Региональные интернет-регистратуры и зоны их обслуживания. Описанное мошенничество произошло в зоне ARIN
В ранние дни Интернета адреса IPv4 раздавали всем желающим большими подсетями. Но сегодня компании выстраиваются в очередь к региональному регистратору, чтобы раздобыть хоть небольшое адресное пространство. На чёрном рынке один IP стоит от $13 до $25, поэтому регистраторы борются с массой теневых брокеров, бизнес которых простой: получить новые блоки IP-адресов под ложным предлогом, а затем перепродать спамерам. В мае 2019 года региональному регистратору ARIN удалось отобрать IP-адреса у теневого брокера, которому предъявлено уголовное обвинение.
В реестр вернули около 735 000 IP-адресов. Это первый случай, когда у мошенников отбирают IP-адреса после судебного разбирательства.
14 мая прокуратура Южной Каролины предъявила Амиру Голестану обвинение в мошенничестве с использованием электронных средств коммуникации (wire fraud), которые он провернул через свою фирму Micfo LLC и сеть подставных компаний-пустышек. На них оформлялись подсети IPv4, а затем перепродавались спамерам.
В заявлении о возбуждении уголовного дела перечислено 20 случаев мошенничества. В некоторых случаях указана цена, по которой Голестан продавал адреса. Например, одну подсеть из 65 536 адресов он продал по $13 за штуку, получив $851 896. У него был ещё один контракт на продажу 327 680 адресов по $19 за штуку на общую сумму $6,22 млн, но последнюю транзакцию заблокировали.
Интересно, что компания Micfo сама инициировала судебный процесс в конце прошлого года, подав в суд на ARIN (Американский регистратор интернет-номеров). До этого регистратор сообщил Голестану об обнаружении подставных компаний и угрожал отозвать около 735 000 IP-адресов, если Micfo не согласится предоставить больше информации о своих операциях и клиентах.
Поскольку к тому времени Micfo уже продала часть адресов спамерам, то отказалась предоставлять эту информацию. В результате суд отклонил просьбу компании.
Но в силу договора, подписанного Micfo с ARIN, любой дальнейший спор должен был решаться через арбитраж. 13 мая арбитражная комиссия обязала Micfo выплатить $350 тыс. за юридические услуги ARIN и вернуть 735 000 IP-адресов, которые компания ещё не продала.
Вот список некоторых подставных компаний и вымышленных личностей, которых сфабриковал Голестан для распределения подсетей IPv4 (из судебных документов):
Для компаний и вымышленных личностей создавались веб-сайты, регистрировались адреса электронной почты и так далее. От их имени в ARIN подавались запросы на получение подсетей IPv4. В таком заявлении компания должна описать род своей деятельности, перечислить имена сотрудников и прочие данные о фирме. Голестан фабриковал все документы.
По такой схеме он заполучил у ARIN примерно 757 760 адресов, рыночную стоимость которых прокуратура оценила от $9 850 880 до $14 397 440. Схема работала с 2014 года. В таблице ниже перечислены успешные запросы в ARIN на выделение диапазонов IP, а продавать адреса Голестан начал с 2017 года.
Согласно пресс-релизу ARIN, Micfo зарегистрировала 11 подставных компаний по всей территории США и намеренно создавала ложные личности для вымышленных руководителей этих компаний, чтобы мошеннически выманить у ARIN ресурсы IPv4.
«Это была сложная операция, — сказал Стефен Райан (Stephen Ryan), бывший федеральный прокурор, который в данном судебном процессе представлял интересы ARIN. — Все одиннадцать подставных компаний для Micfo всё ещё находятся в интернете, где вы видите всех этих замечательных людей, которые якобы там работают. А мы получали нотариально заверенные аффидавиты на эти вымышленные имена».
Независимые эксперты говорят, что Micfo — не единственный теневой брокер, который обманом выманил подсети у ARIN. На протяжении многих лет Американский регистратор интернет-номеров не очень активно боролся с мошенничеством.
Возможно, схемы с подставными компаниями действуют и в России, хотя таких массовых изъятий подсетей у теневых брокеров ещё не происходило. Чтобы претендовать на получение блока /22 адресов IPv4 у европейского регистратора RIPE NCC, нужно зарегистрироваться в качестве локальной регистратуры интернета (LIR) и оплатить членский взнос. Статус LIR обычно получают интернет-провайдеры, телекоммуникационные компании, крупные предприятия и академические институты. LIR получают блоки адресов от RIPE NCC и присваивают IP-адреса своим клиентам.
В России работают консалтинговые компании, которые помогают клиентам зарегистрировать LIR за небольшую сумму в районе 36 000 руб. (плюс 15 тыс. руб. ежегодная поддержка). Очевидно, что стоимость блока /22 адресов IPv4 гораздо выше даже по минимальной оценке $12 за штуку. Блоки /22 продаются и сдаются в аренду.
Вполне возможно, что кто-то занимается подобным бизнесом. По статистике за 2012−2018 годы, скорость выделения адресов IPv4 в Европе росла в соответствии с квадратичной функцией. RIPE NCC объясняет это тем, что регистрировалось всё больше и больше локальных регистраторов. Рекордное количество новых LIR зарегистрировано в Великобритании, Германии и России.
В ноябре 2015 года RIPE запретил регистрацию дополнительных локальных регистраторов членами RIPE NCC, но это не помогло, так что в мае 2016 года ограничение сняли. К этому моменту организации начали регистрировать новые юридические лица, чтобы получить блоки /22. Как сообщается, некий член RIPE NCC сумел получить 66 блоков /22, хотя выдавали только по одному на каждого локального регистратора.
Год назад RIPE объявила о распределении последнего блока /22 из последнего блока /8, но в пуле RIPE NCC осталось 9 млн «восстановленных» адресов (то есть адресов, изъятых у бывших владельцев). По расчётам Координационного центра, этого хватит ещё примерно на два года, если выдавать локальным регистраторам по /22 каждому.
Очень многие организации зарегистрировали на себя огромные по нынешним временам диапазоны IPv4, которые практически не используют и не собираются отдавать (например, 16,8 млн адресов в блоке 44.0.0.0/8, зарегистрированных якобы для любительского радио, или 218 млн IP-адресов у Министерства обороны США: 11.0.0.0/8, 22.0.0.0/8, 26.0.0.0/8, 28.0.0.0/8, 29.0.0.0/8, 30.0.0.0/8 и 33.0.0.0/8 ).
Другие блоки используются очень интенсивно. Например, визуализация кривыми Гильберта хорошо показывает, как распределено адресное пространство из примерно 4,2 млрд (2³²) адресов.
Распределение адресного пространства IPv4, апрель 2018 года (кликабельна)
Для сравнения, вот как выглядит распределение адресного пространства IPv6.
Распределение адресного пространства IPv6, апрель 2018 года