Over .xxx en gedeelde verantwoordelijkheid

Frederik Tibau expert Digital Innovation & Growth bij Agoria

Jawel, Icann Brussels zal de annalen ingaan als de vijfdaagse waar er beslist werd over het lot van het fameuze pornodomein. Maar meer nog dan over .xxx, ging deze meeting over veiligheid en over gedeelde verantwoordelijkheid.

Jawel, Icann Brussels zal de annalen ingaan als de vijfdaagse waar er beslist werd over het lot van het fameuze pornodomein. Maar meer nog dan over .xxx, ging deze meeting over veiligheid en over gedeelde verantwoordelijkheid.

De aanvallen op het domeinnaamsysteem en de bedreigingen op het internet nemen toe, en het is de eerste keer dat er op een Icann Meeting zo’n grote consensus gegroeid is over het feit dat die problemen samen moeten worden aangepakt. Alle schakels in de ketting moeten hun duit in het zakje doen. Het heeft geen zin om in te grijpen op het niveau van de operatoren, als de agenten niet meewillen.

Natuurlijk was dit ook het congres van DNSSEC. De mensen achter .org kondigden aan dat ze als eerste commerciële partij hun domeinnamen beveiligen met de nieuwe standaard, EURid tekende de .eu rootzone, DNS.be volgt op 16 augustus, en op 15 juli worden de rootservers ‘gesignd’ met het beveiligingsprotocol. Vanaf dan kan de hele ketting, van bij de registratie bij de agent, tot op het hoogste niveau in de rootzone, gedekt worden. Waardoor criminelen het internetverkeer naar een getekende website in principe niet meer kunnen onderscheppen.

Toch is DNSSEC maar een deel van de oplossing. “Je kan nog steeds een domeinnaam registreren voor een valse banksite, die getekend is met het protocol”, aldus algemeen directeur van EURid Marc Van Wesemael. “Er is dus méér nodig. Wij werken bijvoorbeeld samen met de Anti Phishing Workgroup, die elke minuut updates publiceert over phishing sites. Als er een .eu tussen staat, dan reageren we onmiddellijk. En in het geval dat wij toch nog iets missen, dan is er nog steeds de Federal Computer Crime Unit (FCCU), waar we nauw mee samenwerken. Je kan internetcriminaliteit maar effectief bestrijden als je de handen in elkaar slaat.”

Eenzelfde geluid klinkt bij cio Richard Cox van de beveiligingsorganisatie Spamhouse. “Dit is de eerste meeting waarop de stem van de internetgemeenschap zo luid en zo coherent geklonken heeft”, zegt de Brit. “Met als resultaat dat Icann echt lijkt te beseffen dat er veel meer aandacht moet gaan naar cybersecurity. In die zin zou je de vijfdaagse zelfs gerust ‘historisch’ kunnen noemen.”

Cox maakt de vergelijking met de olievlek in de Golf van Mexico. “Er lekt heel wat rommel naar het internet, en net zoals BP het enige bedrijf is dat de olieramp kan stoppen, is Icann de enige organisatie die de macht en de autoriteit heeft om iets te doen aan de ‘vervuiling’ online.”

Lobbymachines “In het verleden werden Icann Meetings vaak volledig gedomineerd door de lobbymachines van de registrars”, gaat de cio verder. “Dit keer lijkt dat anders te zijn, en dat is maar goed ook, want in realiteit is de internetgemeenschap erg kwaad omdat er zo veel fout loopt op het world wide web. En als er te veel bloed uit een wonde gutst, dan bestaat de kans dat de patiënt sterft.”

Grote vraag is dan of er echt een DNS CERT moet komen, een ‘computer emergency response team’ dat zich volledig focust op het domeinnaamsysteem. Het is één van de stokpaardjes van Icann-ceo Rod Beckstrom.

“Als er ergens een organisatie wordt opgericht die waarschuwt voor gevaren voor de domeinnaamindustrie, dan zou dat zeker niet slecht zijn”, stelt Van Wesemael. “Ik zou zo’n DNS Cert wel liever vanuit de community zien groeien dan vanuit Icann, maar dat is een ander verhaal. Vast staat dat onze industrie dit zelf moet doen. We mogen het niet overlaten aan anderen.”

Ook Richard Cox is een voorstander van een DNS CERT, “maar het zou al leuk zijn moest Icann de huidige regels wat beter opvolgen. Na alles wat ik deze week gehoord heb, lijkt het er op dat de organisatie dat ook zelf begint in te zien. Er zijn al regels voor registrars die op malafide internetadressen stuiten. Op adressen met onvolledige WHOIS-informatie, of op sites die de fast flux techniek gebruiken.”

“Heel wat registrars negeren de WHOIS-vereisten, omdat er hen tot op heden toch niets in de weg werd gelegd. En voor hun business, maakt het allemaal niet zo veel uit. Zo lang er geen boete wordt opgelegd wanneer er niet voldaan wordt aan zoiets als de WHOIS-informatie, zal er allicht niet veel veranderen. En dus is het aan Icann om daar verandering in te brengen.”

Ernstig “De meeste registries beseffen intussen wel hoe ernstig de situatie is”, aldus nog de beveiligingspecialist, “met VeriSign (.com) als grote uitzondering. De mensen achter .org, .info, .us en .biz ondernemen actie, mét resultaat. Ze introduceren bijvoorbeeld contractuele clausules voor hun klanten. Als je een .us domein wil, dan kan je geen proxy WHOIS meer gebruiken. Anders word je uit de lucht gehaald.”

“Uiteraard blijven de registry-operatoren met elkaar concurreren, maar sommigen beseffen dat -als ze betere kwaliteit leveren- ze ook betere zaakjes kunnen doen. De bedrijven achter .com en .net blijven focussen op volume, en dat kan hen nog duur te staan komen.”

Voor Van Wesemael is het allemaal een kwestie van timing. “Hoe sneller je ingrijpt, hoe minder kwaad er geschiedt. Je kan gaan kijken naar het reseller niveau, je kan ingrijpen bij de registrars (zij kunnen bijvoorbeeld gestolen credit card gegevens aan de bron opsporen), en bij de volgende stap kom je bij ons terecht. Ook wij kijken nu na of gegevens al dan niet kloppen.”

“Spamhouses grijpen pas in als er een bewijs is van misbruik”, klinkt het nog. “En uiteindelijk beland je dan bij de magistratuur en bij de rechtbanken. Opnieuw: als er één ding duidelijk is geworden, dan wel dat er moet worden afgestapt van de hokjesmentaliteit, en dat er moet worden samengewerkt. Alle partijen dragen een gedeelde verantwoordelijkheid. Dat moet zelfs een VeriSign inzien.”

Phishing

Of België een probleem heeft, nu .be in de wereldwijde top vijf staat van de landencodes die het vaakst misbruikt worden voor phishing doeleinden?

“Dat is een groot probleem”, oppert Cox, “en er is een goede reden voor dat probleem. Het duurt veel te lang voor dat een domein uit de lucht kan gehaald worden in België. Tot dagen toe. De Avalanche-bende runt botnets via fast flux. Daar kan je enkel iets aan doen als je snel kan ingrijpen.”

“In het Verenigd Koninkrijk hebben we de registry én de agenten kunnen overhalen om een soort van ‘fast track’ te introduceren om dit probleem op te lossen. Sinds enkele maanden kunnen kwaadaardige domeinen ogenblikkelijk uit de lucht gehaald worden. DNS.be kan dat tot op heden nog niet.”

“Ik blijf het vreemd vinden, dat iedereen in de handen klapt als je vertelt dat een domeinnaam op enkele minuten tijd volledig up and running is. Maar tot voor kort stelde niemand zich vragen bij het feit dat het soms een week kan duren voor je zo’n webstek terug uit de lucht kan halen.”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content