Les spammeurs ont travaillé méthodiquement pour détourner de gros morceaux de l’immobilier Internet en exploitant une faille technique et bureaucratique dans la façon dont diverses régions du globe gardent une trace des plages d’adresses Internet mondiales.
La semaine dernière, BreachTrace a présenté un article approfondi sur un artiste de courrier indésirable bien connu qui a reconnu avoir envoyé depuis deux bulgares hébergeurs. Ces deux fournisseurs avaient réquisitionné des dizaines de milliers d’adresses Internet auprès de FAI du monde entier, dont le Brésil, la Chine, l’Inde, le Japon, le Mexique, l’Afrique du Sud, Taïwan et le Vietnam.
Par exemple, un examen plus approfondi aux adresses Internet détournées par l’un des fournisseurs bulgares – bien nommé « Méga-Spred » avec un contact e-mail de « abuse@grimhosting » – montre que ce fournisseur a lentement englouti des plages d’adresses IP lointaines depuis fin août 2014.
Ce tableau, avec des données du RIPE NCC – des registres Internet régionaux, montre l’activité de piratage d’adresses IP par l’hôte bulgare Mega-Spred.
Selon plusieurs experts en sécurité et anti-spam qui ont suivi cette activité, Mega-Spred et l’autre fournisseur d’hébergement en question (connu sous le nom de Kandi EOOD) ont profité d’une faiblesse administrative dans la mesure où certains pays et régions de le monde garde un œil sur les plages d’adresses IP attribuées aux différents fournisseurs d’hébergement et FAI. Ni Kandi ni Mega-Spred n’ont répondu aux demandes de commentaires.
Le détournement d’adresse IP n’est pas un phénomène nouveau. Les spammeurs détournent parfois des plages d’adresses Internet qui restent inutilisées pendant des périodes de temps. Les plages d’adresses inactives ou « non annoncées » sont propices aux abus, en partie à cause du fonctionnement du système de routage mondial : les malfaiteurs peuvent « annoncer » au reste de l’Internet que leurs installations d’hébergement sont l’emplacement autorisé pour des adresses Internet données. Si rien ou personne ne s’oppose au changement, les plages d’adresses Internet tombent entre les mains du pirate de l’air.
Les experts disent que les pirates de l’air exploitent également un problème fondamental avec les activités de tenue de registres de CCN MÛRE, le registre Internet régional (RIR) qui supervise l’attribution et l’enregistrement des adresses IP pour l’Europe, le Moyen-Orient et certaines parties de l’Asie centrale. RIPE est l’un des nombreux RIR, dont ARIN (qui gère principalement l’espace IP nord-américain) et APNIC (Asie-Pacifique), LACNIC (Amérique latine) et AFRINIC (Afrique).
Ron Guilmetteun croisé anti-spam actif dans de nombreuses communautés de gouvernance d’Internet, a déclaré que le problème est qu’un propriétaire de réseau dans la région de RIPE peut détourner des adresses Internet appartenant à des propriétaires de réseau dans des régions gérées par d’autres RIR, et si les pirates de l’air prétendent alors RIPE qu’ils sont les propriétaires légitimes de ces plages d’adresses IP piratées, RIPE acceptera simplement cette affirmation sans la vérifier ni l’authentifier.
Pire encore, Guilmette et d’autres disent que ces fausses entrées – une fois acceptées par RIPE – sont exportées vers d’autres bases de données qui sont utilisées pour vérifier la validité des tables de routage d’adresses IP mondiales, ce qui signifie que les parties sur Internet qui vérifient la validité d’un route peut le faire contre de fausses informations créées par le pirate de l’air lui-même.
« RIPE est maintenant parfaitement conscient de ce qui se passe et de ce qui s’est passé, avec les activités manifestement tordues de ce fournisseur voyou », a déclaré Guilmette. « Cependant, en raison de la manière exceptionnellement intelligente dont les propriétaires de Mega-Spred ont effectué leurs détournements, les gens de RIPE ne peuvent toujours pas s’entendre sur la façon même de défaire ce gâchis, et encore moins comment l’empêcher de se reproduire dans le avenir. »
Et c’est là que l’histoire se transforme peut-être inévitablement en Geek Factor 5. Pour sa part, RIPE a déclaré dans une déclaration envoyée par courrier électronique à BreachTrace que le MÛR NCC n’a pas connaissance des accords conclus entre les opérateurs de réseau ou avec les détenteurs d’espace d’adressage.
« Il est important de noter la distinction entre un registre de numéros Internet (INR) et un Registre de routage Internet (TRI). La base de données RIPE (et de nombreuses autres bases de données RIR) combinent ces fonctionnalités distinctes. Un INR enregistre qui détient quelles ressources de numéros Internet, ainsi que les sous-attributions et les affectations qu’ils ont faites aux utilisateurs finaux.
D’autre part, un TRIcontient la route et d’autres objets – qui détaillent les politiques d’un réseau concernant les personnes avec lesquelles il sera apparié, ainsi que les ressources de numéros Internet accessibles via un ASN / réseau spécifique. Il existe 34 IRR distincts dans le monde ; par conséquent, ce n’est pas quelque chose qui se produit au niveau du RIR, mais plutôt au niveau Registre de routage Internet niveau. »
« Il n’est donc pas possible pour les RIR de vérifier les informations de routage saisies dans les registres de routage Internet ou de surveiller l’exactitude des objets de route », a conclu l’organisation.
Guilmette a déclaré que la réponse de RIPE semble conçue pour détourner l’attention du rôle central de RIPE dans ce gâchis.
« Qu’il est quelque peu malhonnête, je pense que ce représentant de RIPE considère tout ce gâchis comme un problème avec le
IRR lorsque dans ce cas précis, le TRI qui a d’abord accepté puis promulgué ces faux enregistrements de validation de routage était RIPE », a-t-il déclaré.
RIPE note que les propriétaires de réseaux peuvent réduire l’occurrence du piratage d’adresse IP en profitant de Certification des ressources (RPKI), un service gratuit pour les membres et non-membres du RIPE qui permet aux opérateurs de réseaux de demander un certificat numérique répertoriant les ressources de numéros Internet qu’ils détiennent. Cela permet aux autres opérateurs de réseau de vérifier que les informations de routage contenues dans ce système sont publiées par le détenteur légitime des ressources. De plus, le système permet au titulaire de recevoir des notifications lorsqu’un préfixe de routage est détourné, a déclaré RIPE.
Alors que RPKI (et d’autres solutions à ce projet, telles que DNSSEC) existent depuis des années, il est évident que tous les fournisseurs de réseau ne déploient pas actuellement ces méthodes de sécurité. Erik Baisdirecteur de A2B Internet BV – un FAI néerlandais – a déclaré qu’une adoption plus large de solutions telles que RPKI serait certainement utile à long terme, mais une solution à court terme consiste pour RIPE à empêcher ses fournisseurs Internet de revendiquer des itinéraires dans des plages d’adresses gérées par d’autres RIR.
« C’est une solution rapide, mais cela cassera les choses à l’avenir pour une utilisation légitime », a déclaré Bais.
Selon RIPE, cette question même était discuté longuement au récent MÛR 69 Réunion à Londres la semaine dernière.
« Le MÛR CNC travaille maintenant avec le MÛR communauté pour étudier les moyens d’apporter de telles améliorations », a déclaré RIPE dans un communiqué.
Il s’agit d’un problème complexe, bien sûr, mais je pense que cette histoire est un excellent rappel de deux qualités de la sécurité Internet en général qui sont assez statiques (pour le meilleur ou pour le pire) : premièrement, une grande partie d’Internet fonctionne grâce aux efforts d’un groupe relativement restreint de personnes qui travaillent très dur pour équilibrer l’ouverture et la facilité d’utilisation avec les problèmes de sécurité et de stabilité. Deuxièmement, les problèmes de routage d’adresses Internet mondiales sont extraordinairement complexes, non seulement en termes techniques, mais aussi parce qu’ils nécessitent également une coordination et un consensus entre et parmi de multiples parties prenantes avec des perspectives géographiques et culturelles parfois radicalement différentes. Malheureusement, la complexité est l’ennemie de la sécurité, et les spammeurs et autres vauriens comprennent et exploitent cette lacune aussi souvent que possible.