Технохоррор: небрежность популярного IT-сервиса превратила жизнь фермеров в ад
Примерно в часе езды от города Уичито, штат Канзас, находится участок земли площадью 145 гектаров. Больше ста лет этой землей владеет семья Вогельман. Сейчас ее текущий владелец, 82-летняя Джойс Тейлор (урожденная Вогельман), сдает землю в наем. И у этой земли есть проблема. Фермерские угодья находятся далеко от жилья. Здесь тихо: ферма, пастбище, старый фруктовый сад, два сарая, свинарники и двухэтажный дом. В такое место человек обычно переезжает, чтобы убежать из города: ближайшие соседи в полутора километрах, а в ближайшем населенном пункте - только 13 тысяч жителей. Однако ферма не стала для своих жителей местом заслуженного отдыха - скорее, центром сюжета для технохоррора, пишет Кашмир Хилл в Fusion.
Последние лет десять на ферму к Тейлор и ее арендаторам постоянно наведываются разные странные люди. Ее жителей обвиняли в воровстве персональных данных, в спаме, в обмане и мошенничестве. К ним приходили агенты ФБР, федеральные маршалы, финансовые коллекторы, врачи скорой помощи, ищущие склонных к суициду пациентов, и работники полиции в поисках сбежавших детей. У них в сарае рыскали люди. Данные жильцов опубликованы в интернете без их согласия. В общем, в течение десяти лет с обитателями обращались как с преступниками.
Чтобы понять, что случилось на ферме Тейлор, вам надо немного узнать о том, как сегодня работает электронная картография, а в особенности - IP-мэппинг.
Что такое IP-адрес
Аббревиатура IP расшифровывается как Internet Protocol (дословно - интернет-протокол). IP-адреса играют фундаментальную роль в общении компьютеров. Такой адрес есть у каждого подключенного к Сети устройства. Он есть и у того устройства, с которого вы читаете эту статью. В тот момент, как вы посетили этот сайт, наши серверы зарегистрировали ваш вход. Другими словами, в логах наших серверов есть запись о том, что эту историю прочитал кто-то с данным IP. Иногда, если провести комплексное расследование, о конкретном IP-адресе можно узнать намного больше: к примеру, был ли он связан с устройством, от которого исходила киберугроза, или какое у него точное расположение.
Проблемы у Тейлор начались в 2002 году. Расположенная в штате Массачусетс компания MaxMind, предоставляющая услуги электронного картографирования, решила открыть для бизнеса сервис по «IP-разведке». К примеру, компания хочет знать географическое расположение компьютера, чтобы показывать его пользователю релевантную рекламу или прислать предупреждение, на случай если пользователь нелегально качает фильмы или музыку.
Способов определения расположения устройства по IP множество. Компания может послать сотрудников на машинах по стране, чтобы те искали открытые wifi-точки, отмечали их IP и физическое положение. Они могут собирать информацию с помощью приложений на смартфонах, которые оставляют GPS-координаты каждый раз, когда используют новый IP-адрес. Они могут сопоставлять IP-адреса с владеющими ими компаниями, предполагая, что IP-адреса связаны с их офисами.
Но IP-картография - не точная наука. В самом крупном приближении IP можно увязать со зданием (к примеру, собственный IP-адрес вы можете узнать здесь). В максимальном масштабе IP-адрес может быть привязан только к стране. В борьбе с этой неопределенностью ребята из MaxMind решили отметить базовые точки на уровне городов, штатов и страны в целом. Последнее выбирается, если система знает расположение IP-адреса только примерно. Если компания знает, что IP находится где-то в США, и не может узнать о нем ничего больше, он будет привязан к центру страны.
Точный центр США находится рядом с границей штата Небраска, в северном Канзасе. Технически точные географические координаты центра - 39°50? северной широты и 98°35? западной долготы. В электронных картах номер выглядит не очень красиво: 39.8333333,-98.585522. В 2002 году, когда ребята из MaxMind выбирали точку для отображения центра США на электронной карте, они решили округлить координаты до 38° северной широты и 97° западной долготы (или 38.0000,-97.0000).
Эта точка находится прямо во дворе у Тейлор
В результате в течение 14 лет каждый раз, когда в базу данных фирмы поступал запрос на определение IP-адреса, и она не могла его идентифицировать, система назначала его расположение в двух часах езды от географического центра США. Это происходит довольно часто, поскольку на информацию MaxMind опираются около пяти тысяч компаний. А с этой координатой по умолчанию ассоциируется порядка 600 миллионов адресов. Если любой из этих адресов используется мошенником, компьютерным вором или суицидально настроенным индивидом, который позвонил на горячую линию, база данных MaxMind показывает этот адрес в той самой точке (38.0000,-97.0000). Находится она прямо во дворе у Джойс Тейлор.
«Первый звонок был из Коннектикута, - сказала Тейлор. - Это был мужчина, чей корпоративный интернет был забит электронной почтой. Его клиенты не могли ею пользоваться. Он сказал, что во всем виноват адрес на ферме. Тогда я поняла, что что-то не так».
Это было в 2012 году. В течение нескольких последующих месяцев звонки и визиты участились. Когда представители правоохранительных органов просят у компаний, вроде Google и Facebook, дать IP-адрес, которым, возможно, пользуется подозреваемый, они его размещают на карте с помощью инструментов, вроде этого. Последний, в свою очередь, опирается на базу данных MaxMind, указывая в итоге на дом Тейлор. Доморощенные детективы, вычисляющие IP-адреса компьютеров, с которых пользователи посещают их сайты и форумы, были настолько убеждены в том, что источник всех их проблем прячется в доме у Тейлор, что начали строчить отчеты об этом на Facebook, YouTube, Reddit и Google Plus. Даже сегодня, если вы вобьете в поиск адрес дома, вы найдете целый список сайтов с публикациями о происках преступников.
Преследование продолжалось до тех пор, пока местный шериф не решил вмешаться. На подъезде к дому он установил плакат, призывающий держаться подальше от дома. На нем была также просьба звонить шерифу, если возникнут вопросы.
«Эту бедную женщину годами преследуют», - сказал по телефону шериф округа Батлер Келли Херзет. По его словам, департаменту пришлось защищать ферму от других силовых структур. - Нашим помощникам сказали, что это постоянная проблема, а живущие там люди адекватны и не имеют склонности к суициду».
Подобные проблемы автор расследования для Fusion Кашмир Хилл обнаружила у семейной пары в Атланте. После того, как за год до этого семья въехала в дом, к ним стали наведываться люди в поисках украденных смартфонов. Их приводили к дому приложения вроде Find my phone (найди мой телефон, - прим. переводчика). Они были уверены, что украденные гаджеты находились внутри (это не так). Пытаясь помочь паре, я объединила усилия с подкастом Reply All и исследователем Дэйвом Мейнором. Посетив дом, Мейнор обнаружил, что кроме него на улице нет ни одного роутера и wifi. Семья жила в электронной пустыне. Из-за особенностей работы картографических сервисов, ищущих в качестве якоря постоянно работающие сети в районе, к дому оказалось привязано огромное количество IP-адресов.
Автор попросила Мейнора помочь, и он предложил написать программу, которая прошерстила бы публичную базу данных Maxmind в поисках одних и тех же мест, привязанных к разным IP-адресам. Через пару дней он прислал мне таблицу со списком из тысяч домов и привязанных к ним IP. Дом Тейлор был в самом верху списка. Количество в 600 миллионов адресов оказалось на порядок выше, чем у любого другого места. К примеру, список привязанных к дому в Атланте IP-адресов составил 865 штук.
Соучредитель MaxMind Томас Мэтер, на вопрос о судьбе Джойс Тейлор дал такой комментарий:
«Месторасположение в Канзасе по умолчанию было выбрано еще десять лет назад, когда компания была учреждена. Тогда мы выбрали широту и долготу центра страны, нам не приходило в голову, что кто-то может использовать базу IP для вычисления местоположения людей вплоть до зданий. Мы рекламировали базу как способ определить место расположения на уровне города или почтового индекса. Насколько я знаю, мы никогда не утверждали, что нашу базу можно использовать для определения местоположения отдельного здания».
Но ведь люди используют базу именно так. 5000 компаний берут информацию из ее недр, а большинство обычных пользователей ничего о IP-картографии не знают. Они просто знают, что если сайт сказал «злоумышленник живет в Потвине, штат Канзас», то надо садиться в машину и ехать туда.
«Многие приложения используют неточные с научной точки зрения данные, - говорит исследователь в области безопасности Мейнор. - Но как объяснить людям, что то, что вылезает на экране в качестве местоположения IP-адреса - неточная информация?»
Канзасский дом - не единственный, испытывающий подобные проблемы. Тони Пав живет в тихом районе Эшберна, Вирджиния. Кроме всего прочего, в этом городе находится большое количество дата-центров - больших зданий, использующихся компаниями вроде Google и Facebook для хранения своих огромных серверных кластеров. Из-за этого с Эшберном связано огромное количество IP-адресов - в сумме около 17 миллионов. А из-за того, как MaxMind выбирает расположение по умолчанию, все 17 миллионов привязаны к дому Пава.
Он сказал, что проблемы начались четыре года назад, когда в 2012 году, придя домой, он обнаружил, что в его дом ломится полиция. Они сказали, что ищут украденный государственный ноутбук с секретными данными. Ему пришлось разрешить обыскать квартиру. Компьютера там не было, несмотря на то, что IP показывал именно на этот дом. «Они перевернули все вверх дном и ничего не нашли», - сказал он.
Ему поступали звонки и сообщения на Facebook от рассерженных людей, которых обидели в интернете. Когда они пытались отследить вредителей по IP-адресу, неизменно всплывал его дом, и им казалось, что во всем виноваты как раз его жители.
«Кроме пережитого унижения от нашествия силовиков я испытываю постоянную тревогу за свою безопасность. Я боюсь, что из-за ошибочной информации кто-то может прийти прямо ко мне домой, - сказал Пав по телефону. - Такое ощущение, что на мне нарисована огромная мишень и подо мной - бомба с часовым механизмом».
Пав планирует уйти на покой через три года. Он считает, что ему не удастся продать дом, поскольку он все равно будет вынужден рассказать об этих проблемах потенциальным покупателям. Как и людям из Канзаса, ему и в голову не приходило, почему это происходит. Никто из них не слышал до этого о MaxMind. Компания - часть сетевой технологической инфраструктуры, существование которой они и не представляли. Мало того, они и думать не могли, что кто-то выбрал для базы их дома в качестве дефолтного местоположения. «Я чувствовал себя бессильным», - сказал Пав.
Физическое картографирование компьютерных адресов - один из многих практически абсолютно нерегулируемых аспектов сетевой инфраструктуры. Эту задачу выполняют, в основном, частники, и не только MaxMind. Во главе этого нет никого, к кому бы люди вроде Тони Пава и Джойс Тейлор могли бы обратиться за помощью. И на самом деле этих домов с фантомными IP гораздо больше. Когда Дэйв Мейнор прислал мне список мест (тысячи) из базы данных MaxMind, привязанных к бессчетному количеству айпи-адресов, мы с моей коллегой Кристен Браун обзвонили несколько дюжин. Некоторые живут в счастливом неведении, что место их обитания наводнено фантомными IP-адресами. Скорее всего, эти адреса пока не были использованы для совершения незаконных действий. Пока.
Руководство MaxMind обещает изменить выбор дефолтных месторасположений. Новые точки для США и Эшберна (штат Вирджиния) будут находиться в центре крупных водоемов, а не посреди жилых кварталов.
Источник