En ip-adresse for meget eller for lidt? Endnu en afvigelse i FBI-data om russerhack

Der er en uoverensstemmelse mellem to dataformater, som de amerikanske myndigheder har udgivet i forbindelse med en rapport om russiske hackerangreb mod USA.

Endnu en mærkværdighed har vist sig i det datasæt, som de amerikanske myndigheder har frigivet i forbindelse med en rapport om russiske hackerangreb mod USA.

Rapporten har FBI og Homeland Security som afsender (PDF).

Der viser sig at være en lille forskel på antallet af ip-adresser, som de amerikanske myndigheder kobler til hackerangrebene. Der er nemlig en enkelt ip-adresser til forskel alt efter, om datasættet hentes som en kommasepareret .csv-fil eller som xml-fil.
.
Udgangspunktet må formodes at være det samme datasæt. Men mens csv-filen indeholder 876 ipv4-adresser, så indeholder xml-filen 877 ipv4-adresser. Det er ip-adressen 108.61.123.81, som optræder i den seneste udgave af xml-filen, men ikke i csv-filen.

De to filer og rapporten kan hentes via www.us-cert.gov under Homeland Security. De amerikanske myndigheder anbefaler, at netværksadministratorer bruger data fra filerne i forbindelse med sikring af netværket.

I den forbindelse er det dog umiddelbart ikke ligegyldigt, hvilken af filerne en netværksadministrator tager afsæt i. Sammenligner man de to datasæt, så matcher ip-adresserne hinanden til og med adresse nummer 64. Herefter dukker 108.61.123.81 op i xml-filen, mens den mangler i csv-filen.

Resultatet bliver at adresserne fra post nummer 65 bliver forskudt med et enkelt felt i forhold til hinanden.

Hvad uoverensstemmelsen mellem de to datasæt skyldes, er ikke umiddelbart til at sige.

Swaziland eller Switzerland?

Det er ikke første gang, der har vist sig umiddelbare mærkværdigheder i de tekniske data, som FBI og Homeland Security har udgivet i forbindelse med rapporten.

Udover at en del af adresserne har vist sig at være en del af anonymiseringtjenesten Tors almindelige infrastruktur, så bliver flere ip-adresser også angivet som hørende til i Swaziland.

Læs også: Swaziland eller Switzerland? FBI tavs om afvigelser i russerhack-dokumentation

Et opslag i åbne databaser på internettet, som Version2 har foretaget, indikerer at adresserne reelt hører til i det alfabetisk nærtbeslægtede Switzerland (Schweiz) og altså ikke i Swaziland.

Læs også: Stor del af FBI's 'mistænkelige' ip-adresser er Tor-noder

Det har fået Version2-blogger og direktør hos internetudbyderen Kviknet, Yoel Caspersen, til at gætte på, at der er tale om en simpel kommunikationsfejl fra myndighedernes side.

Desuden er flere ip-adresser angivet som hørende til i Danmark, men de lader umiddelbart til at høre hjemme i Tyskland.

Version2 har været i kontakt med FBI og Homeland Security for at opklare, om der kan være sket fejl i forbindelse med lokations angivelsen og ip-adresser. Og nu har vi også spurgt til, hvorfor der optræder en ekstra ip-adresse i xml-filen sammenholdt med csv-filen.

Vi har endnu ikke fået svar, men en foreløbig melding fra Homeland Security lyder dog, at en tilbagemelding i forhold til koblingen mellem lokation og ip-adresser skulle være på vej.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Sørensen

Hej
I en kommentar til en artikel om sagen hvor også Version2 blev linket til var følgende kommentar omkring Swaziland og Switzerland:

https://anna.info/wiki/SZ_FIPS_10-4_Switzerland_ISO_3166_Swaziland

Another possible source for error in the opinion of anna.info : The US FIPS 10-4 country code for Switzerland is SZ and may have been used for encoding while SZ in ISO 3166 means Swaziland and may have been used for decoding.

Even though FIPS 10-4 had been withdrawn 2008, nga.mil as of 2017-01-01 states "The GNS will continue to use geopolitical codes based on GEC (formerly FIPS PUB 10-4) for the foreseeable future." http://geonames.nga.mil/gns/html/countrycodes.html

Kilde:
https://www.heise.de/forum/heise-online/News-Kommentare/Schweizer-Swasil...

Kenn Nielsen

Parallel construction er - som bekendt - en "undersøgelse" som går ud på at udvælge alle tegn, indicier, og beviser - som understøtter en allerede kendt eller besluttet konklusion

Dette kunne være resultatet af to parallelle "parallell construction" hvor vi nu ser små tegn på at billedet er manipuleret.

K

Tom Paamand

Switzerland is SZ and may have been used for encoding while SZ in ISO 3166 means Swaziland

Det lader til at være en rimelig forklaring, men umiddelbart ikke med de nævnte FIPS 10-4 country codes. De giver nemlig ikke den nødvendige sammenblanding med både "DE Denmark" og "SZ Swaziland". En hurtig googling giver flere mulige bud hvor dette sker, men mon ikke en læser her på siden kan givet et bud på den rigtige?

Peter Jensen
Godt spottet Lars, men underlig fejl. US Intelligence Community har brugt ISO 3166 i +8 år til disse rapporter. Se den her fra 2009.

FIPS 10-4 to ISO 3166 Transition Issues/Questions

Last updated April 23, 2009
....
....
....

  1. Why didn't people know about this change – was it a surprise?

Actually, many people knew that this change was coming. For example, both DoD and the Intelligence Community had changed the requirements for the release of controlled materials to use the ISO 3166 codes some time ago.

Måske er det ikke den store konspirationsteori bag, men blot inkompetente organisationer, der har mistet overblikket i en labyrint af politik, retningslinier og intern fnidder. Ligesom det danske Politi og danske E-tjenester.

Sikkerhedsteater - uden reelt indhold. På forreste række sider Putin og griner røven i laser til denne komedie.

Jubiii, nu kommer vor tids Dirch Passer ind på scenen i form af Claus Hjort - "OP OG DÅÅÅÅÅÅ!!!!"

Log ind eller Opret konto for at kommentere