Интернет
КАК ГЛЮК В ЭЛЕКТРОННЫХ КАРТАХ ПРЕВРАТИЛ ЖИЗНЬ ОБЫЧНОЙ ФЕРМЫ В АД
Технохоррор
Примерно в часе езды от города Уичито, штат Канзас, находится участок земли площадью 145 гектаров. Больше ста лет этой землей владеет семья Вогельман. Сейчас её текущий владелец, 82-летняя Джойс Тейлор (урожденная Вогельман), сдаёт землю в наем. И у этой земли есть проблема.
Фермерские угодья находятся далеко от жилья. Здесь тихо: ферма, пастбище, старый фруктовый сад, два сарая, свинарники и двухэтажный дом. В такое место человек обычно переезжает, чтобы убежать из города: ближайшие соседи в полутора километрах, а в ближайшем населённом пункте — только 13 тысяч жителей. Это настоящая ковбойская Америка. Мало того, примерно в двух часах езды находится географический центр США. Однако ферма не стала для своих жителей местом заслуженного отдыха — скорее, центром сюжета для технохоррора.
Жителей фермы обвиняли в воровстве персональных данных, в спаме и мошенничестве
Последние лет десять на ферму к Тейлор и её арендаторам постоянно наведываются разные странные люди. Ее жителей обвиняли в воровстве персональных данных, в спаме, в обмане и мошенничестве. К ним приходили агенты ФБР, федеральные маршалы, финансовые коллекторы, врачи скорой помощи, ищущие склонных к суициду пациентов, и работники полиции в поисках сбежавших детей. У них в сарае рыскали люди. Данные жильцов опубликованы в интернете без их согласия. В общем, в течение десяти лет с обитателями обращались как с преступниками. И пока я на этой неделе им не позвонила, они знать не знали, что именно происходило.
Чтобы понять, что случилось на ферме Тейлор, вам надо немного узнать о том, как сегодня работает электронная картография, а в особенности – IP-мэппинг.
Что такое IP-адрес
Аббревиатура IP расшифровывается как Internet Protocol (дословно – интернет-протокол). IP-адреса играют фундаментальную роль в общении компьютеров. Такой адрес есть у каждого подключённого к Сети устройства. Он есть и у того устройства, с которого вы читаете эту статью. В тот момент, как вы посетили этот сайт, наши серверы зарегистрировали ваш вход. Другими словами, в логах наших серверов есть запись о том, что эту историю прочитал кто-то с данным IP. Иногда, если провести комплексное расследование, о конкретном IP-адресе можно узнать намного больше: к примеру, был ли он связан с устройством, от которого исходила киберугроза, или какое у него точное расположение.
Проблемы у Тейлор начались в 2002 году. Расположенная в штате Массачусетс компания MaxMind, предоставляющая услуги электронного картографирования, решила открыть для бизнеса сервис по «IP-разведке». К примеру, компания хочет знать географическое расположение компьютера, чтобы показывать его пользователю релевантную рекламу или прислать предупреждение, на случай если пользователь нелегально качает фильмы или музыку.
Как определить местоположение по IP
Способов определения расположения устройства по IP множество. Компания может послать сотрудников на машинах по стране, чтобы те искали открытые wifi-точки, отмечали их IP и физическое положение. Они могут собирать информацию с помощью приложений на смартфонах, которые оставляют GPS-координаты каждый раз, когда используют новый IP-адрес. Они могут сопоставлять IP-адреса с владеющими ими компаниями, предполагая, что IP-адреса связаны с их офисами.
Но IP-картография — не точная наука. В самом крупном приближении IP можно увязать со зданием (к примеру, собственный IP-адрес вы можете узнать здесь). В максимальном масштабе IP-адрес может быть привязан только к стране. В борьбе с этой неопределённостью ребята из MaxMind решили отметить базовые точки на уровне городов, штатов и страны в целом. Последнее выбирается, если система знает расположение IP-адреса только примерно. Если компания знает, что IP находится где-то в США, и не может узнать о нём ничего больше, он будет привязан к центру страны.
Точный центр США находится рядом с границей штата Небраска, в северном Канзасе. Технически точные географические координаты центра – 39°50′ северной широты и 98°35′ западной долготы. В электронных картах номер выглядит не очень красиво: 39.8333333,-98.585522. В 2002 году, когда ребята из MaxMind выбирали точку для отображения центра США на электронной карте, они решили округлить координаты до 38° северной широты и 97° западной долготы (или 38.0000,-97.0000).
Эта точка находится прямо во дворе у Тейлор
В результате в течение 14 лет каждый раз, когда в базу данных фирмы поступал запрос на определение IP-адреса, и она не могла его идентифицировать, система назначала его расположение в двух часах езды от географического центра США. Это происходит довольно часто, поскольку на информацию MaxMind опираются около пяти тысяч компаний. А с этой координатой по умолчанию ассоциируется порядка 600 миллионов адресов. Если любой из этих адресов используется мошенником, компьютерным вором или суицидально настроенным индивидом, который позвонил на горячую линию, база данных MaxMind показывает этот адрес в той самой точке (38.0000,-97.0000). Находится она прямо во дворе у Джойс Тейлор.
«Первый звонок был из Коннектикута, — сказала Тейлор. — Это был мужчина, чей корпоративный интернет был забит электронной почтой. Его клиенты не могли ею пользоваться. Он сказал, что во всём виноват адрес на ферме. Тогда я поняла, что что-то не так».
Это было в 2012 году. В течение нескольких последующих месяцев звонки и визиты участились. Когда представители правоохранительных органов просят у компаний, вроде Google и Facebook, дать IP-адрес, которым, возможно, пользуется подозреваемый, они его размещают на карте с помощью инструментов, вроде этого. Последний, в свою очередь, опирается на базу данных MaxMind, указывая в итоге на дом Тейлор. Доморощенные детективы, вычисляющие IP-адреса компьютеров, с которых пользователи посещают их сайты и форумы, были настолько убеждены в том, что источник всех их проблем прячется в доме у Тейлор, что начали строчить отчеты об этом на Facebook, YouTube, Reddit и Google Plus. Даже сегодня, если вы вобьёте в поиск адрес дома, вы найдёте целый список сайтов с публикациями о происках преступников.
Преследование продолжалось до тех пор, пока местный шериф не решил вмешаться. На подъезде к дому он установил плакат, призывающий держаться подальше от дома. На нём была также просьба звонить шерифу, если возникнут вопросы.
«Эту бедную женщину годами преследуют», — сказал по телефону шериф округа Батлер Келли Херзет. По его словам, департаменту пришлось защищать ферму от других силовых структур. — Нашим помощникам сказали, что это постоянная проблема, а живущие там люди адекватны и не имеют склонности к суициду».
Уичито, штат Канзас
В прошлом году я обнаружила пару в Атланте, у которой были подобные проблемы, правда, не столь сильно выраженные. После того, как за год до этого семья въехала в дом, к ним стали наведываться люди в поисках украденных смартфонов. Их приводили к дому приложения вроде Find my phone (найди мой телефон, — прим. переводчика). Они были уверены, что украденные гаджеты находились внутри (это не так). Пытаясь помочь паре, я объединила усилия с подкастом Reply All и исследователем Дэйвом Мейнором. Посетив дом, Мейнор обнаружил, что кроме него на улице нет ни одного роутера и wifi. Семья жила в электронной пустыне. Из-за особенностей работы картографических сервисов, ищущих в качестве якоря постоянно работающие сети в районе, к дому оказалось привязано огромное количество IP-адресов.

После того, как я опубликовала эту историю, мне пришло в голову, что случай может быть не единственным. Я попросила Мейнора помочь, и он предложил написать программу, которая прошерстила бы публичную базу данных Maxmind в поисках одних и тех же мест, привязанных к разным IP-адресам. Через пару дней он прислал мне таблицу со списком из тысяч домов и привязанных к ним IP. Дом Тейлор был в самом верху списка. Количество в 600 миллионов адресов оказалось на порядок выше, чем у любого другого места. К примеру, список привязанных к дому в Атланте IP-адресов составил 865 штук.
Ранее на этой неделе я послала электронное письмо соучредителю MaxMind Томасу Мэтеру, в котором рассказала историю Джойс Тейлор. Я спросила, знает ли он что-нибудь о базовых координатах, которые привязывают все неопределенные IP-адреса к владениям Джойс. Мэтер сказал вот что:
«Месторасположение в Канзасе по умолчанию было выбрано ещё десять лет назад, когда компания была учреждена. Тогда мы выбрали широту и долготу центра страны, нам не приходило в голову, что кто-то может использовать базу IP для вычисления местоположения людей вплоть до зданий. Мы рекламировали базу как способ определить место расположения на уровне города или почтового индекса. Насколько я знаю, мы никогда не утверждали, что нашу базу можно использовать для определения местоположения отдельного здания».
Но ведь люди используют базу именно так. 5000 компаний берут информацию из её недр, а большинство обычных пользователей ничего о IP-картографии не знают. Они просто знают, что если сайт сказал «злоумышленник живет в Потвине, штат Канзас», то надо садиться в машину и ехать туда.
«Многие приложения используют неточные с научной точки зрения данные, — говорит исследователь в области безопасности Мейнор. — Но как объяснить людям, что то, что вылезает на экране в качестве местоположения IP-адреса — неточная информация?»
Канзасский дом — не единственный, испытывающий подобные проблемы. Я говорила с человеком из Вирджинии, который тоже годами терпит подобное. Тони Пав живёт в тихом районе Эшберна. Кроме всего прочего, в этом городе находится большое количество дата-центров — больших зданий, использующихся компаниями вроде Google и Facebook для хранения своих огромных серверных кластеров. Из-за этого с Эшберном связано огромное количество IP-адресов — в сумме около 17 миллионов. А из-за того, как MaxMind выбирает расположение по умолчанию, все 17 миллионов привязаны к дому Пава.

Он сказал, что проблемы начались четыре года назад, когда в 2012 году, придя домой, он обнаружил, что в его дом ломится полиция. Они сказали, что ищут украденный государственный ноутбук с секретными данными. Ему пришлось разрешить обыскать квартиру. Компьютера там не было, несмотря на то, что IP показывал именно на этот дом. «Они перевернули всё вверх дном и ничего не нашли», — сказал он.
Ему поступали звонки и сообщения на Facebook от рассерженных людей, которых обидели в интернете. Когда они пытались отследить вредителей по IP-адресу, неизменно всплывал его дом, и им казалось, что во всём виноваты как раз его жители.
«Кроме пережитого унижения от нашествия силовиков я испытываю постоянную тревогу за свою безопасность. Я боюсь, что из-за ошибочной информации кто-то может прийти прямо ко мне домой, — сказал Пав по телефону. — Такое ощущение, что на мне нарисована огромная мишень и подо мной — бомба с часовым механизмом».
Пав планирует уйти на покой через три года. Он считает, что ему не удастся продать дом, поскольку он всё равно будет вынужден рассказать об этих проблемах потенциальным покупателям. Как и людям из Канзаса, ему и в голову не приходило, почему это происходит. Никто из них не слышал до этого о MaxMind. Компания — часть сетевой технологической инфраструктуры, существование которой они и не представляли. Мало того, они и думать не могли, что кто-то выбрал для базы их дома в качестве дефолтного местоположения. «Я чувствовал себя бессильным», — сказал Пав.
~
Физическое картографирование компьютерных адресов — один из многих практически абсолютно нерегулируемых аспектов сетевой инфраструктуры. Эту задачу выполняют, в основном, частники, и не только MaxMind. Во главе этого нет никого, к кому бы люди вроде Тони Пава и Джойс Тейлор могли бы обратиться за помощью. И на самом деле этих домов с фантомными IP гораздо больше. Когда Дэйв Мейнор прислал мне список мест (тысячи) из базы данных MaxMind, привязанных к бессчетному количеству айпи-адресов, мы с моей коллегой Кристен Браун обзвонили несколько дюжин. Некоторые живут в счастливом неведении, что место их обитания наводнено фантомными IP-адресами. Скорее всего, эти адреса пока не были использованы для совершения незаконных действий. Пока.
Выводы
Очень важный урок, который я извлекла из своего исследования: на IP-адреса, которые рассматриваются в качестве электронных свидетельств в суде или оснований для оформления ордера на обыск, не всегда можно положиться. Как и номер социального страхования, система IP-адресов была создана с одной целью, а используется совсем для других задач. Номера социального страхования были разработаны в США для отслеживания доходов человека на протяжении всей жизни, но теперь маркер безопасности используется для кражи персональных данных. IP-адреса должны были дать возможность компьютерам связываться друг с другом. Сегодня их используют для того, чтобы вычислять стоящих за ними людей.

После того, как я дала знать руководству MaxMind о том, к чему привёл их выбор дефолтных месторасположений, Мэтер пообещал мне их измененить. Новые точки для США и Эшберна (штат Вирджиния) будут находиться в центре крупных водоёмов, а не посреди жилых кварталов. Я спросила его, как скоро пользующиеся их базой данных компании обновят информацию. «Я бы сказал, что типичный клиент обновляет данные раз в неделю. Однако сказать с уверенностью трудно, — говорит Мэтер. — Некоторые обновляются всего раз в несколько месяцев».

MaxMind обновит свою базу в следующий вторник. Будем надеяться, что ферма Тейлоров станет, наконец-то, по-настоящему спокойным местом.

Источник: Fusion.
Автор: Кашмир Хилл.
Перевод: Алексей Зеньков.
Алексей Зеньков