Los Secuestros de Recursos Constituyen una Violación de las Políticas

Original Language Español Date Published 29/03/2019 Last Modified 29/04/2019
Last Call for Comments Period Does not apply Date Ratified Does not apply Implementation Date Does not apply
Status Under discussion Download TXT PDF XML DOCX
See other versions 1.0 2.0 (compare)

Authors

Name: Carlos Friacas
Email: cfriacas@fccn.pt
Organization: FCT | FCCN

Name: Jordi Palet Martinez
Email: jordi.palet@theipv6company.com
Organization: The IPv6 Company

Name: Fernando Frediani
Email: fhfrediani@gmail.com
Organization: -

Proposal Data

Policy Type: LACNIC
Id: LAC-2019-5
Last version: 2
Presented at: LACNIC 31 Presentations:

Summary

El objetivo de esta propuesta es explicitar que el secuestro de recursos es una violación de las políticas, y por lo tanto no se acepta como práctica normal dentro de la región de servicio LACNIC. Además, estas acciones niegan el propósito principal de administrar un RIR.

La propuesta no se refiere a simples errores operacionales, sino que trata de abordar eventos intencionados de secuestro de recursos.

Rationale

Se define como “secuestro” el hecho de anunciar recursos a otras redes, alquilarlos o venderlos, sin el consentimiento del titular legítimo del uso de dichos recursos. Los secuestros no son comportamientos aceptables y debe haber consecuencias para el secuestro de recursos para aquellos que tienen un acuerdo de servicio con LACNIC. Esta propuesta pretende aclarar que un secuestro intencional es, de hecho, una violación de las políticas.

Los secuestros tienen diferentes características de visibilidad: Pueden ser a escala global (propagados a todas las redes) o restringidos (solo en una o varias redes). Sus impactos también pueden variar, y no solo los titulares de los recursos afectados, sino también las redes (y usuarios finales) reciben rutas ilegítimas/secuestradas y las consecuencias de ello.

Ya existen iniciativas y tecnologías como MANRS y RPKI, que desafortunadamente no son suficientes para reducir significativamente los secuestros. Si bien se recomienda encarecidamente el uso de MANRS y RPKI, esta política todavía es necesaria para corregir la falta de reglas de la comunidad sobre los secuestros. A través de este documento, la comunidad LACNIC aclara que el secuestro de BGP es una práctica inaceptable.

LACNIC no es un mero “registro de tierras virtual”, ya que también desempeña un papel en la distribución de recursos y, de hecho, es una organización basada en membresía con estatutos para apoyar a una comunidad aún mayor de usuarios. Cualquier secuestro persistente y/o repetitivo puede entenderse como una forma de afectar la credibilidad de LACNIC como un registro, por lo que se necesitan políticas como formas de autorregulación.

a. Argumentos a favor de la propuesta
• El secuestro de recursos invalida por completo el propósito de un RIR.
• Existe una brecha en las políticas de LACNIC, que permite el soporte de operaciones de secuestro con un conjunto de recursos legítimos.
• Los titulares de recursos legítimos deben ver correctamente defendidos sus derechos de uso exclusivos, desde el propio registro.
• Tener una política en vigor en LACNIC contra el secuestro de recursos, podría impedir que algunos actores se involucren en tales prácticas.
• Si no cambia nada al respecto, la reputación de la región de servicio de LACNIC y su comunidad seguirá siendo afectada desde una perspectiva de ciberseguridad debido a los eventos de secuestro de recursos.

b. Argumentos en contra de la propuesta
• Ni la comunidad de LACNIC, ni el propio LACNIC son la "Policía de enrutamiento".
o Contra-argumento: Nadie intentará dictar a nadie cómo debe ser su política de enrutamiento en un momento dado. Sin embargo, LACNIC debe poder optar por no establecer (o mantener) una relación contractual con personas/organizaciones que realizan secuestros de recursos. Ya hay suficientes fuentes de datos históricos de enrutamiento, así como “casi” en tiempo real, que funcionan como un observatorio mundial. A partir de estas fuentes, es posible evaluar con precisión quién está realizando el secuestro de recursos y cómo está dañando (o intentando dañar) las redes de terceros con dichos actos. Los expertos externos son meros evaluadores, que pueden usar los conjuntos disponibles de datos de enrutamiento para determinar si se han producido eventos de secuestro de recursos y si fueron intencionales.

• Se puede determinar una violación de la política por un simple error cometido durante la operación de BGP.
o Contra-argumento: En primer lugar, iniciar un proceso se basa en un informe. Luego, el análisis de los expertos determinará si el secuestro de BGP es una acción común del miembro de LACNIC sobre el que se emitió el informe, o si solo han cometido un error operacional. Hay datos masivos sobre el protocolo BGP, y si los expertos no encuentran suficientes pruebas relacionadas, el informe será descartado.

• Esta propuesta coloca a LACNIC en un territorio legal difícil.
o Contra-argumento: LACNIC sólo sigue las reglas (políticas) emitidas por la comunidad. Sin embargo, si un presunto secuestrador insta una demanda contra LACNIC, el seguro legal puede ser una posibilidad (incluso si supone un coste).

• Un único caso acusado erróneamente, que resulte ser inocente, es peor que cien secuestradores de recursos detenidos.
o Contra-argumento: Aunque esto es válido en casi todas las jurisdicciones legales, no impide la existencia de reglas o leyes. La propuesta simplemente está tratando de poner fin a una brecha clara en el conjunto de reglas de la región.

• Reconocer más violaciones de políticas, no mejorará la seguridad de enrutamiento global: En su lugar, debe usarse RPKI, MANRS u otras herramientas.
o Contra-argumento: El grado de implementación de RPKI o MANRS es todavía muy bajo, y esta política es una herramienta más entre el conjunto de todas las posibles. La necesidad de esta política y su funcionamiento, deberían revisarse en unos años, al igual que se hace con todas las políticas, cuando RPKI, MANRS y otras herramientas alcancen diferentes etapas de implementación.

Text

Texto actual:
No existe.

Nuevo texto:

1.0 Introducción

Los secuestros ocurren casi a diario. El secuestro de recursos ocurre principalmente, aunque no de forma exclusiva, a través del uso de eBGP. En el resto de este documento, “secuestro” debe interpretarse como el anuncio de cualquier tipo de recurso (IPv4, IPv6, ASN) a través de BGP, sin el consentimiento del titular legítimo de dicho recurso, incluidos los no distribuidos/asignados.

Esta política no trata de abordar los problemas causados por errores operativos o secuestros ocasionales, sino que trata de crear un mecanismo para que las víctimas informen sobre secuestros intencionales persistentes. Al hacer más públicos e identificables estos casos, cada sistema autónomo tendrá información adicional para tomar decisiones de interconexión.

2.0 El secuestro de Recursos es una Violación de las Políticas

Generalmente se entiende por secuestro el anuncio de rutas a terceros, a través de BGP, sin el consentimiento del titular legítimo del recurso. Esto se considera una violación de las políticas de LACNIC.

Un secuestro de recursos o el anuncio a terceros de direcciones o ASNs no distribuidos o asignados, constituye una violación de la política. La víctima del secuestro no sólo es el titular legítimo de los recursos secuestrados, sino también aquellos que reciben anuncios de los prefijos secuestrados. En un contexto de alquiler o venta, ambos, el titular legítimo y el que paga por el uso del recurso, son víctimas.

Para iniciar una investigación, sólo se aceptarán reportes en los que el presunto secuestrador esté vinculado a las políticas de LACNIC.

3.0 Ámbito: Accidental vs Intencionado

Se puede distinguir entre secuestros accidentales o intencionados, a través de los conjuntos de datos de enrutamiento disponibles, observando parámetros como duración, recurrencia, objetivos posibles y el tamaño de los bloques secuestrados. Otros parámetros también podrían ser considerados en el futuro.

Los eventos accidentales generalmente surgen de situaciones en las que un prefijo o ASN posiblemente secuestrados, son muy similares a otros recursos.

4.0 Líneas de Acción

LACNIC actualmente no supervisa la aparición de secuestros de recursos ni evalúa si se trata de infracciones de políticas. Por lo tanto, debe confiar en terceros, tanto para informar sobre secuestros como para determinar si son intencionados.

Los reportes enviados a LACNIC deben incluir un conjunto mínimo de detalles, tales como: "Redes afectadas", "ASN del presunto secuestrador", “¿Cómo me ha impactado este secuestro?”, "Prefijos/ASNs secuestrados" y "Datos temporales". Estos ejemplos no son una lista excluyente y otros detalles también pueden ser necesarios.

LACNIC proporcionará un formulario web público (o alternativas equivalentes) para presentar dichos reportes. Será pública sólo la información sobre rutas/ASNs secuestrados y evitar así la duplicidad de reportes enviados.

Se notificará a las partes implicadas, tan pronto como sean identificadas, para que puedan aportar información relevante y mitigar el secuestro, evitando daños adicionales y en posiblemente de denuncias erróneas.

LACNIC seleccionará un grupo de expertos mundiales que puedan evaluar si los secuestros reportados constituyen infracciones de políticas. Los expertos de este grupo proporcionarán una valoración con respecto a cada caso informado, como máximo seis semanas desde el momento en que se recibió el reporte. Si el informe no se completa dentro de las seis semanas, el caso será desestimado.

Los “upstreams” o proveedores de tránsito directos del presunto secuestrador, que permitan dicho secuestro a través de sus redes, deben recibir una notificación sobre la existencia del reporte. Este reporte no debe considerarse una advertencia formal (por lo que no es obligatoria su respuesta), sino una solicitud para verificar si pueden proporcionar más información o identificar algo extraño.

La investigación de los expertos, podrá valorar relaciones entre ISPs de los mismos grupos empresariales, que pueden ser considerados por LACNIC en caso de tener que proceder a sanciones. Esto permite evitar que el presunto secuestrador continúe con las actividades de secuestro desde la red de un cliente simulado. La investigación de los expertos también podría identificar relaciones entre un ISPs y usuarios finales, de los mismos grupos empresariales.

No se podrán considerar intencionados aquellos casos en los que el presunto secuestrador pueda demostrar que su infraestructura fue manipulada inapropiadamente por terceros (por ejemplo, routers comprometidos).

Como medida preventiva, no se podrá transferir ni alterar la titularidad de los recursos de las partes investigadas hasta la ratificación o archivo del caso.

5.0 Experto: Definición

Un experto es una parte externa a LACNIC, con una experiencia deseable en eBGP de, al menos cinco años, habiendo gestionado configuraciones relacionadas con pares y proveedores de tránsito. Los expertos deben estar familiarizados con los tipos de acuerdos habituales de interconexión entre entidades tanto dentro como fuera de la región de servicio de LACNIC.

6.0 Grupo de Expertos

El procedimiento de selección del grupo de expertos mundial debe ser abierto y gestionado por LACNIC, posiblemente en colaboración con otros RIRs.
1. Se realizará un llamado a la comunidad global incluyendo los requisitos de experiencia y conocimientos necesarios, cada dos años, y llamados adicionales si fuera necesario ampliar el grupo de expertos.
2. El mismo número de expertos debe participar en cada fase (inicial y apelación si la hubiere).
3. El número mínimo de expertos por caso y fase será de tres. Si fuera necesario un número mayor, debe ser impar, y se informará a la comunidad de las razones del cambio.
4. El conjunto de expertos por caso y fase, se seleccionará de manera aleatoria, asegurando el balance de reparto de casos entre los expertos.
5. El conjunto de expertos seleccionado se mantendrá confidencial, para evitar intentos de soborno y/o represalias contra ellos.
6. Antes de aceptar cada caso, deberán firmar un documento que confirme su imparcialidad y, por lo tanto, que no tiene relación directa o indirecta con ninguna de las partes implicadas.
7. Los expertos deben firmar un acuerdo de confidencialidad con LACNIC, que les vincule con la información proporcionada por la parte demandada (por ejemplo, información proporcionada durante la apelación).
8. Los casos en curso deben ser completados por los expertos inicialmente asignados, incluso si son reemplazados en el proceso de selección, y solo en caso de causa justificada y comunicada a la comunidad, un experto podrá ser reemplazado por otro.
9. Los expertos serán reemplazados si dejan de responder a sus colegas asignados al mismo caso o a LACNIC, o si no cumplen con los plazos definidos en tres casos diferentes.

7.0 Procedimiento

El procedimiento debe incorporar, al menos, los siguientes elementos:
1. LACNIC verificará que el reporte contiene datos suficientes antes de asignarlo al grupo de expertos. En caso contrario, será desestimado.
2. Si se acepta un informe, se notifica al presunto secuestrador y podrá proporcionar cualquier evidencia que considere adecuada para desestimar las acusaciones.
3. Los expertos asignados verificarán los datos reportados respecto de datos históricos de BGP y verificarán las evidencias proporcionadas por los presuntos secuestradores.
4. El grupo de expertos asignado a cada caso, publicará un informe conjunto con sus conclusiones.
5. Los expertos desestimarán aquellos casos claramente accidentales, aunque deberán indicarlo en su informe, de forma que LACNIC lo transmita al presunto secuestrador para evitar su repetición.
6. Para determinar intencionalidad en un caso, debe haber mayoría entre todos los expertos asignados al mismo.
7. Los expertos no pueden agregar partes acusadas a un caso.
8. El presunto secuestrador podrá presentar una apelación al informe. En este caso, un grupo diferente de expertos debe revisar el caso. De nuevo, deberá existir mayoría entre todos los expertos o de lo contrario, el caso será desestimado.
9. El staff de LACNIC (u otros RIRs), no puede formar parte del grupo de expertos, aunque puede proporcionarles asistencia administrativa. Ello no incluye contactar con quienes originaron el informe para solicitar más información, ni proporcionar información confidencial de la membresía.
10. Ni LACNIC ni el reclamante pueden apelar la decisión de los expertos.

8.0 Retroactividad

Solo podrán ser considerados los eventos de secuestro que se produzcan después de que se haya implementado esta política.

9.0 Reporte y Evidencia de Elegibilidad

Sólo las redes directamente afectadas por un secuestro pueden presentar un reporte.

Sólo se puede presentar un reporte si:
• La víctima es el titular legítimo de recursos secuestrados.
• La víctima ha recibido a través de BGP un prefijo secuestrado o rutas cuyo AS-PATH incluya un ASN secuestrado.

Un reporte no es admisible si quién lo reportó no fue afectado por el secuestro informado.

Las pruebas de más de seis meses, contados desde el momento en que se envía un reporte, no pueden ser consideradas ni incluidas en los informes de los expertos.

10.0 Posibles Objeciones

Cuando un reporte haya sido valorado por los expertos, se enviará el informe al presunto secuestrador, quien dispondrá de un máximo de cuatro semanas para objetar las conclusiones incluidas en el informe. Las objeciones serán revisadas por los expertos y se considerarán como admisibles o no admisibles, en un plazo máximo de dos semanas. Tras dicho plazo, el informe se hará público.

11.0 Apelaciones

Tras la publicación del informe final de los expertos, el presunto secuestrador dispondrá de un máximo de dos semanas para presentar una apelación. Si se presenta una apelación, un conjunto alternativo de expertos la revisará en un plazo máximo de cuatro semanas. Para mantener la decisión de la fase inicial como “secuestro intencionado”, todos los expertos de la fase de apelación, deben mantener la mayoría. Los resultados de esta revisión son definitivos y no pueden ser nuevamente apelados.

12.0 Ratificación

Una vez que el informe haya sido publicado, tras un período de dos semanas de consulta pública, la violación a la política deberá ser ratificada por todos los expertos involucrados en el caso. Si no se declara la ratificación de forma unánime, el mismo será descartado. La ratificación será retrasada en caso de apelación, hasta que el segundo conjunto de expertos haya concluido su revisión. Los expertos pueden negarse a ratificar un informe, basándose en fuentes de información no divulgadas o información proporcionada a través de la consulta pública.

13.0 Período de Transición

Se estipula un período de transición de seis meses, a partir del momento en que se anuncie que la política ha sido implementada. De este modo, las organizaciones que anuncian espacio de direcciones o números de sistemas autónomos no asignados, por errores operativos u otras razones, no malintencionadas, sólo podrían recibir una advertencia.

Los “bogons” existentes en el momento de la implementación de la política deben tratarse como “exclusiones”, y los casos en los que se hace referencia deben desestimarse antes de adjudicar un caso a expertos.

14.0 Violaciones Continuas por la Misma Parte

Sólo en los casos en que un titular de recursos haya secuestrado de forma regular y repetida recursos de red no asignados o autorizados para su uso, pueden aplicarse los procedimientos definidos para las violaciones de políticas.

Additional Information

Se considera que esta propuesta debe constituir una nueva sección del manual de políticas, posiblemente antes de los apéndices, pero su exacta posición y forma de numeración, dado que son aspectos editoriales, se dejan a discreción del staff de LACNIC.

Hay otros tipos de secuestros de recursos, y en general, si son intencionados, pueden tener objetivos (de forma aislada o combinada) como:
• Desviar la aplicación de la ley del origen real de tráfico vinculado a actividades ilegales.
• Utilizar de forma temporal espacio de direcciones sin los costes de registro asociados (es decir, costes de membresía).
• Hacerse pasar por redes y servicios de terceros.
• Escuchar sin parar el tráfico de redes de terceros (es decir, ataques de intermediarios).
• Interrumpir las comunicaciones IP entre dos o mas redes de terceros.

Ejemplos de Fuentes de Información para Expertos

La relación siguiente no es exhaustiva, tan solo una referencia:
• stat.ripe.net y stat.ripe.net APIs
• bgpmon.net y bgpstream.com
• irrexplorer.nlnog.net
• routeviews
• caida openBMP
• www.team-cymru.com/bogon-reference.html
• cidr report
o www.potaroo.net/cgi-bin/as-report?as=<asn>
o www.potaroo.net/cgi-bin/per-prefix?prefix=<prefix>
• bgp.he.net
• ixpdb.euro-ix.net/en/ixpdb/asns/
• atlas.ripe.net
• traceroute.org

Tiempo de Implementación: Inmediato

Referencias:

Se ha presentado esta misma propuesta ya en RIPE:
• https://www.ripe.net/participate/policies/proposals/2019-03

Se está trabajando al respecto de esta propuesta en otros RIRs y se procederá a presentar propuestas equivalentes en todos ellos.

Timetable

Inmediato

References

Se ha presentado esta misma propuesta ya en RIPE:
• https://www.ripe.net/participate/policies/proposals/2019-03

Se está trabajando al respecto de esta propuesta en otros RIRs y se procederá a presentar propuestas equivalentes en todos ellos.

Public Comments by LACNIC Staff

ANÁLISIS DE IMPACTO DEL STAFF DE LACNIC - Propuesta LAC-2019-5 - versión 2

Interpretación de la propuesta por el staff de LACNIC
-----------------------------------------------------

Aplicación de la propuesta
--------------------------
Esta propuesta aplicaría en el caso de un reporte sobre un secuestro de rutas a nivel operacional.

Modificación del texto actual
-----------------------------
Para la incorporación del texto de esta propuesta, se crearía una nueva sección en el Manual de Políticas previa a los apéndices.

Comentarios del staff
----------------------
1. LACNIC entiende que esta propuesta implicaría tomar acciones ante el no cumplimiento de esta política sobre los miembros de LACNIC. Sin embargo, no se podrían tomar acciones con las organizaciones que no son miembros de LACNIC.

2. LACNIC destaca que es muy difícil adjudicar intencionalidad de un anuncio no autorizado, por lo cual estos temas se gestionan con mucho cuidado.

3. Actualmente, para resolver este tipo de situaciones LACNIC cuenta con el WARP (Warning Advice and Report Point) que funciona como un Centro de Respuesta a Incidentes de Seguridad (CSIRT) (https://warp.lacnic.net/). El WARP ya recibe reportes de este tipo de incidentes y busca actuar ante estas situaciones basado en estándares de buenas prácticas utilizadas en centros de respuesta para la gestión de estos casos.
Además, hace algunos años que LACNIC brinda apoyo (incluyendo capacitación) a varias organizaciones para que creen sus CSIRTs y así mejorar la gestión de incidentes en la región, en especial para este tipo de casos.

4. Compartimos algunas cifras sobre la cantidad de reportes por anuncios de prefijos no autorizados recibidos por el WARP:
Durante el 2019 (hasta marzo): se recibieron 3 reportes y el 100% de los casos fueron resueltos.
Durante el 2018: se recibieron 6 reportes y el 100% de los casos fueron resueltos.
Durante el 2017: se recibieron 12 reportes. 11 fueron resueltos y uno sólo no respondió, pero se dejó de anunciar.

5. Impacto legal
En este tipo de incidentes no existen pruebas absolutas para determinar un secuestro de rutas, sino solamente indicios. Por otra parte, antes de proceder a iniciar un proceso de revocación de recursos, se debe contar con prueba fehaciente de que ello ha ocurrido. Por lo cual, puede traer aparejado consecuencias muy graves para LACNIC, en caso de que en algún caso se actúe en base a indicios en lugar de certezas.

6. Esto podría no solo ser un impacto en el ámbito legal, sino que también a nivel operacional. No es posible probar la intencionalidad de un anuncio no autorizado de rutas. Los involucrados podrían sostener siempre que lo hicieron por error.

7. Podrían haber casos de falsos positivos, que al revocar recursos implicaría una mayor responsabilidad jurídica y financiera para el grupo de expertos y para LACNIC.

Recomendaciones
------------------
1. Se reconoce que el secuestro de rutas debe ser indicado como un incidente de seguridad. Sin embargo, la política entra en detalles del procedimiento que debería ser manejado por un Centro de Respuesta a Incidentes de Seguridad. Se informa que actualmente LACNIC implementa acciones para gestionar este tipo de incidentes a través del WARP, basado en las buenas prácticas establecidas por Centros de Incidentes de Seguridad.

2. Se recomienda ser cuidadosos en cuanto a los aspectos que se definen como responsabilidad de un RIR como parte de su administración de los recursos numéricos y no del ruteo. Es importante tener claro donde se establecen las fronteras.

3. En la sección 4.0 Líneas de acción:
3.1. Un aspecto importante a destacar es que los Centros de Respuesta tienen como principio básico la reserva de la información en forma confidencial para la correcta gestión del incidente.
3.2. LACNIC ya cuenta con un formulario web para reportar incidentes de seguridad (https://warp.lacnic.net/reportar-incidente) y un contacto de correo (info-warp@lacnic.net). Específicamente, en el formulario web hay un caso específico para reportar “anouthorized prefix advertisig”. De acuerdo con las buenas prácticas no se le denomina “secuestro de rutas” hasta no contar con pruebas de que se trata de una acción maliciosa.
3.3 Los datos que se solicitan en un formulario son de resorte del equipo de respuesta del incidente y se basan en estándares de buenas prácticas utilizadas en centros de respuesta para la gestión de estos casos.

4. En la sección 6.0 Grupo de expertos
4.1. LACNIC cuenta con un Centro de Gestión de Incidentes de Seguridad (WARP). El BGP hijacking está definido dentro de la taxonomía de incidentes de seguridad que gestiona WARP. Además como centro coordinador puede determinar si es necesario escalar el mismo a otros CSIRTs, que también cuentan con un procedimiento y un protocolo de intercambio de información a nivel mundial.

4.2. Ya existe una red de confianza de centros de respuesta que trabajan de una forma establecida a nivel internacional.

4.3. No queda claro como LACNIC podría evaluar la experiencia de los expertos mundiales en el tema.

5. En la sección 7.0
5.1. Un aspecto importante a destacar es que los Centros de Respuesta tienen como principio básico la reserva de la información en forma confidencial para la correcta gestión del incidente.

5.2. En el punto 10, no permite a LACNIC tomar alguna acción en caso de que lo considere pertinente.

5. En la sección 10.0 Posibles objeciones
6.1. Cuando se indica que “(...) el secuestrador, quien dispondrá de un máximo de cuatro semanas para objetar (...)” contradice uno de los principios básicos de la gestión de incidentes “The speed with which an organization can recognize, analyze, and respond to an incident will limit the damage and lower the cost of recovery”) Cert.org

6.2. Al indicar que “el informe se hará público” podría ser tomado como una acusación y podría abrir una posible demanda.

7. En la sección 11.0 Apelaciones
7.1. Los tiempos propuestos no concuerdan con la gravedad de este tipo de incidentes, ya que el impacto de la demora puede significar un gran impacto en la estabilidad y la seguridad de Internet. Ejemplo: imaginemos el caso de YouTube and Pakistan Telecom con estos tiempos propuestos.

7.2. Al indicar “expertos alternativos”, no queda claro quienes formarían este otro grupo de expertos. Adicionalmente, en la sección 5.2 indica “El mismo número de expertos debe participar en cada caso y fase”, por lo cual no queda claro si se habla del mismo grupo u otro grupo de expertos “alternativos”.

Fuentes oficiales de referencias
--------------------------------

Situación en otros RIRs
-----------------------

RIPE NCC
Hay una propuesta similar en discusión:
https://www.ripe.net/participate/policies/proposals/2019-03

ANÁLISIS DE IMPACTO DEL STAFF DE LACNIC - Propuesta LAC-2019-5 - versión 1

Interpretación de la propuesta por el staff de LACNIC
----------------------------------------------------

Aplicación
-----------
Esta propuesta aplicaría en el caso de un reporte sobre un secuestro de rutas a nivel operacional.

Modificación del texto actual
-----------------------------
Para la incorporación del texto de esta propuesta, se crearía una nueva sección en el Manual de Políticas previa a los apéndices.

Comentarios del staff
----------------------
1. LACNIC entiende que esta propuesta implicaría tomar acciones ante el no cumplimiento de esta política sobre los miembros de LACNIC. Sin embargo, no se podrían tomar acciones con las organizaciones que no son miembros de LACNIC.

2. LACNIC destaca que es muy difícil adjudicar intencionalidad de un anuncio no autorizado, por lo cual estos temas se gestionan con mucho cuidado.

3. Actualmente, para resolver este tipo de situaciones LACNIC cuenta con el WARP (Warning Advice and Report Point) que funciona como un Centro de Respuesta a Incidentes de Seguridad (CSIRT) (https://warp.lacnic.net/). El WARP ya recibe reportes de este tipo de incidentes y busca actuar ante estas situaciones basado en estándares de buenas prácticas utilizadas en centros de respuesta para la gestión de estos casos.
Además, hace algunos años que LACNIC brinda apoyo (incluyendo capacitación) a varias organizaciones para que creen sus CSIRTs y así mejorar la gestión de incidentes en la región, en especial para este tipo de casos.

4. Compartimos algunas cifras sobre la cantidad de reportes por anuncios de prefijos no autorizados recibidos por el WARP:
Durante el 2019 (hasta marzo): se recibieron 3 reportes y el 100% de los casos fueron resueltos.
Durante el 2018: se recibieron 6 reportes y el 100% de los casos fueron resueltos.
Durante el 2017: se recibieron 12 reportes. 11 fueron resueltos y uno sólo no respondió, pero se dejó de anunciar.

5. Impacto legal
En este tipo de incidentes no existen pruebas absolutas para determinar un secuestro de rutas, sino solamente indicios. Por otra parte, antes de proceder a iniciar un proceso de revocación de recursos, se debe contar con prueba fehaciente de que ello ha ocurrido. Por lo cual, puede traer aparejado consecuencias muy graves para LACNIC, en caso de que en algún caso se actué en base a indicios en lugar de certezas.

6. Esto podría no solo ser un impacto en el ámbito legal, sino que también a nivel operacional. No es posible probar la intencionalidad de un anuncio no autorizado de rutas. Los involucrados podrían sostener siempre que lo hicieron por error.

7. Podrían haber casos de falsos positivos, que al revocar recursos implicaría una mayor responsabilidad jurídica y financiera para el grupo de expertos y para LACNIC.

Recomendaciones
------------------

1. Se reconoce que el secuestro de rutas debe ser indicado como un incidente de seguridad. Sin embargo, la política entra en detalles del procedimiento que debería ser manejado por un Centro de Respuesta a Incidentes de Seguridad. Se informa que actualmente LACNIC implementa acciones para gestionar este tipo de incidentes a través del WARP, basado en las buenas prácticas establecidas por Centros de Incidentes de Seguridad.

2. Se recomienda ser cuidadosos en cuanto a los aspectos que se definen como responsabilidad de un RIR como parte de su administración de los recursos numéricos y no del ruteo. Es importante tener claro donde se establecen las fronteras.

3. En la sección 4.0 Líneas de acción:
3.1. Un aspecto importante a destacar es que los Centros de Respuesta tienen como principio básico la reserva de la información en forma confidencial para la correcta gestión del incidente.

3.2. LACNIC ya cuenta con un formulario web para reportar incidentes de seguridad (https://warp.lacnic.net/reportar-incidente) y un contacto de correo (info-warp@lacnic.net). Específicamente, en el formulario web hay un caso específico para reportar “anouthorized prefix advertisig”. De acuerdo con las buenas prácticas no se le denomina “secuestro de rutas” hasta no contar con pruebas de que se trata de una acción maliciosa.

3.3. Se sugiere cambiar la redacción que indica “LACNIC no puede supervisar la aparición de secuestros BGP”, debido a que en un futuro, LACNIC podría desarrollar algún servicio proactivo de detección de prefijos mal anunciados.

3.4. Los datos que se solicitan en un formulario son de resorte del equipo de respuesta del incidente y se basan en estándares de buenas prácticas utilizadas en centros de respuesta para la gestión de estos casos.

3.5. Se recomienda cambiar la redacción de "El secuestro de BGP es un comportamiento inaceptable (...) " y de "Los secuestros de BGP ocurren (...)".
Parece que el secuestro es a la sesión BGP. Se sugiere: "El secuestro de recursos de Internet (...) . BGP sería la vía para el secuestro. Pero lo que secuestra no es BGP, sino los recursos.

4. En la sección 5.0 Grupo de expertos
4.1. LACNIC cuenta con un Centro de Gestión de Incidentes de Seguridad (WARP). El BGP hijacking está definido dentro de la taxonomía de incidentes de seguridad que gestiona WARP. Además como centro coordinador puede determinar si es necesario escalar el mismo a otros CSIRTs, que también cuentan con un procedimiento y un protocolo de intercambio de información a nivel mundial.

4.2. Ya existe una red de confianza de centros de respuesta que trabajan de una forma establecida a nivel internacional.

4.3. No queda claro como LACNIC podría evaluar la experiencia de los expertos mundiales en el tema.

5. En la sección 6.0
“4.Si el evento parece intencionado, redactarán un informe con sus conclusiones, o con la confirmación o no de las mismas, de tratarse de la fase de apelación.” Al indicar “parece” podría no ser lo suficientemente sólido como para que los expertos generen un reporte por secuestro de rutas.
6 no permite a LACNIC tomar alguna acción en caso de que lo considere pertinente.

6. En la sección 8.0 Posibles objeciones
6.1. Cuando se indica que “(...) el secuestrador, quien dispondrá de un máximo de cuatro semanas para objetar (...)” contradice uno de los principios básicos de la gestión de incidentes “The speed with which an organization can recognize, analyze, and respond to an incident will limit the damage and lower the cost of recovery”) Cert.org
6.2. Al indicar que “el informe se hará público” podría ser tomado como una acusación y podría abrir una posible demanda.

7. En la sección 9.0 Apelaciones
7.1. Los tiempos propuestos no concuerdan con la gravedad de este tipo de incidentes, ya que el impacto de la demora puede significar un gran impacto en la estabilidad y la seguridad de Internet. Ejemplo: imaginemos el caso de YouTube and Pakistan Telecom con estos tiempos propuestos.
7.2. Al indicar “expertos alternativos”, no queda claro quienes formarían este otro grupo de expertos. Adicionalmente, en la sección 5.2 indica “El mismo número de expertos debe participar en cada caso y fase”, por lo cual no queda claro si se habla del mismo grupo u otro grupo de expertos “alternativos”.

Fuentes oficiales de referencias
-------------------------------

Situación en otros RIRs

RIPE NCC
Hay una propuesta similar en discusión:
https://www.ripe.net/participate/policies/proposals/2019-03

Privacy Policy