xaker

Спамеры воруют неиспользуемые IP-адреса

  • вторник, 18 ноября 2014 г. в 02:11:31

Глобальная маршрутизация интернет-адресов — исключительно сложная система, которая требует скоординированной работы организаций, разбросанных по всему миру, и чётких процедур. Сложность — враг безопасности. К сожалению, этим пользуются мошенники, которые присваивают себе чужие IP-адреса.

Две недели назад журналист в области информационной безопасности Брайан Кребс рассказал о мошеннической схеме, которую использовал один хорошо известный спамер в своей работе. Первым делом, он зарегистрировал пару хостинг-провайдеров в Болгарии: 1, 2. В течение нескольких месяцев в их распоряжение перешли десятки IP-адресов от провайдеров по всему миру: из Бразилии, Вьетнама, Индии, Китая, Мексики, Тайваня, ЮАР, Японии и других стран.

Например, на скриншоте показаны IP-адреса, полученные провайдером Mega-Spred с конца августа 2014 года.

003

По мнению экспертов, Mega-Spred и второй хостер эксплуатировали «уязвимость» в административной процедуре, которая действует в некоторых странах и регионах по части закрепления определённых диапазонов IP-адресов за конкретными хостерами и интернет-провайдерами. Если IP-адрес не используется, то злоумышленник может задекларировать его в своё распоряжение, используя несогласованность между административными органами.

Специалисты говорят, что налицо фундаментальная проблема с ведением списка адресов и таблиц маршрутизации в организации RIPE NCC — одном из пяти региональных интернет-регистраторов (RIR), выполняющих распределение интернет-ресурсов, а также связанную с этим регистрацию и координацию деятельности. RIPE NCC отвечает за Европу, Ближний Восток и часть Центральной Азии. В результате, оператор сети в регионе RIPE NCC может перерегистрировать на себя адреса, принадлежащие операторам в других зонах. RIPE NCC меняет запись в своей базе, не проводя проверку, а отсюда запись попадает в другие базы.

Специалисты RIPE NCC осведомлены об этой «уязвимости» и недавно обсуждали её. Но у них, судя по всему, нет доступа к достоверной информации о договорённостях между операторами о предоставлении IP-адресов друг другу, так что они не могут проверить каждую такую транзакцию на уровне Internet Routing Registry. В общем, на сегодняшний день остановить активность болгарских хостеров невозможно.