Dårligt nyt til politi og sikkerhedsfolk: GDPR lukker ned for fri adgang til WHOIS-opslag

Domæneadministratorer kan risikere bøder på 150 millioner kroner eller 4 procent af administratorens omsætning (hvad end der er mest af de to), hvis de bryder GDPR. Illustration: teguhjatipras/Bigstock
Sikkerhedsekspert slår alarm, mens politiet slår koldt vand i blodet. Danske domæner er fortsat undtaget de nye regler.

GDPR-reglerne er trådt i kraft, og det kommer til at have store konsekvenser for den frie adgang til WHOIS-opslag.

WHOIS-databaser er indtil nu blevet brugt af sikkerhedsfolk og politimyndigheder verden over til at finde ud af, hvem der står bag hvilke domæner, men det værktøj kan snart være sat ud af spillet.

Organisationen ICANN, der står for alle topdomænerne, frygter nemlig milliardstore bøder, hvis den fortsætter med at give fri adgang til de mange oplysninger om domæneindehavere fra hele verden.

»Vi står over for et kæmpe problem - man prøver at løse et privacy-problem, men skaber et nyt sikkerhedsproblem,« siger CTO i sikkerhedsfirmaet CSIS Jan Kaastrup.

Som privat sikkerhedsmand får han ikke længere fri adgang til opslag i de enorme internationale WHOIS-databaser.

Læs også: Sikkerhedsfolk slår alarm: GDPR-nedlukning vil fjerne nøglekilde til efterforskning

»Det bliver for besværligt at bruge WHOIS-opslag, hvis der skal legitimation til for hvert opslag. Ofte er der jo tale om ekstremt mange domæner på én gang,« siger en frustreret Jan Kaastrup og fortsætter;

»Det gør det lige en tak nemmere at være kriminel på internettet.«

Fremover vil det, teoretisk set, kræve legitimation at få kontaktoplysninger på folk bag diverse internationale domæner. Præcis hvilken legitimation, der skal fremvises, er uvist, men der kan eksempelvis være tale om en dommerkendelse.

Og hvis det er sådan en, der kræves, bliver det helt umuligt for private firmaer at søge informationerne.

Langt de fleste aktører vil dog fortsat indsamle de mange data, skriver ZD-Net. Dette inkluderer registrantinformationer samt kontaktoplysninger på administrator og de teknisk ansvarlige.

Men det meste data vil ikke længere være offentligt tilgængeligt.

Kan føre til mindre opklaringsprocent

Jan Kaastrup fortæller også, at færre opslag vil betyde, at sikkerhedsfirmaer som CSIS vil anmelde færre kriminelle til politiet. Og det vil sænke opklaringsprocenten på cyberkriminalitet, vurderer Jan Kaastrup.

Den køber den operative chef for Nationalt Cybercrime Center, Niels Sørensen, ikke.

»Selvfølgelig får vi noget ind fra de private aktører og har et vis tsamarbejde, men jeg tror ikke, det vil påvirke vores opklaringsprocent mærkbart, hvis de private aktører ikke længere får adgang til denne form for opslag som hidtil,« siger Niels Sørensen.

Heller ikke Jan Kaastrups bekymring for, at der opstår en flaskehals hos politiet, nu da sikkerhedsfirmaer risikerer at trække sig ud af dele af efterforskningen, deler Niels Sørensen.

»Det er kritisk i forhold til, at det giver os mere arbejde. Men de præcise konsekvenser kender vi endnu ikke,« siger Niels Sørensen, der ser tiden an.

Kan afsløre kriminelle mønstre

Databaserne har allerede frem til GDPR haft udtalte svagheder. Eksempelvis kan man opgive forkerte kontaktoplysninger eller slet og ret oprette domæner anonymt via diverse tjenester.

Men gør man det, er man indtil nu automatisk blevet mistænkeliggjort af sikkerhedsfirmaerne, fortæller Jan Kaastrup og uddyber;

»På den måde har det ikke kun været et værn mod det onde, men også et værktøj for folk med legitime domæner, som ønskede at demonstrere deres legitimitet ved at indtaste de nødvendige kontaktoplysninger i WHOIS-registre.«

Derudover kan WHOIS bruges til at kortlægge kriminelle mønstre.

»Når man finder et ondsindet domæne, er noget af det første, man gør, at undersøge, hvilke domæner der ellers administreres af den samme gruppe,« siger Jan Kaastrup.

På den måde kan ét broddent kar afsløre mange flere, og det hjælper sikkerhedsfolkene til at gennemskue, hvor det næste angreb eller scam kommer til at udfolde sig.

Nye regler gælder ikke danske domæner

Mens de nye regler slår ned på frit tilgængelige persondata på internettet, hvilket WHOIS-databaserne netop består af, slipper den danske WHOIS-database for regulering.

Også selvom den principielt gør sig skyldig i de samme overtrædelser af GDPR.

Det gør den, fordi national lovgivning kan gå ind og blokere for GDPR-reglerne. Og det er netop tilfældet i Danmark.

»Selvom vi fortsat kan søge i danske registre og de fleste registreringer frem til nu, vil databaserne over tid blive mere og mere hullede,« forklarer Jan Kaastrup.

Europol arbejder på løsning

Selvom det danske politi og NC3 slår koldt vand i blodet, er WHOIS-diskussionen nået til toppen af de europæiske politiorganisationer.

Niels Sørensen fortæller, at man i Europol sidder med hovederne i blød for at sikre, at adgangen til diverse WHOIS-registre opretholdes, samtidig med at der tages hensyn til GDPR.

»Man sidder lige nu og prøver at gennemgå lovgivningen, for at se om man kan få de to parter (GDPR og interessen i at kunne slå op i et fuldstændigt register, red.) til at spille sammen, eller om den ene skal flytte sig,« siger Niels Sørensen.

Derudover er flere EU-lande ifølge Jan Kaastrup i gang med at overveje, om man skal have den samme lovgivning som i Danmark, så opslagene på lokale domæner fortsat er lovlige dér.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Man har i mange år kunnet købe anonymitet og mange har gjort det, så det er ikke noget nyt.

Men hvorfor skal folk ikke have lov til at være anonyme som standard? Så kan man vælge at offentliggøre sine oplysninger, hvis man fx vil fremstå mere troværdig.

Ja, det er træls for politiet, men de er trods alt til for os borgere. Det omvendte kalder man en politistat.

  • 18
  • 0
René Nielsen

Derfor ser jeg ikke noget problem i at det bliver besværligt for politiet eller selvbestaltede politifolk som såkaldte sikkerhedsfirmaer at opnå tilgang til disse data. Tværtimod ser jeg det som garanti for en retsstat, at politiet skal have et mistankegrundlag af en vis styrke, før politiet kan få adgang til disse data.

Hvis jeg nu ville drive en ”Swinger club” på nettet hvor man kunne købe og sælge seksuelle ydelser eller man kunne købe sig adgang til et kæmpe gang-bang i romersk imperatorstil, var det ikke sikkert at jeg havde lyst stå med navns nævnelse i et offentligt register således at jeg blev et evigt mål for selvretfærdige moralske personers hadekampagner.

Jeg ville bruge en stråmand til at stå i whois og det tror jeg også at andre ville. Især hvis man har kriminelle hensigter.

Hvis der derimod som udgangspunkt var lukket for offentlig adgang uden en dommerkendelse, ville jeg ikke se noget behov for en stråmand, til mine lovlige aktiviteter. Dermed ville kvaliteten af whois registeret stige.

Denne barnlige tro på at skidtfolk vil oplyse deres rigtige navn og adresse, forekommer mig fjernt.

  • 10
  • 0
John Madsen

Jeg har haft navne- og adressebeskyttelse i flere år udelukkende for at skjule min email, postadresse og telefonnummer i whois-opslag, hvilket i øvrigt er ret besværligt i mange andre henseender.
Kunne være skønt hvis dkhostmaster fulgte ICANNs eksempel og stoppede med at udstille deres kunders privatoplysninger, og jeg kunne slippe for at skulle forny det, næste gang det nærmer sig udløb.

  • 6
  • 0
Christian Nobel

.. er DK Hostmaster er privat firma, for hvilket der gælder fuldstændig samme GDPR regler som alle andre.

At politikerne så har lavet en rævestreg, så det offentlige kan samkøre registre og lave Stasiregistrering af borgernes gøren og laden er en anden (og absolut ikke smukkere) sag.

  • 8
  • 0
Bjarne Nielsen

... er DK Hostmaster er privat firma, for hvilket der gælder fuldstændig samme GDPR regler som alle andre.

De henviser til "domæneloven", og mon ikke det er pgf. 18 de tænker på? Her står sjovt nok den sædvanlige sang om, at det kun gælder "når anden lov ikke siger andet" (og det er sikkert herfra at undtagelsen om navnebeskyttelse kommer).

Her kommer jeg til kort i forhold til mit tæt på ikke-eksisterende juridisk kompetance-niveau, for vi risikerer vel at komme ud i noget om det generelle og det specifikke, og om afvejning af modsatrettede interesser. Og om dette er et område, hvor GDPR tillader nationale særregler.

Men jeg har personligt svært ved at se, hvordan de kan mene, at insisterende viften med domæneloven alene kan give dem en blanco-check. Argumentet må være længere end det.

  • 7
  • 0
Christian Nobel
  • 0
  • 0
Hans Nielsen

gælder så bare ikke hvis man har et .dk domæne,


Som jeg så ikke har, men af andre grunde,
Men lads os da få lukket ned for de data, også i Danmark. Hvis man har brug for oplysninger, så kan man komme forbi en dommer. Man kan også lukke en side, uden at kende ID på ejeren.

Hvis man er kriminel, så er en falsk ID nok det mindste problem!
Har de fanget personer, med de Kinesiske piratkopi butikker ?
De har vel bare mødt op ved dem som er registreret i WHOIS :-)

Det her er gentagne FUD fra myndigheder.

Til Myndigheder og Politiker.
Se dog at få overholdt den lovgivning der er i EU, ellers arbejde for at vi skal ud af EU. Hvis i ikke ønsker at overholde lovene i fællesskabet ?

https://www.version2.dk/artikel/sikkerhedsfolk-slaar-alarm-gdpr-nedlukni...

  • 4
  • 0
Robert Winther

Det virker dybt ulogisk på mig, at jeg kan få hemmeligholdt mit telefonnummer blot ved at kontakte mit teleselskab.

Men hvis jeg vil have hemmeligholdt et domæne skal jeg have hemmelig adresse (med alle de besværligheder og følgevirkninger det har).

Hvis CSIS undlader at politianmelde alene fordi de ikke kan se hvem der har registreret et domæne der er involveret i kriminel aktivitet, så bør CSIS genoverveje deres procedurer.

  • 3
  • 0
Mogens Bluhme

De fleste vil anskue ovennævnte absurd. Men holder analogien ikke? Panama papers afslører behovet for transparens og det er grundlæggende imod internettets idé at skjule sig hvis man har et offentligt (og altså ikke privat) virke.

Hvad sker der ved offentligt tilgængelig information? Well - der findes suspekte registranter, som forsøger at high-jacke domæner ved at sende emails til domæneejere, når domænet er ved at udløbe men hvor det i virkeligheden er et forsøge på at overtage. Det vil jeg mene er ens eget ansvar men man kunne også vælge at lade en provider stå for det.

Der er dog mange uheldige dobbeltroller, som ikke borger for gennemskueligheden af interesser. Man kan både være hostingprovider, domæneadministrator og registrant samtidig. Sådan én ville jeg aldrig vælge af hensyn til uafhængighed.

Man kunne overveje om sikkerhedsfirmaer skulle have en generel adgang. Hertil kunne man kræve en certificering. Men det kunne virke konkurrenceforvridnde for start-up's af slagsen.

Man kan imidlertid også anlægge samme betragtning på RIPE-information. Hvor går grænsen? Kan man påberåbe sig privacy med et offentligt virke?

Der er i hvert fald nogle skidte knægte, som næppe kan få armene ned ved udsigten til at kunne skjule identiteten bag lyssky aktiviteter.

  • 2
  • 1
René Nielsen

Der er i hvert fald nogle skidte knægte, som næppe kan få armene ned ved udsigten til at kunne skjule identiteten bag lyssky aktiviteter.


Du tror ikke at skidtfolk allerede skjuler deres identitet ved f.eks. stråmænd eller blot falsk information om registranten?

Det der vås med at hvis man ikke har noget skjule … så har man heller ikke noget frygte.

I Sverige og Norge lægges skattelister ud og det har givet anledning til nye typer af chikane hhv. kriminalitet. I Sverige har kriminelle brugt skattelisterne til at udpege de rigtige ofre og til beregning af løsesum ved bortførsel.

I Norge har det udviklet sig til regulært fjendskab imellem naboer når naboen stikker den anden nabo til det norske skattevæsen, for ”det kan ikke passe at han ikke skal betale mere i skat når han kører i en stor bil og bor i et flot hus”.

Problemet med disse lister som whois – er at de både kan bruges og misbruges og jeg ser ikke noget galt at jeg bestemmer over mine oplysninger.

Hvis du vil se et datamisbrug, så log på borger.dk for dig selv og check listen over de firmaer som abonnenter på dine CPR oplysninger.

Nej der skal lukkes ned for den slags og jo mere jo bedre.

  • 4
  • 0
Log ind eller Opret konto for at kommentere