Für IP-Adressraumzuweisungen sind die fünf Regional Internet Registries (RIR) zuständig, von denen jede eine bestimmte Gruppe von Ländern betreut. Sie sind Ansprechpartner für Großunternehmen, Internet- und Telekommunikationsanbieter sowie alle Organisationen, die Bedarf für große IP-Adressbereiche haben. Als Vorraussetzung für die Adressvergabe ist in der Regel ein Screening-Verfahren zu durchlaufen, bei dem Geschäftszweck der Organisation oder Firma, die dortigen Ansprechpartner und vor allem eine Begründung für den Bedarf an Adressraum klar belegt werden müssen.
Und so sollte es eigentlich überall ablaufen. Antragsstellern ohne hinreichende Bedarfsbegründung wird höflich die Tür gewiesen. In einigen Fällen haben Kriminelle allerdings einen Weg gefunden, dieses Verfahren zu umgehen, in dem sie IP-Adressraum stattdessen bei Local Internet Registries (LIR) beantragen oder den Umstand ausnutzen, dass einigen RIRs die Ressourcen fehlen, jeden eingegangenen Antrag hinreichend genau zu durchleuchten.
So werden dann von krimineller Seite Server gekauft, in großen Rechenzentren eingerichtet und dann ein Antrag für IP-Adressblöcke gestellt. Manchmal reicht laut Sicherheitsexperten dafür bereits eine simple schriftliche Antragsbegründung aus. Dem folgen keine weiteren Nachforschungen, und ist der IP-Adressraum erst einmal in krimineller Hand, ist für diese schon ein Großteil aller möglichen Hindernisse aus dem Weg geräumt.
„Die Sache ist total aus dem Ruder gelaufen. Sie sichern sich riesige Mengen an IP-Adressen bei irgendeinem Registrar in Europa, gehen dann einfach zu einem Hosting-Anbieter und richten dort ihr eigenes Rechenzentrum ein“sagt Alex Lanstein, Sicherheitsforscher bei der Firma FireEye, die Lösungen gegen Malware und Botnets anbietet. Er fügt hinzu: „Man hat dann seinen eigenen IP-Adressraum und ist sein eigener Internetdienstanbieter, das reduziert die ganze Komplexität um eine Stufe aus deren Sicht.
„Wenn dann ein Problem auftritt, an wen soll man sich wenden? Das ist eine ganz andere Sportart, wenn die ihre eigenen Rechenzentren kaufen. Und die LIRs und RIRs werden dich nicht zurückhalten, wenn du sagst, dass du einen /24er oder /16er-Adressblock brauchst. Die sind schließlich keine Internetpolizei.“
Der wohl berühmteste Fall dafür ist der von Russian Business Network. Dabei konnte eine Gruppe von Kriminellen eine große Menge von IP-Adressen erbeuten, indem sie einen LIR verwendeten, um die Zulassung von RIPE — dem europäischen RIR — zu erlangen.
Die Sache lief dann soweit, dass die LIR an RIPE Dokumente mit einer scheinbaren Bedarfsbegründung für die Adresszuweisung übergab.
„An dieser Stelle im Verfahren ist es für RIPE NCC unmöglich festzustellen, um eine bestimmte Firma in illegale Machenschaften verwickelt ist. Das fragliche LIR erwies sich dann später als Strohmann für Russian Business Network“so verlautbarte RIPE in einer offiziellen Erklärung über diesen Fall. Die Adressraumzuweisung erfolgte zwar schon 2006, aber erst im Mai 2008 konnte es RIPE bewerkstelligen, die LIR zu schließen und so den Adressraum zurückzubekommen.
In den meisten Fällen müssen Firmen oder Organisationen, die um IP-Adressraum anfragen, in einem ziemlich strengen Verfahren genau ihren Bedarf unter Beweis stellen. Die RIR verlangt eine genaue Liste aller Rechner im Besitz des Anfragers und kann sogar so weit gehen, Kaufbelege für jeden Einzelrechner zu verlangen, so John Curran, Vorsitzender und CEO der für die USA, Kanada und Teile der Karibik verantwortlichen American Registry for Internet Numbers (ARIN).
“Wenn Sie bei uns einen Antrag einreichen, werden Sie, sobald dieser akzeptiert ist, von uns eine telefonische Anfrage nach einer Liste ihrer Rechner, der Konfigurationen ihrer Router und eventuell auch einem Plan ihres Netzwerks erhalten, so dass wir daraus den Bedarf an IP-Adressen ermitteln können.“fügt Curran hinzu.
„Wer Rechner und ein Netzwerk hat, müsste auch deren AS-Nummern kennen. Wenn wir danach fragen, suchen plötzlich viele Antragsteller das Weite.“
Dass dieser Prozess in verbrecherischer Absicht unterlaufen werden kann, ist laut Sicherheitsexperten kein kleines Problem in einigen Weltregionen. Es betrifft vor allem Europa und die Karibik, wo Dutzende verschiedener Rechtssysteme und eine Vielzahl von Sprachbarrieren die Überprüfung von Online-Aktivitäten generell erschweren.
„In vielen Fällen schaffen sie es lediglich bis zum Begründungsschreiben“so Lanstein.
„Bei vielen Anträgen kann ich anhand der Domains gleich sehen, dass sie totaler Quatsch sind. In den US-Rechenzentren ist die Lage vergleichsweise gut, aber in Europa gibt es so viele Sprachen und Länder, dass unmöglich alle überprüft werden können. Und die bösen Jungs wissen das natürlich.“
Dies auszunutzen, ist eine sinnvolle Taktik für Kriminelle geworden, die Botnets im großen Stil für Spamming und Kreditkartenbetrug einsetzen. Angreifer mit eigenen IP-Adressbereichen haben es nämlich sehr viel leichter, ihre Tätigkeiten zu verschleiern als solche, die auf gewöhnliche ISPs oder Hosting-Anbieter angewiesen sind. Und wer aus einem solchen Adressraum angegriffen wird, findet natürlich keinerlei Ansprechpartner für Beschwerden oder Regressansprüche.
„Die Adressraumzuweisung inklusive der zugehörigen Verifizierungsverfahren gründen auf weltweit und damit für alle RIRs gültigen Richtlinien. Innerhalb dieses System existiert jedoch die Möglichkeit, dass RIRs eigene lokal gültige Regelungen ausgeben können.“so Curran.
„Leider weichen diese von Region zu Region stark voneinander ab. Es ist beispielsweise unmöglich, in einem Ort mit 2000 Einwohnern und lediglich handschriftlichen Akten einen Antragssteller zu verifizieren. Überaus schwierig ist dies in Afrika sowie Teilen Europas und der Karibik. Leider sind Teile unseres Standardverfahrens in anderen Teilen der Welt kaum umsetzbar. Es gibt oft voneinander abweichende Vorgehensweisen, was das Datensammeln bei Firmengründungen angeht, und eine recht großzügige Anerkennungspraxis von eigentlich dem informellen Sektor zugehörigen Tätigkeiten als Gewerbe. Die Akten- und Datenhaltung ist oft dezentral, daher kann es eine Weile dauern, bis klar wird, wer hinter einer Firma steckt.“
Und ist ein IP-Adressraum erst einmal zugewiesen, kann es sehr mühsam und langwierig sein, diesen wiederzuerlangen, denn oftmals verwenden Kriminelle einen IP-Adressblock so lange, wie es ihnen profitabel erscheint. Bemerken dann Sicherheitsverantwortliche und ISPs dort Verdächtiges, werden manchmal innerhalb ihrer eigenen Netzwerke Sperren für den Datenverkehr von und zu diesem Adressbereich eingerichtet. Dies kann eine sinnvolle Vorgehensweise sein, hat aber den Nachteil, dass es selbst nach der Freigabe des zuvor besetzten Adressraumes lange Zeit dauern kann, bis alle diese Sperren aufgehoben sind, was problematisch für den Datenverkehr rechtmäßiger Unternehmen sein kann, die sich inzwischen in diesem Adressbereich angesiedelt haben.
„Das gehört mit zum Problemkreis der IPv4-Verknappung“sagt Lanstein, und bezieht sich dabei auf die für in weniger als zwei Jahren vorausgesagte akute Erschöpfung noch freier im IPv4- Adressen.
„Die zahlen ihre Rechnungen nicht mehr, der Adressraum wird unverfügbar und das führt zu einer Menge Chaos. Natürlich ist das Betrug, aber wer kann schon etwas dagegen tun?“
via Threatpost
Kommentare
Kommentieren