Inhoudsopgave
    

De lucratieve handel in IP-adressen
Maarten Reijnders
door Maarten Reijnders
leestijd: 7 min

Nu de schaarste aan IP-adressen van het oude soort toeneemt, stijgen de prijzen. En dat trekt criminelen aan die IP-adresruimte proberen te kapen om vervolgens weer voor veel geld door te verkopen.

Op 14 september 2012 was het moment waarvoor al jaren werd gewaarschuwd eindelijk daar. RIPE NET, de organisatie die verantwoordelijk is voor de uitgifte van IP-adressen in Europa, het Midden-Oosten en Rusland, maakte bekend dat de IP-adressen nu echt zo goed als op waren. De adressen gingen op rantsoen. Internetaanbieders die grote aantallen nieuwe klanten willen aansluiten, kunnen de daarvoor benodigde IP-space niet langer afnemen bij RIPE. De grote blokken IP-adressen die de organisatie nu nog heeft, zijn allemaal gereserveerd voor de implementatie van IPv6, de opvolger van het systeem dat we nu hoofdzakelijk nog gebruiken: IPv4.

Ook wie een ambitieuze startup begint, zal tevergeefs aankloppen bij RIPE voor grote hoeveelheden IP-adressen. De instantie verstrekt weliswaar nog altijd kleine plukjes IP-adressen aan nieuwe partijen (je krijgt 1.024 IPv4-adressen wanneer je je bij RIPE aanmeldt), maar wie meer IP-space wil, moet zijn heil elders zoeken.

Iedereen een nieuwe tv

Er is daardoor de laatste jaren een levendige handel ontstaan in IPv4-adressen. Internetbedrijven die willen blijven groeien, providers die nieuwe abonnees krijgen of nieuwe diensten gaan aanbieden: allemaal hebben ze vroeg of laat behoefte aan nieuwe IP-adressen. En in Nederland kloppen ze daarvoor vaak aan bij Erik Bais van het bedrijf Prefix Broker, dat kopers en verkopers van IP-adressen  met elkaar in contact brengt. "IP-adressen zijn intangible assets", legt hij uit in zijn kantoor in Purmerend. "Je kunt ze niet vasthouden en toch zijn ze geld waard."

Elk apparaat dat is aangesloten op internet, heeft een IP-adres nodig. In het huidige IPv4-systeem zijn er minder dan 4,3 miljard adressen beschikbaar. Omdat de vraag naar IP-adressen vanwege nieuwe diensten en internettoepassingen maar blijft groeien, is er inmiddels sprake van schaarste. Daar zal pas een einde aan komen als de internetgemeenschap massaal is overgestapt op IPv6. Met dat systeem is het mogelijk om 3,4 x 10^38 (34 met 37 nullen) adressen uit te geven. 

"Maar dat zal nog wel een jaar of vijf, zes duren", verwacht Bais. Om daar met een glimlach aan toe te voegen: "Dat zei ik trouwens in 2012 ook al." De overgang naar IPv6 duurt zo lang omdat oude routers en apparaten die nog alleen met IPv4 werken het nog gewoon doen en daardoor in een traag tempo worden vervangen door apparaten die ook IPv6 ondersteunen.

In de tussentijd stijgt de prijs van IP-space. In 2013 werd er per IP-adres gemiddeld zo'n vijf of zes euro betaald, in 2014 steeg dat naar zeven tot acht euro en vorig jaar schommelde de prijs volgens Bais tussen de negen en twaalf euro. Toch leuk als je toevallig nog wat IP-adressen hebt liggen. Zo ontdekte Bais dat de politie in het Engelse Northumbria op een flinke partij ongebruikte IP-adressen zat. "Ze wisten daar helemaal niet dat die IP-adressen van hen waren. Van het geld dat de verkoop opleverde, konden ze het tehuis voor gepensioneerde agenten helemaal opknappen: het werd opnieuw geschilderd, iedereen kreeg een nieuwe tv."

Nepbedrijven

"Er gaat serieus veel geld in om", zegt Bais. Bedrijven zijn bereid om ver te gaan. Zo legde Microsoft vijf jaar geleden 7,5 miljoen dollar neer voor 666.000 IP-adressen van het failliete telecombedrijf Nortel. Meer dan tien dollar per adres.

Het hamsteren van IP-adressen loont, want vooralsnog worden ze alleen maar duurder. Wie een beetje creatief is, kan nog altijd nieuwe IP-adressen aanvragen. Een aanmelding bij RIPE kost 2.000 euro en daar komt de jaarlijkse bijdrage van 1.400 euro nog eens bovenop. Maar voor die 3.400 euro kun je wel gratis 1.024 adressen aanvragen. Om speculatie tegen te gaan, is het pas na twee jaar mogelijk de adressen over te doen aan iemand anders. Maar tegen de huidige prijzen zijn die adressen wel zo rond de tienduizend euro waard. Tel uit je winst.

De prijsstijgingen maken de handel in IP-adressen ook interessant voor figuren met dubieuze bedoelingen. Leslie Nobile van ARIN, de Amerikaanse tegenhanger van RIPE, waarschuwde onlangs dat criminelen nepbedrijven opzetten om IPv4-adressen binnen te hengelen. Ze gaan op zoek naar IP-adressen die eigendom zijn van bedrijven die niet meer bestaan, richten een nieuw bedrijf op met dezelfde naam en eisen vervolgens de waardevolle adressen bij ARIN op. Sinds september vorig jaar ontdekte ARIN 25 van dergelijke kapingspogingen, in de tien jaar daarvoor 50.

Het kantoor van RIPE, dat de IP-adressen in Europa uitgeeft, in Amsterdam
Het kantoor van RIPE, dat de IP-adressen in Europa uitgeeft, in Amsterdam

Gouden koets

Ook aan deze kant van de Atlantische Oceaan zijn er criminelen die proberen onder valse voorwendselen IP-space te bemachtigen. Dat dit een echt probleem is, bleek wel in 2014, toen een groep Bulgaarse criminelen er in slaagde om een week lang IP-adressen van het Nederlandse ministerie van Buitenlandse Zaken over te nemen. Volgens het ministerie waren de gekaapte adressen niet in gebruik en waren er geen aanwijzingen voor misbruik, maar Bais vindt de kaping desalniettemin enorm gênant. "De gouden koets is ook 51 weken per jaar niet in gebruik. Dat betekent nog niet dat je de diefstal daarvan kunt bagatelliseren."

Terwijl de Bulgaarse bende de gekaapte adressen vermoedelijk maar kort wilde gebruiken, waarschijnlijk voor het versturen van spam, proberen andere criminelen IP-ruimte permanent over te nemen met als doel om de adressen vervolgens weer door te verkopen. "Nagemaakte documenten, Roemeense notarissen die vervalste stempels zetten: het gebeurt allemaal", weet Bais. Aan RIPE, dat het overzicht bijhoudt wie eigenaar is van welke adressen, de ondankbare taak om te controleren of er geen sprake is van valsheid in geschrifte en poging tot diefstal.

Ook Bais verricht bij elke verkoop van een blok IP-adressen uitgebreid onderzoek naar de herkomst. Hij vergelijkt zijn werk met dat van een makelaar. "Die bekijkt de kadastrale kaarten en gaat na of er nog een hypotheek op een huis rust. Ik voer archeologisch onderzoek uit op de databases waarin de IP-adressen staan vermeld. Is de aangeboden IP-ruimte wel uitgegeven? Bestaat het bedrijf dat de adressen wil verkopen wel? Je moet zeker weten dat de verkoper ook degene is die hij zegt dat hij is, want er hangt voor de kopende partij veel vanaf. Die hangt zijn bedrijf of cloudomgeving straks immers aan die adressen. Dan moet hij wel weten dat ze ook echt van hem zijn."

Te vies om vast te pakken

Hoeveel een IP-adres waard is, hangt af van verscheidene factoren. Want hoewel elk IP-adres op het eerste gezicht een inwisselbaar rijtje cijfers is, bestaan er grote verschillen. IP-adressen die zijn gebruikt voor twijfelachtige doeleinden zijn bijvoorbeeld minder in trek dan adressen die jarenlang ongebruikt zijn gebleven.

IP-adressen die worden gebruikt om spam te versturen, hackaanvallen uit te voeren of om malware te hosten, belanden op allerhande zwarte lijsten. Tal van partijen gebruiken die lijsten om te bepalen van welke IP-adressen ze wel of geen verkeer willen ontvangen. En dat maakt dergelijke adressen onaantrekkelijk voor een nieuwe eigenaar die met een schone lei wil beginnen. 

"Als de IP-adressen op een blacklist staan vanwege spam, hoeft er geen probleem te zijn als je de adressen niet gaat gebruiken om te mailen", legt Bais uit. Maar het komt ook voor dat een IP-blok zo is misbruikt dat bijna niemand zijn vingers er meer aan wil branden. Zelf nam Bais ooit 'een /19' (ruim 8.000 IP-adressen) over die was gebruikt om botnets aan te sturen en malware te verspreiden. Omdat de adressen 'bijna te vies waren om vast te pakken' kon Bais ze voor een prikkie overnemen, maar hij was vervolgens wel maanden bezig om de boel op te schonen. 

"Al het verkeer dat naar die adressen kwam, afkomstig van geïnfecteerde machines, lieten we in een sinkhole belanden. Vervolgens schreven we iedereen aan die contact probeerde te maken met onze IP-adressen. We legden hun uit dat ze hun computers moesten desinfecteren. Zo werden er heel veel pc's uit een slapend botnet gehaald. Toen dat was gebeurd, konden we de IP-adressen van alle zwarte lijsten laten halen. Uiteindelijk konden we de IP-adressen weer tegen de destijds geldende marktprijs doorverkopen aan een hoster die serieus om IP-adressen verlegen zat en zo weer nieuwe klanten kon aansluiten."

Auteur

Maarten Reijnders (@rohy) was in 1996 mede-oprichter van e-zine SmallZine. Toen het eind 2004 stopte, was SmallZine met ruim dertigduizend abonnees één van de grootste Nederlandstalige e-zines. Van 2000 tot 2006 was Reijnders redacteur bij Webwereld. Nu is hij freelance journalist voor onder meer Bright en Wordt Vervolgd.