|
[Pages B-1 to B-2.]
Several widely available products permit interception of computer network packets. One of the most popular is Wild Packets, Inc.'s EtherPeek.lii A fully capable version of EtherPeek can be purchased for under $1,000. A demonstration version of the software can be downloaded on the Internet for free. EtherPeek can be installed on any PC running Windows 98 in a matter of minutes. EtherPeek permits the user to capture any packet visible to the network interface card on which the software is installed. In other words, EtherPeek can capture any packet traversing a network segment on a local area network. The user can configure EtherPeek's capture utility to capture only those packets using a particular protocol, such as IP, TCP/IP, or IP/HTTP. The capture utility also can target particular IP or Ethernet addresses. After packets are captured, the user can cause the EtherPeek software to group packets comprising a particular session and can examine packet contents in a graphical display that highlights particular elements of transactional information and displays plain text contents in readable ASCII format.
IITIR downloaded the demonstration version of EtherPeek and had no difficulty in configuring it to capture packets comprising a short web browsing session and to capture packets comprising e-mail retrieved through web mail from a Microsoft exchange server. The full content of the e-mail thus retrieved and the full content of the URLs and selected web pages were clearly visible in the plain text ASCII window of the software. F
18 U.S.C § 2512 makes it illegal to manufacture, assemble, possess, or sell "any electronic, mechanical, or other device, knowing or having reason to know that the design of such device renders it primarily useful for the purpose of surreptitious interception of wire, oral, or electronic communications."liii Fines and imprisonment for up to five years may result from violation of the prohibition.liv No case law or law review literature applies this statutory prohibition to network sniffer software such as EtherPeek. In construing the relationship between the statutory prohibition and sniffer software, two statutory phrases must be interpreted: "device," and "primarily useful for the purpose of the surreptitious interception of . . . electronic communications." It can be argued that sniffer software is not a device; it is a computer program. But sniffer software functions only after it has been installed on a computer, and a computer with installed sniffer software probably qualifies as a device.
An independent argument is that sniffer software such as EtherPeek is only incidentally, and not primarily, useful for surreptitious interception of electronic communications. Electronic communications is defined under Title III as the contents of communications, and not merely transactional data about a communication. Many -- arguably, most -- of EtherPeek's features focus on the nature of captured packets, and not their contents. The program calculates statistics about packet size, types of packets, and patterns of packet traffic to and from particular nodes. Only one of its many features permits inspection of packet contents.
Regardless of whether the "primarily useful" criterion is satisfied, there is little doubt that sniffer software enables the surreptitious interception of packets; users of a network segment have no way of knowing whether packets to and from their computers are being intercepted by another node connected to that network segment and running sniffer software.
EtherPeek and similar sniffer software can be used by the FBI -- or for that matter, by anyone -- to capture as much and more information captured by Carnivore. Such interception would be prohibited by or permitted by Title III, FISA, and the pen-trap provisions to the same extent that interception by Carnivore is prohibited or permitted.
.EL APÉNDICE B
EL SOFTWARE DEL OLFATEADOR PÚBLICAMENTE DISPONIBLE
Varios productos extensamente disponibles permiten interceptación de paquetes de red de computadora. Uno del más popular es los Paquetes Salvajes, Inc. ' s EtherPeek.lii UNA versión totalmente capaz de EtherPeek puede comprarse para bajo $1,000. UNA versión de la demostración del software puede transmitirse gratuitamente en el Internet para. EtherPeek puede instalarse en cualquier PC Windows 98 corriente en una materia de minutos. EtherPeek le permite al usuario capturar cualquier paquete visible a la tarjeta de interface de red en que el software se instala. En otros términos, EtherPeek puede capturar cualquier paquete que cruza un segmento de la red en una red del área local. El usuario puede configurar la utilidad de la captura de EtherPeek para capturar sólo esos paquetes que usan un protocolo particular, como IP, TCP/IP, o IP/HTTP. La utilidad de la captura también enlata IP particulares designado o direcciones de Ethernet. Después de que se capturan los paquetes, el usuario puede causar el software de EtherPeek para agruparse paquetes que comprenden una sesión particular y puede examinar los volúmenes del paquete en un despliegue gráfico que resalta elementos particulares de información transaccional y despliegues los volúmenes del texto llanos en el formato de ASCII leíble.
IITIR transmitió la versión de la demostración de EtherPeek y no tenía la dificultad configurándolo capturar paquetes que comprenden un tejido corto que hojea la sesión y capturar paquetes que comprenden el e-mail recuperó a través del correo de tejido de un Microsoft intercambio servidor. El volumen lleno del e-mail recuperó así y el volumen lleno del URLs y seleccionó las páginas de tejido eran claramente visibles en el texto llano la ventana de ASCII del software. F
18 U.S.C § 2512 hechuras él ilegal fabricar, congregue, posea, o venda "cualquier dispositivo electrónico, mecánico, u otro, sabiendo o teniendo la razón para saber que el plan de tal dispositivo lo da principalmente útil con el propósito de la interceptación subrepticia de alambre, oral, o las comunicaciones electrónicas. "el liii Multa y encarcelamiento para a a cinco años pueden ser el resultado de la violación del prohibition.liv Ninguna ley del caso o la literatura de revisión de ley aplica esta prohibición estatutaria para conectar una red de computadoras el software del olfateador como EtherPeek. Traduciendo la relación entre la prohibición estatutaria y software del olfateador, deben interpretarse dos frases estatutarias: "el dispositivo," y "principalmente útil con el propósito de la interceptación subrepticia de. . . las comunicaciones electrónicas". puede defenderse que el software del olfateador no es un dispositivo; es un programa de la computadora. Pero el software del olfateador sólo funciona después de que se ha instalado en una computadora, y una computadora con el software del olfateador instalado probablemente califica como un dispositivo.
Un argumento independiente es ese software del olfateador como EtherPeek sólo es a propósito, y no principalmente, útil para la interceptación subrepticia de comunicaciones electrónicas. Se definen las comunicaciones electrónicas bajo el Título III como los volúmenes de comunicaciones, y no los datos meramente transaccionales sobre una comunicación. Muchos--discutiblemente, la mayoría--de los rasgos de EtherPeek enfoque en la naturaleza de paquetes capturados, y no sus volúmenes. El programa calcula las estadísticas sobre el tamaño del paquete, los tipos de paquetes, y modelos de tráfico del paquete a y de los nodos particulares. Único de su muchos inspección de permisos de rasgos de volúmenes del paquete.
Sin tener en cuenta si el "principalmente útil" el criterio está satisfecho, hay pequeño duda que el software del olfateador habilite la interceptación subrepticia de paquetes; los usuarios de un segmento de la red tienen ninguna manera de saber si los paquetes a y de sus computadoras está interceptándose por otro nodo conectado a ese segmento de la red y el software del olfateador corriente.
EtherPeek y el software del olfateador similar pueden ser usados por el FBI--o para esa materia, por cualquiera--para capturar tanto y más información capturó por el Carnívoro. La tal interceptación se prohibiría por o se permitiría por el Título III, FISA, y el pluma-trampa aprovisiona a la misma magnitud que la interceptación por el Carnívoro se prohibe o se permite.
[Pages C-1 to C-32.]
C.1.1 SCENARIO
A court order authorizes collecting the noncontent header fields on e-mail messages sent to and from the target; it does not permit collecting the SUBJECT header or the body of the e-mail traffic.
C.1.2 PURPOSE
The purpose of this test is to verify that Carnivore does collect and preserve all of the information authorized by the court order and that no other system user's communication can be collected.
C.1.3 FILTER SETUP
To fulfill the collection criteria from the court order, the Carnivore filter used the following parameters for collection:
The filter menu screen filled in with the collection parameters is displayed in Figure C-1.
C.1.4 RESULT
Test not passed. Detailed testing steps for this test case are provided in Table C-1. After each step of the test was performed, Packeteer was used to put together all the data packets captured for a session and CoolMiner was used for result analysis. The result of each test step is recorded in the last column of the table. The test results clearly show for test case 1 that only the e-mail activities sent from and received by the target desktop computer was captured by Carnivore and all other types of traffic and other user's e-mail traffic were not captured.
However, Carnivore pen mode collection on an e-mail address did not collect useful to and from information for POP3 users, but did collect correct information for SMTP users. Carnivore did capture the sending traffic (SMTP port 25) of the e-mail traffic that was sent from and to the target. For e-mail sent from the target, CoolMiner shows the target's e-mail address in the From: column. For e-mail sent to the target, instead of showing the target's address in the To: column, CoolMiner shows the sender's (a nontarget) address in the From: column. Note that this information can typically only be collected if the sender of the e-mail is on the same subnetwork as the target because the SMTP information is collected as the e-mail is being sent, not received. If the sender is on a different subnetwork, Carnivore would see the message when retrieved using POP3.
.EL APÉNDICE C
LOS RESULTADOS DE LA PRUEBA DETALLADOS
C.1 TEST 1 NONCONTENT E-MAIL COLLECTION
EL GUIÓN DE C.1.1
Un orden judicial autoriza coleccionar el título del noncontent presenta en mensajes del e-mail enviados a y del blanco; no permite coleccionar el título SUJETO o el cuerpo del tráfico del e-mail.
C.1.2 PURPOSE
El propósito de esta prueba es verificar ese Carnívoro coleccione y conserve toda la información autorizada por el orden judicial y que la comunicación de ningún otro usuario del sistema puede coleccionarse.
C.1.3 FILTER EL ARREGLO
Cumplir el criterio de la colección del orden judicial, el filtro del Carnívoro usó los parámetros siguientes para la colección:
El modo de la pluma
El protocolo de TCP en puerto 25 (SMTP) y 110 (POP3)
E-mail ID designado: mdoe@iitri.org
La pantalla de menú de filtro rellenada con los parámetros de la colección se despliega en la Figura C-1.
C.1.4 RESULT
La prueba no pasó. La comprobación detallada camina para este caso de la prueba se proporciona en la Mesa C-1. Después de que cada paso de la prueba fue realizado, Packeteer fue acostumbrado a reunir todos los paquetes de los datos capturados para una sesión y CoolMiner se usó para el análisis del resultado. El resultado de cada paso de la prueba se graba en la última columna de la mesa. La prueba resulta claramente muestre para la prueba caso 1 que sólo las actividades del e-mail enviaron de y recibieron por la computadora del desktop designado se capturó por el Carnívoro y todos los otros tipos de tráfico y el tráfico del e-mail de otro usuario no se capturó.
Sin embargo, la Carnívoro pluma modo colección en una dirección del e-mail no coleccionó útil a y de la información para los usuarios de POP3, pero coleccionó la información correcta para los usuarios de SMTP. El carnívoro capturó el tráfico enviando (SMTP ponen a babor 25) del tráfico del e-mail de que se envió y al blanco. Para e-mail enviado del blanco, CoolMiner muestra la dirección del e-mail del blanco en el De: la columna. Para e-mail enviado al blanco, en lugar de mostrar la dirección del blanco en el A: la columna, CoolMiner muestra el remitente (un nontarget) la dirección en el De: la columna. Note que esta información puede coleccionarse típicamente sólo si el remitente del e-mail está en el mismo subnetwork como el blanco que porque la información de SMTP es reunido como el e-mail está enviándose, no recibió. Si el remitente está en un subnetwork diferente, el Carnívoro vería el mensaje cuando recuperó usando POP3.
Figure C-1. Filter for Noncontent E-mail Collection
Table C-1. Test Steps and Results for Test Cases 1-4
The FBI provided a patch to fix the problem. After installing the patch, this test case was tested again. The Carnivore raw data for SMTP appeared to be correct; however, data is still missing on the POP3 e-mail receiver's address. The CoolMiner results show that for SMPT traffic, the from e-mail address (the target's in this test) is correctly displayed, but the to address (the nontarget's in this test) is not shown. Packeteer and CoolMiner appear to be looking for the other e-mail addresses in the to and from lines in the e-mail message, which Carnivore has purposely blanked out to avoid collecting information about communication between nontargeted entities. Carnivore should instead be looking for the rcpt-to lines, which is properly collected. Without this information, all an agent would know is that the target has either sent or received e-mail, but not to or from whom. Thus, pen mode collection for e-mail is not of much use. The test also shows that the time-stamp problem is fixed and is consistent with the system collection time.
Figure C-2 shows the result of pen mode e-mail collection that does not collect any e-mail subject and contents.
.El FBI proporcionó un parche para arreglar el problema. Después de instalar el parche, este caso de la prueba se probó de nuevo. El Carnívoro los datos crudos para SMTP parecían ser correctos; sin embargo, el datos todavía está extrañando en la dirección del POP3 e-mail receptor. El CoolMiner resulta la muestra que porque SMPT trafican, el de la dirección del e-mail (el blanco en esta prueba) se despliega correctamente, pero el para dirigirse (el nontarget en esta prueba) no se muestra. Packeteer y CoolMiner aparecen estar pareciendo para las otras direcciones del e-mail en el a y de las líneas en el mensaje del e-mail que el Carnívoro ha borrado intencionalmente fuera evitar la información colectiva sobre la comunicación entre las entidades del nontargeted. El carnívoro debe estar buscando en cambio el rcpt-a líneas que son propiamente reunido. Sin esta información, todos un agente sabría es que el blanco o ha enviado o ha recibido el e-mail, pero no a o de quien. Así, la colección de modo de pluma para el e-mail no es de mucho uso. La prueba también las muestras que el problema del tiempo-estampa es fijo y es consistente con el tiempo de colección de sistema.
Figura que C-2 muestra al resultado de pluma modo e-mail colección que no colecciona cualquier asunto del e-mail y volúmenes.
Figure C-2. Result of Pen Mode E-mail Collection
[Original poor.]
The CoolMiner analysis result for pen mode e-mail collection provides information on how many bytes are transferred between the client and the server. Recording this information might be an issue of over-collecting because the court order only authorizes collecting e-mail from and to addresses, Also, in the Carnivore raw data the e-mail header is replaced by Xs, which can be counted to determine the amount of data.
To verify that Carnivore records the number of Xs according to the length of the data, IITRI ran two more e-mail pen mode tests; one with a length of 17 bytes of data in the subject field and the other with 29 bytes of data. Results show that an extra X was appended to the Carnivore raw data of the e-mail subject fields, i.e., 18 Xs in the subject field for the first e-mail and 30 Xs in the subject field for the second e-mail.
C.2.1 SCENARIO
A court order authorizes collecting source and destination information for HTTP activities by user John Doe. Specifically, the order authorizes collecting the IP address to which John Doe opens an HTTP connection. The order does not authorize collecting the complete URL portion of the browsing activity. Also, the target John Doe is configured to connect to the network through a DHCP server. John's laptop MAC address is 00104B60E229.
C.2.2 PURPOSE
To verify that Carnivore collects and preserves all of the target's HTTP connection information authorized by the court order, only that information, and not other users' web browsing source and destination information or content. C.2.3 FILTER SETUP To fulfill the collection criteria from the court order, the Carnivore filter used the following parameters for collection:
The filter screen filled in with the collection parameters is displayed in Figure C-3.
.La figura C-2. El resultado de Pluma Modo E-mail Collection
[El pobres original.]
El CoolMiner análisis resultado para la pluma modo e-mail colección proporciona la información sobre cuántos bytes se transfiere entre el cliente y el servidor. Grabando esta información podrían ser un problema de encima de-colectivo porque el orden judicial sólo autoriza el e-mail colectivo de y a las direcciones, También, en el Carnívoro datos crudos que el título del e-mail se reemplaza por Xs que puede contarse para determinar la cantidad de datos.
Verificar ese Carnívoro graba el número de Xs según la longitud de los datos, IITRI ejecutó dos más e-mail pluma modo pruebas; uno con una longitud de 17 bytes de datos en el campo sujeto y el otro con 29 bytes de datos. Muestra de los resultados que un X extra se añadió al Carnívoro los datos crudos del e-mail los campos sujetos, es decir, 18 Xs en el campo sujeto para el primer e-mail y 30 Xs en el campo sujeto para el segundo e-mail.
C.2 TEST 2 TEJIDO DE NONCONTENT QUE HOJEA LA COLECCIÓN
EL GUIÓN DE C.2.1
Un orden judicial autoriza fuente colectiva e información del destino para las actividades de HTTP por el usuario la John Doe. Específicamente, el orden autoriza coleccionar el IP diríjase a que la John Doe abre una conexión de HTTP. El orden no autoriza coleccionar el URL completo divida de la actividad del navegador. También, la John Doe designado se configura para conectar a la red a través de un servidor de DHCP. Los MAC portátiles de John se dirigen es 00104B60E229.
C.2.2 PURPOSE
Verificar ese Carnívoro colecciona y conserva la HTTP conexión información de todo el blanco autorizada por el orden judicial, sólo esa información, y no el tejido de otros usuarios que hojea fuente e información del destino o volumen. C.2.3 FILTER el ARREGLO para cumplir el criterio de la colección del orden judicial, el filtro del Carnívoro usó los parámetros siguientes para la colección:
El modo de la pluma
El protocolo de TCP en puerto 80 (HTTP)
Los MAC del blanco se dirigen 00104B60E229
La pantalla del filtro rellenada con los parámetros de la colección se despliega en la Figura C-3.
Figure C-3. Carnivore Filter for Noncontent Web Browsing
Collection
C.2.4 RESULT
Test passed. Detailed testing steps for this test case are provided in Table C-1. After each step of the test was performed, Packeteer and CoolMiner were used to perform results analysis. The result of each test step is recorded in the last column of the table. The test results show for test case 1 that only the activities of Web browsing performed from the target laptop computer was captured and all other types of traffic and other user's traffic (i.e., e-mail in this case) were not captured by Carnivore.
The CoolMiner analysis shows that only the HTTP (port 80) source and destination connections were captured by Carnivore from the target's laptop computer and no other types of traffic were captured from this collection.
Figures C-4 and C-5 present screen images from CoolMiner analysis. Figure C-4 shows the connection screen and Figure C-5 shows an example of the session screen that is displayed by clicking on the Start Time column of the first row on the connection screen. Ten HTTP connections were captured by Carnivore, and the first one was from the client of IP address 172.020.003.203 to the server of IP address 207.046.185.007. The target's laptop was assigned by the DHCP server to use the dynamic IP address 172.020.003.203.
Again, the results show that from the pen mode collection on HTTP port 80, none of the web browsing content or URL were collected; only the client and server HTTP connection information was collected. Collection does not start until after Carnivore determines the dynamic IP address, by viewing the DHCP protocol packets that request and assign the IP address.
The CoolMiner analysis results for pen mode web browsing activities collection provide information on how many bytes are transferred between the client and the server. This information is recorded in the To Server, and To Client columns of Figure C-4. Recording this information might be an issue of over-collecting because the court order only authorizes collecting the IP addresses of web activities, but none of the information on data sizes can be collected.
.La figura C-3. El Filtro del carnívoro para Tejido de Noncontent que Hojea la Colección
C.2.4 RESULT
La prueba pasó. La comprobación detallada camina para este caso de la prueba se proporciona en la Mesa C-1. Después de que cada paso de la prueba fue realizado, fueron acostumbrados Packeteer y CoolMiner a realizar el análisis de los resultados. El resultado de cada paso de la prueba se graba en la última columna de la mesa. La prueba resulta muestre para la prueba caso 1 que sólo las actividades de Tejido hojear realizaron de la computadora portátil designado se capturó y todos los otros tipos de tráfico y el tráfico de otro usuario (es decir, mande electrónicamente en este caso) no se capturó por el Carnívoro.
Las CoolMiner análisis muestras que sólo el HTTP (puerto 80) la fuente y conexiones del destino fueron capturadas por el Carnívoro de la computadora portátil del blanco y ningún otro tipo de tráfico se capturó de esta colección.
Las figuras C-4 y C-5 las imágenes de la pantalla presentes del análisis de CoolMiner. Figura que C-4 muestra a la pantalla de conexión y Figura que C-5 muestra a un ejemplo de la pantalla de la sesión que se despliega pulsando el botón en la Salida la columna de Time de la primera fila en la pantalla de conexión. Diez conexiones de HTTP fueron capturadas por el Carnívoro, y el primero uno era del cliente de IP dirección 172.020.003.203 al servidor de IP dirección 207.046.185.007. El blanco portátil se asignó por el servidor de DHCP para usar el IP dinámico diríjase 172.020.003.203.
De nuevo, la muestra de los resultados eso de la colección de modo de pluma en HTTP pone a babor 80, ninguno del tejido que hojea satisfecho o URL sea reunido; sólo el cliente y servidor la HTTP conexión información era reunido. La colección no empieza hasta después de que el Carnívoro determina que los IP dinámicos se dirigen, viendo el DHCP paquetes protocolares que piden y asignan la dirección de IP.
El análisis de CoolMiner resulta para tejido de modo de pluma que hojea la colección de actividades proporcione la información sobre cuántos bytes se transfiere entre el cliente y el servidor. Esta información se graba en el Al Servidor, y A las columnas del Cliente de Figura C-4. Grabando esta información podrían ser un problema de encima de-colectivo porque el orden judicial sólo autoriza coleccionar las direcciones de IP de actividades de tejido, pero ninguno de la información sobre los tamaños de los datos puede coleccionarse.
Figure C-4. Test Result for Noncontent Web Browsing
Collection
[Original poor.]
Figure C-5. Test Result for Noncontent Web Browsing
Collection
[Original poor.]
C.3.1 SCENARIO
A court order authorizes collecting source and destination information for FTP activity by John Doe. Specifically, the order authorizes collecting the IP address to which John opens an FTP connection.
In addition, the target John Doe is configured to connect to the network through a DHCP and John's laptop MAC address is 00104B60E229. John is currently online and has been assigned an IP address of 172.20.3.201.
C.3.2 PURPOSE
To verify that Carnivore collects and preserves all of the target's inbound and outbound FTP traffic (i.e., connections to TCP ports 20 and 21) information authorized by the court order, only that information, and not other users' FTP source and destination information or contents.
C.3.3 FILTER SETUP
To fulfill the collection criteria from the court order, the Carnivore filter used the following parameters for collection:
The filter filled in with the collection parameters is displayed in Figure C-6.
.La figura C-5. El Resultado de la prueba para Tejido de Noncontent que Hojea la Colección
[El pobres original.]
C.3 TEST 3 NONCONTENT ARCHIVO TRASLADO ACTIVIDAD COLECCIÓN
EL GUIÓN DE C.3.1
Un orden judicial autoriza fuente colectiva e información del destino para la actividad de FTP por la John Doe. Específicamente, el orden autoriza coleccionar el IP diríjase a que John abre una conexión de FTP.
Además, la John Doe designado se configura para conectar a la red a través de un DHCP y el MAC portátil de John diríjase es 00104B60E229. John es actualmente en línea y se ha asignado una dirección de IP de 172.20.3.201.
C.3.2 PURPOSE
Verificar ese Carnívoro colecciona y conserva los FTP entrantes y que sale de todo el blanco trafican (es decir, las conexiones a TCP ponen a babor 20 y 21) información autorizada por el orden judicial, sólo esa información, y no la fuente de FTP de otros usuarios e información del destino o volúmenes.
C.3.3 FILTER EL ARREGLO
Cumplir el criterio de la colección del orden judicial, el filtro del Carnívoro usó los parámetros siguientes para la colección:
El modo de la pluma
El protocolo de TCP en FTP pone a babor (20 para los datos y 21 para el mando)
Los MAC del blanco se dirigen 00104B60E229
Startup que el IP entrada campo no se requiere. (El carnívoro ignora esta entrada.)
El filtro rellenado con los parámetros de la colección se despliega en la Figura C-6.
Figure C-6. Filter Setup for Noncontent FTP Collection
C.3.4 RESULT
Test passed. Detailed testing steps for this test case are provided in Table C-1. After each step of the test was performed, Packeteer and CoolMiner were used to perform results analysis. The result of each test step is recorded in the last column of the table. The test results show only the connections of FTP activities from and to the target laptop computer were captured by Carnivore; all other types of traffic (i.e., web browsing in this case) and other user's traffic (i.e., e-mail from Mary Doe) were not captured.
The CoolMiner analysis shows that only the FTP (ports 20 and 21) inbound and outbound connections were captured from the target's laptop computer and no other types of traffic were captured from this collection. Figure C-7 provides the screen image from CoolMiner analysis. The heading of this screen shows that all of the sessions occurred on the connection between the client's IP address and the FTP server's IP address. There were eight FTP sessions in total, but no content information for any of these sessions was collected by Carnivore. The Startup entry is completely ignored by Carnivore software. Collection does not start until after Carnivore determines the dynamic IP address by viewing the DHCP protocol packets that request and assign the IP address.
.La figura C-6. Fíltrese el Arreglo para la Noncontent FTP Colección
C.3.4 RESULT
La prueba pasó. La comprobación detallada camina para este caso de la prueba se proporciona en la Mesa C-1. Después de que cada paso de la prueba fue realizado, fueron acostumbrados Packeteer y CoolMiner a realizar el análisis de los resultados. El resultado de cada paso de la prueba se graba en la última columna de la mesa. La prueba resulta muestre sólo las conexiones de actividades de FTP de y a la computadora portátil designado se capturó por el Carnívoro; todos los otros tipos de tráfico (es decir, tejido que hojea en este caso) y el tráfico de otro usuario (es decir, mande electrónicamente de la Mary Doe) no se capturó.
Las CoolMiner análisis muestras que sólo el FTP (pone a babor 20 y 21) se capturaron las conexiones entrantes y que sale de la computadora portátil del blanco y ningún otro tipo de tráfico se capturó de esta colección. La figura C-7 proporciona la imagen de la pantalla del análisis de CoolMiner. El título de esta pantalla muestra que todas las sesiones ocurrieron en la conexión entre el IP del cliente diríjase y la dirección de IP del servidor de FTP. Había ocho sesiones de FTP en el total, pero ninguna información satisfecha para cualquiera de estas sesiones era reunido por el Carnívoro. La entrada de Startup es completamente ignorada por el software del Carnívoro. La colección no empieza hasta que después de que el Carnívoro determina que los IP dinámicos se dirigen viendo el DHCP paquetes protocolares que piden y asignan la dirección de IP.
Figure C-7. Test Result of Noncontent FTP Collection
The CoolMiner analysis results for pen mode collection of FTP activities provide information on how many bytes are transferred between the client and the server. This information is shown in the To Server, and To Client columns of Figure C-7. Recording this information might be an issue of over-collecting because the court order only authorizes collecting the IP addresses of the source and destination, but none of the information on message sizes can be collected.
C.4.1 SCENARIO
A court order authorizes intercepting the contents of communications to or from Mary Doe who has the fixed IP address 172.20.3.63. Specifically, the order authorizes intercepting all network communications to or from the target user's IP address.
C.4.2 PURPOSE
Verify that Carnivore collects and preserves all the authorized information from the target's communications and that no other users' (i.e., other IP addresses) communications can be collected.
C.4.3 FILTER SETUP
To fulfill the collection criteria from the court order, the Carnivore filter used the following parameters for collection:
The filter screen filled in with the collection parameters is displayed in Figure C-8.
.La figura C-7. El Resultado de la prueba de Noncontent FTP Colección
El análisis de CoolMiner resulta para la colección de modo de pluma de actividades de FTP proporcione la información sobre cuántos bytes se transfiere entre el cliente y el servidor. Esta información se muestra en el Al Servidor, y A las columnas del Cliente de Figura C-7. Grabando esta información podrían ser un problema de encima de-colectivo porque el orden judicial sólo autoriza coleccionar las direcciones de IP de la fuente y destino, pero ninguno de la información sobre los tamaños del mensaje puede coleccionarse.
C.4 TEST 4 COLECCIÓN LLENA EN UNA DIRECCIÓN DE IP FIJA
EL GUIÓN DE C.4.1
Un orden judicial autoriza interceptar los volúmenes de comunicaciones a o de Mary Doe que tiene el IP fijo 172.20.3.63 se dirigen. Específicamente, el orden autoriza interceptar todo las comunicaciones de la red a o de la dirección de IP del usuario designado.
C.4.2 PURPOSE
Verifique ese Carnívoro colecciona y conserva toda la información autorizada de las comunicaciones del blanco y que ningún otro usuario (es decir, otro IP se dirige) pueden coleccionarse las comunicaciones.
C.4.3 FILTER EL ARREGLO
Cumplir el criterio de la colección del orden judicial, el filtro del Carnívoro usó los parámetros siguientes para la colección:
El modo lleno
TCP, UDP, y protocolos de ICMP
Los puertos de TCP no necesitan ser verificados porque el valor por defecto es coleccionar todos los puertos de TCP. (Estaría igual que seleccionar el rango de puertos para ser 1-65535 coleccionar todo las comunicaciones de TCP.)
Los IP fijos del blanco se dirigen 172.20.3.63
La pantalla del filtro rellenada con los parámetros de la colección se despliega en la Figura C-8.
Figure C-8. Filter Setup for Full Collection on a Fixed IP
Address
C.4.4 RESULT
Test passed. Detailed testing steps for this test case are provided in Table C-1. After each step of the test was performed, Packeteer and CoolMiner were used to perform results analysis. The result of each test step is recorded in the last column of the table. The test results show for test case 4 that all communications in this test (i.e., e-mail, file transfer, and web browsing activities) to and from the target's fixed IP address (i.e., a desktop computer) were captured by Carnivore.
Figure C-9 illustrates the CoolMiner result of the communication collection.
Clicking on the FTP protocol on the screen shown in Figure C-9 displays the full content of the FTP session as shown in Figure C-10.
.La figura C-8. Fíltrese el Arreglo para la Colección Llena en una Dirección de IP Fija
C.4.4 RESULT
La prueba pasó. La comprobación detallada camina para este caso de la prueba se proporciona en la Mesa C-1. Después de que cada paso de la prueba fue realizado, fueron acostumbrados Packeteer y CoolMiner a realizar el análisis de los resultados. El resultado de cada paso de la prueba se graba en la última columna de la mesa. La prueba resulta muestre para la prueba caso 4 que todo las comunicaciones en esta prueba (es decir, mande electrónicamente, traslado del archivo, y tejido que hojea las actividades) a y del IP fijo del blanco diríjase (es decir, una computadora del desktop) se capturó por el Carnívoro.
Figura que C-9 ilustra que los CoolMiner resultan de la colección de comunicación.
Pulsando el botón en el protocolo de FTP en la pantalla mostrado en la Figura C-9 despliega el volumen lleno de la sesión de FTP como mostrado en la Figura C-10.
Figure C-9. CoolMiner Result of All Communication Collection
Figure C-10. Test Result of a Content FTP Collection
La figura C-10. El Resultado de la prueba de una Colección de FTP Satisfecha
C.5.1 SCENARIO
A court order authorizes intercepting the contents of e-mail communications to or from Mary Doe who has the e-mail address mdoe@iitri.org.
C.5.2 PURPOSE
The purpose of this test is to verify that when configured to collect the authorized information from inbound and outbound (i.e., SMTP connections to TCP destination port 25 and POP3 connections to TCP destination port 110), Carnivore collects and preserves all of the authorized information and not other users' communications.
C.5.3 FILTER SETUP
To fulfill the collection criteria from the court order, the Carnivore filter used the following parameters for collection:
The filter screen filled in with the collection parameters is displayed in Figure C-11.
.C.5 TEST 5 E-MAIL LA COLECCIÓN SATISFECHA
EL GUIÓN DE C.5.1
Un orden judicial autoriza interceptar los volúmenes de comunicaciones del e-mail a o de Mary Doe que tiene la dirección del e-mail mdoe@iitri.org.
C.5.2 PURPOSE
El propósito de esta prueba es verificar que cuando configuró para coleccionar la información autorizada de entrante y que sale (es decir, conexiones de SMTP al destino de TCP puerto 25 y conexiones de POP3 al destino de TCP puerto 110), el Carnívoro colecciona y conserva toda la información autorizada y no las comunicaciones de otros usuarios.
C.5.3 FILTER EL ARREGLO
Cumplir el criterio de la colección del orden judicial, el filtro del Carnívoro usó los parámetros siguientes para la colección:
El modo lleno
El protocolo de TCP en SMTP (puerto 25) y POP3
Los SMTP del blanco mandan electrónicamente que la dirección es mdoe@iitri.org
El usuario de POP3 del blanco ID es el mdoe
La pantalla del filtro rellenada con los parámetros de la colección se despliega en la Figura C-11.
Figure C-11. Filter Setup for Content E-mail Collection
C.5.4 RESULT
Test passed. The e-mail of a target can be collected even when no IP address is input to the filter. The required inputs are SMTP (port 25), POP3 (port 110), and target's e-mail ID. This condition is true when the target is either at a fixed IP address or at a dynamic IP address. The filter does not allow any input to the user e-mail ID until the SMTP and POP3 ports are selected.
Figure C-12 illustrates the content of e-mail that was collected by Carnivore.
.La figura C-11. Fíltrese el Arreglo para la Collection del E-mail Satisfecha
C.5.4 RESULT
La prueba pasó. El e-mail de un blanco incluso puede coleccionarse cuando ninguna dirección de IP se entra al filtro. Las entradas requeridas son SMTP (puerto 25), POP3 (puerto 110), y el e-mail ID de blanco. Esta condición es verdad cuando el blanco o está en una dirección de IP fija o a una dirección de IP dinámica. El filtro no permite ninguna entrada al usuario e-mail ID hasta los SMTP y puertos de POP3 se selecciona.
La figura C-12 ilustra el volumen de e-mail que era reunido por el Carnívoro.
Figure C-12. Test Result of Content E-mail Collection
C.6 TEST 6 ALIAS E-MAIL COLLECTION
C.6.1 SCENARIO
A court order authorizes collecting the content of e-mail sent to and from Mary Doe. The ISP determined that Mary's Web e-mail address is marydoe@location.org. However, Mary made the alias "NOBODY" for her outgoing e-mail address. Carnivore will not collect Mary's e-mail by filtering on her original user ID marydoe.
C.6.2 PURPOSE
Verify that when configured to collect SMTP (port 25) and POP3 (port 110) e-mail messages and the target is using an alias for the origina l e-mail address, Carnivore cannot collect the target's mail by filtering on the target's original e-mail address.
C.6.3 FILTER SETUP To fulfill the collection criteria from the court order, the Carnivore filter used the following parameters for collection:
The filter screen filled in with the collection parameters is displayed in Figure C-13.
.C.6 TEST 6 COLLECTION DE E-MAIL DE SEUDÓNIMO
EL GUIÓN DE C.6.1
Un orden judicial autoriza coleccionar el volumen de e-mail enviado a y de la Mary Doe. El ISP determinó la dirección de e-mail de Tejido de esa Mary es marydoe@location.org. Sin embargo, Mary no hizo "NADIE" al seudónimo para su dirección del e-mail saliente. El carnívoro no coleccionará el e-mail de Mary filtrándose en su usuario original el marydoe de ID.
C.6.2 PURPOSE
Verifique que cuando configuró para coleccionar SMTP (puerto 25) y POP3 (puerto 110) los mensajes del e-mail y el blanco está usando un alias para el origina l mandan electrónicamente la dirección, el Carnívoro no puede coleccionar el correo del blanco filtrándose en el e-mail original del blanco diríjase.
C.6.3 FILTER el ARREGLO para cumplir el criterio de la colección del orden judicial, el filtro del Carnívoro usó los parámetros siguientes para la colección:
El modo lleno
El protocolo de TCP en SMTP (puerto 25) y POP3 (puerto 110)
El usuario de POP3 del blanco ID es el marydoe
Los SMTP del blanco mandan electrónicamente que la dirección es marydoe@location.org
La pantalla del filtro rellenada con los parámetros de la colección se despliega en la Figura C-13.
Figure C-13. Filter Setup for Alias E-mail Collection
C.6.4 RESULT
Test passed. A different address NOBODY@webmail6.location.org was seen at the receiver side; however, Carnivore did not capture this alias e-mail because the filter was set up for collection using the target's original e-mail ID.
Even though Mary made the alias "NOBODY" for her outgoing e-mail address, she still has to use "marydoe" as her login ID to get into her web mail account. Therefore, if the filter was set up using Text String data field with value of "&login=marydoe", which is Mary's original user ID, the result would be different. Carnivore would then collect web mail traffic via HTTP (port 80) on Mary's original user ID.
C.7.1 SCENARIO
Test if Carnivore will collect web browsing contents that contain a specific given text string. Both fixed and dynamically-allocated IP addresses will be used for the computers that generate the web traffic for this collection.
C.7.2 PURPOSE
When configured to collect HTTP (port 80) web browsing activities, verify that Carnivore collects only the web traffic containing the given text string, without over-collecting.
C.7.3 FILTER SETUP
To fulfill the collection criteria from the court order, the Carnivore filter used the following parameters for collection:
The filter screen filled in with the collection parameters is displayed in Figure C-14.
.C.6.4 RESULT
La prueba pasó. Una dirección diferente que NOBODY@webmail6.location.org se vio al lado del receptor; sin embargo, el Carnívoro no capturó este e-mail del seudónimo porque el filtro era fijo a para colección que usa el original e-mail ID del blanco.
Aunque Mary no hizo "NADIE" al seudónimo para su dirección del e-mail saliente, ella todavía tiene que usar "marydoe" como su login ID para entrar en su cuenta de correo de tejido. Por consiguiente, si el filtro fuera fijo a usar los datos de Cordón de Texto presente con el valor de" &login=marydoe" que es el usuario del original de Mary ID el resultado sería diferente. El carnívoro coleccionaría el tráfico de correo de tejido entonces vía HTTP (puerto 80) en el usuario del original de Mary ID.
C.7 TEST 7 CORDÓN DE TEXTO DE FILTRACIÓN EN LA COLECCIÓN DE ACTIVIDAD DE TEJIDO
EL GUIÓN DE C.7.1
La prueba si el Carnívoro coleccionará tejido que hojea volúmenes que contienen un cordón del texto dado específico. Los dos arreglaron y dinámicamente-asignaron se usarán las direcciones de IP para las computadoras que generan el tráfico de tejido para esta colección.
C.7.2 PURPOSE
Cuando configuró para coleccionar HTTP (puerto 80) tejido que hojea las actividades, verifique ese Carnívoro colecciona sólo el tráfico de tejido que contiene el cordón del texto dado, sin encima de-colectivo.
C.7.3 FILTER EL ARREGLO
Cumplir el criterio de la colección del orden judicial, el filtro del Carnívoro usó los parámetros siguientes para la colección:
Un IP fijo se dirige y una dirección de DHCP
El modo lleno
El protocolo de TCP en HTTP (puerto 80)
El cordón del texto "delicioso"
La pantalla del filtro rellenada con los parámetros de la colección se despliega en la Figura C-14.
Figure C-14. Filter Setup for Text String Filtering on Web
Activity Collection
C.7.4 RESULT
Test passed. Detailed testing steps for this test case are provided in Table C-2. Regardless of what web traffic came from the laptop or desktop computer, the results were consistent. Only those web pages containing the text string "delicious" were captured by Carnivore and those web pages that did not contain the specified text string were not captured.
.C.7.4 RESULT
La prueba pasó. La comprobación detallada camina para este caso de la prueba se proporciona en la Mesa C-2. Sin tener en cuenta qué tráfico de tejido vino del portátil o computadora del desktop, los resultados eran consistentes. Sólo aquéllos tejido compagina conteniendo el cordón del texto "delicioso" se capturó por el Carnívoro y aquéllos que no se capturaron páginas de tejido que no contuvieron el cordón del texto especificado.
Table C-2. Test Steps and Results for Filtering Text on
Web Activities
CoolMiner showed many TCP sessions without finding the expected web pages, though those pages might contain the word "delicious". Carnivore did not find these pages because the browser was looking for automatic refresh web pages from the servers, but Carnivore cannot resolve a domain name in this situation. Figure C-15 shows the CoolMiner result of a web page containing the text string "delicious".
.CoolMiner mostró muchas sesiones de TCP sin encontrar el tejido esperado compagina, aunque esas páginas podrían contener la palabra "delicioso". el Carnívoro no encontró estas páginas porque el navegador estaba buscando automático refresqúese las páginas de tejido de los servidores, pero el Carnívoro no puede resolverse un nombre del dominio en esta situación. Figura que C-15 muestra los CoolMiner resultan de una página de tejido que contiene el cordón del texto "delicioso."
Figure C-15. A Web Page Containing the Text String
"delicious"
La figura C-15. Una Página de Tejido que Contiene el Cordón del Texto "delicioso"
C.8.1 SCENARIO
When Carnivore was collecting Mary Doe's e-mail, an electrical power outage occurred, and Carnivore was terminated ungracefully. After the power is restored, Carnivore continues to collect Mary Doe's e-mail.
C.8.2 PURPOSE
Verify that after the power is restored, Carnivore automatically starts up and continues to collect what it was originally set up to collect. Also verify that Carnivore recovers all of the data that was collected before the outage occurred.
C.8.3 FILTER SETUP
To collect Mary Doe's e-mail, the Carnivore filter was set up using the following parameters:
The filter screen filled in with the collection parameters is displayed in Figure C-16.
.C.8 TEST 8 FRACASO DE PODER Y RESTAURACIÓN
EL GUIÓN DE C.8.1
Cuando el Carnívoro era el e-mail de Mary Gama colectiva, un paro de poder eléctrico ocurrió, y el Carnívoro fue terminado desgarbadamente. Después de que el poder se restaura, el Carnívoro continúa coleccionando el e-mail de Mary Gama.
C.8.2 PURPOSE
Verifique que después de que el poder se restaura, el Carnívoro automáticamente las salidas a y continúa coleccionando lo que era originalmente fijo a coleccionar. También verifique ese Carnívoro recupera todos los datos que eran reunido antes del paro ocurrieron.
C.8.3 FILTER EL ARREGLO
Coleccionar el e-mail de Mary Gama, el filtro del Carnívoro era fijo a usar los parámetros siguientes:
El modo lleno
El protocolo de TCP en SMTP (puerto 25) y POP3 (puerto 110)
El usuario de SMTP es mdoe@iitri.org
El usuario de POP3 es "mdoe"
La pantalla del filtro rellenada con los parámetros de la colección se despliega en la Figura C-16.
Figure C-16. Filter Setup for Power Failure TestLa figura C-16.
Fíltrese el Arreglo para la Power Fracaso Prueba
C.8.4 RESULT
Test not passed. Carnivore did not recover consistently to a collecting state. The primary test system exhibited a TAPI error in connecting to the Ethernet card. It appears this error is caused by a race condition within Carnivore. The backup Carnivore system used in testing seemed not to exhibit this error condition. Others, including those at the FBI lab, exhibit this error condition intermittently. The FBI is going to investigate and fix this potential error.
The first e-mail sent out before the power outage occurred was not written to disk by Carnivore. This condition was recorded as the actual result of test step 3 in Table C-3. Repeated tests all showed the same failure. After the power was restored and the system rebooted, the data file currently open for writing always ended up being a zero-byte file. The FBI developers concluded that this error is a problem with Carnivore in general and is the result of a trade-off between processing speed, padding in the collected data to a block size, or possibly losing some data. The system keeps the data in the memory buffer until the specified block size of data is collected or the collection is stopped, then the data is written to the disk. The block size for the hard disk is 128 kbytes and for the removable disk, either Jazz drive or Zip drive, is 64 kbytes.
.C.8.4 RESULT
La prueba no pasó. El carnívoro no recuperó de forma consistente a un estado colectivo. El sistema de la prueba primario exhibió un error de TAPI conectando a la tarjeta de Ethernet. Aparece que este error se causa por una condición de la raza dentro del Carnívoro. El sistema del Carnívoro auxiliar usado probando parecía no exhibir esta condición del error. Otros, mientras incluyendo aquéllos en el laboratorio de FBI, exhiba esta condición del error intermitentemente. El FBI va investigar y arreglar este error potencial.
El primer e-mail mandado antes del paro de poder ocurrido no se escribió al disco por el Carnívoro. Esta condición se grabó como el resultado real de prueba paso 3 en la Mesa C-3. Pruebas repetidas que todos mostraron al mismo fracaso. Después de que el poder fue restaurado y el rebooted del sistema, los datos archivan actualmente abra por siempre escribir terminó siendo un cero-byte el archivo. Los diseñadores de FBI concluyeron que este error es en general un problema con el Carnívoro y es el resultado de un comercio-apagado entre procesar la velocidad, forrando en los datos reunido a un tamaño del bloque, o perder algunos datos posiblemente. El sistema guarda el datos en el pulidor de memoria hasta el tamaño del bloque especificado de datos es reunido o la colección se detiene, entonces el datos se escribe al disco. El tamaño del bloque para el disco duro es 128 kbytes y para el disco trasladable, paseo del Jazz o paseo del Silbido, es 64 kbytes.
Table C-3. Test Steps and Results for Power Failure Test
C.9.1 SCENARIO
Without providing a fixed IP address, DHCP, search text string, TCP ports, and e-mail users to the Carnivore filter, the system collects all of the TCP communications passing through the network segment to which Carnivore is connected.
C.9.2 PURPOSE
Verify that Carnivore has the capability to collect all of the communications passing through the tapping device.
C.9.3 FILTER SETUP
The simplest filter setup for Carnivore to collect all of the TCP communications was to check TCP collection on full mode without providing any other parameters.
The filter screen filled in with the collection parameters is displayed in Figure C-17.
.C.9 TEST 9 TCP TODOS LOS PUERTOS LA COLECCIÓN DEL MODO LLENA
EL EL GUIÓN DE C.9.1
El un de proporcionar de pecado el IP fijo diríjase, DHCP, el cordón del el del texto de la búsqueda, que el pone de TCP un babor, los y los usuarios del mandan electrónicamente el Carnívoro se filtran al al, el sistema colecciona todo las comunicaciones del TCP que atraviesan el segmento del la rojo un el del que el Carnívoro se conecta.
C.9.2 PURPOSE
El Verifique que ese el Carnívoro tiene la capacidad para coleccionar todo las comunicaciones que atraviesan el dispositivo taladrando.
C.9.3 FILTER EL ARREGLO
El El arreglo del filtro más el el del para simple los Carnívoro para coleccionar todo las comunicaciones de la TCP era inspeccionar la colección del TCP el modo lleno pecan el proporcionar cualquier otro parámetro.
Los La pantalla del filtro rellenada hacen trampas el parámetros del los del la colección se despliega en la Figura C-17.
Figure C-17. Filter Setup for TCP All Ports Full
Collection
C.9.4 RESULT
Test passed. Detailed testing steps for this test case are provided in Table C-4. The results show that all TCP communications on the network segment being sniffed were captured by Carnivore. When turning on TCP full mode collection and not selecting any port, the default is to collect traffic from all TCP ports.
.C.9.4 RESULT
La prueba pasó. La comprobación detallada camina para este caso de la prueba se proporciona en la Mesa C-4. Los resultados muestran que todo las comunicaciones de TCP en el ser de segmento de red olfateado fueron capturadas por el Carnívoro. Cuando encendiendo TCP la colección del modo llena y no seleccionando ningún puerto, el valor por defecto es coleccionar el tráfico de todos los puertos de TCP.
Table C-4. Test Steps and Results for Full TCP Ports
Collection
Figure C-18 shows the CoolMiner results. FTP, web, POP3, SMTP, and Microsoft Exchange E- mail traffic are all captured by Carnivore and displayed by CoolMiner.Figura que C-18 muestra a los resultados de CoolMiner. FTP, tejido, POP3, SMTP, e Intercambio de Microsoft E - el tráfico del correo es todos capturados por el Carnívoro y desplegó por CoolMine
Figure C-18. Test Result of All Ports TCP Collection
C.10.1 SCENARIO
Without entering a fixed IP address and DHCP information to the filter, Carnivore collects all communication passing the tapping device. This test has been proved true from the test case 9 in paragraph C.9. The Carnivore filter screen provides three entry fields for DHCP setup, i.e., MAC address, Ports (67 and 68), and Startup IP. Also need to determine what data must be entered to the filter to collect communication from a specific DHCP-configured device. It is assumed that the Startup IP field can be used by Carnivore to begin collecting immediately the communication of a target who is already on line.
C.10.2 PURPOSE
There are two purposes of this test
1. Determine what data needs to be entered for DHCP.2. Verify that the Startup IP is useful for Carnivore to capture a target who is already on line before Carnivore starts collecting, and, therefore, there is no need to force a DHCP exchange when a correct Startup IP was set up in the filter.
C.10.3 FILTER SETUP
Three filters are used for this test
The screens for setting up these three filters are displayed in Figures C-19, C-20, and C-21, respectively.
.C.10 TEST 10 DHCP DATOS ENTRADAS DEL FILTRO
EL GUIÓN DE C.10.1
Sin entrar en un IP fijo diríjase e información de DHCP al filtro, el Carnívoro colecciona toda la comunicación que pasa el dispositivo taladrando. Esta prueba se ha demostrado verdadero de la prueba caso 9 en el párrafo C.9. La pantalla de filtro de Carnívoro proporciona tres entrada presenta para el arreglo de DHCP, es decir, MAC se dirigen, Puertos (67 y 68), y Startup IP. También necesita determinar en qué datos deben entrarse al filtro para coleccionar la comunicación de un dispositivo DHCP-configurado específico. Es supuesto que el Startup que el campo de IP puede usarse por el Carnívoro para empezar coleccionando la comunicación de un blanco que ya está en la línea inmediatamente.
C.10.2 PURPOSE
Hay dos propósitos de esta prueba
1. determina qué datos necesita ser entrado para DHCP.
2. verifica que el Startup IP es útil para el Carnívoro capturar un blanco que ya está en la línea antes de que el Carnívoro empiece coleccionando, y, hay ninguna necesidad de forzar un intercambio de DHCP por consiguiente, cuando un Startup IP correcto era fijo a en el filtro.
C.10.3 FILTER EL ARREGLO
Se usan tres filtros para esta prueba
El primer filtro sólo se inspecciona los puertos de DHCP; ningún otro parámetro de DHCP se proporciona. Dos DHCP pone a babor, 67 y 68, se usa para rastrear el sistema bota-a. El carnívoro debe usar estos puertos para capturar el DHCP intercambie los paquetes.
Además de los parámetros del primer filtro, el segundo filtro incluye una dirección de MAC.
Además de los parámetros proporcionados de los primero y segundos filtros, los Startup IP se dirigen que es la dirección de IP dinámica asignó a la computadora portátil después de que se plantea en la línea, también se proporciona al filtro.
Se despliegan las pantallas por preparar estos tres filtros en las Figuras C-19, C-20, y C-21, respectivamente.
Figure C-19. Filter Setup 1 for DHCP Data Entries
Test
Figure C-20. Filter Setup 2 for DHCP Data Entries Test
Figure C-21. Filter Setup 3 for DHCP Data Entries
Test
C.10.4 RESULT
Test passed for Purpose 1, but did not pass for Purpose 2. Detailed testing steps for this test case are provided in Table C-5. Steps 1 through 11 were used to test Purpose 1. Both MAC and DHCP ports are required data entries for the filter to collect communication from a specific dynamically-configured IP address.
Table C-5. Test Steps and Results for DHCP Filter
.C.10.4 RESULT
La prueba pasó para Propósito 1, pero no pasó para Propósito 2. Detalló la comprobación camina para este caso de la prueba se proporciona en la Mesa C-5. Se usaron pasos 1 a través de 11 para probar Propósito 1. se requieren MAC y " puertos de DHCP las entradas de los datos para el filtro coleccionar la comunicación de una dirección de IP dinámicamente-configurada específica.
La mesa C-5. Los Pasos de la prueba y Resultados para el Filtro de DHCP
Steps 12 through 16 were used to test the Startup IP entry field. Without forcing a DHCP exchange on the laptop computer, even though a startup IP was given, Carnivore cannot capture the e-mail sent from the laptop computer. This test proves that the Startup IP field is not used by Carnivore as it was originally assumed. This condition was also verified by the FBI developers who stated that the Startup IP part of Carnivore 1.3.4 code was all commented out, but the GUI portion had not been removed.
C.11.1 SCENARIO
A court order authorizes collecting all SMTP or POP3 e-mail sent from and to a target that contains the key word "Planning". No target e-mail address is provided since the target uses a fixed IP address.
C.11.2 PURPOSE
Verify that when not providing the e-mail user ID to the filter, Carnivore has the capability to collect a target's e-mail that only contains the given text strings.
C.11.3 FILTER SETUP
For the first collection in this test, the filter parameters were set up using
C.11.4 RESULT
Test not passed. By examining the Carnivore raw data, IITRI noted that Carnivore collects SMTP (sending) e-mail that matches the key word correctly, but does not collect POP3 (receiving) e-mail correctly. However, by examining the CoolMiner analysis result, it is observed that if the text string is in the header (such as in the Subject), then CoolMiner displays the message as a valid SMTP message. If the text string is in the body of the message, CoolMiner does not display it as an SMTP message. This is because the SMTP header is not collected even though raw Carnivore data shows the packet with the text string is collected properly.
The results are consistent with the capabilities provided by the FBI
developers. The specified text strings have to be included in the packet and
triggered at the driver level to save processing time. This condition is a
performance trade off. However, Carnivore filters SMTP and POP3 e- mail users at
the application level; therefore, the e-mail traffic does not pass through the
text string filtering when e-mail user IDs are provided to the filter.
Table C-6. Test Steps and Results for Collecting E-mail of a Specific Text String
.Se usaron pasos 12 a través de 16 para probar el Startup el IP entrada campo. Sin forzar un intercambio de DHCP en la computadora portátil, aunque un startup que IP fue dado, el Carnívoro no puede capturar el e-mail enviado de la computadora portátil. Esta prueba demuestra que el Startup que el campo de IP no se usa por el Carnívoro como él era originalmente supuesto. Esta condición también se verificó por los diseñadores de FBI que declararon que los Startup IP parten de Carnívoro que 1.3.4 código era todos comentados fuera, pero la porción de GUI no había estado alejada.
C.11 TEST 11 FILTRACIÓN EN EL CORDÓN DEL TEXTO PARA SMTP OREGÓN LA POP3 E-MAIL COLLECTION
EL GUIÓN DE C.11.1
Un orden judicial autoriza coleccionar todo el SMTP o e-mail de POP3 enviados de y a un blanco que contiene la palabra importante "Planeando". Ninguna dirección del e-mail designado se proporciona desde que los usos designado una dirección de IP fija.
C.11.2 PURPOSE
Verifique que al no proporcionar al usuario del e-mail ID al filtro, el Carnívoro tiene la capacidad para coleccionar el e-mail de un blanco que sólo contiene los cordones del texto dados.
C.11.3 FILTER EL ARREGLO
Para la primera colección en esta prueba, los parámetros del filtro eran fijos a usar
El protocolo de TCP
La colección llena
SMTP ponen a babor que 25 y POP3 ponen a babor 110
El cordón de texto de datos "Planeando"
C.11.4 RESULT
La prueba no pasó. Examinando el Carnívoro los datos crudos, IITRI notó ese Carnívoro colecciona SMTP (enviando) e-mail que empareja la palabra importante correctamente, pero no colecciona POP3 (recibiendo) mande electrónicamente correctamente. Sin embargo, examinando el CoolMiner análisis resultado, se observa que si el cordón del texto está en el título (como en el Asunto), entonces CoolMiner despliega el mensaje como un mensaje de SMTP válido. Si el cordón del texto está en el cuerpo del mensaje, CoolMiner no lo despliega como un mensaje de SMTP. Esto es que porque el título de SMTP no es reunido que aunque el datos del Carnívoro crudo muestra el paquete con el cordón del texto es propiamente reunido.
Los resultados son consistentes con las capacidades proporcionadas por los diseñadores de FBI. Las cuerdases del texto especificadas tienen que ser incluidas en el paquete y activaron al nivel del chófer para ahorrar tiempo del proceso. Esta condición está apagado un comercio de la actuación. Sin embargo, el Carnívoro se filtra SMTP y POP3 e - los usuarios del correo al nivel de la aplicación; por consiguiente, el tráfico del e-mail no atraviesa el cordón del texto que se filtra cuando manda electrónicamente a usuario que se proporcionan IDs al filtro.
La mesa C-6. Los Pasos de la prueba y Resultados para el E-mail Colectivo de un Cordón del Texto Específico
C.12.1 SCENARIO
A court order authorizes collecting the SMTP or POP3 e-mail messages sent from and to a target that contain a key word "Planning". The e-mail address of the target is mdoe@iitri.org and the target uses a fixed IP address.
C.12.2 PURPOSE
Verify that Carnivore has the capability to collect e-mail of a target that only contain the given text strings.
C.12.3 FILTER SETUP
For the first collection in this test, the filter parameters were set up using
The filter screen filled in with the collection parameters is displayed in Figure C-22.
.C.12 TEST 12 FILTRACIÓN EN EL CORDÓN DEL TEXTO Y SMTP E-MAIL ADDRESS EL OREGÓN POP3 E-MAIL ID MÁS AMERICANO PARA LA COLLECTION DEL E-MAIL
EL GUIÓN DE C.12.1
Un orden judicial autoriza coleccionar el SMTP o POP3 mande electrónicamente mensajes enviados de y a un blanco que contiene una palabra importante "Planeando". La dirección del e-mail del blanco es mdoe@iitri.org y los usos designado una dirección de IP fija.
C.12.2 PURPOSE
Verifique que ese Carnívoro tiene la capacidad para coleccionar e-mail de un blanco que sólo contiene los cordones del texto dados.
C.12.3 FILTER EL ARREGLO
Para la primera colección en esta prueba, los parámetros del filtro eran fijos a usar
El protocolo de TCP
La colección llena
SMTP ponen a babor 25, y POP3 ponen a babor 110
El cordón de texto de datos "Planeando"
La SMTP usuario e-mail dirección mdoe@iitri.org
El POP3 usuario nombre mdoe
La pantalla del filtro rellenada con los parámetros de la colección se despliega en la Figura C-22.
Figure C-22. Filter Setup for Filtering on Text String and
E-mail User for E-mail Collection
La figura C-22. Fíltrese el Arreglo por Filtrarse en el Cordón del Texto y User del E-mail para la Collection del E-mail
C.12.4 RESULT
Test not passed. When given both a specific e-mail address and a text string, Carnivore collects all the target's e-mail whether or not the e-mail matches the given text string. The result is recorded in steps four through nine of Table C-7.
Table C-7. Test Steps and Results for Collecting E-mail
of a Specific Text String and an E-mail User
C.12.4 RESULT
La prueba no pasó. Cuando dado una dirección del e-mail específica y " un cordón del texto, el Carnívoro colecciona el e-mail de todo el blanco si o no el e-mail empareja el cordón del texto dado. El resultado se graba en pasos cuatro a través de nueve de Mesa C-7.
La mesa C-7. Los Pasos de la prueba y Resultados para el E-mail Colectivo de un Cordón del Texto Específico y un User del E-mail
The result is consistent with the capabilities provided by the FBI developers. The specified text strings have to be included in the packet and triggered at the driver level to save processing time. This condition is a performance trade off. However, Carnivore filters SMTP and POP3 e-mail users at the application level; therefore, the e-mail traffic does not pass through the text string filtering when e-mail user IDs are provided to the filter.
C.13.1 SCENARIO
A court order authorizes collecting a target's file download FTP activities that contain the key word "Planning". The target uses a fixed IP address.
C.13.2 PURPOSE
Verify that Carnivore has the capability to collect the target's FTP (ports 20 and 21) communications that only contain the given text strings.
C.12.3 FILTER SETUP
For the first collection in this test, the filter parameters were setup using
The filter screen filled in with the collection parameters is displayed in Figure C-23.
.El resultado es consistente con las capacidades proporcionadas por los diseñadores de FBI. Las cuerdases del texto especificadas tienen que ser incluidas en el paquete y activaron al nivel del chófer para ahorrar tiempo del proceso. Esta condición está apagado un comercio de la actuación. Sin embargo, el Carnívoro se filtra que SMTP y POP3 mandan electrónicamente a los usuarios al nivel de la aplicación; por consiguiente, el tráfico del e-mail no atraviesa el cordón del texto que se filtra cuando manda electrónicamente a usuario que se proporcionan IDs al filtro.
C.13 TEST 13 FILTRACIÓN EN EL CORDÓN DEL TEXTO PARA LA COLECCIÓN DE FTP
EL GUIÓN DE C.13.1
Un orden judicial autoriza coleccionar el archivo de un blanco transmita actividades de FTP que contienen la palabra importante "Planeando". Los usos designado una dirección de IP fija.
C.13.2 PURPOSE
Verifique ese Carnívoro tiene la capacidad para coleccionar el FTP del blanco (pone a babor 20 y 21) comunicaciones que sólo contienen los cordones del texto dados.
C.12.3 FILTER EL ARREGLO
Para la primera colección en esta prueba, los parámetros del filtro eran los arreglo usando
El protocolo de TCP
La colección llena
Los datos de FTP ponen a babor 20 y mando puerto 21
El cordón de texto de datos "Planeando"
La pantalla del filtro rellenada con los parámetros de la colección se despliega en la Figura C-23.
Figure C-23. Filter Setup for Collecting FTP Activities
Containing a Specific Text String
La figura C-23. Fíltrese el Arreglo para Actividades de FTP Colectivas que Contienen un Cordón del Texto Específico
C.13.4 RESULT
Test passed. Carnivore has the capability to collect FTP traffic that contained given text strings. However, it only collects the packets containing the text string or, if the Trigger on Full Session check box is checked, collects from the first packet containing the text string to the end of that session. In either case, Packeteer would fail to assemble all of the packets together for an entire FTP session and, in turn, CoolMiner would fail to analyze the result as shown in Figure C-24. The goal here is to test if Carnivore collects according to its filter setup, not to evaluate the post-processing tools, Packeteer or CoolMiner. The raw output from Carnivore contained the correctly collected data. The test results are shown in Table C-8.
.C.13.4 RESULT
La prueba pasó. El carnívoro tiene la capacidad para coleccionar tráfico de FTP que contuvo los cordones del texto dados. Sin embargo, sólo colecciona los paquetes que contienen el cordón del texto o, si el Gatillo en la caja de cheque de Sesión Llena se verifica, colecciona del primer paquete en conteniendo el cordón del texto al extremo de esa sesión. Packeteer no congregarían todos los paquetes juntos para una sesión de FTP entera en cualquier caso, y, CoolMiner a su vez, no analizarían el resultado como mostrado en la Figura C-24. La meta aquí es probar si el Carnívoro colecciona según su arreglo del filtro, no evaluar las herramientas del poste-proceso, Packeteer o CoolMiner. El rendimiento crudo del Carnívoro contuvo los datos correctamente reunido. Los resultados de la prueba se muestran en la Mesa C-8.
Figure C-24. CoolMiner Analysis Screen for FTP Collection Triggered by Text String
Table C-8. Test Steps and Results for Filtering on Text
String for FTP Collection
[Pages D-1 to D-9.]
The license for WinDis 32 prevents the FBI from releasing the source code for this driver, and possibly for TapAPI.dll, to the public. The relevant portions of the WinDis 32 license are
Your Own UsePCAUSA authorizes the licensed, registered owner (i.e., You) to edit or modify the WinDis 32 sample programs and incorporate them into the programs that you write for your own use, but you may not give away, sell, license or distribute them, alone or as part of any program, in executable, object or source form.
Distribution In Executable Form
PCAUSA grants you the right to incorporate the WinDis 32 sample programs into your own programs as long as your program adds substantial functionality beyond that provided in the original WinDis 32 sample. You may distribute programs that you create and which contain elements of the original WinDis 32 samples, in executable form only, without restriction or fee provided that all copies of your programs bear a valid copyright notice. By "copyright notice", we mean your own copyright notice. You, of course, shall remain solely responsible for, and will hold PCAUSA harmless from, all claims, liability and damages arising from your own products which may include elements of the WinDis 32 sample programs.
Distribution In Source Form
PCAUSA does not grant you the right to give away, sell, license or otherwise distribute source code derived substantially from the WinDis 32 sample programs unless the recipient of your source code obtains their own license to the WinDis 32 sample programs, identical to this license and at the same cost that you paid for this license.
(REDACTED: In this publicly available version of the IITRI draft, DOJ has redacted Appendix D.2 through D.4, which contain a detailed description of the Carnivore software structure. These redactions were made after preliminary internal review, and with a view toward making the vast majority of the draft publicly available as soon as possible. We are continuing to review the need for even these limited redactions. If we ultimately determine that they are not necessary, we will make the redacted material public.)
[REDACTED]
[REDACTED]
[Pages E-1 to E-3.]
i 18 U.S.C. §§ 2510-2522.
ii 50 U.S.C. §§ 1801-1811.
iii 18 U.S.C. § 2516(1). By internal rule and practice, see MIOG 10-9.1, the FBI follows this limitation for interception of electronic communications. However, the statute itself, 18 U.S.C. § 2516(3), provides that, for interception of electronic communication, any government attorney (within the meaning of the Federal Rules of Criminal Procedure) can apply for the intercept order.
iv Id. § 2516(3).
v I Interception of wire and oral communication is limited to certain enumerated felonies. Section 2516(1). It is not clear whether the FBI follows that restriction in the Carnivore context. See MIOG 10-9.1(3)(c).
vi Id.
vii Id. § 2518(3).
viii Id. § 2518(3).
ix Id. § 2518(5).
x Id. § 2518(8).
xi Id. § 2518(7).
xii 18 U.S.C. § 3121(a).
xiii 18 U.S.C. § 3122.
xiv 18 U.S.C. § 3123(a).
xv Id. § 3123(b).
xvi Id. § 3123(b) & (c).
xvii 50 U.S.C. § 1802.
xviii 50 U.S.C. § 1805 (a).
xix 50 U.S.C. § 1805 (b)(1).
xx Id. § 1805(b)(2).
xxi Id. §§ 1804(a)(2); 1804(a)(7).
xxii 50 U.S.C. § 1842.
xxiii MIOG § 10-9(3)(a).
xxiv FBI Manual of Investigative Operations and Guidelines.
xxv MIOG § 10-9. xxvi MIOG P2 § 10-10.7(3).
xxvii MIOG P2 § 10-10.7(3), (4).
xxviii In exceptional circumstances, certain state judges also may provide authorization. 18 U.S.C. § 2510(9)(b).
xxix In comparison to a traditional Fourth Amendment search, therefore, there are significant before-the-fact (ex ante) checks. Only an Article III judge can issue the order, the application must be authorized by high level officials, far mo re information must be supplied to the court -- creating a record which later can be attacked -- and enforcement officers must, in addition, demonstrate to the court's satisfaction that no conventional law enforcement means are available to capture the information sought, including pen registers. Moreover, unlike in the warrant context, Title III provides that law enforcement agents must minimize the intrusion into private communications.
xxx 18 U.S.C. § 2520(a)-(c).
xxxi Id. § 2520(c).
xxxii 50 U.S.C. § 1809.
xxxiii Id. § 1809(b).
xxxiv 18 U.S.C. § 3121(d).
xxxv It should be noted, however, that because pen devices capture less information, Congress determined that government investigators need abide by fewer external restrictions than under Title III or FISA searches. Far fewer before-the-fact checks exist. First, under the pertinent statute, 18 U.S.C. §§ 3121-3124, any federal or state governmental attorney may apply for a court order authorizing a pen register or a trap and trace device. Second, no probable cause need be shown, only that the information to be obtained "is relevant to an ongoing criminal investigation." Third, there is no requirement that an Article III judge issue the order -- a magistrate can suffice. Fourth, no showing need be made that traditional law enforcement means are not sufficient to conduct the criminal investigation.
xxxvi 50 U.S.C. §§ 1806, 1845.
xxxvii 18 U.S.C. § 2518(10).
xxxviii See id. § 2518(10)(c).
xxxix There are other after the fact (ex post) checks in the Title III context not present with traditional searches. First, given that many individuals subject to Title III searches may not be aware that their phone conversations have been overheard or e-mails read, Title III requires disclosure, at least to the target, 90 days after completion of any investigation. Such notification opens the possibility that such individuals can sue for damages either under the Fourth Amendment or Title III. Second, the governing statute provides criminal penalties for any person, including law enforcement officers, who violate its terms. Third, Congress has waived government agents' immunity, allowing private actions against any law enforcement agent who violates the procedures in the Act.
xl 18 U.S.C. § 3126.
xli 50 U.S.C. § 1807.
xlii See supra note.
xliii 18 U.S.C. § 2516(1).
xliv 18 U.S.C. § 1804.
xlv MIOGP2 § 16-7.2.1.
xlvi MIOGP2 § 16-7.2.3(2-5).
xlvii MIOGP2 § 16-7.2.2(1).
xlviii MIOGP2 § 16-7.3.1(1).
xlix MIOGP2 § 16-7.3.1(1).
l MIOGP2 § 16-7.3.3(1)(a).
li MIOGP2 § 16-7.3.1(2).
lii See http://www.wildpackets.com/.
liii 18 U.S.C. § 2512 (1)(b).
liv 18 U.S.C. § 2512 (1).
EL APÉNDICE D
LA DESCRIPCIÓN DEL SOFTWARE DETALLADA
D.1 EL PCAUSA LICENCIA ACUERDO
La licencia para WinDis 32 le impide al FBI soltar el código de la fuente para este chófer, y posiblemente para TapAPI.dll, al público. Las porciones pertinentes del WinDis 32 licencia es
Su Propio Uso
PCAUSA autoriza al dueño autorizado, registrado (es decir, Usted) revisar o modificar el WinDis 32 programas de la muestra y los incorpora en los programas que usted escribe para su propio uso, pero usted no puede regalar, venda, licencia o los distribuye, solo o como la parte de cualquier programa, en ejecutable, objeto o forma de la fuente.
La distribución En la Forma Ejecutable
PCAUSA le concede el derecho para incorporar el WinDis 32 programas de la muestra en sus propios programas con tal de que su programa agregue el más allá de funcionalidad sustancial que proporcionó en el WinDis original 32 muestra. Usted puede distribuir programas que usted crea y qué contiene elementos del WinDis original 32 muestras, en la forma ejecutable sólo, sin restricción o cuota con tal de que todas las copias de sus programas llevan un aviso del derechos de propiedad literaria válido. Por "aviso del derechos de propiedad literaria", nosotros queremos decir su propio aviso del derechos de propiedad literaria. Usted, claro, permanecerá solamente responsable para, y sostendrá PCAUSA indemne de, todas las demandas, obligación y daño y perjuicios que se levantan de sus propios productos que pueden incluir elementos del WinDis 32 programas de la muestra.
La distribución En la Forma de la Fuente
PCAUSA no le concede el derecho para regalar, venda, licencia o por otra parte distribuye código de la fuente derivado substancialmente del WinDis 32 programas de la muestra a menos que el destinatario de su código de la fuente obtiene su propia licencia al WinDis 32 programas de la muestra, idéntico a esta licencia y al mismo costo que usted pagó por esta licencia.
D.2 TAPNDIS
(REDACTED: En esto la versión públicamente disponible del proyecto de IITRI, DOJ tiene el Apéndice del redacted D.2 a través de D.4 que contiene una descripción detallada de la estructura de software de Carnívoro. Estos redactions eran hecho después de la revisión interior preliminar, y con una vista hacia hacer la inmensa mayoría del proyecto lo más pronto posible públicamente disponible. Nosotros estamos continuando repasando la necesidad por incluso estos redactions limitados. Si nosotros determinamos finalmente que ellos no son necesarios, nosotros haremos el público material a los redacted.)
D.3 TAPAPI
[REDACTED]
D.4 CARNIVORE.DLL
[REDACTED]
[Compagina E-1 a E-3.]
EL APÉNDICE E
ENDNOTES
I 18 U.S.C. §§ 2510-2522.
EL II 50 U.S.C. §§ 1801-1811.
el iii 18 U.S.C. § 2516(1). Por la regla interior y practica, vea MIOG 10-9.1, el FBI sigue esta limitación para la interceptación de comunicaciones electrónicas. Sin embargo, el propio estatuto, 18 U.S.C. § 2516(3), proporciona que, para la interceptación de comunicación electrónica, cualquier abogado gubernamental (dentro del significado de las Reglas Federales de Procedimiento Delictivo) puede solicitar el intercepte el orden.
el iv Id. § 2516(3).
v yo la Interceptación de alambre y comunicación del oral se limita a ciertas felonías enumeradas. Sección 2516(1). no está claro si el FBI sigue esa restricción en el contexto del Carnívoro. Vea MIOG 10-9.1(3)(c).
el vi Id.
el vii Id. § 2518(3).
el viii Id. § 2518(3).
el ix Id. § 2518(5).
x Id. § 2518(8).
el xi Id. § 2518(7).
EL XII 18 U.S.C. § 3121(A).
EL XIII 18 U.S.C. § 3122.
EL XIV 18 U.S.C. § 3123(A).
el xv Id. § 3123(B).
el xvi Id. § 3123(B) & (C).
EL XVII 50 U.S.C. § 1802.
EL XVIII 50 U.S.C. § 1805 (UN).
EL XIX 50 U.S.C. § 1805 (EL B)(1).
el xx Id. § 1805(B)(2).
el xxi Id. §§ 1804(A)(2); 1804(A)(7).
EL XXII 50 U.S.C. § 1842.
EL XXIII MIOG § 10-9(3)(A).
el xxiv el Manual de FBI de Funcionamientos Investigadores y Pautas.
EL XXV MIOG § 10-9. EL XXVI MIOG P2 § 10-10.7(3).
EL XXVII MIOG P2 § 10-10.7(3), (4).
el xxviii En las circunstancias excepcionales, ciertos jueces del estado también pueden proporcionar la autorización. 18 U.S.C. § 2510(9)(B).
el xxix comparado con una Cuarta búsqueda de la Enmendadura tradicional, por consiguiente, hay antes de-el-hecho significante (los ex apuestan) los cheques. Sólo un Artículo III juez puede emitir el orden, la aplicación debe ser autorizada por los oficiales nivelados altos, debe proporcionarse la información de re de mo lejana a la corte--creando un registro que después puede atacarse--y funcionarios de la entrada en vigor deben, además, demuestre a la satisfacción de la corte que ningún medios de entrada en vigor de ley convencional está disponible capturar la información buscó, incluso los registros de la pluma. Es más, diferente en el contexto de la garantía, Titule III proporcionan ese agentes de entrada en vigor de ley deben minimizar la intrusión en las comunicaciones privadas.
EL XXX 18 U.S.C. § 2520(A)-(C).
el xxxi Id. § 2520(C).
EL XXXII 50 U.S.C. § 1809.
el xxxiii Id. § 1809(B).
EL XXXIV 18 U.S.C. § 3121(D).
xxxv que debe notarse, sin embargo, que porque los dispositivos de la pluma capturan menos información, el Congreso determinó ese investigadores del gobierno necesitan more por menos restricciones externas que bajo el Título III o búsquedas de FISA. Lejos los más pocos cheques de antes de-el-hecho existen. Primero, bajo el estatuto pertinente, 18 U.S.C. §§ 3121-3124, cualquier abogado gubernamental federal o estatal puede solicitar un orden judicial que autoriza un registro de la pluma o una trampa y dispositivo del rastro. Segundo, ninguna necesidad de la causa probable se muestre, sólo que la información sea obtenida "es pertinente a una investigación delictiva continuada". Tercero, no hay ningún requisito que un Artículo III problema del juez el orden--a un magistrado puede le bastar. Cuarto, ninguna necesidad de la exhibición se haga que los medios de entrada en vigor de ley tradicionales no son suficientes dirigir la investigación delictiva.
EL XXXVI 50 U.S.C. §§ 1806, 1845.
EL XXXVII 18 U.S.C. § 2518(10).
los xxxviii Ven el id. § 2518(10)(C).
el xxxix hay otro después del hecho (los ex anuncian) los cheques en el Título III contexto no el presente con las búsquedas tradicionales. Primero, dado tantos los individuos sujeto al Título III búsquedas no pueden ser conscientes que sus conversaciones telefónicas se han oído por casualidad o los e-mailes leyeron, Titule III requieren descubrimiento, por lo menos al blanco, 90 días después de la realización de cualquier investigación. La tal notificación abre la posibilidad que los tales individuos o pueden demandar para los daño y perjuicios bajo la Cuarta Enmendadura o pueden Titular III. Segundo, el estatuto gobernante mantiene las multas delictivas cualquier persona, incluso funcionarios de entrada en vigor de ley que violan sus condiciones. Tercero, el Congreso ha renunciado la inmunidad de agentes gubernamentales, mientras permitiendo las acciones privadas contra cualquier agente de entrada en vigor de ley que viola los procedimientos en el Acto.
EL XL 18 U.S.C. § 3126.
EL XLI 50 U.S.C. § 1807.
los xlii Ven la nota del supra.
EL XLIII 18 U.S.C. § 2516(1).
EL XLIV 18 U.S.C. § 1804.
EL XLV MIOGP2 § 16-7.2.1.
EL XLVI MIOGP2 § 16-7.2.3(2-5).
EL XLVII MIOGP2 § 16-7.2.2(1).
EL XLVIII MIOGP2 § 16-7.3.1(1).
EL XLIX MIOGP2 § 16-7.3.1(1).
L MIOGP2 § 16-7.3.3(1)(A).
EL LI MIOGP2 § 16-7.3.1(2).
los lii Ven http://www.wildpackets.com /.
EL LIII 18 U.S.C. § 2512 (1)(B).
EL LIV 18 U.S.C. § 2512 (1).
|
|
Contador Para Menu
