<div dir="ltr"><div dir="ltr">On Thu, May 2, 2019 at 7:18 AM Adam Thompson <<a href="mailto:athompson@merlin.mb.ca">athompson@merlin.mb.ca</a>> wrote:<br></div>> Instead of focusing on whether the current proposal is or isn’t in scope, I suggest we re-cast the discussion as follows:<br>><br>> So far, we have unanimous community agreement that BGP hijacking is bad.<br>> So far, we have broad agreement that “something ought to be done” about BGP hijacking, although detailed opinions vary significantly.<br>> So what (else) can ARIN do about it?  (Caveat: the answer “nothing” is unacceptable to a significant proportion of PPML participants.)<br><br>Hi Adam,<div><br>Without restructuring the legal basis on which the organization operates, the answer is: not much.<br><br>No statute supports ARIN's existence. Its civil-law existence is based entirely on contract between it and the registrants. Its common law existence is somewhat stronger if less well defined, based on two decades of action which has not been challenged and reversed in court. Where they exist at all (they don't for legacy registrations), the contracts don't well support ARIN taking adverse action against a registrant for their behavior with respect to Internet routing. The common law case is even weaker where they've literally never attempted an adverse action based on routing.</div><div><br></div><div>Short of directly penalizing bad routing behavior ARIN could, I suppose, create a "bad actors" list of some sort where service providers could enforce additional validation on routing changes which appear containing the bad actor's AS number. That's a bit like the joke "evil bit" proposal though. A true bad actor could forge the AS path while folks making honest mistakes get caught up in the blacklist.</div><div><br></div><div>ARIN could make it easier to participate in RPKI so that hijack attempts become less effective. The contractual impediments currently put a lot of people off. The problem is, ARIN is super afraid that they'll get sued over it if they don't demand those contractual impediments from their participants. Considering what happened to MAPS, it's not an unfounded fear.<br><br>Regards,</div><div>Bill Herrin</div><div><br><br>-- <br><div dir="ltr" class="gmail_signature">William Herrin ................ <a href="mailto:herrin@dirtside.com" target="_blank">herrin@dirtside.com</a>  <a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a><br>Dirtside Systems ......... Web: <<a href="http://www.dirtside.com/" target="_blank">http://www.dirtside.com/</a>></div></div></div>