Il mistero dei 175 milioni di indirizzi IP del DoD

Antonio Piovesan : 8 Ottobre 2021 06:35

Autore: Antonio PiovesanData Pubblicazione: 4/10/2021

Nell’era dell’IPV6 e, della carenza relativa agli IPV4, è successo qualcosa di interessante da raccontare qualche settimana fa. Il Washington Post del 10 Settembre 2021 riportava:

Supporta Red Hot Cyber attraverso

• L'acquisto del fumetto sul Cybersecurity Awareness
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram

“Pentagon ends mysterious program, Defense Department retakes control of 175 million IP addresses”

Un programma del Pentagono che ha delegato la gestione di un’enorme fetta di Internet ad una società “Tal de’ tali” della Florida nel gennaio 2021 – pochi minuti prima che il presidente Trump lasciasse l’incarico (il 20 gennaio 2021) – si è concluso misteriosamente come misteriosamente era iniziato, con il Dipartimento della Difesa degli USA (DoD) che ha ripreso il controllo di 175 milioni di indirizzi IPv4.

Al suo apice, la società “del mistero” Global Resource Systems LLC, di Plantation – Fort Lauderadale Florida, controllava quasi il 6% della sezione Internet IPv4.

Questi indirizzi IP erano sotto il controllo del Pentagono da decenni ma venivano lasciati inutilizzati, nonostante valessero potenzialmente miliardi di dollari

sul mercato aperto, e non erano mai stati venduti o affittati a Global Resource Systems LLC.

Sono stati semplicemente messi sotto il suo controllo per un “programma pilota” creato da un’unità d’élite del Pentagono nota come Defense Digital Service DDS,

che riferisce direttamente al Segretario della Difesa: DDS risolve problemi di emergenza e conduce esperimenti per i militari.

Il Pentagono ha gettato poca nuova luce su ciò che esattamente stava facendo con il cosiddetto programma pilota o sul motivo per cui ora è terminato,

ma forse si è concluso solo perché la “missione” è stata ora estesa anche se, in modo più formale, sotto lo stretto controllo del Pentagono.

Così titolava e scriveva il Washington Post in un articolo del 10 settembre 2021. Ma cosa era successo?

20 gennaio 2021

Qualcosa di strano è successo pochi minuti prima che Trump se ne andasse il 20 gennaio 2021: il governo degli Stati Uniti ha affermato che si trattasse di una operazione di ricerca sulla sicurezza.

Il Dipartimento della Difesa degli Stati Uniti ha lasciato di molto sorpresi vari esperti di Internet trasferendo apparentemente il controllo su milioni di indirizzi IP “dormienti” a un’oscura società della Florida poche ore prima che il presidente Donald Trump abbandonasse la Casa Bianca, ma il Pentagono ha offerto una spiegazione parziale del perché sia ​​successo.

Il Dipartimento della Difesa ha affermato di possedere ancora gli indirizzi, ma che ha utilizzato una società di terze parti in un progetto “pilota” per condurre ricerche sulla sicurezza.

“Pochi minuti prima che Trump lasciasse l’incarico, milioni di indirizzi IP dormienti del Pentagono hanno preso vita”: letteralmente, tre minuti prima che Joe Biden diventasse presidente, una società chiamata Global Resource Systems LLC “annunciava discretamente alle reti di computer mondiali uno sviluppo sorprendente: ora stava gestendo un’enorme area inutilizzata di Internet che, per diversi decenni, era stata di proprietà del Esercito degli Stati Uniti”, si legge nel Washington Post.

Il numero di indirizzi IP di proprietà del Pentagono annunciati dalla società è salito a 56 milioni a fine Gennaio 2021 e a 175 milioni ad Aprile 2021,

facendo diventare così la “Global Resource Systems LLC” il più grande gestore di indirizzi IP al mondo nella tabella di routing globale IPv4.

“Le teorie erano molte”, dice l’articolo del Washington Post. “Qualcuno al Dipartimento della Difesa ha venduto parte della vasta collezione di indirizzi IP ricercati dall’esercito quando Trump ha lasciato l’incarico? Il Pentagono ha finalmente agito in base alle richieste di scaricare i miliardi di dollari di spazio di indirizzi IP su cui i militari si sono seduti, in gran parte inutilizzato, per decenni?”

Nulla di tutto questo …

Brett Goldstein, il direttore del DDS, ha dichiarato in una dichiarazione che la sua unità ha autorizzato uno “sforzo pilota” per pubblicizzare lo spazio IP di proprietà del Pentagono.

“Questo progetto pilota valuterà e preverrà l’uso non autorizzato dello spazio degli indirizzi IP del DoD”, ha affermato Goldstein. “Inoltre, questo pilota può identificare potenziali vulnerabilità”.

Goldstein ha descritto il progetto come uno dei “molti sforzi del Dipartimento della Difesa incentrati sul miglioramento continuo della nostra posizione informatica e della difesa in risposta a minacce persistenti avanzate (Advanced Persistent Threats). Stiamo collaborando con tutto il Dipartimento della Difesa per garantire che le potenziali vulnerabilità siano mitigate”. Una sorta di “Squadra SWAT di nerd” insomma…

Alcuni esperti di sicurezza informatica hanno ipotizzato che il Pentagono può aver utilizzato lo spazio pubblicizzato di 175 milioni di IPv4 per creare “honeypots”, macchine configurate con vulnerabilità per attirare threat actors, oppure avrebbe potuto cercare di configurare un’infrastruttura dedicata, software e servers, per setacciare il traffico alla ricerca di attività sospette.

La nuova società rimane comunque misteriosa…

Il Washington Post e l’Associated Press (AP) non sono stati in grado di trovare molti dettagli sulla Global Resource Systems LLC.

“La società non ha risposto a telefonate o e-mail da The Associated Press. Non ha presenza sul web, sebbene abbia il dominio grscorp.com”

si legge in un articolo di AP.

“Il suo nome non compare nell’elenco della sua sede di Plantation, in Florida, e un addetto alla reception è rimasto in silenzio quando un giornalista di AP ha chiesto di poter incontrare un rappresentante dell’azienda presso all’inizio di Aprile (2021) … I registri mostrano che l’azienda non ha ottenuto una licenza di commercio a Plantation, Fort Lauderdale.”

L’AP non è stata in grado, inoltre, di rintracciare persone associate alla società.

L’AP ha affermato che il Pentagono “non ha risposto a molte domande di fondo, a cominciare dal motivo per cui ha scelto di affidare la gestione dello spazio degli indirizzi a una società che sembra non sia esistita fino a settembre 2020”.

Il nome di Global Resource Systems “è identico a quello di un’azienda che, secondo Ron Guilmette, ricercatore indipendente di frodi su Internet, inviava e-mail di spam utilizzando lo stesso identificatore di routing Internet”, ha continuato l’AP. “Ha chiuso più di dieci anni fa. Tutto ciò che differisce è il tipo di società. Questa è una società a responsabilità limitata (LLC – limited liability corporation). L’altra invece era una società (per azioni).

Entrambe le società usavano lo stesso indirizzo fisico a Plantation, un sobborgo di Fort Lauderdale.”

Doug Madory di Kentik (https://www.kentik.com/) esperto in DDoS Detection e Network Security lo ha definito “un grande mistero”..

Sull’obiettivo del Dipartimento della Difesa di raccogliere “traffico Internet in background per la threat intelligence”, Madory ha osservato che “c’è molto rumore di fondo che può essere raccolto quando si annunciano intervalli di spazio di indirizzi IPv4 così ampi”.

Potenziali problemi di routing

L’emergere di indirizzi IP precedentemente inattivi potrebbe portare a problemi di routing.

Nel 2018, AT&T ha involontariamente bloccato i suoi clienti Internet domestici dal nuovo servizio DNS di Cloudflare perché il servizio Cloudflare e il gateway AT&T utilizzavano lo stesso indirizzo IP 1.1.1.1.

Afferma Madory:

“Per decenni, il routing di Internet ha funzionato con l’assunto diffuso che questi prefissi non venissero indirizzati su Internet (forse perché erano esempi canonici dai libri di rete).

Secondo il loro post sul blog subito dopo il lancio [del risolutore DNS 1.1.1.1], Cloudflare ha ricevuto “~10 Gbps di traffico in background non richiesto” sulle proprie interfacce.”

E questo era solo per 512 indirizzi IPv4!

Naturalmente, quegli indirizzi erano molto speciali, ma è ovvio che 175 milioni di indirizzi IPv4 attireranno ordini di grandezza in più di traffico [da] dispositivi e reti mal configurati che presumevano erroneamente che tutto questo spazio di indirizzi del DoD non avrebbe mai visto la luce del giorno.”

Conclusioni

La conclusione di Madory è stata che la nuova dichiarazione del Dipartimento della Difesa “risponde ad alcune domande”, ma “molto rimane mistero”.

Non è chiaro perché il Dipartimento della Difesa non abbia semplicemente annunciato lo spazio degli indirizzi stesso invece di utilizzare un’entità esterna oscura, e non è chiaro perché il progetto abbia preso vita “nei momenti finali della precedente amministrazione”, ha scritto.

Ma potrebbe venirne fuori qualcosa di buono, ha aggiunto Madory: “Probabilmente non avremo tutte le risposte in tempi brevi, ma possiamo certamente sperare che il Dipartimento della Difesa utilizzi le informazioni sulle minacce raccolte dalle grandi quantità di traffico in background a beneficio di tutti.

Forse potrebbero venire ad una conferenza di Cybersecurity per presentare i ‘tesori del traffico errato’ che è stato inviato loro.”

Fonti

https://www.benton.org/headlines/pentagon-ends-mysterious-program-defense-department%C2%A0retakes-control-175-million-ip

https://arstechnica.com/information-technology/2021/04/pentagon-explains-odd-transfer-of-175-million-ip-addresses-to-obscure-company/

https://www.tampabay.com/news/military/2021/04/24/pentagon-mystery-with-a-florida-connection-is-solved-sort-of/

https://www.usds.gov/projects/hack-the-pentagon

https://www.defense.gov/Explore/News/Article/Article/2390104/swat-team-of-nerds-tackles-tough-tech-challenges/

https://www.washingtonpost.com/technology/2021/09/10/pentagon-internet-protocol-addresses-trump/