미연방수사국 (FBI)이 범죄 혐의자의 온라인/이메일 활동에 접근할 수 있도록 하기 위해 개발한 논란의 여지가 있는 프로그램인 Carnivore 에 대해 들어보셨을 것 입니다. 많은 사람들에게 그것은 조지 오웰의 책 "1984"를 섬뜩하게 연상시킵니다. Carnivore는 2005년 1월까지 상업적으로 이용 가능한 도청 소프트웨어를 위해 FBI에 의해 포기되었지만, 한때 컴퓨터 통신 모니터링의 세계에서 FBI의 특정 영향력을 갱신하겠다고 약속한 프로그램은 그럼에도 불구하고 그 구조와 적용에서 흥미롭습니다.
- 육식 진화
- 패킷 스니핑
- 육식 동물 과정
- 육식 동물의 먹이
육식 진화
Carnivore는 FBI에서 사용한 3세대 온라인 탐지 소프트웨어 였습니다. 첫 번째 버전에 대한 정보는 공개된 적이 없지만 많은 사람들은 이것이 실제로 Etherpeek 이라는 쉽게 사용할 수 있는 상용 프로그램이라고 믿고 있습니다 .
1997년 FBI는 2세대 프로그램인 Omnivore를 배포했습니다 . FBI가 공개한 정보에 따르면 Omnivore는 특정 인터넷 서비스 공급자 (ISP)를 통해 이동하는 전자 메일 트래픽 을 살펴보고 대상 소스에서 전자 메일을 캡처하여 테이프 백업 드라이브에 저장하거나 인쇄하도록 설계되었습니다. 실시간으로. Omnivore는 FBI가 전자 메일 메시지, 다운로드한 파일 또는 웹 페이지 까지 재구성할 수 있는 보다 포괄적인 시스템인 DragonWare Suite 를 위해 1999년 말에 퇴역했습니다 .
DragonWare에는 세 부분이 포함되어 있습니다.
- Carnivore - 정보를 캡처하는 Windows NT/2000 기반 시스템
- Packeteer - 공식 정보는 공개되지 않았지만 패킷 을 응집력 있는 메시지 또는 웹 페이지로 재조립하기 위한 응용 프로그램으로 추정됩니다.
- Coolminer - 공식 정보는 공개되지 않았지만 메시지에서 발견된 데이터를 추정하고 분석하기 위한 응용 프로그램으로 추정됩니다.
보시다시피, 관리들은 DragonWare Suite에 대한 많은 정보를 공개하지 않았고 Packeteer 및 Coolminer에 대한 정보도 공개하지 않았으며 Carnivore에 대한 세부 정보도 거의 공개하지 않았습니다. 그러나 우리는 Carnivore가 기본적으로 패킷 스니퍼(packet sniffer) 라는 것을 알고 있습니다. 이는 꽤 일반적이고 한동안 사용되어 온 기술입니다.
패킷 스니핑
컴퓨터 네트워크 관리자는 수년 동안 패킷 스니퍼 를 사용 하여 네트워크를 모니터링하고 진단 테스트를 수행하거나 문제를 해결했습니다. 기본적으로 패킷 스니퍼 는 연결된 네트워크 를 통해 전달되는 모든 정보를 볼 수 있는 프로그램입니다 . 데이터가 네트워크에서 앞뒤로 스트리밍될 때 프로그램은 각 패킷을 보거나 "스니핑"합니다.
일반적으로 컴퓨터 는 자신에게 지정된 패킷만 보고 네트워크의 나머지 트래픽은 무시합니다. 패킷 스니퍼가 컴퓨터에 설정되면 스니퍼의 네트워크 인터페이스가 무차별 모드 로 설정 됩니다 . 이것은 통과하는 모든 것을 보고 있음을 의미합니다. 트래픽 양은 주로 네트워크에서 컴퓨터의 위치에 따라 다릅니다. 네트워크의 격리된 분기에 있는 클라이언트 시스템은 네트워크 트래픽의 작은 부분만 보는 반면 주 도메인 서버는 거의 모든 부분을 봅니다.
패킷 스니퍼는 일반적으로 다음 두 가지 방법 중 하나로 설정할 수 있습니다.
- Unfiltered - 모든 패킷을 캡처합니다.
- 필터링됨 - 특정 데이터 요소가 포함된 패킷만 캡처합니다.
대상 데이터가 포함된 패킷은 통과할 때 복사 됩니다. 프로그램 은 프로그램 구성에 따라 메모리 나 하드 드라이브 에 복사본을 저장합니다 . 이러한 사본은 특정 정보나 패턴에 대해 주의 깊게 분석할 수 있습니다.
인터넷에 연결하면 ISP에서 유지 관리하는 네트워크에 연결됩니다. ISP의 네트워크는 다른 ISP가 유지 관리하는 다른 네트워크와 통신 하여 인터넷 의 기반 을 형성합니다 . ISP의 서버 중 하나에 있는 패킷 스니퍼는 잠재적으로 다음과 같은 모든 온라인 활동을 모니터링할 수 있습니다.
- 방문하는 웹사이트
- 사이트에서 보는 것
- 이메일을 보내는 사람
- 당신이 보낸 이메일에 있는 내용
- 사이트에서 다운로드하는 것
- 오디오, 비디오 및 인터넷 전화 와 같이 사용하는 스트리밍 이벤트
- 귀하의 사이트를 방문하는 사람(웹 사이트가 있는 경우)
실제로 많은 ISP가 패킷 스니퍼를 진단 도구 로 사용 합니다 . 또한 많은 ISP는 백업 시스템의 일부로 전자 메일과 같은 데이터 복사본을 유지 관리합니다. Carnivore와 그 자매 프로그램은 FBI에게 논쟁의 여지가 있는 진전이었지만 새로운 기술은 아니었습니다.
육식 동물 과정
Carnivore가 무엇인지에 대해 조금 알았으니 이제 어떻게 작동했는지 살펴보겠습니다.
연방 수사 국 (FBI)은 이 합리적인 사람이 범죄 활동에 종사하고 용의자의 온라인 활동을 볼 수있는 법원 명령을 요청하는 것을 의심. 법원은 이메일 트래픽의 전체 내용 도청 요청을 승인 하고 명령을 내립니다.
전화 감시에 사용되는 용어 "콘텐츠 도청"은 패킷의 모든 항목을 캡처하여 사용할 수 있음을 의미합니다. 다른 유형의 도청은 트랩 앤 트레이스(trap-and-trace)로 , FBI는 발송되는 메시지의 이메일 계정이나 용의자가 방문하는 웹사이트 주소와 같은 목적지 정보만 캡처할 수 있습니다. 펜 레지스터 라고 하는 트랩 앤 트레이스의 역 형태는 용의자에게 보내는 전자 메일이 어디에서 왔는지 또는 용의자의 웹 사이트 방문이 시작된 곳을 추적합니다.
FBI는 용의자의 ISP에 연락하여 용의자의 활동에 대한 백업 파일 사본을 요청합니다. FBI는 용의자의 활동을 모니터링하기 위해 ISP에 육식 동물 컴퓨터를 설치합니다. 컴퓨터는 다음으로 구성됩니다.
- 128 펜티엄 III 윈도우 NT / 2000 시스템 메가 바이트 의 (메가 바이트) RAM
- 상업용 통신 소프트웨어 응용 프로그램
- 패킷 스니핑 및 필터링을 제공하기 위해 위의 상용 프로그램과 함께 작동 하는 사용자 지정 C++ 응용 프로그램
- 컴퓨터에 액세스하려면 특수 암호가 필요한 물리적 잠금 시스템 유형(이는 FBI를 제외한 모든 사람이 육식 동물 시스템에 물리적으로 액세스하지 못하도록 합니다.)
- Carnivore 시스템을 네트워크의 다른 어떤 것도 볼 수 없도록 하는 네트워크 격리 장치 (누군가 다른 컴퓨터에서 시스템을 해킹하는 것을 방지합니다.)
- 캡처된 데이터를 저장하기 위한 2GB Iomega Jaz 드라이브(Jaz 드라이브는 플로피 디스크 처럼 쉽게 교체할 수 있는 2GB 이동식 카트리지 를 사용합니다 .)
FBI 는 Carnivore가 이 특정 위치의 패킷만 캡처 하도록 Carnivore 소프트웨어를 용의자 의 IP 주소 로 구성합니다 . 다른 모든 패킷을 무시합니다. Carnivore는 네트워크 트래픽의 흐름을 방해하지 않고 용의자의 시스템에서 모든 패킷을 복사합니다. 복사본이 만들어지면 전자 메일 패킷만 유지 하는 필터 를 거칩니다. 프로그램은 패킷의 프로토콜 에 따라 패킷 에 포함된 내용을 결정합니다 . 예를 들어 모든 이메일 패킷은 Simple Mail Transfer Protocol을 사용합니다.(SMTP). 이메일 패킷은 Jaz 카트리지에 저장됩니다. 하루나 이틀에 한 번 FBI 요원이 ISP를 방문하여 Jaz 카트리지를 교체합니다. 에이전트는 회수된 카트리지를 가져와 날짜가 기입되고 밀봉된 용기에 넣습니다. 봉인이 파손된 경우 봉인을 뜯은 사람이 서명하고 날짜를 기입하고 다시 봉인해야 합니다. 그렇지 않으면 카트리지가 "손상된" 것으로 간주될 수 있습니다. 감시는 법원의 연장 없이 한 달 이상 계속될 수 없습니다. 완료되면 FBI는 ISP에서 시스템을 제거합니다. 캡처된 데이터는 Packeteer 및 Coolminer를 사용하여 처리됩니다. 결과가 충분한 증거를 제공하면 FBI는 이를 용의자에 대한 사건의 일부로 사용할 수 있습니다.
ISP는 백업의 일부로 고객 활동 데이터를 유지 관리하지 않습니다.
위의 예는 시스템이 저장할 패킷을 식별하는 방법을 보여줍니다.
육식 동물의 먹이
연방 수사 국 (FBI)은 특정 이유로 육식을 사용하는 계획을 세웠다. 특히, 기관은 다음과 같은 혐의가 있는 경우 육식 동물을 사용하라는 법원 명령을 요청할 것입니다.
- 테러
- 아동 포르노/착취
- 스파이 활동
- 정보전
- 사기
다양한 출처에서 많은 관심을 불러일으킨 몇 가지 주요 문제가 있습니다.
- 개인 정보 보호 - 많은 사람들이 Carnivore를 심각한 개인 정보 침해로 여겼습니다. 남용의 가능성은 분명히 존재하지만 전자 통신 개인 정보 보호법 (ECPA)은 모든 유형의 전자 통신에 대한 개인 정보의 법적 보호를 제공합니다. 모든 유형의 전자 감시에는 법원 명령이 필요하며 용의자가 범죄 활동에 연루되어 있음을 입증 해야 합니다 . 따라서 ECPA를 준수하지 않는 방식으로 Carnivore를 사용하는 것은 불법이며 위헌으로 간주될 수 있습니다.
- 규제 - Carnivore는 미국 정부가 인터넷에 대한 통제권을 장악하고 인터넷 사용을 규제할 수 있는 거대한 시스템이라는 믿음이 널리 퍼져 있었습니다. 이를 위해서는 놀라운 기반 시설이 필요했을 것입니다. FBI는 사설, 상업 및 교육 기관을 포함한 모든 ISP에 Carnivore 시스템을 배치해야 했습니다. 이론적으로 미국에서 운영되는 모든 ISP에 대해 그렇게 하는 것이 가능하지만 미국 관할권 외부에서 운영되는 ISP를 규제할 방법은 아직 없습니다. 그러한 움직임은 또한 모든 방향에서 심각한 반대에 직면했을 것입니다.
- 표현의 자유 - 어떤 사람들은 Carnivore가 "폭탄" 또는 "암살"과 같은 특정 키워드를 찾아 ISP를 통해 흐르는 모든 콘텐츠를 모니터링했다고 생각합니다. 모든 패킷 스니퍼는 특정 패턴의 문자 또는 데이터를 찾도록 설정할 수 있습니다. 그러나 그럴듯한 이유가 없었다면 FBI는 귀하의 온라인 활동을 감시할 정당성이 없었으며 그렇게 했다면 ECPA와 헌법상의 언론의 자유를 심각하게 침해했을 것입니다.
- Echelon - NSA( National Security Agency) 에서 개발 중이라는 소문이 있는 비밀 네트워크 로, "폭탄" 또는 "암살"과 같은 특정 키워드가 포함된 국경을 넘는 패킷을 탐지하고 캡처하도록 설계되었습니다. Echelon의 존재를 뒷받침하는 확실한 증거는 없습니다. 많은 사람들이 이 소문의 시스템을 육식 동물 시스템과 혼동했습니다.
이러한 모든 우려로 인해 Carnivore의 구현은 FBI를 위한 힘든 싸움이 되었습니다. FBI는 Carnivore에 대한 소스 코드 및 기타 특정 기술 정보 공개를 거부했으며 이는 사람들의 우려를 가중시켰습니다. 그러나 ECPA의 제약과 지침 내에서 사용되는 한 Carnivore는 범죄와의 전쟁에서 유용한 무기가 될 가능성이 있었습니다.
더 많은 정보
관련 기사
- 웹 서버와 인터넷 작동 방식
- 라우터 작동 방식
- 이메일 작동 방식
- 암호화 작동 방식
- 인터넷 인프라 작동 방식
- 이동식 스토리지 작동 방식
- PC 작동 방식
- 도청 작동 방식
- 직장 감시 작동 방식
- 자물쇠 따기 작동 방식
- 미국 정찰기가 작동하는 방식
더 좋은 링크
- CNN.com: FBI, 육식 동물 인터넷 조사 중단 - 2005년 1월 19일
- Slashdot.org: Carnivore 리뷰어 Henry H. Perrit, Jr.의 답변
- Sniff'em: Windows 기반 패킷 스니퍼
- Infosyssec.org: 정보 보안 포털
