<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
{mso-style-priority:34;
margin-top:0in;
margin-right:0in;
margin-bottom:0in;
margin-left:.5in;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
span.EstiloCorreo20
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:8.5in 11.0in;
margin:70.85pt 85.05pt 70.85pt 85.05pt;}
div.WordSection1
{page:WordSection1;}
/* List Definitions */
@list l0
{mso-list-id:584344546;
mso-list-type:hybrid;
mso-list-template-ids:719102522 -74568004 67764249 67764251 67764239 67764249 67764251 67764239 67764249 67764251;}
@list l0:level1
{mso-level-text:%1-;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l0:level2
{mso-level-number-format:alpha-lower;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l0:level3
{mso-level-number-format:roman-lower;
mso-level-tab-stop:none;
mso-level-number-position:right;
text-indent:-9.0pt;}
@list l0:level4
{mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l0:level5
{mso-level-number-format:alpha-lower;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l0:level6
{mso-level-number-format:roman-lower;
mso-level-tab-stop:none;
mso-level-number-position:right;
text-indent:-9.0pt;}
@list l0:level7
{mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l0:level8
{mso-level-number-format:alpha-lower;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l0:level9
{mso-level-number-format:roman-lower;
mso-level-tab-stop:none;
mso-level-number-position:right;
text-indent:-9.0pt;}
@list l1
{mso-list-id:1495299580;
mso-list-template-ids:1064852296;}
@list l1:level1
{mso-level-number-format:bullet;
mso-level-text:;
mso-level-tab-stop:.5in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:Symbol;}
@list l1:level2
{mso-level-number-format:bullet;
mso-level-text:o;
mso-level-tab-stop:1.0in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:"Courier New";
mso-bidi-font-family:"Times New Roman";}
@list l1:level3
{mso-level-number-format:bullet;
mso-level-text:;
mso-level-tab-stop:1.5in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:Wingdings;}
@list l1:level4
{mso-level-number-format:bullet;
mso-level-text:;
mso-level-tab-stop:2.0in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:Wingdings;}
@list l1:level5
{mso-level-number-format:bullet;
mso-level-text:;
mso-level-tab-stop:2.5in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:Wingdings;}
@list l1:level6
{mso-level-number-format:bullet;
mso-level-text:;
mso-level-tab-stop:3.0in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:Wingdings;}
@list l1:level7
{mso-level-number-format:bullet;
mso-level-text:;
mso-level-tab-stop:3.5in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:Wingdings;}
@list l1:level8
{mso-level-number-format:bullet;
mso-level-text:;
mso-level-tab-stop:4.0in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:Wingdings;}
@list l1:level9
{mso-level-number-format:bullet;
mso-level-text:;
mso-level-tab-stop:4.5in;
mso-level-number-position:left;
text-indent:-.25in;
mso-ansi-font-size:10.0pt;
font-family:Wingdings;}
@list l2
{mso-list-id:2074040737;
mso-list-type:hybrid;
mso-list-template-ids:1330794060 -65929210 67764249 67764251 67764239 67764249 67764251 67764239 67764249 67764251;}
@list l2:level1
{mso-level-text:%1-;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level2
{mso-level-number-format:alpha-lower;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level3
{mso-level-number-format:roman-lower;
mso-level-tab-stop:none;
mso-level-number-position:right;
text-indent:-9.0pt;}
@list l2:level4
{mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level5
{mso-level-number-format:alpha-lower;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level6
{mso-level-number-format:roman-lower;
mso-level-tab-stop:none;
mso-level-number-position:right;
text-indent:-9.0pt;}
@list l2:level7
{mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level8
{mso-level-number-format:alpha-lower;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-.25in;}
@list l2:level9
{mso-level-number-format:roman-lower;
mso-level-tab-stop:none;
mso-level-number-position:right;
text-indent:-9.0pt;}
ol
{margin-bottom:0in;}
ul
{margin-bottom:0in;}
--></style></head><body lang=ES-US link=blue vlink=purple style='word-wrap:break-word'><div class=WordSection1><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Hola, buenos dias<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Ciertamente, es un tema que se nos ha vuelto recurrente en los últimos tiempos, y si, estoy de acuerdo con Carlos. <o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Yo creo que estamos ante una posible extensión de lo que ya vimos con la implementación de Mozilla. El asunto es que Mozilla podía hacer un bypass del sistema operativo, y obligar el uso de DoH hacia Cloudflare. Esto es una formalización burda de un ataque “man in the middle”; solo que tenía como solución Desinstalar (o no instalar nunca) Mozilla. Sin embargo, al trabajar con Apple, esto pudiera salir como una opción por defecto en las futuras versiones de MAC OS, y las opciones para desactivar esto, pudieran no ser triviales.<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Desde el punto de vista de operación, como ya debatimos anteriormente, estas técnicas tiene consecuencias nefastas para operadores y también para los propios usuarios; pues por ejemplo, algo tan simple como acceder a recursos publicados mediante el empleo de vistas de DNS, simplemente no funciona. De igual forma, tiene implicación en la resolución de múltiples incidentes de seguridad; y va a facilitar la vida a múltiples atacantes.<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Para mi es genial que se desarrollen estas técnicas, porque en realidad pueden solucionar problemas concretos en ciertos escenarios; pero el empleo de ellas, tiene que ser de forma consciente por parte de usuarios y operadores, y nunca forzado por un vendedor a quien no le hemos pedido que lo haga y con quien no tenemos contrato alguno de confidencialidad.<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>En el referido articulo hay tres detalles curiosos:<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><ol style='margin-top:0in' start=1 type=1><li class=MsoListParagraph style='margin-left:0in;mso-list:l0 level1 lfo3'><span lang=EN-US style='mso-fareast-language:EN-US'>That’s not great for your privacy, especially since your internet provider can also </span><span style='mso-fareast-language:EN-US'><a href="https://techcrunch.com/2017/03/28/house-vote-sj-34-isp-regulations-fcc/"><span lang=EN-US style='color:windowtext;text-decoration:none'>sell your browsing history</span></a></span><span lang=EN-US style='mso-fareast-language:EN-US'> to advertisers.<o:p></o:p></span></li><li class=MsoListParagraph style='margin-left:0in;mso-list:l0 level1 lfo3'><span lang=EN-US style='mso-fareast-language:EN-US'>making it harder for attackers to hijack DNS queries and point victims to malicious websites instead of the real website you wanted to visit<o:p></o:p></span></li><li class=MsoListParagraph style='margin-left:0in;mso-list:l0 level1 lfo3'><span lang=EN-US style='mso-fareast-language:EN-US'>A key component of ODoH working properly is ensuring that the proxy and the DNS resolver never “collude,” in that the two are never controlled by the same entity, otherwise the “separation of knowledge is broken,” Sullivan said. </span><span style='mso-fareast-language:EN-US'>That means having to rely on companies offering to run proxies.<o:p></o:p></span></li></ol><p class=MsoNormal><span style='mso-fareast-language:EN-US'> <o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Aún cuando ciertamente un ISP pudiera vender el historial de navegación a anunciantes, lo cierto es que en la mayoría de los casos, esto sucede a partir de conocidos servicios en Internet y no a partir de los proveedores locales. Por tanto, al parecer esta lanzando una cortina de humo para proteger a “los culpables habituales”<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>También es cierto que se pueden capturar peticiones de DNS y enviar respuestas envenenadas para redreccionar al usuario a otros sitios; pero la verdad hay muchísimas técnicas que hoy pueden correr en las maquinas a nivel local (a partir de los miles de malware/phishing/spam que llegan por diferentes vías), que la verdad no creo que eso sea el funcionamiento mas común de los atacantes en la actualidad<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Adicionalmente, para que esto funcione habrá que confiar en “compañías que ofrezcan proxies”… la verdad es que esto terminará enviando tráfico por defecto a ciertas compañías .<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>En fin, que para los que trabajamos en operación, es un ruido mas a tener en cuenta en el futuro cercano; y aunque el artículo es de esta semana, no me extraña que lleven tiempo trabajando en esto y que pudiera aparecer en cualquiera de las actualizaciones próximas d MAC OS, como parte de las implementaciones requeridas para la estandarización en el IETF. Tampoco olviden, que no es requisito para los fabricantes, implementar alguna tecnología que no esté estandarizada… Hay que estar atentos con esto.<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Saludos,<o:p></o:p></span></p><p class=MsoNormal><span style='mso-fareast-language:EN-US'>Jorge<o:p></o:p></span></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:12.0pt;color:black'>De: </span></b><span style='font-size:12.0pt;color:black'>LACNOG <lacnog-bounces@lacnic.net> en nombre de "Carlos M. Martinez" <carlosm3011@gmail.com><br><b>Responder a: </b>Latin America and Caribbean Region Network Operators Group <lacnog@lacnic.net><br><b>Fecha: </b>miércoles, 9 de diciembre de 2020, 8:08 a. m.<br><b>Para: </b>Latin America and Caribbean Region Network Operators Group <lacnog@lacnic.net><br><b>Asunto: </b>Re: [lacnog] Un posible protocolo más se suma a la lista del DNS<o:p></o:p></span></p></div><div><p class=MsoNormal><o:p> </o:p></p></div><div><div><p>Hola,<o:p></o:p></p><p>Mi reacción inicial a esto (reconociendo que no hice aún una lectura profunda del tema) es “estamos agregando partes móviles que en el fondo son innecesarias, para resolver un potencial problema de imagen de ciertos actores”.<o:p></o:p></p><p>DoT y DoH son protocolos perfectamente buenos. Funcionan, cumplen con su fin (cifrar las consultas). El problema, sobre todo con DoH, es como ciertos actores, en particular Mozilla, lo manejaron. El problema no es con los protocolos, sino con el manejo, me atrevo a decir político, que se hizo de ellos.<o:p></o:p></p><p>Cosas que Mozilla nunca debió haber hecho con DoH (siempre en mi opinión, obviamente discutible):<o:p></o:p></p><ul type=disc><li style='mso-list:l1 level1 lfo1'>habilitarlo por defecto enviando todo el tráfico a un punto único. No importa que tan bien intencionado fue, no se bien en que estaban pensando.<o:p></o:p></li><li style='mso-list:l1 level1 lfo1'>ser bastante sordos a cuando se les reclamó por este punto.<o:p></o:p></li><li style='mso-list:l1 level1 lfo1'>by-pasear la configuración de resolvers del sistema operativo. Este punto para mí es clave, y representa francamente una traición a la relación de confianza usuario-proveedor. Es el usuario quien tiene que tener claro como controlar esta relación de confianza y no es aceptable que esté enterrada bajo una pantalla que tiene como título “Advanced Settings, you might void your warranty”<o:p></o:p></li></ul><p>Entonces, en vez de agregar <strong><span style='font-family:"Calibri",sans-serif'>un proxy que divide en dos el rol del recursivo</span></strong> (oh Margot, como me alegro de no trabajar mas en operaciones) lo que deberíamos hacer es lavar la imagen de DoT y DoH y usarlos como fueron pensados. Si tienen debilidades, bueno, fantástico, veamos como resolverlas.<o:p></o:p></p><p>Salute,<o:p></o:p></p><p>Carlos<o:p></o:p></p><p>On 9 Dec 2020, at 9:40, Fernando Gont wrote:<o:p></o:p></p></div><div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><p>Hola, Marcelo,<br><br>Tanto tiempo! (Un gusto leerte!). Entre lineas....<br><br>On 9/12/20 08:05, marcelo bagnulo braun wrote:<o:p></o:p></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><p>Pensando sobre esto, una posibilidad seria generar consultas aleatorias para esconder las que son reales. El probelma claro es que incrementas la carga del sistema artificialmente, pero la privacidad tiene un coste, por lo que puede ser razonable.<o:p></o:p></p></blockquote><p>Sin lugar adudas. Y también rotar el recursivo al cual envias el query. Entonces no solo escondes los queries dentro de otros randomizados, sino que aparte cada recursivo que utilizas recibe solo un "subset" de los queries que haces.<br><br>De cualquier modo, yo soy de la idea que cosas tales como los sistemas con los cuales te terminas comunicando, los patrones de trafico, etc. (ni hablar lo del SNI de TLS, que entiendo que estaba en vias de ser solucionado), terminan revelando tanto o mas informacion que, si te interesa la privacidad, termina siendo tanto necesario como mas conveniente utilizar una VPN pagada con Bitcoin, y/o usarle la conexion a una tercera parte (cafeteria, vecino, etc.) y/o conectar no-oficialmente un Raspberry Pi a alguna red a la que tengas acceso, que estás cuestiones sobre privacidad DNS.<br><br>Mi ejercicio mental con estas cuestiones es: "es esta tecnología algo que yo usaria y de la cual podria depender en lugares como 'X', si estar haciendo 'Y' pudiera costarme la vida o la libertad?"<br><br>Esa "ejercicio" creo que ayuda a separar entre meros protocolos que sirven como para jugar un poco con estas cuestiones, y tecnologías que abordan el tema seriamente, y de las cuales se puede depender.<br><br>Abrazo,<br>-- <br>Fernando Gont<br>e-mail: fernando@gont.com.ar || fgont@si6networks.com<br>PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1<br><br><br><br>_______________________________________________<br>LACNOG mailing list<br>LACNOG@lacnic.net<br><a href="https://mail.lacnic.net/mailman/listinfo/lacnog">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog">https://mail.lacnic.net/mailman/options/lacnog</a><o:p></o:p></p></blockquote></div></div><p class=MsoNormal>_______________________________________________ LACNOG mailing list LACNOG@lacnic.net https://mail.lacnic.net/mailman/listinfo/lacnog Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog <o:p></o:p></p></div></body></html>