Nu politiediensten en beveiligingsexperts steeds vaker dubieuze hostingproviders uit de lucht halen, proberen cybercriminelen hun eigen virtuele datacentra op te zetten. Daarbij maken ze misbruik van de regional Internet registries (RIR) en local Internet registries (LIR), die voor het uitgeven van IP-ruimte verantwoordelijk zijn. Normaliter worden alle aanvragen grondig gescreend, maar sommige RIRs hebben niet de middelen om alle aanvragen te onderzoeken. Ook heeft men meer kans om de aanvraag via een LIR te laten lopen.

De cybercriminelen kopen servers en plaatsen die in een groot datacentra en doen vervolgens een aanvraag voor IP-ruimte. In sommige gevallen moet men alleen verklaren waarom men de IP-ruimte nodig heeft, zonder dat er verder onderzoek plaatsvindt. "Het is volledig uit de hand gelopen. De aanvallers gaan naar een local registry in Europa en krijgen een gigantische hoeveelheid IP-ruimte, gaan dan naar een hostingprovider en zetten hun eigen datacentra op", zegt Alex Lanstein van beveiligingsbedrijf FireEye. "Je beheert op dat moment je eigen IP-ruimte en je bent op dat moment je eigen internet service provider."

Bonnetjes
"Als er een probleem is, met wie ga je dan praten? Het is een heel ander spelveld geworden. Deze gasten kopen hun eigen datacentra en de LIRs en RIRs geven geen tegengas als je zegt dat je een /24 of /16 nodig hebt. Ze zijn niet de internetpolitie." Het Russian Business Network is wel het meest beruchte voorbeeld. De groep criminelen wist een grote hoeveelheid IP-ruimte te verkrijgen via een LIR die dit weer bij RIPE regelde. De LIR gaf RIPE documentatie waar de noodzaak voor de aanvraag in stond en dat was het." De aanvraag werd in 2006 goedgekeurd en pas in mei 2008 ongedaan gemaakt.

John Curran van het Amerikaanse Registry voor Internet Numbers (ARIN) hanteert een strenge aanpak, waarbij het zelfs de bonnetjes van machines opvraagt. "Als je bij ons een aanvraag indient, zodra die geaccepteerd wordt, vragen we je om een lijst met je PC's, router configuraties, misschien een netwerkmap, zodat we kunnen zien waar je de IP-ruimte voor nodig hebt." In de meeste gevallen haken veel partijen dan af. Criminelen die het proces ondermijnen zijn met name in bepaalde delen van Europa en het Caribische gebied een probleem, waar er allerlei verschillende talen worden gesproken en er verschillende jurisdictie is, wat het lastig maakt om te bepalen wie nu voor wat verantwoordelijk is.

Fraude
Volgens Lanstein zijn de zaken in Amerika dan ook veel beter geregeld. "In Europa zijn zoveel talen en landen, het is onmogelijk voor ze om iedereen te controleren. En de aanvallers weten dit." Zodra aanvallers over hun eigen IP-ruimte beschikken, is het voor hen veel makkelijker om hun activiteiten te verbergen, in tegenstelling tot cybercriminelen die via legitieme ISPs en hostingproviders werken. Er is bijvoorbeeld geen "abuse" afdeling om bij te klagen en geen hulp voor mensen die worden aangevallen.

Het beleid voor het uitgeven van IP-ruimte en het verifiëren van aanvragen zijn voor alle RIRs hetzelfde, maar binnen dat raamwerk is er ruimte voor RIRs om hun eigen lokale beleid op te stellen. "Het slechte nieuws is dat dit beleid zeer lokaal is", zegt Curran. Zodra IP-ruimte is vergeven, is het een zeer lastig en langdurig proces om het terug te krijgen. "Dit is deels de oorzaak van het IPv4 tekort", gaat Lanstein verder, waarbij hij doelt op het voorspelde tekort aan IPv4 adressen in de nabije toekomst. "Ze betalen de rekeningen niet, de IP-ruimte wordt genull-routed en dan is het een zooitje. Er is duidelijk fraude gaande, maar wie kan er iets aan doen?"