كارنيفور، ملتهم البيانات وفقاً لوكالة المباحث الفيدرالية الأمريكية فإن كارنيفور هو نظام كومبيوتري تم تصميمه ليأذن لوكالة المباحث الفيدرالية الأمريكية، وبالتعاون مع الشركة المزودة لخدمات إنترنت، بتطبيق أمر محكمة بجمع معلومات معينة تخص رسائل البريد الإلكتروني، أو أية اتصالات إلكترونية أخرى من وإلى مستخدم محدد يستهدفه تحقيق ما." وتقول المباحث الأمريكية بأن اسم كارنيفور (آكلات اللحوم)، وهي كلمة إنجليزية تعني آكل اللحوم، يدل إلى أن البرنامج يقوم بمضغ كل البيانات المتدفقة عبر شبكة ما، ولكنه يقوم فعليا بالتهام المعلومات التي يأذن بها أمر المحكمة فقط.
ويمكن استعمال كارنيفور بشكلين فقط، الأول هو رصد المعلومات الواردة إلى والصادرة من حساب بريد إلكتروني محدد، و/أو رصد حركة البيانات من وإلى عنوان IP معين. ويتم ذلك بالعيد من الطرق وذلك إما عن طريق رصد جميع الترويسات headers الخاصة برسائل البريد الإلكتروني (بما في ذلك عناوين البريد الإلكتروني) الصادرة من والواردة إلى حساب معين، ولكن ليس المحتويات الفعلية (أو خانة الموضوع). والطريقة الأخرى هي رصد كل الأجهزة المزودة (مزودات الويب، والملفات) التي يقوم المشتبه به بالنفاذ إليها، وذلك من دون رصد المحتوى الفعلي لما ينفذ المستعمل إليه.
ويمكن كذلك رصد كافة المستخدمين الذين يقومون بالنفاذ إلى صفحة ويب معينة أو ملف باستخدام FTP وأخيرا، يمكن رصد جميع صفحات إنترنت، وملفات FTP التي يقوم المستخدم بالنفاذ إليها.
كارنيفور إذا، وكما يمكن للقارئ الخبير أن يستنبط ، ليس إلا برنامج لرصد حزم البيانات، أو ما يُطلق عليه اسم Packet Sniffer، وهي فئة مشهورة من البرامج يستعملها الهكرة عادة في التصنت على الحزم الواردة والصادرة إلى ومن حساب محدد ، وحفظ نسخة منها. ويجدر الإشارة هنا أيضا إلى أن كارنيفور لا يقوم بتغيير البيانات التي يقوم بجمعها، وتختصر مهمته فقط على التصنت على الحزم وتسجيل نسخة منها. وتقول وكالة المباحث الفيدرالية أن كارنيفور فعليا هو عبارة عن برنامج ضمن "صندوق" (أو جهاز كمبيوتر) بمواصفات معينة، تتناسب مع متطلبات القانون الأمريكي الذي يصر على سمات معينة قد يكتسب الدليل الجنائي شرعيته. ولذا فإن صندوق كارنيفور عادة يتألف من العناصر الآتية:
- جهاز يشتغل بنظام ويندوز أن تي (أو ويندوز 2000)، مزود بـ 128 ميغابايت من الذاكرة، ومعالج بنتيو 3، وقرص صلب بسعة 4-18 غيغابايت، وسواقة جاز للتخزين الاحتياطي بسعة 2 غيغابايت، وهي الوجهة النهائية التي يتم نسخ الأدلة إليها.
- برنامج كارنيفور مكتوب بلغة سي++.
- لا يستعمل البرنامج حزم حزمة بروتوكولات الإنترنت (وذلك كي لا يكون بالإمكان النفاذ إليه عبر إنترنت)
- جهاز للتحقق من الهوية، يستعمل للتحكم فيمن لديه حقوق النفاذ إلى الصندوق (مما يمنع موظفي الشركة المزودة لخدمات إنترنت من النفاذ إلى داخل الصندوق دون إتلافه بشكل واضح.)
- أداة "عزل عن الشبكة" تقيد الصندوق من إرسال البيانات خارجه، حتى لو استطاع أحد الهكرة من النفاذ إليه بشكل ما.
- ملحقات برمجية يشك في أنها تمثل نواة كارنيفور، والذي يظن أيضا بأنه كُتب كملحق برمجي بلغة C++ لبرنامج EtherPeek المشهور ، والمستخدم كذلك في التصنت على حزم البيانات.
- ويُقال أيضا بأنه يوجد منافذ على الصندوق للاتصال عبر المودم، وذلك لتحميل البيانات عن بُعد، ولكن ذلك يتنافى مع الإجراءات التي تصر وكالة المباحث على اتباعها، وهي استبدال قرص الجاز يوميا.
ولما كانت هذه هي كافة التفاصيل التي تقدمها وكالة المباحث الفيدرالية حول عمل كارنيفور، فإن حماة الحريات الشخصية في الولايات المتحدة يخافون بأن يكون النظام من البدائية بحيث أنه خلال التصنت على حسابات الأفراد المشتبه بهم، فإن كارنيفور يقوم أيضا بجمع معلومات من حسابات أخرى غير خاضعة للتحقيق، وبالتالي جمع معلومات شخصية عن أفراد لا غرض لهم بأي تحقيقات.
ورغم أنه يمكن من الناحية التقنية كتابة بريمج للتصنت على حزم البيانات يقوم بجمع المعلومات الخاصة بحسابات محددة فقط، فإن المتبع عمليا هو كتابة البرامج بشكل سريع اختصارا للوقت، وبالتالي عدم الاعتناء بجعل فعالية البرنامج تختصر على حسابات وعناوين معينة. ويجب التركيز هنا على أن كارنيفور ليس برنامجا للمطابقة بين أنماط النص pattern matcher كالبرامج المستعملة في البحث ضمن نص معين، ولكنه مجرد برنامج لتفسير بروتوكولات نقل البيانات، بمعنى أنه يتابع بروتوكولات نقل البريد الإلكتروني، ويقوم بفحص حقول معينة بها، وهو ما سنتطرق إليه بعد قليل. كما أننا يجب أن نؤكد هنا على أن كارنيفور لا يقوم بإفساد البيانات، أو تخريبها بأي شكل من الأشكال.
فالبريد الإلكتروني ينتقل خلال الشبكة في حزم لها أرقامها التسلسلية الخاصة، وعند حدوث مشكلة في عملية النقل تؤدي إلى عدم التقاط كل الحزم التي تُشكل رسالة محددة فإن كارنيفور يقوم بوضع علامة على هذه الثغرة في البريد الإلكتروني، مما يسمح لمن يتابعون هذا البريد باكتشاف مشاكل الاستقبال بسهولة. ويُشاع أيضا بأن صناديق كارنيفور منتشرة عبر إنترنت، وتقوم بالتجسس على كل شاردة وواردة، وهذا اعتقاد خاطئ لعدة أسباب أهمها هو أنه وفقاً للقانون الأمريكي، فإنه يجب تجديد أوامر المحكمة التي تأذن بمتابعة المعلومات الشخصية بشكل شهري، ولذلك، فإنه لا يمكن لصناديق كارنيفور أن تتواجد ضمن مزود واحد لخدمات إنترنت لمدة أكثر من شهر واحد. كما أنه لا يجب على مزودي خدمات إنترنت استعمال كارنيفور إذا كان بحوزتهم الوسائل التي يمكنهم من عبرها تقديم المعلومات التي تطلبها المباحث. وحسب آخر الإحصائيات (آب من سنة 2000)، فإنه يوجد في العالم عشرون صندوقا من صناديق كارنيفور، تحتفظ بها المباحث الفيدرالية في مقرها بكوانتكو بولاية فرجينيا. كما يجدر الإشارة إلى نقطة أخرى هنا وهي أن كارنيفور هو برنامج بدائي بكل ما تعنيه الكلمة، وبالتالي فلا يمكن استعماله إلا لأغراض محددة وضمن نطاقات جغرافية معينة، ولذلك فهو ليس من البرامج المستخدمة للتجسس عالميا (كما هي الحال ضمن مشروع إيكيلون). كما أن المباحث عادة تقوم بوضع هذه الصناديق أمام مهندسي الشبكات في الشركات المزودة، في حين أن برامج مثل إيكيلون سرية للغاية ولا يعرف عنها إلا عدد قليل من الأشخاص.
ضوابط كارنيفورو
كي يكون الدليل الإلكتروني دليلا معتمدا في المحكمة، فقد قامت المحاكم الأمريكية بوضع مجموعة من الشروط التي تجعل من الأدلة التي يلتقطها كارنيفور أدلة صالحة للاستخدام. خصوصا وأنه من السهل تغيير الدليل الإلكتروني وتزييفه. وهذه الشروط هي:
- مثلا، لا يمكن اعتماد رسالة بريد إلكتروني واحدة كدليل، بل يلزم جمع كل رسائل البريد الإلكتروني المتداولة ضمن حساب معين، خلال فترة زمنية متصلة (أسبوع أو شهر مثلا). وذلك لوضع جميع الرسائل ضمن سياق محدد يثبت الجريمة بشكل قاطع.
- يجب التحقق من هوية البيانات التي يتم رصدها، أي التحقق بشكل قاطع من هوية المرسل والمستقبل. كما يلزم على موظفي المباحث توثيق كل الخطوات التي استعملت عند تثبيت صندوق كارنيفور لدى مزود خدمات إنترنت
- يجب على وكالات المباحث استعمال أحسن دليل ناتج، بمعنى أنه إذا كان بإمكان الشركة المزودة لخدمات إنترنت تزويد المباحث بالبريد الإلكتروني للشخص دون ثغرات، فإن ذلك يكون هو الدليل المعتمد وليس البيانات التي تم جمعها من خلال كارنيفور.
- يلزم ختم كل الأدلة التي يتم الحصول عليها من كارنيفور. ففور أن يتم إخراج قرص الجاز من الصندوق فإنه يوضع في كيس بلاستيكي ويسجل عليه اسم عنصر المباحث الذي قام بإخراجه، وتاريخ ذلك اليوم وتوقيت إخراج القرص. ولا يمكن تغيير مكونات هذا القرص بأي شكل من الأشكال.ضرورة اقتصار الأدلة التي يتم جمعها على ما يسمح به قرار المحكمة. أي أنه لا يتم اعتماد مضمون الرسائل التي يتم جمعها إذا كان قرار المحكمة ينص بالتصنت على عناوين البريد فقط.
اصنع كارنيفور بنفسك
عند الحديث عن كارنيفور في الصحافة العامة، فإنه يتم تصوير النظام على أنه ذلك التقدم المخيف في حياة التجسس على الاتصالات الإلكترونية، لكن الواقع هو أن كارنيفور يرجع إلى المدرسة القديمة في عالم معدات التصنت، حيث أنه يرتكز على المعدات والأجهزة، في حين أن غالبية أدوات التصنت اليوم هي من البرمجيات التي يتم زرعها على الأجهزة المزودة. وفي حين ترتكز البرمجيات الحديثة تقنيات الذكاء الاصطناعي مثلا للبحث في نص الرسائل المتبادلة بين الأجهزة، فإن كارنيفور ذا فعالية محدودة، حيث يمكنه فقط كما سبق وأن قلنا، التصنت على عناوين الحزم فقط دونما اهتمام للمحتوى، كما أنه معرض لفقد بعض الحزم المتداولة.
وإضافة إلى ذلك فإن هنالك الكثير من البرمجيات المتوفرة بشكل مجاني والتي يمكنها التصنت على عناوين معينة مثل برنامج TCPDUMP وهو متوفر لويندوز ويونيكس، ويمكن تنزيل إصدار لويندوز من الموقع : نت غروب هو وشيفرته المصدرية. والأكثر من ذلك هو أن بإمكانك صنع برنامج كارنيفور الخاص بك باستخدام برنامج الجدار الناري الشخصي Black ICE Defender (يمكن شراؤه وتنزيله من الموقع (http://www.networkice.com/sales/home_office_sales.html)، واستخدام ميزة تسجيل الحزم المتداولة Packet Logging بحيث تقوم بمراقبة حركة البيانات الواردة إلى جهازك وعمل سجل بهذه التحركات، وحفظ السجل على قرص بشكل مباشر تماما مثل كارنيفور.
كيف يعمل كارنيفور
لفهم الكيفية التي يقوم بها بها كارنيفور يجب فهم الكيفية التي يعمل بها بروتوكول (بروتوكول إرسال البريد البسيط ) المستعمل في تداول الرسائل الإلكترونية، كالبريد الإلكتروني. وعند إرسال البريد فإن ما يحدث هو أن مزود البريد الإلكتروني المرسل يقوم بالاتصال بمزود البريد المستقبل لإرسال البريد إليه، وفي هذه الحالة، وإذا كانت عناوين البريد الإلكتروني أو حزم IP المتداولة مطابقة لما هو محدد في فلتر كارنيفور فإنه يبدأ بالتصنت في الخفاء. ويقوم المزود الذي فتح قناة الاتصال بإرسال مغلف يحتوي على حقول MAIL FROM و RCPT TO والتي تحدد المرسل والمستقبِل، ثم يرسل الرسالة، التي تنتهي بسطر فارغ ونقطة. ويعمل كارنيفور عادة حسب ما تحدده وكالة المباحث، وأمر المحكمة، فهو إما يقوم فقط بتسجيل المعلومات الرئيسية مثل عنوان المرسل والمستقبل، أو تسجيل كل محتويات البريد الإلكتروني، أو بالأحرى كافة الحزم التي تشكّل هذا البريد. أما في حالة تعقب الاتصالات التي تتمعن طريق المودم، وهي الحالات التي لا يُعين فيها للمستعمل عنوان IP ثابت، فإن كارنيفور يقوم بتعقب حزم RADIUS لتسجيل الدخول والتحقق من الهوية، وذلك لاكتشاف عنوان IP المستخدم.
وهذه الخاصية المميزة تعمل حقا على تمييز كارنيفور، حيث أنه من البرامج القليلة التي باستطاعتها تعقب اتصالات إنترنت التي تتم عن طريق أجهزة المودم. كما يعمل كارنيفور على تعقب جميع الاتصالات التي يقوم بها المشتبه بهم بموقع ويب معين، وذلك من خلال تطبيق فلاتر محددة على منفذ 8080 الخاص بالمستخدم (والذي يقوم بتداول بروتوكول بروتوكول نقل النص الفائق ) وتسجيل جميع عناوين IP التي ينفذ إليها المستخدم. وعمل ذلك للمتصلين من خلال أجهزة المودم أكثر تعقيدا بالطبع حيث أنه لا يوجد عنوان IP ثابت للمستخدم. ومن ناحية أخرى يمكن تثبيت صندوق كارنيفور إلى جانب مزود الويب الذي يقوم بخدمة صفحة محددة وتعقب كافة الاتصالات التي تتم مع صفحة معينة، وهو أسلوب يمكن استخدامه لمراقبة ملفات FTP معينة. كما يمكن استعمال كارنيفور لمراقبة المجموعات الإخبارية، والتي يرتكز عليها المجرمون الرقميون لتبادل المعلومات عادة. وأخيرا، ورغم الإشاعات بأنه يمكن استخدام كارنيفور لمراقبة غرف التراسل عبر إنترنت و IRC فإن ذلك عديم الفائدة، حيث أن محتوى غرف التراسل عام ويمكن استعمال مجموعة واسعة من البرمجيات المجانية لتسجيل ما يجري في غرف الحوار دون الحاجة إلى كارنيفور.تجنّب كارنيفورليس لدينا الكثير لنقوله هنا، ولكن تشفير رسائل البريد الإلكتروني هو الوسيلة الأولى والأنجح لعمل ذلك.
كما بالاستطاعة استعمال مواقع البريد الإلكتروني المُغفَل anonymizing services لعمل ذلك (وهي للأسف خدمات يقاطعها معظم مزودي إنترنت في الخليج). وأخيرا يمكنك تزوير عنوان البريد الإلكتروني الذي تقوم بإرسال الرسائل منه، وهو أمر تتيحه معظم برمجيات البريد الإلكتروني اليوم من قائمة الخيارات، والحسابات. أما الهكرة المحترفون، والذين يستخدمون خطوط الهاتف للاتصال بإنترنت، فيمكنهم تزوير حزم RADIUS لإيهام المتصنتين بأن شخصا آخر يستخدم عنوان IP مما سيوقف عمليات التصنت. وأخيرا يمكن مهاجمة كارنيفور بشكل مباشر بإرسال رسائل بريد إلكتروني كبيرة الحجم، وبشكل يفوق قدرة كارنيفور على المعالجة، مما سيؤدي إلى وقفه عن العمل، وهو أسلوب يماثل للأسلوب المتبع في هجمات الحرمان من الخدمات denial of service attack، والتي يمكن استعمالها أيضا لتعطيل كارنيفور.
نظائر كارنيفور
كارنيفور هو البرنامج الذي تستعمله وكالة المباحث الفيدرالية الأمريكية للتصنت على الاتصالات الإلكترونية للأفراد المشتبه بهم. ورغم الأساطير التي انطلقت عنه (خصوصا وأنه يحمل الجنسية الأمريكية مما يجعله متفوقا في نظر الكثيرين) فإن هنالك نظما مشابهة له من حيث المبدأ، وربما تكون أكثر تقدما، تستعمله الدول الغربية المتقدمة. ففي بريطانيا أصدر مجلس العموم البريطاني قانونا يحمل اسم RIP، سيُفرض بموجبه على جميع الشركات المزودة لخدمات إنترنت أن تقوم بالتعاون مع السلطات في التحقيقات الأمنية بتثبيت جهاز (صندوق أسود) مشابه لكارنيفور بجانب أجهزتها المزودة. أما في روسيا، فإن وكالة الاستخبارات الروسية FSB والتي خلفت الكي جي بي، فهنالك قانون SORM والذي يفرض على كافة الشركات المزودة لخدمات إنترنت أن تقوم بتحويل كل البيانات المتداولة إلى أجهزة FSB المزودة لفلترتها، ويمكن لرجال القانون استعمال هذه المعلومات دون أمر من المحكمة، كما أن استعمال تقنيات التشفير وبعثرة البيانات ممنوع. أما في اليابان، فيُفرض على كافة الشركات المزودة للخدمات أن تقوم بحفظ سجل إلكتروني بكل البيانات المتداولة، والتي يمكن للسلطات استخدامها في أي وقت بعد صدور مذكرة من المحكمة. وفي كل الحالات، فإن هذه الدول تقوم باستعمال نظم لفلترة وتصفية ومراقبة حزم البيانات شبيهة بكارنيفور، وربما بشكل أكبر تقدما منه.
المراجع
areq.net
التصانيف
جاسوسية رقمية أمن الحاسوب العلوم التطبيقية