Introducción
El 29 de agosto, un huracán de categoría cuatro llamado Ida tocó tierra en Luisiana, donde varias organizaciones de noticias informaron de vientos de más de 150 millas por hora (241 km/h). Los huracanes pueden causar enormes daños a las infraestructuras de servicios públicos, como las redes de electricidad, cable, DSL/telefonía y fibra, provocando fallos catastróficos cuya solución puede requerir mucho tiempo y dinero. Algunos medios de comunicación informan de que la reparación de los daños sufridos por la infraestructura eléctrica puede llevar desde unos pocos días hasta semanas. Debido a estos daños físicos , podemos rastrear el impacto de Ida en la disponibilidad de hosts en el espacio IP de Internet de Luisiana para comprender mejor los problemas a los que se enfrentan los residentes.
En pocas palabras, analizando el espacio IP de Luisiana, pudimos observar:
- Múltiples ISP sufrieron pérdidas significativas de cobertura durante dos días, entre ellos AT&T, Cox, Comcast y Suddenlink. Es probable que estos cortes estén relacionados con las noticias sobre daños en la transmisión eléctrica y en los postes de los servicios públicos en todo el estado.
- AS397793, que aloja el sitio web Sewerage and Water Board of New Orleans (swbno.org), estuvo completamente fuera de servicio durante más de 48 horas.
- El AS16913, que aloja la Universidad Loyola de Luisiana (loyno.edu) y otras infraestructuras de red, quedó fuera de servicio, pero se recuperó parcialmente en los días siguientes.
- Un hospital médico regional vio desaparecer su huella de conexión a Internet, aunque su sitio web seguía en línea gracias a los servicios en la nube.
- Varios sistemas autónomos (AS) no informaban de ningún host en el espacio de direcciones IP de Luisiana.
Analizaremos estos descubrimientos clave con más detalle utilizando consultas SQL de BigQuery en nuestro conjunto de datos de Internet universal para empresas.
Una perspectiva de la actividad mundial
Para refrescar la memoria, o para quienes no estén familiarizados con Censys, escaneamos todo el espacio de direcciones IPv4 de Internet, menos algunos rangos reservados y bloqueados. Es decir, rastreamos más de 200 millones de hosts (aquellos que responden con algún puerto abierto) en todo el mundo, incluso en ubicaciones muy remotas.
Para cada host que descubrimos, rastreamos todos los puertos abiertos (escaneamos más de 3.500, y ese número aumenta con cada nueva función) y mantenemos el historial de esos hosts a lo largo del tiempo. Piense en nosotros como en la Wayback machine, pero para dispositivos conectados a Internet. Esta actividad es útil para ayudar tanto a particulares como a organizaciones a identificar infraestructuras maliciosas para luchar contra los delitos de ciberseguridad de malos actores, redes criminales y actores alineados con el Estado, por nombrar algunos. También es útil para que las organizaciones conozcan mejor sus activos desde la adopción explosiva de las TI en las dos últimas décadas, que ha provocado un problema de inventario masivo para los equipos de seguridad de todo el mundo.
Sin embargo, resulta que el escaneado de Internet también puede ayudarnos a cuantificar mejor el impacto de catástrofes naturales como el huracán Ida, al observar los cambios en la disponibilidad de hosts a través de nuestros escaneados de Internet.
La forma nominal del espacio PI de Luisiana
De media, los recuentos diarios de hosts para direcciones IP que se identifican en el estado de Luisiana ascienden a 236.000. El 28 de agosto de 2021, un día antes de que Ida tocara tierra, 192 AS conocidos informaron de hosts activos en Luisiana. Los 10 principales AS que aparecen a continuación comprenden la mayor parte de los hosts del estado:
| Número AS (ASN) |
AS Descripción |
# Hosts/IPs |
| 20115 |
CARTA-20115 |
51155 |
| 22773 |
ASN-CXA-ALL-CCI-22773-RDC |
43929 |
| 7018 |
ATT-INTERNET4 |
32000 |
| 5009 |
EATEL |
21437 |
| 209 |
CENTURYLINK-US-LEGACY-QWEST |
14590 |
| 6389 |
BELLSOUTH-NET-BLK |
10654 |
| 19108 |
SUDDENLINK-COMMUNICATIONS |
6455 |
| 7922 |
COMCAST-7922 |
5814 |
| 13760 |
UNITI-FIBER |
3935 |
| 25921 |
LUS-FIBER-LCG |
3885 |
Los 10 principales sistemas autónomos (AS) el 28 de agosto de 2021 - antes de la llegada a tierra
El espacio de direcciones IP de Luisiana está compuesto principalmente por ISP de banda ancha residenciales y comerciales, entre los que se incluyen:
- Carta
- Cox (ASN-CXA-ALL-CCI-22773-RDC)
- AT&T (que incluye Bellsouth)
- EATEL
- Centurylink
- Suddenlink
- Comcast
- Fibra Uniti
- Fibra LUS
Uniti Fiber destaca un poco más. Según su página de Wikipedia, son el "proveedor líder de soluciones de infraestructura, incluyendo backhaul de sitios celulares y células pequeñas para operadores inalámbricos, y Ethernet, longitudes de onda y fibra oscura para operadores de telecomunicaciones y empresas". Dado el papel de Uniti Fiber en la conectividad celular y la respuesta a emergencias, es crucial prestar atención a las interrupciones de su red.
Medir el impacto de Ida en los hosts con acceso a Internet
El espacio de direcciones IP de Luisiana suele tener alrededor de 237.000 hosts disponibles en la Internet pública en un día cualquiera. Estos hosts proceden de varias redes dentro de ese espacio IP, pero la inmensa mayoría de ellos son de ISP residenciales/comerciales, como Comcast, Cox, AT&T y Suddenlink. En total, Censys observó una caída de más del 50% de los hosts con acceso a Internet en toda Luisiana entre el 29 de agosto y el 1 de septiembre:
Anfitriones con acceso a Internet para Luisiana, del 2021-08-15 al 2021-09-09
Dado que la mayor parte del espacio IP de Luisiana está formado por proveedores de servicios de Internet (ISP), podemos profundizar en estos datos para comprender mejor el impacto por ISP. Las siguientes secciones incluyen gráficos que muestran el número de hosts activos a lo largo del tiempo.
AS22773 - Cox Communications
En cinco días, AS22773 (ASN-CXA-ALL-CCI) pasó de tener más de 43.000 hosts IPv4 a sólo 16.670 el 1 de septiembre. La caída más significativa se registró el 30 de agosto, con un delta de más de 9.432 hosts menos que el día anterior. El 7 de septiembre, este número había vuelto a aumentar lentamente hasta aproximadamente la mitad de lo que era antes de que comenzara la tormenta.
AS20115 - Charter Communications
AS20115 (CHARTER COMMUNICATIONS) vio un cambio masivo de 51.150 direcciones IPv4 activas a unos míseros 8.185 hosts el 1 de septiembre. Miles de hosts han ido reapareciendo en nuestros escaneos a medida que pasa el tiempo y, a fecha de 7 de septiembre, solo 19.947 hosts están en línea en comparación con el número original reportado antes de la tormenta.
AS7018 - AT&T Internet
ATT-INTERNET -un popular ISP residencial de Luisiana- experimentó un descenso masivo de 31.984 hosts el 28 de agosto a sólo 11.526 el 1 de septiembre. Esta disminución en el número de hosts activos nos da una idea del número de hogares sin electricidad durante este tiempo.
AS5009 - EATEL
Eatel es otro proveedor de Internet residencial que pasó de tener 21.451 hosts activos el 28 de agosto a 10.994 el 1 de septiembre. El cambio más significativo se produjo el 30 de agosto, con una caída de 4.464 hosts.
Determinación de cortes en toda la red
Dado que la plataforma Censys etiqueta las direcciones IP identificadas con información de geolocalización y del sistema autónomo, podemos utilizar esas etiquetas para filtrar el espacio de direcciones IP de Luisiana e identificar qué redes no aparecieron en nuestra última instantánea de escaneado, en comparación con el día en que la tormenta tocó tierra. Censys almacena nuestros datos de forma que puedan ser consultados por BigQuery, que está disponible para su uso por cualquier cliente empresarial o gubernamental. Podemos obtener esta lista mediante una consulta SQL:
SELECT A.asn, A.description
FROM (
SELECT DISTINCT autonomous_system.asn, autonomous_system.description
FROM `censys-io.universal_internet_dataset.universal_internet_dataset`
WHERE DATE(snapshot_date) = "2021-08-27"
AND location.province = "Louisiana"
) A
FULL OUTER JOIN (
SELECT DISTINCT autonomous_system.asn, autonomous_system.description
FROM `censys-io.universal_internet_dataset.universal_internet_dataset`
WHERE DATE(snapshot_date) = "2021-08-31"
AND location.province = "Louisiana"
) B
ON (A.asn = B.asn)
WHERE B.asn is null
Esta consulta arroja los siguientes resultados, indicando qué redes ya no están disponibles:
| Número AS (ASN) |
AS Descripción |
Análisis |
| 16913 |
LOYNO-EDU |
www.loyno.edu, que estaba completamente fuera de línea y ya se ha recuperado, así como la infraestructura informática relacionada. |
| 40877 |
XULA |
Desconocido; sólo se observó un único host ejecutando SNMP en este AS dentro de Luisiana. |
| 35869 |
PETERAMAYER |
peteramayer.com, una agencia de publicidad |
| 54311 |
DCC-615-DELGADO-COMMUNITY-COLLEGE |
dcc.edu, un colegio comunitario de Luisiana, ha visto afectadas sus operaciones de red durante uno de los periodos de tiempo más largos hasta la fecha". |
| 55028 |
KIEWIT- |
|
| 1648 |
JEFFERSON-PARISH-SCHOOL-BOARD |
jpschools.org, que tiene un banner en su página de inicio indicando que está cerrado hasta nuevo aviso. Podemos ver que su red ha estado desconectada durante bastante tiempo. |
| 397793 |
ASN-SWBNO-01 |
swbno.org, la junta de alcantarillado y agua de Nueva Orleans, cuya presencia en la red desapareció por completo de Internet durante un tiempo. |
| 22218 |
ITC-GLOBAL |
|
Los sistemas autónomos (SA) mencionados ya no están disponibles en Censys .
En la siguiente visualización, el lector puede ver fácilmente cuándo y dónde empezaron a producirse las interrupciones. En el eje vertical están las fechas que van del 27 de agosto de 2021 al 6 de septiembre de 2021, y el eje horizontal muestra el número de direcciones IPv4 levantadas para cada ASN. Las columnas azul oscuro son los recuentos de IP, mientras que las columnas cian representan el delta entre cada fila.
Para crear la visualización anterior de los cortes en Luisiana, construimos una consulta que cuenta cada dirección IPv4 única en el estado de Luisiana entre un intervalo de dos fechas, agrupadas por el ASN y la fecha del último escaneado, junto con el delta de cada fila.
WITH
as_active_ips AS (
SELECT
DATE(snapshot_date) AS day,
autonomous_system.asn,
autonomous_system.name,
APPROX_COUNT_DISTINCT(host_identifier.ipv4) AS ipcount
FROM
censys-io.universal_internet_dataset.universal_internet_dataset
WHERE
location.province = "Louisiana"
AND location.country_code = "US"
AND DATE(snapshot_date) BETWEEN '2021-08-27'
AND '2021-09-07'
GROUP BY
day,
autonomous_system.asn,
autonomous_system.name
ORDER BY
day,
autonomous_system.asn,
autonomous_system.name )
SELECT
day,
asn,
name,
ipcount,
ipcount - LAG(ipcount) OVER (PARTITION BY asn ORDER BY day ASC) AS delta
FROM
as_active_ips
GROUP BY
day,
asn,
name,
ipcount
ORDER BY
asn,
name,
day
Utilizando un barrido SNMP ligero, Censys determinó que de 1.797 dispositivos con OID de sistema SNMP de acceso público, sólo 58 dispositivos tenían un tiempo de actividad inferior a 15 días. Cox Communications tenía el mayor número de hosts, con 26 hosts que informaban de un tiempo de actividad bajo, entre 5 y 8 días, seguido de los ocho hosts de AT&T que anunciaban tiempos de actividad de 6 a 7 días. Estos datos pueden darnos una idea de si un centro de datos se desconectó por completo o sólo perdió la conectividad.
¿Adónde vamos ahora?
La destrucción causada por el huracán Ida tuvo un fuerte y significativo impacto en las infraestructuras de Luisiana. Tanto es así que gran parte de la infraestructura de red que estaba disponible hace sólo unas semanas todavía se está recuperando. La mayoría de estos hosts inactivos son usuarios que todavía pueden estar sin electricidad, mientras que otros son hosts que sufrieron cortes de red en un centro de datos con un generador.
Las organizaciones situadas en zonas con mayor frecuencia o probabilidad de que las condiciones meteorológicas adversas afecten a sus operaciones deben considerar planes de recuperación ante catástrofes que incluyan ubicaciones fuera de la zona afectada. Sin embargo, esto no siempre es una opción viable para algunas organizaciones, como hospitales o sistemas escolares. La redundancia multiproveedor para la conectividad a Internet y la alimentación puede ser esencial para esas organizaciones, pero sigue sin garantizar el tiempo de actividad en un evento crítico. Para los sistemas de datos de misión crítica, el uso de una CDN basada en el origen puede ser beneficioso tanto para la fiabilidad como para el rendimiento.
Por último, un resultado interesante de esta investigación muestra lo interconectadas que están las infraestructuras y las catástrofes. El panorama de la ciberseguridad está intrincadamente conectado con el de la seguridad nacional a múltiples niveles. El intercambio de información entre la comunidad de ciberseguridad y los organismos de emergencia puede ser útil fuera de los incidentes de ciberseguridad.
Acerca de Censys
Para obtener más información sobre cómo se utilizan los datos de Censys para informar a las industrias de los riesgos y vulnerabilidades críticos, consulte nuestro blog. Para solicitar una demostración de nuestra plataforma de gestión de la superficie de ataque u otras consultas, ¡póngase en contacto con nosotros!
