[LACNIC/Politicas] Los secuestros BGP constituyen una violación de las políticas - LAC-2019-5
JORDI PALET MARTINEZ
jordi.palet at consulintel.es
Wed Apr 10 19:13:48 -03 2019
De ahí mi propuesta en el correo anterior.
Si creemos que ni LACNIC ni la comunidad (grupo de expertos) debe involucrarse en evaluar esos casos, al menos garanticemos que frente a la comunidad, LACNIC y terceros (para facilitar posibles reclamaciones judiciales), queda explicito que no es aceptable.
Saludos,
Jordi
El 10/4/19 23:56, "Politicas en nombre de Alejandro Guzman via Politicas" <politicas-bounces at lacnic.net en nombre de politicas at lacnic.net> escribió:
Nadie está diciendo que los hijacks no sean malos o no causen daño. El
problema es que el RIR no tiene ni el deber ni la capacidad ni puede asumir
la responsabilidad en el caso de un route hijack.
El problema de hijack no viene solamente de la región... y en la mayoría de
los casos viene de otras regiones... cona en la que LACNIC no puede hacer
nada, y en el caso de que sea en la misma región el RIR no puede hacer nada
que realmente arregle el problema... si se llega al caso de quitarle
recursos al asociado por esta razón (que requiere un proceso oneroso) eso
no hace que el infractor no lo siga haciendo..
Así que es una política de mucho impacto operativo para LACNIC que no trae
ninguna ventaja o beneficio real...
On Wed, Apr 10, 2019 at 5:48 PM Carlos Friaças via Politicas <
politicas at lacnic.net> wrote:
>
>
> Hola,
> (sorry for my bad spanish)
>
> Acerca de "danos a la propia asociación":
>
> Cuando alguien secuestra un recurso, el valor del servicio suministrado
> por el RIR disminuye, no solo para el titular legítimo, sino también para
> todos los que están engañados y creen que el secuestrador es el titular
> legítimo de dichos recursos (incluso temporalmente).
>
> Saludos,
> Carlos
>
>
>
>
> On Wed, 10 Apr 2019, JORDI PALET MARTINEZ via Politicas wrote:
>
> > Hola Alejandro,
> >
> >
> >
> > El 10/4/19 15:18, "Alejandro Guzman" <alejog at google.com> escribió:
> >
> >
> >
> > Estoy en desacuerdo con esta política porque no aporta nada realmente
> implementable y porque crea un proceso complejo, costoso, de subjetivo
> resultado y que se sale de las funciones del RIR.
> >
> >
> >
> > Discrepamos, obviamente. Creo que no tiene sentido repetir el detalle de
> lo que hemos contestado a Ricardo y Arturo.
> >
> >
> >
> > La comparación de LACNIC con un club o un complejo de apartamentos no es
> adecuada... no tiene las mismas características. Y aún si lo fuera, el
> complejo de apartamentos no sería el que se encargaría de expulsar un
> propietario que se metiera en el apartamento del otro... eso le corresponde
> a la policía... cosa que LACNIC no es.
> >
> >
> >
> > En esto no tienes razón, pero puedo ser que yo no lo haya escrito lo
> suficientemente explicito. No me refiero a expulsar ?por la fuerza
> físicamente?, sino a cancelar la membresía (expulsar del club).
> >
> >
> >
> > Cualquier asociación puede expulsar a un miembro si así lo reflejan sus
> estatutos por incumplimiento de las normas, por impago, incumplimiento de
> las políticas (que son parte de las normas), daños a otros miembros o la
> propia asociación, etc.
> >
> >
> >
> > Es más, en función de la legislación (desconozco si en el caso concreto
> de Uruguay es así, pero probablemente), también se podría expulsar a un
> miembro de una asociación por hechos que, aún no siendo explícitamente
> mencionados en los estatutos o normas, sean claramente perjudiciales a los
> derechos (dentro de esa asociación) del resto de los asociados o la propia
> asociación.
> >
> >
> >
> >
> >
> > On Wed, Apr 10, 2019 at 6:50 AM JORDI PALET MARTINEZ via Politicas <
> politicas at lacnic.net> wrote:
> >
> >
> >
> > El 10/4/19 12:37, "Arturo Servin" <arturo.servin at gmail.com> escribió:
> >
> >
> >
> >
> >
> >
> >
> >
> >
> > On Wed, Apr 10, 2019 at 11:12 AM JORDI PALET MARTINEZ via Politicas <
> politicas at lacnic.net> wrote:
> >
> >
> >
> > El 10/4/19 11:36, "Arturo Servin" <arturo.servin at gmail.com> escribió:
> >
> >
> >
> >
> >
> >
> >
> > On Wed, Apr 10, 2019 at 9:59 AM JORDI PALET MARTINEZ via Politicas <
> politicas at lacnic.net> wrote:
> >
> >
> >
> > El 10/4/19 10:33, "Arturo Servin" <arturo.servin at gmail.com> escribió:
> >
> >
> >
> >
> >
> >
> >
> > On Wed, Apr 10, 2019 at 8:42 AM JORDI PALET MARTINEZ via Politicas <
> politicas at lacnic.net> wrote:
> >
> > Hola Arturo,
> >
> >
> > El 10/4/19 9:13, "Politicas en nombre de Arturo Servin" <
> politicas-bounces at lacnic.net en nombre de arturo.servin at gmail.com>
> escribió:
> >
> > Es una buena propuesta con buenas intenciones pero creo que es
> imposible
> > ponerla en practica.
> >
> > Porque crees que es imposible ponerla en práctica? Así vemos la forma de
> mejorar la propuesta.
> >
> >
> >
> >
> >
> > Porque para evaluar si es o no BGP hijack/leak requiere de recursos
> humanos y tecnicos que es costoso (en tiempo, esfuerzo y dinero) para
> LACNIC proveer.
> >
> >
> >
> > Yo pienso que habrá voluntarios, al igual que los hay para muchas otras
> tareas de la comunidad.
> >
> >
> >
> > De acuerdo a la politica se requieren expertos mundiales, como definen
> esos expertos? Van a aceptar trabajar de gratis en posibles N eventos
> durante el año (yo creo que no)?
> >
> >
> >
> > Igual que los voluntarios para otras tareas de la comunidad. Si no los
> hubiera voluntarios, los RIRs tienen recursos para ofrecer una compensación
> justa, pero creo que no hay que llegar a ello. La alternativa que se me
> ocurre es que los que reclaman paguen ese coste, y que el mismo se le pueda
> reclamar al causante, aunque sea accidental. Al fin y al cabo, si se
> hiciera vía judicial, lo pagaría igual el causante (aun siendo accidental)
> y sería mas caro.
> >
> >
> >
> > Además, esto evitaría falsas denuncias.
> >
> >
> >
> > Ojo que esto lo estoy diciendo yo, para que no haya dudas, no es algo
> que hayamos consensuado entre los co-autores. El debate del PDP es para
> aclarar estos temas.
> >
> >
> >
> > No creo que eso funcione tampoco, tratar de cobrarle a una organizacion
> va a traer problemas. Pero dejemoslo aparte.
> >
> >
> >
> > Si el que quiere poner la denuncia, no paga, no puede ponerla.
> >
> >
> >
> > Si el que ha ocasionado el incidente no paga, ahí ya entramos en el
> impago por un servicio.
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> > Porque requiere blindar a LACNIC legalmente (no soy abogado asi que los
> detalles no los se) para que al retirar un recurso no haya repercusiones
> legales.
> >
> >
> >
> > Ni mas ni menos que para cualquier otro incumplimiento de las políticas
> que pueda ocurrir hoy, o por impago. Eso es parte del ámbito de lo
> estatutos que incluyen el cumplimiento de las políticas y el procedimiento
> de recuperación (7 en el manual de políticas) así como los propios acuerdos
> legales que todos los miembros firman y por tanto aceptan.
> >
> >
> >
> > Impago es facil de probar, que se hizo un hijack y se hizo de mala fe no.
> >
> >
> >
> > Por eso solo se considera violación si queda perfectamente probado. Una
> forma de ser mas garantista que he comentado (de nuevo pendiente de que los
> co-autores lo aceptemos), es que los 3 expertos sean unánimes en la
> decisión (tanto en el análisis inicial como en la apelación si es el caso ?
> dudo que un ?hijacker no-accidental? busque apelar ?).
> >
> >
> >
> >> perfectamente probado
> >
> >
> >
> > Nunca podras hacerlo.
> >
> >
> >
> > Me basta con que podamos probar algunos casos persistentes, y poco a
> poco ir avanzando como para que sea suficientemente bueno.
> >
> >
> >
> >
> >
> >
> >
> > Porque puede ser costoso para LACNIC si se remueve una asignacion y se
> le demandar a LACNIC.
> >
> >
> >
> > Menos costoso que si un miembro tiene secuestros de sus recursos y
> LACNIC no actúa, ya que parte de sus funciones, según sus estatutos
> (Articulo 2). Lo mismo que los otros RIRs, cada uno en su región.
> >
> >
> >
> > La funcion de LACNIC es registrar el recurso (1 y 2 de Articulo 2), los
> otros 3-7 son subjetivos y no creo que no prevenir hijacks los incumpla.
> >
> >
> >
> > Discrepo. Si no lo hacen los RIRs, al final llegaremos a regulación y
> tribunales, mucho mas caro, costoso y lento, y perderemos el control desde
> la comunidad.
> >
> >
> >
> > No esta en su funcion. No tratemos de ponerle 5 ruedas al auto.
> >
> >
> >
> > En la UE el mas probable próximo presidente, ya ha indicado que lo hará ?
> >
> >
> >
> >
> >
> >
> > Si puedes explicar como el Articulo 2 porque un hijack no hace cumplir a
> LACNIC seria bueno.
> >
> >
> >
> > Si lo explique ayer en el email a Ricardo:
> >
> > ARTICULO 2: (Objeto social) Son sus objetivos: 1. Administrar el espacio
> de direcciones IP y otros recursos asociados en beneficio de la comunidad
> Internet para la región de América Latina y el Caribe (LAC). 2. Proveer
> servicios de registro de direcciones IP, ASN, resolución inversa y sus
> recursos asociados, con el propósito de permitir y facilitar las
> comunicaciones a través de redes informáticas. ? 7. Proponer y desarrollar
> las políticas públicas en el área de su competencia.
> >
> >
> >
> > También:
> >
> > Para el cumplimiento de sus objetivos LACNIC podrá: a. organizar todos
> los servicios necesarios para la realización de sus objetivos de
> administración del espacio IP y otros recursos asociados de la región de
> América Latina y el Caribe (LAC);
> >
> >
> >
> > Si, la base de datos del whois y otras cosas, pero nada de prevenir o
> investigar el uso de los recursos.
> >
> >
> >
> > Tienes que leer completamente los documentos legales. Hay otros
> apartados que (no con estas palabras) obligan a respetar a los demás
> miembros y al propio LACNIC, etc.
> >
> >
> >
> >
> >
> >
> > Es fácil que alguien que esta siendo secuestrado acuda al juzgado a
> reclamar la inacción de LACNIC si no se actúa.
> >
> >
> >
> > No veo por que.
> >
> >
> >
> > Legalmente, porque es responsable ?in vigilando?
> >
> >
> >
> >
> >
> >
> >
> >
> >
> > Se requiere hacer una proceso muy preciso para poder defender en un
> juzgado como se determino un hijack, como fue y quien lo hizo. Esto cuesta
> mucho en dinero y esfuerzo.
> >
> >
> >
> > El mismo que para cualquier peritaje en un juzgado. El mismo si la
> demanda es al contrario (LACNIC no protege que los recursos que me ha
> asignado, realmente los pueda usar sin interrupción y para colmo es otro
> miembro y no le sanciona).
> >
> >
> >
> > Claro, para que meter LACNIC en ese problema.
> >
> >
> >
> >
> >
> >
> >
> > Además del argumento que LACNIC no es el policia de Internet creo que
> va a
> > ser muy dificil poder comprobar que un secuestro es intencional o
> siquiera
> > probar al 100% que un secuestro realmente sucedió.
> >
> >
> >
> > LACNIC su trabajo es registrar recursos numericos de Internet, cualquier
> otra cosa es un extra. En este caso evaluar si un recurso que se asigno se
> uso bien o mal no es una de sus funciones.
> >
> >
> >
> >
> >
> >
> > El adjunto no llego!
> >
> >
> >
> > Lo puedes ver aqui: https://imgur.com/gallery/mSHi8
> >
> >
> >
> >
> > Creo que mejor es usar ese tiempo y ese esfuerzo en implementar RPKI,
> > implementar datos y uso de IRRs y que cada organizacion en Internet
> filtre
> > adecuadamente. Adoptar MANRS puede ser un buen comienzo y en mi
> opinión el
> > mejor camino para resolver el problemas de secuestro de rutas.
> >
> > Son caminos paralelos y de lo que se trata es de que aquellos casos que
> surjan, especialmente los no-intencionados o clasificados como tales,
> puedan recibir una advertencia y ayuda para adoptar buenas practicas
> (MANRS, RPKI, etc.).
> >
> >
> >
> > Pero un camino esta lleno de piedras, bombas, campos minados, armas
> biologicas, etc. Mejor tomamos el más eficiente (por si queda la duda es
> MANRS, IRR, RPKI, etc.) y el que quiera demandar a alguien por daños por un
> hijack que lo haga por los mecanismos legales o que busque
> cambiarlos/crearlos que es donde esto se deberia tratar, y no en las
> politicas de un RIR.
> >
> >
> >
> > Esos mecanismos solo serán eficaces cuando el nivel de despliegue supere
> un 99%. Creo que entonces hay que recomendar a la comunidad que demande a
> su RIR cuando se produce el secuestro de los recursos asignados, y el daño
> sería muchísimo mayor.
> >
> >
> >
> > Si tienes una referencia que lo explique seria buena, por mientras you
> puedo decir que con que el 15% lo soporte es suficiente.
> >
> >
> >
> > En el momento en que el secuestro sea de recursos cuyos tránsitos o
> peers no apliquen estas técnicas, podría no afectar al tercero o cuarto en
> el path, pero si al segundo y a sus clientes. Obviamente 15% es mejor que
> nada, pero no protege a todos, sino solo a los ?peers directos? de ese 15%.
> >
> >
> >
> > Mi punto es que reclamas que el 99% de Internet tiene que adoptar RPKI,
> por lo pronto es tu opinion y no esta basada en ningun estudio. Lo que yo
> solicitaba es el fundamento del 99%, si no podemos inventar cualquier
> numero.
> >
> >
> >
> > Creo que no es el tema entrar en batalla de cifras. La idea es que si el
> primer punto de transito no cumple con MANRS, RPKI, etc., un secuestro de
> uno de sus clientes puede efectuarse sobre los demás clientes.
> >
> >
> >
> >
> >
> >
> > En la misma linea, a menos que los 5 RIRs tengan esta politica tampoco
> serviria de mucho. Por ejemplo puedo usar un ASN en el RIR A (que no tiene
> esta politica) para hacer hijacks de IPs de ISPs en LACNIC y LACNIC no
> puede hacer absolutamente nada en practica (puede hacer todo el analisis
> que quiera pero ese esfuerzo es inutil.)
> >
> >
> >
> > La propuesta esta haciéndose en todos los RIRs, aunque al ritmo que
> podemos los autores, etc. De todos modos, tal y como esta definida, si
> ocurre en LACNIC (que es lo importante en esta discusión), con miembros de
> LACNIC, resuelve la situación. Si lo aceptan algunos RIRs y otros no,
> obviamente, ?la calidad? de las regiones que no lo aceptan ?disminuye? y
> cada uno tomará sus decisiones, igual que pasa con el conflicto del TAL de
> ARIN, etc. ?
> >
> >
> >
> >
> > Mejor invertimos el tiempo en algo que sea mas eficiente.
> >
> >
> >
> >
> >
> >
> > He puesto numerosos ejemplos ayer en un correo contestando a Ricardo.
> Aquí va otro. Un club deportivo cede ?espacio/tiempo? de utilización de sus
> recursos a los socios. Ejemplo, el socio ?A? dispone de la pista de tenis
> cada lunes de 20:00-21:00. El socio ?B? llega antes y la ocupa y no quiere
> salir y esto lo repite una y otra vez, tanto contra el socio ?A? como
> contra otros (socios ?C?, ?D?, y ?E?). La policía no podrá actuar
> seguramente (porque no esta clasificado como delito y por tanto se requiere
> acudir al juzgado) o no servirá porque cuando lleguen ya se ha terminado la
> hora de uso. Hay dos vías de resolución:
> > Dado que el club tiene unos estatutos que incluyen normas y determina
> (bien el staff, o bien mediante árbitros externos), que eso esta ocurriendo
> repetidamente en contra de las normas, expulsa al socio ?B? siguiendo el
> procedimiento y la junta directiva lo ratifica a la vista del informe de
> los árbitros. El socio ?B? acude a los tribunales, y SI o SI va a perder, y
> pagará las costas.
> > El club no actúa. El socio ?A? o el ?C? o el ?D? o varios en demanda
> conjunta, acuden a los tribunales y SI o SI se les dará la razón y el club
> pagará las costas.
> >
> >
> >
> > Tu ejemplo no funciona. En el caso de LACNIC su funcion es solo decir
> quien usa la cancha, no verificar quien la usa la usa bien.
> >
> >
> >
> > Me das la razón!, la cancha la puede usar ?A?, no ?B? !
> >
> >
> >
> > Si, B no tiene derecho de uso, pero el club (LACNIC) no puede hacer
> nada. Su funcion es mantener un registro, al igual que LACNIC, no de
> obligar a que se cumpla el registro o investigar si alguien uso la cancha
> cuando no le tocaba. Tu te basas que el estatuto del club permite
> investigar faltas, en el caso de LACNIC no es asi. Por ello tu ejemplo no
> funciona.
> >
> >
> >
> > Si que lo permite el de LACNIC, lo indica la sección 7 del manual de
> políticas y los estatutos.
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> > Independientemente de todo esto, si has leído la propuesta en NINGUN
> caso hemos dicho que se expulse al secuestrador, el titulo y la
> introducción son bien claras, la política solo pretende explicitar que usar
> los recursos de otros es una violación de las políticas.
> >
> >
> >
> > Pero tiene otras repercusiones:
> >
> >
> >
> >> Como medida preventiva, no se podrá transferir ni alterar la
> titularidad de los recursos de las partes investigadas hasta la
> ratificación o archivo del caso.
> >
> >
> >
> > Si no alcanzamos consenso en ese punto se puede eliminar, pero creo que
> es muy razonable y garantista. Si alguien esta a punto de transferir
> recursos, es raro que NO sea un ?hijacker?. Si un hijacker quiere burlar la
> política, obviamente intentará transferir los recursos tras un secuestro.
> >
> >
> >
> > Ademas del extra trabajo para todo mundo para analizar un evento que al
> final no tiene ninguna consecuencia.
> >
> >
> >
> > En la comunidad hacemos esto continuamente de forma voluntaria, pero
> insisto, si hay que pagarlo para reclamar, me parece justo y mas barato y
> eficaz que pagar en un juzgado.
> >
> >
> >
> > Si lo que quieres es un cuerpo independiente para analizar hijacks esta
> bien, pero no es una politica lo que se requiere.
> >
> >
> >
> > Se trata de que la política indique que es contrario a lo que los
> miembros pueden hacer, igual que es contrario asignarse recursos que no te
> correspondes o no justificas la necesidad.
> >
> >
> >
> > Saludos
> >
> > as
> >
> >
> >
> >
> >
> >
> > Saludos
> >
> > as
> >
> >
> >
> >
> >
> >
> >
> > Saludos,
> >
> > as
> >
> >
> >
> >
> >
> > **********************************************
> > IPv4 is over
> > Are you ready for the new Internet ?
> > http://www.theipv6company.com
> > The IPv6 Company
> >
> > This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
> >
> > _______________________________________________
> > Politicas mailing list
> > Politicas at lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/politicas
> >
> >
> >
> > **********************************************
> > IPv4 is over
> > Are you ready for the new Internet ?
> > http://www.theipv6company.com
> > The IPv6 Company
> >
> > This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
> >
> > _______________________________________________
> > Politicas mailing list
> > Politicas at lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/politicas
> >
> >
> >
> > **********************************************
> > IPv4 is over
> > Are you ready for the new Internet ?
> > http://www.theipv6company.com
> > The IPv6 Company
> >
> > This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
> >
> > _______________________________________________
> > Politicas mailing list
> > Politicas at lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/politicas
> >
> >
> >
> >
> > --
> >
> >
> > Alejandro Guzman | Interconnection Director | alejog at google.com | +1
> (650) 4268561
> >
> > If you get an email from me outside working hours it is not because I am
> always on or expect an immediate response from you, it is because work
> flexibility is key for me. Evening and weekend emails are a sign that I
> prioritized personal obligations during the week.
> >
> >
> >
> > **********************************************
> > IPv4 is over
> > Are you ready for the new Internet ?
> > http://www.theipv6company.com
> > The IPv6 Company
> >
> > This electronic message contains information which may be privileged or
> confidential. The information is intended to be for the exclusive use of
> the individual(s) named above and further non-explicilty authorized
> disclosure, copying, distribution or use of the contents of this
> information, even if partially, including attached files, is strictly
> prohibited and will be considered a criminal offense. If you are not the
> intended recipient be aware that any disclosure, copying, distribution or
> use of the contents of this information, even if partially, including
> attached files, is strictly prohibited, will be considered a criminal
> offense, so you must reply to the original sender to inform about this
> communication and delete it.
> >
> > _______________________________________________
> > Politicas mailing list
> > Politicas at lacnic.net
> > https://mail.lacnic.net/mailman/listinfo/politicas
> >
> _______________________________________________
> Politicas mailing list
> Politicas at lacnic.net
> https://mail.lacnic.net/mailman/listinfo/politicas
>
--
Alejandro Guzman | Interconnection Director | alejog at google.com | +1 (650)
4268561
If you get an email from me outside working hours it is not because I am
always on or expect an immediate response from you, it is because work
flexibility is key for me. Evening and weekend emails are a sign that I
prioritized personal obligations during the week.
_______________________________________________
Politicas mailing list
Politicas at lacnic.net
https://mail.lacnic.net/mailman/listinfo/politicas
**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.theipv6company.com
The IPv6 Company
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.
More information about the Politicas
mailing list