[lacnog] Efectividad de bloqueos usando RPKI

JORDI PALET MARTINEZ jordi.palet en consulintel.es
Mar Ene 28 20:27:19 GMT+3 2020 

 

 

El 29/1/20 0:05, "LACNOG en nombre de Fernando Frediani" <lacnog-bounces en lacnic.net en nombre de fhfrediani en gmail.com> escribió:

 

Hola Jordi

On 28/01/2020 16:08, JORDI PALET MARTINEZ via LACNOG wrote:

Hola a todos,

 

Aparte de que como dice Carlos, no ha ocurrido, la verdad es que creo que es muy difícil que ocurra. Pienso que ninguna autoridad judicial podría dar una orden así a ningún RIR y que este no demorara su ejecución, mediante la propia vía judicial.

Bueno! Una autoridad judicial puede darle la orden que desee, incluso si es exótica o ilegal. Solo queda para aquellos que no aceptan recurrir a un nivel superior.
Recuerda que estamos hablando de cabezas de de jueces !


Estoy de acuerdo que en estos temas los jueces no suelen tener información/formación/preparación, pero para eso esta la defensa del abogado del RIR, aparte del trabajo “preventivo” de capacitación que se hace en todos los RIR con las LEA.

 

Creo que daría tiempo a reaccionar con alguna solución o incluso avisar a la comunidad de medidas para evitar efectos indeseados, etc.

No creo que esto sea muy efectivo. Hasta que esto suceda después de que se ejecute la orden, el daño puede, en muchos casos, ser irreversible para la organización afectada.

 

Es difícil saberlo, puede depender caso a caso, pero creo que a veces los días que se tienen habitualmente para presentar un recurso, son suficientes. Ten en cuenta que, si la orden proviene del país “A”, hasta el país donde está el RIR, lo normal es que ahí haya también una demora, etc.

 

En el peor de los casos, si un juzgado se equivoca y causa daños, habrán de ser compensados. Tenemos muchos casos en los que se ha encarcelado a inocentes. Creo que excepto una pena de muerte (que se ejecute), no hay nada irreversible, todo depende del valor de la compensación. Creo que una cárcel preventiva es “mas” dañino que cualquier daño que se genere a una empresa, que es básicamente un problema económico.



Dudo mucho que haya acuerdos entre países, tan específicos y claros de tal forma que, si (por poner un ejemplo) desde España se pide a Uruguay, concretamente a LACNIC, ni siquiera mediante comunicación justicia-de-España a justicia-de-Uruguay, se tenga que cumplir.

Y precisamente creo que todos los RIRs están en países con un sistema fundado y neutral.

No creo que esto sea efectivo. La atención se centra en los sistemas judiciales de los países donde se encuentran los 5 RIR. Y estoy de acuerdo contigo. Aparentemente son países con un poco menos de controversia, pero nunca imposibles.


Totalmente de acuerdo, no hay nada imposible en este mundo … pero también pienso que si se quiere, casi nada (a nivel de empresas/organizaciones) es irreversible – estoy seguro de que dentro de poco, hasta la muerte será reversible!

 

Fijaros en cuestiones como el GDPR. Aunque haya una “sentencia” de incumplimiento en un país *no adherido* a los convenios del mismo, aunque haya una multa de 20 millones de euros, es muy difícil, que se pueda ejecutar, salvo que los “condenados”, pisen territorio europeo o tengan allí bienes, cuentas bancarias, etc.

O si queréis verlo de forma mas sencilla, un ciudadano de cualquier parte del mundo comete un delito, o falta de cualquier tipo en otro país, diferente del suyo, y en la mayoría de los casos, la “extradición” (y por tanto la obligación de unas autoridades hacia otras autoridades), no aplica salvo para delitos muy concretos, y a veces incluso no coinciden los “ámbitos de interpretación” (por llamarlo de algún modo) de esos casos.

Este es uno de los mayores absurdos del GDPR. Me gustaría mucho saber de qué "mentes brillantes" surgió esta idea.


No, en absoluto, es como todas las leyes, se basa en la protección de los derechos, y se consigue sumando países, y en este caso el GDPR es muy eficaz, porque llega a impedir determinadas relaciones comerciales si no te adhieres. Si nos basáramos en que las leyes solo son válidas si se pueden aplicar en todo el mundo, nunca habría ninguna ley y no podríamos “viajar”.

 

De hecho, para mi, se han quedado cortos, y espero que evolucione y que los casos de protección de datos, y de spam, deberían penarse hasta con cárcel, en proporción del daño causado. Tengo un proyecto de ley redactado si lo quieres leer … Para mi, secuestrar el tiempo de los ciudadanos con spam, es equivalente a secuestrarles físicamente y robarles tiempo de trabajo, ocio, familia, etc., además que es la forma mas habitual de generar otros daños (bots, virus, estafas de todo tipo, etc.).

 

De todos modos, si es una orden judicial, hasta que punto tenemos derecho a incumplirla?

Ninguno. Solo tenemos derecho a apelar a los tribunales superiores.


Exacto!

 

Si hay un AS o un prefijo que esta provocando cualquier tipo de males, incluso cosas como pornografía infantil, etc., o violando la ley de un país de la forma que sea, no creéis que es aceptable ese filtrado si es con una orden judicial?

Creo que hay otras medidas que se pueden lanzar antes de una de estas que involucre a un tercero, en este caso el RIR.


Así es, y precisamente creo que por eso, siempre se intentará acudir a la fuente, por muy “ignorante en IT” que sea el juez, y que la posibilidad de un caso en el que se acude al RIR que esta en otro país, y con el que no hay un acuerdo explicito para estos casos, solo sería en una situación gravísima, en la que todos los mecanismos previos han fallado, e incluso han fallado las relaciones diplomáticas, etc.

 

Imagina un caso “brutal”. Un AS que hace un DDoS a un país completo. Antes incluso de que eso llegue a los tribunales, los propios ISPs, transit providers, etc., han actuado, incluso la diplomacia y relaciones entre países (aunque “no se lleven” bien).

 

Esta claro que podría ser usado maliciosamente, imaginemos un golpe de estado en un país que aloja un RIR, y que se quiebra la separación de poderes. Creo que, en esa situación, y posiblemente antes de que llegue ninguna orden al RIR … esté (o el conjunto de ellos) tendrán un plan de contingencia para evitar ser influido por tal situación.

No recuerdo haber oído hablar de ello, pero si no lo hay, creo que es una tarea urgente para el NRO. Igual los root DNS, incluso ICANN, tienen planteamientos similares.

La parte de los NIRs, la verdad es que tengo dudas, porque no tengo claro ahora mismo si una orden judicial en un país donde está ubicado un NIR, que no le llegue también al RIR correspondiente, puede tener impacto real.

Creo que en el caso del NIR, solo los prefijos que han sido delegados a organizaciones en ese país son delegados por el RIR, pero puedo estar equivocado.
Si un NIR pudiera firmar cualquier prefijo, sería un gran problema para todo el sistema. 

 

Creo que lo lógico es que se firme desde los RIRs, por delegación, por una cuestión de evitar la fragmentación de los ROAs, al menos en el caso del AS0, pero eso depende de si se “pre-reservan o pre-asignan” bloques de espacio para cada NIR, así como se hace desde IANA para IPv6 con los /12 para cada RIR (antes los 2x/8 de IPv4), etc. Pero la verdad, desconozco si se hace este tipo de pre-reservas de espacio (en algún RIR), diría que no (en IPv6 sería factible, en IPv4, ahora mismo ya no creo …).

Saludos
Fernando Frediani

 

 

 

 

El 28/1/20 18:01, "LACNOG en nombre de Carlos M. Martinez" <lacnog-bounces en lacnic.net en nombre de carlosm3011 en gmail.com> escribió:

 

Hola Fernando,

El riesgo que mencionas es real. Nunca ha ocurrido, pero no quiere decir que nunca vaya a ocurrir.

Algo similar pasa con la firma de la raíz del DNS, incluso diría que en ese caso el riesgo es mayor. También es un problema que afecta a todo proveedor de Cloud, como se ve en los recientes choques entre Apple y el FBI.

Han habido dos lineas de trabajo en este tema, que quizás tu mismo nos puedes ayudar a profundizar :-)

1- dotar al sistema de RPKI de mecanismos que hagan que no alcance con bloquear en un TA. Como sería esto, no tengo idea, pero es algo que al menos en reuniones informales se ha hablado.

2- dotar al sistema de RPKI de una propiedad que se conoce como la de ser “tamper evident”, es decir, que si el sistema es alterado por mecanismos fuera de los carriles normales, cualquier observador externo sepa que justamente, el sistema fue alterado

Este ultimo punto para mi es particularmente interesante, ya que creo que tiene aplicabilidad mas allá de RPKI.

Hay un paper de Sharon Goldberg en el que ella discute algunas de estas amenazas y hace algunas propuestas que van de la mano de (2).

http://www.cs.bu.edu/~goldbe/papers/hotRPKI.pdf

(Este paper ganó en 2014 el ANRP, Applied Networking Research Prize, que organiza el IETF)

S2

/Carlos

On 28 Jan 2020, at 13:18, Fernando Frediani wrote:

Pensé antes de escribir este mensaje porque es un tema delicado, pero creo que esta lista es uno de los lugares más apropiados para esta discusión y me gustaría conocer la opinión de los colegas al respecto.

Hasta entonces, para bloquear una organización que es un sistema autónomo en Internet, había medidas con baja efectividad que los tribunales de los países podían usar. Con el advenimiento de RPKI esto puede cambiar un poco.

Debido al hecho de que todos los RIR pueden firmar 0/0 e ::/0, es decir, cualquier rango de IP incluso si no está registrado en su whois, ¿cuál es la posibilidad en su opinión de que las Autoridades Judiciales de los países donde se encuentran los 5 RIR puedan ¿emitir órdenes para que el RIR se vea obligado a emitir un ROA con AS0 para bloquear una empresa en Internet por alguna razón?

Sé que es muy excepcional, pero cuando se trata de la judicatura, podemos esperar todo.

Sin embargo, creo que si consideramos solo los 5 RIR, esta posibilidad se reduce al Poder Judicial de 5 países: Estados Unidos, Uruguay, Países Bajos, Mauricius y Australia.

Sin embargo, queda una pregunta si en el caso de los NIR, que tienen delegación de los RIRs, ya que es lo caso aquí en América Latina, estos NIR también están autorizados por defecto para emitir ROA para cualquier dirección o solo para direcciones delegadas, es decir, para cada asignación/registro realizado ¿el RIR debe hacer una delegación específica al NIR?
Pregunto esto porque en la región de Asia hay un mayor número de NIR y si afectaría este tema de alguna manera.

Saludos
Fernando Frediani

_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog

_______________________________________________ LACNOG mailing list LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 


**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.



_______________________________________________
LACNOG mailing list
LACNOG en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
_______________________________________________ LACNOG mailing list LACNOG en lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 



**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20200129/5c12fd08/attachment-0001.html>

Más información sobre la lista de distribución LACNOG