[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC

[Carlos M. Martinez]

Hola Fernando,

On 2016-01-27 12:19 PM, Fernando Gont wrote:
> Hola, Luis,
> 
> 
> Podes describir un escenario de ataque en el cual DNSSEC serviria paa
> mitigar ese riesgo, y para el cual no exista otra variedad de ataque
> igual o mas simple, para lograr lo mismo o algo similar?
> 

Y cuando logres arreglar esos ataques 'mas simples', ups, derrepente el
agujero del DNS se vuelve es eslabón débil.

Como decía Luis Carlos, la construcción de una Internet segura es en
capas. El de arriba me parece que no es un argumento muy valido en
contra de DNSSEC.

> 
> 
>> Ojo que dice “ayudar a mitigar”, no estoy diciendo que
>> mitiga al 100%., igual perfectamente se puede presentar como un caso
>> de inversion y rentable desde el punto de vista de protección de la
>> credibilidad del banco.
> 
> Realmente? La gente sabe, y hasta por ahi de TLS por el candadito que
> les aparece en el navegador. No existe tal cosa para DNSSEC. Simple: si
> me preguntaras "tu banco soporta dnssec?", te diria "ni idea... tendria
> que probar" (impliicando esto 'dig' o similares... lo cual es chino
> basico para todo usuario comun).

La gente no sabe ni el 0.0001% de las cosas que están hechas para su
protección y seguridad. ¿La gente sabe e las protecciones de la red
eléctrica? ¿La gente sabe algo acerca de los alivios que se tienen que
construir en las represas hidroeléctricas? ¿de las barras moderadoras de
las centrales nucleares? ¿cuanta gente sabe que las turbinas de avión se
tienen que deshielar por dentro y hasta tienen lógica a nivel de
firmware para ayudar a hacerlo?

No, no lo saben, _y esta bien que así sea_, y no porque no el público en
general desconozca estas protecciones las vas a quitar.

Seguimos teniendo una idea subyacente de que la Internet es algo
'nuevo', donde las cosas están para hacer, y donde las cosas tienen
valor en función de que el usuario las note.

Sin embargo, creo que Internet se parece cada vez mas a una 'utility',
al servicio eléctrico por ejemplo. Desaparece de la vista del usuario
quien solo lo nota cuando no funciona. Claramente, esto _no_ nos exime a
nosotros, quienes tenemos algún grado de responsabilidad operativa sobre
Internet, a no hacer nuestro trabajo adecuadamente.

Tengo ya casi 4 años de experiencia (si cuento cuando empecé a validar,
3 años de firmado) y LACNIC tiene un cuerpo de experiencia operativa que
me habilita a decir que DNSSEC se puede hacer, se puede hacer de manera
económica y se puede hacer sin tener una tasa de fallas mayor a la que
había antes de firmar.

Por ello, desde mi punto de vista, como stakeholder en el sistema de
DNS, yo considero que NO puedo no tener mis zonas firmadas, ni puedo no
hacer que mis recursivos validen.

Sería irresponsable actuar de otra manera.

s2

-Carlos