[lacnog] Utilización de DoH como canal encubierto para controlar Malware

Alejandro Acosta alejandroacostaalamo en gmail.com
Mar Sep 8 01:00:40 GMT+3 2020


Hola Fer,

   Para no extendernos, voy a la parte financiera, es medio largo y 
bastante off-topic:

   Del resto no discuto más.


On 9/7/20 11:29 PM, Fernando Gont wrote:
> On 8/9/20 00:03, Alejandro Acosta wrote:
> [...]
>> On 9/7/20 10:34 PM, Fernando Gont wrote:
>>> On 7/9/20 22:23, Alejandro Acosta wrote:
>>> [...]
>>>>>
>>>>> No. El usuario promedio no es un usuario tećnico. En muchos casos, 
>>>>> ni siquiera saben que hay algo que se llama "DNS" -- y está 
>>>>> perfecto que así sea.
>>>>
>>>>
>>>> Dices que Steve Jobs no tenía razón en lo que menciona?. Tu crees 
>>>> que la gente sabía que quería un iPod?, que la gente sabía que 
>>>> quería una computadora con case de colores transparentes?, no creo. 
>>>> Steve Jobs lo mostró y nos enseñó lo que queríamos.
>>>
>>> Yo creo que hay una diferencia abismal entre un objeto que la gente 
>>> ve y con el cual interactua, y un protocolo de bajo nivel que es 
>>> transparente al usuario.
>>
>> Bueno.., si hablamos de VPN ya ese protocolo "transparente" ahora 
>> como que si se ve.
>
> La gente usa una aplicacion que basicamente le permite saltear 
> filtrado. -- apostaria dinero a que virtualmente ninguno de lo 
> usuarios en cuestion sabe si la VPN es en layer-2 o layer-3, si usa 
> TLS o IPsec, u otras tantas cosas.
>
> El usuario comun no opera/elige con granularidad de "protocolo". Es la 
> misma falacia de creer que al usuario le importa si su ISP le brinda 
> IPv6.
>
>
> [....]
>>>
>>> Respecto a tu referencia a Steve Jobs, creo que hay que hacer una 
>>> diferencia en lo que hace a inventiva, diseño, estitica, y demas, y 
>>> a eso de "nos mostró y nos enseño lo que queriamos". Lo primero lo 
>>> aprecio y lo admiro. Lo segundo es producto de marketing. -- hay 
>>> mucha gente que también cree que "Coca-Cola s sentir de verdad".
>>>
>>
>> Si, tenés razón, ciertamente existe la diferencia.., eso es cierto, 
>> pero una vez más hay muchas casos donde al consumidor hay que 
>> mostrarle algo que no ha pedido.
>
> Exacto. Pero eso es marketing.
>
>
>
>> ¿Pedimos DoX por defecto en los browsers?.., no. Ellos lo intentaron, 
>> bien, yo uso mozilla a diario, so far so good.
>
> Pedimos doble banda lateral con portadora no suprimida?  -- No. 
> Simplemente escuchamos la radio.
>
>
>
>> En Windows la gente no pide notepad y se lo dan por defecto (¿aún es 
>> así?
>
> Supongo que si.
>
>
> Uno de los motivos por los cuales no uso productos de Apple, ni 
> tampoco Windows, es justamente porque prefiero el software libre.
>
> (tiene cierta ironia el culto a Apple en una conversacion sobre 
> libertades ;-) )
>
>
>
>>>>> [...]
>>>>>>    Por otro lado, hablan de Europa y de otras regiones, yo creo 
>>>>>> que hay que ir mas allá, no la región sino los países, olvidemos 
>>>>>> la privacidad & seguridad, pensemos en la *accesibilidad*: ¿DoX 
>>>>>> están posibilitando los accesos a sitios prohidos (si esto último 
>>>>>> es bueno o malo es otra historia)?.
>>>>>
>>>>> Si uno quisiera bloquear el acceso  a un sitio, mas alla de 
>>>>> bloquear la resolución, bloquea las IPs.  (y el "daño colateral" 
>>>>> -> "a joderse" :-) ).
>>>>
>>>> Muy mal...
>>>
>>> A partir del momento en que quienes ofrecen servicio lo hacen con un 
>>> objeto de lucro, mas alla de cualquier idea o preferencia personal, 
>>> no creo que uno pueda hacer un juicio de valor sobre dichas decisiones.
>>
>> En estos días leí algo muy bueno (y cierto): "Confio más en un 
>> millonario que se volvió político que en un político que se volvió 
>> millonario"
>>
>> Las super megas grandes empresas del mundo tienen lucro, los 
>> felicito. Agregan valor, totalmente. Se puede hacer (repitiendo lo 
>> que vos decís): " juicio de valor sobre dichas decisiones", ¿por qué no?
>
> Si, estrictamente hablando se puede hacer juicio sobre cualquier cosa. 
> Al final del dia, uno tiene que reconocer que todas las acciones de 
> una empresa con fines de lucro son... el lucro. :-)
>
>
>
>>> A modo de ejemplo, se me ocurre que quien hace la ingenieria para un 
>>> ISP, y dimensiona su enlace internacional (junto con su conexion a 
>>> un ISP), puede no estar muy de acuerdo con que ahora tenga que pagar 
>>> mucho mas dinero en trafico internacional porque al usuario se le 
>>> ocurrio usar DoH.
>>>
>> Fernando, todo esto va acompañado de una estructura de costo 
>> traspolable -horizontalmente- a los usuarios.
>
> Como sería eso?


Primero, absolutamente todas las organizaciones (incluye ONG, Gobierno, 
privadas, etc) tienen una estructura de costos:

https://www.emprendepyme.net/estructura-de-costes.html

https://www.nextu.com/blog/conceptos-claves-de-una-estructura-de-costos/


Estos costos no se los queda/soporta la empresa sola, ellos en base a 
ellos definen cuanto cobrar al cliente, la idea es tener un ROI en N 
tiempo considerando varios aspectos, equipos, soporte, personal, 
enlaces, consultorias, luz, oficina, y un larguisimo etc.


Para lo anterior es interesante por ejemplo conocer como se definen los 
precios a los productos. Te dejo este link que menciona dos maneras 
típicas de asignación de precios a los productos (de hecho puede haber 
una tercera que es una mezcla de estas):

https://www.emprendices.co/como-se-determina-el-precio-de-un-producto/


¿Qué quiero decir con transpolar los costos al usuario?, lo mismo que 
siempre hacen todas las empresas.

La estructura de costos resultantes de la compañía no la van a pagar los 
dueños de la misma, buscan que esos costos (OPEX + CAPEX) sean cubiertos 
+ X % de ganancia por los mismos usuarios.

¿Qué dijiste tu anteriormente? copy & paste: "A modo de ejemplo, se me 
ocurre que quien hace la ingenieria para un ISP, y dimensiona su enlace 
internacional (junto con su conexion a un ISP), puede no estar muy de 
acuerdo con que ahora tenga que pagar mucho mas dinero en trafico 
internacional porque al usuario se le ocurrio usar DoH."


En caso de que lo anterior acarree una carga extra para la red de alguna 
manera esto entra en la estructura de costos que luego -lógicamente- lo 
terminan pagando los usuarios.  Cuando dije horizontal, más o menos lo 
que pensé era en la misma línea de productos (Internet) desde la 
perspectiva del ISP.


Saludos,


Alejandro,



>
>
> [....]
>>> Yo no asumi que la VPN sea paga. Hay opciones alternativas. Por otro 
>>> lado, ToR es gratis.
>>
>>
>> Sabía que dirias eso y por eso dije abajo en mi email anterior: 
>> "Peor, hay países que bloquean VPNs y sobre todo si son "gratis" "
>>
>> Y esto sigue estando MUY mal, la gente NO TIENE tiempo de buscar cual 
>> es la VPN gratis, o como me conecto, o cual funciona hoy que mañana 
>> no servirá. No puedes tener un país en movimiento y productivo con 
>> estas restricciones.
>
> Yo no digo que me guste. Mas bien digo lo que es.
>
> Tampoco me parece justo que ISPs como Cablevision (o es Fibertel? O 
> Telecom? O todo junto? O algo mas?) aumenten sus servicios mas que la 
> propia inflacion (ya alta) de Argentina. O que te suban el precio del 
> servicio tipo un 50%, y haya que llamarlos para pelearse un rato, 
> "amenazarlos" de dar de baja el servicion, para que asi le den a uno 
> una "promocion" por otros seis meses, apra repetir el proceso.
>
> Pero es asi.
>
>
> En el caso de un ISP, entiendo que cuestiones vinculadas al uso de 
> caches tienen un impacto economico concreto sobre ellos. Así que, por 
> mas que no me guste, entiendo que sea un tema que minimamente los 
> preocupe (en particular si ocurre de forma masiva)
>
>
>> Y Tor si puede ser bloqueado. Sin ir muy lejos hay países en nuestro 
>> región al norte del sur que bloquean -por ejemplo- TunnelBear.
>>
>> Tu mismo has dicho: "la gente no sabe de esto, de aquello, el usuario 
>> no es técnico". No tienes idea de cuantas llamadas al mes yo recibo 
>> preguntandome sobre que VPN usar, que no usar, cual es gratis, cual 
>> es rápida, no me importa pagar por la VPN, etc, etc. Si cobrara por 
>> consultoría tendría un Tesla.
>>
>> Y no solo eso, la compran hoy y se la bloquean mañana, que lindo, ¿a 
>> quién reclamas?.
>
> Yo acabo de chatear con un bot de Twitter de mi ISP, cuando intentaba 
> quejarme... que te puedo decir. :-)  (no, no es broma).
>
>
>
>>>> Peor, hay países que bloquean VPNs y sobre todo si son "gratis". Y 
>>>> de hecho lastimosamente en esos países los ciclos de CPU de los 
>>>> cerebros de las personas están más preocupadas por otras cosas como 
>>>> agua, luz, comida para la casa y un techo.
>>>>
>>>> Si DoX aporta *en estos países* vale la pena.
>>>
>>> Ahi vamos. Vos crees que verdaderamente hace una diferencia? -- yo no.
>>
>> Muy bien, y te la respeto. Cada país tiene su realidad.
>>
>> Yo no creo que haga diferencia, estoy seguro, más aún una diferencia 
>> positiva.
>
> Vuelvo a lo mismo: si la tecnologia fuera "opt in", no tengo problema. 
> Si es "opt out", si, tengo muchos problemas.
>
>
>
>
>>> Pensá, por irme a un extremo, en ir a dar un curso abierto sobre 
>>> criptografia a Corea del N. Luego decime quien fue. -- y si hubo 
>>> algun asistente, a donde es que los llevaron detenidos. :-)
>>
>> Me pueden decir que tengo que ir a cobrar una herencia de millones y 
>> yo no iría para allá.
>
> Yo *si* iría. Aunque no a explicar nada que tenga que ver con cifrado. 
> :-)
>
>
> Sin ir a Corea, hace algunos años, durante un evento de LACNIC se me 
> ocurrió organizar un curso abierto sobre VPNs y PGP. -- y aprendí 
> toooooda una cantidad de consideraciones por las cuales tal cosa no 
> sería tan simple (a tal punto que el curso/charla) no tuvo lugar. (por 
> mas que personalmente el curso no tenia ningun tipo de intencionalidad 
> politica, ni nada por el estilo).
>


Más información sobre la lista de distribución LACNOG