Os sequestros BGP constituem uma violação às políticas

Idioma Original Español Data Publicação 29/03/2019 Última Modificação 18/03/2019
Período de últimos comentários Não aplicável Data de ratificação Não aplicável Data de implementação Não aplicável
Estado Em discussão Baixar TXT PDF XML DOCX
Ver outras versões 1.0 (comparar)

Autores

Nome: Carlos Friacas
E-mail: cfriacas@fccn.pt
Organização: FCT | FCCN

Nome: Jordi Palet Martinez
E-mail: jordi.palet@theipv6company.com
Organização: The IPv6 Company

Nome: Fernando Frediani
E-mail: fhfrediani@gmail.com
Organização: -

Dados da Proposta

Tipo Política: LACNIC
Id: LAC-2019-5
Última versão: 1

Resumo

O objetivo desta proposta é explicitar que o sequestro do BGP é uma violação às políticas, portanto não é aceito como prática normal dentro da região de serviço de LACNIC. Além disso, essas ações negam o objetivo principal de administrar um RIR.
A proposta não é referente a simples erros operacionais, mas tenta abordar eventos intencionais de sequestro do BGP.

Justificativa

O sequestro do BGP é um comportamento inaceitável. Define-se como "sequestro do BGP” o fato de anunciar um prefixo a qualquer outra rede sem o consentimento do titular do recurso.
Deve haver consequências para o sequestro de recursos realizado por associados ou indivíduos/organizações que tenham um acordo de serviço (seja direta ou indiretamente) com LACNIC. Esta proposta visa esclarecer que um sequestro intencional é, de fato, uma violação às políticas.
a. Argumentos a favor da proposta
• O sequestro do BGP nega completamente o objetivo de um RIR.
• Esta comunidade deve declarar explicitamente que o sequestro do BGP viola as políticas de LACNIC.
• Se nada mudar nesta área, a reputação da região de serviço de LACNIC continuará sendo afetada desde uma perspectiva de segurança cibernética devido aos eventos de sequestro do BGP.
b. Argumentos contra a proposta
• Nem a comunidade de LACNIC nem o próprio LACNIC são a "Polícia de roteamento".
• Contra-argumento: Ninguém tentará ditar a ninguém como sua política de roteamento deve ser em um momento determinado. No entanto, LACNIC deve poder optar por não estabelecer (ou manter) uma relação contratual com pessoas/organizações que realizam sequestros do BGP. Já existem fontes suficientes de dados históricos de roteamento, bem como "quase" em tempo real, que funcionam como um observatório global. A partir destas fontes, é possível avaliar com precisão quem está realizando o sequestro do BGP e como ele está danificando (ou tentando danificar) as redes de terceiros com tais atos. Os especialistas externos são simples avaliadores, que podem usar os conjuntos disponíveis de dados de roteamento para determinar se ocorreram eventos de sequestro do BGP e se foram intencionais.

Texto

Texto atual: Não existe.
Texto novo:
1.0 Introdução
Os sequestros do BGP acontecem quase diariamente. Os sequestros podem ser em escala global (propagados a todas as redes) ou restritos (apenas em uma ou algumas redes). Através deste documento, a comunidade de LACNIC esclarece que o sequestro do BGP é uma prática inaceitável.
2.0 O sequestro do BGP é uma violação às políticas.
Entende-se por sequestro o anúncio de rotas através do BGP para terceiros, sem o consentimento do titular do recurso (endereços ou números de sistema autônomo). Isso é considerado uma violação às políticas de LACNIC.
A localização do titular do recurso ou do sequestrador, nesses casos, é irrelevante. Um sequestro constitui uma violação à política, mesmo que ambas as partes estejam localizadas fora da região de serviço de LACNIC.
O anúncio de espaço de endereços ou sistemas autônomos não designados também é considerado uma violação às políticas e é avaliado de acordo com os mesmos parâmetros.
3.0 Âmbito: Acidental vs Intencional
Pode-se fazer uma distinção entre sequestros acidentais ou intencionais, através dos conjuntos de dados disponíveis de roteamento, observando parâmetros como duração, recorrência, alvos possíveis e o tamanho dos blocos sequestrados. Outros parâmetros também poderiam ser considerados no futuro.
4.0 Linhas de Ação
LACNIC não pode monitorar a ocorrência de sequestros BGP nem avaliar se são infrações às políticas. Portanto, deve confiar em terceiros, tanto para informar sequestros quanto para determinar se são intencionais.
Os informes enviados a LACNIC devem incluir um conjunto mínimo de detalhes, tais como: "Redes afetadas", "ASN do suposto sequestrador", "Prefixos sequestrados" e "Dados temporários" (esses exemplos não são uma lista definitiva e outros detalhes também podem ser necessários). LACNIC fornecerá um formulário web público (ou alternativas equivalentes) para apresentar tais informes, que também serão públicos, para que outras partes possam adicionar informações e assim evitar a duplicação de reclamações. A ferramenta conterá uma seção caso informações sensíveis não devam ser publicadas.
Cada parte envolvida será notificada, assim que for identificada, que poderão fornecer informações relevantes e mitigar o sequestro, evitando problemas maiores e, na medida do possível, casos de denúncias falsas.
Os especialistas considerarão apenas os casos que persistirem ou que tenham sido notificados como máximo 6 meses após a sua cessação, embora LACNIC possa enviar às partes uma notificação com as informações proporcionadas, que em qualquer caso serão arquivadas como parte do histórico de casos.
LACNIC selecionará um grupo de especialistas globais que possam avaliar se os sequestros BGP informados constituem violações a políticas. Os especialistas deste grupo fornecerão uma avaliação em relação a cada caso informado, no máximo quatro semanas a partir do momento em que o informe foi recebido.
Os “upstreams” diretos do suposto sequestrador, que permitam esse sequestro através de suas redes, poderão receber um aviso na primeira vez. No entanto, em sucessivas ocasiões poderiam ser considerados pelos especialistas, se casos intencionais forem reproduzidos, como parte envolvida.
A investigação dos especialistas poderá avaliar relações entre LIRs/usuários finais, dos mesmos grupos empresariais.
Os casos acidentais ou aqueles que não possam ser claramente classificados como intencionais, receberão um aviso, que poderá ser levado em conta se repetidos.
Qualquer caso em que o suposto sequestrador puder demonstrar que sua infraestrutura foi manipulada indevidamente por terceiros (por exemplo, roteadores comprometidos) não poderá ser considerado intencional.
Como medida preventiva, a titularidade dos recursos das partes investigadas não poderá ser transferida ou alterada até que o caso seja ratificado ou arquivado.
5.0 Grupo de especialistas
O procedimento de seleção do grupo de especialistas global deve ser aberto e gerenciado por LACNIC, possivelmente em colaboração com outros RIRs.
1. Será feita uma chamada à comunidade global, incluindo os requisitos de experiência e conhecimentos necessários, a cada dois anos, e chamadas adicionais, caso seja necessário expandir o grupo de especialistas.
2. O mesmo número de especialistas deve participar em cada caso e fase (inicial e recurso, se houver) para evitar a discriminação entre casos, portanto deverá ser definido ao implementar o processo.
3. O número mínimo de especialistas por caso e fase será de 3. Se for necessário um número maior, ele deve ser ímpar e a comunidade será informada dos motivos da alteração.
4. Eles deverão assinar um documento que confirme sua imparcialidade e, portanto, que não tem relação direta ou indireta com o reclamante ou suposto sequestrador, antes de aceitar cada caso.
5. Os casos em andamento devem ser concluídos pelos especialistas inicialmente designados, mesmo que sejam substituídos no processo de seleção semestral, e somente em caso de justa causa e comunicado à comunidade, um especialista poderá ser substituído por outro.
6.0 Procedimento
O procedimento deve incorporar, pelo menos, os seguintes passos:
1. LACNIC verificará que o informe contenha dados suficientes antes de designá-lo ao grupo de especialistas.
2. Os especialistas designados verificarão os dados fornecidos em relação aos dados históricos do BGP.
3. Os especialistas excluirão os casos claramente acidentais, embora devam indicá-lo em seu relatório, de modo que LACNIC possa transmiti-lo ao suposto sequestrador, a fim de evitar sua repetição.
4. Se o evento parecer intencional, eles redigirão um relatório com suas conclusões, ou com a confirmação ou não das mesmas, se for a fase de apelação.
5. LACNIC pode fornecer assistência aos especialistas, mas a equipe não pode fazer parte desse grupo.
6. Nem LACNIC nem o reclamante podem recorrer da decisão dos especialistas.
7.0 Retroatividade
Somente os eventos de sequestro que ocorrerem após esta política ter sido implementada poderão ser considerados.
8.0 Possíveis objeções
Quando um informe tiver sido avaliado pelos especialistas, o mesmo será enviado ao suposto sequestrador, que terá no máximo quatro semanas para contestar as conclusões contidas no relatório. As objeções serão revistas pelos especialistas e serão consideradas admissíveis ou inadmissíveis, no prazo máximo de duas semanas. Após esse prazo, o relatório será tornado público.
9.0 Apelações
Uma vez publicado o relatório dos especialistas, o suposto sequestrador terá um máximo de duas semanas para apresentar um recurso. Se um recurso for apresentado, especialistas alternativos o revisarão no prazo máximo de quatro semanas. Os resultados desta revisão são definitivos e não poderão ser recorridos novamente.
10.0 Ratificação
Uma vez que o relatório tenha sido publicado, as possíveis violações às políticas serão ratificadas pela Diretoria de LACNIC. Caso contrário, o caso será arquivado. A ratificação será adiada em caso de apresentar um recurso, até que o segundo grupo de especialistas conclua sua revisão.
11.0 Período de Transição

Estipula-se um período de transição de 6 meses a partir do momento em que se anuncia que a política foi implementada, de modo que as organizações que anunciam espaço de endereços ou números de sistemas autônomos não designados, devido a erros operacionais ou outros motivos que não forem mal-intencionados, apenas recebam um aviso.

Informações Adicionais

Considera-se que esta proposta deve constituir uma nova seção do manual de políticas, possivelmente antes dos apêndices, mas sua posição exata e forma de numeração, dado que são aspectos editoriais, ficam a critério do pessoal de LACNIC.

Tempo de Implementação

Imediato

Referências

A mesma proposta já foi apresentada no RIPE:
• https://www.ripe.net/participate/policies/proposals/2019-03
Está se trabalhando nesta proposta em outros RIRs e serão apresentadas propostas equivalentes em todos eles.

Notas Públicas da equipe de LACNIC

ANALISE DE IMPACTO PELA EQUIPE DE LACNIC - Proposta LAC-2019-5 - versión 1

Interpretación de la propuesta por el staff de LACNIC
----------------------------------------------------

Aplicación
-----------
Esta propuesta aplicaría en el caso de un reporte sobre un secuestro de rutas a nivel operacional.

Modificación del texto actual
-----------------------------
Para la incorporación del texto de esta propuesta, se crearía una nueva sección en el Manual de Políticas previa a los apéndices.

Comentarios del staff
----------------------
1. LACNIC entiende que esta propuesta implicaría tomar acciones ante el no cumplimiento de esta política sobre los miembros de LACNIC. Sin embargo, no se podrían tomar acciones con las organizaciones que no son miembros de LACNIC.

2. LACNIC destaca que es muy difícil adjudicar intencionalidad de un anuncio no autorizado, por lo cual estos temas se gestionan con mucho cuidado.

3. Actualmente, para resolver este tipo de situaciones LACNIC cuenta con el WARP (Warning Advice and Report Point) que funciona como un Centro de Respuesta a Incidentes de Seguridad (CSIRT) (https://warp.lacnic.net/). El WARP ya recibe reportes de este tipo de incidentes y busca actuar ante estas situaciones basado en estándares de buenas prácticas utilizadas en centros de respuesta para la gestión de estos casos.
Además, hace algunos años que LACNIC brinda apoyo (incluyendo capacitación) a varias organizaciones para que creen sus CSIRTs y así mejorar la gestión de incidentes en la región, en especial para este tipo de casos.

4. Compartimos algunas cifras sobre la cantidad de reportes por anuncios de prefijos no autorizados recibidos por el WARP:
Durante el 2019 (hasta marzo): se recibieron 3 reportes y el 100% de los casos fueron resueltos.
Durante el 2018: se recibieron 6 reportes y el 100% de los casos fueron resueltos.
Durante el 2017: se recibieron 12 reportes. 11 fueron resueltos y uno sólo no respondió, pero se dejó de anunciar.

5. Impacto legal
En este tipo de incidentes no existen pruebas absolutas para determinar un secuestro de rutas, sino solamente indicios. Por otra parte, antes de proceder a iniciar un proceso de revocación de recursos, se debe contar con prueba fehaciente de que ello ha ocurrido. Por lo cual, puede traer aparejado consecuencias muy graves para LACNIC, en caso de que en algún caso se actué en base a indicios en lugar de certezas.

6. Esto podría no solo ser un impacto en el ámbito legal, sino que también a nivel operacional. No es posible probar la intencionalidad de un anuncio no autorizado de rutas. Los involucrados podrían sostener siempre que lo hicieron por error.

7. Podrían haber casos de falsos positivos, que al revocar recursos implicaría una mayor responsabilidad jurídica y financiera para el grupo de expertos y para LACNIC.

Recomendaciones
------------------

1. Se reconoce que el secuestro de rutas debe ser indicado como un incidente de seguridad. Sin embargo, la política entra en detalles del procedimiento que debería ser manejado por un Centro de Respuesta a Incidentes de Seguridad. Se informa que actualmente LACNIC implementa acciones para gestionar este tipo de incidentes a través del WARP, basado en las buenas prácticas establecidas por Centros de Incidentes de Seguridad.

2. Se recomienda ser cuidadosos en cuanto a los aspectos que se definen como responsabilidad de un RIR como parte de su administración de los recursos numéricos y no del ruteo. Es importante tener claro donde se establecen las fronteras.

3. En la sección 4.0 Líneas de acción:
3.1. Un aspecto importante a destacar es que los Centros de Respuesta tienen como principio básico la reserva de la información en forma confidencial para la correcta gestión del incidente.

3.2. LACNIC ya cuenta con un formulario web para reportar incidentes de seguridad (https://warp.lacnic.net/reportar-incidente) y un contacto de correo (info-warp@lacnic.net). Específicamente, en el formulario web hay un caso específico para reportar “anouthorized prefix advertisig”. De acuerdo con las buenas prácticas no se le denomina “secuestro de rutas” hasta no contar con pruebas de que se trata de una acción maliciosa.

3.3. Se sugiere cambiar la redacción que indica “LACNIC no puede supervisar la aparición de secuestros BGP”, debido a que en un futuro, LACNIC podría desarrollar algún servicio proactivo de detección de prefijos mal anunciados.

3.4. Los datos que se solicitan en un formulario son de resorte del equipo de respuesta del incidente y se basan en estándares de buenas prácticas utilizadas en centros de respuesta para la gestión de estos casos.

3.5. Se recomienda cambiar la redacción de "El secuestro de BGP es un comportamiento inaceptable (...) " y de "Los secuestros de BGP ocurren (...)".
Parece que el secuestro es a la sesión BGP. Se sugiere: "El secuestro de recursos de Internet (...) . BGP sería la vía para el secuestro. Pero lo que secuestra no es BGP, sino los recursos.

4. En la sección 5.0 Grupo de expertos
4.1. LACNIC cuenta con un Centro de Gestión de Incidentes de Seguridad (WARP). El BGP hijacking está definido dentro de la taxonomía de incidentes de seguridad que gestiona WARP. Además como centro coordinador puede determinar si es necesario escalar el mismo a otros CSIRTs, que también cuentan con un procedimiento y un protocolo de intercambio de información a nivel mundial.

4.2. Ya existe una red de confianza de centros de respuesta que trabajan de una forma establecida a nivel internacional.

4.3. No queda claro como LACNIC podría evaluar la experiencia de los expertos mundiales en el tema.

5. En la sección 6.0
“4.Si el evento parece intencionado, redactarán un informe con sus conclusiones, o con la confirmación o no de las mismas, de tratarse de la fase de apelación.” Al indicar “parece” podría no ser lo suficientemente sólido como para que los expertos generen un reporte por secuestro de rutas.
6 no permite a LACNIC tomar alguna acción en caso de que lo considere pertinente.

6. En la sección 8.0 Posibles objeciones
6.1. Cuando se indica que “(...) el secuestrador, quien dispondrá de un máximo de cuatro semanas para objetar (...)” contradice uno de los principios básicos de la gestión de incidentes “The speed with which an organization can recognize, analyze, and respond to an incident will limit the damage and lower the cost of recovery”) Cert.org
6.2. Al indicar que “el informe se hará público” podría ser tomado como una acusación y podría abrir una posible demanda.

7. En la sección 9.0 Apelaciones
7.1. Los tiempos propuestos no concuerdan con la gravedad de este tipo de incidentes, ya que el impacto de la demora puede significar un gran impacto en la estabilidad y la seguridad de Internet. Ejemplo: imaginemos el caso de YouTube and Pakistan Telecom con estos tiempos propuestos.
7.2. Al indicar “expertos alternativos”, no queda claro quienes formarían este otro grupo de expertos. Adicionalmente, en la sección 5.2 indica “El mismo número de expertos debe participar en cada caso y fase”, por lo cual no queda claro si se habla del mismo grupo u otro grupo de expertos “alternativos”.

Fuentes oficiales de referencias
-------------------------------

Situación en otros RIRs

RIPE NCC
Hay una propuesta similar en discusión:
https://www.ripe.net/participate/policies/proposals/2019-03

Política de privacidade