Los Secuestros de Recursos Constituyen una Violación de las Políticas

Idioma Original Español Fecha Publicación 29/03/2019 Ultima Modificación 18/03/2019
Periodo de ultimos comentarios No aplica Fecha de ratificación No aplica Fecha de implementación No aplica
Estado Abandonada Descargar TXT PDF XML DOCX
Ver otras versiones 1.0 2.0 (comparar)

Autores

Nombre: Carlos Friacas
Email: cfriacas@fccn.pt
Organización: FCT | FCCN

Nombre: Jordi Palet Martinez
Email: jordi.palet@theipv6company.com
Organización: The IPv6 Company

Nombre: Fernando Frediani
Email: fhfrediani@gmail.com
Organización: -

Datos de la Propuesta

Tipo Politica: LACNIC
Id: LAC-2019-5
Última versión: 2
Presentaciones:

Resumen

El objetivo de esta propuesta es explicitar que el secuestro de BGP es una violación de las políticas, y por lo tanto no se acepta como práctica normal dentro de la región de servicio LACNIC. Además, estas acciones niegan el propósito principal de administrar un RIR.

La propuesta no se refiere a simples errores operacionales, sino que trata de abordar eventos intencionados de secuestro de BGP.

Justificación

El secuestro de BGP es un comportamiento inaceptable. Se define como "secuestro de BGP" al hecho de anunciar un prefijo a cualquier otra red sin el consentimiento del titular del recurso.

Debe haber consecuencias para el secuestro de miembros o individuos/organizaciones que tienen un acuerdo de servicio (ya sea directa o indirectamente) con LACNIC. Esta propuesta pretende aclarar que un secuestro intencional es, de hecho, una violación de las políticas.

a. Argumentos a favor de la propuesta
• El secuestro de BGP niega por completo el propósito de un RIR.
• Esta comunidad debe expresar explícitamente que el secuestro de BGP viola las políticas de LACNIC.
• Si no cambia nada en este campo, la reputación de la región de servicio de LACNIC seguirá siendo afectada desde una perspectiva de ciberseguridad debido a los eventos de secuestro de BGP.

b. Argumentos en contra de la propuesta
• Ni la comunidad de LACNIC, ni el propio LACNIC son la "Policía de enrutamiento".
• Contra-argumento: Nadie intentará dictar a nadie cómo debe ser su política de enrutamiento en un momento dado. Sin embargo, LACNIC debe poder optar por no establecer (o mantener) una relación contractual con personas/organizaciones que realizan secuestros de BGP. Ya hay suficientes fuentes de datos históricos de enrutamiento, así como “casi” en tiempo real, que funcionan como un observatorio mundial. A partir de estas fuentes, es posible evaluar con precisión quién está realizando el secuestro de BGP y cómo está dañando (o intentando dañar) las redes de terceros con dichos actos. Los expertos externos son meros evaluadores, que pueden usar los conjuntos disponibles de datos de enrutamiento para determinar si se han producido eventos de secuestro de BGP y si fueron intencionales.

Texto

Texto actual:
No existe.

Nuevo texto:

1.0 Introducción

Los secuestros de BGP ocurren casi a diario. Los secuestros pueden ser a escala global (propagados a todas las redes) o restringidos (solo en una o algunas redes). A través de este documento, la comunidad LACNIC aclara que el secuestro de BGP es una práctica inaceptable.

2.0 El secuestro de BGP es una Violación de las políticas

Se entiende por secuestro el anuncio de rutas a través de BGP a terceros, sin el consentimiento del titular del recurso (direcciones o números de sistema autónomo). Esto se considera una violación de las políticas de LACNIC.

La ubicación del titular del recurso o del secuestrador, en tales casos, es irrelevante. Un secuestro constituye una violación de la política incluso si ambas partes están ubicadas fuera de la región de servicio de LACNIC.

El anuncio de espacio de direcciones o sistemas autónomos no asignados también se considera una violación de las políticas y se evalúa de acuerdo con los mismos parámetros.

3.0 Ámbito: Accidental vs Intencionado

Se puede distinguir entre secuestros accidentales o intencionados, a través de los conjuntos de datos disponibles de enrutamiento, observando parámetros como duración, recurrencia, objetivos posibles y el tamaño de los bloques secuestrados. Otros parámetros también podrían ser considerados en el futuro.

4.0 Líneas de Acción

LACNIC no puede supervisar la aparición de secuestros BGP ni evaluar si se trata de infracciones de políticas. Por lo tanto, debe confiar en terceros, tanto para informar sobre secuestros como para determinar si son intencionados.

Los reportes enviados a LACNIC deben incluir un conjunto mínimo de detalles, tales como: "Redes afectadas", "ASN del presunto secuestrador", "Prefijos secuestrados" y "Datos temporales" (estos ejemplos no son una lista definitiva y otros detalles también pueden ser necesarios). LACNIC proporcionará un formulario web público (o alternativas equivalentes) para presentar dichos reportes, que serán también públicos, de forma que otras partes puedan agregar información y evitar así la duplicidad de reclamaciones. La herramienta contendrá una sección en caso de que información sensible no deba ser publicada.

Se notificará a cada parte implicada, tan pronto como sea identificada, que podrán aportar información relevante y mitigar el secuestro, evitando males mayores y en la medida de lo posible casos de denuncias falsas.

Los expertos sólo considerarán aquellos casos que persisten o que hayan sido reportados como máximo 6 meses tras su cese, aunque LACNIC podrá enviar a las partes una notificación con la información reportada, que en cualquier caso quedará archivada como parte de la historia de casos.

LACNIC seleccionará un grupo de expertos mundiales que puedan evaluar si los secuestros BGP reportados constituyen infracciones de políticas. Los expertos de este grupo proporcionarán una valoración con respecto a cada caso informado, como máximo cuatro semanas desde el momento en que se recibió el reporte.

Los “upstreams” directos del presunto secuestrador, que permitan dicho secuestro a través de sus redes, podrán recibir una advertencia la primera vez. Sin embargo, en sucesivas ocasiones podrían ser considerados por los expertos, si se reproducen casos intencionados, como parte implicada.

La investigación de los expertos, podrá valorar relaciones entre LIRs/usuarios finales, de los mismos grupos empresariales.

Los casos accidentales o aquellos que no puedan ser claramente clasificados como intencionados, recibirán una advertencia, que podrá ser tenida en cuenta si se repiten.

No se podrán considerar intencionados aquellos casos en los que el presunto secuestrador pueda demostrar que su infraestructura fue manipulada inapropiadamente por terceros (por ejemplo, routers comprometidos).

Como medida preventiva, no se podrá transferir ni alterar la titularidad de los recursos de las partes investigadas hasta la ratificación o archivo del caso.

5.0 Grupo de expertos

El procedimiento de selección del grupo de expertos mundial debe ser abierto y gestionado por LACNIC, posiblemente en colaboración con otros RIRs.
1. Se realizará un llamado a la comunidad global incluyendo los requisitos de experiencia y conocimientos necesarios, cada dos años, y llamados adicionales si fuera necesario ampliar el grupo de expertos.
2. El mismo número de expertos debe participar en cada caso y fase (inicial y apelación si la hubiere), para evitar discriminaciones entre casos, por lo cual deberá definirse al implementar el proceso.
3. El número mínimo de expertos por caso y fase será de 3. Si fuera necesario un número mayor, debe ser impar, y se informará a la comunidad de las razones del cambio.
4. Deberán firmar un documento que confirme su imparcialidad y, por lo tanto, que no tiene relación directa o indirecta con el reclamante o presunto secuestrador, antes de aceptar cada caso.
5. Los casos en curso deben ser completados por los expertos inicialmente asignados, incluso si son reemplazados en el proceso de selección bianual, y solo en caso de causa justificada y comunicada a la comunidad, un experto podrá ser reemplazado por otro.

6.0 Procedimiento

El procedimiento debe incorporar, al menos, los siguientes pasos:
1. LACNIC verificará que el reporte contiene datos suficientes antes de asignarlo al grupo de expertos.
2. Los expertos asignados verificarán los datos reportados respecto de datos históricos de BGP.
3. Los expertos excluirán aquellos casos claramente accidentales, aunque deberán indicarlo en su informe, de forma que LACNIC lo transmita al presunto secuestrador para evitar su repetición.
4. Si el evento parece intencionado, redactarán un informe con sus conclusiones, o con la confirmación o no de las mismas, de tratarse de la fase de apelación.
5. LACNIC puede proporcionar asistencia a los expertos, pero el staff no puede formar parte de dicho grupo.
6. Ni LACNIC ni el reclamante pueden apelar la decisión de los expertos.

7.0 Retroactividad

Solo podrán ser considerados los eventos de secuestro que se produzcan después de que se haya implementado esta política.

8.0 Posibles Objeciones

Cuando un reporte haya sido valorado por los expertos, se enviará el informe al presunto secuestrador, quien dispondrá de un máximo de cuatro semanas para objetar las conclusiones contenidas en el informe. Las objeciones serán revisadas por los expertos y se considerarán como admisibles o no admisibles, en un plazo máximo de dos semanas. Tras dicho plazo, el informe se hará público.

9.0 Apelaciones

Tras la publicación del informe de los expertos, el presunto secuestrador dispondrá de un máximo de dos semanas para presentar una apelación. Si se presenta una apelación, expertos alternativos la revisarán en un plazo máximo de cuatro semanas. Los resultados de esta revisión son definitivos y no pueden ser nuevamente apelados.

10.0 Ratificación

Una vez que el informe haya sido publicado, las posibles violaciones a las políticas serán ratificadas por el Directorio de LACNIC. De lo contrario, el caso será archivado. La ratificación se retrasará en caso de una apelación, hasta que el segundo conjunto de expertos haya concluido su revisión.

11.0 Período de Transición

Se estipula un período de transición de 6 meses, a partir del momento en que se anuncie que la política ha sido implementada, para que las organizaciones que anuncian espacio de direcciones o números de sistemas autónomos no asignados, por errores operativos u otras razones, que no sean malintencionadas, reciban sólo una advertencia.

Información Adicional

Se considera que esta propuesta debe constituir una nueva sección del manual de políticas, posiblemente antes de los apéndices, pero su exacta posición y forma de numeración, dado que son aspectos editoriales, se dejan a discreción del staff de LACNIC.

Tiempo de Implementacion

Inmediato

Referencias

Se ha presentado esta misma propuesta ya en RIPE:
• https://www.ripe.net/participate/policies/proposals/2019-03

Se está trabajando al respecto de esta propuesta en otros RIRs y se procederá a presentar propuestas equivalentes en todos ellos.

Notas públicas del Staff de LACNIC

ANÁLISIS DE IMPACTO DEL STAFF DE LACNIC - Propuesta LAC-2019-5 - versión 2

Interpretación de la propuesta por el staff de LACNIC
-----------------------------------------------------

Aplicación de la propuesta
--------------------------
Esta propuesta aplicaría en el caso de un reporte sobre un secuestro de rutas a nivel operacional.

Modificación del texto actual
-----------------------------
Para la incorporación del texto de esta propuesta, se crearía una nueva sección en el Manual de Políticas previa a los apéndices.

Comentarios del staff
----------------------
1. LACNIC entiende que esta propuesta implicaría tomar acciones ante el no cumplimiento de esta política sobre los miembros de LACNIC. Sin embargo, no se podrían tomar acciones con las organizaciones que no son miembros de LACNIC.

2. LACNIC destaca que es muy difícil adjudicar intencionalidad de un anuncio no autorizado, por lo cual estos temas se gestionan con mucho cuidado.

3. Actualmente, para resolver este tipo de situaciones LACNIC cuenta con el WARP (Warning Advice and Report Point) que funciona como un Centro de Respuesta a Incidentes de Seguridad (CSIRT) (https://warp.lacnic.net/). El WARP ya recibe reportes de este tipo de incidentes y busca actuar ante estas situaciones basado en estándares de buenas prácticas utilizadas en centros de respuesta para la gestión de estos casos.
Además, hace algunos años que LACNIC brinda apoyo (incluyendo capacitación) a varias organizaciones para que creen sus CSIRTs y así mejorar la gestión de incidentes en la región, en especial para este tipo de casos.

4. Compartimos algunas cifras sobre la cantidad de reportes por anuncios de prefijos no autorizados recibidos por el WARP:
Durante el 2019 (hasta marzo): se recibieron 3 reportes y el 100% de los casos fueron resueltos.
Durante el 2018: se recibieron 6 reportes y el 100% de los casos fueron resueltos.
Durante el 2017: se recibieron 12 reportes. 11 fueron resueltos y uno sólo no respondió, pero se dejó de anunciar.

5. Impacto legal
En este tipo de incidentes no existen pruebas absolutas para determinar un secuestro de rutas, sino solamente indicios. Por otra parte, antes de proceder a iniciar un proceso de revocación de recursos, se debe contar con prueba fehaciente de que ello ha ocurrido. Por lo cual, puede traer aparejado consecuencias muy graves para LACNIC, en caso de que en algún caso se actúe en base a indicios en lugar de certezas.

6. Esto podría no solo ser un impacto en el ámbito legal, sino que también a nivel operacional. No es posible probar la intencionalidad de un anuncio no autorizado de rutas. Los involucrados podrían sostener siempre que lo hicieron por error.

7. Podrían haber casos de falsos positivos, que al revocar recursos implicaría una mayor responsabilidad jurídica y financiera para el grupo de expertos y para LACNIC.

Recomendaciones
------------------
1. Se reconoce que el secuestro de rutas debe ser indicado como un incidente de seguridad. Sin embargo, la política entra en detalles del procedimiento que debería ser manejado por un Centro de Respuesta a Incidentes de Seguridad. Se informa que actualmente LACNIC implementa acciones para gestionar este tipo de incidentes a través del WARP, basado en las buenas prácticas establecidas por Centros de Incidentes de Seguridad.

2. Se recomienda ser cuidadosos en cuanto a los aspectos que se definen como responsabilidad de un RIR como parte de su administración de los recursos numéricos y no del ruteo. Es importante tener claro donde se establecen las fronteras.

3. En la sección 4.0 Líneas de acción:
3.1. Un aspecto importante a destacar es que los Centros de Respuesta tienen como principio básico la reserva de la información en forma confidencial para la correcta gestión del incidente.
3.2. LACNIC ya cuenta con un formulario web para reportar incidentes de seguridad (https://warp.lacnic.net/reportar-incidente) y un contacto de correo (info-warp@lacnic.net). Específicamente, en el formulario web hay un caso específico para reportar “anouthorized prefix advertisig”. De acuerdo con las buenas prácticas no se le denomina “secuestro de rutas” hasta no contar con pruebas de que se trata de una acción maliciosa.
3.3 Los datos que se solicitan en un formulario son de resorte del equipo de respuesta del incidente y se basan en estándares de buenas prácticas utilizadas en centros de respuesta para la gestión de estos casos.

4. En la sección 6.0 Grupo de expertos
4.1. LACNIC cuenta con un Centro de Gestión de Incidentes de Seguridad (WARP). El BGP hijacking está definido dentro de la taxonomía de incidentes de seguridad que gestiona WARP. Además como centro coordinador puede determinar si es necesario escalar el mismo a otros CSIRTs, que también cuentan con un procedimiento y un protocolo de intercambio de información a nivel mundial.

4.2. Ya existe una red de confianza de centros de respuesta que trabajan de una forma establecida a nivel internacional.

4.3. No queda claro como LACNIC podría evaluar la experiencia de los expertos mundiales en el tema.

5. En la sección 7.0
5.1. Un aspecto importante a destacar es que los Centros de Respuesta tienen como principio básico la reserva de la información en forma confidencial para la correcta gestión del incidente.

5.2. En el punto 10, no permite a LACNIC tomar alguna acción en caso de que lo considere pertinente.

5. En la sección 10.0 Posibles objeciones
6.1. Cuando se indica que “(...) el secuestrador, quien dispondrá de un máximo de cuatro semanas para objetar (...)” contradice uno de los principios básicos de la gestión de incidentes “The speed with which an organization can recognize, analyze, and respond to an incident will limit the damage and lower the cost of recovery”) Cert.org

6.2. Al indicar que “el informe se hará público” podría ser tomado como una acusación y podría abrir una posible demanda.

7. En la sección 11.0 Apelaciones
7.1. Los tiempos propuestos no concuerdan con la gravedad de este tipo de incidentes, ya que el impacto de la demora puede significar un gran impacto en la estabilidad y la seguridad de Internet. Ejemplo: imaginemos el caso de YouTube and Pakistan Telecom con estos tiempos propuestos.

7.2. Al indicar “expertos alternativos”, no queda claro quienes formarían este otro grupo de expertos. Adicionalmente, en la sección 5.2 indica “El mismo número de expertos debe participar en cada caso y fase”, por lo cual no queda claro si se habla del mismo grupo u otro grupo de expertos “alternativos”.

Fuentes oficiales de referencias
--------------------------------

Situación en otros RIRs
-----------------------

RIPE NCC
Hay una propuesta similar en discusión:
https://www.ripe.net/participate/policies/proposals/2019-03

ANÁLISIS DE IMPACTO DEL STAFF DE LACNIC - Propuesta LAC-2019-5 - versión 1

Interpretación de la propuesta por el staff de LACNIC
----------------------------------------------------

Aplicación
-----------
Esta propuesta aplicaría en el caso de un reporte sobre un secuestro de rutas a nivel operacional.

Modificación del texto actual
-----------------------------
Para la incorporación del texto de esta propuesta, se crearía una nueva sección en el Manual de Políticas previa a los apéndices.

Comentarios del staff
----------------------
1. LACNIC entiende que esta propuesta implicaría tomar acciones ante el no cumplimiento de esta política sobre los miembros de LACNIC. Sin embargo, no se podrían tomar acciones con las organizaciones que no son miembros de LACNIC.

2. LACNIC destaca que es muy difícil adjudicar intencionalidad de un anuncio no autorizado, por lo cual estos temas se gestionan con mucho cuidado.

3. Actualmente, para resolver este tipo de situaciones LACNIC cuenta con el WARP (Warning Advice and Report Point) que funciona como un Centro de Respuesta a Incidentes de Seguridad (CSIRT) (https://warp.lacnic.net/). El WARP ya recibe reportes de este tipo de incidentes y busca actuar ante estas situaciones basado en estándares de buenas prácticas utilizadas en centros de respuesta para la gestión de estos casos.
Además, hace algunos años que LACNIC brinda apoyo (incluyendo capacitación) a varias organizaciones para que creen sus CSIRTs y así mejorar la gestión de incidentes en la región, en especial para este tipo de casos.

4. Compartimos algunas cifras sobre la cantidad de reportes por anuncios de prefijos no autorizados recibidos por el WARP:
Durante el 2019 (hasta marzo): se recibieron 3 reportes y el 100% de los casos fueron resueltos.
Durante el 2018: se recibieron 6 reportes y el 100% de los casos fueron resueltos.
Durante el 2017: se recibieron 12 reportes. 11 fueron resueltos y uno sólo no respondió, pero se dejó de anunciar.

5. Impacto legal
En este tipo de incidentes no existen pruebas absolutas para determinar un secuestro de rutas, sino solamente indicios. Por otra parte, antes de proceder a iniciar un proceso de revocación de recursos, se debe contar con prueba fehaciente de que ello ha ocurrido. Por lo cual, puede traer aparejado consecuencias muy graves para LACNIC, en caso de que en algún caso se actué en base a indicios en lugar de certezas.

6. Esto podría no solo ser un impacto en el ámbito legal, sino que también a nivel operacional. No es posible probar la intencionalidad de un anuncio no autorizado de rutas. Los involucrados podrían sostener siempre que lo hicieron por error.

7. Podrían haber casos de falsos positivos, que al revocar recursos implicaría una mayor responsabilidad jurídica y financiera para el grupo de expertos y para LACNIC.

Recomendaciones
------------------

1. Se reconoce que el secuestro de rutas debe ser indicado como un incidente de seguridad. Sin embargo, la política entra en detalles del procedimiento que debería ser manejado por un Centro de Respuesta a Incidentes de Seguridad. Se informa que actualmente LACNIC implementa acciones para gestionar este tipo de incidentes a través del WARP, basado en las buenas prácticas establecidas por Centros de Incidentes de Seguridad.

2. Se recomienda ser cuidadosos en cuanto a los aspectos que se definen como responsabilidad de un RIR como parte de su administración de los recursos numéricos y no del ruteo. Es importante tener claro donde se establecen las fronteras.

3. En la sección 4.0 Líneas de acción:
3.1. Un aspecto importante a destacar es que los Centros de Respuesta tienen como principio básico la reserva de la información en forma confidencial para la correcta gestión del incidente.

3.2. LACNIC ya cuenta con un formulario web para reportar incidentes de seguridad (https://warp.lacnic.net/reportar-incidente) y un contacto de correo (info-warp@lacnic.net). Específicamente, en el formulario web hay un caso específico para reportar “anouthorized prefix advertisig”. De acuerdo con las buenas prácticas no se le denomina “secuestro de rutas” hasta no contar con pruebas de que se trata de una acción maliciosa.

3.3. Se sugiere cambiar la redacción que indica “LACNIC no puede supervisar la aparición de secuestros BGP”, debido a que en un futuro, LACNIC podría desarrollar algún servicio proactivo de detección de prefijos mal anunciados.

3.4. Los datos que se solicitan en un formulario son de resorte del equipo de respuesta del incidente y se basan en estándares de buenas prácticas utilizadas en centros de respuesta para la gestión de estos casos.

3.5. Se recomienda cambiar la redacción de "El secuestro de BGP es un comportamiento inaceptable (...) " y de "Los secuestros de BGP ocurren (...)".
Parece que el secuestro es a la sesión BGP. Se sugiere: "El secuestro de recursos de Internet (...) . BGP sería la vía para el secuestro. Pero lo que secuestra no es BGP, sino los recursos.

4. En la sección 5.0 Grupo de expertos
4.1. LACNIC cuenta con un Centro de Gestión de Incidentes de Seguridad (WARP). El BGP hijacking está definido dentro de la taxonomía de incidentes de seguridad que gestiona WARP. Además como centro coordinador puede determinar si es necesario escalar el mismo a otros CSIRTs, que también cuentan con un procedimiento y un protocolo de intercambio de información a nivel mundial.

4.2. Ya existe una red de confianza de centros de respuesta que trabajan de una forma establecida a nivel internacional.

4.3. No queda claro como LACNIC podría evaluar la experiencia de los expertos mundiales en el tema.

5. En la sección 6.0
“4.Si el evento parece intencionado, redactarán un informe con sus conclusiones, o con la confirmación o no de las mismas, de tratarse de la fase de apelación.” Al indicar “parece” podría no ser lo suficientemente sólido como para que los expertos generen un reporte por secuestro de rutas.
6 no permite a LACNIC tomar alguna acción en caso de que lo considere pertinente.

6. En la sección 8.0 Posibles objeciones
6.1. Cuando se indica que “(...) el secuestrador, quien dispondrá de un máximo de cuatro semanas para objetar (...)” contradice uno de los principios básicos de la gestión de incidentes “The speed with which an organization can recognize, analyze, and respond to an incident will limit the damage and lower the cost of recovery”) Cert.org
6.2. Al indicar que “el informe se hará público” podría ser tomado como una acusación y podría abrir una posible demanda.

7. En la sección 9.0 Apelaciones
7.1. Los tiempos propuestos no concuerdan con la gravedad de este tipo de incidentes, ya que el impacto de la demora puede significar un gran impacto en la estabilidad y la seguridad de Internet. Ejemplo: imaginemos el caso de YouTube and Pakistan Telecom con estos tiempos propuestos.
7.2. Al indicar “expertos alternativos”, no queda claro quienes formarían este otro grupo de expertos. Adicionalmente, en la sección 5.2 indica “El mismo número de expertos debe participar en cada caso y fase”, por lo cual no queda claro si se habla del mismo grupo u otro grupo de expertos “alternativos”.

Fuentes oficiales de referencias
-------------------------------

Situación en otros RIRs

RIPE NCC
Hay una propuesta similar en discusión:
https://www.ripe.net/participate/policies/proposals/2019-03

Política de privacidad