Хабрахабр

У мошенника отобрали 735 000 адресов IPv4 и вернули в реестр


Региональные интернет-регистратуры и зоны их обслуживания. Описанное мошенничество произошло в зоне ARIN

Но сегодня компании выстраиваются в очередь к региональному регистратору, чтобы раздобыть хоть небольшое адресное пространство. В ранние дни Интернета адреса IPv4 раздавали всем желающим большими подсетями. В мае 2019 года региональному регистратору ARIN удалось отобрать IP-адреса у теневого брокера, которому предъявлено уголовное обвинение. На чёрном рынке один IP стоит от $13 до $25, поэтому регистраторы борются с массой теневых брокеров, бизнес которых простой: получить новые блоки IP-адресов под ложным предлогом, а затем перепродать спамерам.

Это первый случай, когда у мошенников отбирают IP-адреса после судебного разбирательства.
14 мая прокуратура Южной Каролины предъявила Амиру Голестану обвинение в мошенничестве с использованием электронных средств коммуникации (wire fraud), которые он провернул через свою фирму Micfo LLC и сеть подставных компаний-пустышек. В реестр вернули около 735 000 IP-адресов. На них оформлялись подсети IPv4, а затем перепродавались спамерам.

В некоторых случаях указана цена, по которой Голестан продавал адреса. В заявлении о возбуждении уголовного дела перечислено 20 случаев мошенничества. У него был ещё один контракт на продажу 327 680 адресов по $19 за штуку на общую сумму $6,22 млн, но последнюю транзакцию заблокировали. Например, одну подсеть из 65 536 адресов он продал по $13 за штуку, получив $851 896.

До этого регистратор сообщил Голестану об обнаружении подставных компаний и угрожал отозвать около 735 000 IP-адресов, если Micfo не согласится предоставить больше информации о своих операциях и клиентах. Интересно, что компания Micfo сама инициировала судебный процесс в конце прошлого года, подав в суд на ARIN (Американский регистратор интернет-номеров).

В результате суд отклонил просьбу компании. Поскольку к тому времени Micfo уже продала часть адресов спамерам, то отказалась предоставлять эту информацию.

13 мая арбитражная комиссия обязала Micfo выплатить $350 тыс. Но в силу договора, подписанного Micfo с ARIN, любой дальнейший спор должен был решаться через арбитраж. за юридические услуги ARIN и вернуть 735 000 IP-адресов, которые компания ещё не продала.

Вот список некоторых подставных компаний и вымышленных личностей, которых сфабриковал Голестан для распределения подсетей IPv4 (из судебных документов):

Для компаний и вымышленных личностей создавались веб-сайты, регистрировались адреса электронной почты и так далее. От их имени в ARIN подавались запросы на получение подсетей IPv4. В таком заявлении компания должна описать род своей деятельности, перечислить имена сотрудников и прочие данные о фирме. Голестан фабриковал все документы.

Схема работала с 2014 года. По такой схеме он заполучил у ARIN примерно 757 760 адресов, рыночную стоимость которых прокуратура оценила от $9 850 880 до $14 397 440. В таблице ниже перечислены успешные запросы в ARIN на выделение диапазонов IP, а продавать адреса Голестан начал с 2017 года.

Согласно пресс-релизу ARIN, Micfo зарегистрировала 11 подставных компаний по всей территории США и намеренно создавала ложные личности для вымышленных руководителей этих компаний, чтобы мошеннически выманить у ARIN ресурсы IPv4.

— Все одиннадцать подставных компаний для Micfo всё ещё находятся в интернете, где вы видите всех этих замечательных людей, которые якобы там работают. «Это была сложная операция, — сказал Стефен Райан (Stephen Ryan), бывший федеральный прокурор, который в данном судебном процессе представлял интересы ARIN. А мы получали нотариально заверенные аффидавиты на эти вымышленные имена».

На протяжении многих лет Американский регистратор интернет-номеров не очень активно боролся с мошенничеством. Независимые эксперты говорят, что Micfo — не единственный теневой брокер, который обманом выманил подсети у ARIN.

Чтобы претендовать на получение блока /22 адресов IPv4 у европейского регистратора RIPE NCC, нужно зарегистрироваться в качестве локальной регистратуры интернета (LIR) и оплатить членский взнос. Возможно, схемы с подставными компаниями действуют и в России, хотя таких массовых изъятий подсетей у теневых брокеров ещё не происходило. LIR получают блоки адресов от RIPE NCC и присваивают IP-адреса своим клиентам. Статус LIR обычно получают интернет-провайдеры, телекоммуникационные компании, крупные предприятия и академические институты.

(плюс 15 тыс. В России работают консалтинговые компании, которые помогают клиентам зарегистрировать LIR за небольшую сумму в районе 36 000 руб. ежегодная поддержка). руб. Блоки /22 продаются и сдаются в аренду. Очевидно, что стоимость блока /22 адресов IPv4 гораздо выше даже по минимальной оценке $12 за штуку.

По статистике за 2012−2018 годы, скорость выделения адресов IPv4 в Европе росла в соответствии с квадратичной функцией. Вполне возможно, что кто-то занимается подобным бизнесом. Рекордное количество новых LIR зарегистрировано в Великобритании, Германии и России. RIPE NCC объясняет это тем, что регистрировалось всё больше и больше локальных регистраторов.

К этому моменту организации начали регистрировать новые юридические лица, чтобы получить блоки /22. В ноябре 2015 года RIPE запретил регистрацию дополнительных локальных регистраторов членами RIPE NCC, но это не помогло, так что в мае 2016 года ограничение сняли. Как сообщается, некий член RIPE NCC сумел получить 66 блоков /22, хотя выдавали только по одному на каждого локального регистратора.

По расчётам Координационного центра, этого хватит ещё примерно на два года, если выдавать локальным регистраторам по /22 каждому. Год назад RIPE объявила о распределении последнего блока /22 из последнего блока /8, но в пуле RIPE NCC осталось 9 млн «восстановленных» адресов (то есть адресов, изъятых у бывших владельцев).

0. Очень многие организации зарегистрировали на себя огромные по нынешним временам диапазоны IPv4, которые практически не используют и не собираются отдавать (например, 16,8 млн адресов в блоке 44. 0/8, зарегистрированных якобы для любительского радио, или 218 млн IP-адресов у Министерства обороны США: 11. 0. 0. 0. 0. 0/8, 22. 0/8, 26. 0. 0. 0. 0. 0/8, 28. 0/8, 29. 0. 0. 0. 0. 0/8, 30. 0/8 и 33. 0. 0. 0. 0/8 ).

Например, визуализация кривыми Гильберта хорошо показывает, как распределено адресное пространство из примерно 4,2 млрд (2³²) адресов. Другие блоки используются очень интенсивно.


Распределение адресного пространства IPv4, апрель 2018 года (кликабельна)

Для сравнения, вот как выглядит распределение адресного пространства IPv6.


Распределение адресного пространства IPv6, апрель 2018 года

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»