Bagaimana Menyangkal Perkhidmatan ke Wiretap Persekutuan

Para penyelidik di University of Pennsylvania mengatakan bahawa mereka telah menemui cara untuk memintas teknologi rangkaian yang digunakan oleh penguatkuasa undang-undang untuk mengetuk talian telefon di Amerika Syarikat

Kelemahan yang mereka temukan "mewakili ancaman serius terhadap ketepatan dan kesempurnaan rekod wiretap yang digunakan untuk siasatan jenayah dan sebagai bukti dalam percubaan, "kata para penyelidik dalam kertas mereka, yang akan dibentangkan pada hari Khamis di sebuah persidangan keselamatan komputer di Chicago.

Mengikuti kerja awal untuk menghindari peranti wiretap analog yang dipanggil pendorong gelung, penyelidik Penn mengambil pandangan yang mendalam pada piawaian teknikal yang lebih baru yang digunakan untuk membolehkan penyambungan wiretapping pada suis telekomunikasi. Mereka mendapati bahawa walaupun peranti-peranti baru ini mungkin tidak mengalami banyak bug yang mereka dapati di dunia penyambung gelung, mereka memperkenalkan kelemahan baru. Malah, wiretaps mungkin tidak berguna jika sambungan antara suis dan penguatkuasaan undang-undang diliputi oleh data tidak berguna, sesuatu yang dikenali sebagai serangan penolakan perkhidmatan (DOS).

[Bacaan lanjut: Kotak NAS terbaik untuk streaming media dan sandaran]

Empat tahun yang lalu, pasukan Universiti Pennsylvania menjadi tajuk utama selepas menggodam alat penyambung gelung analog yang mereka beli di eBay. Kali ini, pasukan mahu melihat peranti yang lebih baru, tetapi mereka tidak dapat memegang suis. Oleh itu, mereka melihat dengan teliti standard industri telekomunikasi - ANSI Standard J-STD-025 - yang mentakrifkan bagaimana suis perlu menghantar maklumat yang disambungkan kepada pihak berkuasa. Piawaian ini dibangunkan pada tahun 1990-an untuk menyatakan bagaimana syarikat telekomunikasi dapat mematuhi Akta Bantuan Komunikasi untuk Undang-Undang Penguatkuasaan Undang-undang (CALEA) 1994. "Kami bertanya kepada diri sendiri sama ada standard ini memadai untuk mendapatkan penyadapan wayar yang boleh dipercayai," Micah Sherr, penyelidik pasca kedoktoran di universiti dan salah seorang penulis bersama kertas. Akhirnya mereka dapat membangunkan beberapa serangan konsep-konsep yang akan mengganggu peranti. Menurut Sherr, standard "benar-benar tidak menganggap kes subjek wiretap yang cuba menggagalkan atau mengelirukan wiretap itu sendiri."

Ternyata standard set aside bandwidth yang sangat sedikit - 64K bit per detik - untuk menjejaki maklumat tentang panggilan telefon yang dibuat pada garisan penalaan. Apabila kawat menghidupkan, suis sepatutnya menyediakan Saluran Data Panggilan 64Kbps untuk menghantar maklumat ini antara telco dan agensi penguatkuasa undang-undang melakukan wiretap. Biasanya saluran ini mempunyai jalur lebar yang cukup untuk keseluruhan sistem untuk berfungsi, tetapi jika seseorang cuba membanjirinya dengan maklumat dengan membuat berpuluh-puluh mesej SMS atau VoIP (suara melalui protokol Internet) panggilan telefon secara serentak, saluran itu boleh ditenggelami dan hanya turun

Ini bermakna penguatkuasaan undang-undang boleh kehilangan rekod siapa yang dipanggil dan kapan, dan mungkin terlepas rakaman panggilan keseluruhan juga, kata Sherr.

Kembali pada tahun 2005, FBI merendahkan penyelidikan gelung penyokong pasukan Penn, dengan mengatakan bahawa ia digunakan hanya kira-kira 10 peratus daripada paip dawai. J-standard yang dikaji dalam karya ini lebih banyak digunakan, bagaimanapun, kata Sherr. Perwakilan FBI tidak mengembalikan mesej yang mencari ulasan untuk kisah ini.

Para penyelidik menulis sebuah program yang dihubungkan ke pelayan melalui rangkaian wayarles 3G Sprint 40 kali sesaat, cukup untuk membanjiri Saluran Data Panggilan. Mereka mengatakan bahawa mereka boleh mendapatkan hasil yang sama dengan pengaturcaraan komputer untuk membuat tujuh panggilan VoIP sesaat atau menyala 42 mesej SMS sesaat.

Teknik-teknik ini akan berfungsi pada telefon bimbit atau sistem VoIP, tetapi bukan pada peranti analog, Sherr berkata.

Oleh kerana para penyelidik tidak dapat menguji teknik mereka pada sistem dunia sebenar mereka tidak tahu dengan pasti bahawa mereka boleh menggagalkan wiretap. Tetapi Sherr percaya bahawa "ada pasti bahaya" dalam cara piawaian itu ditulis. "Kerana ia adalah sistem kotak hitam, kita tidak pasti."

Sudah tentu, penjenayah mempunyai banyak cara yang lebih mudah untuk mengelakkan pengawasan polis. Mereka boleh menggunakan wang tunai untuk membeli telefon bimbit prabayar tanpa nama, atau menjangkau rakan sejenayah mereka dengan panggilan Skype yang disulitkan, kata Robert Graham, Ketua Pegawai Eksekutif dengan Errata Security. Nasib baik bagi polis, penjenayah biasanya tidak mengambil keselamatan komunikasi mereka dengan serius. "Kebanyakan penjenayah adalah bodoh," katanya. "Mereka hanya menggunakan telefon bimbit yang sama."