Swaziland eller Switzerland? FBI tavs om afvigelser i russerhack-dokumentation

2 kommentarer.  Hop til debatten
Swaziland eller Switzerland? FBI tavs om afvigelser i russerhack-dokumentation
Illustration: Federal Bureau of Investigation.
Der er adskillige mærkværdigheder i den tekniske dokumentation FBI har fremlagt som dokumentation for russiske hackerangreb mod USA.
Reportage9. januar 2017 kl. 05:11
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Dokumentationen, som FBI og Homeland Security har leveret i et forsøg på at bevise russisk hacking mod amerikanske politikere, organisationer og virksomheder, er præget af flere afvigelser, som umiddelbart tyder på banale tastefejl.

Det viser gennemgang, som Version2 har foretaget af de vedlagte ip-adresselister i myndighedernes rapport.

I forbindelse med rapporten optræder 876 ip-adresser, som de amerikanske myndigheder mener, at russiskstøttede hackergrupperinger har benyttet i forbindelse med angreb mod USA de seneste år.

På listen med ip-adresser er der ud for 248 af adresserne angivet en lokation i form af det land, som adressen skulle høre til. Men der er nogle af lokationerne, der umiddelbart ikke stemmer.

Artiklen fortsætter efter annoncen

Da Version2 krydstjekkede de geografiske placeringer via offentligt tilgængelige databaser, var der 18 tilfælde med misforhold mellem landenavnene.

Det mest bemærkelsesværdige misforhold er umiddelbart, at tre ip-adresser ifølge dokumentationen fra Homeland Security og FBI hører hjemme i kongeriget Swaziland i Afrika, mens vores opslag viser, de ligger i ‘Switzerland’. Altså Schweiz, i Europa.

Et udsnit af nogle af de afvigelser, Version2's opslag viste

Mens der er flere tusinde kilometers afstand mellem de to landes fysiske beliggenhed, så ligger Switzerland og Swaziland noget tættere på hinanden rent sprogligt.

For at være sikre, kørte vi ip-adresserne gennem endnu flere såkaldte whois-værktøjer, der fortæller, hvem der ejer hvilke ip-adresser samt, hvor de er placeret.

Yoel Caspersen er direktør for internetudbyderen Kviknet. Han arbejder til dagligt med administration af ip-adresser.

»Umiddelbart virker det simpelthen som om en af forfatterne af rapporten har lavet en skrivefejl,« siger han.

Yoel Caspersen har selv undersøgt de påståede Swaziland-adresser - 185.12.46.178, 95.183.50.23 og 46.102.152.132 - og han fortæller, at intet tyder på, at de pågældende ip-adresser nogensinde har befundet sig i Swaziland.

Samtidig lader alle ip-adresser, angivet som hørende hjemme i Danmark, ifølge whois-opslag til at høre under Tyskland.

Sådan gjorde vi

Version2’s krydstjek er i første omgang foretaget ved masseopslag på infobyip.com.

Herefter har vi gennemgået flere af de adresser, som ikke matchede FBI-listen ved at slå op på andre whois-hjemmesider. Disse sider giver en række oplysninger om, hvem der har registreret adressen, hvor den er registeret og hvilket formål, ip-adressen tjener.

Umiddelbart lader det til at være lignende opslag, FBI har gjort brug af, for der er overordnet set mange sammenfald mellem resultaterne.

Kan have andre data

Yoel Caspersen understreger, at FBI og de amerikanske myndigheder meget vel kan have adgang til helt andre datasæt end de offentligt tilgængelige databaser.

Ikke mindst fordi FBI har mulighed for at kontakte myndigheder rundt om i verden i opklaringen for at høre, hvordan det faktisk forholder sig med en given ip-adresse.

Men når det er sagt, så mener Yoel Caspersen, at en sandsynlig forklaring på afvigelserne kan være, at mens FBI og andre myndigheder nok har været omhyggelige i forhold til den reelle efterforskning, så har samme omhyggelighed måske ikke præget renskrivningen af listen med landenavne.

»Den simple forklaring er, at det er en kommunikationsfejl, fordi de dybest set er ligeglade. De har den information, de selv skal bruge. Det her handler kun om, at sandsynliggøre over for resten af verden, at der har været et angreb,« siger Yoel Caspersen.

I forhold til, hvorfor tilsyneladende tyske ip-adresser er opført som danske, så peger Yoel Caspersen på, at landekoden for Tyskland er DE, og i en amerikaners øjne bliver det måske i skyndingen til Denmark.

Version2 har været i kontakt med FBI, som dog ikke har ønsket at bidrage til opklaringen af, hvordan lande og ip-adresser er blevet koblet til hinanden i forbindelse med rapporten om de russiske hackerangreb.

Politimyndigheden ønsker heller ikke at forholde sig til det ejendommelige sammenfald mellem Swaziland og Switzerland.

Adresser fra hele verden

Adskillige landes ip-adresser er nævnt i rapporten. Således står der eksempelvis USA ud for nogle af dem, Rusland ud for ganske få, men også mindre lande som Holland og Sverige er nævnt i rapporten.

Danmark er også angivet som hjemsted for flere af adresserne, men som Version2 tidligere har fortalt, ser disse adresser altså ud til at høre hjemme i Tyskland.

»Ip-adressernes ophavslande er dybest set ligegyldige, for det er indehaveren af ip-adressen, som angiver, hvor den har hjemme,« siger Yoel, der selv kunne placere sine ip-adresser i Swaziland, hvis han gerne ville.

»Men det forklarer jo ikke fejlen,« tilføjer han.

Advarsel til it-professionelle

Den 13 sider lange rapport indeholder en liste med 876 ip-adresser, som adskillige russiske statsstøttede hackere skulle have benyttet. Listen er blandt andet tænkt til sikkerhedsansvarlige, så de kan screene deres netværks-logs for mistænkelig ip-trafik fra adresserne.

Som Version2 tidligere har fortalt, optræder to af Version2-blogger Henrik Kramshøjs ip-adresser på listen. Det har Kramshøj forklaret med, at han driver en exit-node på anonymiseringstjenesten TOR.

Det vil kort fortalt sige, at trafikken passerer gennem Kramshøjs ip-adresser. Uanset om der er tale om hackere, der prøver at skjule deres spor, eller om frihedskæmpere, som af frygt for egen sikkerhed, ønsker at skjule deres identitet i lande, hvor ytringsfriheden har trange kår.

Bloggeren Micah Lee har på The Intercept påpeget, at næsten halvdelen af de i alt 876 offentliggjorte adresser reelt er Tor-exit-noder. Det vil sige, at det er adresser, som enhver der bruger anonymiseringstjenesten, reelt kan risikere at blive tildelt.

I den forbindelse fortæller Yoel Caspersen, at ip-adresser i sikkerheds-sammenhænge ikke er så afgørende »i en tid hvor tjenester som Tor er så udbredt,« at folk på nettet forholdsvist nemt kan gemme deres ip-identitet.

2 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
9. januar 2017 kl. 19:43

Version2 må have brugt den læsevenlige csv udgave af rapporten. I xml-udgaven, ses der én ekstra ip, 108.61.123.81, som ikke findes i csv'en. Tyder på at det hele nok er gået lidt for stærkt for myndighederne.

1
9. januar 2017 kl. 15:22

I en live udsendelse fra FN bygningen - så tror vi på det.