[lacnog] Articulo: How to avoid security issues with VPN leaks on dual-stack networks

Jue Ene 31 20:31:51 BRST 2013

On 01/31/2013 12:06 PM, Carlos M. Martinez wrote:
> Ahora agregando a lo que dice Arturo: Y no solo IPv6, sustituir <IPv6>
> por <Tecnología X> y con los mismos argumentos acabas de congelar el
> desarrollo tecnologico de la disciplina X en función de un análisis de
> riesgo sin base real.

En lo personal, creo que cuando se frena el desarrollo técnico por
cuestiones de marketing, reputación, u económicas, se mata cualquier
posibilidad de "ciencia" en el campo.

  “Cuando estudias cualquier materia o consideras cualquier
   filosofía pregúntate solamente: Cuales son los hechos, y cual
   es la verdad que los hechos corroboran. Nunca te desvíes, ya
   sea por lo que deseas creer, o lo por lo que tu piensas que
   podría tener un efecto benéfico en la sociedad; solo debes
   mirar única y exclusivamente cuales son los hechos”
                   – Bertrand Russell

> Con esto no digo que las vulnerabilidades que han identificado no sean
> reales, digo que su impacto en la práctica es el que tiene que ser
> valorado adecuadamente.

Esto es dificil, y hasta virtualmente imposible.

Lease: Uno piensa en "despliegue masivo de X tecnología" y su "analisis
de riesgo" para "Doña Rosa" (o John Doe, o quien sea). Pero no conoce a
Doña Rosa. Tal vez Doña Rosa no tenga documentos sobre armas
nucleares... pero... who knows.. tal vez tenga porno casero :-) que hizo
con su marido, y cuyo "leak" para ella sea crucial. A veces el impacto
puede medirse en dinero... en otros casos no... y todo se vuelve
subjetivo...

> Para mi hablar de 'seguridad' sin un análisis de adversarios y amenazas
> y con ello una aceptación de determinados riesgos, que lo acompañe es un
> ejercicio destinado a entrar en una espiral de paranoia sin fin.

Casi todo lo que he escrito habla sobre "vulnerabilidades", y no sobre
"amenazas". -- el punto de "amenazas" se vuelve poco técnico, muchas
veces algo subjetivo, y está "out of scope" de mucho de lo que he publicado.

De manera sintetica, mi articulo intenta decir "Esto es algo que
existe... evaluá vos si te es importante o no, y como mitigarlo".

> Aceptar
> riesgos es lo que hacemos todo el tiempo, hasta para salir a la calle e
> ir a trabajar, o al subirse al auto. No veo porque en el tema de
> seguridad en TI no queremos aceptar que debemos negociar riesgos también.

Uno de los grandes problemas acá es si uno tiene un beneficio direto en
aceptarlo.

Ejemplo tonto:
Si vos me decis "Bajarias de tu departamento con una 'cuerda' echa con
sabanas", te diría "No... Salvo que tenga un buen motivo". Asumiría ese
riesgo si la otra opciń es "morirme carbonizado por un incendio" (por
ejemplo)... Pero no bajaría de esa manera para "ver que onda", o
"sentirme Mac Gyver" por un rato...

> Por eso creo que hay que diferenciar el trabajo de 'analisis de
> vulnerabilidad' o de 'potenciales ataques' de lo que es 'analisis de
> seguridad'. Un poco lo que trata de hacer el scoring de CVE, ponderando
> diferentes factores en una determinada vulnerabilidad.

Coincido con ello. Sin embargo, debo decir que tengo mis reservas :-) no
solo frente a los ratings de los CVEs... si no a la politica de
asignacion de "candidate CVE entries" que mas de una vez uno ve aplicar
en la práctica...

Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492