Nowości

Pentagon wyjaśnia dziwny transfer 175 milionów adresów IP do nieznanej firmy

Ilustracja danych internetowych z długimi ciągami liczb ułożonymi w siatce.

Departament Obrony Stanów Zjednoczonych zaskoczył ekspertów internetowych, najwyraźniej przekazując kontrolę nad dziesiątkami milionów nieaktywnych adresów IP do nieznanej firmy z Florydy tuż przed opuszczeniem Białego Domu przez prezydenta Donalda Trumpa, ale Pentagon w końcu zaoferował częściowe wyjaśnienie, dlaczego tak się stało. Departament Obrony twierdzi, że nadal jest właścicielem adresów, ale korzysta z usług firmy zewnętrznej w projekcie „pilotażowym” w celu przeprowadzenia badań nad bezpieczeństwem.

„Kilka minut przed odejściem Trumpa ożyły miliony nieaktywnych adresów IP Pentagonu” – tak brzmiał tytuł artykułu w Washington Post w sobotę. Dosłownie trzy minuty przed tym, jak Joe Biden został prezesem, firma o nazwie Global Resource Systems LLC “dyskretnie ogłosiła światowym sieciom komputerowym zaskakujący rozwój: teraz zarządzała ogromnym niewykorzystanym obszarem Internetu, który przez kilka dziesięcioleci był własnością Wojsko amerykańskie – powiedział The Post.

Liczba adresów IP należących do Pentagonu ogłoszona przez firmę wzrosła do 56 milionów do końca stycznia i 175 milionów do kwietnia, co czyni ją największym na świecie komentatorem adresów IP w globalnej tablicy routingu IPv4.

„Teorii było wiele” – czytamy w artykule w Post. „Czy ktoś z Departamentu Obrony sprzedał część ogromnej kolekcji poszukiwanych adresów IP przez wojsko, gdy Trump opuścił urząd? Czy Pentagon w końcu zareagował na żądanie zwolnienia wartej miliardy dolarów przestrzeni adresowej, na której siedzi wojsko? , w dużej mierze nieużywany od dziesięcioleci? ”

The Post poinformował, że w piątek otrzymał odpowiedź z Departamentu Obrony w formie oświadczenia dyrektora „elitarnej jednostki Pentagonu, znanej jako Defense Digital Service”. Post napisał:

Brett Goldstein, dyrektor DDS, powiedział w oświadczeniu, że jego jednostka zezwoliła na „próbę pilotażową” upublicznienia przestrzeni IP będącej własnością Pentagonu.

„Ten program pilotażowy oceni, oceni i zapobiegnie nieautoryzowanemu wykorzystaniu przestrzeni adresowej DoD” – powiedział Goldstein. „Ponadto ten pilot może zidentyfikować potencjalne luki w zabezpieczeniach”.

Goldstein opisał ten projekt jako jeden z „wielu wysiłków Departamentu Obrony skupionych na ciągłym ulepszaniu naszej cyberpozycji i obrony w odpowiedzi na zaawansowane trwałe zagrożenia. Współpracujemy przez cały DoD, aby zapewnić ograniczenie potencjalnych luk w zabezpieczeniach”.

„Zespół kujonów SWAT”

Sześcioletni DDS składa się z „82 inżynierów, naukowców zajmujących się danymi i informatyków”, którzy „pracowali nad szeroko nagłośnionym programem„ hakuj Pentagon ”” i wieloma innymi projektami zajmującymi się niektórymi z najtrudniejszych problemów technologicznych, z jakimi borykają się wojsko, w artykule Departamentu Obrony napisano w październiku 2020 r. Goldstein nazwał jednostkę „zespołem kujonów SWAT”.

Departament Obrony nie powiedział, jakie są konkretne cele jednostki w jego projekcie z Globalnymi Systemami Zasobów ”, a urzędnicy Pentagonu odmówili wyjaśnienia, dlaczego jednostka Goldsteina wykorzystała mało znaną firmę z Florydy do przeprowadzenia działań pilotażowych, a nie Departament Obrony sama „ogłasza” adresy za pośrednictwem protokołu BGP [Border Gateway Protocol] wiadomości – o wiele bardziej rutynowe podejście – powiedział The Post.

Mimo to wyjaśnienia rządu wzbudziły zainteresowanie Douga Madory’ego, dyrektora ds. Analiz internetowych w firmie Kentik zajmującej się bezpieczeństwem sieci.

„Interpretuję to jako oznaczające, że cele tego wysiłku są dwojakie” – napisała Madory w sobotnim poście na blogu. „Po pierwsze, aby ogłosić tę przestrzeń adresową, aby odstraszyć potencjalnych lokatorów, a po drugie, aby zebrać ogromną ilość ruchu internetowego w tle w celu analizy zagrożeń”.

Nowa firma pozostaje tajemnicza

The Washington Post i Associated Press nie były w stanie znaleźć wielu szczegółów na temat globalnych systemów zasobów. „Firma nie odpowiadała na telefony ani e-maile od The Associated Press. Nie jest obecna w sieci, chociaż ma domenę grscorp.com” – napisano wczoraj w artykule AP. „Jego nazwa nie pojawia się w spisie miejsca zamieszkania Plantation na Florydzie, a recepcjonistka sprecyzowała puste miejsce, gdy reporter AP poprosił o przedstawiciela firmy w biurze na początku tego miesiąca. Znalazła jego nazwisko na liście najemców i zasugerowała próbuję wysłać wiadomość e-mail. Z danych wynika, że ​​firma nie uzyskała licencji na prowadzenie działalności w Plantation ”. AP najwyraźniej nie był w stanie wytropić osób związanych z firmą.

AP powiedział, że Pentagon „nie odpowiedział na wiele podstawowych pytań, poczynając od tego, dlaczego zdecydował się powierzyć zarządzanie przestrzenią adresową firmie, która wydaje się istnieć dopiero we wrześniu”. Nazwa Global Resource Systems „jest identyczna z nazwą firmy, która według niezależnego badacza oszustw internetowych Ron Guilmette wysyła spam e-mailowy przy użyciu tego samego identyfikatora routingu internetowego” – kontynuował AP. – Został zamknięty ponad dziesięć lat temu. Różni się tylko rodzaj firmy. Ta jest spółką z ograniczoną odpowiedzialnością. Druga była korporacją. Obie używały tego samego adresu na Plantation, na przedmieściach Fort Lauderdale.

AP dowiedział się, że Departament Obrony nadal jest właścicielem adresów IP, mówiąc, że „rzecznik Departamentu Obrony Russell Goemaere powiedział w sobotę AP, że żadna z nowo ogłoszonych przestrzeni nie została sprzedana”.

Większy niż China Telecom i Comcast

Eksperci sieci byli przez chwilę zaskoczeni pojawieniem się globalnych systemów zasobów. Madory nazwał to „wielką tajemnicą”.

O 11:57 EST 20 stycznia, trzy minuty przed oficjalnym zakończeniem administracji Trumpa, “[a]n podmiot, o którym nie słyszano od ponad dekady, zaczął ogłaszać duże połacie wcześniej nieużywanej przestrzeni adresowej IPv4 należącej do Departamentu Obrony Stanów Zjednoczonych ”- napisał Madory. Global Resource Systems jest oznaczony jako AS8003 i GRS-DOD w rekordach BGP.

Madory napisał:

Pod koniec stycznia AS8003 ogłosił około 56 milionów adresów IPv4, co czyni go szóstym co do wielkości AS [autonomous system] w globalnej tablicy routingu IPv4 według pierwotnej przestrzeni adresowej. Do połowy kwietnia AS8003 radykalnie zwiększył ilość wcześniej nieużywanej przestrzeni adresowej DoD, którą ogłosił, do 175 milionów unikalnych adresów.

W następstwie tego wzrostu AS8003 stał się zdecydowanie największym AS w historii Internetu, mierzonym na podstawie utworzonej przestrzeni IPv4. Dla porównania, AS8003 ogłasza teraz o 61 milionów więcej adresów IP niż drugi co do wielkości AS na świecie, China Telecom, i ponad 100 milionów więcej adresów niż Comcast, największy prywatny dostawca Internetu w USA.

W rzeczywistości od 20 kwietnia 2021 r.AS8003 ogłasza tak dużo miejsca na IPv4, że 5,7 procent całej globalnej tablicy routingu IPv4 pochodzi obecnie z AS8003. Innymi słowy, więcej niż jeden na 20 adresów IPv4 pochodzi obecnie z jednostki, która nawet nie pojawiła się w tablicy routingu na początku roku.

W połowie marca „wnikliwi współautorzy listy NANOG podkreślili dziwaczność ogromnych ilości przestrzeni adresowej DoD ogłaszanych przez coś, co wyglądało na firmę-shell” – zauważył Madory.

DoD ma „ogromne zakresy” przestrzeni IPv4

Departament Obrony „otrzymał wiele ogromnych zakresów przestrzeni adresowej IPv4” dziesiątki lat temu, ale „tylko część tej przestrzeni adresowej była kiedykolwiek wykorzystywana (tj. Ogłoszona przez Departament Obrony w Internecie)” – napisał Madory. Rozszerzając swój punkt widzenia, że ​​Departament Obrony może chcieć „odstraszyć wszelkich potencjalnych lokatorów”, napisał, że „istnieje rozległy świat oszukańczego routingu BGP. Jak udokumentowałem przez lata, różne typy złych aktorzy używają niekierowanej przestrzeni adresowej, aby ominąć listy blokowanych w celu wysyłania spamu i innego rodzaju złośliwego ruchu ”.

Odnosząc się do celu Departamentu Obrony, jakim jest gromadzenie „ruchu internetowego w tle w celu rozpoznania zagrożeń”, Madory zauważył, że „istnieje wiele szumów w tle, które można zebrać ogłaszając duże zakresy przestrzeni adresowej IPv4”.

Potencjalne problemy z routingiem

Pojawienie się wcześniej nieaktywnych adresów IP może prowadzić do problemów z routingiem. W 2018 roku AT&T nieumyślnie zablokowało swoim klientom internetowym w domu dostęp do nowej usługi DNS Cloudflare, ponieważ usługa Cloudflare i brama AT&T używały tego samego adresu IP 1.1.1.1.

Madory napisał:

Przez dziesięciolecia routing internetowy działał przy powszechnym założeniu, że AS nie kierują tych prefiksów w Internecie (być może dlatego, że były to kanoniczne przykłady z podręczników sieciowych). Według ich posta na blogu wkrótce po premierze [of DNS resolver 1.1.1.1]Cloudflare odebrał „~ 10 Gbps niezamówionego ruchu w tle” na swoich interfejsach.

A to tylko dla 512 adresów IPv4! Oczywiście te adresy były wyjątkowe, ale ma się rozumieć, że 175 milionów adresów IPv4 przyciągnie o rząd wielkości większy ruch [from] źle skonfigurowane urządzenia i sieci, które błędnie zakładały, że cała ta przestrzeń adresowa DoD nigdy nie ujrzy światła dziennego.

Madory doszedł do wniosku, że nowe oświadczenie Departamentu Obrony „odpowiada na niektóre pytania”, ale „wiele pozostaje tajemnicą”. Nie jest jasne, dlaczego Departament Obrony nie ogłosił po prostu samej przestrzeni adresowej zamiast używać niejasnej zewnętrznej jednostki, i nie jest jasne, dlaczego projekt „ożył w ostatnich chwilach poprzedniej administracji” – napisał.

Ale może z tego wyniknąć coś dobrego, dodał Madory: „Prawdopodobnie nie otrzymamy wszystkich odpowiedzi w najbliższym czasie, ale z pewnością możemy mieć nadzieję, że Departament Obrony wykorzysta informacje o zagrożeniach zebrane z dużej ilości ruchu w tle na korzyść wszystkich. Może mogliby przyjść na konferencję NANOG i przedstawić im ślady błędnego ruchu ”.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook