FBI-agent Marcus C. Thomas (genoemd in de EPIC FOIA documenten) hield gisteren een zeer interessante presentatie over Carnivore op NANOG 20.

Agent Thomas gaf een demonstratie van zowel Carnivore 1.34 (de huidige versie) en Carnivore 2.0 (de ontwikkel-versie) als sommige andere DragonWare-tools.

Veel van de informatie was niet nieuw, maar gaf wel aan dat de DragonWare-tools gebruikt kunnen worden om massaal al het netwerkverkeer te analyseren dat toegankelijk is voor een Carnivore-machine.

Het configuratiescherm van Carnivore laat zien dat er drie verschillende modes zijn voor het onderscheppen van protocol-informatie : Full, Pen and None. Er zijn checkboxes voor TCP, UDP en ICMP.

Carnivore kan gebruikt worden voor het onderscheppen van alle data van en naar een specifiek IP-adres, of een range van IP-adressen.

Het kan gebruikt worden voor het zoeken naar informatie in het verkeer door een vergelijking te maken met ingevoerde tekst in het 'Data Text Strings'-veld. Dit was, zo verzekerde de agent ons, zodat webmail geïdentificeerd en onderschept kon worden en ander verkeer genegeerd.

Het kan gebruikt worden om automatisch telnet, pop3 en FTP - logins te onderscheppen door het aanklikken van een checkbox.

Het kan mail van en naar een specifiek email-adres in de gaten houden.

Het kan geconfigureerd worden te luisteren gebaseerd op email-adres, RADUIS gebruikersnaam, MAC-adres of netwerkadapter.

IP-adressen kunnen handmatig toegevoegd worden aan een lopend Carnivore systeem.

Carnivore staat het toe naar specifieke TCP en UDP poorten en poort-ranges te luisteren (met drop-down menus voor de meest voorkomende protocols).

Carnivore 2.0 is vrijwel identiek, maar het configuratiemenu is opgeschoond, en kunnen er Boolean statements gebruikt worden voor het maken van een exclusion-filter.

Het Packeteer programma neemt onbewerkte dumps van netwerkverkeer, herstelt de pakketten en schrijft ze weg naar leesbare files.

CoolMiner is de post-processor sessie browser. De demo was versie 1.2SP4. Coolminer biedt de mogelijkheid de handelingen van het slachtoffer te reconstrueren terwijl deze aan het webbrowsen of chatten is op ICQ, Yahoo Messenger, AIM of IRC. Het kan bladeren door Telnet-sessies, AOL-account gebruik en Netmeeting. Het kan informatie laten zien die naar een netwerk-printer is gezonden. Het kan NetBIOS-data verwerken.

CoolMiner laat een samenvatting zien van gebruik, gecategoriseerd op IP-adres van herkomst en doel, die afzonderlijk bekeken kunnen worden.

Carnivore draait normaal gesproken onder Windows NT, maar loopt ook onder Windows 2000.

Enkele geselecteerde citaten van agent Thomas :

"Irrelevante data wordt niet openbaar gemaakt."

"Carnivore heeft geen interactieve band met enig apparaat op het netwerk."

"In de meeste gevallen wordt Carnivore slechts gebruikt met een Title III. De FBI zal Carnivore niet zonder justitiële toestemming inzetten in gevallen waar het slachtoffer bereid is een Carnivore machine naar zijn communicatie te laten luisteren."

"Wij vertrouwen op de veiligheid van de ISP [voor de veiligheid van de Carnivore machine]."

"Wij maken ons geen zorgen over de veiligheid van de ISP."

Gevraagd naar hoe de Carnivore machines beveiligd waren tegen aanvallen, zei hij dat de machines alleen via dial-up of ISDN toegankelijk waren. "We kunnen alle maatregelen tot en met encryptie nemen als we dachten dat dat noodzakelijk was."

Terwijl het er niet op lijkt dat Carnivore een terugbel-systeem gebruikt om onbevoegde toegang tegen te gaan, zei agent Thomas dat de FBI "soms een firmware-apparaat gebruikt om onbevoegde toegang te voorkomen."

Toen hij gevraagd werd om bezorgdheid toe te lichten dat FBI agenten Carnivore konden aanpassen om ergens bewijsmateriaal te plaatsen, deelde Thomas mee dat Carnivore de pogingen van FBI agenten om toegang te
krijgen opslaat in een logfile. Deze access-logs worden deel van de documentatie van de rechtbank. Op de opmerking dat het "vaak gewoon is om achterdeuren in [software] te schrijven. Hoe weten we dat jullie
dat niet doen?" antwoordde Thomas "Ik ben het daar 100% mee eens. U heeft helemaal gelijk."

Gevraagd naar de reden dat de FBI de broncode niet vrij wou geven zei hij: "We verkopen ook geen pistolen, al hebben we ze wel."

Op de vraag "Wat doen jullie in het geval dat het onderwerp [van onderzoek] encryptie gebruikt?" antwoordde Thomas: "Deze suite van apparaten kan dat niet aan." Ik neem aan dat ze dat aan de NSA overlaten.

Hij zei verder dat ongeveer 10% van de FBI's Carnivore zaken de mist in gaan door het gebruik van encryptie, en dat het "gewoner is encryptie tegen te komen als we statische gegevens in beslag nemen, zoals op harddisks."

80% van de Carnivore zaken hadden te maken met de nationale veiligheid.

Ook interessant was een netwerkdiagram dat er vrijwel gelijk uitzag als degene in het EPIC FOIA document
op http://www.epic.org/privacy/carnivore/omnivorecapabilities1.html, behalve dat er geen beschrijving was van de koppen.

Marcus Thomas is bereikbaar voor vragen op mthomas@fbi.gov of op (730) 632-691. Hij zit 'normaal gesproken op zijn plaats.'

Dit artikel is een vertaling van een bericht op de POLITECH mailinglist.