[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC

Carlos M. Martinez carlosm3011 en gmail.com
Mie Ene 27 17:55:20 BRST 2016 

Hola!

On 2016-01-27 2:08 PM, Fernando Gont wrote:
> Hola, Carlos,
> 
> On 01/27/2016 12:51 PM, Carlos M. Martinez wrote:
>>>
>>> Podes describir un escenario de ataque en el cual DNSSEC serviria paa
>>> mitigar ese riesgo, y para el cual no exista otra variedad de ataque
>>> igual o mas simple, para lograr lo mismo o algo similar?
>>
>> Y cuando logres arreglar esos ataques 'mas simples', ups, derrepente el
>> agujero del DNS se vuelve es eslabón débil.
> 
> Los ataques "mas simples" son ataques que realmente no espero que sean
> mitigados. Por ejemplo, no espero que vaya a autentificarse el trafico
> ARP ni Neighbor Discovery.

Dos comentarios: a primera vista parece mucho mas facil y mas 'de guante
blanco', en el sentido de dejar menos trazas, explotar remotamente un
cache de DNS que comprometer localmente un switch para poder alterar el
ARP o el ND.

El segundo es que el hecho de que dos problemas nos parezca desde
nuestro lugar que no van a ser arreglados dificilmente nos excusa de no
tapar el pequeño agujero que quienes operamos servidores y zonas de DNS
podemos tapar.

El tercero (perdon, se me ocurrió otro :-) ) es que el hecho de que a
alguno nos parezca que tal cosa va a ser o no arreglada no deja de ser
una percepción sobre la que, en realidad, no sabemos. Estamos asumiendo
un comportamiento de la comunidad y de la industria desde un punto de
vista muy local.

> 
> Por eso pido que alguien comente cual es el escenario de ataque que
> tiene en mente, para no hablar en el aire.
> 
> 
> 
>> Como decía Luis Carlos, la construcción de una Internet segura es en
>> capas. El de arriba me parece que no es un argumento muy valido en
>> contra de DNSSEC.
> 
> Como yo mencionaba, mi idea general de las capas (como tales) es que son
> distintas superficies de defensa para una misma cosa. Autenticar el
> mapeo nombre -> direccion es algo que no se hace, de igual modo que
> tampoco se autentifica el mapeo ip -> mac address.

El autenticar el mapeo nombre -> direccion es casi imposible de hacer.
Es el mismo problema que autenticar la identidad de una persona en un
certificado SSL. No por eso dejamos de usarlos, pero si sabemos y somos
conscientes de hasta donde confiar en un certificado. Es un problema de
todo lo PKI-like y mayormente no es un problema técnico, es casi que un
problema de procedimientos y un problema humano.

> 
> Lease, se construye el resto sobre la premisa que o bien esos ataques no
> van a suceder, o si suceden es porque el escenario es tal que mitigar
> dichos ataques es una perdida de dinero.

Vuelvo a mi punto anterior. Nadie puede resolver todos los problemas,
pero participantes individuales de la comunidad podemos tapar los
agujeros que podemos tapar. No hacerlo, por mas que no me gusten las
herramientas que tengo para hacerlo, es irresponsable.

> 
> 
> 
>>>> Ojo que dice “ayudar a mitigar”, no estoy diciendo que
>>>> mitiga al 100%., igual perfectamente se puede presentar como un caso
>>>> de inversion y rentable desde el punto de vista de protección de la
>>>> credibilidad del banco.
>>>
>>> Realmente? La gente sabe, y hasta por ahi de TLS por el candadito que
>>> les aparece en el navegador. No existe tal cosa para DNSSEC. Simple: si
>>> me preguntaras "tu banco soporta dnssec?", te diria "ni idea... tendria
>>> que probar" (impliicando esto 'dig' o similares... lo cual es chino
>>> basico para todo usuario comun).
>>
>> La gente no sabe ni el 0.0001% de las cosas que están hechas para su
>> protección y seguridad.
> 
> Exacto. Ese es justamente el punto: ningun banco va a ganar prestigio
> por implementar DNSSEC. AL igual que no va a ganar prestigio de acuerdo
> a las marcas utilizadas o tipos de proteccion electrica de las
> instalaciones, ni a la marca del vidrio blindado y demas.

Cada uno sabe los riesgos que corre y como mitigarlos y que herramientas
tiene. Los bancos, sobre todo en Estados Unidos, estan a un par de
buenos juicios de implementar DNSSEC y seguramente, RPKI.

¿Porque les resuelven todos los problemas? No, sino por el concepto de
'due dilligence': si no hiciste todo lo que estaba a tu alcance, por mas
que fuera una mitigación y no una solución completa, sos negligente y
sos co-responsable en caso de que algo malo pase.


> 
> 
>>
>> No, no lo saben, _y esta bien que así sea_, y no porque no el público en
>> general desconozca estas protecciones las vas a quitar.
> 
> Mi argumento no fue ese. Luis argumento que un motivo para desplegar
> DNSSEC era ganar prestigio. Y justamente en esto coincido con vos: como
> la gente no sabe el tema (y esta bien que no sepa), no vas a ganar
> prestigio alguno.

Los incentivos para diferentes organizaciones son diferentes.

> 
> 
> 
>> Seguimos teniendo una idea subyacente de que la Internet es algo
>> 'nuevo', donde las cosas están para hacer, y donde las cosas tienen
>> valor en función de que el usuario las note.
> 
> No es mi postura esa. Al contrario.

No, no dije que fuera tuya. Es una postura común en gran parte de la
comunidad técnica.

> 
> 
> Yo justamente desde hace varios posts pedi que alguien me describa un
> escenario de ataque que DNSSEC prevenga, y que sea lo suficientemente
> valedero como para justificar la inversion de dinero en desplegar IPv6.
> -- Pero nadie hizo el aporte en cuestión, todavia.

Yo te puedo aportar que la inversión en dinero es marginal, y además no
hemos tenido mayores incidencias ni outages que antes. Yo gasté menos de
5.000 dolares. Por eso no hacerlo, es negligente, por mas que proteja de
pocas cosas (cosa en la que difiero, pero igual)

> 
> 
> Personalmente, no tengo nada contra DNSSEC per-se.

Yo tengo mis críticas para con DNSSEC. También las tengo con BGP, RPKI,
IPv4, IPv6 (porque carajo el /64 es una frontera dura? porque no puedo
configurar el largo de prefijo en mi servidor de RA? :-) )

Pero creo firmemente que lo perfecto es enemigo de lo bueno. Hay
momentos para pelear ciertas cosas (en el momento que las RFCs se
discuten), y hay momentos en los que hay que morder la bala y trabajar
con lo que hay.

Si cada uno de nosotros operara su Internet, ahi podriamos hacer lo que
a juicio de cada uno es 'perfecto', pero para bien y para mal, Internet
es una construcción colaborativa como pocas, y eso involucra compromisos.


> 
> 
> 

> 
> Volviendo al tema de DNSSEC, entiendo que, por ejemplo, politicamente
> lacnic tengar que firmar sus zonas, etc. Del mismo modo que entiendo que
> NICs de distintos paises "tengan" que hacer lo mismo. Al igual que creo
> que ambos tipos de organizaciones deben poseer recursos capacitados en
> el tema, experiencia, y demas (algo que tambien alguien podri argumentar
> que se obtiene desplegandolo para los recursos que les competen).  -- Lo
> que digo es que dichos organismos tienen motivaciones que son dificiles
> de replicar en empresas u otro tipo de organizaciones. Y cuando uno
> analiza las motivaciones tecnicas, personalmente creo que son cuestionables.

Como dijo Luis Carlos, cada uno gestiona sus riesgos. En el caso
nuestro, políticamente no tenemos que hacer nada. Lamento que sea una
desilución a los que tienen por ahi el tema de las teorías conspirativas.

Nosotros firmamos las zonas porque consideramos que es lo correcto, es
parte de nuestros deberes de 'due dilligence' y porque, a diferencia de
lo que se ha dicho equivocadamente en este thread, si se puede hacer de
manera económica y sin mayor estress.

s2

-Carlos

Más información sobre la lista de distribución Seguridad