كارنيڤور (برنامج)
كارنيڤور Carnivore، هونظام أسسته وكالة المباحث الفدرالية الأمريكية تم تصميمه لمراقبة البريد والاتصالات الإلكترونية. يستخدم النظام حزمة تحليل متخصصة تستطيع مراقبة حركة المستخدم المستهدف على الإنترنت. أُطلق كارنيڤور في أكتوبر 1997. في 2005، أستبدل ببرنامج تجاري متقدم مثل ناروإنسايت.
خلفية
طبقا لوكالة المباحث الفيدرالية الأمريكية فإن كارنيفور هونظام كومبيوتري مصمم ليسمح لوكالة المباحث الفيدرالية الأمريكية، وبالتعاون مع الشركة المزودة لخدمات إنترنت ، بتطبيق أمر محكمة بجمع معلومات محددة حول رسائل البريد الإلكتروني ، أوأية اتصالات إلكترونية أخرى من وإلى مستخدم معين يستهدفه تحقيق ما." وتقول المباحث الأمريكية بأن اسم كارنيفور Carnivore، وهي حدثة إنجليزية تعني آكل اللحوم ، يشير إلى حتى البرنامج يقوم بمضغ كافة البيانات المتدفقة عبر شبكة ما، ولكنه يقوم عمليا بالتهام المعلومات التي يسمح بها أمر المحكمة فقط.
ويمكن استعمال كارنيفور بشكلين فقط، الأول هورصد المعلومات الواردة إلى والصادرة من حساب بريد إلكتروني معين، و/أورصد حركة [[بيانات|البيانات]ي من وإلى عنوان IP معين. ويتم ذلك بعدة طرق وذلك إما من خلال رصد جميع الترويسات headers الخاصة برسائل البريد الإلكتروني (بما في ذلك عناوين البريد الإلكتروني) الصادرة من والواردة إلى حساب معين، ولكن ليس المحتويات العملية (أوخانة الموضوع). والطريقة الأخرى هي رصد جميع الأجهزة المزودة (مزودات الويب، والملفات) التي يقوم المشتبه به بالنفاذ إليها، وذلك من دون رصد المحتوى العملي لما ينفذ المستخدم إليه. ويمكن أيضا رصد جميع المستخدمين الذين يقومون بالنفاذ إلى صفحة ويب معينة أوملف باستخدام FTP وأخيرا، يمكن رصد جميع صفحات إنترنت، وملفات FTP التي يقوم المستخدم بالنفاذ إليها.
كارنيفور إذا، وكما يمكن للقارئ الخبير حتى يستنتج، ليس إلا برنامج لرصد حزم البيانات، أوما يُطلق عليه اسم Packet Sniffer، وهي فئة معروفة من البرامج يستخدمها الهكرة عادة في التصنت على الحزم الواردة والصادرة إلى ومن حساب معين، وحفظ نسخة منها. ويجدر الإشارة هنا أيضا إلى حتى كارنيفور لا يقوم بتغيير البيانات التي يقوم بجمعها، وتقتصر مهمته فقط على التصنت على الحزم وتسجيل نسخة منها. وتقول وكالة المباحث الفيدرالية حتى كارنيفور عمليا هوتعبير عن برنامج ضمن "صندوق" (أوجهاز كمبيوتر) بمواصفات معينة، تتناسب مع متطلبات القانون الأمريكي الذي يصر على سمات معينة قد يكتسب الدليل الجنائي شرعيته. ولذا فإن صندوق كارنيفور عادة يتكون من العناصر التالية:
- جهاز يعمل بنظام ويندوز حتى تي (أوويندوز 2000)، مزود بـ 128 ميغابايت من الذاكرة، ومعالج بنتيو3، وقرص صلب بسعة 4-18 غيغابايت، وسواقة جاز للتخزين الاحتياطي بسعة 2 غيغابايت، وهي الوجهة النهائية التي يتم نسخ الأدلة إليها.
- برنامج كارنيفور مكتوب بلغة C++
- لا يستخدم البرنامج حزم TCP/IP (وذلك كي لاقد يكون بالإمكان النفاذ إليه عبر إنترنت)
- جهاز للتحقق من الهوية، يُستخدم للتحكم فيمن لديه حقوق النفاذ إلى الصندوق (مما يمنع موظفي الشركة المزودة لخدمات إنترنت من النفاذ إلى داخل الصندوق دون إتلافه بشكل واضح.)
- أداة "عزل عن الشبكة" تمنع الصندوق من إرسال البيانات خارجه، حتى لوتمكن أحد الهكرة من النفاذ إليه بشكل ما.
- ملحقات برمجية يُشتبه في أنها تمثل نواة كارنيفور، والذي يُشتبه أيضا بأنه كُتب كملحق برمجي بلغة C++ لبرنامج EtherPeek المعروف، والمستخدم أيضا في التصنت على حزم البيانات.
- ويُنطق أيضا بأنه يوجد منافذ على الصندوق للاتصال عبر المودم، وذلك لتحميل البيانات عن بُعد، ولكن ذلك يتنافى مع الإجراءات التي تصر وكالة المباحث على اتباعها، وهي استبدال قرص الجاز يوميا.
ولما كانت هذه هي كافة التفاصيل التي تقدمها وكالة المباحث الفيدرالية حول عمل كارنيفور، فإن حماة الحريات الشخصية في الولايات المتحدة يخشون بأنقد يكون النظام من البدائية بحيث أنه أثناء التصنت على حسابات الأفراد المشتبه بهم، فإن كارنيفور يقوم أيضا بجمع معلومات من حسابات أخرى غير خاضعة للتحقيق، وبالتالي جمع معلومات شخصية عن أفراد لا علاقة لهم بأي تحقيقات. ورغم أنه يمكن من الناحية التقنية كتابة بريمج للتصنت على حزم البيانات يقوم بجمع المعلومات الخاصة بحسابات معينة فقط، فإن المتبع عمليا هوكتابة البرامج بشكل سريع اختصارا للوقت، وبالتالي عدم الاعتناء بجعل فعالية البرنامج تقتصر على حسابات وعناوين معينة.
ويجب الهجريز هنا على حتى كارنيفور ليس برنامجا للمطابقة بين أنماط النص pattern matcher كالبرامج المستخدمة في البحث ضمن نص معين، ولكنه مجرد برنامج لتفسير بروتوكولات نقل البيانات، بمعنى أنه يتابع بروتوكولات نقل البريد الإلكتروني، ويقوم بفحص حقول معينة بها، وهوما سنتطرق إليه بعد قليل. كما أننا يجب حتى نؤكد هنا على حتى كارنيفور لا يقوم بإفساد البيانات، أوتخريبها بأي شكل من الأشكال. فالبريد الإلكتروني ينتقل عبر الشبكة في حزم لها أرقامها التسلسلية الخاصة، وعند حدوث معضلة في عملية النقل تؤدي إلى عدم التقاط كافة الحزم التي تُشكل رسالة معينة فإن كارنيفور يقوم بوضع علامة على هذه الثغرة في البريد الإلكتروني، مما يسمح لمن يتابعون هذا البريد باكتشاف مشاكل الاستقبال بسهولة.
ويُشاع أيضا بأن صناديق كارنيفور منتشرة عبر إنترنت، وتقوم بالتجسس على جميع شاردة وواردة، وهذا اعتقاد خاطئ لعدة مسببات أهمها هوأنه طبقا للقانون الأمريكي، فإنه يجب تجديد أوامر المحكمة التي تسمح بمتابعة المعلومات الشخصية بشكل شهري، ولذلك، فإنه لا يمكن لصناديق كارنيفور حتى تتواجد ضمن مزود واحد لخدمات إنترنت لمدة أكثر من شهر واحد. كما أنه لا يجب على مزودي خدمات إنترنت استخدام كارنيفور إذا كان بحوزتهم الوسائل التي يمكنهم من خلالها تقديم المعلومات التي تطلبها المباحث.
وحسب آخر الإحصائيات (أغسطس 2000)، فإنه يوجد في العالم عشرون صندوقا من صناديق كارنيفور، تحتفظ بها المباحث الفيدرالية في مقرها بكوانتكوبولاية فرجينيا. كما يجدر الإشارة إلى نقطة أخرى هنا وهي حتى كارنيفور هوبرنامج بدائي بكل معنى الحدثة، وبالتالي فلا يمكن استخدامه إلا لأغراض محددة وضمن نطاقات جغرافية معينة، ولذلك فهوليس من البرامج المستخدمة للتجسس عالميا (كما هي الحال ضمن مشروع إيكيلون). كما حتى المباحث عادة تقوم بوضع هذه الصناديق أمام مهندسي الشبكات في الشركات المزودة، في حين حتى برامج مثل إيكيلون سرية للغاية ولا يعهد عنها إلا القليل من البشر.
ضوابط كارنيڤور
وكيقد يكون الدليل الإلكتروني دليلا معتمدا في المحكمة، فقد قامت المحاكم الأمريكية بوضع مجموعة من الشروط التي تجعل من الأدلة التي يلتقطها كارنيفور أدلة صالحة للاستخدام. خصوصا وأنه من السهل تغيير الدليل الإلكتروني وتزييفه. وهذه الشروط هي:
- مثلا، لا يمكن اعتماد رسالة بريد إلكتروني واحدة كدليل، بل يجب جمع كافة رسائل البريد الإلكتروني المتداولة ضمن حساب معين، خلال فترة زمنية متصلة (أسبوع أوشهر مثلا). وذلك لوضع جميع الرسائل ضمن سياق معين يثبت الجريمة بشكل قاطع.
- يجب التحقق من هوية البيانات التي يتم رصدها، أي التحقق بشكل قاطع من هوية المرسل والمستقبل. كما يجب على موظفي المباحث توثيق كافة المراحل التي استُخدمت عند تثبيت صندوق كارنيفور لدى مزود خدمات إنترنت
- يجب على وكالات المباحث استخدام أفضل مرشد ناتج، بمعنى أنه إذا كان بإمكان الشركة المزودة لخدمات إنترنت تزويد المباحث بالبريد الإلكتروني للشخص دون ثغرات، فإن ذلكقد يكون هوالدليل المعتمد وليس البيانات التي تم جمعها من خلال كارنيفور.
- يجب ختم جميع الأدلة التي يتم الحصول عليها من كارنيفور. ففور حتى يتم إخراج قرص الجاز من الصندوق فإنه يوضع في كيس بلاستيكي ويسجل عليه اسم عنصر المباحث الذي قام بإخراجه، وتاريخ ذلك اليوم وتوقيت إخراج القرص. ولا يمكن تغيير محتوى هذا القرص بأي شكل من الأشكال.
- ضرورة اقتصار الأدلة التي يتم جمعها على ما يسمح به قرار المحكمة. أي أنه لا يتم اعتماد محتوى الرسائل التي يتم جمعها إذا كان قرار المحكمة ينص بالتصنت على عناوين البريد فقط.
اصنع كارنيفور بنفسك
عند الحديث عن كارنيفور في الصحافة العامة، فإنه يتم تصوير النظام على أنه ذلك التقدم المخيف في عالم التجسس على الاتصالات الإلكترونية، لكن الواقع هوحتى كارنيفور ينتمي إلى المدرسة القديمة في عالم معدات التصنت، حيث أنه يعتمد على المعدات والأجهزة، في حين حتى معظم أدوات التصنت اليوم هي من البرمجيات التي يتم غرسها على الأجهزة المزودة. وفي حين تعتمد البرمجيات الحديثة تقنيات الذكاء الاصطناعي مثلا للبحث في نص الرسائل المتبادلة بين الأجهزة، فإن كارنيفور ذا فعالية محدودة، حيث يمكنه فقط كما تجاوز وأن قلنا، التصنت على عناوين الحزم فقط دونما اهتمام للمحتوى، كما أنه معرض لفقد بعض الحزم المتداولة. وإضافة إلى ذلك فإن هنالك الكثير من البرمجيات المتوفرة مجانا والتي يمكنها التصنت على عناوين معينة مثل برنامج TCPDUMP وهومتوفر لويندوز ويونيكس، ويمكن تنزيل إصدار لويندوز من المسقط : نت غروب هووشيفرته المصدرية. والأكثر من ذلك هوحتى بإمكانك خلق برنامج كارنيفور الخاص بك باستخدام برنامج الجدار الناري الشخصي Black ICE Defender (يمكن شراؤه وتنزيله من المسقط [ http://www.networkice.com/sales/home_office_sales.html ])، واستعمال ميزة تسجيل الحزم المتداولة Packet Logging بحيث تقوم بمراقبة حركة البيانات الواردة إلى جهازك وإنشاء سجل بهذه التحركات، وحفظ السجل على قرص بشكل مباشر تماما مثل كارنيفور.
كيفية عمله
لفهم الكيفية التي يعمل بها كارنيفور يجب فهم الكيفية التي يعمل بها بروتوكول SMTP المستخدم في تداول الرسائل الإلكترونية، كالبريد الإلكتروني. وعند إرسال البريد فإن ما يحدث هوحتى مزود البريد الإلكتروني المرسل يقوم بالاتصال بمزود البريد المستقبل لإرسال البريد إليه, وفي هذه الحالة، وإذا كانت عناوين البريد الإلكتروني أوحزم IP المتداولة مطابقة لما هومحدد في فلتر كارنيفور فإنه يبدأ بالتصنت في الخفاء. ويقوم المزود الذي فتح قناة الاتصال بإرسال مغلف يحتوي على حقول MAIL FROM وRCPT TO والتي تحدد المرسل والمستقبِل، ثم يرسل الرسالة، التي تنتهي بسطر فارغ ونقطة. ويعمل كارنيفور عادة حسب ما تحدده وكالة المباحث، وأمر المحكمة، فهوإما يقوم فقط بتسجيل المعلومات الأساسية مثل عنوان المرسل والمستقبل، أوتسجيل كافة محتويات البريد الإلكتروني، أوبالأحرى كافة الحزم التي تشكّل هذا البريد. أما في حالة تعقب الاتصالات التي تتم من خلال المودم، وهي الحالات التي لا يُعين فيها للمستخدم عنوان IP ثابت، فإن كارنيفور يقوم بتعقب حزم RADIUS لتسجيل الدخول والتحقق من الهوية، وذلك لاكتشاف عنوان IP المستخدم. وهذه الميزة تعمل حقا على تمييز كارنيفور، حيث أنه من البرامج القليلة التي يمكنها تعقب اتصالات إنترنت التي تتم من خلال أجهزة المودم. كما يعمل كارنيفور على تعقب جميع الاتصالات التي يقوم بها المشتبه بهم بمسقط إلكتروني معين، وذلك من خلال تطبيق فلاتر محددة على منفذ 8080 الخاص بالمستخدم (والذي يقوم بتداول بروتوكول HTTP ) وتسجيل جميع عناوين IP التي ينفذ إليها المستخدم. وعمل ذلك للمتصلين من خلال أجهزة المودم أكثر تعقيدا من طبيعة الحال حيث أنه لا يوجد عنوان IP ثابت للمستخدم. ومن ناحية أخرى يمكن تثبيت صندوق كارنيفور إلى جانب مزود الويب الذي يقوم بخدمة صفحة معينة وتعقب جميع الاتصالات التي تتم مع صفحة معينة، وهوأسلوب يمكن استخدامه لمراقبة ملفات FTP معينة. كما يمكن استعمال كارنيفور لمراقبة المجموعات الإخبارية، والتي يعتمد عليها المجرمون الرقميون لتبادل المعلومات عادة. وأخيرا، ورغم الإشاعات بأنه يمكن استعمال كارنيفور لمراقبة غرف التراسل عبر إنترنت وIRC فإن ذلك عديم الفائدة، حيث حتى محتوى غرف التراسل عام ويمكن استعمال مجموعة واسعة من البرمجيات المجانية لتسجيل ما يجري في غرف الحوار دون الحاجة إلى كارنيفور.
تجنّب كارنيفور
ليس لدينا الكثير لنقوله هنا، ولكن تشفير رسائل البريد الإلكتروني هوالوسيلة الأولى والأنجع لعمل ذلك. كنا يمكن استعمال مواقع البريد الإلكتروني المُغفَل anonymizing services لعمل ذلك (وهي للأسف خدمات يقاطعها معظم مزودي إنترنت في الخليج). وأخيرا تقدر تزوير عنوان البريد الإلكتروني الذي تقوم بإرسال الرسائل منه، وهوأمر تتيحه معظم برمجيات البريد الإلكتروني اليوم من قائمة الخيارات، والحسابات. أما الهكرة المحترفون، والذين يستخدمون خطوط الهاتف للاتصال بإنترنت، فيمكنهم تزوير حزم RADIUS لإيهام المتصنتين بأن شخصا آخر يستخدم عنوان IP مما سيوقف عمليات التصنت. وأخيرا يمكن مهاجمة كارنيفور بشكل مباشر بإرسال رسائل بريد إلكتروني كبيرة الحجم، وبشكل يفوق قدرة كارنيفور على المعالجة، مما سيؤدي إلى وقفه عن العمل، وهوأسلوب مشابه للأسلوب المتبع في هجمات الحرمان من الخدمات denial of service attack، والتي يمكن استخدامها أيضا لتعطيل كارنيفور.
نظائر كارنيڤور
كارنيفور هوالبرنامج الذي تستخدمه وكالة المباحث الفيدرالية الأمريكية للتصنت على الاتصالات الإلكترونية للأفراد المشتبه بهم. ورغم الأساطير التي انطلقت عنه (خصوصا وأنه يحمل الجنسية الأمريكية مما يجعله متفوقا في نظر الكثيرين) فإن هنالك نظما مماثلة له من حيث المبدأ، وربما تكون أكثر تقدما، تستخدمها الدول الغربية المتقدمة. ففي بريطانيا أصدر مجلس العموم البريطاني قانونا يحمل اسم RIP، سيُفرض بموجبه على كافة الشركات المزودة لخدمات إنترنت حتى تقوم بالتعاون مع السلطات في التحقيقات الأمنية بتثبيت جهاز (صندوق أسود) مشابه لكارنيفور بجانب أجهزتها المزودة. أما في روسيا، فإن وكالة الاستخبارات الروسية FSB والتي خلفت الكي جي بي، فهنالك قانون SORM والذي يفرض على كافة الشركات المزودة لخدمات إنترنت حتى تقوم بتحويل كافة البيانات المتداولة إلى أجهزة FSB المزودة لفلترتها، ويمكن لرجال القانون استخدام هذه المعلومات دون أمر من المحكمة، كما حتى استخدام تقنيات التشفير وبعثرة البيانات ممنوع. أما في اليابان، فيُفرض على جميع الشركات المزودة للخدمات حتى تقوم بحفظ سجل إلكتروني بكافة البيانات المتداولة، والتي يمكن للسلطات استخدامها في أي وقت بعد إصدار مذكرة من المحكمة. وفي جميع الحالات، فإن هذه الدول تقوم باستخدام نظم لفلترة وتصفية ومراقبة حزم البيانات شبيهة بكارنيفور، وربما أكثر تقدما منه.
انظر أيضاً
- الاتصالات المساعدة لإنفاذ القانون
- الوعي المعلوماتي الكامل
- استطلاع
- COINTELPRO
- DCSNet
- إتشلون نظام رقمي عالمي لرصد البيانات
- Room 641A NSA interception program (started circa 2003, but first reported in 2006)
- Policeware
الهامش
- ^ "FBI Ditches Carnivore Surveillance System". Foxnews.com. Associated Press. 2005-01-18. Retrieved 2008-10-29.
