En ip-adresse for meget eller for lidt? Endnu en afvigelse i FBI-data om russerhack
Endnu en mærkværdighed har vist sig i det datasæt, som de amerikanske myndigheder har frigivet i forbindelse med en rapport om russiske hackerangreb mod USA.
Rapporten har FBI og Homeland Security som afsender (PDF).
Der viser sig at være en lille forskel på antallet af ip-adresser, som de amerikanske myndigheder kobler til hackerangrebene. Der er nemlig en enkelt ip-adresser til forskel alt efter, om datasættet hentes som en kommasepareret .csv-fil eller som xml-fil.
.
Udgangspunktet må formodes at være det samme datasæt. Men mens csv-filen indeholder 876 ipv4-adresser, så indeholder xml-filen 877 ipv4-adresser. Det er ip-adressen 108.61.123.81, som optræder i den seneste udgave af xml-filen, men ikke i csv-filen.
De to filer og rapporten kan hentes via www.us-cert.gov under Homeland Security. De amerikanske myndigheder anbefaler, at netværksadministratorer bruger data fra filerne i forbindelse med sikring af netværket.
I den forbindelse er det dog umiddelbart ikke ligegyldigt, hvilken af filerne en netværksadministrator tager afsæt i. Sammenligner man de to datasæt, så matcher ip-adresserne hinanden til og med adresse nummer 64. Herefter dukker 108.61.123.81 op i xml-filen, mens den mangler i csv-filen.
Resultatet bliver at adresserne fra post nummer 65 bliver forskudt med et enkelt felt i forhold til hinanden.
Hvad uoverensstemmelsen mellem de to datasæt skyldes, er ikke umiddelbart til at sige.
Swaziland eller Switzerland?
Det er ikke første gang, der har vist sig umiddelbare mærkværdigheder i de tekniske data, som FBI og Homeland Security har udgivet i forbindelse med rapporten.
Udover at en del af adresserne har vist sig at være en del af anonymiseringtjenesten Tors almindelige infrastruktur, så bliver flere ip-adresser også angivet som hørende til i Swaziland.
Et opslag i åbne databaser på internettet, som Version2 har foretaget, indikerer at adresserne reelt hører til i det alfabetisk nærtbeslægtede Switzerland (Schweiz) og altså ikke i Swaziland.
Det har fået Version2-blogger og direktør hos internetudbyderen Kviknet, Yoel Caspersen, til at gætte på, at der er tale om en simpel kommunikationsfejl fra myndighedernes side.
Desuden er flere ip-adresser angivet som hørende til i Danmark, men de lader umiddelbart til at høre hjemme i Tyskland.
Version2 har været i kontakt med FBI og Homeland Security for at opklare, om der kan være sket fejl i forbindelse med lokations angivelsen og ip-adresser. Og nu har vi også spurgt til, hvorfor der optræder en ekstra ip-adresse i xml-filen sammenholdt med csv-filen.
Vi har endnu ikke fået svar, men en foreløbig melding fra Homeland Security lyder dog, at en tilbagemelding i forhold til koblingen mellem lokation og ip-adresser skulle være på vej.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
