
<div dir="ltr">Hi James,<div><br></div><div>Just want to make this clear to NANOG as well - there's no beef here.  The priority was to get delisted.</div><div><br></div><div>The beef is with AfriNIC in this case :) It's not CYMRU's fault.  The datasets are incomplete.</div><div><br></div><div>--<br>C<br><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jan 29, 2020 at 4:03 PM James Shank <<a href="mailto:jshank@cymru.com">jshank@cymru.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi all,<br>

<br>

I am still looking into the history of this issue, but presently, the<br>

prefix Chris shared with us is not on our IPv4 BOGON list.<br>

<br>

For those wanting to see the list, it is available in plain text here:<br>

<br>

<a href="https://www.team-cymru.org/Services/Bogons/fullbogons-ipv4.txt" rel="noreferrer" target="_blank">https://www.team-cymru.org/Services/Bogons/fullbogons-ipv4.txt</a><br>

<br>

I welcome input on this as I look into the history a little more.<br>

<br>

Cheers!<br>

<br>

James<br>

<br>

On 1/29/20 7:27 AM, Chris Knipe wrote:<br>

> Hi All,<br>

> <br>

> <a href="http://ftp.afrinic.net/stats/afrinic/delegated-afrinic-extended-20200129" rel="noreferrer" target="_blank">http://ftp.afrinic.net/stats/afrinic/delegated-afrinic-extended-20200129</a><br>

> <br>

> Another thing that stuck it's head out today now.  No ASN, nor IP prefixes<br>

> allocated since 2019/05/15 is listed in the delegated text files.  Our (and<br>

> I am sure others) prefixes is now null routed at team CYMRU (contacted<br>

> them, waiting for response).<br>

> <br>

> Yesterday's file was incomplete (looks like there were errors with the<br>

> script perhaps), and today's file is missing an enormous amount of data (1<br>

> ASN, 163 IPv4 allocations, and 272 IPv6 allocations). This is comparing the<br>

> data file from 2020/01/29 (today) to 2020/01/27 (two days ago).<br>

> <br>

> We also have a ticket with AfriNIC (no response yet), and when we called<br>

> them there was no one "available" to assist.<br>

> <br>

> <br>

> On Wed, Jan 29, 2020 at 1:20 AM Ronald F. Guilmette <<a href="mailto:rfg@tristatelogic.com" target="_blank">rfg@tristatelogic.com</a>><br>

> wrote:<br>

> <br>

>> In message <<a href="mailto:ff4bd087-2a84-b9d9-6f5b-715826a35aa6@brenac.eu" target="_blank">ff4bd087-2a84-b9d9-6f5b-715826a35aa6@brenac.eu</a>>,<br>

>> thomas brenac <<a href="mailto:thomas@brenac.eu" target="_blank">thomas@brenac.eu</a>> wrote:<br>

>><br>

>>> Thank you Ronald, I also heard of governance issue in AFRINIC by some<br>

>>> people during the last RIPE meeting so the word is spreading. Now is<br>

>>> there any other /16 impacted to your knowledge ? Would be worth pushing<br>

>>> to have them in as many Drop list as possible maybe :)<br>

>><br>

>> As reported in Jan Vermeulen's article on the web site <a href="http://mybroadband.co.za" rel="noreferrer" target="_blank">mybroadband.co.za</a><br>

>> published December 4, there has been, and continues to be a large number<br>

>> of blocks, both "legacy" blocks and other blocks, that were stolen from<br>

>> the Afrinic free pool.  These blocks are of varying sizes, generally /16<br>

>> blocks but also some larger ones as well as a few smaller ones.<br>

>><br>

>> The list of affected legacy blocks from Jan's article are as follows:<br>

>><br>

>> <a href="http://196.10.64.0/19" rel="noreferrer" target="_blank">196.10.64.0/19</a><br>

>> <a href="http://196.10.61.0/24" rel="noreferrer" target="_blank">196.10.61.0/24</a><br>

>> <a href="http://196.10.62.0/23" rel="noreferrer" target="_blank">196.10.62.0/23</a><br>

>> <a href="http://160.121.0.0/16" rel="noreferrer" target="_blank">160.121.0.0/16</a><br>

>> <a href="http://155.235.0.0/16" rel="noreferrer" target="_blank">155.235.0.0/16</a><br>

>> <a href="http://152.108.0.0/16" rel="noreferrer" target="_blank">152.108.0.0/16</a><br>

>> <a href="http://155.237.0.0/16" rel="noreferrer" target="_blank">155.237.0.0/16</a><br>

>> <a href="http://169.129.0.0/16" rel="noreferrer" target="_blank">169.129.0.0/16</a><br>

>> <a href="http://165.25.0.0/16" rel="noreferrer" target="_blank">165.25.0.0/16</a><br>

>> <a href="http://160.122.0.0/16" rel="noreferrer" target="_blank">160.122.0.0/16</a><br>

>> <a href="http://168.80.0.0/15" rel="noreferrer" target="_blank">168.80.0.0/15</a><br>

>> <a href="http://165.3.0.0/16" rel="noreferrer" target="_blank">165.3.0.0/16</a><br>

>> <a href="http://165.4.0.0/16" rel="noreferrer" target="_blank">165.4.0.0/16</a><br>

>> <a href="http://165.5.0.0/16" rel="noreferrer" target="_blank">165.5.0.0/16</a><br>

>> <a href="http://160.115.0.0/16" rel="noreferrer" target="_blank">160.115.0.0/16</a><br>

>><br>

>> In addition to all of the above, I have some reason to believe that the<br>

>> following additional legacy block WAS (past tense) stolen, but has now<br>

>> been reclaimed by, and ressigned to its rightful modern owner:<br>

>><br>

>> <a href="http://152.108.0.0/16" rel="noreferrer" target="_blank">152.108.0.0/16</a><br>

>><br>

>> It is highly probable that there are other and additional legacy blocks<br>

>> that have also been stolen.  I have been prevented from fully completing<br>

>> my research work on this part of the problem by ongoing stonewalling by<br>

>> Afrinic.  Specifically, despite Afrinic having a defined protocol whereby<br>

>> legitimate researchers may request confidential access to the unredacted<br>

>> Afrinic WHOIS data base for legitimate research purposes... a protocol<br>

>> and a process which is fully supported and operational at all of the other<br>

>> four global RIRs... Afrinic has, for reasons unknown, elected to only<br>

>> provide redacted versions of its WHOIS data base which are identical<br>

>> to what may be obtained at any time, and without any special protocol,<br>

>> directly from Afrinic's FTP server (via anonymous FTP).  Because the<br>

>> accurate identification of stolen Afrinic legacy blocks involves the<br>

>> careful analysis of the *unredacted* contact person: records, access to<br>

>> only the redacted data base is of no value whatsoever in the task of<br>

>> identifying stolen Afrinic legacy blocks.<br>

>><br>

>> Here is the page on the Afrinic web site where they needlessly torment<br>

>> legitimate researchers into believing that they will be able to get the<br>

>> same kind of unredacted WHOIS data base access as is provided, upon<br>

>> vetting and approval, by all of the other RIRs:<br>

>><br>

>>     <a href="https://www.afrinic.net/services/207-bulk-whois-access" rel="noreferrer" target="_blank">https://www.afrinic.net/services/207-bulk-whois-access</a><br>

>><br>

>> The list of blocks that appear to have been stolen from the Afrinic free<br>

>> pool, as published in Jan's Dec 4 article are as follows:<br>

>><br>

>> "Infoplan"/"Network and Information Technology Limited":<br>

>> <a href="http://196.16.0.0/14" rel="noreferrer" target="_blank">196.16.0.0/14</a><br>

>> <a href="http://196.4.36.0/22" rel="noreferrer" target="_blank">196.4.36.0/22</a><br>

>> <a href="http://196.4.40.0/22" rel="noreferrer" target="_blank">196.4.40.0/22</a><br>

>> <a href="http://196.4.44.0/23" rel="noreferrer" target="_blank">196.4.44.0/23</a><br>

>><br>

>> "Cape of Good Hope Bank"/"CGHB":<br>

>> <a href="http://165.52.0.0/14" rel="noreferrer" target="_blank">165.52.0.0/14</a><br>

>> <a href="http://137.171.0.0/16" rel="noreferrer" target="_blank">137.171.0.0/16</a><br>

>> <a href="http://160.184.0.0/16" rel="noreferrer" target="_blank">160.184.0.0/16</a><br>

>> <a href="http://168.211.0.0/16" rel="noreferrer" target="_blank">168.211.0.0/16</a><br>

>> <a href="http://192.96.146.0/24" rel="noreferrer" target="_blank">192.96.146.0/24</a>  -- NOTE!!  -- 100% legitimate legacy allocation!<br>

>><br>

>> The following additional blocks had also been stolen from the Afrinic free<br>

>> pool.  I had informed Jan about these blocks also, but for some reason<br>

>> these were not mentioned in Jan's Dec 4th article.  (I assume that this<br>

>> was simply a clerical oversight on Jan's part.  I had given him quite<br>

>> a lot of material to sort through.)<br>

>><br>

>> "ITC":<br>

>> <a href="http://196.194.0.0/15" rel="noreferrer" target="_blank">196.194.0.0/15</a><br>

>> <a href="http://196.246.0.0/16" rel="noreferrer" target="_blank">196.246.0.0/16</a><br>

>> <a href="http://196.45.112.0/20" rel="noreferrer" target="_blank">196.45.112.0/20</a><br>

>> <a href="http://196.42.128.0/17" rel="noreferrer" target="_blank">196.42.128.0/17</a><br>

>> <a href="http://196.193.0.0/16" rel="noreferrer" target="_blank">196.193.0.0/16</a><br>

>><br>

>> "Link Data Group":<br>

>> <a href="http://160.255.0.0/16" rel="noreferrer" target="_blank">160.255.0.0/16</a><br>

>> <a href="http://196.62.0.0/16" rel="noreferrer" target="_blank">196.62.0.0/16</a><br>

>> <a href="http://198.54.232.0/24" rel="noreferrer" target="_blank">198.54.232.0/24</a><br>

>> <a href="http://196.207.64.0/18" rel="noreferrer" target="_blank">196.207.64.0/18</a><br>

>> <a href="http://196.192.192.0/18" rel="noreferrer" target="_blank">196.192.192.0/18</a><br>

>> <a href="http://160.181.0.0/16" rel="noreferrer" target="_blank">160.181.0.0/16</a><br>

>> <a href="http://213.247.0.0/19" rel="noreferrer" target="_blank">213.247.0.0/19</a><br>

>><br>

>> As of this moment, Afrinic has properly reclaimed all of the "ITC" and<br>

>> "Link Data Group" and "Cape of Good Hope Bank"/"CGHB" blocks.  Those<br>

>> blocks are now officially unregistered.  I am informed and believe that<br>

>> it is Afrinic's intent to place all of these blocks into a "quarantine"<br>

>> status for a minimum of 1 year, which I think is entirely proper and<br>

>> prudent, under the circumstances.<br>

>><br>

>> I have no explanation for why Afrinic has not yet reclaimed any of the<br>

>> "Infoplan"/"Network and Information Technology Limited" blocks, especially<br>

>> the <a href="http://196.16.0.0/14" rel="noreferrer" target="_blank">196.16.0.0/14</a> block.  This is for me deeply troubling, as I have some<br>

>> reason to believe that these blocks were stolen by a party or parties,<br>

>> who were also Afrinic insiders, but people other than the one "insider"<br>

>> perpetrator of these crimes who has already been identified by myself and<br>

>> Jan, and who is now the subject of a police investigation in Mauritius.<br>

>><br>

>> I am not personally aware of any action that Afrinic has taken to try to<br>

>> remediate the situation with regards to the stolen legacy blocks, as<br>

>> listed above.  These blocks all quite provably had their associated<br>

>> person: contact records fiddled in the WHOIS data base in a manner so<br>

>> as to redirect both emails and phone calls to either the perpetrators<br>

>> or those others to whom the perpetrators had re-sold these stolen goods.<br>

>><br>

>> In fact, I am not even sure that Afrinic even has the capability to undo<br>

>> the damage in the case of these legacy blocks and their fiddled contact<br>

>> person: records.  Quite obviously, proper remediation of the affected<br>

>> person: records would involve restoring those to what they were before<br>

>> they had been fradulently fiddled.  Completion of that task is quite<br>

>> obviously dependent upon Afrinic having access to historical backups of<br>

>> its own WHOIS data base from as much as ten years ago.  It is not at this<br>

>> moment clear to me that Afrinic is even in possession of such historical<br>

>> backups, and the fact that they have, as yet, made no apparent efforts to<br>

>> remediate the fradulently fiddled person: records suggests to me that they<br>

>> likely do not possess such backups.<br>

>><br>

>> Many of the legacy blocks and many parts of the blocks that were stolen<br>

>> from the Afrinic free pool, both those that have been reclaimed and those<br>

>> that haven't yet been reclaimed, continue to be routed by various parties<br>

>> on behalf of the thieves and black market buyers of these blocks even as<br>

>> we speak.  I hope to be able to post a fully list of those routes and the<br>

>> relevant ASNs that are providing the ongoing routing for various parts of<br>

>> this mass of stolen booty in the very near future.<br>

>><br>

>><br>

>> Regards,<br>

>> rfg<br>

>><br>

> <br>

> <br>

<br>

-- <br>

James Shank<br>

Senior Security Evangelist; Chief Architect, Community Services<br>

Team Cymru, Inc.<br>

<a href="mailto:jshank@cymru.com" target="_blank">jshank@cymru.com</a>; +1-847-378-3365; <a href="http://www.team-cymru.com/" rel="noreferrer" target="_blank">http://www.team-cymru.com/</a><br>

</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><br>Regards,<br>Chris Knipe<br></div>