[LACNIC/Seguridad] [LAC-TF] Researchers warn of attacks from unprotected IPv6 traffic

Fernando Gont fgont en si6networks.com
Lun Ago 5 09:56:42 BRT 2013 

Hola, Ale,

On 08/04/2013 06:06 AM, Alejandro Acosta wrote:
> Buenos dias,
>   Una noticia sobre una alternativa de ataque utlizando IPv6 en redes
> IPv4, se ha tratado anteriormente en la lista:
> 
> http://www.v3.co.uk/v3-uk/news/2286734/researchers-warn-of-attacks-from-unprotected-ipv6-traffic
> 
>   El final de la noticia me gustó mucho:
> 
> "While such attacks could be mitigated by disabling IPv6 on newer
> systems, Neohapsis believes that the more practical and effective
> solution for the long term is to encourage companies and network
> operators to speed up their adoption of the IPv6 protocol."

Algunos comentarios variados:

* En primer lugar, Internet es algo lo suficientemente grande como para
que literalemente se pueda decir cualquier cosa de cualquier tema.

La primer pregunta que yo me hago frente a un articulo que intenta
llegar a una recomendación o conclusión de algún tipo es "La conclusion
se basa en algun tipo de argumento verificable?"

En este caso, el artículo carece de argumentos tecnicos. Por tal motivo,
a mi criterio no veo demasiado valor en el mismo.


* Sumado a la falta de argumento tecnico (principal y mas importante
problema), personalmente no conocía el medio en el cual fue publicado,
ni tampoco tengo conocimientos de la firma Neohapsis (mas allá de que
recuerdo que archivan los mails de algunas listas de seguridad).

Conocer el medio/reportero puede ser de utilidad para saber que tanto
pueden haber "toqueteado" lo que (en teoría) dijo la gente de Neohapsis
-- esto es mas que usual en los medios, por una variedad de razones
(desde hacer el artículo mas atractivo, a cuestiones de redacción o SEO).

A neohpasis no los he visto involucrados en nada respecto de v6... pero,
mas allá de eso, hubiera estado bueno saber quien fue el researcher
entrevistado. En el area de v6 somos 4 o 5 gatos locos publicando cosas,
así que todos nos conocemos entre todos. (claro está, estamos hablando
de las cosas públicas, y no de proyectos "secretos" e ningún estado).

Sin saber quien fue el entrevistado, uno no sabe si las aseveraciones en
cuestión vinieron de un VP de marketing, de alguien trabajando en
seguridad v6, o de alguien trabajando en seguridad (pero no
necesariamente v6) -- o, tambien, "de ninguna de las anteriores". :-)

(Pongo énfasis en que un articulo debería estar respaldado por la
correspondiente argumentación técnica, mas allá de quien sea el
medio/reportero y individuo/empresa detrás de el...)


* Cuestiones técnicas

En lo personal, la primer reacción que tuve al leer el articulo fue "el
que fuma y no convida tiene un sapo en la barriga" :-). Sin embargo, si
uno analiza la "conclusión", tal vez debería decir que...no dice
demasiado. Repasemos:

   "While such attacks could be mitigated by disabling IPv6 on
    newer systems, Neohapsis believes that the more practical and
    effective solution for the long term is to encourage companies
    and network operators to speed up their adoption of the IPv6
    protocol."

En primer lugar, el texto asume que los nuevos dispositivos soportan v6,
lo cual no es cierto. Esto sucede con dispositivos de uso general
(computadoras en su sentido tradicional), pero no así en impresoras,
smart TVs, etc.

En segundo lugar, asume que en todos los dispositivos que se dispone v6,
el mismo puede eliminarse -- lo cual tampoco es cierto. -- Donde se
deshabilita IPv6 en Android? (la interfaz gráfica ni siquiera está
enterada que el OS *si* soporta v6)

En tercer lugar, la adopción de IPv6 en si no es ni práctica ni efectiva
para mitigar estos ataques. De hecho, podés tener v6 esplegado en toda
tu red, y estos ataques pueden seguir siendo realizados (si no están
apropiadamente mitigados).

En cuarto lugar, creo que a la aseveración en cuestión le hace falta un
toque de realidad. Los productos que hay en general en este area son...
horribles. RA-Guard es, a esta altura, mas conocido por ser evadible,
que por lo que hace :-), una gran cantidad de firewalls tienen una
performance horrenda en materia de IPv6 (y no solo eso... la performance
es afectada en IPv4 con tan soo incluir una regla de v6... y por mas que
no haya trafico v6).

Sin embargo, si uno presta atención al texto, verá que dice "the more
practical and effective solution for the long term is..." lo cual estimo
que, al mortal promedio, le generará preguntas del estilo "Y en el
corto/mediano plazo, que diablos hago?".

-- Al fin y al cabo, con ese mismo criterio uno podría decir, en el area
de energia, "the more practical and effective solution for the long term
is to use renovable sources of energy" (o algo de ese estilo)... -- y no
por ello uno tiraría su auto a nafta. -- Asimismo. "long term" podría
tranquilamente ser 20, 50, o 100 años... en cuyo punto, creo que
tendremos cosas mucho mas preocupantes de que ocuparnos... y es bastante
ponerse a predecir el futuro lejano cuando el cercano ya es o
suficientemente incierto.


* Alguna conclusión

Algo que personalmente me parece un problema (mucho mayor que cualquier
posible ataque v6) que la gente termine tomando decisiones en base a
aseveraciones no verificables, no respaldadas, y de origines con
reputación desconocida.

   “Cuando estudias cualquier materia o consideras cualquier
    filosofía pregúntate solamente: Cuales son los hechos, y cual
    es la verdad que los hechos corroboran. Nunca te desvíes, ya
    sea por lo que deseas creer, o lo por lo que tu piensas que
    podría tener un efecto benéfico en la sociedad; solo debes
    mirar única y exclusivamente cuales son los hechos”

            – Bertrand Russell


Un abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución Seguridad