Swaziland eller Switzerland? FBI tavs om afvigelser i russerhack-dokumentation

Langt de fleste lande, som er angivet på listen, matcher med det, Version2 har fundet frem til, men nogle af de 35 afvigelser er påfaldende.
Der er adskillige mærkværdigheder i den tekniske dokumentation FBI har fremlagt som dokumentation for russiske hackerangreb mod USA.

Dokumentationen, som FBI og Homeland Security har leveret i et forsøg på at bevise russisk hacking mod amerikanske politikere, organisationer og virksomheder, er præget af flere afvigelser, som umiddelbart tyder på banale tastefejl.

Det viser gennemgang, som Version2 har foretaget af de vedlagte ip-adresselister i myndighedernes rapport.

I forbindelse med rapporten optræder 876 ip-adresser, som de amerikanske myndigheder mener, at russiskstøttede hackergrupperinger har benyttet i forbindelse med angreb mod USA de seneste år.

Læs også: Trods analyse: Det Hvide Hus formår ikke at bevise russernes indblanding i valg

På listen med ip-adresser er der ud for 248 af adresserne angivet en lokation i form af det land, som adressen skulle høre til. Men der er nogle af lokationerne, der umiddelbart ikke stemmer.

Da Version2 krydstjekkede de geografiske placeringer via offentligt tilgængelige databaser, var der 18 tilfælde med misforhold mellem landenavnene.

Det mest bemærkelsesværdige misforhold er umiddelbart, at tre ip-adresser ifølge dokumentationen fra Homeland Security og FBI hører hjemme i kongeriget Swaziland i Afrika, mens vores opslag viser, de ligger i ‘Switzerland’. Altså Schweiz, i Europa.

Et udsnit af nogle af de afvigelser, Version2's opslag viste

Mens der er flere tusinde kilometers afstand mellem de to landes fysiske beliggenhed, så ligger Switzerland og Swaziland noget tættere på hinanden rent sprogligt.

For at være sikre, kørte vi ip-adresserne gennem endnu flere såkaldte whois-værktøjer, der fortæller, hvem der ejer hvilke ip-adresser samt, hvor de er placeret.

Yoel Caspersen er direktør for internetudbyderen Kviknet. Han arbejder til dagligt med administration af ip-adresser.

»Umiddelbart virker det simpelthen som om en af forfatterne af rapporten har lavet en skrivefejl,« siger han.

Yoel Caspersen har selv undersøgt de påståede Swaziland-adresser - 185.12.46.178, 95.183.50.23 og 46.102.152.132 - og han fortæller, at intet tyder på, at de pågældende ip-adresser nogensinde har befundet sig i Swaziland.

Samtidig lader alle ip-adresser, angivet som hørende hjemme i Danmark, ifølge whois-opslag til at høre under Tyskland.

Kan have andre data

Yoel Caspersen understreger, at FBI og de amerikanske myndigheder meget vel kan have adgang til helt andre datasæt end de offentligt tilgængelige databaser.

Ikke mindst fordi FBI har mulighed for at kontakte myndigheder rundt om i verden i opklaringen for at høre, hvordan det faktisk forholder sig med en given ip-adresse.

Men når det er sagt, så mener Yoel Caspersen, at en sandsynlig forklaring på afvigelserne kan være, at mens FBI og andre myndigheder nok har været omhyggelige i forhold til den reelle efterforskning, så har samme omhyggelighed måske ikke præget renskrivningen af listen med landenavne.

»Den simple forklaring er, at det er en kommunikationsfejl, fordi de dybest set er ligeglade. De har den information, de selv skal bruge. Det her handler kun om, at sandsynliggøre over for resten af verden, at der har været et angreb,« siger Yoel Caspersen.

I forhold til, hvorfor tilsyneladende tyske ip-adresser er opført som danske, så peger Yoel Caspersen på, at landekoden for Tyskland er DE, og i en amerikaners øjne bliver det måske i skyndingen til Denmark.

Læs også: Obama smider 35 russiske diplomater ud af landet efter valg-hacking

Version2 har været i kontakt med FBI, som dog ikke har ønsket at bidrage til opklaringen af, hvordan lande og ip-adresser er blevet koblet til hinanden i forbindelse med rapporten om de russiske hackerangreb.

Politimyndigheden ønsker heller ikke at forholde sig til det ejendommelige sammenfald mellem Swaziland og Switzerland.

Adresser fra hele verden

Adskillige landes ip-adresser er nævnt i rapporten. Således står der eksempelvis USA ud for nogle af dem, Rusland ud for ganske få, men også mindre lande som Holland og Sverige er nævnt i rapporten.

Screendump fra Google Maps

Danmark er også angivet som hjemsted for flere af adresserne, men som Version2 tidligere har fortalt, ser disse adresser altså ud til at høre hjemme i Tyskland.

Læs også: Danske IP-adresser forbundet med USA's valg-hack har muligvis intet med Danmark at gøre

»Ip-adressernes ophavslande er dybest set ligegyldige, for det er indehaveren af ip-adressen, som angiver, hvor den har hjemme,« siger Yoel, der selv kunne placere sine ip-adresser i Swaziland, hvis han gerne ville.

»Men det forklarer jo ikke fejlen,« tilføjer han.

Advarsel til it-professionelle

Den 13 sider lange rapport indeholder en liste med 876 ip-adresser, som adskillige russiske statsstøttede hackere skulle have benyttet. Listen er blandt andet tænkt til sikkerhedsansvarlige, så de kan screene deres netværks-logs for mistænkelig ip-trafik fra adresserne.

Som Version2 tidligere har fortalt, optræder to af Version2-blogger Henrik Kramshøjs ip-adresser på listen. Det har Kramshøj forklaret med, at han driver en exit-node på anonymiseringstjenesten TOR.

Læs også: FBI-analyse kobler V2-bloggers IP-adresser til russiske cyberangreb mod USA

Det vil kort fortalt sige, at trafikken passerer gennem Kramshøjs ip-adresser. Uanset om der er tale om hackere, der prøver at skjule deres spor, eller om frihedskæmpere, som af frygt for egen sikkerhed, ønsker at skjule deres identitet i lande, hvor ytringsfriheden har trange kår.

Bloggeren Micah Lee har på The Intercept påpeget, at næsten halvdelen af de i alt 876 offentliggjorte adresser reelt er Tor-exit-noder. Det vil sige, at det er adresser, som enhver der bruger anonymiseringstjenesten, reelt kan risikere at blive tildelt.

Læs også: Stor del af FBI's 'mistænkelige' ip-adresser er Tor-noder

I den forbindelse fortæller Yoel Caspersen, at ip-adresser i sikkerheds-sammenhænge ikke er så afgørende »i en tid hvor tjenester som Tor er så udbredt,« at folk på nettet forholdsvist nemt kan gemme deres ip-identitet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (2)

Hr. Pedersen

Version2 må have brugt den læsevenlige csv udgave af rapporten.
I xml-udgaven, ses der én ekstra ip, 108.61.123.81, som ikke findes i csv'en.
Tyder på at det hele nok er gået lidt for stærkt for myndighederne.

Log ind eller opret en konto for at skrive kommentarer