<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.5.7036.0">
<TITLE>RE: [LAC-TF] [lacnog] Fwd: just seen my first IPv6 network abuse scan, is this the start for more?</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/rtf format -->
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Hola!</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">He estado siguiéndoles en sus intervenciones sin poder aportar pues estoy como un bebe, gateando en la transici</FONT></SPAN><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">ón de IPv4 to IPv6.</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Citando el siguiente</FONT></SPAN><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New"> el</FONT></SPAN><SPAN LANG="es"> <FONT SIZE=2 FACE="Courier New">párrafo:</FONT></SPAN><SPAN LANG="es"></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><I><FONT SIZE=2 FACE="Courier New">Insisto en que el problema es que hay mucha gente "enseñando" IPv6, que</FONT></I></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><I><FONT SIZE=2 FACE="Courier New">tiene conocimiento "casi cero" de los estandares y del protocolo en</FONT></I></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><I><FONT SIZE=2 FACE="Courier New">profundidad, asi como de las consecuencias de no usar las herramientas que</FONT></I></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><I><FONT SIZE=2 FACE="Courier New">IPv6 proporciona de forma adecuada.</FONT></I></SPAN><SPAN LANG="es"><I></I></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Les solicito me instruyan el sitio donde puedo encontrar material did</FONT></SPAN><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">áctico de los estandares del protocolo IPv6 y cuales son las herramientas que IPv6</FONT></SPAN><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New"> proporciona para crear una red segura.</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Mientras tanto,</FONT></SPAN><SPAN LANG="es"> <FONT SIZE=2 FACE="Courier New">seguiré</FONT></SPAN><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New"> monitoreando sus aportaciones,</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Saludos desde ciudad de Panam</FONT></SPAN><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">á</FONT></SPAN></P>
<BR>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Raúl Sanjur</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Universidad de Panamá</FONT></SPAN><SPAN LANG="es"></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">-----Mensaje original-----<BR>
De: lactf-bounces@lacnic.net [<A HREF="mailto:lactf-bounces@lacnic.net">mailto:lactf-bounces@lacnic.net</A>] En nombre de Fernando Gont<BR>
Enviado el: martes, 07 de septiembre de 2010 9:44<BR>
Para: lactf@lac.ipv6tf.org<BR>
CC: Latin America and Caribbean Region Network Operators Group; seguridad@lacnic.net<BR>
Asunto: Re: [LAC-TF] [lacnog] Fwd: just seen my first IPv6 network abuse scan, is this the start for more?</FONT></SPAN><SPAN LANG="es"></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Hola, Jordi,</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> Windows Vista y 7 utilizan tambien un nuevo tipo de direcciones, que no son</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> de privacidad, pero no dependen de la Mac. Eso implica que la busqueda se</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> hace mas dificil y no es posible basarse en el OUI.</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Hasta donde recuerdo haber chequeado, Vista configura direcciones de</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">privacidad, pero *también* configura direcciones comunes. Lo cual quiere</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">decir que si bien no se utilizan para conexiones salientes, *si* se las</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">puede utilizar para escanear.</FONT></SPAN></P>
<BR>
<BR>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> Insisto en que el problema es que hay mucha gente "enseñando" IPv6, que</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> tiene conocimiento "casi cero" de los estandares y del protocolo en</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> profundidad, asi como de las consecuencias de no usar las herramientas que</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> IPv6 proporciona de forma adecuada. </FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Si, pero existen los dos extremos: el desconocimiento de las</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">herramientas que IPv6 proporciona por un lado, y la negación de las</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">implicancias de seguridad por el otro.</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">En el primer caso posiblemente sea falta de conocimiento. En el segundo</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">al menos es falta de objetividad.</FONT></SPAN></P>
<BR>
<BR>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> Igualmente, muchas empresas lo estan</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> desplegando sin formar adecuadamente a sus ingenieros ...</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Coincido en este punto.</FONT></SPAN></P>
<BR>
<BR>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> Las aplicaciones de las que hablas, precisamente, solo desvelarian</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> direcciones de privacidad, y estas son cambiantes (se pueden configurar para</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> que cambien incluso cada pocos minutos si se requiere, aunque creo que no es</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> necesario), asi que un ataque no podria tener lugar, dado que aun en el caso</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> de interceptar un mensaje de una de esas aplicaciones (por ejemplo email),</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> NO existiria ya esa direccion.</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">La ventana de exposición sería menor (duraria menos tiempo), pero no por</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">ello inexistente.</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Si tengo un 0-day que me permite ganar acceso de administrador en por</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">ej. un sistema Vista, con tal de que pueda encontrar dicho sistema y</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">accederlo durante un minuto, listo. No me hace falta que su direccion</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">sea estable por diez años para ganar acceso al mismo.</FONT></SPAN></P>
<BR>
<BR>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> Y si, claro, si se ha ganado acceso a una sola maquina, el descubriemiento</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> del resto de la LAN parece trivial dado que un ping multicast a todos los</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> nodos los revela, SALVO, que como por defecto en muchas plataformas, estas</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> tengan firewall activado por defecto. </FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Ahi muchisimos otros vectores para escanear. Por ejemplo MLDv2 queries,</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">etc. Salvo que estén *todos* deshabilitados, el escaneo es posible.</FONT></SPAN></P>
<BR>
<BR>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> Sigo pensando que aunque se logren mejoran y dar inteligencia a las tecnicas</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> de port scanning, lo cual sin duda ocurrira, los tiempos necesarios, aun</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> cuando todos los usuarios residenciales tuvieran redes de 100 Mbps (FTTH),</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> no seran suficientes para lograr ataques que fructifiquen ni siquiera en una</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> proporcion de 1 a 1.000.000 (por decir algo), comparados con IPv4.</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Personalmente creo que, si uno compara escaneo en IPv6 vs. en IPv4 por</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">*fuerza* *bruta*, obviamente es mas facil el escaneo en IPv4.</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Pero cambiando la metodologia de escaneo, creo que la situación cambia</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">completamente, y los escaneos en IPv6 se hacen muy viables.</FONT></SPAN></P>
<BR>
<BR>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> Creo que es importante leer todo el thread en NANOG para ver detalles que</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> otros, como Owen de HE, han comentado y que justifican claramente lo que</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">> estoy diciendo.</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Ver tambien, las de Joel Jaeggli y las de Roland Dobbins, que justifican</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">parte de mi punto de vista. -- de cualquier modo, hay que tener en</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">cuenta que existen muy pocas herramientas de ataque publicamente</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">disponibles... y que las que existen son muy basicas. Por eso, todavia</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">queda *mucho* por verse (o, dicho de otro modo, todavía no hemos visto</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">nada).</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Saludos cordiales,</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">-- </FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">Fernando Gont</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">e-mail: fernando@gont.com.ar || fgont@acm.org</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1</FONT></SPAN></P>
<BR>
<BR>
<BR>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">_______________________________________________</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">LACTF mailing list</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New">LACTF@lacnic.net</FONT></SPAN></P>
<P ALIGN=LEFT><SPAN LANG="es"><FONT SIZE=2 FACE="Courier New"><A HREF="https://mail.lacnic.net/mailman/listinfo/lactf">https://mail.lacnic.net/mailman/listinfo/lactf</A></FONT></SPAN><SPAN LANG="es"></SPAN></P>
</BODY>
</HTML>