[LACNIC/Seguridad] [LAC-TF] Researchers warn of attacks from unprotected IPv6 traffic

Raul Cabrera RCabrera en sadaic.org.ar
Vie Ago 16 12:26:16 BRT 2013


Fernando:

Muchas gracias por tus "sabios" comentarios y experiencias profesionales al respecto, pero aún así personalmente opino que no deberías dejar de presentar tus papers (Call For Papers) para este tipo de eventos (BlackHat, DEFCON, Ekoparty, SEGURINFO, etc.) porque estoy seguro que tus presentaciones serían muy buenas técnicamente y además aportarían "nutritivos conocimientos" a los asistentes. Estoy completamente seguro que tus papers serían aceptados y por ende también podrías asistir a las demás presentaciones de estos eventos; con la posibilidad de conocer gente, compartir conocimientos y aprender también de los demás.

Con respecto al "show", el mismo forma parte de la idiosincrasia de la comunidad de los "hackers" y además también es un importante "toque artístico" a las presentaciones en este tipo de eventos; lo cual es muy celebrado por su audiencia y contribuye también a distenderse un poco. Pero comparto totalmente con vos que lo fundamental es el contenido de las presentaciones y su nivel técnico de excelencia.

Muchas gracias por compartir con todos los que participamos de esta lista para discusión de seguridad en redes, tus experiencias y conocimientos al respecto.

Atentamente.


        RAUL EDUARDO CABRERA
Responsable de Seguridad Informática

S.A.D.A.I.C.
Lavalle 1549 - Piso 1 (2º Cuerpo)
Ciudad Autónoma de Buenos Aires - C.P. (1048) - Argentina
Tel.: +54 11 4379 8600 (Int. 8708)
www.sadaic.org.ar

-----Mensaje original-----
De: Fernando Gont [mailto:fgont en si6networks.com]
Enviado el: jueves, 15 de agosto de 2013 05:13 p.m.
Para: Raul Cabrera
CC: ivan.w.arce en gmail.com; Lista para discusion de seguridad en redes y sistemas informaticos de la region; lactf en lac.ipv6tf.org
Asunto: Re: [LACNIC/Seguridad] [LAC-TF] Researchers warn of attacks from unprotected IPv6 traffic

Raul,

On 08/15/2013 01:07 PM, Raul Cabrera wrote:
> Estimados:
>
> Aquí les adjunto para vuestra consideración la presentación utilizada
> por los expositores del tema en cuestión en la DEFCON 21.

Mire el slideware. Mis comentarios son:

Desde un punto de vista "personal", no diria mucho.

Si uno lo quiere analizar desde el punto de vista del conocimiento, sin
embargo:

* En primer lugar me sorprende que les hayan aceptado la presentación.

* En segundo lugar, los autores básicamente ignoran todo el trabajo que se ha hecho en el area en el ultimo tiempo. De hecho, citan RFC6105 como defensa, cuando todas las implementaciones de RA-Guard son vulnerables.

El hecho que se haya publicado un RFC (6980) sobre el tema creo que es un buen indicador que estos problemas son conocidos desde al menos un año... pero los autores los ignoraron.


Hay también en la comunidad seguridad (si existe tal cosa :-) ) a veces una especie de culto a poder "causar destrucción" sin leer ni media página de un libro. Si le das a la masa algo que puedan ejecutar y que cause un efecto visible (sin tener que entender los motivos), a la gente le gusta.

Yo hice un toolkit (http://www.si6networks.com/tools/ipv6toolkit) que, en lineas generales, a esa audiencia jamás le gustaria -- porque las herramientas en cuestión son, en escencia, solo una interfaz entre tu cerebro y la red -- lease: salvo que minimamente sepas que estas haciendo, no te sirven para mucho (no vas a "destruir nada").

Hay también algo de culto a "admirar solamente lo que rompe algo" (y slogans tipo "mass domination" siempre tienen buen ROI). Si vos presentas algo en una conferencia que no tienen ninguna tipo de exploit o herramienta de ataque, la mayoria de al gente se siente decepcionada.
Y hay cosas "curiosas" que puedo mencionar con una anecdota:

Años atrás estaba en una conferencia de seguridad, donde presentaron uno de las pocas vulnerabilidades que le encontraron a OpenBSD en años. El trabajo era complejo y bueno (y el "disclosure timeline divertido ;-) ).
El punto es que el exploit en cuestión utilizaba paquetes ICMPv6.
El ponente hizo la presentación, y cuando corrió el exploit, el auditorio aplaudio como a un gol de Maradona.

Años mas tarde, estudiando el tema de IPv6, me puse en contacto con el autor, ya que no me quedaba en claro la relación entre IPv6 y la vulnerabilidad en cuestión. Así que le hice algunas preguntas al autor en cuestión, quien se mostró contento en que alguien se lo pregunte, ya que hasta el momento (pese a presentar en mas de una conferencia), nadie se lo había preguntado.

Aunque no la percibí, podría haber entendido frustración por parte del autor en cuestión: todo lo admirable de su trabajo basicamente habia pasado...mm... desapercibido (?).

Muchas conderencias suelen ser así. Asi que, en cierta medida, uno tiene que ser esceptico. Y si los tipos logaron que les acepten la presentación, que la audiencia los aplauda, y que la prensa tome el tema como nuevo... que se yo... los apludo :-)

Abrazo,
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492





________________________________

La información contenida en esta comunicación se dirige exclusivamente para el uso de la persona o entidad a quien va dirigida y otros autorizados para recibirlo. Puede contener información confidencial o legalmente protegida. Si usted no es el destinatario indicado, queda notificado de que cualquier revelación, copia, distribución o tomar cualquier acción basada en el contenido de esta información está estrictamente prohibida y puede ser ilegal. Si usted ha recibido esta comunicación por error, le rogamos nos lo notifique inmediatamente respondiendo a este correo y elimine de su sistema. SADAIC no es responsable de la transmisión correcta y completa de la información contenida en esta comunicación, ni por cualquier retraso en su recepción.

The information contained in this communication is intended solely for the use of the individual or entity to whom it is addressed and others authorized to receive it. It may contain confidential or legally privileged information. If you are not the intended recipient you are hereby notified that any disclosure, copying, distribution or taking any action in reliance on the contents of this information is strictly prohibited and may be unlawful. If you have received this communication in error, please notify us immediately by responding to this email and then delete it from your system. SADAIC is neither liable for the proper and complete transmission of the information contained in this communication nor for any delay in its receipt.



Más información sobre la lista de distribución Seguridad