Introduction
Le 29 août, Ida , un ouragan de catégorie 4, a touché terre en Louisiane, où plusieurs organismes de presse ont signalé des vents de plus de 150 miles par heure (241 km/h). Les ouragans peuvent causer d'énormes dégâts aux infrastructures des services publics, tels que l'électricité, le câble, le DSL/téléphonie et les réseaux de fibres optiques, créant des pannes catastrophiques qui peuvent prendre beaucoup de temps et d'argent pour y remédier. Certains médias rapportent qu'il faudra quelques jours, voire quelques semaines, pour réparer les dommages causés à l'infrastructure électrique. En raison de ces dommages physiques , nous pouvons suivre l'impact de l'Ida sur la disponibilité des hôtes dans l'espace IP de la Louisiane afin de mieux comprendre les problèmes auxquels les résidents sont confrontés.
En bref, l'analyse de l'espace IP de la Louisiane nous a permis d'observer ce qui suit :
- Plusieurs fournisseurs de services Internet ont connu des pertes de couverture importantes pendant deux jours, notamment AT&T, Cox, Comcast et Suddenlink. Ces pannes sont vraisemblablement liées à des informations faisant état de dommages causés à la transmission d'électricité et aux poteaux électriques dans l'ensemble de l'État.
- AS397793, qui héberge le site web du Sewerage and Water Board of New Orleans (swbno.org), a été complètement hors ligne pendant plus de 48 heures.
- L'AS16913, qui héberge l'université Loyola de Louisiane (loyno.edu) et d'autres infrastructures de réseau, a été mis hors ligne, mais s'est partiellement rétabli au cours des jours suivants.
- Un hôpital médical régional a vu son empreinte connectée à l'internet disparaître, alors que son site web était toujours en ligne grâce aux services en nuage.
- Plusieurs systèmes autonomes (AS) ne signalaient aucun hôte dans l'espace d'adresses IP de Louisiane.
Nous analyserons ces découvertes clés un peu plus en détail à l'aide de requêtes SQL BigQuery sur notre ensemble de données Enterprise Universal Internet.
Une perspective sur l'activité mondiale
À titre de rappel - ou pour ceux qui ne connaissent pas Censys- nous analysons l'ensemble de l'espace d'adressage IPv4 de l'internet, à l'exception de certaines plages réservées et inscrites sur des listes de blocage. En d'autres termes, nous suivons plus de 200 millions d'hôtes (ceux qui répondent avec un port ouvert) dans le monde entier, même dans des endroits très éloignés.
Pour chaque hôte que nous découvrons, nous suivons tous les ports ouverts (nous en scannons plus de 3 500, et ce nombre augmente avec chaque nouvelle fonctionnalité) et conservons l'historique de ces hôtes au fil du temps. Nous sommes en quelque sorte la machine à remonter le temps, mais pour les appareils connectés à l'internet. Cette activité est utile pour aider les particuliers et les organisations à identifier les infrastructures malveillantes afin de lutter contre les atteintes à la cybersécurité commises par des acteurs malveillants, des réseaux criminels et des acteurs alignés sur l'État, pour n'en citer que quelques-uns. Elle est également utile aux organisations pour mieux comprendre leurs actifs depuis l'adoption explosive des technologies de l'information au cours des deux dernières décennies, qui a causé un problème d'inventaire massif pour les équipes de sécurité dans le monde entier.
Cependant, il s'avère que l'analyse de l'Internet peut également nous aider à mieux quantifier l'impact des catastrophes naturelles telles que l'ouragan Ida en observant les changements dans la disponibilité des hôtes par le biais de nos analyses de l'Internet.
La forme nominale de l'espace IP de la Louisiane
En moyenne, le nombre quotidien d'hôtes pour les adresses IP identifiées dans l'État de Louisiane s'élève à 236 000. Le 28 août 2021, la veille du jour où Ida a touché terre, 192 AS connus ont signalé des hôtes actifs en Louisiane. Les 10 premiers AS ci-dessous représentent la majeure partie des hôtes de l'État :
| Numéro AS (ASN) |
AS Description |
# Hôtes/IP |
| 20115 |
CHARTE-20115 |
51155 |
| 22773 |
ASN-CXA-ALL-CCI-22773-RDC |
43929 |
| 7018 |
ATT-INTERNET4 |
32000 |
| 5009 |
EATEL |
21437 |
| 209 |
CENTURYLINK-US-LEGACY-QWEST |
14590 |
| 6389 |
BELLSOUTH-NET-BLK |
10654 |
| 19108 |
SUDDENLINK-COMMUNICATIONS |
6455 |
| 7922 |
COMCAST-7922 |
5814 |
| 13760 |
UNITI-FIBER |
3935 |
| 25921 |
LUS-FIBER-LCG |
3885 |
Les 10 premiers systèmes autonomes (SA) le 28 août 2021 - avant l'arrivée de l'ouragan
L'espace d'adresses IP de la Louisiane est composé principalement de fournisseurs de services Internet à large bande résidentiels et commerciaux, notamment :
- Charte
- Cox (ASN-CXA-ALL-CCI-22773-RDC)
- AT&T (qui comprend Bellsouth)
- EATEL
- Centurylink
- Suddenlink
- Comcast
- Uniti Fiber
- LUS Fiber
Uniti Fiber se distingue un peu plus. Selon sa page Wikipédia, elle est le "principal fournisseur de solutions d'infrastructure, y compris la liaison de site cellulaire et les petites cellules pour les opérateurs sans fil, ainsi que l'Ethernet, les longueurs d'onde et la fibre noire pour les opérateurs de télécommunications et les entreprises". Étant donné le rôle d'Uniti Fiber dans la connectivité cellulaire et les interventions d'urgence, il est essentiel de prêter une attention particulière aux pannes survenant sur son réseau.
Mesurer l'impact d'Ida sur les hôtes tournés vers l'internet
L'espace d'adresses IP de la Louisiane compte généralement environ 237 000 hôtes disponibles sur l'internet public un jour donné. Ces hôtes proviennent de différents réseaux au sein de cet espace IP, mais la grande majorité d'entre eux sont issus de fournisseurs de services Internet résidentiels/commerciaux, tels que Comcast, Cox, AT&T et Suddenlink. Au total, Censys a observé une baisse de plus de 50 % des hôtes orientés vers l'internet pour l'ensemble de la Louisiane entre le 29 août et le 1er septembre:
Hôtes orientés vers l'internet pour la Louisiane, du 2021-08-15 au 2021-09-09
Étant donné que la majorité de l'espace IP de la Louisiane est constituée de fournisseurs d'accès à Internet (FAI), nous pouvons approfondir ces données pour mieux comprendre l'impact par FAI. Les sections suivantes comprennent des graphiques qui affichent le nombre d'hôtes actifs au fil du temps.
AS22773 - Cox Communications
En cinq jours, l'AS22773 (ASN-CXA-ALL-CCI) est passé de plus de 43 000 hôtes IPv4 à seulement 16 670 le 1er septembre. La baisse la plus importante a été enregistrée le 30 août, avec un delta de plus de 9 432 hôtes en moins par rapport au jour précédent. Au 7 septembre, ce nombre avait lentement augmenté pour atteindre environ la moitié de ce qu'il était avant le début de la tempête.
AS20115 - Charter Communications
AS20115 (CHARTER COMMUNICATIONS) a vu un changement massif de 51 150 adresses IPv4 actives vers un maigre 8 185 hôtes le 1er septembre. Des milliers d'hôtes sont réapparus dans nos scans au fil du temps, et au 7 septembre, seuls 19 947 hôtes sont en ligne par rapport au nombre initial rapporté avant la tempête.
AS7018 - AT&T Internet
ATT-INTERNET - un fournisseur d'accès Internet résidentiel populaire en Louisiane - a connu une chute massive de 31 984 hôtes le 28 août à seulement 11 526 le 1er septembre. Cette diminution du nombre d'hôtes actifs nous donne une idée du nombre de foyers privés d'électricité pendant cette période.
AS5009 - EATEL
Eatel est un autre fournisseur d'accès à Internet résidentiel qui est passé d'un nombre d'hôtes actifs de 21 451 le 28 août à 10 994 le 1er septembre. Le changement le plus important s'est produit le 30 août, avec une baisse de 4 464 hôtes.
Détermination des pannes de l'ensemble du réseau
Comme la plateforme Censys marque les adresses IP identifiées avec des informations de géolocalisation et de système autonome, nous pouvons utiliser ces marques pour filtrer l'espace d'adresses IP de Louisiane et identifier les réseaux qui n'apparaissent pas dans notre dernier instantané de balayage, par rapport au jour où la tempête a touché terre. Censys stocke nos données de manière à ce qu'elles puissent être interrogées par BigQuery, qui est disponible pour tout client d'entreprise ou du secteur public. Nous pouvons obtenir cette liste à l'aide d'une requête SQL :
SELECT A.asn, A.description
FROM (
SELECT DISTINCT autonomous_system.asn, autonomous_system.description
FROM `censys-io.universal_internet_dataset.universal_internet_dataset`
WHERE DATE(snapshot_date) = "2021-08-27"
AND location.province = "Louisiana"
) A
FULL OUTER JOIN (
SELECT DISTINCT autonomous_system.asn, autonomous_system.description
FROM `censys-io.universal_internet_dataset.universal_internet_dataset`
WHERE DATE(snapshot_date) = "2021-08-31"
AND location.province = "Louisiana"
) B
ON (A.asn = B.asn)
WHERE B.asn is null
Cette requête donne les résultats suivants, indiquant les réseaux qui ne sont plus disponibles :
| Numéro AS (ASN) |
AS Description |
Analyse |
| 16913 |
LOYNO-EDU |
www.loyno.edu, qui était complètement hors ligne et qui est maintenant rétabli, ainsi que l'infrastructure informatique connexe. |
| 40877 |
XULA |
Inconnu ; un seul hôte exécutant SNMP a été observé dans cet AS en Louisiane. |
| 35869 |
PETERAMAYER |
peteramayer.com, une agence de publicité |
| 54311 |
DCC-615-DELGADO-COMMUNITY-COLLEGE |
dcc.edu, un établissement d'enseignement supérieur communautaire de Louisiane, a vu son réseau perturbé pendant l'une des périodes les plus longues à ce jour". |
| 55028 |
KIEWIT- |
|
| 1648 |
CONSEIL SCOLAIRE DE LA PAROISSE DE JEFFERSON |
jpschools.org, dont la page d'accueil affiche une bannière indiquant qu'ils sont fermés jusqu'à nouvel ordre. Nous pouvons voir que leur réseau a été mis hors ligne pendant un certain temps. |
| 397793 |
ASN-SWBNO-01 |
swbno.org, l'office des eaux et des égouts de la Nouvelle-Orléans, qui a vu sa présence sur le réseau disparaître complètement de l'internet pendant un certain temps. |
| 22218 |
ITC-GLOBAL |
|
Les systèmes autonomes (AS) ci-dessus ne sont plus disponibles selon les analyses de Censys .
Dans la visualisation suivante, le lecteur peut facilement voir quand et où les pannes ont commencé à se produire. L'axe vertical représente les dates allant du 27 août 2021 au 6 septembre 2021, et l'axe horizontal indique le nombre d'adresses IPv4 pour chaque ASN. Les colonnes bleu foncé représentent le nombre d'adresses IP, tandis que les colonnes cyan représentent le delta entre chaque ligne.
Pour créer la visualisation ci-dessus des pannes en Louisiane, nous avons construit une requête qui compte chaque adresse IPv4 unique dans l'État de Louisiane entre une plage de deux dates, groupées par l'ASN et la dernière date de balayage, ainsi que le delta de chaque ligne.
WITH
as_active_ips AS (
SELECT
DATE(snapshot_date) AS day,
autonomous_system.asn,
autonomous_system.name,
APPROX_COUNT_DISTINCT(host_identifier.ipv4) AS ipcount
FROM
censys-io.universal_internet_dataset.universal_internet_dataset
WHERE
location.province = "Louisiana"
AND location.country_code = "US"
AND DATE(snapshot_date) BETWEEN '2021-08-27'
AND '2021-09-07'
GROUP BY
day,
autonomous_system.asn,
autonomous_system.name
ORDER BY
day,
autonomous_system.asn,
autonomous_system.name )
SELECT
day,
asn,
name,
ipcount,
ipcount - LAG(ipcount) OVER (PARTITION BY asn ORDER BY day ASC) AS delta
FROM
as_active_ips
GROUP BY
day,
asn,
name,
ipcount
ORDER BY
asn,
name,
day
À l'aide d'un balayage SNMP léger, Censys a déterminé que sur 1 797 dispositifs dont les OID de système SNMP sont accessibles au public, seuls 58 dispositifs avaient un temps de disponibilité inférieur à 15 jours. Cox Communications comptait le plus grand nombre d'hôtes, avec 26 hôtes signalant un temps de disponibilité faible entre 5 et 8 jours, suivi par les huit hôtes d'AT&T qui annonçaient des temps de disponibilité de 6 à 7 jours. Ces données peuvent nous permettre de savoir si un centre de données a été complètement mis hors service ou s'il a simplement perdu sa connectivité.
Quelle est la suite des événements ?
Les destructions causées par l'ouragan Ida ont eu un impact puissant et significatif sur l'infrastructure de la Louisiane. À tel point qu'une grande partie de l'infrastructure réseau qui était disponible il y a seulement quelques semaines est encore en cours de récupération. La majorité de ces hôtes inactifs sont des utilisateurs qui peuvent encore être privés d'électricité, tandis que d'autres sont des hôtes qui ont subi des pannes de réseau dans un centre de données équipé d'un générateur.
Les organisations situées dans des zones où la fréquence ou la probabilité des intempéries est plus élevée devraient envisager des plans de reprise après sinistre qui prévoient des sites en dehors de la zone touchée. Cependant, cette option n'est pas toujours viable pour certaines organisations, comme les hôpitaux ou les systèmes scolaires. La redondance de plusieurs fournisseurs pour la connectivité internet et l'alimentation électrique peut être essentielle pour ces organisations, mais elle ne garantit toujours pas le temps de fonctionnement en cas d'événement critique. Pour les systèmes de données critiques, l'utilisation d'un CDN basé sur l'origine peut être bénéfique à la fois pour la fiabilité et la performance.
Enfin, un résultat intéressant de cette enquête montre à quel point les infrastructures et les catastrophes sont interconnectées. Le paysage de la cybersécurité est étroitement lié au paysage de la sécurité nationale à de multiples niveaux. Le partage d'informations entre la communauté de la cybersécurité et les agences d'urgence peut être utile en dehors des incidents de cybersécurité.
À propos de Censys
Pour plus d'informations sur la façon dont les données Censys sont utilisées pour informer les industries des risques et vulnérabilités critiques, consultez notre blog. Pour demander une démonstration de notre plateforme de gestion de la surface d'attaque ou pour toute autre question, contactez-nous!
