From fgont en si6networks.com Thu Jan 14 02:33:41 2021 From: fgont en si6networks.com (Fernando Gont) Date: Thu, 14 Jan 2021 02:33:41 -0300 Subject: [LACNIC/Seguridad] =?utf-8?q?Revisi=C3=B3n_de_=22On_the_Generati?= =?utf-8?q?on_of_Transient_Numeric_Identifiers=22_=28Fwd=3A_=5BPearg=5D_I-?= =?utf-8?q?D_Action=3A_draft-irtf-pearg-numeric-ids-generation-06=2Etxt=29?= In-Reply-To: <161058975268.21910.2538803524550539674@ietfa.amsl.com> References: <161058975268.21910.2538803524550539674@ietfa.amsl.com> Message-ID: Estimades, FYI: "On the Generation of Transient Numeric Identifiers" URL: https://tools.ietf.org/html/draft-irtf-pearg-numeric-ids-generation-06 Este super-necesita revisiones, ya que hay mucho material para meter la pata. Sus comentarios serán bienvenidos! P.S.: https://www.youtube.com/watch?v=O-rWzUps2x0 Slds, y gracias! Fernando -------- Forwarded Message -------- Subject: [Pearg] I-D Action: draft-irtf-pearg-numeric-ids-generation-06.txt Date: Wed, 13 Jan 2021 18:02:32 -0800 From: internet-drafts en ietf.org Reply-To: pearg en irtf.org To: i-d-announce en ietf.org CC: pearg en irtf.org A New Internet-Draft is available from the on-line Internet-Drafts directories. This draft is a work item of the Privacy Enhancements and Assessments Research Group RG of the IRTF. Title : On the Generation of Transient Numeric Identifiers Authors : Fernando Gont Ivan Arce Filename : draft-irtf-pearg-numeric-ids-generation-06.txt Pages : 41 Date : 2021-01-13 Abstract: This document performs an analysis of the security and privacy implications of different types of "transient numeric identifiers" used in IETF protocols, and tries to categorize them based on their interoperability requirements and their associated failure severity when such requirements are not met. Subsequently, it provides advice on possible algorithms that could be employed to satisfy the interoperability requirements of each identifier category, while minimizing the negative security and privacy implications, thus providing guidance to protocol designers and protocol implementers. Finally, it describes a number of algorithms that have been employed in real implementations to generate transient numeric identifiers, and analyzes their security and privacy properties. This document is a product of the Privacy Enhancement and Assessment Research Group (PEARG) in the IRTF. The IETF datatracker status page for this draft is: https://datatracker.ietf.org/doc/draft-irtf-pearg-numeric-ids-generation/ There are also htmlized versions available at: https://tools.ietf.org/html/draft-irtf-pearg-numeric-ids-generation-06 https://datatracker.ietf.org/doc/html/draft-irtf-pearg-numeric-ids-generation-06 A diff from the previous version is available at: https://www.ietf.org/rfcdiff?url2=draft-irtf-pearg-numeric-ids-generation-06 Please note that it may take a couple of minutes from the time of submission until the htmlized version and diff are available at tools.ietf.org. Internet-Drafts are also available by anonymous FTP at: ftp://ftp.ietf.org/internet-drafts/ -- Pearg mailing list Pearg en irtf.org https://www.irtf.org/mailman/listinfo/pearg From fgont en si6networks.com Thu Jan 14 03:23:57 2021 From: fgont en si6networks.com (Fernando Gont) Date: Thu, 14 Jan 2021 03:23:57 -0300 Subject: [LACNIC/Seguridad] =?utf-8?q?Revisi=C3=B3n_de_=22Unfortunate_His?= =?utf-8?q?tory_of_Transient_Numeric_Identifiers=22_=28Fwd=3A_=5BPearg=5D_?= =?utf-8?q?I-D_Action=3A_draft-irtf-pearg-numeric-ids-history-06=2Etxt=29?= In-Reply-To: <161056228404.25478.14241679581686248408@ietfa.amsl.com> References: <161056228404.25478.14241679581686248408@ietfa.amsl.com> Message-ID: <62e83f5f-387e-6b3f-b156-49b0264ff0dd@si6networks.com> Estimades, FYI. Titulo: Unfortunate History of Transient Numeric Identifiers UTL: https://tools.ietf.org/html/draft-irtf-pearg-numeric-ids-history-06 Sus comentarios serán bienvenidos. Algunos datapoints interesantes: 1) It took 27 years to fix the TCP spec with respect to flawed TCP ISN generation 2) OpenBSD implemented transport protocol ephemeral port randomization 14.5 years before the IETF recommended it. 3) I has taken 20 years (and counting!) to address security/privacy issues associated with IPv6 address configuration (SLAAC). -- Many DHCPv6 implementations still broken in that respect! 4) OpenBSD implemented IPv6 Frag Identification 14 years before the IETF actually recommended it. -- Windows 10 still doesn't? P.S.: https://www.youtube.com/watch?v=e4qdODv6Uh8 Saludos, y gracias! Fernando -------- Forwarded Message -------- Subject: [Pearg] I-D Action: draft-irtf-pearg-numeric-ids-history-06.txt Date: Wed, 13 Jan 2021 10:24:44 -0800 From: internet-drafts en ietf.org Reply-To: pearg en irtf.org To: i-d-announce en ietf.org CC: pearg en irtf.org A New Internet-Draft is available from the on-line Internet-Drafts directories. This draft is a work item of the Privacy Enhancements and Assessments Research Group RG of the IRTF. Title : Unfortunate History of Transient Numeric Identifiers Authors : Fernando Gont Ivan Arce Filename : draft-irtf-pearg-numeric-ids-history-06.txt Pages : 28 Date : 2021-01-13 Abstract: This document analyzes the timeline of the specification and implementation of different types of "transient numeric identifiers" used in IETF protocols, and how the security and privacy properties of such protocols have been affected as a result of it. It provides empirical evidence that advice in this area is warranted. This document is a product of the Privacy Enhancement and Assessment Research Group (PEARG) in the IRTF. The IETF datatracker status page for this draft is: https://datatracker.ietf.org/doc/draft-irtf-pearg-numeric-ids-history/ There are also htmlized versions available at: https://tools.ietf.org/html/draft-irtf-pearg-numeric-ids-history-06 https://datatracker.ietf.org/doc/html/draft-irtf-pearg-numeric-ids-history-06 A diff from the previous version is available at: https://www.ietf.org/rfcdiff?url2=draft-irtf-pearg-numeric-ids-history-06 Please note that it may take a couple of minutes from the time of submission until the htmlized version and diff are available at tools.ietf.org. Internet-Drafts are also available by anonymous FTP at: ftp://ftp.ietf.org/internet-drafts/ -- Pearg mailing list Pearg en irtf.org https://www.irtf.org/mailman/listinfo/pearg From nantoniello en gmail.com Tue Jan 19 11:49:38 2021 From: nantoniello en gmail.com (Nicolas Antoniello) Date: Tue, 19 Jan 2021 11:49:38 -0300 Subject: [LACNIC/Seguridad] Para tenerlo en cuenta: Message-ID: Estimados, A tener en cuenta sobre DNS: Se reportaron 7 "nuevas" vulnerabilidades (vinculadas al ataque Kaminsky) para quienes utilicen dnsmasq como forwarder de DNS. Según en reporte, la mejor forma de mitigación es mantener dnsmasq actualizado a la versión 2.83 o superior. Una descripción completa del potencial problema con muy buen detalle teórico sobre los tipos de ataque y los software vulnerados está aquí: https://www.jsof-tech.com/disclosures/dnspooq/ Saludos, Nico ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: From fgont en si6networks.com Tue Jan 19 16:53:39 2021 From: fgont en si6networks.com (Fernando Gont) Date: Tue, 19 Jan 2021 16:53:39 -0300 Subject: [LACNIC/Seguridad] Fwd: [Pearg] Virtual interim on IP address privacy - Tuesday 19th Jan @ 20:00 UTC In-Reply-To: <1D7A0A81-92F6-4A78-91F3-F715877C6891@sinodun.com> References: <1D7A0A81-92F6-4A78-91F3-F715877C6891@sinodun.com> Message-ID: <134af1d1-1c08-7e16-2160-4d58408425e9@si6networks.com> FYI. Comienza en minutos. -------- Forwarded Message -------- Subject: [Pearg] Virtual interim on IP address privacy - Tuesday 19th Jan @ 20:00 UTC Date: Mon, 18 Jan 2021 11:12:04 +0000 From: Sara Dickinson To: pearg en irtf.org Hi All, A reminder that the PEARG Interim is tomorrow (Tuesday 19th) 20:00-22:00 UTC. Agenda is here: https://github.com/IRTF-PEARG/wg-materials/blob/master/interim-21-01/agenda.md Details for joining the meeting via Webex are here: https://github.com/IRTF-PEARG/wg-materials/blob/master/interim-21-01/participation.md If we have a volunteer for a note taker, please email: pearg-chairs en ietf.org Best regards Sara. > On 24 Dec 2020, at 15:45, Christopher Wood wrote: > > Based on the Doodle poll, it looks like January 19 from 12-2pm PST works best for most folks. A draft agenda is below: > > https://github.com/IRTF-PEARG/wg-materials/blob/master/interim-21-01/agenda.md > > Depending on how much discussion follows each presentation, we may need to consider a followup meeting. > > We'll send out meeting logistic information as soon as we have it. > > Best, > Chris, for the chairs > > On Fri, Nov 13, 2020, at 9:23 AM, Christopher Wood wrote: >> The PEARG chairs would like to propose a virtual interim on the topic >> of IP address privacy. >> >> IP address uses: >> - Spam, abuse, fraud, DoS protection >> - Geo IP >> - Ad targeting >> - ... others? >> >> Privacy attacks: >> - IP re-identification >> - IP-based fingerprinting >> >> IP hiding or blindness: >> - VPNs (and related technologies like Firefox Private Network) >> - Willful IP Blindness (https://github.com/bslassey/ip-blindness) >> >> The format of this would be presentation-based, though we might turn it >> into a workshop of sorts if folks think that would be more useful. >> >> We are aiming for some time in early December or January. We'd like to >> hear from folks here if they'd be interested in attending such an >> interim, and if so, whether they'd like to contribute to the agenda. Of >> course, suggestions to alter the agenda are also welcome! >> >> Best, >> Chris, on behalf of the chairs > > -- > Pearg mailing list > Pearg en irtf.org > https://www.irtf.org/mailman/listinfo/pearg -- Pearg mailing list Pearg en irtf.org https://www.irtf.org/mailman/listinfo/pearg From fernando en gont.com.ar Tue Jan 19 18:30:13 2021 From: fernando en gont.com.ar (Fernando Gont) Date: Tue, 19 Jan 2021 18:30:13 -0300 Subject: [LACNIC/Seguridad] [lacnog] Para tenerlo en cuenta: In-Reply-To: References: Message-ID: <564fe9bc-8b55-af37-fb6c-45e064316d08@gont.com.ar> Nico, * Los primeros cuatro CVE's (CVE-2020-25681, CVE-2020-25682, CVE-2020-25683, y CVE-2020-25687) aplican cuando los sistemas usan DNSSEC, lo cual indica lo obvio: utilizar codigo mas nuevo, y menos probado, usualmente te expone a ataques. * Los ultimos tres CVEs (CVE-2020-25684, CVE-2020-25685, CVE-2020-25686): Cuando una implementacion no aplica mejores prácticas, no hay mucho para decir -- sino, simplemente, usar otra cosa en la medida de lo posible. Dado donde se utiliza tipicamente dnsmasq: "enjoy" :-) Nota: Lo interesante es que si todas las compañias que usan dnsmasq tal vez hubieran aportado algo al proyecto (gente paga para desarrollar, o bien esponsoreado a los devs del proyecto), la situacion hubiera sido distinta. Abrazo, Fernando On 19/1/21 11:49, Nicolas Antoniello wrote: > Estimados, > > A tener en cuenta sobre DNS: > > Se reportaron 7 "nuevas" vulnerabilidades (vinculadas al ataque > Kaminsky) para quienes utilicen dnsmasq como forwarder de DNS. > > Según en reporte, la mejor forma de mitigación es mantener dnsmasq > actualizado a la versión 2.83 o superior. > > Una descripción completa del potencial problema con muy buen detalle > teórico sobre los tipos de ataque y los software vulnerados está aquí: > https://www.jsof-tech.com/disclosures/dnspooq/ > > Saludos, > Nico > > > _______________________________________________ > LACNOG mailing list > LACNOG en lacnic.net > https://mail.lacnic.net/mailman/listinfo/lacnog > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog > -- Fernando Gont e-mail: fernando en gont.com.ar || fgont en si6networks.com PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1 From nantoniello en gmail.com Tue Jan 19 19:22:51 2021 From: nantoniello en gmail.com (Nicolas Antoniello) Date: Tue, 19 Jan 2021 19:22:51 -0300 Subject: [LACNIC/Seguridad] [lacnog] Para tenerlo en cuenta: In-Reply-To: <564fe9bc-8b55-af37-fb6c-45e064316d08@gont.com.ar> References: <564fe9bc-8b55-af37-fb6c-45e064316d08@gont.com.ar> Message-ID: Hola Fernando y tod en s, El mar, 19 de ene. de 2021 a la(s) 18:30, Fernando Gont (fernando en gont.com.ar) escribió: ... > * Los primeros cuatro CVE's (CVE-2020-25681, CVE-2020-25682, > CVE-2020-25683, y CVE-2020-25687) aplican cuando los sistemas usan > DNSSEC, lo cual indica lo obvio: utilizar codigo mas nuevo, y menos > probado, usualmente te expone a ataques. Justamente estaba leyendo nuevamente más en detalle. Lo bueno sería poder actualizar todo a la versión que se menciona en el documento (para los sistemas que usen dnsmasq). Sobre eso, lo interesante es la cantidad de routers domésticos y CPEs en general que debe haber y que no creo que sean actualizados al menos no en corto o mediano plazo (si es que alguna vez se actualizan). Por eso las ventajas y necesidad de tener sistemas de fácil actualización (digo fácil para los usuarios domésticos y también para los ISPs que hacen actualizaciones masivas). > * Los ultimos tres CVEs (CVE-2020-25684, CVE-2020-25685, > CVE-2020-25686): Cuando una implementacion no aplica mejores prácticas, > no hay mucho para decir -- sino, simplemente, usar otra cosa en la > medida de lo posible. Dado donde se utiliza tipicamente dnsmasq: "enjoy" :-) Sip, justamente lo que mencionaba de la dificultad de actualizar eso en un corto o mediano plazo... ... Salu2, Nico > > > On 19/1/21 11:49, Nicolas Antoniello wrote: > > Estimados, > > > > A tener en cuenta sobre DNS: > > > > Se reportaron 7 "nuevas" vulnerabilidades (vinculadas al ataque > > Kaminsky) para quienes utilicen dnsmasq como forwarder de DNS. > > > > Según en reporte, la mejor forma de mitigación es mantener dnsmasq > > actualizado a la versión 2.83 o superior. > > > > Una descripción completa del potencial problema con muy buen detalle > > teórico sobre los tipos de ataque y los software vulnerados está aquí: > > https://www.jsof-tech.com/disclosures/dnspooq/ > > > > Saludos, > > Nico > > > > > > _______________________________________________ > > LACNOG mailing list > > LACNOG en lacnic.net > > https://mail.lacnic.net/mailman/listinfo/lacnog > > Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog > > > > > -- > Fernando Gont > e-mail: fernando en gont.com.ar || fgont en si6networks.com > PGP Fingerprint: 7809 84F5 322E 45C7 F1C9 3945 96EE A9EF D076 FFF1 > > > From fgont en si6networks.com Tue Jan 19 19:44:08 2021 From: fgont en si6networks.com (Fernando Gont) Date: Tue, 19 Jan 2021 19:44:08 -0300 Subject: [LACNIC/Seguridad] [lacnog] Para tenerlo en cuenta: In-Reply-To: References: <564fe9bc-8b55-af37-fb6c-45e064316d08@gont.com.ar> Message-ID: <128eae0b-5213-f9dc-e918-92fd210e31fd@si6networks.com> Hola, Nico, On 19/1/21 19:22, Nicolas Antoniello wrote: > Hola Fernando y tod en s, Prefiero el "todes" :-) > El mar, 19 de ene. de 2021 a la(s) 18:30, Fernando Gont > (fernando en gont.com.ar) escribió: > ... >> * Los primeros cuatro CVE's (CVE-2020-25681, CVE-2020-25682, >> CVE-2020-25683, y CVE-2020-25687) aplican cuando los sistemas usan >> DNSSEC, lo cual indica lo obvio: utilizar codigo mas nuevo, y menos >> probado, usualmente te expone a ataques. > > Justamente estaba leyendo nuevamente más en detalle. Lo bueno sería > poder actualizar todo a la versión que se menciona en el documento > (para los sistemas que usen dnsmasq). Es que muchos de los sistemas que usan dnsmasq son CPEs que, salvo que les estes corriendo openwrt o similares... vas a estar a la buena de Dios. > Sobre eso, lo interesante es la cantidad de routers domésticos y CPEs > en general que debe haber y que no creo que sean actualizados al menos > no en corto o mediano plazo (si es que alguna vez se actualizan). Exacto. Aunque en la mayoria de los casos, probablemente no esté utilizando DNSSEC... >> * Los ultimos tres CVEs (CVE-2020-25684, CVE-2020-25685, >> CVE-2020-25686): Cuando una implementacion no aplica mejores prácticas, >> no hay mucho para decir -- sino, simplemente, usar otra cosa en la >> medida de lo posible. Dado donde se utiliza tipicamente dnsmasq: "enjoy" :-) > > Sip, justamente lo que mencionaba de la dificultad de actualizar eso > en un corto o mediano plazo... Hay muchisimos equipos que no van a hacer actualizados jamas. EL usuario promedio no se "mete a la pagia de tp-link a ver si hay alguna version de firmware nueva". Esto trae nuevamente la pregunta de si, a la hora en que uno incorpora/despliega/actualiza un nuevo mecanismo de seguridad, con codigo que no ha sido testeado exhaustivamente en produccion, lo que está haciendo es mejorando la seguridad, en en realidad, potencialmente haciendo todo lo opuesto. Abrazo, -- Fernando Gont SI6 Networks e-mail: fgont en si6networks.com PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492