Auteur Sujet: Vol d'IPv4 pour 30 millions de dollars en afrique du Sud  (Lu 1021 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 32 766
    • Twitter LaFibre.info
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« le: 08 octobre 2019 à 14:46:04 »
Selon le PDG de Heficed, il y a eu récemment un vol de grande envergure a été mis au jour, ciblant 30 millions de dollars d’adresses IPv4, appartenant à des multinationales sud-africaines.
Selon Heficed, les délits de cette nature ne feront que croître en raison de la demande croissante et d’une offre fixe sur le marché des adresses IPv4.

J'ai traduit rapidement le communiqué de presse de Heficed, qui, bien que a vocation publicitaire, est intéressant : (la photo des fibres multimode est celle du communiqué de presse)




Les fraudeurs obtiennent des adresses IP d’une valeur de 30 millions de dollars en Afrique du Sud: commentaires des experts



À mesure que les adresses IPv4 deviennent des produits de valeur, des systèmes de fraude élaborés apparaissent. Les propriétaires d'entreprise ont besoin de partenaires industriels experts pour optimiser et protéger leurs actifs d'adresses IP

8 octobre 2019. En septembre, les médias sud-africains ont dévoilé un stratagème compliqué de fraude dans lequel les adresses IPv4 d'une valeur d'au moins 30 millions de dollars sur le marché de l'occasion étaient volées ou détournées par de grandes sociétés multinationales basées en Afrique du Sud.

La plupart des propriétaires enregistrés n'étaient au courant d'aucune violation de leurs propriétés, les attaquants exploitant des structures de propriété complexes. De plus, les propriétaires légitimes étaient souvent peu familiarisés avec la valeur des actifs considérables présentée par leurs stocks d’adresses IPv4.

Parmi les ensembles d'adresses volés, il y avait un certain nombre de «blocs hérités» particulièrement précieux, des ensembles d'adresses IP attribués avant la création de registres Internet régionaux (RIR) et qui sont donc sans redevance.

«Nous remarquons souvent que les entreprises qui ont obtenu d’importants groupes d’IPv4 alors qu’ils étaient encore disponibles n’ont pas conscience de leur valeur. Auparavant, des milliers d'adresses étaient gratuites. Aujourd'hui, une adresse unique peut valoir jusqu'à 30 dollars », commente Vincentas Grinius, PDG de Heficed, une société proposant des solutions d'infrastructure réseau centrées sur la fourniture et la gestion des adresses IP.

La fraude IPv4 est devenue un problème de plus en plus urgent au cours de la dernière décennie. En effet, les adresses IP omniprésentes sont en réalité une ressource finie. Leurs sources initiales, les RIR desservant chacune une région continentale, sont presque épuisées au cours des dix dernières années, et AFRINIC est la seule à les attribuer avec une relative facilité.

Les adresses IP étant toutefois localisées, les adresses africaines ne servent qu’à un usage limité - pour exploiter un serveur en Europe ou en Amérique, un utilisateur a besoin d’une adresse IP européenne ou américaine. Ceci est particulièrement pertinent pour les clients dépendant de la latence, comme ceux qui opèrent dans des domaines où la concurrence est rude.

Quiconque a besoin d'adresses IPv4 doit donc les obtenir sur le marché de l'occasion. Comme dans tout marché de produits de base, la fraude constitue également un problème.

Même dans les pays hautement réglementés comme les États-Unis, les fraudeurs s’attaquent toujours aux ressources de grande valeur. Avec une attention et un dévouement appropriés, même les adresses volées peuvent être récupérées, mais cela prend souvent un temps considérable et des investissements légaux. Plus important encore, il est souvent impossible pour les grandes entreprises de suivre correctement les droits de propriété sur IPv4.

«Comme pour tous les biens immatériels complexes, tels que les stocks ou les actifs virtuels, les fournisseurs d’infrastructure de réseau intermédiaire remplissent plus que la fonction de commerçant. Ils commercialisent, gèrent et gèrent les ressources de leurs clients », explique Grinius.

Traiter des détails techniques tels que les adresses IP est souvent la priorité la moins importante des grandes entreprises, si elles sont au courant du problème.

«Les nouvelles d'Afrique du Sud montrent clairement que le contrôle est le principal problème. La plupart du temps sans préavis, les IPv4 sont devenus une opportunité extrêmement rentable qui peut être utilisée si les soins appropriés sont apportés. Heficed fait partie des sociétés spécialisées qui offrent cette surveillance et ces soins, offrant ainsi une sécurité aux clients qui n'auraient peut-être même pas su que leurs actifs étaient en danger », ajoute Grinius.

Heficed estime que les entreprises doivent prendre en charge leur propre sécurité IPv4, car il est peu probable qu'une aide institutionnelle arrive. Officiellement, le protocole est progressivement abandonné au profit d'IPv6, un processus qui n'a que très lentement avancé depuis l'introduction de l'IPv6 en 1998. Cette solution à long terme est encore bien loin: selon les propres statistiques de Google, moins de 30% des utilisateurs avoir accès à leurs services via IPv6.

«Pour le moment», conclut Grinius, «le seul moyen d'éviter des violations de la sécurité potentiellement dommageables est de travailler avec des partenaires de confiance dans la recherche et la gestion d'adresses IPv4. Avec une forte demande encourageant la fraude, les autorités existantes sont tout simplement surmenées."


Source : HEFICED, le 8 octobre 2019.

Florian

  • Client SFR fibre FTTH
  • *
  • Messages: 1 121
  • FTTH 1Gb/s - Argenteuil (95)
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #1 le: 09 octobre 2019 à 11:45:41 »
Je ne comprends pas comment on peut voler une ip...

Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 1 114
  • Strasbourg (67)
    • OrneTHD
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #2 le: 09 octobre 2019 à 13:52:51 »
Je ne comprends pas comment on peut voler une ip...
C'est de l'administratif. Tu envoies des faux documents au RIPE-NCC par ex, où tu indiques le rachat de telle boite avec ces ressources, et tu joins tous les documents demandés.

Florian

  • Client SFR fibre FTTH
  • *
  • Messages: 1 121
  • FTTH 1Gb/s - Argenteuil (95)
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #3 le: 09 octobre 2019 à 14:49:58 »
Merci.

Mais dans ces cas là, une fois la fraude constatée, les ips sont réaffectées aux vrais détenteurs, non ?

Free_me

  • Client Free fibre
  • *
  • Messages: 1 062
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #4 le: 09 octobre 2019 à 17:00:24 »
Merci.

Mais dans ces cas là, une fois la fraude constatée, les ips sont réaffectées aux vrais détenteurs, non ?

probablement
mais je pense que le but de la manip c'est qu'un fois que tu as volé les IP, tu les revends vite fait bien fait.

Optix

  • AS41114 - Expert OrneTHD
  • Client Orne THD
  • *
  • Messages: 1 114
  • Strasbourg (67)
    • OrneTHD
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #5 le: 09 octobre 2019 à 17:38:15 »
Après, il n'y a pas que les IPv4 qui se font voler. Tu peux aussi avoir des vols de numéros de téléphones.

On a déjà eu une porta sortante de tous nos clients finaux vers une boite obscure à l'étranger. Aaah le pauvre opérateur qui a porté au milieu, il était pas bien. Entre l'autre qui a raconté n'imp pour faire la porta en douce et nous qui tuons l'game avec nos documents du tribunal ;D . Porta annulée, en 4h tout était revenu en annulant les nouvelles annonces APNF.

Faut se méfier de tout et rester vigileant sur les ressources immatérielles. Ca peut arriver à tout le monde.

mais je pense que le but de la manip c'est qu'un fois que tu as volé les IP, tu les revends vite fait bien fait.
Oui.

Fyr

  • Client K-Net
  • *
  • Messages: 37
  • Talissieu 01
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #6 le: 10 octobre 2019 à 01:51:10 »

....
Parmi les ensembles d'adresses volés, il y avait un certain nombre de «blocs hérités» particulièrement précieux, des ensembles d'adresses IP attribués avant la création de registres Internet régionaux (RIR) et qui sont donc totalement libres d'utilisation. Y avait même un organisme pour les gérer dès le départ : IANA. Et c'est quand la colique du 192[1] est arrivé que l'opportunité des RIR s'est faite.

....
Les adresses IP étant toutefois localisées, les adresses africaines ne servent qu’à un usage limité - pour exploiter un serveur en Europe ou en Amérique, un utilisateur a besoin d’une adresse IP européenne ou américaine. Ceci est particulièrement pertinent pour les clients dépendant de la latence, comme ceux qui opèrent dans des domaines où la concurrence est rude.

.....


Y a de grosses approximations quand même :
1 - les blocs "legacy" d'avant les RIR sont pas en libre service du tout. Ils sont connus et alloués, et pas forcèment routés. Essayez d'user de libre-service sur le 17/8 d'Apple ou le 33/8 d'une des branches du DoD.

2 - la localisation aussi c'est mal expliqué. C'est les "conditions d'utilisation" des RIR qui empêchent d'utiliser physiquement une IP d'un continent[2]  sur un autre. Evidement le stock Africain va intéresser beaucoup de monde, certains boites françaises ont deja construit ou s'installent dans des datacenters Africains, font leur demande de création de LIR, et bien sûr la tentation de glisser un petit bloc ailleurs va avoir lieu.

[1] les adresses en 192 y a partout sur planète et ca occupe une bonne place dans les tables de routage (p'tete moins maintenant, à mon époque ~50%)  Le IANA filait les blocs en direct à qui en voulait worldwide. Et y a eu un gros coup de frein, et l'allocation de super bloc au RIR pour faire plus propre, moins gruyère et un peu plus économe pour les routeurs.
[2] plus précisèment de la zone que gère le RIR. Le RIPE c'est Europe, Russie, Moyen-Orient. Jolie carte https://www.ripe.net/about-us/what-we-do/lirs-map

Fyr

  • Client K-Net
  • *
  • Messages: 37
  • Talissieu 01
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #7 le: 10 octobre 2019 à 02:30:13 »
probablement
mais je pense que le but de la manip c'est qu'un fois que tu as volé les IP, tu les revends vite fait bien fait.

Oui le but est bien de les revendre et de trouver un recéleur.

Toutefois, ca ne se vend pas dans le sens où même les LIR originaux ne sont pas propriétaires des IP. Les LIR en reçoivent la délégation, il est responsable des allocations sous-jacentes et du routages des blocs. Le LIR crève ca repart dans le pool du RIR.

Après y a un zone grise, hors scope des RIR sur les allocations, ca peut même être fait en plein jour avec update des base whois et du routing arbiter. Pas de problème pour eux, en cas de litige ils restent les arbitres[1] du stock, tant qu'ils reçoivent la facture pour les blocs de la part des LIR.

L'article ne dit pas si les RIR sont impliqués, ou pas, mais en tout cas, s'ils sont au courant d'un vol : que celui qui a reçu officiellement l'assignation perd son Internet,  et que ca vienne aux oreille du RIR, un petit coup de phone aux transitaires majeurs, aux responsables de point d'interco et ca va rentrer fissa dans les rangs pour ceux qui auraient l'audace d'annoncer un bloc volé. Techniquement c'est pareil que les "hijacks bgp". Du coup je me demande si la pub ne parle pas de ça en vrai, façon Axa qui te vend un assurance sur la perte de réputation sur Internet.

[1] Pour le RIPE dans les litiges la base whois est une pierre angulaire. https://www.ripe.net/manage-ips-and-asns/resource-management/address-hijacking-in-the-ripe-ncc-service-region "The best way to protect against hijacking is to make sure that your RIPE Database objects and contact information are up to date. " D'ailleurs l'article est bien il parle des vieux blocs et de qui est le righfull holder quand les blocs "legacy" ont pas été entretenu dans les bases. (Lire : inutile de nous pipoter)

Fyr

  • Client K-Net
  • *
  • Messages: 37
  • Talissieu 01
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #8 le: 10 octobre 2019 à 03:14:00 »
C'est de l'administratif. Tu envoies des faux documents au RIPE-NCC par ex, où tu indiques le rachat de telle boite avec ces ressources, et tu joins tous les documents demandés.

D'autant plus que monter un ou plusieurs LIR c'est très rentable quand tu peux choper 30 millions. Après c'est un peu compliqué de rentrer les blocs sous ton LIR. Je sais pas si y a des process internets qui alarment quand plusieurs blocs rentrent en peu de temps dans un LIR, sans passer via le RIR. C'est pas completement trivial, faut des adresses physiques (pobox admises par le RIR ?), des docs de créations  de boites, les faux docs de rachat, y a quand même des trucs un peu officiel quand y a des changements de propriétés même d'entreprise, avec 30 millions tu peux arroser en pot de vin... Y a un bon gros circuit mafieux oui. D'autant plus facile que l'Etat n'est pas *fort* avec un registre du commerce, un cadastre, des notaires ou avocats assermentés dans les procédures de changement de propriété, une administration qui scrute tout ça...

Au moins ces fraudes permettront des nettoyer des vieux records. L'Afrique du Sud a eu un développement Internet parallèle à l'Europe, au moins pour la partie business. Et y avait des groooos liens à 128 ou 256 Kb/s (vivi pas de Mb) entre PIPEX à Londres et Johannesbourg.

Une vieille liste https://www.internet.org.za/za-ipblocks.txt Si on prend un des blocs "legacy" de UUNET-PIPEX  196.22.64.0 - 196.22.79.255, par exemple le dernier bloc  est alloué à qqn d'autre maintenant :  whois 196.22.79.255 (Tient y a pas de date dans leur whois c'est pratique pourtant d'avoir création et modif....)

alarig

  • AS204092 Association Grifon
  • Expert
  • *
  • Messages: 66
    • SwordArMor
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #9 le: 10 octobre 2019 à 13:41:28 »
Une vieille liste https://www.internet.org.za/za-ipblocks.txt Si on prend un des blocs "legacy" de UUNET-PIPEX  196.22.64.0 - 196.22.79.255, par exemple le dernier bloc  est alloué à qqn d'autre maintenant :  whois 196.22.79.255 (Tient y a pas de date dans leur whois c'est pratique pourtant d'avoir création et modif....)

~ % whois -h whois.afrinic.net 196.22.79.255 -B   
% This is the AfriNIC Whois server.

% Information related to '196.22.79.0 - 196.22.79.255'

% No abuse contact registered for 196.22.79.0 - 196.22.79.255

inetnum:        196.22.79.0 - 196.22.79.255
netname:        MTNBUSINESS-196-22-79-0-24
descr:          comment = "Point-to-Point subnets"
descr:          owner = "UUN999"
country:        ZA
admin-c:        MBIP-AFRINIC
tech-c:         MBIP-AFRINIC
status:         ASSIGNED PA
remarks:        please send abuse reports to abuse@mtnbusiness.co.za
mnt-by:         MTNBUSINESS-MNT
changed:        ip-maint@mtnbusiness.co.za 20090915
source:         AFRINIC
parent:         196.22.64.0 - 196.22.127.255

role:           MTN Business IP Maintainer
address:        MTN Business
address:        Heron Place
address:        c/o Century Boulevard and Heron Crescent
address:        Stand no 6465
address:        Century City
address:        Cape Town
address:        South Africa
e-mail:         ip-maint@mtnbusiness.co.za
admin-c:        AT32-AFRINIC
tech-c:         AT32-AFRINIC
nic-hdl:        MBIP-AFRINIC
mnt-by:         MTNBUSINESS-MNT
changed:        brad.hendrickse@mtnbusiness.co.za 20100730
changed:        hostmaster@afrinic.net 20171110
source:         AFRINIC

Donc en 2009, a priori.

Fyr

  • Client K-Net
  • *
  • Messages: 37
  • Talissieu 01
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #10 le: 10 octobre 2019 à 22:05:33 »

Donc en 2009, a priori.

Merci. Tient t'utilises quoi ? Mon whois d'OSX ou de BSD montre pas tout. Mon whois3 du RIPE non plus.

L'option -B pas reconnue. Et pas de ligne changed.

Mince j'ai du faire trop de requete je suis bloqué ˆˆ

alarig

  • AS204092 Association Grifon
  • Expert
  • *
  • Messages: 66
    • SwordArMor
Vol d'IPv4 pour 30 millions de dollars en afrique du Sud
« Réponse #11 le: 11 octobre 2019 à 11:50:14 »
[I] net-misc/whois
     Available versions:  5.4.3^t ~5.5.0^t ~5.5.1^t ~5.5.2^t **9999*l^t {iconv idn nls}
     Installed versions:  5.4.3^t(08:56:02 23/07/19)(iconv nls -idn)
     Homepage:            https://github.com/rfc1036/whois
     Description:         improved Whois Client

 

Mobile View