image

SIDN: oplossing Whois-gegevens laat op zich wachten

dinsdag 18 december 2018, 13:56 door Redactie, 11 reacties

Een privacyvriendelijke oplossing om met de Whois-gegevens van domeinnamen om te gaan laat op zich wachten en zal waarschijnlijk niet op tijd gereed zijn. Dat stelt Maarten Simon van de Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert.

Bij het registreren van een domeinnaam worden allerlei gegevens over de houder verzameld, die via het Whois-protocol opvraagbaar zijn. Het gaat dan om zaken als telefoonnummer, adresgegevens en e-mailadres. Allerlei partijen, zoals journalisten, beveiligingsonderzoekers, opsporingsdiensten en copyrighthandhavers, maken van deze informatie gebruik.

Met de inwerkingtreding van de Algemene verordening gegevensverwerking (AVG) heeft ICANN besloten om tijdelijk het aantal velden te beperken dat via de Whois wordt getoond. ICANN is de organisatie die onder andere verantwoordelijk is voor de verdeling van ip-nummers en domeinen. Het gaat hierbij wel om regels voor generieke topleveldomeinen zoals .com, .org en .net. Topleveldomeinen van landen zoals .nl bepalen hun eigen regels.

Binnen de ICANN-gemeenschap is nu een werkgroep actief om tot een privacyvriendelijk Whois-beleid te komen. Deze groep heeft maximaal een jaar de tijd gekregen om een definitieve oplossing te presenteren. "Gezien de omvang van het project, de vele tegengestelde belangen die er spelen, het feit dat het een wereldomvattende oplossing zou moeten zijn, en het feit dat de keuzes uiteindelijk ook nog aan in ieder geval de GDPR moeten voldoen, lijkt het onwaarschijnlijk dat ze hier op tijd uit gaan komen", laat Simon weten.

Mocht er niet op tijd een oplossing komen dan zullen de oude regels gelden, wat inhoudt dat de volledige Whois-gegevens weer moeten worden gepubliceerd. Hiermee zouden Europese registries in strijd van de AVG handelen. De ICANN kan dit echter niet afdwingen, wat tot een onoverzichtelijke situatie zal leiden, merkt Simon op. De werkgroep zou het wel eens zijn over het laten vervallen van het administratief contactpersoon (admin-c).

Bij .nl-domeinen beschouwt de SIDN de admin-c als contactpersoon die de domeinnaamhouder vertegenwoordigt met betrekking tot de domeinnaamregistratie. Via de whois wordt alleen het e-mailadres van de admin-c getoond. "Wij vinden het vooral belangrijk dat een houder door derden bereikt kan worden. Dit belang weegt wat ons betreft op tegen het belang dat op deze manier een minimale inbreuk op de privacy van de houder gemaakt wordt", laat Simon weten. Hij voegt daaraan toe dat de SIDN de ontwikkelingen rond de Whois bij ICANN blijft volgen en zal blijven kijken of de data die het verzamelt en publiceert echt nodig is.

Reacties (11)
18-12-2018, 14:05 door SPer
Volgens mij is de AVG al veel eerder in werking getreden te weten : 25 mei 2016.

Dat iedereen ging afwachten totdat de inwerkperiode voorbij was en daarna beginnen te miepen, heeft men, imho, een aanzienlijke berg boter op zijn/haar hoofd .
18-12-2018, 15:10 door karma4
De gdpr noemt algemeen belang om niet anoniem als een gegronde reden van verwerking persoonsgegevens.
Controleerbaarheid op een vertrouwenwekkende registratie en benaderbaarheid bij vermoedelijk misbruik lijken me voldoende onderbouwing. De gdpr is niet bedoeld om criminelen te beschermen wel om privacy te rechtvaardigen.
18-12-2018, 16:09 door Anoniem
Door SPer: Volgens mij is de AVG al veel eerder in werking getreden te weten : 25 mei 2016.

Dat iedereen ging afwachten totdat de inwerkperiode voorbij was en daarna beginnen te miepen, heeft men, imho, een aanzienlijke berg boter op zijn/haar hoofd .

Klopt. Ik ben persoonlijk belanghebbende bij een volledig open whois. Dat maakt mijn werk (opsporen van criminele domeinen) veel makkelijker. Echter, dat gaat ten koste van de privacy van alle domeinhouders, niet alleen die van de criminelen en het is technisch gezien niet nodig want er zijn voldoende alternatieven. De eis is dat houder bereikbaar is, dat kan worden geregeld door een registrar email adres te genereren dat mail doorstuurt naar de houder. Je moet een zekere mate van spam accepteren als houder, anders kun je niet worden bereikt voor abusemeldingen.

Verder vind ik van belang dat aangegeven wordt in whois wanneer een domein in handen is gekomen van de domeinhouder. Dat is van belang voor het opsporen van malfide "bedrijven" die beweren dat ze al 10 jaar zus of zo doen, terwijl het domein een week oud is. Verreweg de meeste slechte domeinen zijn (piep-)jong, soms net geregistreerd.

Whois servers zouden voor iedereen verplicht moeten zijn, voor zowel CC's als generic TLD's. Het is niet de bedoeling om gebruik van whois servers zodanig moeilijk te maken dat ze niet praktisch bruikbaar zijn voor crimineel onderzoek. Wat SIDN doet (webwhois die niet gescript kan worden) moet niet meer mogen.

Aan iedere domeinhouder kan een ID worden toegekend waarmee te achterhalen welke domeinen een bepaald persoon of bedrijf heeft. Dat is pseudonymisering wat feitelijk ook niet toegestaan is omdat desondanks toch achterhaald kan worden wie de eigenaar is. Dus dat kan helaas niet.

De AVG is bedoeld de privacy om personen te beschermen, niet om inbreuk op de privacy te rechtvaardigen met voor de gelegenheid verzonnen "rechtvaardigingen".
18-12-2018, 16:14 door Anoniem
Door SPer: Volgens mij is de AVG al veel eerder in werking getreden te weten : 25 mei 2016.

Dat iedereen ging afwachten totdat de inwerkperiode voorbij was en daarna beginnen te miepen, heeft men, imho, een aanzienlijke berg boter op zijn/haar hoofd .

Maar SIDN had de whois al eerder dicht gezet, ik weet niet per welke datum maar volgens mij zelfs al voor 2016.
Dat was al op gespannen voet met de wereldwijde eisen aan de whois.
18-12-2018, 19:21 door Anoniem
Privacy is toch alleen voor particulieren een issue?
Als je een bedrijf bent zal niemand er een probleem mee hebben dat er in de WHOIS staat waar het bedrijf zich bevind?
18-12-2018, 20:18 door Anoniem
De SIDN is al 30 jaar als de Nederlandse Vereniging van Huisvrouwen. Een truttenclub. Terwijl ze er al langer dan 30 jaar met hun neus bovenop zitten.

Het .nl domein was notabene het eerste landen-TLD wat werd toegelaten.

Ik koop geen .nl domein meer. Tot ze eruit zijn. En dat gaat nog wel even duren, zo te horen. Misschien moeten ze nog een compromis zoeken met de Keuringsdienst van Waarden. Haha. Doei. Wilt U nog koffie, of had U al een kopje gehad. Want er zit maar één kopje koffie in het budget. Nederland.
18-12-2018, 20:58 door Anoniem
Het is toch vrij simpel. Laat de registry de gatekeeper zijn. En beoordeel per verzoek afkomstig van registreerde partijen of iemand een legitiem verzoek heeft om toegang te krijgen de whois data van het specifieke domein (en mogelijk gerelateerde domeinen) in kwestie. Niemand krijgt bulk access. En als iemand misbruik van het proces maakt trek je zijn registratie in.

De registries krijgen toch niet voor niets miljoenen per jaar.
19-12-2018, 08:42 door NonNocere
Door Anoniem:
Door SPer: Volgens mij is de AVG al veel eerder in werking getreden te weten : 25 mei 2016.

Dat iedereen ging afwachten totdat de inwerkperiode voorbij was en daarna beginnen te miepen, heeft men, imho, een aanzienlijke berg boter op zijn/haar hoofd .

Klopt. Ik ben persoonlijk belanghebbende bij een volledig open whois. Dat maakt mijn werk (opsporen van criminele domeinen) veel makkelijker.
Merkwaardig! De redenering is dus dat achteroverleunen - luiheid - tijdens het werk de standaard houding is bij deze organisatie. En burgers hebben dit te accepteren zelfs ten koste van wettelijk vastgelegde rechten!
19-12-2018, 11:25 door Anoniem
Ondertussen staat de RIPE database wel wagenwijd open, met exact dezelfde soort data.

Vergeten te anticiperen?
22-12-2018, 12:26 door Anoniem
Cloudhopper etc. vinden zo een gespreid bedje en fortinet's en andere IDS hebben volop te doen. Vooral zo doorgaan, haitai!
22-12-2018, 14:22 door Anoniem
Criminelen opsporen en gerechtvaardigde privacy bescherming staan vaak op gespannen voet met elkaar. Waarom geen duidelijkheid, wie wat host en dat schimmige hostertje van bijvoorbeeld Russian of ukranian Business Network domeinen neerhalen?
luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.