[LACNIC/Seguridad] (Articulo ISOC-LAC): Un RFC de IETF demostrará que IPv6 sigue siendo vulnerable a ataques de escaneo

Fernando Gont fgont en si6networks.com
Jue Ene 28 17:33:05 BRST 2016 

Hola, Ivan,

On 01/27/2016 05:20 PM, Programa STIC wrote:
> Hola Fernando
> 
> Y se publicó esto?

No, todavia no se publicó. Se está esperando a revision de mi co-autor
para que se publique (cambio de laburo, y hace tiempo que esta offline).

Si hay algo para cambiar, decime que, y puedo intentarlo -- usualmente
en esta etapa ("AUTH48") no te dejan hacer cambios substacionales...
pero puedo intentarlo.

Si me preguntas, y pienso en esto ahora, creo que tal vez hicimos un uso
algo pobre de la terminologia. En partes (de hecho el titulo) hablamos
de "network reconnaissance", que a mi criterio es neutro, y en otras
hablamos de "address scanning attacks", que no lo es.

(para hacerla peor, habian partes en las que el documento decia "address
scans" (que es neutro) y el RFC-EDitor las cambio por "address scanning
attacks", que no lo es).


(FWIW, parte del motvo por el cual puede haber uso excesivo de "ataque"
es que, cuando comencé a escribir este documento, el mismo focalizaba
solo en escaneos de direcciones, y el objetivo era argumentar contrar
quienes decian que los ataques de escaneo de direcciones
no eran posibles... tal vez por eso, tambien en muchas partes se asume
escaneo = ataque).

Medio al margen, coloquialmente (y pobremente :-) ) a veces
me refiero a "realizar un ataque" sin que necesariamente alla un fin
malicioso. Po ejemplo, "realizar un ataque de escaneo de direcciones"
cuando uno esta haciendo un pent test.  Aunque entiendo que si uno
simplemente esta haciendo por ej un relavamiento de equipos, decir que
"esta realizando un ataque de escaneo" suena como mal.

Se me ocurre que "s/address-scanning attack/address-scan/g podria
solucionar esto. Aunque tb hay instancias de "attacker"... para las
cuales no se si es simpe buscar reemplazo (en algunas uno podria usar
"practitioner", pero tal vez introduciria confusion).

FWIW, como "filosofia", yo no soy de la idea que escanear en si sea
"atacar". -- De hecho, en ocasiones en que he presentado este tema en
publico, he escaneado redes publicas durante la presentacion -- si,
obvimanete, a velocidades bajas y demas, para que no "palme" nada por
motivo del escaneo.


> pregunto porque se me occurió que caracterizar "escaneos" como "ataque"
> no es algo neutro, igual imagino que ya pasron por esa discusión.

Durante casi toda la vida de este I-D, lo que abordabamos era la cuestion
de escaneo, princialmente con "fines maliciosos". Mas tade medio que
complementamos el documento teniendo en cuenta tb fines no maliciosos
(.e.g., aceso a archivos de configuracion y demas, que requieren
credenciales, y que en nuestro doc asumimos que las tenes legitimamente).

P.S.: Cualquier idea sera bienvenida. Yo soy de la politica de apuntar a
que lo que se ublique sea correcto (por eso incluso en esta etapa suelo
dar una evision "fresca" al documento y aplicar cambios, cuando en gral
los autores suelen, en esta etapa, aprobar el doc con lo que sea que
tenga en ese momento).

-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492

Más información sobre la lista de distribución Seguridad