El Departamento de Defensa de EE. UU. Desconcertó a los expertos en Internet al aparentemente transferir el control de decenas de millones de direcciones IP inactivas a una empresa desconocida de Florida justo antes de que el presidente Donald Trump abandonara la Casa Blanca, pero el Pentágono finalmente ha ofrecido una explicación parcial de por qué sucedió. El Departamento de Defensa dice que todavía es propietario de las direcciones, pero que está utilizando una empresa de terceros en un proyecto “piloto” para realizar investigaciones de seguridad.
“Minutos antes de que Trump dejara el cargo, millones de direcciones IP inactivas del Pentágono cobraron vida”, fue el título de un Artículo del Washington Post en sábado. Literalmente, tres minutos antes de que Joe Biden se convirtiera en presidente, una compañía llamada Global Resource Systems LLC “anunció discretamente a las redes de computadoras del mundo un desarrollo sorprendente: ahora estaba administrando una enorme franja no utilizada de Internet que, durante varias décadas, había sido propiedad de la Militares estadounidenses “, dijo el Post.
La cantidad de direcciones IP propiedad del Pentágono anunciadas por la compañía aumentó a 56 millones a fines de enero y a 175 millones en abril, lo que la convierte en el anunciador de direcciones IP más grande del mundo en la tabla de enrutamiento global IPv4.
“Las teorías eran muchas”, decía el artículo del Post. “¿Alguien en el Departamento de Defensa vendió parte de la vasta colección de direcciones IP buscadas por el ejército cuando Trump dejó el cargo? ¿El Pentágono finalmente actuó según las demandas de descargar los miles de millones de dólares en espacio de direcciones IP en el que el ejército ha estado sentado? , en gran parte sin usar, durante décadas? “
El Post dijo que recibió una respuesta del Departamento de Defensa el viernes en forma de una declaración del director de “una unidad de élite del Pentágono conocida como el Servicio Digital de Defensa”.
El Post escribió:
Brett Goldstein, director del DDS, dijo en un comunicado que su unidad había autorizado un “esfuerzo piloto” para dar a conocer el espacio de propiedad intelectual del Pentágono.
“Este piloto evaluará, evaluará y evitará el uso no autorizado del espacio de direcciones IP del Departamento de Defensa”, dijo Goldstein. “Además, este piloto puede identificar vulnerabilidades potenciales”.
Goldstein describió el proyecto como uno de los “muchos esfuerzos del Departamento de Defensa centrados en mejorar continuamente nuestra postura y defensa cibernéticas en respuesta a las amenazas persistentes avanzadas. Estamos colaborando en todo el Departamento de Defensa para garantizar que se mitiguen las vulnerabilidades potenciales”.
“Equipo SWAT de nerds”
El DDS de 6 años consta de “82 ingenieros, científicos de datos e informáticos” que “trabajaron en el muy publicitado”hackear el pentágono“programa” y una variedad de otros proyectos que abordan algunos de los problemas tecnológicos más difíciles que enfrentan los militares, un Departamento de Defensa artículo dijo en octubre de 2020. Goldstein ha llamado a la unidad un “equipo SWAT de nerds”.
El Departamento de Defensa no dijo cuáles son los objetivos específicos de la unidad en su proyecto con Global Resource Systems “y los funcionarios del Pentágono se negaron a decir por qué la unidad de Goldstein había utilizado una empresa poco conocida de Florida para llevar a cabo el esfuerzo piloto en lugar de contar con el Departamento de Defensa. él mismo ‘anuncia’ las direcciones a través de BGP [Border Gateway Protocol] mensajes, un enfoque mucho más rutinario “, dijo el Post.
Aún así, la explicación del gobierno despertó el interés de Doug Madory, director de análisis de Internet de la empresa de seguridad de redes Kentik.
“Interpreto que esto significa que los objetivos de este esfuerzo son dobles”, escribió Madory en un entrada en el blog Sábado. “En primer lugar, anunciar este espacio de direcciones para ahuyentar a los posibles ocupantes ilegales y, en segundo lugar, recopilar una cantidad masiva de tráfico de Internet de fondo para la inteligencia de amenazas”.
La nueva empresa sigue siendo misteriosa
The Washington Post y Associated Press no pudieron desenterrar muchos detalles sobre los sistemas de recursos globales. “La empresa no devolvió llamadas telefónicas ni correos electrónicos de The Associated Press. No tiene presencia en la web, aunque tiene el dominio grscorp.com”, Historia AP ayer dijo. “Su nombre no aparece en el directorio de su domicilio en Plantation, Florida, y una recepcionista se quedó en blanco cuando un reportero de AP preguntó por un representante de la compañía en la oficina a principios de este mes. Encontró su nombre en una lista de inquilinos y sugirió intentando enviar un correo electrónico. Los registros muestran que la empresa no ha obtenido una licencia comercial en Plantation “. La AP aparentemente no pudo rastrear a las personas asociadas con la empresa.
La AP dijo que el Pentágono “no ha respondido muchas preguntas básicas, empezando por por qué decidió confiar la gestión del espacio de direcciones a una empresa que parece no haber existido hasta septiembre”. El nombre de Global Resource Systems “es idéntico al de una empresa que, según el investigador independiente de fraudes en Internet, Ron Guilmette, enviaba correo no deseado utilizando el mismo identificador de enrutamiento de Internet”, continuó AP. “Cerró hace más de una década. Todo lo que difiere es el tipo de empresa. Esta es una corporación de responsabilidad limitada. La otra era una corporación. Ambas usaban la misma dirección en Plantation, un suburbio de Fort Lauderdale”.
La AP descubrió que el Departamento de Defensa todavía es propietario de las direcciones IP, y dijo que “un portavoz del Departamento de Defensa, Russell Goemaere, le dijo a la AP el sábado que no se ha vendido ninguno de los espacios recién anunciados”.
Más grande que China Telecom y Comcast
Los expertos en redes se quedaron perplejos por la aparición de los sistemas de recursos globales durante un tiempo. Madory lo llamó “un gran misterio”.
A las 11:57 am EST del 20 de enero, tres minutos antes de que la administración Trump llegara oficialmente a su fin “,[a]Una entidad de la que no se había tenido noticias en más de una década comenzó a anunciar grandes franjas de espacio de direcciones IPv4 que antes no se utilizaba y que pertenecían al Departamento de Defensa de EE. UU. “, escribió Madory. Global Resource Systems está etiquetado AS8003 y GRS-DOD en registros BGP.
Madory escribió:
A finales de enero, AS8003 anunciaba alrededor de 56 millones de direcciones IPv4, lo que lo convierte en el sexto AS más grande [autonomous system] en la tabla de enrutamiento global IPv4 por espacio de direcciones de origen. A mediados de abril, AS8003 aumentó drásticamente la cantidad de espacio de direcciones del Departamento de Defensa que antes no se utilizaba y que anunció a 175 millones de direcciones únicas.
Tras el aumento, AS8003 se convirtió, de lejos, en el AS más grande en la historia de Internet, medido por el espacio IPv4 originado. En comparación, AS8003 ahora anuncia 61 millones de direcciones IP más que el segundo AS más grande del mundo, China Telecom, y más de 100 millones de direcciones más que Comcast, el mayor proveedor de Internet residencial de EE. UU.
De hecho, a partir del 20 de abril de 2021, AS8003 está anunciando tanto espacio IPv4 que el 5,7 por ciento de toda la tabla de enrutamiento global IPv4 se origina actualmente en AS8003. En otras palabras, más de una de cada 20 direcciones IPv4 se origina actualmente en una entidad que ni siquiera aparecía en la tabla de enrutamiento a principios de año.
A mediados de marzo, “colaboradores astutos de la lista de servidores NANOG destacado la rareza de cantidades masivas de espacio de direcciones del Departamento de Defensa anunciadas por lo que parecía ser una empresa fantasma “, señaló Madory.
El Departamento de Defensa tiene “rangos masivos” de espacio IPv4
El Departamento de Defensa “recibió numerosos rangos masivos de espacio de direcciones IPv4” hace décadas, pero “sólo una parte de ese espacio de direcciones se utilizó (es decir, anunciado por el Departamento de Defensa en Internet)”, escribió Madory. Ampliando su punto de que el Departamento de Defensa puede querer “ahuyentar a los posibles ocupantes ilegales”, escribió que “hay un vasto mundo de enrutamiento BGP fraudulento allí afuera. Como he documentado a lo largo de los años, varios tipos de delincuentes utilizan el espacio de direcciones sin enrutar para eludir las listas de bloqueo y enviar spam y otros tipos de tráfico malicioso “.
Sobre el objetivo del Departamento de Defensa de recopilar “tráfico de Internet de fondo para la inteligencia de amenazas”, Madory señaló que “hay mucho ruido de fondo que se puede captar cuando se anuncian grandes rangos de espacio de direcciones IPv4”.
Posibles problemas de enrutamiento
La aparición de direcciones IP previamente inactivas podría provocar problemas de enrutamiento. En 2018, AT&T bloqueó involuntariamente a sus clientes de Internet desde el hogar del nuevo servicio DNS de Cloudflare porque el servicio Cloudflare y la puerta de enlace de AT&T usaban la misma dirección IP de 1.1.1.1.
Madory escribió:
Durante décadas, el enrutamiento de Internet funcionó con la suposición generalizada de que los AS no enrutaban estos prefijos en Internet (tal vez porque eran ejemplos canónicos de libros de texto de redes). Según la publicación de su blog poco después del lanzamiento [of DNS resolver 1.1.1.1], Cloudflare recibió “~ 10 Gbps de tráfico en segundo plano no solicitado” en sus interfaces.
¡Y eso fue solo para 512 direcciones IPv4! Por supuesto, esas direcciones eran muy especiales, pero es lógico pensar que 175 millones de direcciones IPv4 atraerán órdenes de magnitud más de tráfico. [from] dispositivos y redes mal configurados que asumieron erróneamente que todo este espacio de direcciones del Departamento de Defensa nunca vería la luz del día.
La conclusión de Madory fue que la nueva declaración del Departamento de Defensa “responde a algunas preguntas”, pero “mucho sigue siendo un misterio”. No está claro por qué el Departamento de Defensa no anunció simplemente el espacio de direcciones en sí en lugar de usar una entidad externa oscura, y no está claro por qué el proyecto “cobró vida en los momentos finales de la administración anterior”, escribió.
Pero algo bueno podría salir de esto, agregó Madory: “Es probable que no obtengamos todas las respuestas en el corto plazo, pero ciertamente podemos esperar que el Departamento de Defensa utilice la información de amenazas obtenida de las grandes cantidades de tráfico de fondo para el beneficio de todo el mundo. Tal vez podrían asistir a una conferencia de NANOG y presentar los tesoros del tráfico erróneo que se les envía “.