image

SIDN: datalek door verlopen domein voor 10 euro te voorkomen

donderdag 11 april 2019, 16:26 door Redactie, 16 reacties

Datalekken door verlopen domeinnamen, zoals Bureau Jeugdzorg Utrecht, advocatenkantoren en de politie overkwam, zijn voor 10 euro te voorkomen, zo stelt Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de .nl-domeinnamen beheert.

Gisteren kwam Bureau Jeugdzorg Utrecht in het nieuws omdat het een domeinnaam had laten verlopen waar nog steeds allerlei vertrouwelijke dossiers naar toe werden gestuurd. Volgens de klokkenluiders die de domeinnaam hadden geregistreerd zijn er vermoedelijk nog tientallen soortgelijke organisaties in de zorgsector die in onbruik geraakte domeinnamen hebben opgezegd. Domeinen die door anderen zijn te registreren. "Zo zijn er in de '.nl-zone' heel veel domeinnamen geregistreerd waarin de term 'jeugdzorg' voorkomt, zegt Marnie van Duijnhoven van SIDN.

De stichting adviseert dan ook om domeinnamen nooit zomaar op te zeggen. "De kans is groot dat er in de jaren erna, al dan niet bewust, nog verkeer richting een domeinnaam komt. Valt de domeinnaam in handen van iemand anders, dan komt ook dit verkeer, en daarmee de informatie die gestuurd wordt, in andermans (en soms ook verkeerde) handen. Voor een tientje per jaar wil je dit risico niet lopen", aldus Van Duijnhoven, die tevens wijst op diensten die registraties monitoren die op een bedrijfs- of merknaam lijken.

Reacties (16)
11-04-2019, 16:36 door Anoniem
Hahaha, "geef ons geld dan gebeuren datalekken niet". Oftewel, "alle domeinen die je ooit geregistreerd hebt moet je tot in de eeuwigheid der dagen verlengen anders datalek!" En zo worden die tien euro vanzelf honderden euros per jaar per organisatie, als ze maar lang genoeg meegaan en actief genoeg zijn in "de digitaal". SIDN in de bocht.

Nee, zo werkt het helaas niet. Het probleem is niet direct het verlopen domein, maar het gebrek aan beheer omtrend de naamswijziging. Dat zal onder andere inhouden dat je domeinen een paar jaar vasthoudt en kijkt wat er allemaal vanuitgaat dat het nog bestaat, en dat dan stuk voor stuk oplossen. En dat is een stukje duurder dan die tien euro.
11-04-2019, 19:55 door Anoniem
Eigenlijk zou je een .nl domein op basis van gebruik moeten kunnen betalen.
Een security.nl genereerd meer traffic op de dns servers dan kiekeboeblabla.nl, dus ander tarief erop.

Zet je een domein alleen vast als typosquatpreventie, dan tegen 1 euro het jaar ofzo.

Maak je heel .nl een stuk veiliger. Zonder hoge kosten.
11-04-2019, 20:53 door Anoniem
Door Anoniem: Hahaha, "geef ons geld dan gebeuren datalekken niet". Oftewel, "alle domeinen die je ooit geregistreerd hebt moet je tot in de eeuwigheid der dagen verlengen anders datalek!" En zo worden die tien euro vanzelf honderden euros per jaar per organisatie, als ze maar lang genoeg meegaan en actief genoeg zijn in "de digitaal". SIDN in de bocht.

Nee, zo werkt het helaas niet. Het probleem is niet direct het verlopen domein, maar het gebrek aan beheer omtrend de naamswijziging. Dat zal onder andere inhouden dat je domeinen een paar jaar vasthoudt en kijkt wat er allemaal vanuitgaat dat het nog bestaat, en dat dan stuk voor stuk oplossen. En dat is een stukje duurder dan die tien euro.
Een cooldown periode van 5 jaar voor een domein. En niet kijken wat er allemaal nog vanuit gaat dat het nog bestaat. Geen A records, geen MX records, geen CNAMEs helemaal niets. Dat wat er nog vanuit gaat dat het dan nog bestaat is dan de oorzaak van het datalek. Niet de ex- eigenaar van het domein.
11-04-2019, 21:17 door Anoniem
Door Anoniem: Eigenlijk zou je een .nl domein op basis van gebruik moeten kunnen betalen.
Een security.nl genereerd meer traffic op de dns servers dan kiekeboeblabla.nl, dus ander tarief erop.

Zet je een domein alleen vast als typosquatpreventie, dan tegen 1 euro het jaar ofzo.

Maak je heel .nl een stuk veiliger. Zonder hoge kosten.

Een .NL domeinnaam kost pakweg tussen de 4 en 15 € per jaar, waar hebben we het over.
Als je traffic gaat meten en daarop de prijs gaat betalen ben je meer kwijt aan registreren en factureren.
11-04-2019, 22:02 door Anoniem
Door Anoniem: Eigenlijk zou je een .nl domein op basis van gebruik moeten kunnen betalen.
Een security.nl genereerd meer traffic op de dns servers dan kiekeboeblabla.nl, dus ander tarief erop.

Zet je een domein alleen vast als typosquatpreventie, dan tegen 1 euro het jaar ofzo.
Zo maak je typosquatten zelf ook goedkoper. En hoe bepaal je vantevoren hoeveel verkeer een domeinnaam gaat trekken? Of liever achteraf betalen? Dat is (relatief veel) meer werk, dus duurder voor de domeinnamentent, die dat dan weer moet doorberekenen.

Maak je heel .nl een stuk veiliger. Zonder hoge kosten.
De kosten van een domeinnaam zitten niet in het verkeer.
12-04-2019, 07:36 door Anoniem
Door Anoniem: Hahaha, "geef ons geld dan gebeuren datalekken niet".

Precies mijn gedachte. Daarnaast, tunnelvisie. Er zijn nog honderdduizend andere mogelijkheden voor een datalek te verzinnen. Probleem is dat de informatievoorziening bij dit soort partijen fundamenteel anders georganiseerd moet worden. Zo lang je van e-mail afhankelijk bent voor het uitwisselen van dergelijke gevoelige informatie heb je een fundamenteel probleem.

Dit kan - en moet - heel anders en veel beter georganiseerd worden.
12-04-2019, 07:40 door Anoniem
Door Anoniem: Eigenlijk zou je een .nl domein op basis van gebruik moeten kunnen betalen.
Een security.nl genereerd meer traffic op de dns servers dan kiekeboeblabla.nl, dus ander tarief erop.

Zet je een domein alleen vast als typosquatpreventie, dan tegen 1 euro het jaar ofzo.

Maak je heel .nl een stuk veiliger. Zonder hoge kosten.

Het domein aanhouden als oplossing voor datalekken is kortzichtig en niet de oplossing. De informatiehuishouding moet anders. Daarnaast, ik denk niet dat de kosten gemaakt worden door DNS verkeer. De kosten voor het aanhouden van een domein zitten vooral in de administratieve lasten inclusief de personele kosten van SIDN (en andere TLD beheerders).
12-04-2019, 09:52 door Anoniem
Die 10 euro per jaar gaat neem ik aan ervan uit dat je een domein registreert inclusief DNS hosting.
Maar dat zou niet nodig zijn, in feite zou SIDN de dienst kunnen verkopen om een domeinnaam een X aantal jaren
te blokkeren voor nieuwe uitgifte, als eenvoudige administratieve handeling die je via een registrar aanvraagt
(om hen niet in de vingers te snijden) en waar je eenmalig voor betaalt zonder jaarlijkse verlengings ellende.

Dat is beter want als een bedrijf of organisatie failliet gaat of ontbonden wordt dan kan deze constructie de domeinnaam
beschermen zonder dat er nog activiteiten vanuit dat bedrijf of organisatie (die niet meer bestaat) nodig zijn.

Eventueel zou er ook een en ander kunnen worden vastgelegd over wie die domeinnaam dan binnen die periode
toch weer kan overnemen, bijvoorbeeld iemand die de merkenrechten gekocht heeft of een organisatie voortzet.
Dat moet wel een procedure met duidelijke criteria en menselijke beoordeling zijn zodat het niet misbruikt kan worden.
12-04-2019, 10:41 door Anoniem
Het domein aanhouden betekent dat een andere kwaadwillende dit domein niet kan overnemen. De kwaadwillende is de oorzaak van het datalek.
Dus gewoon 50 euro voor 5 jaar neerleggen en derden blijven van je oude domein af.
12-04-2019, 11:54 door buttonius
Door Anoniem: Het domein aanhouden betekent dat een andere kwaadwillende dit domein niet kan overnemen. De kwaadwillende is de oorzaak van het datalek.
Dus gewoon 50 euro voor 5 jaar neerleggen en derden blijven van je oude domein af.
Ik zou nog wel voor een poosje een (virtueel) servertje neerzetten dat email voor het oude domain accepteert (of weigert). De afzenders van zulke email (zeker als het vertrouwelijke informatie bevat) moet je vervolgens ook aanpakken.
12-04-2019, 12:51 door Anoniem
Je zou een domein moeten kunnen 'disablen', geen kosten (10 euro voor 100 jaar of zo) maar ook geen verkeer meer naar dat domein. Laat lekker resolven naar 127.0.0.1 of 0.0.0.0 en je voorkomt als organisatie een hoop ellende.
12-04-2019, 13:11 door Anoniem
De elementaire fout van dit datalek is helemaal niet het verdwijnen van een domein naam. Het gaat er om dat die data om te beginnen via het internet wordt rond gemailed.

Er bestaan binnen Nederland diverse secure mail omgevingen voor zorg instanties, waaronder Zorgmail en EZorg.Dus hoezo wordt daar geen gebruik van gemaakt?
12-04-2019, 13:21 door Anoniem
Oplossing 6 maanden in quarantaine, waarbij alle mail wordt beantwoord met een melding dat dit domein permanent is opgezegd. Wettelijk verankeren dat oa bij nieuwe domein eigenaren alle foutief geadresseerde mail moet worden verwijderd en de verzender geinformeerd.
= Opgelost
12-04-2019, 16:50 door Anoniem
Door Anoniem: Je zou een domein moeten kunnen 'disablen', geen kosten (10 euro voor 100 jaar of zo) maar ook geen verkeer meer naar dat domein. Laat lekker resolven naar 127.0.0.1 of 0.0.0.0 en je voorkomt als organisatie een hoop ellende.
Dan koopt iedere domeinhandelaar de .com en disabelen ze de .nl, om de waarde op te drijven.

Dat zou ik doen in ieder geval.
12-04-2019, 21:01 door Anoniem
Door Anoniem:
Door Anoniem: Je zou een domein moeten kunnen 'disablen', geen kosten (10 euro voor 100 jaar of zo) maar ook geen verkeer meer naar dat domein. Laat lekker resolven naar 127.0.0.1 of 0.0.0.0 en je voorkomt als organisatie een hoop ellende.
Dan koopt iedere domeinhandelaar de .com en disabelen ze de .nl, om de waarde op te drijven.

Dat zou ik doen in ieder geval.

Het is maar net hoe je dit prijsmodel neerzet.

Stel je zegt: he, jij hebt ' example.nl ', dan heb jij nu het recht alles wat lijkt op example.nl voor 10 euro eenmalig af te kopen, maar die komen wel in quarantaine dan. Als jij example.nl verkoopt moet dat mee en als je ook een zo een domein uit quarantaine wilt halen kost dat 250 euro. (zoals bv. exampIe.nl; zie jij het verschil? :)).

Dan help je 'bakkerij-t-lindje.nl' wel, want hij kan snel en doeltreffend alles wat erop lijkt meteen in 1 klap weghalen uit domeinhandelaren/spammers z'n handen.

Je helpt de typosquashers niet, want iedere kost hun klant dan teveel geld om uit quarantaine te halen, dus niemand zal het kopen.
14-04-2019, 23:36 door Anoniem
Door Anoniem: Eigenlijk zou je een .nl domein op basis van gebruik moeten kunnen betalen.
Zet je een domein alleen vast als typosquatpreventie, dan tegen 1 euro het jaar ofzo.

Dat is natuurlijk 'de facto' al zo. Een domeinnaam met website is per definitie duurder dan alleen maar een geregistreerde domeinnaam zonder toeters en bellen. Die heb je echt al voor een paar eurootjes per jaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.