[LACNIC/Politicas] Los secuestros BGP constituyen una violación de las políticas - LAC-2019-5

Arturo Servin arturo.servin at gmail.com
Wed Apr 10 07:37:29 -03 2019 

On Wed, Apr 10, 2019 at 11:12 AM JORDI PALET MARTINEZ via Politicas <
politicas at lacnic.net> wrote:

>
>
> El 10/4/19 11:36, "Arturo Servin" <arturo.servin at gmail.com> escribió:
>
>
>
>
>
>
>
> On Wed, Apr 10, 2019 at 9:59 AM JORDI PALET MARTINEZ via Politicas <
> politicas at lacnic.net> wrote:
>
>
>
> El 10/4/19 10:33, "Arturo Servin" <arturo.servin at gmail.com> escribió:
>
>
>
>
>
>
>
> On Wed, Apr 10, 2019 at 8:42 AM JORDI PALET MARTINEZ via Politicas <
> politicas at lacnic.net> wrote:
>
> Hola Arturo,
>
>
> El 10/4/19 9:13, "Politicas en nombre de Arturo Servin" <
> politicas-bounces at lacnic.net en nombre de arturo.servin at gmail.com>
> escribió:
>
>     Es una buena propuesta con buenas intenciones pero creo que es
> imposible
>     ponerla en practica.
>
> Porque crees que es imposible ponerla en práctica? Así vemos la forma de
> mejorar la propuesta.
>
>
>
>
>
> Porque para evaluar si es o no BGP hijack/leak requiere de recursos
> humanos y tecnicos que es costoso (en tiempo, esfuerzo y dinero) para
> LACNIC proveer.
>
>
>
> Yo pienso que habrá voluntarios, al igual que los hay para muchas otras
> tareas de la comunidad.
>
>
>
> De acuerdo a la politica se requieren expertos mundiales, como definen
> esos expertos? Van a aceptar trabajar de gratis en posibles N eventos
> durante el año (yo creo que no)?
>
>
>
> Igual que los voluntarios para otras tareas de la comunidad. Si no los
> hubiera voluntarios, los RIRs tienen recursos para ofrecer una compensación
> justa, pero creo que no hay que llegar a ello. La alternativa que se me
> ocurre es que los que reclaman paguen ese coste, y que el mismo se le pueda
> reclamar al causante, aunque sea accidental. Al fin y al cabo, si se
> hiciera vía judicial, lo pagaría igual el causante (aun siendo accidental)
> y sería mas caro.
>
>
>
> Además, esto evitaría falsas denuncias.
>
>
>
> Ojo que esto lo estoy diciendo yo, para que no haya dudas, no es algo que
> hayamos consensuado entre los co-autores. El debate del PDP es para aclarar
> estos temas.
>

No creo que eso funcione tampoco, tratar de cobrarle a una organizacion va
a traer problemas. Pero dejemoslo aparte.


>
>
>
>
>
>
> Porque requiere blindar a LACNIC legalmente (no soy abogado asi que los
> detalles no los se) para que al retirar un recurso no haya repercusiones
> legales.
>
>
>
> Ni mas ni menos que para cualquier otro incumplimiento de las políticas
> que pueda ocurrir hoy, o por impago. Eso es parte del ámbito de lo
> estatutos que incluyen el cumplimiento de las políticas y el procedimiento
> de recuperación (7 en el manual de políticas) así como los propios acuerdos
> legales que todos los miembros firman y por tanto aceptan.
>
>
>
> Impago es facil de probar, que se hizo un hijack y se hizo de mala fe no.
>
>
>
> Por eso solo se considera violación si queda perfectamente probado. Una
> forma de ser mas garantista que he comentado (de nuevo pendiente de que los
> co-autores lo aceptemos), es que los 3 expertos sean unánimes en la
> decisión (tanto en el análisis inicial como en la apelación si es el caso –
> dudo que un “hijacker no-accidental” busque apelar …).
>
>
>
>perfectamente probado

Nunca podras hacerlo.


>
>
>
>
> Porque puede ser costoso para LACNIC si se remueve una asignacion y se le
> demandar a LACNIC.
>
>
>
> Menos costoso que si un miembro tiene secuestros de sus recursos y LACNIC
> no actúa, ya que parte de sus funciones, según sus estatutos (Articulo 2).
> Lo mismo que los otros RIRs, cada uno en su región.
>
>
>
> La funcion de LACNIC es registrar el recurso (1 y 2 de Articulo 2), los
> otros 3-7 son subjetivos y no creo que no prevenir hijacks los incumpla.
>
>
>
> Discrepo. Si no lo hacen los RIRs, al final llegaremos a regulación y
> tribunales, mucho mas caro, costoso y lento, y perderemos el control desde
> la comunidad.
>

No esta en su funcion. No tratemos de ponerle 5 ruedas al auto.


>
>
>
> Si puedes explicar como el Articulo 2 porque un hijack no hace cumplir a
> LACNIC seria bueno.
>
>
>
> Si lo explique ayer en el email a Ricardo:
>
> ARTICULO 2: (Objeto social) Son sus objetivos: 1. Administrar el espacio
> de direcciones IP y otros recursos asociados en beneficio de la comunidad
> Internet para la región de América Latina y el Caribe (LAC). 2. Proveer
> servicios de registro de direcciones IP, ASN, resolución inversa y sus
> recursos asociados, con el propósito de permitir y facilitar las
> comunicaciones a través de redes informáticas. … 7. Proponer y desarrollar
> las políticas públicas en el área de su competencia.
>
>
>
> También:
>
> Para el cumplimiento de sus objetivos LACNIC podrá: a. organizar todos los
> servicios necesarios para la realización de sus objetivos de administración
> del espacio IP y otros recursos asociados de la región de América Latina y
> el Caribe (LAC);
>

Si, la base de datos del whois y otras cosas, pero nada de prevenir o
investigar el uso de los recursos.


>
>

> Es fácil que alguien que esta siendo secuestrado acuda al juzgado a
> reclamar la inacción de LACNIC si no se actúa.
>

No veo por que.


>
>
>
>
>
>
> Se requiere hacer una proceso muy preciso para poder defender en un
> juzgado como se determino un hijack, como fue y quien lo hizo. Esto cuesta
> mucho en dinero y esfuerzo.
>
>
>
> El mismo que para cualquier peritaje en un juzgado. El mismo si la demanda
> es al contrario (LACNIC no protege que los recursos que me ha asignado,
> realmente los pueda usar sin interrupción y para colmo es otro miembro y no
> le sanciona).
>
>
>
> Claro, para que meter LACNIC en ese problema.
>
>
>
>
>
>
>
>     Además del argumento que LACNIC no es el policia de Internet creo que
> va a
>     ser muy dificil poder comprobar que un secuestro es intencional o
> siquiera
>     probar al 100% que un secuestro realmente sucedió.
>
>
>
> LACNIC su trabajo es registrar recursos numericos de Internet, cualquier
> otra cosa es un extra. En este caso evaluar si un recurso que se asigno se
> uso bien o mal no es una de sus funciones.
>
>
>
>
>
>
> El adjunto no llego!
>
>
>
> Lo puedes ver aqui: https://imgur.com/gallery/mSHi8
>
>
>
>
>     Creo que mejor es usar ese tiempo y ese esfuerzo en implementar RPKI,
>     implementar datos y uso de IRRs y que cada organizacion en Internet
> filtre
>     adecuadamente. Adoptar MANRS puede ser un buen comienzo y en mi
> opinión el
>     mejor camino para resolver el problemas de secuestro de rutas.
>
> Son caminos paralelos y de lo que se trata es de que aquellos casos que
> surjan, especialmente los no-intencionados o clasificados como tales,
> puedan recibir una advertencia y ayuda para adoptar buenas practicas
> (MANRS, RPKI, etc.).
>
>
>
> Pero un camino esta lleno de piedras, bombas, campos minados, armas
> biologicas, etc. Mejor tomamos el más eficiente (por si queda la duda es
> MANRS, IRR, RPKI, etc.) y el que quiera demandar a alguien por daños por un
> hijack que lo haga por los mecanismos legales o que busque
> cambiarlos/crearlos que es donde esto se deberia tratar, y no en las
> politicas de un RIR.
>
>
>
> Esos mecanismos solo serán eficaces cuando el nivel de despliegue supere
> un 99%. Creo que entonces hay que recomendar a la comunidad que demande a
> su RIR cuando se produce el secuestro de los recursos asignados, y el daño
> sería muchísimo mayor.
>
>
>
> Si tienes una referencia que lo explique seria buena, por mientras you
> puedo decir que con que el 15% lo soporte es suficiente.
>
>
>
> En el momento en que el secuestro sea de recursos cuyos tránsitos o peers
> no apliquen estas técnicas, podría no afectar al tercero o cuarto en el
> path, pero si al segundo y a sus clientes. Obviamente 15% es mejor que
> nada, pero no protege a todos, sino solo a los “peers directos” de ese 15%.
>

Mi punto es que reclamas que el 99% de Internet tiene que adoptar RPKI, por
lo pronto es tu opinion y no esta basada en ningun estudio. Lo que yo
solicitaba es el fundamento del 99%, si no podemos inventar cualquier
numero.



>
>
> En la misma linea, a menos que los 5 RIRs tengan esta politica tampoco
> serviria de mucho. Por ejemplo puedo usar un ASN en el RIR A (que no tiene
> esta politica) para hacer hijacks de IPs de ISPs en LACNIC y LACNIC no
> puede hacer absolutamente nada en practica (puede hacer todo el analisis
> que quiera pero ese esfuerzo es inutil.)
>
>
>
> La propuesta esta haciéndose en todos los RIRs, aunque al ritmo que
> podemos los autores, etc. De todos modos, tal y como esta definida, si
> ocurre en LACNIC (que es lo importante en esta discusión), con miembros de
> LACNIC, resuelve la situación. Si lo aceptan algunos RIRs y otros no,
> obviamente, “la calidad” de las regiones que no lo aceptan “disminuye” y
> cada uno tomará sus decisiones, igual que pasa con el conflicto del TAL de
> ARIN, etc. …
>
>
>
>
Mejor invertimos el tiempo en algo que sea mas eficiente.


>
>
>
> He puesto numerosos ejemplos ayer en un correo contestando a Ricardo. Aquí
> va otro. Un club deportivo cede “espacio/tiempo” de utilización de sus
> recursos a los socios. Ejemplo, el socio “A” dispone de la pista de tenis
> cada lunes de 20:00-21:00. El socio “B” llega antes y la ocupa y no quiere
> salir y esto lo repite una y otra vez, tanto contra el socio “A” como
> contra otros (socios “C”, “D”, y “E”). La policía no podrá actuar
> seguramente (porque no esta clasificado como delito y por tanto se requiere
> acudir al juzgado) o no servirá porque cuando lleguen ya se ha terminado la
> hora de uso. Hay dos vías de resolución:
> Dado que el club tiene unos estatutos que incluyen normas y determina
> (bien el staff, o bien mediante árbitros externos), que eso esta ocurriendo
> repetidamente en contra de las normas, expulsa al socio “B” siguiendo el
> procedimiento y la junta directiva lo ratifica a la vista del informe de
> los árbitros. El socio “B” acude a los tribunales, y SI o SI va a perder, y
> pagará las costas.
> El club no actúa. El socio “A” o el “C” o el “D” o varios en demanda
> conjunta, acuden a los tribunales y SI o SI se les dará la razón y el club
> pagará las costas.
>
>
>
> Tu ejemplo no funciona. En el caso de LACNIC su funcion es solo decir
> quien usa la cancha, no verificar quien la usa la usa bien.
>
>
>
> Me das la razón!, la cancha la puede usar “A”, no “B” !
>

Si, B no tiene derecho de uso, pero el club (LACNIC) no puede hacer nada.
Su funcion es mantener un registro, al igual que LACNIC, no de obligar a
que se cumpla el registro o investigar si alguien uso la cancha cuando no
le tocaba. Tu te basas que el estatuto del club permite investigar faltas,
en el caso de LACNIC no es asi. Por ello tu ejemplo no funciona.




>
>
>
>
>
>
>
> Independientemente de todo esto, si has leído la propuesta en NINGUN caso
> hemos dicho que se expulse al secuestrador, el titulo y la introducción son
> bien claras, la política solo pretende explicitar que usar los recursos de
> otros es una violación de las políticas.
>
>
>
> Pero tiene otras repercusiones:
>
>
>
> >Como medida preventiva, no se podrá transferir ni alterar la titularidad
> de los recursos de las partes investigadas hasta la ratificación o archivo
> del caso.
>
>
>
> Si no alcanzamos consenso en ese punto se puede eliminar, pero creo que es
> muy razonable y garantista. Si alguien esta a punto de transferir recursos,
> es raro que NO sea un “hijacker”. Si un hijacker quiere burlar la política,
> obviamente intentará transferir los recursos tras un secuestro.
>
>
>
> Ademas del extra trabajo para todo mundo para analizar un evento que al
> final no tiene ninguna consecuencia.
>
>
>
> En la comunidad hacemos esto continuamente de forma voluntaria, pero
> insisto, si hay que pagarlo para reclamar, me parece justo y mas barato y
> eficaz que pagar en un juzgado.
>

Si lo que quieres es un cuerpo independiente para analizar hijacks esta
bien, pero no es una politica lo que se requiere.

Saludos
as


>
>
>
> Saludos
>
> as
>
>
>
>
>
>
>
>  Saludos,
>
> as
>
>
>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com
> The IPv6 Company
>
> This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
>
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas
>
>
>
> **********************************************
> IPv4 is over
> Are you ready for the new Internet ?
> http://www.theipv6company.com
> The IPv6 Company
>
> This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
>
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas
>

More information about the Politicas mailing list