|
04-12-00.
ASI NOS ESPIAN DEL FBI
SISTEMA DE ESPIONAJE CARNIVORO DEL FBI
INFORMACION DEL DEPARTAMENTO DE JUSTICIA DE ESTADOS UNIDOS
NOTA : Este documento esta divido en tres partes , la primera es la presente.
TEMAS RELACIONADOS :
| 1. RECOPILACION
SOBRE LA RED ECHELON DE ESPIONAJE •••• RECOPILACION SOBRE LA RED ECHELON DE ESPIONAJE Información del Diario Clarín - Recopilacion de Datos : EL CASO DEL ESPIONAJE ELECTRONICO "Hay gente ... RECOPILACION SOBRE LA RED ECHELON DE ESPIONAJE Información del Diario Clarín - Recopilacion de Datos : EL CASO DEL ESPIONAJE ELECTRONICO "Hay gente ... ... "Hay gente inocente que termina en la red Echelon" Lo dijo el espía canadiense Mike Frost. Relató a la CBS el caso de una mujer marcada como posible ... ... El escándalo de la red espía Echelon, liderada por la inteligencia de EE.UU., Canadá, Gran Bretaña, Australia y Nueva Zelanda para "pinchar" millones ... 94% Tue, 14 Mar 2000 22:26:05 GMT http://www.seprin.com/echelon.htm 2. STOA
Report: Interception Capabilities 2000 ••• 3. An
Appraisal of Technologies of Political Control ••• 4. Olivera
••• 5. CONTRABANDO
DE SISTEMAS ELECTRONICO DE ESPIONAJE ••• 6. Ir
a la PARTE 3 ••• 7. Chapter
Two: Hooked up to the spy network: The UKUSA system ••• |
Las Notas en color verde , son traducción electrónica
LA INTRODUCCIÓN DE ES.1
IIT Research el Instituto y el Illinois Institute de Tecnología Chicago-Kent Universidad de Ley (aquí dentro abrevió como IITRI), bajo el contrato a la Sección de Justicia (DoJ), evaluó un Escritorio Federal de Investigación (FBI) el sistema conocido como el Carnívoro. El carnívoro es una herramienta software-basado examinaba todo el Protocol de Internet (IP) los paquetes en un Ethernet y registro sólo esos paquetes o segmentos del paquete que se encuentran los parámetros muy específicos. IITRI fue pedido informar adelante si el Carnívoro
Les proporciona todos a investigadores, pero sólo, la información se diseña y puso para proporcionar de acuerdo con un orden judicial dado
Introduce cualquier nuevo, material riesgo de operacional o deterioro de seguridad de un Internet Servicio Proveedor (ISP) la red
Los riesgos la adquisición desautorizado, si intencional o involuntario, de información de comunicación electrónica por: (1) personal de FBI o (2) las personas de otra manera que el personal de FBI
Proporciona protections, incluso las funciones de la auditoría y procedimientos operacionales o prácticas, correspondiente con el nivel de los riesgos
Además, IITRI consideró las preocupaciones de organizaciones interesadas y ciudadanos. IITRI estudió el reciente testimonio; el material examinado en los sitios de Internet; y se encontró con representantes de la Unión de Liberties Civil americana, Centro de Información de Retiro Electrónico, y el Centro para la Democracia y Tecnología. IITRI determinó que este informe también debe dirigirse
Department of Justice note:
Draft Report: Independent Technical Review of the Carnivore System
Note: In this publicly available version of the IITRI draft, we have redacted Appendix D.2 through D.4, which contain a detailed description of the Carnivore software structure, and a clause in paragraph 3.4.4.1.1, which relates to operational methods. These redactions were made after preliminary internal review, and with a view toward making the vast majority of the draft publicly available as soon as possible. We are continuing to review the need for even these limited redactions. If we ultimately determine that they are not necessary, we will make the redacted material public.
This Draft Report from the IIT Research Institute (IITRI) is part of an overall review of the Carnivore system requested by the Attorney General. Over the next two weeks, the Department of Justice and the FBI will be providing IITRI with comments on their draft report. We also welcome comments concerning Carnivore from members of the technical community and from interested groups or members of the public. If the comments are technical, we will pass them on to IITRI. If they are non-technical, then the DOJ review panel will consider them.
Comments may be made by e-mail to Review.Panel@usdoj.gov. Comments may also be mailed to Carnivore Review Panel, U.S. Department of Justice, Room 1744, 950 Constitution Ave., NW, Washington, D.C. 20530.
IITRI expects to provide DOJ with a final version of its review on December 8, so any technical comments must be received no later than December 1, 2000. Comments on non-technical issues should be received by the same date in order to get the most thorough possible consideration from the Department's internal review panel. That panel expects to present its final report to the Attorney General on or about December 20.
La sección de nota de Justicia:
El Informe del proyecto: La Revisión Técnica independiente del Sistema del Carnívoro
La nota: En esto la versión públicamente disponible del proyecto de IITRI, nosotros tenemos el Apéndice del redacted D.2 a través de D.4 que contiene una descripción detallada de la estructura de software de Carnívoro y una cláusula en párrafo 3.4.4.1.1 que relaciona a los métodos operacionales. Estos redactions eran hecho después de la revisión interior preliminar, y con una vista hacia hacer la inmensa mayoría del proyecto lo más pronto posible públicamente disponible. Nosotros estamos continuando repasando la necesidad por incluso estos redactions limitados. Si nosotros determinamos finalmente que ellos no son necesarios, nosotros haremos el público material a los redacted.
Este Informe del Proyecto del IIT Investigación Instituto (IITRI) es la parte de una revisión global del sistema del Carnívoro pedida por el Abogado General. Durante las próximas dos semanas, la Sección de Justicia y el FBI estará proporcionándole los comentarios a IITRI en su informe del proyecto. Nosotros también damos la bienvenida los comentarios acerca del Carnívoro de los miembros de la comunidad técnica y de grupos interesados o miembros del público. Si los comentarios son técnicos, nosotros los pasaremos adelante a IITRI. Si ellos son non-técnicos, entonces los DOJ repasan que el tablero los considerará.
Los comentarios pueden ser hechos por el e-mail a Review.Panel@usdoj.gov. también pueden mandarse por correo los Comentarios al Tablero de Revisión de Carnívoro, la Sección americana de Justicia, Alójese 1744, 950 Constitución Ave., NW, Washington, D.C. 20530.
IITRI espera proporcionarle una último versión de su revisión a DOJ el 8 de diciembre, para que cualquier comentario técnico debe recibirse ningún más tarde que el 1 de diciembre de 2000. Los comentarios en los problemas non-técnicos deben ser recibidos por la misma fecha para recibir la posible consideración más completa de la revisión interior de la Sección forme tableros. Ese tablero espera presentar su informe final al Abogado General adelante o aproximadamente el 20 de diciembre.
IITRIIIT RESEARCH INSTITUTE |
Contract No. 00-C-0328 |
Independent Review of the
Carnivore SystemDraft Report
Prepared by: Stephen P. Smith
Henry Perrit, Jr.
Harold Krent
Stephen MencikJ. Allen Crider
Mengfen Shyong
Larry L. Reynolds17 November 2000
IIT Research Institute
Suite 400
8100 Corporate Drive
Lanham, Maryland 20785-2231
301-731-8894
FAX 301-731-0253
Executive Summary
ES.1 Introduction
ES.2 Scope
ES.3 Approach
ES.4 Observations
ES.5 Conclusions
ES.6 Recommendations
Section 1 Introduction
1.1 Purpose
1.1.1 Technical Concerns
1.1.2 Concern of Privacy Advocates
1.1.3 Concerns Expressed via Internet
1.2 Objective
1.2.1 Address Four Key Questions
1.2.2 Convey Understanding of the System
1.3 Scope
Section 2 Approach
2.1 Process Assessment
2.2 Architecture Evaluation
2.3 Software Source Code Examination
2.4 Laboratory Test
Section 3 Findings
3.1 he Legal Framework for Electronic Surveillance
3.1.1 Title III Intercepts of Electronic Information
3.1.2 Pen and Trap Provisions
3.1.3 Foreign Intelligence Surveillance Act
3.2 The Electronic Surveillance Process
3.2.1 The Decision to Use Carnivore
3.2.2 Deployment of Carnivore
3.2.3 Analysis of the Information Retrieved by Carnivore
3.3 External And Internal Checks on the Process
3.3.1 External Checks
3.3.2 Internal Checks
3.4 System Architecture
3.4.1 The Ethernet Tap
3.4.2 Computers
3.4.3 Telephone Link
3.4.4 Carnivore Software Program
3.5 Software Architecture
3.5.1 TAPNDIS Driver
3.5.2 TAPAPI Driver
3.5.3 Carnivore.DLL
3.5.4 Carnivore.EXE
3.5.5 Development Process
3.6 Laboratory Tests
3.6.1 Test 1 Noncontent E-mail Collection
3.6.2 Test 2 Noncontent Web Browsing Collection
3.6.3 Test 3 Noncontent File Transfer Activity Collection
3.6.4 Test 4 Full Collection on a Fixed IP Address
3.6.5 Test 5 E-mail Content Collection
3.6.6 Test 6 Alias E-mail Collection
3.6.7 Test 7 Filtering Text String on Web Activity Collection
3.6.8 Test 8 Power Failure and Restoration
3.6.9 Test 9 Full Mode Collection for All TCP Ports
3.6.10 Test 10 Collect From a Dhcp Assigned IP Address
3.6.11 Test 11 Filtering on Text String for E-mail Collection
3.6.12 Test 12 Filtering on Text String and E-mail Address or E-mail User ID for E-mail Collection
3.6.13 Test 13 Filtering on Text String for FTP Collection
Section 4 Conclusions
4.1 Assumptions
4.2 General Conclusions
4.2.1 Need for Carnivore
4.2.2 Legal and Organizational Controls
4.2.3 Collection
4.2.4 Accountability
4.2.5 Integrity
4.2.6 Carnivore Development Environment
4.2.7 Miscellaneous Concerns
4.2.8 Release of Carnivore
4.3 DoJ Questions
4.3.1 DoJ Question 1
4.3.2 DoJ Question 2
4.3.3 DoJ Question 3
4.3.4 DoJ Question 4
Section 5 Recommendations
5.1 Recommendation 1
5.2 Recommendation 2
5.3 Recommendation 3
5.4 Recommendation 4
5.5 Reconiniendation 5
5.6 Recommendation 6
5.7 Recommendation 7
5.8 Recommendation 8
5.9 Recommendation 9
Appendix A Telephone Eavesdropping as a Reference Point
A.1 Minimization
A.2 Pen Register and Trap and Trace Surveillance
Appendix B Publicly Available Sniffer Software
Appendix C Detailed Test Results
Appendix D Detailed Software Description
Appendix E Endnotes
FIGURES
TABLES
IITRI
IIT RESEARCH EL INSTITUTO
Acorte No. 00-C-0328
IITRI CR-022-216
La Revisión independiente del
El Sistema del carnívoro
El Informe del proyecto
Preparado por:
Stephen P. Smith
Henry Perrit, Hijo,
El Harold Krent
Stephen Mencik
J. Allen Crider
Mengfen Shyong
LARRY L. REYNOLDS
17 noviembre 2000
IIT Research el Instituto
Colección 400
8100 Paseo corporativo
Lanham, Maryland 20785-2231,
301-731-8894
ENVÍE FACSÍMIL 301-731-0253
LOS VOLÚMENES
El Resumen ejecutivo
La Introducción de ES.1
El Alcance de ES.2
ES.3 Approach
Las Observaciones de ES.4
Las Conclusiones de ES.5
Las Recomendaciones de ES.6
La sección 1 Introducción
1.1 propósito
1.1.1 Preocupaciones técnicas
1.1.2 preocupación de Abogados del Retiro
1.1.3 preocupaciones Expresaron vía Internet
1.2 objetivo
1.2.1 dirección Cuatro Preguntas de la Llave
1.2.2 llevan Entendiendo del Sistema
1.3 alcance
La sección 2 Acercamiento
2.1 Valoración del proceso
2.2 Evaluación de la arquitectura
2.3 software Fuente Código Examen
2.4 Prueba del laboratorio
La sección 3 Resultados
3.1 él el Armazón Legal para la Vigilancia Electrónica
3.1.1 título que III Interceptan de Información Electrónica
3.1.2 pluma y Comestibleses de la Trampa
El Acto de Vigilancia de 3.1.3 Inteligencia extranjera
3.2 el Proceso de Vigilancia Electrónico
3.2.1 la Decisión para Usar el Carnívoro
3.2.2 despliegue de Carnívoro
3.2.3 análisis de la Información Recuperado por el Carnívoro
3.3 Cheques externos E Interiores en el Proceso
3.3.1 Cheques externos
3.3.2 Cheques interiores
3.4 Arquitectura del sistema
3.4.1 la Palmadita de Ethernet
3.4.2 computadoras
3.4.3 Eslabón del teléfono
3.4.4 Programa de Software de carnívoro
3.5 Arquitectura del software
3.5.1 Chófer de TAPNDIS
3.5.2 Chófer de TAPAPI
3.5.3 Carnivore.DLL
3.5.4 Carnivore.EXE
3.5.5 Proceso de desarrollo
3.6 laboratorio Prueba
3.6.1 prueba 1 Noncontent E-mail Collection
3.6.2 prueba 2 Tejido de Noncontent que Hojea la Colección
3.6.3 prueba 3 Noncontent Archivo Traslado Actividad Colección
3.6.4 prueba 4 Colección Llena en una Dirección de IP Fija
3.6.5 prueba 5 E-mail la Colección Satisfecha
3.6.6 prueba 6 Collection de E-mail de Seudónimo
3.6.7 prueba 7 Cordón de Texto de Filtración en la Colección de Actividad de Tejido
3.6.8 prueba 8 Failure de Power y Restauración
3.6.9 prueba 9 Colección del Modo Llena para Todos los Puertos de TCP
3.6.10 prueba 10 Colecciona De un Dhcp Assigned la Dirección de IP
3.6.11 prueba 11 Filtración en el Cordón del Texto para la Collection del E-mail
3.6.12 prueba 12 Filtración en el Cordón del Texto y Address del E-mail o User del E-mail ID para la Collection del E-mail
3.6.13 prueba 13 Filtración en el Cordón del Texto para la Colección de FTP
La sección 4 Conclusiones
4.1 asunciones
4.2 Conclusiones generales
4.2.1 necesidad para el Carnívoro
4.2.2 Mandos legales y Orgánicos
4.2.3 colección
4.2.4 responsabilidad
4.2.5 integridad
4.2.6 Ambiente de Desarrollo de carnívoro
4.2.7 Preocupaciones misceláneas
4.2.8 descargo de Carnívoro
4.3 Preguntas de DoJ
4.3.1 DoJ Question 1
4.3.2 DoJ Question 2
4.3.3 DoJ Question 3
4.3.4 DoJ Question 4
La sección 5 Recomendaciones
5.1 recomendación 1
5.2 recomendación 2
5.3 recomendación 3
5.4 recomendación 4
5.5 Reconiniendation 5
5.6 recomendación 6
5.7 recomendación 7
5.8 recomendación 8
5.9 recomendación 9
El apéndice UN Teléfono que Escucha detrás de las puertas como un Punto de la Referencia
El Minimización de A.1
A.2 Pen el Registro y Trampa y Vigilancia del Rastro
El apéndice B el Software del Olfateador Públicamente Disponible
El apéndice C Detailed los Resultados de la Prueba
El apéndice D Detailed la Descripción del Software
El apéndice E Endnotes
LAS FIGURAS
LAS MESAS
[Pages vii-xv.]
IIT Research Institute and the Illinois Institute of Technology Chicago-Kent College of Law (herein abbreviated as IITRI), under contract to the Department of Justice (DoJ), evaluated a Federal Bureau of Investigation (FBI) system known as Carnivore. Carnivore is a software-based tool used to examine all Internet Protocol (IP) packets on an Ethernet and record only those packets or packet segments that meet very specific parameters. IITRI was asked to report on whether Carnivore
In addition, IITRI considered the concerns of interested organizations and citizens. IITRI studied recent testimony; examined material on Internet sites; and met with representatives of the American Civil Liberties Union, Electronic Privacy Information Center, and the Center for Democracy and Technology. IITRI determined that this report must also address
IITRI determined that the scope of the evaluation had to include how Carnivore is applied as well as its technical capabilities. IITRI evaluated the understanding of court orders by the field investigator, the implementation of the court order as commands to the acquisition software, the acquisition minimization performed by the software, and the handling and post-processing of acquired data. Questions of constitutionality of Carnivore-type intercepts and trustworthiness of law enforcement agents were outside the scope of this evaluation.
The Carnivore IITRI evaluated is a snapshot of an on-going development. Carnivore is evolving to improve its performance, enhance its capabilities, and keep pace with Internet development and court rulings. The current version (Carnivore 1.3.4 SP3) was deployed to meet an immediate requirement that commercial products could not satisfy while development continued. The next version, Carnivore 2.0, is in alpha test. Source code for v2.0 was provided to IITRI.
IITRI approached the evaluation in four coordinated, but largely independent, threads
1. IITRI evaluated the process used to translate court orders into commands for Carnivore, implement the collection, and verify that only permitted information was gathered. This thread considered various use scenarios including full content and pen register intercepts. It included interviews with FBI developers, the deployment team, field agents who have used Carnivore, and ISPs who have hosted it.2.IITRI evaluated the system architecture especially with respect to security. This thread considered alternative implementations and the capabilities of commercial products.
3.IITRI examined the Carnivore source code to determine what functions have been implemented and what limitations have been built in.
4.IITRI installed the system in its Information Technology Laboratory (IT Lab) and experimentally determined system capabilities. Tests focused on capabilities of Carnivore, but included using two post-processing programs -- Packeteer and CoolMiner -- that, with Carnivore, are collectively known as the DragonWare suite.
Carnivore is a system used to implement court-ordered surveillance of electronic communication. It is used when other implementations (e.g., having an ISP provide the requested data) do not meet the needs of the investigators or the restrictions placed by the court. Carnivore can be used to collect full content of communications under 18 U.S.C. §§ 2510-2522 and 50 U.S.C §§ 1801-1829 or only address information (i.e., pen register) under 18 U.S.C. §§ 3121- 3127 and 50 U.S.C §§ 1841-1846. Law enforcement agents follow a rigorous, detailed procedure to obtain court orders and surveillance is performed under the supervision of the court issuing the order.
As in all technical surveillance, the FBI applies a strict separation of responsibility when using Carnivore. Case agents establish the need and justification for the surveillance. A separate team of technically trained agents installs the equipment and configures it to restrict collection to that allowed by the court order. In the case of Carnivore, all installations have been performed by the same small team. Case agents are motivated to solve or prevent crimes, but technically trained agents are motivated by FBI policy and procedures to ensure that collection adheres strictly to court orders and will be admissible in court as evidence.
The Carnivore architecture (Figure ES-1) comprises: (1) a one-way tap into an
Ethernet data steam; (2) a general purpose computer to filter and collect data;
(3) additional general purpose computers to control the collection and examine
the data; and (4) a telephone link to the collection computer. The collection
computer is typically installed without a keyboard or monitor. PCAnywhere, a
standard commercial product from Symantec Inc., allows the additional computers
to control the collection computer via the telephone link. The link is protected
by an electronic key such that only a computer with a matching key can connect.
Carnivore software is typically loaded on the collection computer while
Packeteer and CoolMiner are installed on the control computers. All computers
are equipped with Jazz drives for removable data storage.
[Las páginas vii-xv.]
EL RESUMEN EJECUTIVO
LA INTRODUCCIÓN DE ES.1
IIT Research el Instituto y el Illinois Institute de Tecnología Chicago-Kent Universidad de Ley (aquí dentro abrevió como IITRI), bajo el contrato a la Sección de Justicia (DoJ), evaluó un Escritorio Federal de Investigación (FBI) el sistema conocido como el Carnívoro. El carnívoro es una herramienta software-basado examinaba todo el Protocol de Internet (IP) los paquetes en un Ethernet y registro sólo esos paquetes o segmentos del paquete que se encuentran los parámetros muy específicos. IITRI fue pedido informar adelante si el Carnívoro
Les proporciona todos a investigadores, pero sólo, la información se diseña y puso para proporcionar de acuerdo con un orden judicial dado
Introduce cualquier nuevo, material riesgo de operacional o deterioro de seguridad de un Internet Servicio Proveedor (ISP) la red
Los riesgos la adquisición desautorizado, si intencional o involuntario, de información de comunicación electrónica por: (1) personal de FBI o (2) las personas de otra manera que el personal de FBI
Proporciona protections, incluso las funciones de la auditoría y procedimientos operacionales o prácticas, correspondiente con el nivel de los riesgos
Además, IITRI consideró las preocupaciones de organizaciones interesadas y ciudadanos. IITRI estudió el reciente testimonio; el material examinado en los sitios de Internet; y se encontró con representantes de la Unión de Liberties Civil americana, Centro de Información de Retiro Electrónico, y el Centro para la Democracia y Tecnología. IITRI determinó que este informe también debe dirigirse
Todo las capacidades potenciales del sistema, independiente de uso intencional
Los mandos en, y auditability de, el proceso entero por el FBI, el DoJ, y las cortes
La tolerancia de la falta e integridad de los datos
Los papeles, real y potencial, de otras fiestas y sistemas; por ejemplo, los ISP o aplicaciones de la alternativa
Las funciones de Carnívoro dentro de una colección de productos similares
EL ALCANCE DE ES.2
IITRI determinó que el alcance de la evaluación tenía que incluir cómo el Carnívoro es aplicado así como sus capacidades técnicas. IITRI evaluó la comprensión de órdenes judiciales por el investigador del campo, la aplicación del orden judicial como los órdenes al software de adquisición, el minimización de adquisición realizado por el software, y el manejo y poste-procesando de datos adquiridos. Las preguntas de constitucionalidad de Carnívoro-tipo interceptan y la fidelidad de agentes de entrada en vigor de ley esté fuera del alcance de esta evaluación.
El Carnívoro que IITRI evaluó es un instantánea de un desarrollo continuo. El carnívoro está evolucionando para mejorar su actuación, refuerza sus capacidades, y guarda el paso con el desarrollo de Internet y decisiones de la corte. La versión actual (el Carnívoro 1.3.4 SP3) fue desplegado para reunir un requisito inmediato que los productos comerciales no podrían satisfacer mientras el desarrollo continuó. La próxima versión, Carnívoro 2.0, está en la prueba del alfa. El código de la fuente para v2.0 se proporcionó a IITRI.
ES.3 APPROACH
IITRI se acercó la evaluación en cuatro coordinado, pero principalmente independiente, los hilos,
1. IITRI evaluó el proceso traducía los órdenes judiciales en los órdenes para el Carnívoro, llevaba a cabo la colección, y sólo verificaba eso permitido que la información fue recogida. Este hilo consideró varios guiones del uso que incluyen el volumen lleno y el registro de la pluma intercepta. Incluyó las entrevistas con diseñadores de FBI, el equipo del despliegue, agentes del campo que han usado el Carnívoro, e ISPs que lo ha organizado.
2.IITRI evaluaron la arquitectura del sistema sobre todo con respecto a la seguridad. Este hilo consideró las aplicaciones alternativas y las capacidades de productos comerciales.
3.IITRI examinaron el código de fuente de Carnívoro para determinar qué funciones se han llevado a cabo y qué limitaciones se han construido en.
4.IITRI instalaron el sistema en su Laboratorio de Tecnología de Información (ÉL el Laboratorio) y experimentalmente las capacidades del sistema determinadas. Las pruebas enfocaron en las capacidades de Carnívoro, pero el usando incluido dos programas del poste-proceso--Packeteer y CoolMiner--que, con el Carnívoro, está colectivamente conocido como la colección de DragonWare.
LAS OBSERVACIONES DE ES.4
El carnívoro es que un sistema llevaba a cabo vigilancia corte-pedida de comunicación electrónica. Se usa cuando otras aplicaciones (por ejemplo, teniendo un ISP proporcionar los datos pedidos) no satisfaga las necesidades de los investigadores o las restricciones puestas por la corte. El carnívoro puede usarse para coleccionar volumen lleno de comunicaciones bajo 18 U.S.C. §§ 2510-2522 y 50 U.S.C §§ 1801-1829 o sólo información de dirección (es decir, registro de la pluma) bajo 18 U.S.C. §§ 3121 - 3127 y 50 U.S.C §§ 1841-1846. Agentes de entrada en vigor de ley siguen un procedimiento riguroso, detallado para obtener órdenes judiciales y vigilancia ha realizado bajo la vigilancia de la corte que emite el orden.
Como en la vigilancia todo técnica, el FBI aplica una separación estricta de responsabilidad al usar el Carnívoro. Agentes del caso establecen la necesidad y justificación para la vigilancia. Un equipo separado de técnicamente agentes especializados instala el equipo y lo configura para restringir la colección a eso permitió por el orden judicial. En el caso de Carnívoro, todas las instalaciones se han realizado por el mismo equipo pequeño. Se motivan agentes del caso resolver o prevenir los crímenes, pero técnicamente los agentes especializados son motivados por la política de FBI y procedimientos para asegurar esa colección adhiere para cortejar los órdenes estrictamente y será admisible en la corte como la evidencia.
La arquitectura del Carnívoro (la Figura ES-1) comprende: (1) una palmadita sentido único en un Ethernet datos vapor; (2) una computadora del propósito general para filtrarse y coleccionar los datos; (3) las computadoras del propósito generales adicionales para controlar la colección y examinar los datos; y (4) un eslabón del teléfono a la computadora de la colección. La computadora de la colección se instala típicamente sin un teclado o amonestador. PCAnywhere, un producto comercial normal de Symantec Inc., les permite a las computadoras adicionales controlar a la computadora de la colección vía el eslabón del teléfono. El eslabón es protegido por una llave electrónica tal que sólo una computadora con una llave emparejando puede conectar. El software del carnívoro está típicamente cargado en la computadora de la colección mientras se instalan Packeteer y CoolMiner en las computadoras del mando. Todas las computadoras están provistas con los paseos del Jazz para el almacenamiento de los datos trasladable.
Figure ES-1. Carnivore Architecture
When placed at an ISP, the collection computer receives all packets on the Ethernet segment to which it is connected and records packets or packet segments that match Carnivore filter settings. The one-way tap ensures that Carnivore cannot transmit data on the network, and the absence of an installed protocol stack ensures that Carnivore cannot process any packets other than to filter and optionally record them. Carnivore can neither alter packets destined for other systems on the network nor initiate any packets.
Control computers are located at law enforcement sites. When connected by modem to the collection computer, a control computer operator can set and change filter settings, start and stop collection, and retrieve collected information. Using Packeteer and CoolMiner, the operator can reconstruct target activity from the collected IP packets. In pen mode, the operator can see the TO and FROM e-mail addresses and the IP addresses of computers involved in File Transfer Protocol (FTP) and Hypertext Transfer Protocol (HTTP) sessions. In full-collection mode, the operator can view the content of e-mail messages, HTTP pages, FTP sessions, etc. Carnivore operators are anonymous to the system. All users are logged in as "administrator" and no audit trail of actions is maintained.
Carnivore software has four components: (1) a driver derived from sample C source code provided with WinDis 32, a product of Printing Communications Associates implements preliminary filtering of IP packets; (2) an application program interface (API); (3) a down line load (DLL) program written in C++ provides additional filtering and data management; and (4) an executable (EXE) program written in Visual Basic provides a graphical user interface. Functionality is placed in the driver whenever possible to enhance performance. Evolution of the source code between v1.3.4 and v2.0 clearly indicates that all processing will eventually take place in the driver. The DLL provides entry points for functions such as INITIALIZE, START, STOP, and SHUTDOWN. The user interface is divided into basic (Figure ES-2) and advanced (Figure ES-3) screens. The basic screen allows an operator to start and stop collection, view collection statistics, and segment the output file. The advanced screen allows the operator to define and redefine the filter parameters that control what Carnivore collects.
.Cuando puso a un ISP, la computadora de la colección recibe todos los paquetes en el Ethernet segmente a que se conecta y graba paquetes o segmentos del paquete que emparejan las escenas de filtro de Carnívoro. La palmadita sentido único asegura ese Carnívoro no puede transmitir los datos en la red, y la ausencia de una pila protocolar instalada asegura ese Carnívoro no puede procesar ningún paquete de otra manera que filtrarse y opcionalmente grabarlos. El carnívoro ni puede alterar paquetes destinados para otros sistemas en la red " ni puede comenzar cualquier paquete.
Se localizan las computadoras del mando a los sitios de entrada en vigor de ley. Cuando conectó por el módem a la computadora de la colección, un operador de computadora de mando puede poner y escenas de filtro de cambio, la salida y colección de la parada, y recupera la información reunido. Packeteer usando y CoolMiner, el operador puede reconstruir la actividad designado de los paquetes de IP reunido. En el modo de la pluma, el operador puede ver el A y DE las direcciones del e-mail y el IP se dirige de computadoras involucradas en el Protocolo de Traslado de Archivo (FTP) y Protocolo de Traslado de Hipertexto (HTTP) las sesiones. En el modo del lleno-colección, el operador puede ver el volumen de mensajes del e-mail, HTTP compagina, sesiones de FTP, etc. operadores del Carnívoro son anónimos al sistema. Todos los usuarios son anotados en como "administrador" y ninguna auditoría arrastre de acciones se mantiene.
El software del carnívoro tiene cuatro componentes: (1) un chófer derivó de muestra que el C fuente código proporcionó WinDis 32, un producto de Imprimir los instrumentos de Socios de Comunicaciones la filtración preliminar de paquetes de IP,; (2) una interface de programa de aplicación (el API); (3) un baje la carga de la línea (DLL) programa escrito en C++ proporciona filtración adicional y dirección de los datos; y (4) un ejecutable (EXE) programa escrito en el Elemento esencial Visual proporciona una interface del usuario gráfica. La funcionalidad se pone en el chófer siempre que posible reforzar la actuación. La evolución del código de la fuente entre v1.3.4 y v2.0 indica claramente que todo el proceso tendrá lugar en el futuro en el chófer. El DLL mantiene los puntos de la entrada las funciones como INICIALICE, SALIDA, PARADA, y CIERRE. La interface del usuario es dividido en el elemento esencial (la Figura ES-2) y avanzado (la Figura ES-3) las pantallas. La pantalla básica le permite a un operador empezar y detener la colección, las estadísticas de colección de vista, y segmenta el archivo del rendimiento. La pantalla avanzada le permite al operador definir y redefinir los parámetros del filtro que controlan qué Carnívoro colecciona.
Figure ES-2. Basic Carnivore Screen
Figure ES-3. Advanced Carnivore Screen
IITRI verified by code walkthrough, and later by experiment, that Carnivore works as described by the DoJ. Parameters set 'in the user interface were reflected in the configuration file. Data passed by the filter and DLL reflect the configuration file. While IITRI did not perform an automated analysis to verify all code segments are executed and that no hidden code exists, IITRI did verify manually that the driver API and DLL entry points provide only the functionality required to implement the features we observed. Given that the advertised functionality provides ample capability to perform unauthorized surveillance, IITRI concluded there was little incentive to hide such capabilities in the code.
IITRI installed Carnivore version 1.3.4 in its IT Lab. The test configuration, shown in Figure ES- 4, mimics the typical installation at an ISP. The Carnivore tap was placed in a subnetwork containing traffic from the target, but as little other traffic as possible. The subnetwork provided both static and dynamic IP addressing of target and non-target users. IITRI ran a series of tests covering both pen register and full collection scenarios envisioned by the FBI developers. IITRI also ran a series of tests for scenarios not envisioned by the FBI to determine the full capabilities of the device.
.IITRI verificó por el walkthrough del código, y después por el experimento, ese Carnívoro trabaja como descrito por el DoJ. Los parámetros pusieron ' en la interface del usuario se reflejó en el archivo de la configuración. Datos pasados por el filtro y DLL reflejan el archivo de la configuración. Mientras IITRI no realizó un análisis automatizado para verificar todos los segmentos del código se ejecuta y que ningún código oculto existe, IITRI verificó por mano que el chófer API y DLL entrada puntos proporcionan que sólo la funcionalidad exigió llevar a cabo los rasgos nosotros observamos. Dado que la funcionalidad anunciada proporciona la amplia capacidad para realizar la vigilancia desautorizado, IITRI concluyó había incentivo pequeño para esconder las tales capacidades en el código.
IITRI instaló el Carnívoro versión 1.3.4 en su ÉL el Laboratorio. La configuración de la prueba, mostrado en la Figura ES - 4, mímico la instalación típica a un ISP. La palmadita del Carnívoro se puso en un subnetwork que contiene el tráfico del blanco, pero como el otro tráfico pequeño como posible. Los subnetwork proporcionaron estática y " IP dinámico que se dirigen de blanco y usuarios del non-blanco. IITRI ejecutó una serie de pruebas que cubren los dos el registro de la pluma y los guiones de la colección llenos prevista por los diseñadores de FBI. IITRI también ejecutó una serie de pruebas para guiones no previstos por el FBI para determinar las capacidades llenas del dispositivo.
Figure ES4. Carnivore Test Configuration
Carnivore accepts packets unless they are rejected by the filter. Proper operation relies on the ability of the operator to configure the filter correctly and fully. With the default settings, packets are accepted. However, if a single radio button is selected to place the software in full mode collection for transmission control protocol (TCP) traffic, then all TCP traffic is collected. As more filters are selected and configured, the volume of collection is reduced. For example, only selected ports might be collected and Simple Mail Transfer Protocol (SMTP) and Post Office Protocol 3 (POP3) might be limited to certain user names. In normal operation, filters are also used to limit collection to specific IP addresses, but selecting the filters is established by FBI procedures, not by the software.
The other DragonWare components, Packeteer and CoolMiner, work together to display the output of Carnivore in a meaningful manner. Packeteer processes the raw output of Carnivore to reconstruct higher-level protocols from IP packets. CoolMiner develops statistical summaries and displays either pen register or full content information via an Internet browser. After initially verifying via hex-dumps that these programs were reporting the test output correctly, IITRI used them to evaluate the majority of the test scenarios. In cases where the CoolMiner output was not as expected, the raw data from Carnivore was inspected. A few software bugs were found in the Packeteer and CoolMiner programs. These bugs actually cause the collected data to be underreported. An examination of the raw Carnivore output revealed that the correct data was collected. These bugs have been reported to the FBI.
In response to the DoJ's four questions, IITRI concludes
1. When Carnivore is used correctly under a Title III order, it provides investigators with no more information than is permitted by a given court order. When Carnivore is used under pen trap authorization it collects TO and FROM information, and also indicates the length of messages and the length of individual field within those messages possibly exceeding court-permitted collection.2. Operating Carnivore introduces no operational or security risks to the ISP network where it is installed.
3. Carnivore reduces, but does not eliminate, risk of both intentional and unintentional unauthorized acquisition of electronic communication information by FBI personnel, but introduces little additional risk of acquisition by persons other than FBI personnel.
4. While operational procedures or practices appear sound, Carnivore does not provide protections, especially audit functions, commensurate with the level of the risks.
In response to broader concerns, IITRI concludes
Although IITRI specifically excluded questions of constitutionality and of illegal activity by the FBI from this evaluation, IITRI is concerned that the presence of Carnivore and its successors without safeguards as recommended below: (1) fuels the concerns of responsible privacy advocates and reduces the expectations of privacy by citizens at large; and (2) increases public concern about the potential unauthorized activity of law enforcement agents. To reduce these concerns IITRI makes the following recommendations to add protections that will be commensurate with the level of risks inherent in deploying a system such as Carnivore:
.El carnívoro acepta los paquetes a menos que ellos se rechazan por el filtro. El funcionamiento apropiado confía en la habilidad del operador de configurar el filtro correctamente y totalmente. Con las escenas predefinidas, se aceptan los paquetes. Sin embargo, si un solo botón de la radio se selecciona para poner el software por completo la colección del modo para el protocolo de mando de transmisión (TCP) el tráfico, entonces todo el tráfico de TCP es reunido. Cuando más filtros se seleccionan y se configuran, el volumen de colección está reducido. Por ejemplo, podrían coleccionarse los puertos sólo seleccionados y el Protocolo de Traslado de Correo Simple (SMTP) y correo Protocolo 3 (POP3) podría limitarse a ciertos nombres del usuario. En el funcionamiento normal, se usan también los filtros para limitar la colección a IP específico se dirige, pero seleccionando los filtros se establece por los procedimientos de FBI, no por el software.
Los otros componentes de DragonWare, Packeteer y CoolMiner, trabajan para desplegar el rendimiento de Carnívoro de una manera significante juntos. Packeteer procesa el rendimiento crudo de Carnívoro para reconstruir los protocolos superior-nivelados de los paquetes de IP. CoolMiner desarrolla los resúmenes estadísticos y o despliega escriba registro o la información satisfecha llena vía un navegador de Internet. Después de verificar inicialmente vía los hechizo-vertederos que estos programas estaban informando el rendimiento de la prueba correctamente, IITRI los acostumbró a evaluar la mayoría de los guiones de la prueba. En casos como dónde el rendimiento de CoolMiner no era esperados, el datos crudo del Carnívoro se inspeccionó. Unos bichos del software se encontraron en los Packeteer y programas de CoolMiner. Estos bichos causan los datos reunido realmente para ser el underreported. Un examen del rendimiento del Carnívoro crudo reveló que el datos correcto era reunido. Estos bichos se han informado al FBI.
LAS CONCLUSIONES DE ES.5
En la contestación a las cuatro preguntas del DoJ, IITRI concluye
1. cuando el Carnívoro se usa correctamente bajo un Título III orden, proporciona a investigadores sin más información que se permite por un orden judicial dado. Cuando el Carnívoro se usa bajo la autorización de trampa de pluma que colecciona A y DE la información, y también indica la longitud de mensajes y la longitud de campo individual dentro de esos mensajes que exceden la colección corte-permitida posiblemente.
2. operando el Carnívoro introduce ningún operacional o la seguridad se arriesga al ISP conecte una red de computadoras dónde se instala.
3. el carnívoro reduce, pero no elimina, riesgo de adquisición desautorizado intencional y " involuntaria de información de comunicación electrónica por el personal de FBI, pero introduce riesgo adicional pequeño de adquisición por las personas de otra manera que el personal de FBI.
4. mientras procedimientos operacionales o prácticas parecen legítimas, el Carnívoro no proporciona protections, sobre todo las funciones de la auditoría, correspondiente con el nivel de los riesgos.
En la contestación a las preocupaciones más anchas, IITRI concluye
El carnívoro representa tecnología que puede ser más eficaz protegiendo el retiro y habilitando la vigilancia legal que enlate las alternativas.
Se requieren las aprobaciones múltiples actualmente antes de un orden judicial que podría involucrar un despliegue del Carnívoro se pide; poste-colección significante que los mandos orgánicos y judiciales también existen.
El juez dirigiendo puede, y regularmente hace, independientemente verifique ese tráfico coleccionado es lo que fue autorizado legalmente.
El poste-colección hace señas suprimir, la litigación civil, y la prosecución delictiva potencial de agentes involucró en el encima de-colección proporcione el poste-colección extenso mandos externos que protegen contra emplear mal el Carnívoro.
Mientras el sistema se diseñó a, y puede, realice las búsquedas multa-puestas a punto, también es capaz de barridos anchos. Incorrectamente configurado, el Carnívoro puede grabar cualquier tráfico que supervisa.
Propiamente configurado, el Carnívoro examina el tráfico y determina qué pedazos se permiten por sus escenas del filtro.
No aumenta ningún datos de otra manera que eso que los pasos sus filtros
Restringe los datos disponible al FBI a los tipos específicos de o a los usuarios específicos
Incorpora los rasgos para descubrir a los paquetes dejados caer y guardias contra extrañar potencialmente inadvertidamente el señal-apagado de una dirección de IP dinámicamente-asignada
El carnívoro no tiene casi bastante poder "para espiar en casi todos con una cuenta del e-mail". para trabajar eficazmente, debe rechazar la mayoría de paquetes que supervisa. También supervisa sólo los paquetes que cruzan el alambre a que se conecta. Típicamente, este alambre es un manejo de segmento de red sólo un subconjunto del tráfico de un ISP particular.
IITRI no encontró los comestibleses adecuados (por ejemplo los senderos de la auditoría) por establecer la responsabilidad individual para las acciones tomado durante el uso de Carnívoro.
La aplicación actual de Carnívoro tiene las deficiencias significantes en protección para la integridad de la información colecciona.
La relación entre las escenas de filtro de Carnívoro, los datos reunido, y otras actividades investigadoras pueden ser difíciles establecer.
Falte de mando físico de la computadora de colección de Carnívoro engendra algún riesgo de compromiso
FBI labra con herramienta para ver, analiza, y minimiza el rendimiento del Carnívoro crudo contenga varias debilidades materiales. Durante probar, IITRI encontró varios bichos.
El carnívoro no recupera de forma consistente de los fracasos de poder.
No hay ninguna sincronización de tiempo dentro del Carnívoro.
Ningún proceso de desarrollo formal se usó para el Carnívoro a través de versión 1.3.4. Por consiguiente, problemas técnicos como la exactitud del software, no se dirigieron bien robustez del sistema, interfaces del usuario, auditoría, y responsabilidad y seguridad.
El carnívoro no hace
Lea mensajes del e-mail todo entrantes y salientes, incluso el remitente, destinatarios, asunto del mensaje, y cuerpo. Sólo guarda los paquetes para el análisis más tarde después de que ellos se unen positivamente por las escenas del filtro a un blanco
Supervise el tejido-surf y transmitiendo hábitos de los clientes de todo el ISP, incluso las búsquedas de tejido para información o las personas. Sólo puede grabar para evaluación más tarde que algunos archivos de HTTP recuperaron por un blanco
Amonestador o leyó toda la otra actividad electrónica para ese ISP, incluso los mensajes instante (como con ICQ), traslados del archivo persona a persona, el tejido publicando, FTP, Telnet, el newsgroups, las compras en línea, y nada más que se derrota a través de ese ISP. Puede grabar que sólo un subconjunto de cosas así archiva para un usuario específico
El carnívoro no puede
Altere o quite los paquetes de la red o introduzca los nuevos paquetes
Bloquee cualquier tráfico en la red
Quite imágenes, las condiciones, etc. de las comunicaciones
Asga mando de cualquier porción de tráfico de Internet
Cierre o cierre fuera de las comunicaciones de cualquier persona, sitio de tejido, compañía, o ISP
Cierre fuera de las cuentas, ISPs, etc. a "contenga" una investigación
El FBI tiene las razones legítimas para oponer descargo público de Carnívoro. La versión actual tiene limitaciones técnicas que podrían explotarse para derrotar la vigilancia si ellos fueron revelados.
LAS RECOMENDACIONES DE ES.6
Aunque IITRI excluyó preguntas de constitucionalidad específicamente y de actividad ilegal por el FBI de esta evaluación, IITRI está interesado que la presencia de Carnívoro y sus sucesores sin los resguardos como recomendado debajo: (1) los combustibles las preocupaciones de abogados del retiro responsables y reduce las expectativas de retiro por los ciudadanos a grande; y (2) los aumentos la preocupación pública sobre la actividad desautorizado potencial de agentes de entrada en vigor de ley. Para reducir estos involucra IITRI hace las recomendaciones siguientes para agregar protections que será correspondiente con el nivel de riesgos inherente desplegando un sistema como el Carnívoro:
Continúa usando el Carnívoro contra otras técnicas cuando la colección precisa se requiere porque el Carnívoro puede configurarse para reflejar las limitaciones de un orden judicial.
Mantenga versiones separadas de Carnívoro el registro de la pluma y la colección satisfecha llena.
Mantenga la responsabilidad individual todas las acciones del Carnívoro.
Refuerce mando físico de Carnívoro cuando se despliega.
Explícitamente el lazo coleccionó los datos a la configuración de la colección grabando las escenas del filtro con cada archivo reunido y agrega un cheque de redundancia cíclico (CRC) al archivo grabado.
Emplee que un desarrollo formal procesa para mejorar traceability de requisitos, mejora la dirección de la configuración, y reduce los errores potenciales en las versiones futuras de Carnívoro.
Proporcione los cheques en el usuario que une el software para asegurar que las escenas son razonables y consistentes.
Trabaje hacia el descargo público de código de fuente de Carnívoro eliminando las debilidades explotables. Hasta el descargo público, continúe la evaluación independiente para evaluar efectividad y riesgos de encima de - y bajo - la colección. Una vez Packeteer y CoolMiner han tenido todos los bichos del software arreglados, hágalos disponible a otras fiestas con una necesidad de examinar los datos del Carnívoro.
[Pages 1-1 to 1-7.]
Transfer of electronic information via the Internet has become as essential to business and personal communication as has transfer of voice via the telephone. The inherent privacy of such communications is a right of all Americans, but is also exploited by criminals, terrorists, and others who threaten personal safety and national security. Court-supervised interception of electronic communication can be a powerful tool for law enforcement agencies to counter such threats. Many citizens raise concerns, however, that electronic surveillance may itself become a threat to constitutional rights of privacy, free speech, and association.
The Federal Bureau of Investigation (FBI) has developed a tool, Carnivore, to facilitate interception of electronic communications. Carnivore is a software-based Internet Protocol (IP) packet sniffer that can select and record a defined subset of the traffic on the network to which it is attached. Packets can be selected based on IP address, protocol, or, in the case of e-mail, on the user names in the TO and FROM fields. In limited cases, packets can be selected based on their content. Packets can be recorded 'in their entirety (full mode) or recording can be limited to addressing information (pen mode), i.e., IP addresses and usermames. The FBI believes Carnivore allows them to limit the information they gather far more precisely than they can do with commercially- available tools or by requesting that an Internet Service Provider (ISP) perform the collection for them.
The FBI and Department of Justice (DoJ) have stated their belief that Carnivore is necessary to combat terrorism, espionage, information warfare, child pornography, serious fraud, and other felonies. They offer assurances the tool will not also facilitate deliberate or inadvertent interception of protected private communication. In the absence of detailed information about Carnivore, privacy advocates and other members of the public have raised legitimate concerns about the capabilities of Carnivore and its use by law enforcement agencies. Members of Congress, especially House Majority Leader Dick Armey, have questioned the development and use of such tools until concerns have been allayed, and Attorney General Janet Reno has stated
"When we develop new technology, when we apply the Constitution, I want to make sure that we apply it in a consistent and balanced way."
The questions raised by the Government may be summarized as follows:
1. Does Carnivore encourage or inhibit consistent and balanced application of technology in constitutionally-allowed searches; i.e., does Carnivore represent technology that preserves or upsets the balance between privacy interests and law enforcement interests.2. Are additional regulations for use of such tools needed?
3. Are concerns of privacy advocates legitimate?
To provide technical inputs to help these questions, the DoJ solicited academia and private industry to conduct an independent review of Carnivore. Eleven organizations responded, and ITT Research Institute (IITRI), with support from the IIT Chicago-Kent College of Law, was selected based on best technical proficiency, proposed inter-professional methodology, and schedule. While IITRI agreed to allow the DoJ to review the report before it is made public, IITRI also agreed to no prior constraints on the scope and methods of the evaluation, and secured DoJ agreement that IITRI could retain copies of the submitted report, even if the DoJ determines it to be sensitive. The principal motivation for this evaluation is concern within the Federal Government whether Carnivore is a necessary and appropriate tool for permissible electronic surveillance.
In conducting the evaluation of Carnivore, IITRI considered concerns voiced by many parties. However, there are two fundamental concerns IITRI felt it could not address: (1) the constitutionality of collection performed by Carnivore and (2) whether or not agents of the government can be trusted to follow established procedures. The evaluation reveals how Carnivore performs a court- authorized search; it cannot address whether such an authorization should be made. The evaluation also addresses whether weaknesses in the technology, implementation, and procedures associated with Carnivore might facilitate agent error or misbehavior. The concerns that are addressed are detailed in the following paragraphs.
1.1.1 TECHNICAL CONCERNS
In order to establish the technical scope of the evaluation, the DoJ solicited views from experts, in the technical community to identify areas that should be addressed. The following areas were identified by those experts:
1. The boundary of trust between Carnivore and Windows NT, RADIUS, ISPs, commercial products, etc.2. Mapping of a court order to settings
- Completeness in identifying the target (IP or IP and logon)
- Ability to look at web mail
- Ability to handle aliases
- Synchronization and setting of clocks
3. Training of users
4. Auditability of
- Access at multiple levels
- Change control
- Runtime configuration
- Logs (NT or something special)
- Audit reduction
5. Fault tolerance: resilience and recovery from power failure; corrupted files; etc.
6. Completeness -- does it meet specifications
7.Configuration management of the system and other systems with which it interacts
8. General purpose machine on the network backbone
9. Isolation of device from the network
10. Integrity of data
- Potential for user error
- Access and unauthorized use by ISPs or others
- Snooping of content
11. Exception testing
12. Scalability, ability to handle higher volume, and speed
13. Specification walk through
14. Look for hidden functionality
15. Capacity testing (speed, buffer overflow)
16. Test statement coverage (are all executed)
17. Bugs in
- Packet and TCP stream reassembly
- Memory exhaustion and buffer overflow
- Mail header parsing (legal, but odd use)
- Domain Name Server (DNS) name oddities
- Uniform Resource Locator (URL) parsing
- Multipurpose Internet Mail Extensions (MIME) decode
18. Will local law enforcement have access
- What are Attorney General (AG) guidelines
- Are they properly trained
IITRI addressed these concerns within the time and resources provided by the DoJ contract.
1.1.2 CONCERN OF PRIVACY ADVOCATES
Privacy advocates from the American Civil Liberties Union (ACLU), Electronic Freedom Foundation (EFF), Electronic Privacy Information Center (EPIC), and Center for Democracy and Technology (CDT), among others, have made public statements, testified before Congress, and met directly with the DoJ to express their concerns about Carnivore. IITRI reviewed all available statements and assembled the following list of concerns paraphrased from the materials reviewed:
1. While the system, a sophisticated combination of hardware and proprietary software, can perform fine-tuned searches, it is also capable of broad sweeps, potentially enabling the FBI to monitor all of the network's communications.2. "The FBI is placing a black box inside the computer network of an ISP. Not even the ISP knows exactly what that gizMo is doing."
3. Does Carnivore collect more than ordinary e-mail correspondence? Can it monitor all digital communications; for example, spy on online banking transactions?
4. Can Carnivore examine traffic and determine which parts are covered by the wiretap order.
5. Does the system restrict the monitored data to just some selected users? 0 Is the filtering done properly?
- Can the configuration of the ISP cause Carnivore to collect the wrong data?
- Does it have to accumulate other data in order to do this?
- Is the recorded data protected against alteration?
- What happens if Carnivore misses the sign-off of a dynamically-assigned IP address and continues collection?
6. An ISP (or a court) cannot independently verify that any particular installation has been configured to collect only the traffic for which it is legally authorized. What controls are in place?
7. The system includes no oversight of the information the FBI is capturing.
8. Can this software itself be attacked or subverted!
9. There are differences between circuit switched and packet switched network architectures such that laws applicable to one are not applicable to the other.
10. Pen register and full content collection capability mixed in one device.
11.Technical issues including the familiar (and tough) problems of software correctness, complex system robustness, user interfaces, audit, accountability, and security.
13.[sic] Surveillance of the Internet in this way leaves law enforcement with the potential to lower an individual's expectation of privacy as they use the Internet.
1.1.3 CONCERNS EXPRESSED VIA INTERNET
Additional, more alarming concerns have been raised at a number of web sites (e.g., http://www.stopcarnivore.com/). While many of these concerns should be allayed by reputable expert analyses (e.g., http://www.infowarrior.org/) of FBI presentations on Carnivore and Freedom of Information Act (FOIA) releases by the DoJ, IITRI also considered the following concerns while conducting the evaluation:
1. Can Carnivore scan millions of e-mails per second, giving it unlimited power to spy on almost everyone with an e-mail account.
2. Can Carnivore
3. Can Carnivore
4. Is it possible, with Carnivore widely deployed, the FBI could
Motivated by a broad concern for privacy, the purpose of this report is to provide the information needed for any individual or organization to make an independent judgment about Carnivore. To this end, IITRI set two objectives: (1) answering the four specific questions posed by the DoJ in its Statement of Work and (2) conveying an understanding of the system and its use.
1.2.1 ADDRESS FOUR KEY QUESTIONS
IITRI is under contract to the DoJ to answer four questions. Does Carnivore
1.Provide 'investigators with all, but only, the information it is designed and set to provide in accordance with a given court order.2.Introduce any new, material risks of operational or security impairment of an ISP's network.
3.Risk unauthorized acquisition, whether intentional or unintentional, of electronic communication information by
- FBI personnel
- Persons other than FBI personnel
4.Provide protections, including audit functions and operational procedures or practices, commensurate with the level of the risks.
1.2.2 CONVEY UNDERSTANDING OF THE SYSTEM
IITRI had to develop a thorough understanding of Carnivore, and the manner in which it is used by the FBI, to answer DoJ's four questions. IITRI had to determine what procedures are mandated by FBI and DoJ officials, determine the extent to which FBI agents and technicians understand those procedures and employ Carnivore to implement them, interview ISPs and others to verify the information supplied by the FBI, and examine the software source code and test Carnivore in IITRI's Information Technology Laboratory (IT Lab) to determine: (1) if it performs correctly when used as the FBI intends and (2) the full extent of its capabilities. If IITRI achieved its second objective, readers of this report will gain a similar understanding.
IITRI determined that the scope of the evaluation had to include how Carnivore is applied, as well as its technical capabilities. This concept is illustrated in Figure 1-1 where everything within the circle is within the scope of Carnivore and this evaluation. IITRI evaluated the understanding of court orders by the field investigator, the implementation of the court order as commands to the acquisition software, the acquisition minimization performed by the software, and the handling and post-processing of acquired data. Questions of constitutionality of Carnivore-type intercepts and trustworthiness of law enforcement agents were outside the scope of the evaluation.
.SECCIÓN 1
LA INTRODUCCIÓN
1.1 PROPÓSITO
Transfiera de información electrónica vía el Internet se ha vuelto como esencial al negocio y la comunicación personal como tiene traslado de voz vía el teléfono. El retiro inherente de tales comunicaciones es un derecho de todos los americanos, pero también se explota por los delincuentes, los terroristas, y otros que amenazan seguridad personal y la seguridad nacional. La interceptación corte-dirigida de comunicación electrónica puede ser una herramienta poderosa para las agencias de entrada en vigor de ley al contador las tales amenazas. Muchos ciudadanos levantan preocupaciones, sin embargo, esa vigilancia electrónica se puede vuélvase una amenaza a los derechos constitucionales de retiro, discurso libre, y asociación.
El Escritorio Federal de Investigación (FBI) ha desarrollado una herramienta, el Carnívoro, facilitar interceptación de comunicaciones electrónicas. El carnívoro es un Protocol de Internet software-basado (IP) olfateador del paquete que puede seleccionar y puede grabar un subconjunto definido del tráfico en la red a que se ata. Pueden seleccionarse los paquetes basado en IP diríjase, protocolo, o, en el caso de e-mail, en los nombres del usuario en el A y DE los campos. En los casos limitados, pueden seleccionarse los paquetes basado en su volumen. Pueden grabarse los paquetes ' en su integridad (el modo lleno) o grabando pueden limitarse a dirigirse la información (el modo de la pluma), es decir, direcciones de IP y usermames. El FBI cree que el Carnívoro les permite limitar la información que ellos recogen mucho más precisamente que ellos pueden hacer con comercialmente - herramientas disponibles o pidiendo que un Internet Servicio Proveedor (ISP) realice la colección para ellos.
El FBI y Sección de Justicia (DoJ) ha declarado su creencia que el Carnívoro es necesario combatir terrorismo, espionaje, guerra de información, pornografía del niño, fraude serio, y otras felonías. Ellos ofrecen las convicciones que la herramienta tampoco facilitará interceptación deliberada o inadvertida de comunicación privada protegido. En la ausencia de información detallada sobre el Carnívoro, el retiro defiende y otros miembros del público han levantado las preocupaciones legítimas sobre las capacidades de Carnívoro y su uso por las agencias de entrada en vigor de ley. Los miembros de Congreso, sobre todo el Líder de Mayoría de Casa Ricardito Armey, ha cuestionado el desarrollo y uso de cosas así labra con herramienta hasta que se hayan aliviado las preocupaciones, y Abogado General Janet Reno ha declarado
"Cuando nosotros desarrollamos la nueva tecnología, cuando nosotros aplicamos la Constitución, yo quiero asegurarme que nosotros lo aplicamos de un consecuente y la manera equilibrada."
Las preguntas levantadas por el Gobierno pueden resumirse como sigue:
1. hace el Carnívoro anima o inhiba el consecuente y la aplicación equilibrada de tecnología en las búsquedas constitucionalmente-permitidas; es decir, hace el Carnívoro represente tecnología que conserva o perturba el equilibrio entre el retiro interesa e intereses de entrada en vigor de ley.
¿2. las regulaciones adicionales son para el uso de tales herramientas necesitado?
¿3. las preocupaciones son de abogados del retiro legitime?
Para proporcionar las entradas técnicas para ayudar estas preguntas, el DoJ solicitó academia y la industria privada para dirigir una revisión independiente de Carnívoro. Once organizaciones respondieron, e ITT Investigación Instituto (IITRI), con el apoyo del IIT Chicago-Kent Universidad de Ley, se seleccionó basado en la habilidad técnica mejor, metodología del enterrar-profesional propuesta, y horario. Mientras IITRI estaba de acuerdo en permitirle al DoJ repasar el informe que antes de que sea el público hecho, IITRI también no aceptaba los constreñimiento anteriores en el alcance y métodos de la evaluación, y el acuerdo de DoJ asegurado que IITRI pudiera retener copias del informe sometido, aun cuando el DoJ lo determina para ser sensible. La motivación principal para esta evaluación es la preocupación dentro del Gobierno Federal si el Carnívoro es un requisito y apropiado labra con herramienta para la vigilancia electrónica permisible.
Dirigiendo la evaluación de Carnívoro, IITRI consideró preocupaciones expresadas por muchas fiestas. Hay dos sin embargo, fundamental involucra IITRI se sentía no podría dirigirse: (1) la constitucionalidad de colección realizada por el Carnívoro y (2) si o no pueden confiarse en agentes del gobierno para seguir los procedimientos establecidos. La evaluación revela cómo el Carnívoro realiza una corte - la búsqueda autorizada; no puede dirigirse si semejante autorización debe hacerse. La evaluación también se dirige si las debilidades en la tecnología, aplicación, y procedimientos asociadas con el Carnívoro podrían facilitar error del agente o desmán. Se detallan las preocupaciones que se dirigen en los párrafos siguientes.
1.1.1 PREOCUPACIONES TÉCNICAS
Para establecer el alcance técnico de la evaluación, el DoJ solicitó las vistas de los expertos, en la comunidad técnica para identificar áreas que deben dirigirse. Las áreas siguientes se identificaron por esos expertos:
1. el límite de confianza entre el Carnívoro y Windows NT, RADIO, ISPs, los productos comerciales, etc.,
2. trazando de un orden judicial a las escenas
La integridad identificando el blanco (IP o IP y logon)
La habilidad de mirar el correo de tejido
La habilidad de ocuparse de seudónimos
La sincronización y poniendo de relojes
3. entrenando de usuarios
4. Auditability de
Acceda a los niveles múltiples
El mando de cambio
La configuración de Runtime
Los leños (NT o algo especial)
Intervenga la reducción
5. la tolerancia de la falta: el resalto y recuperación del fracaso de poder; los archivos adulterados; etc.
6. la integridad--lo hace encuéntrese las especificaciones
7.Configuration dirección del sistema y otros sistemas con que actúa recíprocamente
8. la máquina del propósito general en el espinazo de la red
9. el aislamiento de dispositivo de la red
10. La integridad de datos
Potencial para el error del usuario
El acceso y uso desautorizado por ISPs u otros
Curioseando de volumen
11. La comprobación de la excepción
12. Scalability, la habilidad de ocuparse de volumen más alto, y velocidad
13. El paseo de la especificación a través de
14. Busque la funcionalidad oculta
15. Capacidad que prueba (la velocidad, la inundación más de color de ante)
16. Pruebe el fondos de la declaración (es todos ejecutados)
17. Los bichos en
El paquete y TCP vierten el reasemblaje
El agotamiento de memoria e inundación del pulidor
Mande por correo título que analiza (el uso legal, pero impar)
El Servidor de Nombre de dominio (DNS) las rarezas del nombre
El Recurso uniforme Locator (URL) analizando
Las Internet Correo Extensiones multiusas (MIMO) descifre
18. Will la entrada en vigor de la ley local tiene el acceso
Lo que es Abogado General (AG) las pautas
Es ellos propiamente entrenado
IITRI se dirigió estas preocupaciones dentro del tiempo y los recursos proporcionaron por el contrato de DoJ.
1.1.2 PREOCUPACIÓN DE ABOGADOS DEL RETIRO
El retiro defiende de la Unión de Liberties Civil americana (ACLU), la Fundación de Libertad Electrónica (EFF), el Centro de Información de Retiro Electrónico (ÉPICO), y Centra para la Democracia y Tecnología (CDT), entre otros, ha hecho declaraciones públicas, testificadas antes del Congreso, y se ha encontrado directamente con el DoJ para expresar sus preocupaciones sobre el Carnívoro. IITRI repasó las declaraciones todo disponibles y congregó la lista siguiente de preocupaciones parafraseada de los materiales repasados:
1. mientras el sistema, una combinación sofisticada de hardware y software de propiedad, puede realizar las búsquedas multa-puestas a punto, también es capaz de barridos anchos, mientras permitiéndole potencialmente al FBI que supervisara las comunicaciones de toda la red.
2. "el FBI está poniendo una caja negra dentro de la red de la computadora de un ISP. No incluso el ISP sabe lo que ese artilugio está haciendo exactamente."
¿3. el Carnívoro colecciona la correspondencia del e-mail más ordinaria? Enlátelo el amonestador las comunicaciones todo digitales; ¿por ejemplo, espíe en las transacciones banca en línea?
4. enlate el Carnívoro examine el tráfico y determina qué partes se cubren por el orden del wiretap.
¿5. el sistema restringe los datos supervisados a sólo algunos seleccionaron a los usuarios? ¿0 son la filtración hecha propiamente?
¿La configuración del ISP puede causar el Carnívoro para coleccionar los datos malos?
¿Tiene que aumentar otros datos para hacer esto?
¿Los datos grabados se protegen contra la alteración?
¿Qué pasa si las erradas del Carnívoro el señal-apagado de un IP dinámicamente-asignado diríjase y continúa la colección?
6. un ISP (o una corte) no puede verificar independientemente que cualquier instalación particular se ha configurado para coleccionar sólo el tráfico para que es autorizado legalmente. ¿Qué mandos están en el lugar?
7. el sistema incluye ninguna vigilancia de la información que el FBI está capturando.
¡8. enlate este software él se ataque o subvirtió!
9. hay diferencias entre circuito cambiado y el paquete cambió las arquitecturas de la red tal que las leyes aplicable a uno no es aplicable al otro.
10. El registro de la pluma y la capacidad de la colección satisfecha llena mezclaron en un dispositivo.
11.Technical problemas incluso el familiar (y pendenciero) los problemas de exactitud del software, robustez del sistema compleja, interfaces del usuario, auditoría, responsabilidad, y seguridad.
13.[sic] la Vigilancia del Internet de esta manera deja la entrada en vigor de la ley con el potencial bajar la expectativa de un individuo de retiro cuando ellos usan el Internet.
1.1.3 PREOCUPACIONES EXPRESARON VÍA INTERNET
Se han levantado las preocupaciones adicionales, más alarmantes a varios sitios de tejido (por ejemplo, http://www.stopcarnivore.com /). Mientras muchas de estas preocupaciones deben aliviarse por los análisis del experto honrados (por ejemplo, http://www.infowarrior.org /) de presentaciones de FBI en el Carnívoro y Libertad de Acto de Información (FOIA) los descargos por el DoJ, IITRI también consideró las preocupaciones siguientes mientras dirigiendo la evaluación:
1. enlate el Carnívoro examina millones de e-mailes por segundo, mientras dándole poder ilimitado para espiar en casi todos con una cuenta del e-mail.
2. enlate el Carnívoro
Lea mensajes del e-mail todo entrantes y salientes, incluso el remitente, destinatarios, y asunto del mensaje y cuerpo,
Supervise el surf de tejido y los hábitos transmitiendo de los clientes de todo el ISP, incluso las búsquedas de tejido para información o las personas,
Amonestador o leyó toda la otra actividad electrónica para ese ISP, incluso los mensajes instante (como con ICQ), traslados del archivo persona a persona, tejido publicando, FTP, Telnet, newsgroups, compras en línea, y todo el otro tráfico que se derrotan a través de ese ISP
3. enlate el Carnívoro
Vuélvase una "válvula" o "filtro" a través de que la información digital de casi todo el mundo pasará
Bloquee el viendo de cualquier imagen con cierto filenames sospechoso o acceso del bloque a los dominios pornográficos
Examine a todos el e-mail para las referencias de droga y amonestador todos el surf para encontrar "ofendiendo" los sitios
Asga mando de cualquier porción de tráfico de Internet
Cierre fuera de las cuentas, ISPs, o incluso ciudades o regiones a "contenga" cualquier cosa está investigándose
Literalmente quite "ofensiva" las condiciones de las comunicaciones
Vuélvase un "marcador negro grande" virtual eso puede usarse para bloquear "peligroso" o amenazando" las imágenes
Ensanche el rango, alcance, y frecuencia de acciones que algunas personas ven como las violaciones de retiro
Cierre o cierre fuera de las comunicaciones de cualquier una persona, sitio de tejido, compañía, o ISP
4. es él posible, con Carnívoro ampliamente desplegado, el FBI pudo
Prohiba por la interceptación, tachadura, o alteración cualquier idioma o el volumen encuentre para ser inaceptable
Supervise las comunicaciones del país y blanco cualquier persona que fue encontrada o desconfió de ser un "el problema," con el FBI que actúa como juez de quién o lo que es un "problema"
Invoque las normas obligatorias para los sitios de tejido, como un sistema de la valuación (gusta eso usado para las películas), o las normas de seguridad amenazadoras (prohibiendo los mensajes del encrypted y afianza, los sitios de tejido privados)
1.2 OBJETIVO
Motivado por una preocupación ancha para el retiro, el propósito de este informe es proporcionar la información necesitada para cualquier individual u organización para hacer un juicio independiente sobre el Carnívoro. Con este fin, IITRI puso dos objetivos: (1) contestando las cuatro preguntas específicas propuestas por el DoJ en su Declaración de Trabajo y (2) llevando una comprensión del sistema y su uso.
1.2.1 DIRECCIÓN CUATRO PREGUNTAS DE LA LLAVE
IITRI está bajo el contrato al DoJ contestar cuatro preguntas. Hace el Carnívoro
1.Provide ' investigadores con todos, pero sólo, la información se diseña y puso para proporcionar de acuerdo con un orden judicial dado.
2.Introduce cualquier nuevo, material riesgo de operacional o deterioro de seguridad de la red de un ISP.
3.Risk adquisición desautorizado, si intencional o involuntario, de información de comunicación electrónica por
El personal de FBI
Las personas de otra manera que el personal de FBI
4.Provide protections, incluso las funciones de la auditoría y procedimientos operacionales o prácticas, correspondiente con el nivel de los riesgos.
1.2.2 LLEVAN ENTENDIENDO DEL SISTEMA
IITRI tenía que desarrollar una comprensión completa de Carnívoro, y la manera en que se usa por el FBI, contestar las cuatro preguntas de DoJ. IITRI tenía que determinar qué procedimientos se asignan por FBI y oficiales de DoJ, determina hasta que punto agentes de FBI y técnicos entienden esos procedimientos y Carnívoro del empleo para llevarlos a cabo, la entrevista ISPs y otros para verificar la información proporcionada por el FBI, y examina el código de fuente de software y Carnívoro de la prueba en el Laboratorio de Tecnología de Información de IITRI (ÉL el Laboratorio) para determinar: (1) si realiza correctamente cuando usó como el FBI piensa y (2) la magnitud llena de sus capacidades. Si IITRI lograra su segundo objetivo, los lectores de este informe ganarán una comprensión similar.
1.3 ALCANCE
IITRI determinó que el alcance de la evaluación tenía que incluir cómo el Carnívoro es aplicado, así como sus capacidades técnicas. Este concepto se ilustra en Figura 1-1 donde todo dentro del círculo está dentro del alcance de Carnívoro y esta evaluación. IITRI evaluó la comprensión de órdenes judiciales por el investigador del campo, la aplicación del orden judicial como los órdenes al software de adquisición, el minimización de adquisición realizado por el software, y el manejo y poste-procesando de datos adquiridos. Las preguntas de constitucionalidad de Carnívoro-tipo interceptan y la fidelidad de agentes de entrada en vigor de ley esté fuera del alcance de la evaluación.
Figure 1-1. Scope of the Evaluation
[Pages 2-1 to 2-4.]
IITRI approached the evaluation of Carnivore by first listing and prioritizing government, public, and its own concerns about Carnivore's operation and application. IITRI addressed as many of these concerns as possible within the available time and resources. To make best use of resources, IITRI divided the effort into four coordinated, but largely independent, threads: (1) assess the process in which Carnivore is applied; (2) evaluate the system architecture including commercial-off-the-shelf (COTS) products; (3) examine the software source code; and (4) test Carnivore in the IITRI IT Lab. Each thread addressed a different subset of concerns, but, in general, IITRI was able to address each concern from multiple view points. The specific approaches to each thread are described in the following paragraphs.
The FBI did everything possible to facilitate this evaluation. The Bureau provided Carnivore hardware and software for use at the IITRI facility. It made key personnel at the Engineering Research Facility and 'in field offices available as needed. It provided all documentation requested and volunteered additional documents that might be helpful. The FBI answered all questions promptly and completely. Timely completion of this evaluation would not have been possible without this level of cooperation.
IITRI evaluated the process used to translate court orders into commands for Carnivore, implement the collection of information, and then verify that only permitted information was gathered. This thread considered various use scenarios including full content and pen register intercepts. It 'included interviews with FBI developers, the deployment team, field agents who have used Carnivore, and ISPs who have hosted it. IITRI also reviewed written FBI procedures to assess the organizational controls on using Carnivore and handling information collected by it.
FBI personnel from the Engineering Research Facility described the process for using Carnivore during initial technical meetings. IITRI subsequently verified those descriptions by reviewing Government Furnished Information (GFI) (see paragraph 2.2), interviewing field agents, and interviewing personnel from ISPs where Carnivore has been installed. Field agents who have used Carnivore were identified for IITRI by the Digital Intercept Technology Unit (DITU). IITRI interviewed case agents, who use Carnivore data in their investigations, and technically trained agents, who are the hands-on users of Carnivore. ISP personnel interviewed included the manager of Internet services of a small ISP (identified for IITRI by the FBI) and the legal advisor, system administrator, and data center manager of a large ISP (contacted 'independently by IITRI).
IITRI evaluated the system architecture and COTS components, especially with respect to security. This thread considered alternative implementations and the capabilities of potential Carnivore replacements or competitors from the commercial market. The architecture evaluation was based on presentations by the FBI, discussions with the FBI Carnivore deployment and development teams, examination of publicly-available information, and examination of the following sensitive GFI documents:
IITRI and the FBI conducted four technical meetings at the FBI Engineering Research Facility and the IITRI IT Lab. Participants included the IITRI technical evaluation and test team, the FBI project manager and deployment team, and the Carnivore and DragonWare developers. IITRI participated with the FBI in an installation of Carnivore in IITRI's IT Lab, received training on using Carnivore, and later independently reinstalled the system. IITRI had the opportunity to question the developers about design decisions and to understand the history and future of Carnivore development as well as the current system.
IITRI examined the Carnivore source code to determine what functions have been implemented and what limitations have been built 'in. This examination was primarily a manual examination, although Rational Rose and some miscellaneous tools were applied, with limited results, as follows:
IITRI installed the system in its IT Lab and experimentally determined the system capabilities. tests focused on capabilities of Carnivore but included use of two post-processing programs, Packeteer and CoolMiner, which, with Carnivore, are collectively known as the DragonWare suite. Carnivore is the main collection system; the tested version is 1.3.4 (SP3). Packeteer is a tool used to process the collected packets; the main purpose of this process is to put together all of the packets that belong to one session. The tested version is 1.2 (SP4).
CoolMiner is a web browser tool that is used to analyze the packet data that Packeteer put together. The tested version is 1.2 (SP4). As Carnivore filters IP packets it normally considers only the next layer of protocols (i.e., TCP, User Datagram Protocol (UDP), and Internet Control Message Protocol (ICMP)). Reconstruction of higher level protocols (e.g., POP3, SMTP, FTP, HTTP, etc.) is a function of Packeteer. Because IITRI was testing Carnivore and not Packeteer, it was able to use a very limited subset of protocols in its test scenarios and still evaluate all Carnivore functions.
IITRI created a special subnetwork within its existing office automation system to allow realistic testing in an environment similar to that used at ISPs (see Figure 2-1). A segment of the subnetwork containing desktop personal computers (PCs) with fixed IP addresses and a laptop PC that obtained its IP address dynamically were used 'in the test environment to generate end-user traffic during the period that Carnivore was collecting data. For most of the scenarios, a target was assigned to use either a fixed IP address desktop PC or a dynamic IP address laptop PC. Additional desktop computers are identified 'in Figure 2-1 as the "Innocent Bystanders." Some of the test scenarios required multiple surveillance targets to test how a fixed IP address might behave differently than a dynamic IP address.
For stress and capacity tests, a mail server was placed on the subnetwork and a Perl script was written to generate a continuous stream of messages.
.SECCIÓN 2
EL ACERCAMIENTO
IITRI se acercó la evaluación de Carnívoro por primero inscripción y priorizando al gobierno, público, y sus propias preocupaciones sobre el funcionamiento de Carnívoro y aplicación. IITRI se dirigió tantos de estas preocupaciones como posible dentro del tiempo disponible y recursos. Hacer uso mejor de recursos, IITRI dividió el esfuerzo en cuatro coordinado, pero principalmente independiente, los hilos,: (1) evalúe el proceso en que el Carnívoro es aplicado; (2) evalúe la arquitectura del sistema incluso el comercial-fuera de-el-estante (los SITIOS PARA ANIMALES DOMÉSTICOS) los productos; (3) examine el código de fuente de software; y (4) el Carnívoro de la prueba en el IITRI ÉL el Laboratorio. Cada hilo se dirigió un subconjunto diferente de preocupaciones, pero, en general, IITRI pudo dirigirse cada preocupación de los puntos de vista múltiples. Se describen los acercamientos específicos a cada hilo en los párrafos siguientes.
El FBI hizo todo posible facilitar esta evaluación. El Escritorio mantuvo hardware del Carnívoro y software el uso en la facilidad de IITRI. Hizo el personal importante en la Facilidad de Investigación de Ingeniería y ' en las oficinas del campo disponible como necesitado. Proporcionó toda la documentación pedida y ofreció documentos adicionales que podrían ser útiles. El FBI contestó todas las preguntas rápidamente y completamente. La realización oportuna de esta evaluación no habría sido posible sin este nivel de cooperación.
2.1 VALORACIÓN DEL PROCESO
IITRI evaluó que el proceso traducía los órdenes judiciales en los órdenes para el Carnívoro, llevaba a cabo la colección de información, y entonces sólo verificaba eso permitido que la información fue recogida. Este hilo consideró varios guiones del uso que incluyen el volumen lleno y el registro de la pluma intercepta. Él ' las entrevistas incluido con diseñadores de FBI, el equipo del despliegue, agentes del campo que han usado el Carnívoro, e ISPs que lo ha organizado. IITRI también repasó los procedimientos de FBI escrito para evaluar los mandos orgánicos en usar el Carnívoro y ocuparse de información coleccionó por él.
El personal de FBI de la Facilidad de Investigación de Ingeniería describió el proceso por usar el Carnívoro durante las reuniones técnicas iniciales. IITRI verificó esas descripciones como consecuencia repasando a Gobierno Amueblado la Información (GFI) (vea párrafo 2.2), entrevistando a agentes del campo, y entrevistando el personal de ISPs dónde el Carnívoro se ha instalado. Se identificaron agentes del campo que han usado el Carnívoro para IITRI por el Digital Intercepte la Unidad de Tecnología (DITU). IITRI entrevistó a agentes del caso que usan los datos del Carnívoro en sus investigaciones y técnicamente agentes especializados que son los usuarios prácticos de Carnívoro. El personal de ISP entrevistó incluido el gerente de servicios de Internet de un ISP pequeño (identificó para IITRI por el FBI) y el consejero legal, administrador del sistema, y datos centran a gerente de un ISP grande (avisó ' independientemente por IITRI).
2.2 EVALUACIÓN DE LA ARQUITECTURA
IITRI evaluó la arquitectura del sistema y componentes de los SITIOS PARA ANIMALES DOMÉSTICOS, sobre todo con respecto a la seguridad. Este hilo consideró las aplicaciones alternativas y las capacidades de reemplazos del Carnívoro potenciales o competidores del mercado comercial. La evaluación de la arquitectura era basado en las presentaciones por el FBI, discusiones con el FBI Carnívoro despliegue y el desarrollo unce, examen de información públicamente-disponible, y examen de los documentos de GFI sensibles siguientes:
El carnívoro 1.3.4 Requisitos del Sistema
El carnívoro 1.3.4 Plan de la Prueba
Las carnívoro Uso Caso Especificaciones
La Versión del carnívoro 2.0 Documento de Visión
Los Datos de FBI Interceptan el Manual de Entrenamiento
Las porciones pertinentes del Manual de FBI de Funcionamientos Investigadores y Pautas (MIOG)
Los órdenes de la corte representativos
CD-ROM con los binario y código de la fuente para las versiones del Carnívoro 1.3.4 y 2.0 alfa.
IITRI y el FBI dirigieron cuatro reuniones técnicas al FBI Engineering la Facilidad de la Investigación y el IITRI ÉL el Laboratorio. Los participantes incluyeron el IITRI la evaluación técnica y equipo de la prueba, el FBI proyecto gerente y equipo del despliegue, y el Carnívoro y diseñadores de DragonWare. IITRI participó con el FBI en una instalación de Carnívoro en IITRI ÉL el Laboratorio, el entrenamiento recibido en usar el Carnívoro, y después independientemente reinstaló el sistema. IITRI tenía la oportunidad para cuestionar a los diseñadores sobre las decisiones del plan y entender la historia y futuro de desarrollo del Carnívoro así como el sistema actual.
2.3 SOFTWARE FUENTE CÓDIGO EXAMEN
IITRI examinó el código de fuente de Carnívoro para determinar qué funciones se han llevado a cabo y qué limitaciones se han construido ' en. Este examen era principalmente un examen manual, aunque Rose Racional y algunas herramientas misceláneas eran aplicadas, con los resultados limitados, como sigue:
IITRI usó el c|c (el línea-contador de C/C++), una herramienta del freeware escrita en Perl, contar el noncomment linea de código. La cuenta es algo subjetiva y para este informe los números son redondeados e informaron como las aproximaciones.
IITRI describió todos los rendimientos del archivo que ocurren durante el funcionamiento normal de Carnívoro específicamente. Hay rendimientos adicionales a la pantalla que ocurre cuando el Carnívoro tiene corrió con poner a punto encendió. IITRI verificó que ninguno de estos rendimientos proporciona el detalle adicional sobre los volúmenes del paquete.
IITRI acostumbró las capacidades de la ingeniería inversas de Rose Racional a generar un diagrama de la clase de Carnivore.dll, pero el esfuerzo reveló sólo una relación entre las clases. La clase que CVoreFileFormat se deriva de la clase abstracta CFileFormat. Esta relación parece reducir el esfuerzo exigido revisar el formato de archivo de rendimiento (como se ha hecho para el Carnívoro v2.0). Creando diagramas adicionales o las relaciones adicionales determinando para el diagrama de la clase (si aplicable) habría sido un esfuerzo manual extenso y habría estado más allá del alcance y recursos de esta evaluación.
2.4 PRUEBA DEL LABORATORIO
IITRI instaló el sistema en su ÉL el Laboratorio y experimentalmente determinó las capacidades del sistema. las pruebas enfocaron en las capacidades de Carnívoro pero el uso incluido de dos programas del poste-proceso, Packeteer y CoolMiner que, con el Carnívoro, está colectivamente conocido como la colección de DragonWare. El carnívoro es el sistema de la colección principal; la versión probada es 1.3.4 (SP3). Packeteer es una herramienta procesaba los paquetes reunido; el propósito principal de este proceso es reunir todos los paquetes que pertenecen a una sesión. La versión probada es 1.2 (SP4).
CoolMiner es una herramienta de navegador de tejido que se usa para analizar los datos del paquete que Packeteer reunió. La versión probada es 1.2 (SP4). Como el Carnívoro normalmente se filtra los paquetes de IP considera sólo la próxima capa de protocolos (es decir, TCP, Usuario el Protocolo de Datagram (UDP), e Internet Mando Mensaje Protocolo (ICMP)). la Reconstrucción de protocolos nivelados más altos (el ej., POP3, SMTP, FTP, HTTP, etc.) es una función de Packeteer. Porque IITRI estaba probando el Carnívoro y no Packeteer, pudo usar un subconjunto muy limitado de protocolos en sus guiones de la prueba y todavía evaluar todas las funciones del Carnívoro.
IITRI creó un subnetwork especial dentro de su sistema de automatización de oficina existente permitir la comprobación realista en un ambiente similar a eso usó a ISPs (vea Figura 2-1). UN segmento del subnetwork que contiene el desktop las computadoras personales (PCs) con las direcciones de IP fijas y un PC portátil que obtuvieron su IP diríjase dinámicamente se usó ' en el ambiente de la prueba para generar el tráfico del extremo-usuario durante el periodo que el Carnívoro era el datos colectivo. Para la mayoría de los guiones, un blanco fue asignado para o usar un IP fijo diríjase PC al desktop o un IP dinámico se dirige PC portátil. Se identifican las computadoras del desktop adicionales ' en Figura 2-1 como los "Espectadores Inocentes". Algunos de los guiones de la prueba exigieron a los blancos de vigilancia múltiples probar cómo un IP fijo se dirige podría comportarse diferentemente que una dirección de IP dinámica.
Para la tensión y la capacidad prueba, un servidor del correo se puso en el subnetwork y una escritura de Perl fue escrito para generar un arroyo continuo de mensajes.
.
Figure 2-1. Test Configuration
[Pages 3-1 to 3-25.]
Three statutory schemes provide the framework for the FBI's use of Carnivore. FBI agents may use Carnivore to intercept electronic information pursuant to Title III of the Omnibus Crime Control and Safe Streets Act of 1968,i pursuant to the Foreign Intelligence Surveillance Actii and pursuant to the pen-trap provisions in 18 U.S.C. §§ 3121-3124. Additional background is found in Appendix A.
3.1.1 TITLE III INTERCEPTS OF ELECTRONIC INFORMATION
Federal law enforcement investigators can only electronically intercept information under stringent requirements. The Omnibus Crime Control and Safe Streets Act governs electronic interception of wire and oral communication; it was amended in 1986 to include interception of electronic communication. One restriction provides that only certain highly-placed officials in the DoJ -- the Attorney General, Deputy Attorney General, Associate Attorney General, and certain others designated by the Attorney General -- can authorize application for a wiretap via Carnivore or any other mechanism.iii This requirement ensures a measure of internal review and deliberation prior to any wiretap. Second, as a legal matter, wiretaps in the Carnivore context can only be used for a felony,iv and, as a practical matter, only for those felonies serious enough to warrant the resources.v Third, only an Article III judge may grant the order.vi Fourth, law enforcement officials must demonstrate probable cause that a crime has been committed or is about to be committed, that normal investigative procedures have been tried and have not been sufficient, and that there is probable cause to believe that communications relevant to the investigation can be captured.vii Fifth, the wiretap order must contain the following: (1) the identity of the interceptee, if known; (2) the nature and location of the communications facilities to which the authority to intercept is granted; (3) a particular description of the type of communication sought to be intercepted, and a statement of the particular offense to which it relates; (4) the identity of the agency authorized to intercept the communications, and of the person authorizing the application; and (5) the period of time during which such interception is authorized, including a statement as to whether or not the interception shall be automatically terminated when the described communication is first obtained.viii Sixth, every order must ensure that the interception "minimize the interception of communication," including that the interception should not continue for "any period longer than is necessary to achieve the objective of the authorization, or in any event longer than thirty days."ix Law enforcement officers in the wiretap context typically satisfy minimization obligations by turning off the equipment when content outside the scope of the Title III order is heard, and then turning the equipment back on periodically to determine if content within the scope of the order is occurring. The efficacy of minimization thus depends upon the judgment of the human listener. Carnivore provides minimization for intercepts of electronic communications automatically through its filters. Second-stage minimization occurs when the case agent reviews intercepted communications with DragonWare. Seventh, within 90 days after termination of the investigation, the supervising judge shall notify targets and certain other parties whose communications were intercepted of the fact of interception.x
Section 2518(7) permits circumvention of the above requirements in discrete circumstances. If a law enforcement official designated by the Attorney General determines that an emergency situation exists in which the national security is compromised or there is an "immediate danger of death or serious physical injury,"xi the interception can proceed with notice to the court within the next 48 hours.
.SECCIÓN 3
LOS RESULTADOS
3.1 EL ARMAZÓN LEGAL PARA LA VIGILANCIA ELECTRÓNICA
Tres esquemas estatutarios mantienen el armazón el uso del FBI de Carnívoro. Agentes de FBI pueden acostumbrar el Carnívoro a interceptar la información electrónica consiguiente para Titular III del Mando de Crimen de Ómnibus y Acto de las Calles Seguro de 1968,i consiguiente a la Vigilancia de la Inteligencia Extranjera Actii y consiguiente a los comestibleses del pluma-trampa en 18 U.S.C. §§ 3121-3124. El fondo adicional se encuentra en el Apéndice A.
3.1.1 TÍTULO QUE III INTERCEPTAN DE INFORMACIÓN ELECTRÓNICA
Los investigadores de entrada en vigor de ley federales sólo pueden interceptar electrónicamente la información bajo los requisitos severos. El Mando de Crimen de Ómnibus y el Acto de las Calles Seguro gobierna interceptación electrónica de alambre y comunicación del oral; se enmendó en 1986 para incluir interceptación de comunicación electrónica. Una restricción proporciona eso sólo ciertos oficiales muy-puestos en el DoJ--el Abogado General, Diputado Abogado Abogado General General, Asociado, y ciertos otros designaron por el Abogado General--puede autorizar la aplicación para un wiretap vía Carnívoro o cualquier otro mechanism.iii Este requisito asegura una medida de revisión interior y prior de la deliberación a cualquier wiretap. Segundo, como una materia legal, sólo pueden usarse wiretaps en el contexto del Carnívoro para un felony,iv y, como una materia práctica, sólo para esas felonías serio bastante para autorizarle Tercero al resources.v, sólo un Artículo III juez puede concederle Cuarto al order.vi, oficiales de entrada en vigor de ley deben demostrar causa probable que un crimen se ha comprometido o se ha sido sobre ser comprometido, que los procedimientos investigadores normales han sido probados y no han sido suficiente, y que hay causa probable para creer que las comunicaciones pertinente a la investigación captured.vii puede ser Quinto, el orden del wiretap debe contener a lo siguiente: (1) la identidad del interceptee, si conocido; (2) la naturaleza y situación de los medios de comunicaciones a que la autoridad para interceptar se concede; (3) una descripción particular del tipo de comunicación buscó ser interceptada, y una declaración de la ofensa particular a que relaciona; (4) la identidad de la agencia autorizó para interceptar las comunicaciones, y de la persona que autoriza la aplicación; y (5) el periodo de tiempo durante que la tal interceptación es autorizada, incluso una declaración acerca de si o no la interceptación se terminará automáticamente cuando la comunicación descrita es primero obtained.viii Sexto, cada orden debe asegurar que la interceptación "minimice la interceptación de comunicación," incluyendo que la interceptación no debe continuar para "cualquier periodo más largo que es necesario lograr el objetivo de la autorización, o en todo caso más largo que treinta días. "ix Ley entrada en vigor funcionarios en el contexto del wiretap satisfacen las obligaciones de minimización típicamente apagando el equipo cuando satisfecho fuera del alcance del Título III orden se oye, y retrocediendo entonces periódicamente el equipo adelante determinar si satisfecho dentro del alcance del orden está ocurriendo. La eficacia de minimización depende así en el juicio del oyente humano. El carnívoro proporciona el minimización para intercepta automáticamente de comunicaciones electrónicas a través de sus filtros. El minimización del segundo-fase ocurre cuando las revisiones de agente de caso interceptaron las comunicaciones con DragonWare. Séptimo, dentro de 90 días después de la terminación de la investigación, el juez dirigiendo notificará los blancos y ciertas otras fiestas cuyas se interceptaron las comunicaciones del hecho de interception.x
Sección 2518(7) la trampa de los permisos de los requisitos anteriores en las circunstancias discretas. Si un oficial de entrada en vigor de ley designara por el Abogado General que determina que una situación de la emergencia existe en que la seguridad nacional se compone o hay un "el peligro inmediato de muerte o la lesión física seria, "xi que la interceptación puede proceder con el aviso a la corte dentro de las próximas 48 horas.
3.1.2 PEN AND TRAP PROVISIONS
Pen registers and trap and trace devices (pen trap devices) record the numbers of incoming calls and outgoing telephone numbers dialed. The devices may be used by law enforcement agencies only pursuant to a court order, but the restrictions are less stringent than for wiretaps under Title III.xii Applications for pen trap orders may be made by any attorney for the Federal Government or by state investigative and law enforcement officers.
.3.1.2 PLUMA Y COMESTIBLESES DE LA TRAMPA
Los registros de la pluma y trampa y dispositivos del rastro (los dispositivos de trampa de pluma) registro que los números de llamadas entrantes y los números del teléfono salientes marcaron. Los dispositivos sólo pueden usarse por las agencias de entrada en vigor de ley consiguiente a un orden judicial, pero las restricciones son menos severo que para el wiretaps bajo el Título las Aplicaciones de III.xii para los órdenes de trampa de pluma pueden ser hechas por cualquier abogado para el Gobierno Federal o por el estado investigador y funcionarios de entrada en vigor de ley.
No special authorization is required.xiii Any court of competent jurisdiction must issue a pen trap order if the court finds that the applicant has certified to the court that the information likely to be obtained through the device is "relevant to an ongoing criminal investigation."xiv Pen trap orders must specify the subscriber of the telephone line to which the pen trap device will be attached, the identity of any person who is the subject of a criminal investigation, the number and, if known, physical location of the telephone line to which the pen trap device is to be attached, and state the offense as to which the information likely to be obtained by the pen trap device relates.xv Pen trap orders may direct third parties to furnish information, facilities, and technical assistance necessary to accomplish installation of the pen trap device, extend for 60 days, and be renewed upon further judicial findings.xvi When FBI officials use Carnivore for purposes of capturing destination information of e-mail messages sent and origination information on e-mail messages received, they assert that they need only abide by this set of statutory restrictions rather than the more extensive set under Title III.
.Ninguna autorización especial es required.xiii Cualquier corte de jurisdicción competente debe emitir un orden de trampa de pluma si los hallazgos judiciales que el solicitante ha certificado a la corte que la información probablemente ser obtenido a través del dispositivo es "pertinente a una investigación delictiva continuada. "los xiv Escriben los órdenes de la trampa deben especificar al subscriptor de la línea telefónica a que el dispositivo de trampa de pluma se atará, la identidad de cualquier persona que es el asunto de una investigación delictiva, el número y, si la situación conocida, física de la línea telefónica a que el dispositivo de trampa de pluma será atado, y declara la ofensa acerca de que la información probablemente para ser obtenido por el dispositivo de trampa de pluma relates.xv Pen los órdenes de la trampa pueden dirigir terceras fiestas para amueblar información, medios, y ayuda técnica necesario lograr instalación del dispositivo de trampa de pluma, extiéndase durante 60 días, y se renueve en findings.xvi judicial extenso Cuando oficiales de FBI usan el Carnívoro para los propósitos de información del destino capturadora de se renueve en findings.xvi judicial extenso Cuando oficiales de FBI usan el Carnívoro para los propósitos de información del destino capturadora de mensajes del e-mail enviados e información del origen sobre