<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<p>Hola Jordi<br>
</p>
<div class="moz-cite-prefix">On 28/01/2020 16:08, JORDI PALET
MARTINEZ via LACNOG wrote:<br>
</div>
<blockquote type="cite"
cite="mid:88D4EB68-92D5-4727-B50D-317D126F825C@consulintel.es">
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<meta name="Generator" content="Microsoft Word 15 (filtered
medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:"Times New Roman \(Cuerpo en alfa";
panose-1:2 2 6 3 5 4 5 2 3 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
span.EstiloCorreo20
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style>
<div class="WordSection1">
<p class="MsoNormal"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">Hola a todos,<o:p></o:p></span></p>
<p class="MsoNormal"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p> </o:p></span></p>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">Aparte de que como dice Carlos, no ha
ocurrido, la verdad es que creo que es muy difícil que
ocurra. Pienso que ninguna autoridad judicial podría dar
una orden así a ningún RIR y que este no demorara su
ejecución, mediante la propia vía judicial.</span></p>
</div>
</div>
</blockquote>
Bueno! Una autoridad judicial puede darle la orden que desee,
incluso si es exótica o ilegal. Solo queda para aquellos que no
aceptan recurrir a un nivel superior.<br>
Recuerda que estamos hablando de cabezas de de jueces !<br>
<blockquote type="cite"
cite="mid:88D4EB68-92D5-4727-B50D-317D126F825C@consulintel.es">
<div class="WordSection1">
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">Creo que daría tiempo a reaccionar con
alguna solución o incluso avisar a la comunidad de medidas
para evitar efectos indeseados, etc.</span></p>
</div>
</div>
</blockquote>
No creo que esto sea muy efectivo. Hasta que esto suceda después de
que se ejecute la orden, el daño puede, en muchos casos, ser
irreversible para la organización afectada.<br>
<blockquote type="cite"
cite="mid:88D4EB68-92D5-4727-B50D-317D126F825C@consulintel.es">
<div class="WordSection1">
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">Dudo mucho que haya acuerdos entre países,
tan específicos y claros de tal forma que, si (por poner
un ejemplo) desde España se pide a Uruguay, concretamente
a LACNIC, ni siquiera mediante comunicación
justicia-de-España a justicia-de-Uruguay, se tenga que
cumplir.</span></p>
</div>
</div>
</blockquote>
<blockquote type="cite"
cite="mid:88D4EB68-92D5-4727-B50D-317D126F825C@consulintel.es">
<div class="WordSection1">
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">Y precisamente creo que todos los RIRs
están en países con un sistema fundado y neutral.</span></p>
</div>
</div>
</blockquote>
No creo que esto sea efectivo. La atención se centra en los sistemas
judiciales de los países donde se encuentran los 5 RIR. Y estoy de
acuerdo contigo. Aparentemente son países con un poco menos de
controversia, pero nunca imposibles.<br>
<blockquote type="cite"
cite="mid:88D4EB68-92D5-4727-B50D-317D126F825C@consulintel.es">
<div class="WordSection1">
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">Fijaros en cuestiones como el GDPR. Aunque
haya una “sentencia” de incumplimiento en un país *<b>no
adherido</b>* a los convenios del mismo, aunque haya una
multa de 20 millones de euros, es muy difícil, que se
pueda ejecutar, salvo que los “condenados”, pisen
territorio europeo o tengan allí bienes, cuentas
bancarias, etc.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">O si queréis verlo de forma mas sencilla,
un ciudadano de cualquier parte del mundo comete un
delito, o falta de cualquier tipo en otro país, diferente
del suyo, y en la mayoría de los casos, la “extradición”
(y por tanto la obligación de unas autoridades hacia otras
autoridades), no aplica salvo para delitos muy concretos,
y a veces incluso no coinciden los “ámbitos de
interpretación” (por llamarlo de algún modo) de esos
casos.</span></p>
</div>
</div>
</blockquote>
Este es uno de los mayores absurdos del GDPR. Me gustaría mucho
saber de qué "mentes brillantes" surgió esta idea.<br>
<blockquote type="cite"
cite="mid:88D4EB68-92D5-4727-B50D-317D126F825C@consulintel.es">
<div class="WordSection1">
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">De todos modos, si es una orden judicial,
hasta que punto tenemos derecho a incumplirla?</span></p>
</div>
</div>
</blockquote>
Ninguno. Solo tenemos derecho a apelar a los tribunales superiores.<br>
<blockquote type="cite"
cite="mid:88D4EB68-92D5-4727-B50D-317D126F825C@consulintel.es">
<div class="WordSection1">
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">Si hay un AS o un prefijo que esta
provocando cualquier tipo de males, incluso cosas como
pornografía infantil, etc., o violando la ley de un país
de la forma que sea, no creéis que es aceptable ese
filtrado si es con una orden judicial?</span></p>
</div>
</div>
</blockquote>
Creo que hay otras medidas que se pueden lanzar antes de una de
estas que involucre a un tercero, en este caso el RIR.<br>
<blockquote type="cite"
cite="mid:88D4EB68-92D5-4727-B50D-317D126F825C@consulintel.es">
<div class="WordSection1">
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">Esta claro que podría ser usado
maliciosamente, imaginemos un golpe de estado en un país
que aloja un RIR, y que se quiebra la separación de
poderes. Creo que, en esa situación, y posiblemente antes
de que llegue ninguna orden al RIR … esté (o el conjunto
de ellos) tendrán un plan de contingencia para evitar ser
influido por tal situación.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">No recuerdo haber oído hablar de ello, pero
si no lo hay, creo que es una tarea urgente para el NRO.
Igual los root DNS, incluso ICANN, tienen planteamientos
similares.<o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD">La parte de los NIRs, la verdad es que
tengo dudas, porque no tengo claro ahora mismo si una
orden judicial en un país donde está ubicado un NIR, que
no le llegue también al RIR correspondiente, puede tener
impacto real.</span></p>
</div>
</div>
</blockquote>
Creo que en el caso del NIR, solo los prefijos que han sido
delegados a organizaciones en ese país son delegados por el RIR,
pero puedo estar equivocado.<br>
Si un NIR pudiera firmar cualquier prefijo, sería un gran problema
para todo el sistema.
<p>Saludos<br>
Fernando Frediani<br>
</p>
<blockquote type="cite"
cite="mid:88D4EB68-92D5-4727-B50D-317D126F825C@consulintel.es">
<div class="WordSection1">
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p></o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p> </o:p></span></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span
style="font-size:12.0pt;color:black;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p> </o:p></span></p>
</div>
<p class="MsoNormal"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p> </o:p></span></p>
<p class="MsoNormal"><span
style="font-size:12.0pt;mso-fareast-language:EN-US"
lang="ES-TRAD"><o:p> </o:p></span></p>
<div>
<div>
<p class="MsoNormal" style="margin-left:35.4pt">El 28/1/20
18:01, "LACNOG en nombre de Carlos M. Martinez" <<a
href="mailto:lacnog-bounces@lacnic.net"
moz-do-not-send="true">lacnog-bounces@lacnic.net</a> en
nombre de <a href="mailto:carlosm3011@gmail.com"
moz-do-not-send="true">carlosm3011@gmail.com</a>>
escribió:<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal" style="margin-left:35.4pt"><o:p> </o:p></p>
</div>
<div>
<div>
<p style="margin-left:35.4pt">Hola Fernando,<o:p></o:p></p>
<p style="margin-left:35.4pt">El riesgo que mencionas es
real. Nunca ha ocurrido, pero no quiere decir que nunca
vaya a ocurrir.<o:p></o:p></p>
<p style="margin-left:35.4pt">Algo similar pasa con la firma
de la raíz del DNS, incluso diría que en ese caso el
riesgo es mayor. También es un problema que afecta a todo
proveedor de Cloud, como se ve en los recientes choques
entre Apple y el FBI.<o:p></o:p></p>
<p style="margin-left:35.4pt">Han habido dos lineas de
trabajo en este tema, que quizás tu mismo nos puedes
ayudar a profundizar :-)<o:p></o:p></p>
<p style="margin-left:35.4pt">1- dotar al sistema de RPKI de
mecanismos que hagan que no alcance con bloquear en un TA.
Como sería esto, no tengo idea, pero es algo que al menos
en reuniones informales se ha hablado.<o:p></o:p></p>
<p style="margin-left:35.4pt">2- dotar al sistema de RPKI de
una propiedad que se conoce como la de ser “tamper
evident”, es decir, que si el sistema es alterado por
mecanismos fuera de los carriles normales, cualquier
observador externo sepa que justamente, el sistema fue
alterado<o:p></o:p></p>
<p style="margin-left:35.4pt">Este ultimo punto para mi es
particularmente interesante, ya que creo que tiene
aplicabilidad mas allá de RPKI.<o:p></o:p></p>
<p style="margin-left:35.4pt">Hay un paper de Sharon
Goldberg en el que ella discute algunas de estas amenazas
y hace algunas propuestas que van de la mano de (2).<o:p></o:p></p>
<p style="margin-left:35.4pt"><a
href="http://www.cs.bu.edu/~goldbe/papers/hotRPKI.pdf"
moz-do-not-send="true">http://www.cs.bu.edu/~goldbe/papers/hotRPKI.pdf</a><o:p></o:p></p>
<p style="margin-left:35.4pt">(Este paper ganó en 2014 el
ANRP, Applied Networking Research Prize, que organiza el
IETF)<o:p></o:p></p>
<p style="margin-left:35.4pt">S2<o:p></o:p></p>
<p style="margin-left:35.4pt">/Carlos<o:p></o:p></p>
<p style="margin-left:35.4pt">On 28 Jan 2020, at 13:18,
Fernando Frediani wrote:<o:p></o:p></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p style="margin-left:35.4pt">Pensé antes de escribir este
mensaje porque es un tema delicado, pero creo que esta
lista es uno de los lugares más apropiados para esta
discusión y me gustaría conocer la opinión de los colegas
al respecto.<br>
<br>
Hasta entonces, para bloquear una organización que es un
sistema autónomo en Internet, había medidas con baja
efectividad que los tribunales de los países podían usar.
Con el advenimiento de RPKI esto puede cambiar un poco.<br>
<br>
Debido al hecho de que todos los RIR pueden firmar 0/0 e
::/0, es decir, cualquier rango de IP incluso si no está
registrado en su whois, ¿cuál es la posibilidad en su
opinión de que las Autoridades Judiciales de los países
donde se encuentran los 5 RIR puedan ¿emitir órdenes para
que el RIR se vea obligado a emitir un ROA con AS0 para
bloquear una empresa en Internet por alguna razón?<br>
<br>
Sé que es muy excepcional, pero cuando se trata de la
judicatura, podemos esperar todo.<br>
<br>
Sin embargo, creo que si consideramos solo los 5 RIR, esta
posibilidad se reduce al Poder Judicial de 5 países:
Estados Unidos, Uruguay, Países Bajos, Mauricius y
Australia.<br>
<br>
Sin embargo, queda una pregunta si en el caso de los NIR,
que tienen delegación de los RIRs, ya que es lo caso aquí
en América Latina, estos NIR también están autorizados por
defecto para emitir ROA para cualquier dirección o solo
para direcciones delegadas, es decir, para cada
asignación/registro realizado ¿el RIR debe hacer una
delegación específica al NIR?<br>
Pregunto esto porque en la región de Asia hay un mayor
número de NIR y si afectaría este tema de alguna manera.<br>
<br>
Saludos<br>
Fernando Frediani<o:p></o:p></p>
</blockquote>
<div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p style="margin-left:35.4pt">_______________________________________________<br>
LACNOG mailing list<br>
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a><br>
<a
href="https://mail.lacnic.net/mailman/listinfo/lacnog"
moz-do-not-send="true">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a
href="https://mail.lacnic.net/mailman/options/lacnog"
moz-do-not-send="true">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p>
</blockquote>
</div>
</div>
<p class="MsoNormal" style="margin-left:35.4pt">_______________________________________________
LACNOG mailing list <a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a> Cancelar
suscripcion: <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a> <o:p></o:p></p>
</div>
<br>
**********************************************<br>
IPv4 is over<br>
Are you ready for the new Internet ?<br>
<a class="moz-txt-link-freetext" href="http://www.theipv6company.com">http://www.theipv6company.com</a><br>
The IPv6 Company<br>
<br>
This electronic message contains information which may be
privileged or confidential. The information is intended to be for
the exclusive use of the individual(s) named above and further
non-explicilty authorized disclosure, copying, distribution or use
of the contents of this information, even if partially, including
attached files, is strictly prohibited and will be considered a
criminal offense. If you are not the intended recipient be aware
that any disclosure, copying, distribution or use of the contents
of this information, even if partially, including attached files,
is strictly prohibited, will be considered a criminal offense, so
you must reply to the original sender to inform about this
communication and delete it.<br>
<br>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<pre class="moz-quote-pre" wrap="">_______________________________________________
LACNOG mailing list
<a class="moz-txt-link-abbreviated" href="mailto:LACNOG@lacnic.net">LACNOG@lacnic.net</a>
<a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a>
Cancelar suscripcion: <a class="moz-txt-link-freetext" href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a>
</pre>
</blockquote>
</body>
</html>