[GTER] Bloco de ip do AS4230

Rafael Cresci rafael at miaminoc.com
Wed Jun 1 14:48:35 -03 2011


Sim. O Modus Operandi deles é mais ou menos o seguinte (pode até ser assunto pra GTS, mas ao mesmo tempo, é informação pública já, e não é sensível): 

O sujeito fica vasculhando no whois informações sobre blocos de IP dormentes (a corporação X que foi comprada pela corporação Y e os recursos foram transferidos mas não estão em uso/pingáveis/sendo anunciados (acontece aos borbotões na região da ARIN), mas que continuam sendo pagos à ARIN pela empresa que o adquiriu (isso quando não é alocação legacy). 

Uma vez achado, ele tenta adivinhar a senha, "roubar" ou recriar (caso tenha sido cancelado) o e-mail dos POCs relevantes daquele recurso (em geral o técnico ou o administrativo). Isso ele faz por engenharia social, brute-force, ou simplesmente re-registra o domínio (caso já tenha expirado, por exemplo, e a empresa que comprou não manteve os domínios). Tendo posse do POC, ele altera o apontamento dos RDNS servers para os blocos, e depois cria uma conta no RADB para aquele ASN "sequestrado" e re-anuncia os blocos, em geral através de LOAs falsificadas dadas às operadoras (já que nos EUA não é necessário reconhecer firma para nada, não é o convencional como no Brasil, e aliás LOAs nem precisam ser assinadas)(LOA é uma procuração dada à operadora/uplinks autorizando a anunciar seus blocos de IP e ASN em nome da sua empresa). 

Tem operadora que não exige a LOA para os prefixos se eles estiverem registrados no RADB, já que os filtros deles são feitos automaticamente através de scripts. Ou obviamente tem datacenter sem escrúpulos que aceita anunciar o ASN do meliante sob o ASN deles $$$sem fazer maiores verificações$$$.

Exemplos recentes:
http://mailman.nanog.org/pipermail/nanog/2010-October/025997.html
http://seclists.org/nanog/2011/Apr/673

[]s
Rafael

On 01/06/2011, at 12:16, Juliano Primavesi | KingHost wrote:

> 
> Passar a culpa (do spam) para outro?
> 
> Em 01/06/2011 12:52, Rafael Cresci escreveu:
>> Cuidado que esse erro pode ser proposital, não só pelo que já foi dito das alocações aleatórias de IP (/29? Trabalho porco de quem está fajutando a justificação, pelo amor de Deus, façam blocos maiores então porque senão vai dar muito trabalho!), mas também pode ser - não no caso de blocos pequenos, como o seu, é mais para casos de /24 para cima e em geral é /20s ou /19s - spammers tentando roubar sua identidade (ASN/resource hijacking) para obter grandes blocos de IP "dormentes"e usá-los em suas operações malignas.
>> 
>> []s
>> Rafael
>> 
>> On 01/06/2011, at 08:46, Fábio Lehmkuhl de Souza wrote:
>> 
>>> Ja aconteceu comigo a delegação de blocos da Telefonica sem eu ter
>>> contratado qualquer serviço desta operadora... inclusive estou no Paraná,
>>> acredito que esta operadora nem preste serviços por aqui...
>>> Eles devem ter errado o ID na hora da delegação...
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> 





More information about the gter mailing list