Berta Sándor

Online házkutatást végzett az FBI

Az amerikai Szövetségi Nyomozó Iroda (FBI) először alkalmazta az úgynevezett online házkutatási módszert egy Washington szövetségi állambeli iskola felrobbantásával fenyegetőző bűnöző személyazonosságának megállapításához.

Ami Svájcban és Németországban még csak terv, az az Egyesült Államokban már valóság. Az első amerikai online házkutatási ügyről Declan McCullagh amerikai újságíró számolt be a blogjában. A riporter közölte, hogy az információkat az akciót engedélyező FBI-tiszttől kapta meg. A tiszt egy dokumentumban pontosan leírta a használt kémprogram jellemzőit, működését és azt is, hogy a megoldást az FBI CIPAV (Computer and Internet Protocol Address Verifier) néven tartja nyilván. A CIPAV egy Windows operációs rendszerek alatt működő program, amit az FBI egyik számítógépéről e-mailben vagy azonnali üzenetküldő hálózatokon keresztül küldenek el a célszemélynek vagy a MySpace vagy a Google Mail egyik ajánlata mögé bújtatják el.

Miután az alkalmazás feltelepítette magát a számítógépre, átnézi a teljes merevlemezt és elküldi a hivatalnak az összes felinstallált program nevét, a böngésző jellemzőit, az operációs rendszer nevét és típusát, a sorozatszámát és a registry minden, a felhasználóra vonatkozó adatát. Emellett a CIPAV továbbítja az FBI-nak az utoljára felkeresett internetes címeket és az összes IP-címet is, amivel az illető a böngészései közben kapcsolatba került. Az akciót engedélyező bíró ugyanakkor kikötötte, hogy a szoftver kizárólag reggel 6 és este 22 óra között továbbíthatja az FBI-nak az összegyűjtött információkat.

Az online házkutatás során gyűjtött adatoknak köszönhetően az FBI-nak sikerült megállapítania a Timberland középiskola felrobbantásával többször fenyegetőző férfi személyazonosságát. Josh Glazebrook az iskola egyik volt diákja, fiatalkorú, és összesen öt Google Mail címet, valamint egy MySpace-profilt használt timberlinebombinfo néven. A volt tanuló rendszeresen gyűlöletét fejezte ki az iskola iránt. Emailben és papíron elküldött bombariadói nyomán június 4 és 13 között hét alkalommal kellett kiüríteni az iskolát, és megerősítették annak rendőri védelmét is.

Az nem világos, hogy az FBI emailben elküldött programja hogy kerüli ki az antivírus szoftvereket, és hogyan installálja önmagát anélkül, hogy a biztonsági programok érzékelnék jelenlétét. Hisz ugyan igaz, hogy a bírósági iratok nem említenek ilyesfajta védelmet, de mivel Josh DDoS támadást hajtott végre az iskola szerverei ellen, és a Google Mail, valamint a MySpace rendszerébe három megfertőzött olasz számítógépen keresztül csatlakozott, feltételezhető róla némi technikai tudás. Ebből következőleg lehetséges, hogy az FBI megállapodott a biztonsági szoftverek készítőivel, hogy a CIPAV esetében azok ne riasszanak, másik lehetőség pedig, hogy a hatóságok szakemberei a Windows, vagy a Windows alapú biztonsági szoftverek egy eddig bejelentetlen hibáját használják ki.

Josh Glazebrook beismerte bűnösségét, büntetése 90 nap elzárás lett. Az FBI eddig az akciói során kizárólag billentyűleütés-figyelő és -naplózó programokat alkalmazott, amelyeket minden esetben az ügynökei helyeztek el a gyanúsítottak számítógépén, nem kis kockázatot vállalva ezzel.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • BiroAndras #35
    Nem csak a bíróságon lehet felhasználni a megszerzett információkat, hanem a nyomozás folytatásához is. Pl. megtudhatják, hogy hol keressék a tárgyi bizonyítékokat, hol érjék tetten őket, meg ilyesmi.
  • talk #34
    Ha mindez igaz akkor felmerül néhány probléma
    1 Ha a program rendszergazdai jogokkal fut akkor már megkérdőjelezhető a bíróság előtt annak a hitelessége, mert az is módosíthatja az adatokat.
    2 Hogyan bizonyítják a bíróság előtt hitelt érdemlően, hogy sem ők sem a program nem módosította az adatokat, hiszen az informatikában szinte mindent el lehet tüntetni. Pláne ha csak pillanatnyi képet adnak a gépről.
    3 Hogyan bizonyítják, hogy te ültél a gép előtt és te írtad azokat, nem pedig más, ha nem csinálsz olyat ami alapján profilt alkothatnak bár még ez sem bizonyíték.
    4 Ha gyenge jelszó (vagy nincs) akkor bárki használhatta.
    5 Mi van akkor ha visszahozhatatlanul formatálja vagy felülírja mire odaérnek. Akkor hol a bizonyíték?
    Elég nehéz ezt így egy bíróságon beadni, főleg ha van egy jó ügyvédje és nyitott a tárgyalás és nincs beismerő vallomás.
    Tehát vagy betörtek hozzá, vagy előbb volt a házkutatás utána a gép átvizsgálása.
  • eax #33
    A legenda szerint elosztott szenzorhalozatot telepitettek, tehat nem 1 ponton nezik a forgalmat. (Egyebkent tenyleg vannak ilyen sztorik, hogy bekopogtak oltonyos emberek XY ISP-hez, mutattak szep szines jelvenyt, hoztak egy par dobozt, radugtak a gerinceszkozok monitor portjara, aztan eltuntek).
    Az "elore" rogzites szerintem muszakilag nem megoldott (mp-enkent soksok gigabajt adat keletkezik igy egy ponton is, amit eleg nehez olyan magneses adathordozora rogziteni, ami 2 tonna alatt marad), masreszt a jogi hattere sincs meg, viszont utolag ra lehet allitani a rendszert a juzerekre.
    Viszont azt erdemes hangsulyozni, hogy ez a sztori erosen legenda-jellegu, tehat kb. 50-50%-os valoszinuseggel vagy igaz, vagy nem.
  • kozmate #32
    És mégis hol van az a hely a magyar hálózatban, ahol a teljes forgalom áthalad? A BIX-en pl nem.
  • assdf #31
    Csak aztán szürd ki belőle hogy kovács p józsef mucsatarcsán mit is csinált...
  • kvp #30
    "Azoknak, akik nem olvasták el a #25-beli linket:
    Ez a cuccos NEM települ fel a júzer gépére."

    Ez egy egyszer hasznalatos kemprogram es a celpont gepen fut. Egyszer. Leirjak hogyan. Valojaban semmivel sem jobb, mint egy wow account vadasz fereg. Azert kell, mert az usa-ban nem lehet mindenkit megfigyelni, azzal hogy lehet hogy a jovoben terroristava/bunozove/ellenzekive valik.

    A magyar megoldas ennel sokkal egyszerubb es fejlettebb. Egyszeruen lehallgatja a teljes halozati forgalmat. Elmeletileg akar a teljes magyar es magyarorszagon athalado forgalom elmentheto az utolso bitig. Nem kell kemprogram, nem kell feltorni egy gepet sem, mindenkinek megvan minden adata, nem csak a levelei hanem meg egy halozati fps-beli mozgasai is, es visszakeresheto addig amig hosszu ido utan valakinek eszebe nem jut letorolni azokat. Ugyanez ervenyes minden mas telekommunikacios rendszerre is, talan a fustjeleket kiveve. Gyakorlatilag megeloztuk egesz europat, meg az angolokat is. (ez is valami)
  • BiroAndras #29
    Azoknak, akik nem olvasták el a #25-beli linket:
    Ez a cuccos NEM települ fel a júzer gépére. Mindössze lehallgatja a kommunikációját a külvilág felé (a látogatott oldalak adminjai, és az internet szolgáltatók segítségével). Az így megszerzett adatok alapján (IP cím, MAC address, nyelv, OS, böngésző, különféle beállítások, stb.), kiegészítve hagyományos nyomozati eszközökkel, azonosítani tudják az elkövetőt.
  • archelf #28
    Frankó, de mi van ha a júzer nem indít el emailben vagy IM-en kapott fájlokat??? Ez a módszer általános iskolások ellen talán még bejön, de igazi bűnözőkkel szemben?
    Túl sok a nyitott kérdés a programmal és a körülményekkel kapcsolatban. Az egész csak ködösítésnek tűnik. Bár lehet, hogy a hülye amerikai népnek már az, amit fent leírtak is csúcstechnológiának tűnhet.
    :D
    AE
  • zoritan #27
    Elkaptak egy balekot! bravó! Biztos bele került pár millába ez a csoda progi, valamit eredményt már fel kellett mutatni!
    Jövőre az lesz a legkeresettebb vírusirtó ami a CIPAV-ot is irtja!
    Amúgy meg linux!!!!
  • s2rk2ny #26
    Elég sok lefülelt hacker-ről hallani - nehogy azt higyje valaki, hogy ezen "aranyelméket" egyszerűen börtönbe zárják. Valszeg egy titkos helyen dolgoznak az FBI-nak, CIA-nek stb. szigorú felügyelet alatt.

    Ilyen emberektől el lehet várni, hogy olyasvalamivel jöjjenek elő, ami lehetővé tesz egy ilyen "házkutatást".