[LACNIC/Politicas] Los secuestros BGP constituyen una violación de las políticas - LAC-2019-5

Fernando Frediani fhfrediani at gmail.com
Wed Apr 10 01:16:08 -03 2019 

Hola Ricardo, buenos días.

Vamos a tratar de tomar un ejemplo similar. De acuerdo con el manual de 
políticas en el ítem 7.1 LACNIC podrá verificar con la organización que 
recibió recursos en el pasado el uso correcto de éstos y en caso de 
constatar que ya no se utilizan o se utilizan de forma incorrecta puede 
recuperarlos.

De la misma forma esta organización puede accionar LACNIC judicialmente 
y por lo tanto no dejar de ser un riesgo para él. Pero este proceso está 
debidamente documentado y justificado para todos los que reciben los 
recursos y de la misma forma sería si esta propuesta es aprobada. 
Entonces el accionar a alguien en el tribunal es siempre posible, pero 
tener éxito depende de cuán resguardado el RIR está y en ambos casos 
creo que el RIR está bien resguardado.

Debería haber algún tipo de relación entre los expertos y LACNIC pues 
éstos estarán prestando un servicio y para no engrasar demasiado, la 
propuesta dejar a cargo de LACNIC cómo organizar eso, si va a 
remunerarlos o no, qué tipos de documentos deben ser firmados, etc. El 
más importante dicer es que ese trabajo se hace para el RIR y la 
responsabilidad final sigue siendo siempre de él, por lo que se deja 
siempre en último caso a cargo de la Board la responsabilidad de 
ratificar o no el informe.

El caso que usted se refirió de routers secuestrados por terceros 
desconocidos y utilizados para hijack de acuerdo con esta propuesta 
posiblemente sería entendido como no intencional y por lo tanto no 
pasible de cualquier sanción.

Saludos
Fernando

On 09/04/2019 16:44, Ricardo Patara wrote:
> Fernando
>
>> Comprendo sus preocupaciones con respecto a los riesgos legales para 
>> el RIR, y eso no puede ser ignorando entonces es muy correcto en 
>> señalar eso. Pero considero que el riesgo será pequeño pues como eso 
>> formará parte de la política de manera clara, política esta que 
>> cualquier tribunal entiende que deben ser observadas por los miembros 
>> y en un proceso bien definido lo que un secuestrador intencional 
>> podrá alegar en su defensa para que el RIR tenga ese riesgo ?
>
> no es pequeño el riesgo
> insisto es ENORME. Tanto legal como financiero.
>
> ese "secuestrador" puede hacer demandas legales a lacnic en la corte.
> tenderá todo el derecho de cuestionar LACNIC por haber le quitado un 
> servicio para lo cual pagaba, por ejemplo
>
> solamente por el hecho de poder hacerlo, ya le costará muchísimo a 
> LACNIC.
>
> LACNIC por su vez, por ser el "acusado" tendrá que probar que tomo sus 
> acciones con base en algo "sustentable"
>
> pero no hay nada sustentable.
>
> un grupo de personas (los tales expertos) sin ningún vinculo legal con 
> lacnic ni tampoco con el reporte presentado.
>
> reporte ese elaborado utilizando informaciones que de manera muy 
> difícil se podrá probar como "confiables"
>
> por eso, el riesgo no es menor sino que ENORME!
>
>> Con respecto al análisis de los expertos ella no deberá nunca hacer 
>> ninguna recomendación al LACNIC sobre qué medidas o sanciones tomar o 
>> aún analizar si hubo incumplimiento o no de las políticas, pero 
>> apenas restringirse a la parte técnica para decir si en la visión de 
>> ellos el secuestro ocurrió de manera intencional o no.
>
> aún así,
> hay un costo para todo eso
> dichos expertos no van trabajar gratis. y si queres los mejores tendrá 
> que pagar mucho.
>
> para qué todo ese trabajo?
>
> mucho mejor invertir ese tiempo y recurso para entrenamiento y 
> capacitación.
>
> con ISPs más capacitados si disminuye el riesgo de ese tipo de 
> "problemas" y de muchos otros más.
>
> eso todo, incluso, abre brechas para DoS contra el RIR. Ataques a 
> ISPs, etc.
>
> y no soluciona el problema
>
> el que quiere atacar utilizando hijack sabe que hacer y cómo hacerlo
>
> tu conocés casos en Brasil de routers "secuestrados" y que fueran 
> abusados para diversos ataques... lo cuales no dejaron ningún "log" 
> que se pudiera rastrear y llegar la verdadero criminoso.
>
> -- 
> Ricardo
>
>> Por lo demás, es importante decir que la decisión final de qué hacer 
>> y teniendo en cuenta todos los riesgos para el RIR estará siempre con 
>> la Board que puede ratificar o no un proceso. Si la Board considera 
>> por alguna razón que no debe ratificar ese informe final incluso con 
>> el análisis de los expertos de que el secuestro fue intencional es 
>> una prerrogativa de ella, pero en ese caso ella posiblemente tendrá 
>> que explicar para los miembros las razones de su decisión.
>>
>> Saludos cordiales
>> Fernando Frediani
>>
>> On 08/04/2019 16:29, Ricardo Patara wrote:
>>> Fernando,
>>>
>>> Ricardo Patara
>>>
>>>
>>>> Si es función del RIR asignar recursos de numeración, es obvio su 
>>>> función también retirarlos cuando sea necesario también, para 
>>>> proteger a todos los demás, de lo contrario tendríamos un escenario 
>>>> muy preocupante de "tierra sin ley".
>>>
>>> depende.
>>> sacar recursos por no cumplir con algo que está ajeno de sus 
>>> funciones le pone a los rirs en riesgos jurídicos y financieros.
>>>
>>> eso de tierra sin ley es muy amplio y hay que tener cuidado.
>>>
>>> dejemos los rirs donde están sus funciones ;-)
>>>
>>>> Y si es función del RIR definir qué recursos deben ser utilizados 
>>>> por casa Sistema Autónomo en mi visión **una de las cosas más 
>>>> graves** que podría suceder es alguien intentar utilizar recursos 
>>>> que no están bajo su responsabilidad y crear caos en la región y en 
>>>> Internet. Por eso la propuesta sugiere algo que está también dentro 
>>>> de las funciones del RIR.
>>>
>>> como dije, si uno inicia el anuncio/uso de un recurso para lo cual 
>>> no es el titular hubo fallas en otros "sistemas" que lo pueden ser 
>>> más determinantes en evitar tal situación.
>>> y mi sugerencia es actuar en ese sector educando.
>>>
>>>> Con respecto a la parte operativa de la propuesta, ya excluye de 
>>>> inicio errores no intencionales, pero por otro lado si alguien lo 
>>>> hace intencionalmente, seguramente debe haber alguna acción.
>>>
>>> quién lo determina?
>>> un grupo de personas, que puede cometer errores.
>>> cual base de la información se usaría? Qué garantías de calidad y 
>>> validez de dichas informaciones habrán?
>>>
>>>> La selección de los expertos queda a cargo del RIR siguiendo 
>>>> recomendaciones de la comunidad, pero la selección es del RIR, así 
>>>> como la asignación de un caso para los mismos. El proceso permite 
>>>> la apelación y, por último, aún debe ser ratificado por la Board.
>>>
>>> no quita el riesgo como indicado arriba.
>>>
>>> -- 
>>> Ricardo
>>> _______________________________________________
>>> Politicas mailing list
>>> Politicas at lacnic.net
>>> https://mail.lacnic.net/mailman/listinfo/politicas
>> _______________________________________________
>> Politicas mailing list
>> Politicas at lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/politicas
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas

More information about the Politicas mailing list