In mei treedt de Algemene Verordening Gegevensbescherming van de Europese Unie (AVG) officieel in werking. De AVG is een wet die de privacy van Europese burgers moet beschermen tegen internetgiganten als Google en Facebook. Maar deze nieuwe wet gaat waarschijnlijk juist de veiligheid van internetgebruikers ondermijnen en ver buiten de grenzen van EU invloed hebben op het internet.Whois is daar een goed voorbeeld van. Met dit protocol uit de jaren 80 is het mogelijk om naam, adres, mailadres en telefoonnummer van degene die een domeinnaam heeft geregistreerd te achterhalen. Op het internet zijn een boel gratis Whois-tools te vinden waarmee iedereen achter dit soort informatie kan komen – tenzij de eigenaar van een site dat heeft geblokkeerd. Ook zijn er meer geavanceerde Whois-tools waar je wel voor moet betalen.
Advertentie
Whois is ontzettend waardevol voor beveiligingsonderzoekers, journalisten en wetshandhavers die het gebruiken om de verspreiding van informatie of malware op internet te volgen. Aan de andere kant was Whois in het verleden een goudmijn voor spammers en hackers, die met al die informatie heel gericht junkmail konden versturen. Om hier iets aan te doen zijn er een heleboel diensten die al die Whois-gegevens onzichtbaar moeten maken. Vaak worden ze aangeboden door de domeinaanbieder tegen een kleine vergoeding.Het is dus maar de vraag of iedereen zomaar die informatie op moet kunnen zoeken. Of anders gezegd: is Whois essentieel voor internetveiligheid of een gevaarlijke overblijfsel uit de begindagen van het internet?Dit debat staat al meer dan tien jaar op een laag pitje gezet bij de Internet Corporation for Assigned Names and Numbers (ICANN), een ngo die verantwoordelijk is voor het lot van Whois-gegevens. Maar door de invoering van de AVG is het opeens weer ontzettend relevant.Afgelopen november kondigde ICANN aan dat ze geen actie ondernemen tegen registrars die "contractuele verplichtingen met betrekking tot het behandeling van registratiegegevens niet naleven." Met andere woorden, de ICANN zou normaal gesproken juridische stappen ondernemen tegen domeinboeren die Whois-informatie niet op de juiste manier delen.Op een andere manier publiceerden dan was vastgelegd in hun overeenkomst met ICANN, terwijl zij dat nu niet doen totdat er een nieuwe Whois-gegevens is die niet in conflict is met de AVG.
Advertentie
Om voor dit uitstel in aanmerking te komen, moesten registrars hun eigen voorstel doen over hoe zij aan de Whois-regels gaan voldoen. Vervolgens publiceerde ICANN op 12 januari een document met drie mogelijke tijdelijke oplossingen voor domeinboeren. Met deze oplossingen kunnen ze voldoen aan de ICANN-regels en ook aan de AVG-wet van Europa. Deze tijdelijke oplossingen worden gebruikt tot er iets permanters wordt bedacht voor de toekomst van Whois in Europa.Het probleem is, kort gezegd, dat ICANN met de duizenden domeinregistreerders over de hele wereld, zoals GoDaddy of HostGator, overeenkomsten heeft die de bedrijven verplichten om Whois-gegevens, zoals namen, e-mailgegevens en telefoonnummers, voor elke domeinregistrant naar hun service te verzenden. Aan de andere kant verbiedt de AVG bedrijven om informatie te publiceren die individuen identificeert. Dit betekent dat de ICANN-overeenkomsten met Europese registrars over Whois-gegevens vanaf begin mei illegaal zijn.Op dezelfde dag dat de tijdelijke Whois-oplossingen van ICANN werden gepubliceerd, kondigde GoDaddy – de grootste domeinregistreerder ter wereld – aan dat ze vanaf 25 januari bulkzoekopdrachten naar de Whois-gegevens van hun 17 miljoen klanten gaan blokkeren.Bladel vertelt dat er “piek” in het aantal klachten van klanten over de lading aan spam is direct na het registreren van een domein. En daarom beschuldigden veel mensen GoDaddy er ook van dat ze klantgegevens aan spammers verkopen. Maar veel beveiligingsonderzoekers, die afhankelijk zijn van toegang tot Whois-gegevens in bulk, zeggen dat het bedrijf hiermee misbruikt maakt van de onzekerheid over de toekomst van de Whois-regels van ICANN.
Advertentie
“GoDaddy heeft eenzijdig besloten om alle e-mailadressen, namen en telefoonnummers in hun Whois-data te wijzigen. Dat is nogal in strijd met wat ze contractueel verplicht zijn in hun overeenkomst met ICANN,” vertelt Tim Chen, CEO analyticsbedrijf DomainTools aan de telefoon. “Dat is heel anders dan hoe een registrar in het verleden heeft gehandeld.”Registrars, zoals GoDaddy en de organisaties achter WHOIS-lookup-programma's zoals ICANN's search en DomainTools, hebben op verschillende manieren geprobeerd om het in bulk verzamelen Whois-gegevens door spammers te beperken. Bijvoorbeeld door captcha's te gebruiken of door contactgegevens als foto's de tonen in plaats van als platte tekst om zo geautomatiseerde gegevensverzameling te beperken.Ondanks alle pogingen om hier iets aan te doen, denkt Chen dat andere registrars GoDaddy gaan volgen en bulk-Whois-zoekopdrachten gaan blokkeren. Hij vertelt dat domeinboeren hier een reden voor hebben: “Het is niet echt in hun belang om deze gegevens openbaar te maken, omdat het hun eigen klantgegevens zijn.” Bovendien moeten registrar deze gegevens zelf hosten en dus kost het ze geld. En klanten beschuldigen domeinboeren ook vaak van het "verkopen" van hun informatie als spammers hun Whois-gegevens scrapen vertelt Bladel .“Registrars zitten helemaal niet op Whois te wachten,” meent Chen. “Dus maken ze van de situatie gebruik en kijken ze hoe ver ze kunnen gaan.”
Advertentie
Dit is allemaal ook nogal vervelend voor beveiligingsonderzoekers die afhankelijk zijn van bulktoegang tot Whois-gegevens en analysetools om hun werk te doen. Xavier Mertens, een onafhankelijke beveiligingsadviseur uit België, vertelt dat Whois voor hem en zijn collega’s de eerste verdedigingslinie is om een aanval mee te beoordelen.“Als je kwaadaardige activiteit van een bepaald domein ziet komen, ga je als eerste kijken wie erachter zit,” vertelt Mertens in een e-mail. “Als Whois-gegevens niet openbaar zijn, maar alleen toegankelijk voor geaccrediteerde organisaties, dan kun je je voorstellen hoeveel administratief gedoe er nodig om bij die informatie te komen is?”Journalisten gebruiken ook regelmatig Whois-gegevens om in contact te komen met bronnen en archiefsites gebruiken Whois-gegevens om toestemming te vragen om websites op te slaan die het gevaar lopen om te worden vergeten of verwijderd.ICANN verkeert in een moeilijke positie. Aan de ene kant staat de organisatie onder druk van overheden en beveiligingsonderzoekers met Whois-gegevens misdaden onderzoeken of zich beschermen tegen malware-aanvallen. Aan de andere kant moet de organisatie zich ook houden aan de AVG. Want dat is de enige manier om ons te beschermen tegen internetreuzen als Google en Facebook.Na jaren van discussie heeft ICANN in 2014 een rapport uitgebracht met een aantal voorstellen om Whois volledig te vervangen.
Advertentie
Een mogelijke oplossingen is om een database met registratiegegevens op te richten waarin alle gegevens van domeinboeren worden opgeslagen. Op deze manier zouden de meeste domeinregistratie-gegevens standaard worden ‘beschermd’ en niet meer – zoals nu – openbaar zijn. Hierdoor zouden registrars hun klanten wel toegang tot deze gegevens kunnen geven, maar alle andere toegang zou dan via die nog op richten database moeten gaan. Voordat er toegang tot deze gegevens wordt verleend, zou de persoon of organisatie die hierom vraagt, zichzelf moeten identificeren en aangeven waarvoor de data gebruikt gaat worden. Dit zou in feite voldoen aan de vraag naar individuele gegevensbescherming, gegevensbescherming van registrars, het zou spammers blokkeren en beveiligingsexperts hun werk nog steeds kunnen laten doen.Drie jaar later lijkt ICANN geen stap dichterbij het uitvoeren van deze aanpassingen aan Whois. Dit werd afgelopen november nog eens pijnlijk duidelijk tijdens een reeks vergaderingen bij ICANN om te bespreking wat hun reactie op de AVG-wetgeving gaat zijn.Vorige maand heeft ICANN een memo gepubliceerd met daarin een aantal tijdelijke manieren waarop registrars namen, mailadressen en telefoonnummers kunnen verbergen, totdat ze weten wat ze met de Whois-standaard gaan doen.Heather Forrest, voorzitter van de werkgroep bij ICANN die zich met Whois bezighoudt, weigert commentaar te leveren op de toekomstige Whois-plannen van de organisatie. Ze vertelt wel in een e-mail dat: “We verschillende Whois-gerelateerde punten in 2018 op de agenda hebben staan. En de ontwikkeling van een database met registratiegegevens daar zeker één van is.”
Advertentie
Forrest zegt dat haar werkgroep vorige week in Los Angeles samenkwam om te bespreken hoe beleidsontwikkeling bij het ICANN kan worden verbeterd, maar dat er in het komende rapport niets zal staan over de voorgestelde oplossingen voor Whois die eerder in januari zijn gepubliceerd.De inwerkingtreding van de AVG in mei kan heel goed het begin van het einde betekenen voor Whois-gegevens, maar dat hoeft niet per se slecht te zijn. De privacywetgeving van AVG zorgt ervoor dat er discussies ontstaan over privacy en aansprakelijkheid van gegevens op het Internet, ook al verlopen dit soort discussies soms nogal traag.In de nabije toekomst zullen beveiligingsonderzoekers, zoals Mertens, en bedrijven die Whois-gegevens analyseren, zoals DomainTools, waarschijnlijk last hebben van beperkte toegang tot grote Whois-services als bijvoorbeeld GoDaddy die toegang intrekt. Niet-Europese gebruikers die hun Whois-gegevens willen verbergen, kunnen ervoor kiezen om hun informatie te maskeren via hun registar, maar dit gaat ze waarschijnlijk wel geld kosten."Al jaren houden registars rekening met de privacy van domeineigenaren door services aan te bieden om hun gegevens te verbergen, dus ik denk niet dat de AVG Whois zal afschaffen," vertelt Mertens. "Het risico bestaat dat steeds meer gegevens uit de publieke Whois-database worden verwijderd, omdat het voor veel organisaties eenvoudiger zal zijn om gevoelige gegevens te verwijderen dan keurige controles uit te voeren die door de AVG worden verplicht.”Het is onduidelijk wanneer ICANN een permanent oplossingen voor Whois heeft, want dit bijna 30 jaar oude protocol is al lang niet meer aangepast. Het idee dat het aanvragen van individuele gegevens gepaard gaat met het verstrekken van hun eigen gegevens, is zowel rechtvaardig als logisch. De enige vraag die nog rest, is hoe dit nieuwe protocol moet worden toegepast.Dit artikel verscheen eerder op Motherboard US.