiende que se planean los tales cheques para las versiones futuras.)
El GUI no debe incluir los rasgos, como el startup IP se dirigen que realmente no se lleva a cabo en el sistema. Estos rasgos podrían causar la confusión cuando el dispositivo es fijo a. Semejantemente, desde que la caja de búsqueda de texto se ignora que cuando SMTP o colección del ESTALLIDO para un usuario específico se habilitan, la caja de búsqueda de texto debe ser "encanecer-fuera" para prevenir la confusión siempre que un SMTP específico o en la dirección de e-mail de ESTALLIDO se entra.
5.8 RECOMENDACIÓN 8
Trabaje hacia el descargo público de código de fuente de Carnívoro eliminando las debilidades explotables. Hasta eso puede hacerse, continúe evaluación independiente de cada versión del Carnívoro para evaluar efectividad y riesgos de encima de - y bajo-colección.
La razón: Si el código de fuente de Carnívoro debe soltarse públicamente es una pregunta difícil para contestar. Las partes del comandante del favor de comunidad de informática el descargo público de algoritmos del encryption y codifica para permitir el posible escrutinio más ancho de posibles "agujeros" en la seguridad proporcionó. Por otro lado, no se han descubierto las fuentes y métodos para la vigilancia delictiva y la colección de inteligencia extranjera tradicionalmente. Revelando un agujero en la seguridad del encryption no proporciona todos aquéllos deseando derrotar el encryption con las llaves; las limitaciones revelando de software de vigilancia proporcionan aquéllos deseando evadir la vigilancia con las llaves para hacer para que. No obstante, el público, proveedores de servicio y abogados del retiro creen que ellos entienden cómo telefonea los trabajos de tecnología de wiretap; ellos no entienden cómo los trabajos de vigilancia electrónicos. Las preocupaciones injustificadas sobre los riesgos de vigilancia electrónica podrían ser reducidas por la información más completa sobre las herramientas del software usadas para este tipo de vigilancia. Esa información o podría proporcionarse soltando el código del software o continuando la práctica de comisionar valoraciones independientes de la efectividad y riesgos de herramientas particulares.
5.9 RECOMENDACIÓN 9
Una vez Packeteer y CoolMiner han tenido todos los bichos del software arreglados, esas herramientas deben ofrecerse a la defensa en cualquier caso delictivo en que el datos del Carnívoro se usa.
La razón: Esta ofrenda ayudaría aliviar la publicidad negativa con respecto a la colección de DragonWare de herramientas y dejar el enfoque en el propio dispositivo del Carnívoro desde que eso es donde el orden judicial se lleva a cabo y la colección tiene lugar. Los Packeteer y programas de Coolminer sólo son para el análisis de los datos.

[Las páginas UN-1 a UN-2.]
EL APÉNDICE UN
TELÉFONO QUE ESCUCHA DETRÁS DE LAS PUERTAS COMO UN PUNTO DE LA REFERENCIA

Desde 1968, la ley federal ha autorizado wiretaps del teléfono y vigilancia del pluma-trampa explícitamente bajo la vigilancia judicial. Evaluando las preocupaciones sobre el uso de Carnívoro, es apropiado usar la vigilancia del teléfono como un punto de la referencia.
EL MINIMIZACIÓN DE A.1
Cuando una corte autoriza un wiretap del teléfono bajo el Título III, el proveedor de servicio de teléfono se obliga permitirse el lujo de las autoridades de entrada en vigor de ley acceda a esa parte del público cambió la red del teléfono (PSTN) conteniendo las conversaciones del targeted. Típicamente, las autoridades de entrada en vigor de ley instalan supervisando equipo a través de que agentes de entrada en vigor de ley escuchan a las conversaciones entonces mientras grabándolos. Las obligaciones de minimización están satisfechas apagando el equipo cuando satisfecho fuera del alcance del Título III orden se oye, mientras retrocediendo el equipo periódicamente adelante determinar si satisfecho dentro del alcance del orden está ocurriendo. La eficacia de minimización depende así en el juicio del oyente humano.
A.2 PEN EL REGISTRO Y TRAMPA Y VIGILANCIA DEL RASTRO
Un dispositivo de registro de pluma graba que el teléfono numera en las llamadas salientes de un subscriptor de teléfono de targeted. Una trampa y el dispositivo del rastro graba el teléfono numera de llamadas entrantes a un subscriptor de teléfono de targeted. Se usan a menudo juntos las dos formas de vigilancia en que caso que ellos están informalmente llamado la vigilancia del pluma-trampa.
Las tecnologías del teléfono analógicas más viejas llevaron los datos de la señalización en el mismo cauce que llevó la conversación. Los datos de la señalización pertinente para pluma-entrampar vigilancia comprendida el dial pulsa o tonos. Los dispositivos de registro de pluma para esta tecnología más vieja descubren sólo los pulsos o tonos y los graban. Los dispositivos son incapaces de "entendiendo" las conversaciones. Así, aunque los datos de la señalización y el volumen está presente en el mismo cauce, los dispositivos supervisando son capaces de descubrir y grabar sólo los datos de la señalización.
La trampa y rastro que supervisan con las tecnologías más viejas exigieron a la intervención humana rastrear el cauce atrás para una llamada particular a través del teléfono que cambia el equipo a su origen.
Las más nuevas tecnologías cambiando digitales emplean la señalización del fuera-de-venda, mientras significando que los datos de la señalización necesario preparar una llamada telefónica se lleva en un cauce diferente de la propia conversación, después de que llega a la oficina cambiando más cercano el subscriptor de la profesión. Con estas más nuevas tecnologías, los dos el registro de la pluma y trampa y rastro supervisando sólo ocurren en el cauce de la señalización y no en el transporte del cauce la conversación. Supervisando en este refuerzos de cauce de señalización separados la imposibilidad del equipo supervisando que adquiere los volúmenes de la conversación.
Las más nuevas tecnologías también le hacen más fácil para dirigir trampa y vigilancia del rastro porque el cauce de la señalización lleva los datos sobre el origen de cada llamada, mientras eliminando la necesidad por el trazado del manual de circuitos determinar el origen de la llamada.
Cualquier vigilancia de comunicación de los datos electrónica confronta dos realidades fundamentalmente diferentes. Primero, con la excepción de FTP archivo traslado, los datos usaron por dirigirse--análogo para llamar la información de la estructuración en el sistema de teléfono de voz--es la parte de los mismos paquetes de los datos comunicaba el volumen. Así, toda la información de estructuración de comunicación es inherentemente el en-venda. Segundo, los datos de estructuración de comunicación y " el volumen es digital en la forma, mientras permitiendo proceso de la máquina de ambos satisfecho y datos de la estructuración.
Los paquetes de los datos sólo pueden ser procesados por las computadoras porque se estructura la información en el paquete de los datos según normas o protocolos. Este formato le permite a una computadora del proceso distinguir los datos de estructuración de comunicación; por ejemplo, el destino que IP se dirigen, TCP ponen a babor, o TCP sesión número o dirección de destino de e-mail del volumen del mensaje. Si un dispositivo supervisando se programa propiamente, puede adquirir sólo los datos de la estructuración y desecho todo lo demás en un paquete. Por otro lado, si adquiere los paquetes enteros, adquiere el volumen así como la información de la estructuración.
Estas diferencias básicas entre los datos y tecnologías de la voz dan lugar a las preocupaciones que es probable que cualquier datos electrónico que supervisa bajo la autoridad de un orden del pluma-trampa exceda el alcance intencional de los estatutos del pluma-trampa que tienen un muy más bajo umbral legal por supervisar que el Título III.

Buscando mi servidor en listas negras de SPAM

2008-08-08T11:39:00.003-03:00

Existen una variedad muy grande de herramientas web que me permiten buscar si me servidor se encuentra en una lista negra de SPAM o RBL.

Entre ellas, y hasta hace un par de dias, la que mas utilizaba era el Multi-RBL Check de la gente de Robtex. Muy util para cuando uno necesita buscar un solo servidor.

Pero hace unos días encontré a SenderBase de los muchachos de IronPort (que ahora los compro Cisco). Lo bueno que tiene esta herramienta es que nos permite revisar un rango de direcciones IP, uno le puede especificar red y mascara y el busca a todos los IP de ese rango generando una tablita muy linda con los resultados indicando cada uno de los host y en cuantas RBL se encuentran cada una.

Inclusive hasta podemos especificarle un dominio, y busca todos los servidores de ese domino, siendo esta ultima búsqueda bastante acertada, aunque no siempre del todo completa.

Pero lo bueno de SenderBase no termina ahi, sino que aparte de buscar los IP en listas RBL, también hace comprobaciones de los registros DNS, para ver si el nombre del servidor también verifica con la resolución inversa del IP (motivo por el cual algunos dominio también rechazan los correos).

Pero como si esto fuera poco... (y aca si que no se que tan confiable sea y hasta me da algo de miedito el pensar que son capaces de medir esto de manera exacta) los muchachos de SenderBase indican la cantidad de email enviados por cada uno de estos servidores, indicando promedio diario y el promedio mensual de correos. OK, lo hacen en base a un valor definido por ellos que representa a un valor % segun el total de email enviados en el mundo, y aunque al leer eso no suena como muy especifico no se porque de repente me acorde de "carnivoro" y del FBI :)

joke redes ??

2008-08-04T14:57:00.002-03:00

Telefonica, Telmex y como jugar a "brindar servicio"

2008-07-29T10:26:00.003-03:00

El problema de la competencia entre los grandes es cuando deja de haber competencia y se empiezan a repartir el mercado. Que es el caso de Telmex/Telefonica.

Hace unos días atrás charlando con gente de Telefónica me entere porque Telmex dejo de lado su "Gran desembarco" en la Argentina.

La "oferta" (por no decir amenaza) de Telefónica a Telmex fue que ellos iban a invertir u$d 2 en México por cada dolar invertido por parte de Telmex en Argentina.

O sea... vos te metes en mi mercado yo me meto en el tuyo....

Me puse a investigar un poco en Internet y encontré un par de artículos que hablan del tema, aunque despues de ver los articulos no me quedo claro quien tiro la primera piedra. Al parecer fue Telefónica la que intento desembarcar en México y por eso Telemex empezó su campaña en Argentina.

Pero en fin, hoy las aguas estan calmas, por lo que todo indica que llegaron a un acuerdo entre las partes, aunque muy problablemente solo se hayan repartido el mercado.

Lo bueno de todo esto, es que para Telefónica y Telemex el mercado Argentino es atractivo, la parte mala es que en ves de competir con un buen servicio, prefieren jugar a ver "quien la tiene mas grande" lo que a la larga (por no decir a la corta) termina en un mal servicio y en consecuencia los que perdemos somos nosotros....

Pero bueno, eso ya es historia conocida por todos. Aca les dejo referencia a los artículos que encontré.

http://www.blogtelecom.com/problemas-entre-telefonica-mexico-y-telmex/
http://www.adslfaqs.com.ar/telmex-mexico-debera-ceder-ante-telefonica/

Y todos tienen su blog

2008-07-23T12:01:00.002-03:00

Y ya son tres meses que cambie de trabajo. Al principio costo un poco, ya me había desacostumbrado a esto esto de tener jefe, procedimientos (definidos por otros :P) y que otros te definan las prioridades y las tareas, pero bien.. ya estamos bien instalados y trabajando.

Lo bueno y lo malo es que caí acá porque la empresa estaba retomando un proyecto olvidado y que esta reflotando y por el cual han pasado mucha gente y que muchos ya no están en el proyecto o en la empresa, y en el cual hay mucho por hacer.

Entre tantas cosas que encontré en este proyecto fue con varios script que nadie estaba muy seguro de que hacen, y varios sin usar. Entonces me puse a revisar cada uno de estos scripts para ver que hacían y si servían o no, y varios estaban "firmados" por sus autores, y lo bueno es que en muchos casos los que los hicieron tienen un blog, y en algunos casos hay comentarios sobre los scripts. Asi que ahí ando no solo revisando scripts... sino ahora también algunos blogs.

De entre los blogs rescato y resalto una de frase que me causo gracia al leerla por como simplificaba también mi nueva situación, y que por la fecha creería que fue posteada por un "antecesor" al dejar de trabajar en este proyecto.

New job, new problems, new hacks!

Y ya que estamos, y para no romper la cadena, vamos a tratar de ir comentando algunas de las tareas por estos lados asi queda algo documentado :)

Dos monitores es Linux

2008-07-19T15:05:00.003-03:00

Desde hace rato que le tenia ganas a la idea de tener dos monitores, y desde hace unos dias ya es una realidad, me compre dos monitores LCD de 17".

En si, hacerlos funcionar no fue gran problema, solo fue cuestion de poner en google "debian dos monitores" para encontrarme con un post del 2006 de un tal Alejandro donde salia bien explicado.

Lo unico que hay para agregar a eso, seria como hacer para reconocer cual es cada placa de vídeo. En mi caso tengo dos placas de video, las dos con chip nvidia, una Geforce 7300 y una FX 5200. Para poder reconocer las placas con el un simple "lspci" fue suficiente:

pvr@ml1:~$ lspci |egrep -i vga
01:00.0 VGA compatible controller: nVidia Corporation NV34 [GeForce FX 5200] (rev a1)
05:00.0 VGA compatible controller: nVidia Corporation GeForce 7300 GS (rev a1)

y despues de esto, para que nos quede la 7300 a la izquierda y la 5200 a la derecha, la configuraicion del xorg nos deberia queda algo asi:

# La GeForce 7300
Section "Device"
Identifier "tarjeta 1"
Driver "nvidia"
BusID "PCI:5:0:0"
Screen 0
EndSection

#La FX 5200
Section "Device"
Identifier "tarjeta 2"
Driver "nvidia"
BusID "PCI:1:0:0"
Option "NvAgp" "1"
Screen 1
EndSection

Section "Monitor"
Identifier "izquierda"
Option "DPMS"
EndSection

Section "Monitor"
Identifier "derecha"
Option "DPMS"
EndSection

Section "Screen"
Identifier "izquierda"
Device "tarjeta 1"
Monitor "izquierda"
DefaultDepth 24
SubSection "Display"
Depth 24
Modes "1280x1024" "1024x768" "800x600" "640x480"
EndSubSection
EndSection

Section "Screen"
Identifier "derecha"
Device "tarjeta 2"
Monitor "derecha"
DefaultDepth 24
SubSection "Display"
Depth 24
Modes "1280x1024" "1024x768" "800x600" "640x480"
EndSubSection
EndSection
Section "ServerLayout"
Identifier "Default Layout"
Option "Xinerama" "on"
Screen "derecha"
Screen "izquierda" RightOf "derecha"
Screen "derecha" LeftOf "izquierda"
Screen "izquierda"
InputDevice "Generic Keyboard"
InputDevice "Configured Mouse"
EndSection

Esto, sin contar las otras secciones, como la de InputDevice, Modules o Files.

Igual todavía quedan cosas por investigar, pero aproveche a registrar esto, ya que hace mucho que no publicaba nada.

AMD anuncia sus nuevos procesadores para servidores

2008-05-11T14:40:00.005-03:00

La semana pasada AMD anuncio el "mapa de ruta" de sus procesadores destinados para servidores. En el podemos ver los nuevos procesadores "Magny-Cours" y "Sao Pablo" de 12 y 6 nucleos respectivamente, y eliminando de la lista los procesadores de 8 núcleos que había anunciado a fines del 2007.

Cabe destacar que en esta nueva familia de procesadores, conocida como K8L, desde los Opteron Barcelona, vuelven a aparecer el Cache de nivel 3 (Cache L3) que habían aparecido en la serie de procesadores K6 pero dejado de usar en los K7 y primero K8. En toda la nueva serie de procesadores cada uno de los núcleos poseen su propia memoria cache L1 y L2 y todos los nueclos comparten la de nivel 3.

Otra de las grandes mejoras que se puede observar es el aumento del FSB, del HyperTransport 2.0 (de 1.4GHz y 11.GB/s) al nuevo HT 3.0 que funciona a 2.6GHz y con una tasa de transferencia de 20.8GB/s. Una de las buenas nuevas noticias es que los procesadores de la primer serie ("Barcelona", "Shanghai" e "Istanbul") usaran el mismo socket (socket F 1207) y el mismo chipset que se encuentran hoy en el mercado, por lo que segun AMD, solo hara falta una simple actalizacion de la BIOS para que las placas madre actuales puedan soportar estos procesadores.

Otras de los detalles que se puede observar es que todos los microprocesadores soportaran la tecnología de virtualizacion de AMD (AMD-V) y migraran las tecnicas de fabricacion de 65nm a 45 nm.

Pero los grandes cambios recién aparecerán en la primer mitad del 2010 cuando su nueva generacion de procesadores salga al mercado. Estos nuevos procesadores de 12 y 6 nucleos con 12MB y 6 MB de cache L3 respectivamente necesitaran un nuevo chipset con soporte para (a esas alturas no tan) nuevas memorias DDR3 y con un socket nuevo para el nuevo FSB 4xHT3.

Entre las incorporaciones de tecnología encontramos dos nuevas caracteristicas para estros procesadores muy interesantes. Por un lado la incorporacion de HTC, que es un nuevo metodo para el control del consumo de energía basado en la velocidad del nucleo orientado para soportar "overclocking" bajo demanda. Por otro lado aparece APML (Advanced Platform Management Link) destinado, al igual que la tecnología AMT de Intel, a trabajar con hardware Vpro, que permite la administración remota de una computadora a nivel de hardware.

Una de las curiosidades de estos cambios la podemos ver en los chipset, en donde desaparecen los chipset de Nvidia y de Broadband, y aparece AMD fabricando sus propios chipset, los RD890S y RD870S. Estos nuevos chipset, derivados de la compra de ATI por parte de AMD, incorporaran la tecnologia IOMMU (Input/Output Memory Management Unit). El IOMMU es una unidad de administración de memoria que permite conectar a los dispositivos con soporte DMA con la memoria principal y se encarga de la traducción de las direcciones de memoria virtuales de los dispositivos a la dirección real de la memoria física. Característica muy importante a la hora de implementar virtualizacion por hardware.

Webcam en Linux (Debian Etch)

2008-03-20T13:38:00.003-03:00

Una de las preguntas mas comunes como usuarios de Linux a la hora de comprarnos algo para nuestras computadora es "andará en Linux ?" y es ahí donde uno si no quiere malgastar su dinero empieza a buscar en Internet para ver si anda.... y el problema suele estar en conseguir en un proveedor local el producto que vinos en internet.

Bueno este post es solo para decir que la Webcam Euro Case EUCC-861 Infra-Light SI ANDA EN LINUX !!! y esta soportada en Debian !!

Esta camarita internamente no es mas que una Z-Star ZC0301 que posee una resolución máxima de 800x600 (unos 500k pixeles) y captura unos 30 cuadros por segundo y viene con 4 led que ayuda a utilizarla en ambientes de poca luz (viene con luz blanca y con sensores infrarrojos) . Para hacerla funcionar el Linux vamos a necesitar dos módulos: el zc0301 (que viene en le paquete linux-modules del kernel que tenemos instalado) y un modulo adicional que se llama gspca (que viene en un paquete separado compilado para cada uno de los "sabores" de kernel soportados por Debian)

El modulo gspca para video for linux (V4L) es un driver para la webcam y camaras digitales basadas en los chip spca5xx que lo utilizan empresas como SunPlus, Sonix, Z-star, Vimicro, Conexant, Etoms, Mars-semi, Pixart y Transvision

Aplicando el retorcido diseño de un retorcido diseñador.

2008-03-16T20:41:00.004-03:00

Es muy gracioso ver como el mundo gira y las cosas pasan, y a veces, y por no decir en la mayoria de las veces, en nuestro mundo tan acelerado perdemos muchas experiencias pequeñas escondidas detras de los grandes actos o hechos vividos quedandonos con conocimientos, experiencias o creencias que no son del todo completas o hasta incorrectas.

El viernes pasado Rodolfo, que es ayudante de catedra de filosofia en una universidad local, me pasa un articulo de su blog para que lo lea y le diga que me parece, con vista a iniciar un debate en la clase de filosofia tras la lectura de esta articulo.

El articulo en si es muy interesante, y cargado de muy buena información obtenida de diversos lugares, hasta de de unos diálogos apócrifos de Patón ( o eran de Socrates ? no lo recuerdo bien). En si el articulo habla de que el hombre esta diseñado para relacionarlos, pero sobre todo el importante rol de las emociones al momento de relacionarnos, y de como las emociones pueden nublar muchas de estas relaciones. Al punto tal que al final el articulo plantea lo malo de sentir y hasta lo bueno que seria carecer de sentimientos..... Pero este articulo no habla del “Retorcido diseño de un retorcido diseñador”, sino del debate que el articulo desato.

El contexto de debate

Rodolfo, el autor del articulo, es una persona que por las vueltas de la vida lo “conoci” hace unos 8 o 9 años porque los dos nos conectabamos a Internet a traves de LaNet (un proveedor local de hace un tiempo atras) y luego le perdi el rastro. En los ultimos meses no solo por las vueltas de la vida, sino por la vuelta de Damian a Mendoza, empesamos a tomar nuevamente contacto con aquellos viejos conocidos.

Hoy en dia Rodolfo, a punto de recibirse de la facultad, no solo es una persona apacionada por el saber en las areas de las matematicas, sino tambien de la filosofia, y de ahi que es ayudante de catedra de Filosofia y su “amor” por los debates filosoficos. El viernes pasado, a la tarde luego de leer el articulo de Rodolfo, le comento que es un muy buen articulo, y muy apropiado para incitar el debate, ya que mueve y enciende emociones, y de paso le comento mi desacuerdo con su conclusion sobre el tema, pero por falta de tiempo en ese momento lo invito a discutir al respecto a la noche.... en un bar... y con cervezas de por medio.

Siempre he preferido discutir de este tipo de temas (de esos en que posiblemetne las dos partes tengan razon y por ende la discusion o debate no sea mas que “debatir por amor al debate”) en un bar y con varias cervezas de por medio... ya que el alcohol tiene el poder de agregarle bastante emocion a la discucion.

Yo no soy filosofo, ni he leido mucho sobre filosofia, pero mi desacuerdo con la conclusion del articulo esta basada no solo en mi experiencia, sino en lo poco que he leido de “inteligencia emocional” y el principio de la dualidad de los orientales (digase “el ying y el yang”, lo bueno y lo malo, el frio y calor, y demas ). Mi postura fue simple, el problema no es que uno tenga sentimientos, el problema esta en lo complicado de manejarlos, y de mi punto de vista sugerir eliminar los sentimientos porque hay sentimientos malos o feos, es como sugerir eliminar las palabras porque hay “malas palabras”. Y por otro lado, sin el sentimiento de culpa, o el de miedo al castigo no habrian muchos mas males en el mundo ??. Pero tampoco voy hablar de mi opinion ante el articulo o mi postura ante la vida, si no de un hecho muy interesate que paso en medio de la discusión, y que a mi parecer es lo importante a rescatar y no hay que dejar que pase sin ser destacado..

La parte interesante

En medio de la discusión me entero que Rodolfo tiene 23 años (nunca le he dado mucha importancia a la edad física de las personas, sino mas bien a como se comportan), y en base a eso le comento de manera jocosa: “ahh, con razón escribiste eso, si SOLO tenes 23 años”. Ese comentario (y el alto nivel etílico :P ) logro encender todos sus sentimientos al punto tal de levantarse de la mesa y decir “me voy !!”.

Fue comico el ver en carne propia que el autor del articulo que habla de las emociones y que cite un dialogo de Socrates para argumentar suprimirlas, demuestre que no es capas de manejarlas y al punto tal de que, por mas libros de filosofias leidos o citas presentes en su mente, no pudo comentar o refutar mi simple frase y solo le quedo decir “me voy” argumentando que el esperaba un debate filosofico y no una descalificacion de su persona.

Luego mientras escribia este articulo recorde un pasaje de la vida de Alejandro Magno. Alejandro, ya siendo emperador de toda Grecia y teniando bajo su control a la gran Atenas, llega un dia a esa ciudad y encuentra a varios filosofos de la epoca al rededor de un objeto extraño y que ni los grandes filosofos conocian su finalidad ni mucho menos como usarlo o para que. Ante este hecho, Alejandro desciende de su caballo, desenvaina su espada y de un solo golpe rompe el objeto misterioso, argumentando que el “tampoco sabia para que serbia ese objeto” y que si nadia sabia para que servia nadie lo iva a poder usar y por ende tampoco lo ivan a extrañar.

No es muy difícil ni es complicado llegar a ver como “el pensamiento” de un filosofo y “la mano” de un emperador pueden hacer que algo que no terminamos de comprender ni terminamos de aprender a manejer pueden llevarnos a suponer que es mejor el desconocimiento que la busqueda, comprencion y el uso del conocimiento, inclusive en el área de la "inteligencia emocional".

Por ende para mi es que lo importante no es lo retorcido del diseño del ser humano, sino tratar de aprender a conocernos y "manejar" apropiadamente este retorcido diseño de este retorcido diseñador.

Configurando un Servidor CUPS para la casa

2008-03-13T10:35:00.005-02:00

Desde que ingrese nuevamente al mundo de la "tecnologia movile" que ando haciendo modificaciones en la pequeña red que tengo en casa con respecto a la conexion a internet, despues el wireless y lo que faltaba eran la impresora.

Esta vez estuve jugando con las configuraciones del servidor CUPS de mi computadora de escritorio no solo para "compartir la impresora" sino para que el server la anuncie la impresora a la red y de esta forma cada vez que conecte la notebook a la red de casa automáticamente se mapea a la impresora de casa sin tener que hacer nada en la notebook.

La receta

Partiendo de la base que ya tenemos nuestra impresora funcionando lo que haremos sera cambiar un poco las directivas del servidor CUPS de la PC de escritorio. El archivo de configuracion de CUPS se encuentra en el directorio /etc/cups y se llama cupsd.conf, lo abriremos con nuestro editor preferido y, en primera instancia modificaremos la directiva de Listen de esta forma:

Listen 631

Con esto, estaremos indicando que escuche en el puerto 631 de todas las interfases conectadas a nuestra PC. El siguiente paso es publicar las impresoras en la red, y lo hacemos con las siguientes directivas:

Browsing On
BrowseInterval 30
BrowseAddress @LOCAL

BrowseOrder deny,allow
BrowseAllow @LOCAL
BrowseDeny all

La directiva de Browsing On es la que nos determina que CUPS anunciara las impresoras, y en nuestro caso enviara un mensaje UDP cada 30 segundos (BrowseInterval 30) a las direcciones de brodcast de todas las redes conectadas localmente a nuestra PC (BrowseAddress @LOCAL). Cabe destacar que @LOCAL es un comodín que nos permite definir todas las interfases locales (cableadas o wireless) pero no abarca las interfases PPP. También podríamos haber definido, para mayor seguridad, la o las direcciones de red en las que queremos que se anuncie nuestras impresoras.

Luego es hora de aplicar un poco de seguridad a nuestra configuracion. La directiva BrowseAllow @LOCAL y BrowseDeny All nos determina que solo aceptara paquetes entrantes de las redes locales. El orden en que se apliquen estas dos directivas es muy importante, BrowseOrder deny,allow nos indica que primero se aplicara las reglas de BrowseDeny y las de BrowseAllow se utilizaran como excepciones de las primeras. En nuestro caso, rechazamos todo menos lo que venga de las redes locales.

Con esas lineas nuestras impresoras ya se anuncian en la red, el siguiente paso es permitir que puedan imprimir en ellas. Para ello en la seccion <location / > en la directiva de Allow agregamos a la red local quedándonos de la siguiente manera:

<location / >
Order deny,allow
Allow localhost,@LOCAL
Deny all
< /Location>

Con esta configuración, todas las maquinas con de nuestra red podrán imprimir en el servidor de impresión.

Administración Remota de las Impresoras

Si quisiéramos administrar las impresoras remotamente lo que deberíamos hacer es agregar a las secciones <location /admin > de la siguiente manera:

<location /admin >
Encryption Required
Order deny,allow
Allow localhost
Allow 192.168.1.11
Deny all
< /Location>

De esta forma, permitiremos la configuración de las impresoras no solo desde la maquina local sino también desde la dirección 192.168.1.11. Aquí también podríamos usar el comodín @LOCAL, para indicar a toda la red. Cabe destacar que mas allá de del acceso (desde que IP puedo acceder) para realizar tareas administrativas nos pedirá autenticación (Usuario y clave) que por defecto el usario es root del sistema linux.

Si queires sabes mas sobre las opciones del servidor CUPS y sobre seguridad y autenticacion te recomiendo la lectura del Manual del Administrador de CUPS

Acelerando mi escritorio Linux

2008-03-10T17:15:00.004-02:00

En los últimos días me encontré con dos lindos programas que ayudan a acelerar el inicio de las aplicaciones en Linux.

Por un lado esta PRELOAD, que es demonio que corre en backgroud y revisa las aplicaciones cargadas mas frecuentemente por los usuarios y trata de anticiparte a la carga de los mismos llevando binarios y/o librerias a la memoria RAM, para hacer su carga mas rapida. De esta forma sacrificamos un poco de memoria RAM en virtud de una carga mas rápida de las aplicaciones.

Por otro lado esta PRELINK, que es una aplicación que modifica los archivos ELF y librerías, "prelinkenado" libreras dinámicas y ejecutables para acelerar la búsqueda de las librerías por parte de las aplicaciones, y así cargarlas mas rápidamente.

La receta

Vamos a empezar por lo mas simple, por PRELOAD, para instalarlo va a ser suficiente un simple:

aptitude install preload

En el archivo /etc/preload.conf se puede parametrizar todas las configuraciones del demonio, inclusive la cantidad de memoria a reservar, aunque en el misma pagina del proyecto recomiendan no cambiar estos últimos valores. Por defecto, para una maquina con 1GB de RAM se estarán reservando unos 83 MB para la precarga de aplicaciones.

Luego viene PRELINK, que en este caso es un poco mas "trabajoso", empezaremos con un:

aptitude install prelink

Luego deberemos prelinkear todas nuestras aplicaciones, ejecutando el comando:

prelink -amR

En el archivo /etc/prelink.conf definimos no solo los directorios donde buscaremos las aplicaciones, sino tambien que tipos de archivos no intentaremos linkear. Como es conveniente correr este ultimo comando cada vez que instalamos una aplicacion nueva para finalizar agregamos a nuestro archivo /etc/apt/apt.conf la siguiente linea:

DPkg::Post-Invoke {"echo Ejecutando prelink, espere...;/etc/cron.daily/prelink";}

Con estos simples pasos, tendremos nuestro sistema Debian un poco mas optimizado para la carga de las aplicaciones, por un lado ganando tiempo en la carga de las librerías dinámicas y por otro pre cargando las aplicaciones mas utilizadas.

La Xerox Phaser 3116 en Debian Etch

2008-03-09T13:56:00.006-02:00

Uno de las pocas cosas que en mi caso no salen funcionando de una después de la instalación de Debian Etch es la impresora. Esto no es culpa de los muchachos de Debian, sino que tengo una Phaser 3116 de la gente de Xerox, y que no hay un soporte oficial del Xerox para esta impresora en Linux.

Pero en este caso no es problema, ya que las impresoras Xerox Phaser 3116 y la Samsung ML-1520 no solo comparten su aspecto fisico, como pueden ver en las fotos, sino que también compraten su electrónica y por ende sus controladores.

Para manejar las impresiones en Linux no hay como CUPS (Common Unix Printer System), pero en este caso CUPS no soporta directamente ninguna de estas dos impresoras, por lo que debemos instalar el paquete foomatic-filters-ppds el cual trae es una coleccion de drivers para impresoras soportadas por linuxprinter.org (http://www.linux-foundation.org/en/OpenPrinting).

Foomatic es un sistema diseñado para Debian y después exportados a otras distribuciones para manejar de manera simple el soporte de las impresoras generado por linuxprinter.org proveyendo una "unión" entre las colas de impresión (como CUPS o lpr) y las impresoras.

PPD son las siglas de Postscript Printer Description, y los archivos ppd no son mas que archivos que describen como trabajan las impresoras postscript y se utilizaron originalmente para dar soporte y definir todas las facilidades de este tipo de impresoras en los sistemas Linux y Unix. Hoy en día a través de los archivos PPD se pueda dar soporte a la mayorías de las impresoras del mercado, sean o no Postscript. El paquete foomatic-filters-ppds es una colección de archivos ppd, que en conjunto con el paquete hpijs-ppds, describen a todas las impresoras que NO SON POSTSCRIPT que están soportadas por linuxprinting.org.

La receta

Aca viene la receta de cocina para configurar la impresora Xerox Phaser 3116 en Debian Etch 4.0 (estable). Que necesitamos

Una impresora Xerox Phaser 3116 con su cable USB ( Ovvvvbio ).
Servidor CUPS instalado y funcionando.
Un navegador Web.
Los repositorios oficiales de Debian definidos en el /etc/apt/source.list y actualizados.

El primer paso es instalar el sistema Foomatic y los archivos PPD:

aptitude install foomatic-db foomatic-db-engine foomatic-db-hpijs foomatic-filters-ppds

Una ves instalado los archivos PPD, abrimos nuestro navegador Web y entramos al servidor CUPS ( http://127.0.0.1:631 ). Desde la sección "Administración" agregamos las nuevas impresoras. Si todo esta bien configurado y ENCENDIDO (me refiero a la impresora, ovbio) encontraremos en "Impresoras" una opción para agregar nuestra impresora "XEROX PAHSER 3116". Seleccionamos "Añadir esta impresora". Cabe destacar que para realizar cualquier tarea de administración, CUPS nos solicitara la clave de root.

En la siguiente interfase nos pedira seleccionar nuestro controlador o que le especifiquemos el archivo PPD. Nosotros optaremos por esta segunda opción. Todos los archivos PPD instalados por el paquete foomatic-filters-ppd se encuentran en el directorio /usr/share/ppd/foomatic-rip/ y en nuestro caso el archivo en particular se encuentra en:

/usr/share/ppd/foomatic-rip/linuxprinting.org-gs-builtin/Samsung/Samsung-ML-1520-gdi.ppd.gz

Buscamos y seleccionamos el archivo ppd de la impresora Samsung ML 1520 y presionamos el boton de "Añadir Impresora". En la siguiente interfase podremos definir las propiedades de nuestras impresora, siendo una de las casi obligadas a cambiar la del tamaño del papel de "letter" a "A4".

Una ves instalada y configurada nuestras impresora ya podremos usarla sin problemas desde cualquier aplicacion de nuestro Debian.

Personalizando las aplicaciones alternativas de Debian

2008-03-07T16:14:00.003-02:00

Uno de los puntos que hace fuerte pero a su ves le juega en contra a Debian es la gran cantidad de paquetes que posee esta distribución, llegando a tener 3 o 4 y en algunos casos mas de 5 programas para realizar la misma tarea. Esto trae consigo dos problemas, el de decidir cual instalar y el de una ves instalados dos o tres de estos programas poder definir uno de ellos como aplicacion por defecto.

Para poder resolver este ultimo problemas de tantas alternativas es que surgen las "Debian Alternatives". Un sistema para poder definir las aplicaciones por defecto para nuestro sistema Debian.

El filosofía que emplea "Debian Alternatives" es muy simple. Genera nombres genéricos para las tareas o aplicaciones mas comunes, tales como "editor" o "x-www-browser" los cuales no son mas que enlaces simbólicos a las aplicaciones reales. De esta forma si en alguna terminal llamamos al comando "editor" nos traerá la aplicación que hayamos definido como predeterminada para nuestro editor de texto de consola.

En honor a la verdad, son dos enlaces simbólicos, la aplicación que normalmente nosotros vamos a ejecutar que se encuentra en el directorio /usr/bin, pero es un enlace simbólico que apunta a un archivo dentro del directorio /etc/alternatives, el cual apunta a la aplicación real.

De esta forma es que aparecen nombre genéricos de aplicaciones tales como php, java, vi, cc, ftp que no solo nosotros las podemos llamar desde una consola, sino que muchas de las aplicaciones al ser compiladas para Debian vienen modificadas para usar estos nombres genéricos, asi por ejemple al configurar nuestro navegador web predeterminado mediante el nombre genérico x-www-browser, lo estaremos definiendo para todas las aplicaciones gráficas, debido a que las mismas al intentar abrir un URL llaman al navegador genérico.

Para poder configurar nuestras aplicaciones alternativas existen dos formas, por un lado la gráfica a través de la aplicación galternatives (si no la tenemos instalada con un simple aptitude install galternatives podremos instalarla) o desde la linea de comando con el comando update-alternatives. Desde la linea de comando si nos posicionamos en el directorio /etc/alternatives podremos ver el listado de todos los nombres genéricos que se encuentran instalados, y con la opción --config podremos configurar la alternativo, por ejemplo:

# update-alternatives --config pager

Hay 4 alternativas que proveen `pager'.
Selección Alternativa
-----------------------------------------------

1 /bin/more
2 /usr/bin/pg
*+ 3 /usr/bin/less
4 /usr/bin/w3m

Pulse para mantener el valor por omisión [*] o pulse un número de selección:

y de esta forma podremos definir cual sera nuestro paginado por defecto para nuestra consola.

IBM impulsa las PC "libres de Microsoft" en el este de Europa

2008-03-06T11:42:00.002-02:00

Este 4 de marzo IBM ha hecho publica su iniciativa de vender su computadoras personales "libres de Microsoft" en el Este de Europa.

Para ello a equipado a sus partners de Austria y Polonia con PC basadas en Linux, mas específicamente con RedHat Linux. Este impulso por el Open Source para el escritorio no es nuevo por parte de IBM, ya que desde el 2004 comercializa en China sus notebook Lenovo con Linux pre instalado. Pero esta decisión si es nueva en el mercado europeo por lo que por el momento solo sera posible conseguir equipos IBM con Linux en el Este Europeo.

Cabe destacar que en recientes encuestas realizadas en Rusia dejaron en evidencia que el Sistema Operativo preferido de los rusos es RedHat Linux superando al resto de las distribuciones de Linux e inclusive a los productos de Microsoft.

Por lo que queda en evidencia que esta decisión de IBM no es para nada arbitraria o caprichosa sino la de cumplir con las exigencias de parte del mercado europeo y para contrarrestar la campaña "educativa" en Rusia de Microsoft , que se asocio recientemente con MTS (uno de los proveedores de telefonía celulares mas grande de Rusia) para vender equipos con MS Vista pre instalado a costos muy inferiores a los del mercado para las PYMES sovieticas.

System Rescue CD alcanza la version 1.0

2008-03-06T11:08:00.005-02:00

Una de las mejores distro para reparar sistemas (tantos Windows como Linux) llega a la versión 1.0 después de tantos años de trabajo.

El día 3 de marzo del 2008 liberaron la versión 1.0 de System Rescue CD con mejoras muy interesantes entre las que se destacan:

Kernel 2.6.24
Soporte para lectura y escritura de particiones NTFS
Soporte para arrancar por PXE
Nuevo Driver Xvesa con soporte para mas placas de video
Mejor soporte para placas WI-FI

Cabe destacar que esta distro, a pesar de recién alcanzar la versión 1.0 no es nueva, sino que vio la luz por allá a principios del 2003, solo que el líder del proyecto Francois Dupoux ha preferido priorizar la calidad de la herramienta sobre el resto de los aspecto de la distro

Con esta distro se pueden hacer tareas como:

Redimensionar particiones existentes
Grabar y restaurar tablas de particiones
Recuperar GRUB o LILO
Revisar la integridad de los discos duros
Hacer resguardo de la informacion del disco en un CDROM, DVDROM o por la red
Revisar el disco en busca de virus
Testear la memoria RAM en buscar de fallos
Buscar y reconocer hardware.

El sitio oficial de esta distro es http://www.sysresccd.org/Main_Page desde la cual puede bajar la imagen ISO de unos 180 MB

Finaliza el soporte de "security" de Sarge

2008-03-04T23:09:00.004-02:00

El 31 de marzo es el ultimo dia que se publicaran parches de seguridad de Debian Sarge (3.1). Entre las tantas politicas que tienen la gente de Debian, estan los plazos de soporte de las versiones anteriores a la actual estable, que es de un año.

El 8 de abril del 2007 la versión de prueba conocida como "Etch" paso a ser la version estable de Debian y la versión "Sarge" paso a ser una de las "anteriores". El equipo de Security Debian dio soporte a "Sarge" actualizando todos los paquetes durante 12 meses para darle tiempo suficiente a todos los administradores a migrar sus servidores a la nueva versión estable.

Las mejoras que trajo Etch son sigo son numerosas entre ellas podemos destacar:

Soporte oficial para AMD64
Se migro de X11 a Xorg
Se actualizo a Apache2, PHP5 y Mysql 5
Se actualizo a Gnome 2.1y KDE 3.5
Debian Volatile paso a ser oficial
Y se incluyeron 6500 paquetes nuevos !!

Migrar de Sarge a Etch es sumamente facil. por un lado verificamos que en el archivo /etc/apt/source.list tengamos definidos los repositorios de la version estable:

deb http://debian.ubiobio.cl/debian/ etch main contrib non-free

luego ejecutamos los siguientes comandos como root :

aptitude update # para actualizar la lista de paquetes

aptitude upgrade # para bajar y actualizar los paquetes sin cambiar de distribucion

aptitude dist-upgrade # para actualizar la distro a la version etch.

posiblemente, segun los paquetes que tengamos instalados y sus dependencias, debamos correr el comando dist-upgrade un par de veces para terminar de actualizar nuestro sistema.

Aun asi, debido a que hubieron muchos cambios en los paquetes y en algunos casos cambio la filosofía de algunos servicios lo ideal, y de ser posible, es instalar el servidor desde cero. Tarea tediosa, pero que vale la pena.

Intel saca su nueva gama de procesadores

2008-03-04T00:11:00.009-02:00

Despues de varios meses de rumores y de especulaciones Intel anuncia oficialmente su nueva gama de procesadores, los procesadores ATOM, introduciendo a la compañía al mercado de los procesadores para dispositivos moviles y de equipos de bajo cotos.

Originalmente se penso que estos procesadores (conocidos con el nombre clave de SilverThone y DiamondVille) eran simplemente para competir contra los procesadores Geode de AMD que son los que usan las maquinas de bajo costo como las del proyecto "One Laptop per Child", pero en la presentación oficial de hace unos dias (2 de marzo del 2008) queda demostrado que su fin original es pocisionar a la compañia en el mercado de los dispositivos moviles mas que en el de las PC de bajo Costo.

Cabe destacar que este anuncio es de suma importancia para la compañia y el mercado, a punto tal que varios sitios especializados en Hardware igualan la importancia de esta noticia a cuando Intel anuncio sus procesadores Pentium en el mercado de los procesadores para PC de escritorio.

Un poco de especificaciones de estos micro

Los procesadores Atom en su dos familias, Intel Atom e Intel Centrino Atom son procesadores que poseen 47 millones de integrados en 25 mm2 y con un consumo interior al 0.6 W, pudiendo llegar a los 0.1W cuando esta en modo de espera (idle). Estos procesadores poseen dos canales para manejar varios hilos de multitareas simultaneas con 16 canales pipeline de 32KB de cache L1 para intrucciones y 24 KB de cache L1 de datos y hasta 512kB de cache L2 y la gama mas alta llega a trabajar a 1.7GHz, y con un FSB capas de procesar 533 MT/s (Millones de transacciones por segundo)

Como pueden ver, estos procesadores a pesar de ser destinados a dispositivos móviles poseen características muy similares a los primeros procesadores Pentium M que se encuentran en muchas notebook pero con mucho menos consumo de energía y mucho menor tamaño, y si a esto le sumemos que la familia de Intel Centrino Atom le suma los integrados PowerVR (de VideoLogic) para la parte gráfica y la placa de red inalámbrica tanto en WiFi como con 3G y WiMax, convierte a esta ultima rama de procesadores en una opción mas que interesantes para dispositivos móviles del tipo smart phone, no solo debido a su bajo consumo, sino sobre todo a su muy bajo costo de producción.

La historia se repite

Igual veremos como toma el mercado a estos procesadores, teniendo en cuenta que Intel, una ves mas, esta llegando tarde al mercado, ya que no solo AMD posee a los procesadores Geode, sino que también tienen que competir con los procesadores de C7-M de VIA que también poseen una buena parte del mercado.

Pero seguro que Intel no va a escatimar presupuestos para anunciar y hacer conocer a sus nuevos productos y tratar de posicionarlos en el mercado.

Por lo pronto Intel los ha anunciado con bombo y platillos y los ha colocado en el mostrador al lado de sus otros productos como los Core, Core 2, Celeron y Xeon, demostrando el interés que posee la compañía por estos micros.

Linksys WRT54G v6 - Linux Device 1

2008-02-28T03:02:00.005-02:00

Es conocida mi cercana relación con el sistema operativo del pinguinito, al punto tal que hace tiempo que no uso los productos del “Guillermo Puertas”, y los siguientes tres articulos no es mas que una ratificación de mi casi fanatismo por LINUX y el esfuerzo por meterlo en todos lados... El primer articulo, es para contar mis experiencias sobre como instalar DD-WRT en un Linksys WRT54G v5.

Entre las cosas interesantes que tienen los router Linksys WRT54G es que usa una placa base estandar llamada WRT, para la cual ya se han hecho muchas mini distribuciones de Linux, entre las que se encuentra DD-WRT, OpenWRT o Tomato, que le agregan muchas funcionalidades extra que no vienen con el firmware original.

Desde que Cisco compro Linksys y la convirtio en su linea de productos hogareños, Cisco les ha ido quitando, de manera sistematica caracteristicas a los productos Linksys para hacerlos menos atractivos y poder marcar bien la diferencia de calidad con los productos marca Cisco y los Linksys. En los primeros router inalambricos Linksys WRT54G, desde version 1 a la 4, poseian 16 MB de memoria RAM y 4 MB de memoria FLASH, pero a partir de la version 5 de este equipo recortaron estos dos valores a 8 MB de memoria RAM y a 2 de memoria FLASH, argumentando que con esto se reducian muchos los costos de los equipos.

Esta reducción en las características de hardware nos reduce mucho las posibles distro que podemos llegar a instalar en estos equipos. Tengamos en cuenta que 2 MB de FLASH nos dicen que el kernel mas todas las aplicaciones, al comprimirlas tienen que ocupar solo 2MB. Hasta el momento la única distro que se puede instalar es la MICRO versión de DD-WRT. Pero como los muchachos de Cisco son unos “fantásticos” (en realidad los quiero :P ) también le cambiaron la forma de arrancar al equipo, por lo que antes de poder flashear nuestra mini distro, primero tenemos que cargarle un nuevo arrancador a nuestro router, para después poder instalar la micro distro.

Lo que continua de este documento no es mas que la “receta de cocina” de como flashear un router inalámbrico Linksys WRT54G v6.

Ingredientes:

Un Rotuer Inalámbrico Linksys WRT54G v0.6
Patchord UTP
Una computadora con IP fijo, NO COMO CLIENTE DHCP (y preferentemente con Linux :P )
Un cliente de ftfp
Descargar el VXworks Prep v0.3
Descargar el VXworks Kiler G v0.6
Descargar el DD-WRT Micro

Receta:

Lo primero que vamos hacer es conectar nuestro Rotuer a la PC e ingresar a través de la interfase web a la sección de administración y vamos a actualizar el firmware que tiene por el VXworks Prep V0.3. Luego de un instante la pantalla se pondra en blanco. Aca debemos reiniciar nuestro router.
Al reiniciar, nuevamente a través de nuestro navegador web ingresamos al router a la dirección http://192.168.1.1 , en este momento el router se encuentra en modo mantenimiento por eso no solo tomo el ip 192.168.1.1 sino que en la web que vemos solo nos da la opción de subir otro firmware. Acá subimos el VXworks Killer G. Una vez terminado veremos la leyenda de "Success". Nuevamente reiniciamos el router.
Ahora, al reiniciar el equipo veremos que los LED frontales quedan titilando. En este punto desde una consola le transferimos el Micro DD-WRT por ftfp con el siguiente comando:

tftp -v -m binary 192.168.1.1 -c put dd-wrt.v23_micro_generic.bin

Si en este momento nos da un error al transferir la imagen bin, es porque la versión del VXworks Killer que hemos usado NO ES CORRECTA, pues no tengan miedo, aun se puede arreglar. Consigan la versión correcta y con el mismo comando le pasan la versión correcta del VXworks Killer

tftp -v -m binary 192.168.1.1 -c put vxworks_killer_g_v06.bin

Una vez transferido el Micro DD-WRT, hay que esperar un tiempo importante (varios minutos) para esperar que la imagen copie a la memoria flash. Luego de esperar unos minutos, reiniciamos el router y listo ya tenemos nuestro Router Linksys WRT54G v6 con Linux !!! Para acceder nuevamente usamos nuestro navegador web a la dirección http://192.168.1.1

eso debe doler

2008-02-17T21:10:00.001-02:00

aca estamos de nuevo "replicando" informacion obtenida de otros blogueros... (ando con muchas ideas para postear pero pocas ganas de escribir :P )

asique les dejo un par de videitos

con colores y mas rapido !!!

2008-02-11T15:03:00.002-02:00

Volvimos al "Paquete Debian del Dia", y esta vez vamos hacer un dos por uno....

Primero vamos con los "colorcitos". CCZE es una herramienta muy linda a la hora de ver los registros de sistema que nos permite ver los registros con colores para una mejor visualizacion. Tiene soporte para distintos tipos de archivos de registros como los del squid, postfix, oops, exim apache y otros mas.

Entre las opciones que tiene el ccze hay dos para destacar, por un lado la opcion "-c" que convierte los timestamp a fecha y hora, muy util a la hora de ver registros como los del squid. La otra opcion importante es la "-A" que habilita la salida en modo ascii (las otras dos salidas posibles son en modo curses y html). En modo ascii podemos, entre otras cosas ir separando las lineas al precionar "enter", algo muy util al ver los log en tiempo real.

En segundo lugar, y por ello menos importante, aparece "netselect". NETSELECT es una herramienta muy util al momento de elegir un mirror para las descargas, ya que nos permite seleccionar el mejor servidor entre la lista de servidores que le pasemos como parametros. Para seleccionar el mejor server utiliza un simple "icmp request" (ping para los amigos :) ), pero no solo toma el tiempo de respuesta del servidor, sino que a cada servidor le da un puntaje utilizando como metricas el tiempo de acceso, la cantidad de saltos y cantidad de paquetes perdidos, de esta forma tenemos una mejor apreciacion.

Entre los parametros que le podemos pasar al netselect son la cantidad se saltos maximas (para seleccionar servidores mas o menos cerca), la cantidad maxima de paquetes perdidos y la cantidad de server a elegir (podriamos seleccionar los 3 mejores de una lista de 100 server)

Como los muchachos de Debian son muy capos, han hecho un paquetito adicional que se llama netselect-apt que no es mas que un netselect para los mirror oficiales de Debian. Al correr el netselect-apt, este baja la lista de mirror oficiales, selecciona al mas rapido y arma el archivo source.list para que de esta forma ya nos quede todo listo para usar los repositorios oficiales y a la mejor velocidad posible

Replicando informacion !!

2008-02-08T01:13:00.001-02:00

Hace mucho que no "tomaba prestado" nada de otros blog para poner en el mio.... asique aca vamos....

Por un lado un video tomado del sitio del castorcito de una publicidad de UOL y su ascelerador de internet... muy buena e ingenisa

Por otro lado, de los muchachos de TechBlog les dejo un aparetejo muy copado: un portaretrato digital. En esencia una pantalla lcd con marco de madera, con una memoria interna, conexion usb y lector de tarjeta... muy copados.... aca en argentina aun rondan los u$d 140 pero en usa ya se consiguen en amazon por uno u$d 70

Debian Volatile

2008-02-06T17:48:00.000-02:00

Navegando y buscando informacion sobre el cambio de hora en la Argentina y como hacer para actualizar los servidores Debian que administro me encontre con algo muy interesante por parte de los changos de Debian.

Uno de los tantos proyectos que tienen en Debian se llama "Volatile". En este proyecto estan todos los paquetes que cambian muy rapido, y que meterlo en la version establa meteria mucho ruido.

En debian-volatile vamos a encontrar principalmente los paquetes de antivirus y antispam, ya que este es precisamente el objetivo del proyecto es "permitir a los administradores de sistema tener sus equipos actualizados sin tener que jugar con las versiones inestables de ciertos paquetes"

Una vez mas los changos de Debian me han logrado sorprender con su postura de priorizar la estabilidad y seguridad de los sistemas.

Para empezar a usar los repositorios de debian-volatile es tan simple como agregar al /etc/apt/source.list las siguientes lineas:

deb http://volatile.debian.org/debian-volatile etch/volatile main
deb-src http://volatile.debian.org/debian-volatile etch/volatile main

y despues de esto con un "aptitude update; aptitude upgrade" estamos listo y con nuestro sistema totalmente actualizado... y en nuestro caso la hora tambien va estar actualizada !!!

una vez mas, mis felicitaciones para la gente de Debian !!

Usa protector solar!!

2008-01-30T00:57:00.000-02:00

este es uno mas de esos videos que al verlos, y si al verlos es el momento justo, te llegan y te llegan muy profundo y hasta te pueden hacer pensar un poco....

y como dice el video, el mejor consejo es: "usa protector solar"

IA, los Robot, las mentiras y una conspirancion mundial

2008-01-28T17:57:00.001-02:00

Ahora resulta que mentir es parte de la evolución.... o por lo menos el engañar a nuestros colegas/competidores.

Un grupo cientificos de Suiza crearon un grupo de robots con la capacidad de aprender y de comunicarse, y con el objetivo de sobrebivir. Colocaron al grupo de robots en un "habitad" donde habia lugares con comida (donde recarcaban sus baterias) y lugares peligosos o con veneno (donde se les descargaban sus baterias)

De esta forma los robots ivan recorriendo el habitad, se encontraban con comida y con venenos, y esta información se la transmitían a los otros robots.

Despues de un tiempo, reprogramaron a todos los robots con lo aprendido de los robots mas eficientes en obtener comida y en sobrevivir. Asi varias veces, asi mas o menos como lo hace la naturaleza, las nuevas generaciones son hijos de los mas aptos y mas preparados.

Luego de reprogramar los robot unas 50 veces ( 50 generaciones) , apareció un grupo de robots que "falseaban" la información que le transmitían a sus pares, y los mandaban a comer directamente al veneno, mientras ellos ivan por la comida, y asi de esta forma poder mejorar su supervivencia...

o sea.... muy heavy !! hablemos de dos cosas. Por un lado, suena hasta logico el comportamiento... al fin y al cabo a los robots se les enseño que tenían que sobrevivir, no se les enseño ética ni buenos modales y a colaborar, y visto de ese modo... esta bien, es lógico que aprendan que si no hay otros robots ellos tienen mas probabilidades de sobrevivir.

De aca es que sean tan importante las tres leyes de la robótica de Isaac Asimov, leyes que impiden a los robots dañar a los humanos y dañarse a si mismo.

pero por otro lado....

Desde cuando hay algoritmos de Inteligencia Artificial que le permiten aprender a los robots ? me gusta la robotica y me intriga la I.A., pero no sabia que estaban tan adelantados. Y esto es lo que se cuenta... que mas estarán haciendo ? o por donde iran ? se imaginan una serie de robots capases de aprender de internet ?
Desde cuando se esta experimentando con robots que aprenden de otros robots ? y sin supervisión de un humano ?? se imaginan al robot de internet enseñándole a sus pares lo que el vio en internet ??
y si todo esto, le sumamos a google ?? .... porque Google tiene una copia de internet en sus oficinas ??

si, si... es todo muy como alocado y paranoico... pero si va a suceder algo, me parece que el lugar donde puede llegar a pasar..... son los laboratorios secretos de Google Inc.

al fin y al cabo, es sabido que Google hace varios años que viene trabajando con IA. Primero fue en el area que se conoce como lenguaje natural. Es este alto grado de avance en la interpretación del lenguaje natural el que le permite a Google indexar con tanta eficiencia y mostrar los resultados a las busquedas obteniendo la información de sitios no estructurados que se encuentra en internet.

Después, y no hace mucho, empezaron con reconocimiento de imagenes, por un lado compraron una compañía especialista en reconocimiento de caras de personas y con una trivia on line donde los participantes en esencia lo que hace es entrenar al buscador de Google sobre el contenido de las imágenes..... y no nos olvidemos de la compra de youtube.

Entonces como que tenemos todos los elementos como para poder armar una serie de autómatas programables que aprendan sin intervención de los humanos, que puedan acceder a grandes volúmenes de información, que se puedan comunicar entre ellos y transmitir lo aprendido y que, con toda la informacion que obtuvieron puedan decidir que es lo mejor para ellos....

si, es muy heavy !!!

Despues de haber dicho esto, me voy a ver "I robot"

El Pibe YouTube ??

2008-01-28T17:47:00.000-02:00

Y si, en estos días estuve navegando mucho por otros blogs y me encontré con algo mas que interesante.... me encontré con el pibe youtube, o mejor dicho con el YOUTUBER !!

hablando de la gente que vive de los videos de youtube !!!

aca les dejo uno de los videos de sus post

Karaoke Media Center

2008-01-12T20:02:00.000-02:00

Hoy tenia para hablar de dos paquetes Debian muy distitntos. Uno era un analizador de trafico ethernet y el otro era un programa para hacer karaoke, y como estamos de vacaciones, la elección fue muy simple PYKARAOKE !!! (a quien le interesan las redes en enero :P )

Entre las cosa que andube haciendo hoy fue buscar algun programa para convertir mi notebook en un centro de karaoke portable... la formula en mi cabeza era muy simple :

Notebook + Proyector Multimedia + Equipo de Musica = Diversión Garantizada !!!

Buscado un poco (muy poco dicho sea de paso) en los repositorios de Debian encontré a PYKARAOKE, un programita muy simpático y simple para hacer karaoke, para instalarlo no hizo falta mas que un simple

aptitude install pykaraoke

y listo.... ya estamos, despues fue solo cuestion de bajar archivos .kar (archivos midi con las letras ) o archivos CDG ( mp3 con las letras ), y quedo el "Karaoke Media Center" listo

ya tenemos karaoke... ahora A USARLO !!!

Networking Personal !!!

2008-01-11T12:03:00.000-02:00

No hace mucho me tope en un sitio de comunidades en linea ( orientadas a generar nuevos negocios) y en el usaban mucho el termino: "Networking Personal". En el sitio hablaban de lo importante que es poder generar nuevas relaciones y como ellos podian hacer mucho mas facil los encuentros y/o contactos

Al principio me parecio hasta gracioso el hecho de haber tomado el termino "networking" para referirse a las comunicación entre personas, porque para alguien que trabaja con redes de computadoras, siempre que se refiere a "networking"... se refiere a redes de datos no de personas. El hecho me llamo la atención, pero quedo ahi y de esto ya paso varios meses...

En estos dias y aprovechando ( o desaprovechando :) ) el tiempo libre de las vacaciones empecé a frecuentar blog, fotolog y sitios de comunidades en linea... y oh, sorpresa !! el termino "networking" para las relaciones personales esta mucho mas popularizado, hasta el punto tal que en varios lugares ya ni aclaran que son entre personas, sino que solo le dicen "networking". Tal es el punto que es muy común encontrar en la descripción de personas de sitios como www.xing.com descripciones que dicen algo asi como "me interesa el networking"... si, si, pero el personal, no el de computadoras !!

Al principio me molesto un poco por la usurpación de la palabra, pero después recordé, y me cayo la ficha del porque en mucha bibliografía de redes de computadoras se habla de interconexión y no de conexión. Buscando un poco de información para corroborar la sospecha, salio que para el idioma ingles "internetworking" y "networking" son dos palabras muy distintas. Donde "networking" se refiere a las conexiones (entre lo que fuera, personas artefeactos, etc) e "internetworking" se refiere exclusivamente a la conexión de computadoras o de redes de computadoras.

Entonces no me quedo otra que aceptar el uso de la palabra para referice a los nexos entre personas y de ahora en mas tratar de hablar con propiedad y hablar de interconexion cada vez que hable de redes de computadoras

Por otro lado acepte tan bien la palabra que se me ocurrio empezar a utilizarla, a punto tal que, y aprovechando las vacaciones, empece un fotolog, me registre en dos sitios de comunidades y hasta acabo de subir mi foto a "sexy o no" !!!

lo que uno hace al tener algo de tiempo libre !! es increíble !!!

PD: para ver mi fotolog has click aqui