[LACNIC/Seguridad] [LAC-TF] Researchers warn of attacks from unprotected IPv6 traffic

Jue Ago 15 17:12:59 BRT 2013

Raul,

On 08/15/2013 01:07 PM, Raul Cabrera wrote:
> Estimados:
> 
> Aquí les adjunto para vuestra consideración la presentación utilizada
> por los expositores del tema en cuestión en la DEFCON 21.

Mire el slideware. Mis comentarios son:

Desde un punto de vista "personal", no diria mucho.

Si uno lo quiere analizar desde el punto de vista del conocimiento, sin
embargo:

* En primer lugar me sorprende que les hayan aceptado la presentación.

* En segundo lugar, los autores básicamente ignoran todo el trabajo que
se ha hecho en el area en el ultimo tiempo. De hecho, citan RFC6105 como
defensa, cuando todas las implementaciones de RA-Guard son vulnerables.

El hecho que se haya publicado un RFC (6980) sobre el tema creo que es
un buen indicador que estos problemas son conocidos desde al menos un
año... pero los autores los ignoraron.

Hay también en la comunidad seguridad (si existe tal cosa :-) ) a veces
una especie de culto a poder "causar destrucción" sin leer ni media
página de un libro. Si le das a la masa algo que puedan ejecutar y que
cause un efecto visible (sin tener que entender los motivos), a la gente
le gusta.

Yo hice un toolkit (http://www.si6networks.com/tools/ipv6toolkit) que,
en lineas generales, a esa audiencia jamás le gustaria -- porque las
herramientas en cuestión son, en escencia, solo una interfaz entre tu
cerebro y la red -- lease: salvo que minimamente sepas que estas
haciendo, no te sirven para mucho (no vas a "destruir nada").

Hay también algo de culto a "admirar solamente lo que rompe algo" (y
slogans tipo "mass domination" siempre tienen buen ROI). Si vos
presentas algo en una conferencia que no tienen ninguna tipo de exploit
o herramienta de ataque, la mayoria de al gente se siente decepcionada.
Y hay cosas "curiosas" que puedo mencionar con una anecdota:

Años atrás estaba en una conferencia de seguridad, donde presentaron uno
de las pocas vulnerabilidades que le encontraron a OpenBSD en años. El
trabajo era complejo y bueno (y el "disclosure timeline divertido ;-) ).
El punto es que el exploit en cuestión utilizaba paquetes ICMPv6.
El ponente hizo la presentación, y cuando corrió el exploit, el
auditorio aplaudio como a un gol de Maradona.

Años mas tarde, estudiando el tema de IPv6, me puse en contacto con el
autor, ya que no me quedaba en claro la relación entre IPv6 y la
vulnerabilidad en cuestión. Así que le hice algunas preguntas al autor
en cuestión, quien se mostró contento en que alguien se lo pregunte, ya
que hasta el momento (pese a presentar en mas de una conferencia), nadie
se lo había preguntado.

Aunque no la percibí, podría haber entendido frustración por parte del
autor en cuestión: todo lo admirable de su trabajo basicamente habia
pasado...mm... desapercibido (?).

Muchas conderencias suelen ser así. Asi que, en cierta medida, uno tiene
que ser esceptico. Y si los tipos logaron que les acepten la
presentación, que la audiencia los aplauda, y que la prensa tome el tema
como nuevo... que se yo... los apludo :-)

Abrazo,
-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492