Представьте себе Интернет сам по себе вдруг решил, что ты теперь живёшь где-нибудь в центре Азии, и весь трафик, который должен идти на твой ноут или смартфон, начинает блуждать по ряду других стран, прежде чем добраться до твоих устройств, но тебя там нет, ты по-прежнему у себя дома и не собираешься вообще никуда ехать. Все твои TCP и IP пакеты, которые обычно имеют маршрут до твоего провайдера, теперь гуляют в другом сегменте сети. Письма, которые тебе кто-то отправляет либо не доставляются, или их читают уже другие люди – это примерно то, о чём мне рассказал сбежавший из США в июне Эдвард Сноуден.
Ни одну банковскую операцию ты провести не можешь. HTTPS сообщает о недопустимых ошибках при получении сертификатов. Конфиденциальность, целостность и доступность твоих персональных данных полностью нарушена, причём не только твоих, и всё из-за того, что твой IP адрес кто-то благополучно угнал.
А как вообще возможно угнать чей-то IP-адрес?
Автономная система (Multihomed AS) в нашем случае принадлежит NedZone BV Интернет-провайдеру в Нидерландах. Где она зарегистрирована можно посмотреть с помощью запросов Whois для AS 25459 по адресу https://bgp.he.net/AS25459
По данным RIPE эта автономная система объявляла и приземляла 369 префиксов в течение последних 30 дней, из них 310 были необычно малы. Обычно объявление префикса при помощи BGP происходит по маске /24 или 256 уникальных IPv4-адресов пространства Интернет.
Однако в нашем случае их было слишком большое количество, причем с маской /32, то есть объявлялся всего лишь один единственный IP-адрес, с которого и осуществлялся потом весь скам процессинга. Любой поставщик услуг Интернета (ISP), который является частью глобальной сети Border Gateway Protocol (BGP) может объявлять маршруты, которыми он владеет. У других провайдеров просто обновляется таблица маршрутизации, в которой адреса прописываются уже в другом месте, а затем обновления уже распространяются по интернету в другие сети.
Обновления маршрутов от AS 25459 можно увидеть по адресу:
https://stat.ripe.net/resource/AS25459
Примеры некоторых из владельцев диапазонов и пространств IP-адресов, которые были захвачены:
1 AMAZON-AES – Amazon.com, Inc.
2 AS-7743 – JPMorgan Chase & Co.
1 ASN-BBT-ASN – Branch Banking and Trust Company
2 BANK-OF-AMERICA Bank of America
1 CEGETEL-AS Societe Francaise du Radiotelephone S.A
1 FIRSTBANK – FIRSTBANK
1 HSBC-HK-AS HSBC HongKong
1 PFG-ASN-1 – The Principal Financial Group
2 PNCBANK – PNC Bank
1 REGIONS-ASN-1 – REGIONS FINANCIAL CORPORATION
Некоторые пространства в этом списке принадлежали этому провайдеру, однако размер префикса был изменен намеренно, что выглядит весьма странно. Большая же часть анонсировавшегося блоков IP-адресов принадлежит совершенно другим хостинг-провайдерам на других концах планеты.
Более подробно можно посмотреть на видео и прочесть в презентации о том как осуществляется скам процессинга с использованием утечек маршрутов BGP глобальной таблицы маршрутизации сети интернет.
Leave a Reply