Identificamos que o endereço IP 131.221.217.xxx apresenta na porta 31xx um serviço de proxy aberto (open proxy) para a Internet. Esse IP pertence ao bloco 131.221.216.0/22, que está vinculado ao ISP da Empresa de Tecnologia da Informação e Comunicação do Estado do Pará (Prodepa) e alocado para o Departamento de Trânsito do Estado do Pará (Detran-PA).
A título de prova de conceito, configuramos o navegador para o IP e porta descobertos. Em seguida acessamos o site iplocation.net. Para nossa surpresa, a conexão foi bem sucedia e o proxy realmente capturou a página solicitada, conforme imagem a seguir:
Várias bases distintas de geolocalização acusaram a Prodepa e o Detran-PA como ISP e organização do endereço IP.
Observe que o IP de saída da requisição, ou seja, o IP público não é o mesmo do proxy, mas o 177.234.153.130, que pertence ao bloco 177.74.63.192/27 e também está ligado ao Detran-PA.
Esse tipo de configuração de proxy aberto torna a Prodepa e oDetran-PA vulneráveis a atribuição de atividades maliciosas que sejam realizadas por meio do proxy, pois para um terceiro que seja vítima ou autoridade policial que investigue crimes praticados a partir desse endereço IP, as condutas serão imputadas a essas entidades e não aos atacantes que utilizaram o proxy.
Essa configuração de proxy aberto – especialmente se não configurado de forma transparente – é uma forma muito útil de anonimizar ações ofensivas de um elemento malicioso, o que torna esse endereço IP muito atrativo.