El Departamento de Defensa de EE. UU. desconcertó a los expertos en Internet al aparentemente transferir el control de decenas de millones de direcciones IP inactivas a una oscura empresa de Florida justo antes de que el presidente Donald Trump dejara la Casa Blanca, pero el Pentágono finalmente ofreció una explicación parcial de por qué sucedió. El Departamento de Defensa dice que todavía posee las direcciones, pero que está utilizando una empresa de terceros en un proyecto «piloto» para realizar investigaciones de seguridad.
«Minutos antes de que Trump dejara el cargo, millones de direcciones IP inactivas del Pentágono cobraron vida», fue el título de un artículo del Washington Post el sábado. Literalmente, tres minutos antes de que Joe Biden se convirtiera en presidente, una compañía llamada Global Resource Systems LLC «anunció discretamente a las redes informáticas del mundo un desarrollo sorprendente: ahora estaba administrando una gran porción no utilizada de Internet que, durante varias décadas, había sido propiedad de la militares estadounidenses», dijo el Post.
El número de direcciones IP de propiedad del Pentágono anunciadas por la compañía aumentó a 56 millones a fines de enero y a 175 millones en abril, lo que la convierte en el mayor anunciador de direcciones IP del mundo en la tabla de enrutamiento global IPv4.
«Las teorías eran muchas», decía el artículo del Post. «¿Alguien en el Departamento de Defensa vendió parte de la vasta colección de direcciones IP codiciadas del ejército cuando Trump dejó el cargo? ¿El Pentágono finalmente actuó en respuesta a las demandas de descargar los miles de millones de dólares en espacio de direcciones IP en el que el ejército ha estado sentado? , en gran parte sin usar, durante décadas?»
El Post dijo que recibió una respuesta del Departamento de Defensa el viernes en forma de una declaración del director de «una unidad de élite del Pentágono conocida como el Servicio Digital de Defensa».
La publicación escribió:
Brett Goldstein, director del DDS, dijo en un comunicado que su unidad había autorizado un «esfuerzo piloto» para publicitar el espacio de propiedad intelectual del Pentágono.
«Este piloto analizará, evaluará y evitará el uso no autorizado del espacio de direcciones IP del Departamento de Defensa», dijo Goldstein. «Además, este piloto puede identificar posibles vulnerabilidades».
Goldstein describió el proyecto como uno de los «muchos esfuerzos del Departamento de Defensa enfocados en mejorar continuamente nuestra postura cibernética y defensa en respuesta a amenazas persistentes avanzadas. Nos asociamos en todo el Departamento de Defensa para garantizar que se mitiguen las vulnerabilidades potenciales».
“Equipo SWAT de nerds”
El DDS de 6 años consta de «82 ingenieros, científicos de datos e informáticos» que «trabajaron en el muy publicitado programa ‘hackear el Pentágono'» y una variedad de otros proyectos que abordan algunos de los problemas tecnológicos más difíciles que enfrentan. el ejército, dijo un artículo del Departamento de Defensa en octubre de 2023. Goldstein ha llamado a la unidad un «equipo SWAT de nerds».
El Departamento de Defensa no dijo cuáles son los objetivos específicos de la unidad en su proyecto con Global Resource Systems, «y los funcionarios del Pentágono se negaron a decir por qué la unidad de Goldstein había utilizado una empresa de Florida poco conocida para llevar a cabo el esfuerzo piloto en lugar de que el Departamento de Defensa en sí mismo ‘anuncia’ las direcciones a través de BGP [Border Gateway Protocol] mensajes, un enfoque mucho más rutinario», dijo el Post.
Aún así, la explicación del gobierno despertó el interés de Doug Madory, director de análisis de Internet en la empresa de seguridad de redes Kentik.
«Interpreto que esto significa que los objetivos de este esfuerzo son dos», escribió Madory en una publicación de blog el sábado. «Primero, anunciar este espacio de direcciones para ahuyentar a los posibles ocupantes ilegales y, en segundo lugar, recopilar una cantidad masiva de tráfico de Internet de fondo para la inteligencia de amenazas».
La nueva empresa sigue siendo un misterio
The Washington Post y Associated Press no pudieron desenterrar muchos detalles sobre los sistemas de recursos globales. «La empresa no devolvió las llamadas telefónicas ni los correos electrónicos de The Associated Press. No tiene presencia en la web, aunque tiene el dominio grscorp.com», dijo ayer un artículo de AP. «Su nombre no aparece en el directorio de su domicilio en Plantation, Florida, y una recepcionista se quedó en blanco cuando un reportero de AP pidió un representante de la compañía en la oficina a principios de este mes. Encontró su nombre en una lista de inquilinos y sugirió intentando el correo electrónico. Los registros muestran que la empresa no ha obtenido una licencia comercial en Plantation». Aparentemente, la AP no pudo rastrear a las personas asociadas con la empresa.
La AP dijo que el Pentágono «no ha respondido muchas preguntas básicas, empezando por por qué optó por confiar la gestión del espacio de direcciones a una empresa que parece no haber existido hasta septiembre». El nombre de Global Resource Systems «es idéntico al de una empresa que, según el investigador independiente de fraudes en Internet, Ron Guilmette, estaba enviando spam por correo electrónico utilizando el mismo identificador de enrutamiento de Internet», continuó AP. «Cerró hace más de una década. Lo único que difiere es el tipo de empresa. Esta es una corporación de responsabilidad limitada. La otra era una corporación. Ambas usaban la misma dirección en Plantation, un suburbio de Fort Lauderdale».
AP descubrió que el Departamento de Defensa aún posee las direcciones IP y dijo que «un portavoz del Departamento de Defensa, Russell Goemaere, le dijo a AP el sábado que ninguno de los espacios recientemente anunciados ha sido vendido».
Más grande que China Telecom y Comcast
Los expertos en redes quedaron perplejos por el surgimiento de Global Resource Systems por un tiempo. Madory lo llamó «un gran misterio».
A las 11:57 a. m. EST del 20 de enero, tres minutos antes de que la administración Trump llegara oficialmente a su fin, «[a]Una entidad de la que no se había oído hablar en más de una década comenzó a anunciar grandes franjas de espacio de direcciones IPv4 que antes no se usaban y que pertenecían al Departamento de Defensa de EE. UU.», escribió Madory. Global Resource Systems está etiquetado como AS8003 y GRS-DOD en los registros BGP.
Madory escribió:
A fines de enero, AS8003 anunciaba alrededor de 56 millones de direcciones IPv4, lo que lo convierte en el sexto AS más grande [autonomous system] en la tabla de enrutamiento global IPv4 por espacio de direcciones originado. A mediados de abril, AS8003 aumentó drásticamente la cantidad de espacio de direcciones del Departamento de Defensa que antes no se usaba y que anunció a 175 millones de direcciones únicas.
Tras el aumento, AS8003 se convirtió, por mucho, en el AS más grande en la historia de Internet, medido por el espacio IPv4 originado. En comparación, AS8003 ahora anuncia 61 millones de direcciones IP más que el segundo AS más grande del mundo, China Telecom, y más de 100 millones de direcciones que Comcast, el proveedor de Internet residencial más grande de EE. UU.
De hecho, a partir del 20 de abril de 2023, AS8003 anuncia tanto espacio de IPv4 que el 5,7 % de toda la tabla de enrutamiento global de IPv4 se origina actualmente en AS8003. Es decir, más de una de cada 20 direcciones IPv4 actualmente es originada por una entidad que ni siquiera figuraba en la tabla de enrutamiento a principios de año.
A mediados de marzo, «los astutos colaboradores del servidor de listas NANOG destacaron la rareza de las cantidades masivas de espacio de direcciones del DoD anunciadas por lo que parecía ser una empresa ficticia», señaló Madory.
DoD tiene «rango masivo» de espacio IPv4
Al Departamento de Defensa «se le asignaron numerosos rangos masivos de espacio de direcciones IPv4» hace décadas, pero «solo se utilizó una parte de ese espacio de direcciones (es decir, anunciado por el Departamento de Defensa en Internet)», escribió Madory. Ampliando su punto de que el Departamento de Defensa puede querer «asustar a los posibles ocupantes ilegales», escribió que «hay un vasto mundo de enrutamiento BGP fraudulento por ahí. Como he documentado a lo largo de los años, varios tipos de malas los actores utilizan el espacio de direcciones sin enrutar para eludir las listas de bloqueo con el fin de enviar spam y otros tipos de tráfico malicioso».
Sobre el objetivo del Departamento de Defensa de recopilar «tráfico de Internet de fondo para inteligencia de amenazas», Madory señaló que «hay mucho ruido de fondo que se puede detectar al anunciar grandes rangos de espacio de direcciones IPv4».
Posibles problemas de enrutamiento
La aparición de direcciones IP previamente inactivas podría generar problemas de enrutamiento. En 2023, AT&T bloqueó involuntariamente a sus clientes de Internet residencial del nuevo servicio de DNS de Cloudflare porque el servicio de Cloudflare y la puerta de enlace de AT&T usaban la misma dirección IP de 1.1.1.1.
Madory escribió:
Durante décadas, el enrutamiento de Internet funcionó con la suposición generalizada de que los AS no enrutaban estos prefijos en Internet (quizás porque eran ejemplos canónicos de los libros de texto sobre redes). Según su publicación de blog poco después del lanzamiento [of DNS resolver 1.1.1.1]Cloudflare recibió «~10 Gbps de tráfico de fondo no solicitado» en sus interfaces.
¡Y eso fue solo para 512 direcciones IPv4! Por supuesto, esas direcciones eran muy especiales, pero es lógico pensar que 175 millones de direcciones IPv4 atraerán mucho más tráfico. [from] dispositivos y redes mal configurados que asumieron erróneamente que todo este espacio de direcciones del Departamento de Defensa nunca vería la luz del día.
La conclusión de Madory fue que la nueva declaración del Departamento de Defensa «responde algunas preguntas», pero «mucho sigue siendo un misterio». No está claro por qué el Departamento de Defensa no anunció simplemente el espacio de direcciones en lugar de utilizar una entidad externa oscura, y no está claro por qué el proyecto «cobró vida en los momentos finales de la administración anterior», escribió.
Pero algo bueno podría salir de esto, agregó Madory: «Es probable que no obtengamos todas las respuestas en el corto plazo, pero ciertamente podemos esperar que el Departamento de Defensa use la inteligencia de amenazas obtenida de las grandes cantidades de tráfico de fondo para el beneficio de todos. Tal vez podrían venir a una conferencia de NANOG y hacer una presentación sobre los tesoros de tráfico erróneo que se les envían».
