FBI spyware-om protiv lažnog bombaša

FBI je prošli mjesec koristio tip spyware-a ne bi li otkrio osobu koja je elektroničkom poštom slala bombaške prijetnje srednjoj školi Timberline u državi Washington.

Federalni agenti su u lipnju dobili sudsku dozvolu da pošalju spyware CIPAV na osumnjičenikov MySpace korisnički račun nazvan "timberlinebombinfo". Jednom kada uđe u sustav, program javlja FBI-u javlja IP (Internet Protocol) adresu računala, razne pohranjene informacije i zapis o spajanju na internet.

Osumnjičenik Josh Glazebrook, bivši učenik škole, osuđen je na 90 dana maloljetničkog pritvora nakon što je priznao optužbe, javlja ZDNet.

Zasada nije točno poznato kako su federalni agenti ubacili CIPAV u Glazebrookovo računalo, a špekulira se da su ga ubacili elektroničkim putem. U prijašnja dva poznata slučaja, Scarfo i Forrester, agenti su se morali ušuljati u urede kako bi ubacili program (key logger).

Podaci o spyware-u nazvanom CIPAV (Computer and Internet Protocol Adress Verifier) su povjerljivi, jer bi njihovo otkrivanje javnosti moglo ugroziti druge istrage koje se vode, kao i korištenje tehnike u budućnosti. Podaci koje CIPAV šalje uključuju registry operativnog sustava, što vjerojatno znači da može napasti Microsoft Windows OS, tip operativnog sustava i serijski broj, korisničko ime i URL na koji je računalo bilo spojeno.

Postoje naznake da je FBI već prije koristio ovu tehniku. Još 2004. godine američki list Minneapolis Star Tribune objavio je da je FBI koristio verifikator IP adrese koji je osumnjičeniku poslan elektroničkom poštom.

Glazebrook je tražio od učenika da na svojim MySpace stranicama postave poveznicu na "timberlinebombinfo", a barem jedan roditelj učenika o tome je obavijestio policiju. Također Glazebrook je poslao više prijetećih poruka preko Google-ovih GMail korisničkih računa.

FBI je došao u posjed zapisa korisnikovih prijava od Google-a i MySpace-a. Na objema je zabilježena IP adresa 80.76.80.103, adresa jednog kompromitiranog računala u Italiji.

Tada je pala odluka da pokušaju s CIPAV-om koji je instaliran ili preko elektroničke pošte ili instant-messaging programa, no prva je opcija vjerojatnija. Spyware odmah javlja IP i Ethernet MAC adresu računala, i kroz sljedeća dva mjeseca bilježi posjećene IP adrese, ali ne i sadržaj komunikacije.

Ostaje misterija kako je CIPAV ušao u sustav usprkos antivirusnoj zaštiti. Jedna je mogućnost da je FBI uvjerio proizvođače sigurnosnog softvera da dozvole instalaciju programa. Druga je da su pronašli (ili platili nekome da pronađe) sigurnosnu rupu u Windowsima ili na njima baziranom sigurnosnom softveru koja im je omogućila ubacivanje programa. Iako su svi proizvođači sigurnosnog softvera izjavili kako im je obaveza detektirati policijske maliciozne programe, ali su neki neizravno potvrdili da bi ih ignorirali u slučaju sudske naredbe.