[LAC-TF] [LACNIC/Seguridad] Researchers warn of attacks from unprotected IPv6 traffic

Fernando Gont fgont at si6networks.com
Thu Aug 15 22:46:11 BRT 2013 

On 08/15/2013 07:54 PM, Iván Arce wrote:
> 
> - Sospecho conocer en detalle la referencia que hizo Fernando Gont a la
> presentación sobre explotación de OpenBSD via IPv6 en un congreso.
> Fernando, no hacía falta ser tan misterioso, no hay demasiados bugs de
> OpenBSD de esas cracterísticas, seguramente hablabas del bug de mbufs
> del stack IPv6 de OpenBSD que encontró y explotó Alfredo Ortega en 2007
> (http://bit.ly/16SIMbF).

Si.. Igual no era para generar misterio, ya que el punto era la anecdota
en si, mas que el speaker o el bug en cuestion.



> Mi comentario mas allá de lo anecdótico es que los congresos como DEFCON
> y BLackHaT reciben varios cientos de propuestas de charlas y no
> requieren que las propuestas sean sobre temas novedosos o no publicados
> anteriormente, aunque si lo valoran positivamente. Coincido en que esta
> presentación en particular no aporta demasiado al estado del arte y que
> hay otras en las mismas condiciones pero no creo que eso sea suficiente
> para invalidar en general el contenido de ese tipo de congresos.

Si se interpretó asi, pido disculpas. No tengo ni idea de que
presentaciones tuvieron, y de hecho aclaré que no asistí nunca -- asi
que no puedo "juzgarlas". Y supongo que, como en todo, es como todo: hay
cosas buenas, malas, y tambien en el medio.



> Tampoco creo que se deba invalidar o menospreciar a la audiencia de esos
> congresos (que en el caso de DEFCON ronda los 12 a 15 mil asistentes)
> suponiendo que a ninguno le interesan los detalles técnicos de lo
> presentado ni indagará por su cuenta en algún tema. En más de una
> ocasión me encontre con gente que no solo estaba interesada en los
> detalles técnicos de alguna presentación sino que tenia conocimientos
> profundos sobre el asunto, a veces incluso mas profundos que los del
> presentador.

Yo hice una generalización (que por serlo, de base es injusta), nomás.

Habiendo participado en varios (seguramente menos de 1/8 de los que has
participado vos), mi idea personal es que uno siempre encuentro uno o
dos tipos (o un grupito) que le interesa el tema, y con quien puede
discutir los temas de manera interesante, hacen aportes, y hasta le
enseñan algo.

Hay una realidad, también que el campo es super amplio. En lo personal
sobre muchas (la mayoria9 de las charlas no tengo criterio para decir si
lo que el tipo esta diciendo es un genial hallazgo reciente, o una
pelotudez muy conocida del pasado.

Y esto no se limita a seguridad. En redes suele ser lo mismo.. Por ej.,
si uno no trabaja en control de congestión, es poco posible que pueda
sacarle el jugo a una reunión sobre el tema.

Personalmente, mi "balance personal" de una conferencia es si conoci al
menos a alguien con quien despues puedo discutir alguna idea.


> Coincido en que los congresos de "practicantes" de la seguridad
> informática (evito usar el termino "hackers" porque se presta a
> multiples intepretaciones) son cada vez mas espectaculares y parecidos a
> un show pero por otro lado no creo que reavivar el remanido y simplista
> argumento de que "romper/atacar es mas cool" y que la cosa mas
> importante pero aburrida es "arreglar/defender" sirva de mucho.

Por si no me expliqué bien:
Para la gente que labura en el palo (lease que desarrolla código o
ideas) obviamente que esto no aplica, y ni se ponen a ver "que es mas cool".

Mi comentario fue que si uno analiza la recepcion de la audiencia como
masa, en general pega mas "ver que alguien gano root" que toda la logica
que hay por detras.

Personalmente soy de la idea que ambas cosas requiren creatividad. Y
ambas son e interesantes. Yo, en la medida que puedo, intento hacer
ambas. Y ambas me interesan por igual (de hecho, una es el punto de
aprtida de la otra)

Lo interesantepara mi (ya sea que defiendas o ataques) es toda la logica
que aplicaste para hacer el ataque o la defensa. Si yo veo un tipo ganar
root (pero no entendi que hizo), o veo a un tipo "instalar una caja que
defiende una red" (sin saber como funciona), no puedo disfrutarlo.

Si, debo decir, jamás entendi bien por que se lo ve como "cool" (ya sea
defensa o ataque). Hay temas super interesantes... puede ser
gratificante tener una buena idea, o pensar en un ataque, y comprobar
que funciona... Pero personalmente nunca me sentí "Jimi Hendrix" por
eso. El proceso, en general, y en mi experiencia personal, dista mucho
de lo cool: cuando hago algo que me parece minimamente interesante,
usualmente implicó leer paginas y paginas de especificaciones, tener
dolor de espalda por la mala postura por usar la computadora, que la
vista se me acostumbre a hacer foco a 50 cm, y casi no pisar la calle.

 -- Ni hablar que despues vieja o a mis amigos, y no entienden porque,
si paso tanto tiempo encerrado con la computadora, Zuckerberg invento el
Facebook y yo no. :-)

P.S.: Una buena parte de mi mensaje fue escrita para que acotes al
respecto :-). NO te enjes, es "catarsis de jueves" ;-)
-- 
Fernando Gont
SI6 Networks
e-mail: fgont at si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

More information about the LACTF mailing list