[lacnog] Efectividad de bloqueos usando RPKI

Fernando Frediani fhfrediani en gmail.com
Mar Ene 28 20:04:43 GMT+3 2020 

Hola Jordi

On 28/01/2020 16:08, JORDI PALET MARTINEZ via LACNOG wrote:
>
> Hola a todos,
>
> Aparte de que como dice Carlos, no ha ocurrido, la verdad es que creo 
> que es muy difícil que ocurra. Pienso que ninguna autoridad judicial 
> podría dar una orden así a ningún RIR y que este no demorara su 
> ejecución, mediante la propia vía judicial.
>
Bueno! Una autoridad judicial puede darle la orden que desee, incluso si 
es exótica o ilegal. Solo queda para aquellos que no aceptan recurrir a 
un nivel superior.
Recuerda que estamos hablando de cabezas de de jueces !
>
> Creo que daría tiempo a reaccionar con alguna solución o incluso 
> avisar a la comunidad de medidas para evitar efectos indeseados, etc.
>
No creo que esto sea muy efectivo. Hasta que esto suceda después de que 
se ejecute la orden, el daño puede, en muchos casos, ser irreversible 
para la organización afectada.
>
> Dudo mucho que haya acuerdos entre países, tan específicos y claros de 
> tal forma que, si (por poner un ejemplo) desde España se pide a 
> Uruguay, concretamente a LACNIC, ni siquiera mediante comunicación 
> justicia-de-España a justicia-de-Uruguay, se tenga que cumplir.
>
> Y precisamente creo que todos los RIRs están en países con un sistema 
> fundado y neutral.
>
No creo que esto sea efectivo. La atención se centra en los sistemas 
judiciales de los países donde se encuentran los 5 RIR. Y estoy de 
acuerdo contigo. Aparentemente son países con un poco menos de 
controversia, pero nunca imposibles.
>
> Fijaros en cuestiones como el GDPR. Aunque haya una “sentencia” de 
> incumplimiento en un país **no adherido** a los convenios del mismo, 
> aunque haya una multa de 20 millones de euros, es muy difícil, que se 
> pueda ejecutar, salvo que los “condenados”, pisen territorio europeo o 
> tengan allí bienes, cuentas bancarias, etc.
>
> O si queréis verlo de forma mas sencilla, un ciudadano de cualquier 
> parte del mundo comete un delito, o falta de cualquier tipo en otro 
> país, diferente del suyo, y en la mayoría de los casos, la 
> “extradición” (y por tanto la obligación de unas autoridades hacia 
> otras autoridades), no aplica salvo para delitos muy concretos, y a 
> veces incluso no coinciden los “ámbitos de interpretación” (por 
> llamarlo de algún modo) de esos casos.
>
Este es uno de los mayores absurdos del GDPR. Me gustaría mucho saber de 
qué "mentes brillantes" surgió esta idea.
>
> De todos modos, si es una orden judicial, hasta que punto tenemos 
> derecho a incumplirla?
>
Ninguno. Solo tenemos derecho a apelar a los tribunales superiores.
>
> Si hay un AS o un prefijo que esta provocando cualquier tipo de males, 
> incluso cosas como pornografía infantil, etc., o violando la ley de un 
> país de la forma que sea, no creéis que es aceptable ese filtrado si 
> es con una orden judicial?
>
Creo que hay otras medidas que se pueden lanzar antes de una de estas 
que involucre a un tercero, en este caso el RIR.
>
> Esta claro que podría ser usado maliciosamente, imaginemos un golpe de 
> estado en un país que aloja un RIR, y que se quiebra la separación de 
> poderes. Creo que, en esa situación, y posiblemente antes de que 
> llegue ninguna orden al RIR … esté (o el conjunto de ellos) tendrán un 
> plan de contingencia para evitar ser influido por tal situación.
>
> No recuerdo haber oído hablar de ello, pero si no lo hay, creo que es 
> una tarea urgente para el NRO. Igual los root DNS, incluso ICANN, 
> tienen planteamientos similares.
>
> La parte de los NIRs, la verdad es que tengo dudas, porque no tengo 
> claro ahora mismo si una orden judicial en un país donde está ubicado 
> un NIR, que no le llegue también al RIR correspondiente, puede tener 
> impacto real.
>
Creo que en el caso del NIR, solo los prefijos que han sido delegados a 
organizaciones en ese país son delegados por el RIR, pero puedo estar 
equivocado.
Si un NIR pudiera firmar cualquier prefijo, sería un gran problema para 
todo el sistema.

Saludos
Fernando Frediani

> El 28/1/20 18:01, "LACNOG en nombre de Carlos M. Martinez" 
> <lacnog-bounces en lacnic.net <mailto:lacnog-bounces en lacnic.net> en 
> nombre de carlosm3011 en gmail.com <mailto:carlosm3011 en gmail.com>> escribió:
>
> Hola Fernando,
>
> El riesgo que mencionas es real. Nunca ha ocurrido, pero no quiere 
> decir que nunca vaya a ocurrir.
>
> Algo similar pasa con la firma de la raíz del DNS, incluso diría que 
> en ese caso el riesgo es mayor. También es un problema que afecta a 
> todo proveedor de Cloud, como se ve en los recientes choques entre 
> Apple y el FBI.
>
> Han habido dos lineas de trabajo en este tema, que quizás tu mismo nos 
> puedes ayudar a profundizar :-)
>
> 1- dotar al sistema de RPKI de mecanismos que hagan que no alcance con 
> bloquear en un TA. Como sería esto, no tengo idea, pero es algo que al 
> menos en reuniones informales se ha hablado.
>
> 2- dotar al sistema de RPKI de una propiedad que se conoce como la de 
> ser “tamper evident”, es decir, que si el sistema es alterado por 
> mecanismos fuera de los carriles normales, cualquier observador 
> externo sepa que justamente, el sistema fue alterado
>
> Este ultimo punto para mi es particularmente interesante, ya que creo 
> que tiene aplicabilidad mas allá de RPKI.
>
> Hay un paper de Sharon Goldberg en el que ella discute algunas de 
> estas amenazas y hace algunas propuestas que van de la mano de (2).
>
> http://www.cs.bu.edu/~goldbe/papers/hotRPKI.pdf
>
> (Este paper ganó en 2014 el ANRP, Applied Networking Research Prize, 
> que organiza el IETF)
>
> S2
>
> /Carlos
>
> On 28 Jan 2020, at 13:18, Fernando Frediani wrote:
>
>     Pensé antes de escribir este mensaje porque es un tema delicado,
>     pero creo que esta lista es uno de los lugares más apropiados para
>     esta discusión y me gustaría conocer la opinión de los colegas al
>     respecto.
>
>     Hasta entonces, para bloquear una organización que es un sistema
>     autónomo en Internet, había medidas con baja efectividad que los
>     tribunales de los países podían usar. Con el advenimiento de RPKI
>     esto puede cambiar un poco.
>
>     Debido al hecho de que todos los RIR pueden firmar 0/0 e ::/0, es
>     decir, cualquier rango de IP incluso si no está registrado en su
>     whois, ¿cuál es la posibilidad en su opinión de que las
>     Autoridades Judiciales de los países donde se encuentran los 5 RIR
>     puedan ¿emitir órdenes para que el RIR se vea obligado a emitir un
>     ROA con AS0 para bloquear una empresa en Internet por alguna razón?
>
>     Sé que es muy excepcional, pero cuando se trata de la judicatura,
>     podemos esperar todo.
>
>     Sin embargo, creo que si consideramos solo los 5 RIR, esta
>     posibilidad se reduce al Poder Judicial de 5 países: Estados
>     Unidos, Uruguay, Países Bajos, Mauricius y Australia.
>
>     Sin embargo, queda una pregunta si en el caso de los NIR, que
>     tienen delegación de los RIRs, ya que es lo caso aquí en América
>     Latina, estos NIR también están autorizados por defecto para
>     emitir ROA para cualquier dirección o solo para direcciones
>     delegadas, es decir, para cada asignación/registro realizado ¿el
>     RIR debe hacer una delegación específica al NIR?
>     Pregunto esto porque en la región de Asia hay un mayor número de
>     NIR y si afectaría este tema de alguna manera.
>
>     Saludos
>     Fernando Frediani
>
>     _______________________________________________
>     LACNOG mailing list
>     LACNOG en lacnic.net
>     https://mail.lacnic.net/mailman/listinfo/lacnog
>     Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
> _______________________________________________ LACNOG mailing list 
> LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog 
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com
> The IPv6 Company
>
> This electronic message contains information which may be privileged 
> or confidential. The information is intended to be for the exclusive 
> use of the individual(s) named above and further non-explicilty 
> authorized disclosure, copying, distribution or use of the contents of 
> this information, even if partially, including attached files, is 
> strictly prohibited and will be considered a criminal offense. If you 
> are not the intended recipient be aware that any disclosure, copying, 
> distribution or use of the contents of this information, even if 
> partially, including attached files, is strictly prohibited, will be 
> considered a criminal offense, so you must reply to the original 
> sender to inform about this communication and delete it.
>
>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200128/eb211431/attachment-0001.html>

Más información sobre la lista de distribución LACNOG