Reportage

Dårligt nyt til politi og sikkerhedsfolk: GDPR lukker ned for fri adgang til WHOIS-opslag

6. juni 2018 kl. 05:1112
Dårligt nyt til politi og sikkerhedsfolk: GDPR lukker ned for fri adgang til WHOIS-opslag
Illustration: teguhjatipras/Bigstock.
Sikkerhedsekspert slår alarm, mens politiet slår koldt vand i blodet. Danske domæner er fortsat undtaget de nye regler.
person
Mads Lorenzen
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Mads Lorenzen
Journalist

GDPR-reglerne er trådt i kraft, og det kommer til at have store konsekvenser for den frie adgang til WHOIS-opslag.

WHOIS-databaser er indtil nu blevet brugt af sikkerhedsfolk og politimyndigheder verden over til at finde ud af, hvem der står bag hvilke domæner, men det værktøj kan snart være sat ud af spillet.

Organisationen ICANN, der står for alle topdomænerne, frygter nemlig milliardstore bøder, hvis den fortsætter med at give fri adgang til de mange oplysninger om domæneindehavere fra hele verden.

»Vi står over for et kæmpe problem - man prøver at løse et privacy-problem, men skaber et nyt sikkerhedsproblem,« siger CTO i sikkerhedsfirmaet CSIS Jan Kaastrup.

Artiklen fortsætter efter annoncen

Som privat sikkerhedsmand får han ikke længere fri adgang til opslag i de enorme internationale WHOIS-databaser.

»Det bliver for besværligt at bruge WHOIS-opslag, hvis der skal legitimation til for hvert opslag. Ofte er der jo tale om ekstremt mange domæner på én gang,« siger en frustreret Jan Kaastrup og fortsætter;

»Det gør det lige en tak nemmere at være kriminel på internettet.«

Fremover vil det, teoretisk set, kræve legitimation at få kontaktoplysninger på folk bag diverse internationale domæner. Præcis hvilken legitimation, der skal fremvises, er uvist, men der kan eksempelvis være tale om en dommerkendelse.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Og hvis det er sådan en, der kræves, bliver det helt umuligt for private firmaer at søge informationerne.

Langt de fleste aktører vil dog fortsat indsamle de mange data, skriver ZD-Net. Dette inkluderer registrantinformationer samt kontaktoplysninger på administrator og de teknisk ansvarlige.

Men det meste data vil ikke længere være offentligt tilgængeligt.

Kan føre til mindre opklaringsprocent

Jan Kaastrup fortæller også, at færre opslag vil betyde, at sikkerhedsfirmaer som CSIS vil anmelde færre kriminelle til politiet. Og det vil sænke opklaringsprocenten på cyberkriminalitet, vurderer Jan Kaastrup.

Den køber den operative chef for Nationalt Cybercrime Center, Niels Sørensen, ikke.

»Selvfølgelig får vi noget ind fra de private aktører og har et vis tsamarbejde, men jeg tror ikke, det vil påvirke vores opklaringsprocent mærkbart, hvis de private aktører ikke længere får adgang til denne form for opslag som hidtil,« siger Niels Sørensen.

Heller ikke Jan Kaastrups bekymring for, at der opstår en flaskehals hos politiet, nu da sikkerhedsfirmaer risikerer at trække sig ud af dele af efterforskningen, deler Niels Sørensen.

»Det er kritisk i forhold til, at det giver os mere arbejde. Men de præcise konsekvenser kender vi endnu ikke,« siger Niels Sørensen, der ser tiden an.

Kan afsløre kriminelle mønstre

Databaserne har allerede frem til GDPR haft udtalte svagheder. Eksempelvis kan man opgive forkerte kontaktoplysninger eller slet og ret oprette domæner anonymt via diverse tjenester.

Artiklen fortsætter efter annoncen

Men gør man det, er man indtil nu automatisk blevet mistænkeliggjort af sikkerhedsfirmaerne, fortæller Jan Kaastrup og uddyber;

»På den måde har det ikke kun været et værn mod det onde, men også et værktøj for folk med legitime domæner, som ønskede at demonstrere deres legitimitet ved at indtaste de nødvendige kontaktoplysninger i WHOIS-registre.«

Derudover kan WHOIS bruges til at kortlægge kriminelle mønstre.

»Når man finder et ondsindet domæne, er noget af det første, man gør, at undersøge, hvilke domæner der ellers administreres af den samme gruppe,« siger Jan Kaastrup.

På den måde kan ét broddent kar afsløre mange flere, og det hjælper sikkerhedsfolkene til at gennemskue, hvor det næste angreb eller scam kommer til at udfolde sig.

Nye regler gælder ikke danske domæner

Mens de nye regler slår ned på frit tilgængelige persondata på internettet, hvilket WHOIS-databaserne netop består af, slipper den danske WHOIS-database for regulering.

Også selvom den principielt gør sig skyldig i de samme overtrædelser af GDPR.

Det gør den, fordi national lovgivning kan gå ind og blokere for GDPR-reglerne. Og det er netop tilfældet i Danmark.

»Selvom vi fortsat kan søge i danske registre og de fleste registreringer frem til nu, vil databaserne over tid blive mere og mere hullede,« forklarer Jan Kaastrup.

Europol arbejder på løsning

Selvom det danske politi og NC3 slår koldt vand i blodet, er WHOIS-diskussionen nået til toppen af de europæiske politiorganisationer.

Niels Sørensen fortæller, at man i Europol sidder med hovederne i blød for at sikre, at adgangen til diverse WHOIS-registre opretholdes, samtidig med at der tages hensyn til GDPR.

»Man sidder lige nu og prøver at gennemgå lovgivningen, for at se om man kan få de to parter (GDPR og interessen i at kunne slå op i et fuldstændigt register, red.) til at spille sammen, eller om den ene skal flytte sig,« siger Niels Sørensen.

Derudover er flere EU-lande ifølge Jan Kaastrup i gang med at overveje, om man skal have den samme lovgivning som i Danmark, så opslagene på lokale domæner fortsat er lovlige dér.

Fokus
Emner
12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
René Nielsen
6. juni 2018 kl. 13:20

Der er i hvert fald nogle skidte knægte, som næppe kan få armene ned ved udsigten til at kunne skjule identiteten bag lyssky aktiviteter.

Du tror ikke at skidtfolk allerede skjuler deres identitet ved f.eks. stråmænd eller blot falsk information om registranten?

Det der vås med at hvis man ikke har noget skjule … så har man heller ikke noget frygte.

I Sverige og Norge lægges skattelister ud og det har givet anledning til nye typer af chikane hhv. kriminalitet. I Sverige har kriminelle brugt skattelisterne til at udpege de rigtige ofre og til beregning af løsesum ved bortførsel.

I Norge har det udviklet sig til regulært fjendskab imellem naboer når naboen stikker den anden nabo til det norske skattevæsen, for ”det kan ikke passe at han ikke skal betale mere i skat når han kører i en stor bil og bor i et flot hus”.

Problemet med disse lister som whois – er at de både kan bruges og misbruges og jeg ser ikke noget galt at jeg bestemmer over mine oplysninger.

Hvis du vil se et datamisbrug, så log på borger.dk for dig selv og check listen over de firmaer som abonnenter på dine CPR oplysninger.

Nej der skal lukkes ned for den slags og jo mere jo bedre.

  • more_vert
    • insert_linkKopier link
11
Mogens Bluhme
6. juni 2018 kl. 12:37

De fleste vil anskue ovennævnte absurd. Men holder analogien ikke? Panama papers afslører behovet for transparens og det er grundlæggende imod internettets idé at skjule sig hvis man har et offentligt (og altså ikke privat) virke.

Hvad sker der ved offentligt tilgængelig information? Well - der findes suspekte registranter, som forsøger at high-jacke domæner ved at sende emails til domæneejere, når domænet er ved at udløbe men hvor det i virkeligheden er et forsøge på at overtage. Det vil jeg mene er ens eget ansvar men man kunne også vælge at lade en provider stå for det.

Der er dog mange uheldige dobbeltroller, som ikke borger for gennemskueligheden af interesser. Man kan både være hostingprovider, domæneadministrator og registrant samtidig. Sådan én ville jeg aldrig vælge af hensyn til uafhængighed.

Man kunne overveje om sikkerhedsfirmaer skulle have en generel adgang. Hertil kunne man kræve en certificering. Men det kunne virke konkurrenceforvridnde for start-up's af slagsen.

Man kan imidlertid også anlægge samme betragtning på RIPE-information. Hvor går grænsen? Kan man påberåbe sig privacy med et offentligt virke?

Der er i hvert fald nogle skidte knægte, som næppe kan få armene ned ved udsigten til at kunne skjule identiteten bag lyssky aktiviteter.

  • more_vert
    • insert_linkKopier link
10
Robert Winther
6. juni 2018 kl. 12:01

Det virker dybt ulogisk på mig, at jeg kan få hemmeligholdt mit telefonnummer blot ved at kontakte mit teleselskab.

Men hvis jeg vil have hemmeligholdt et domæne skal jeg have hemmelig adresse (med alle de besværligheder og følgevirkninger det har).

Hvis CSIS undlader at politianmelde alene fordi de ikke kan se hvem der har registreret et domæne der er involveret i kriminel aktivitet, så bør CSIS genoverveje deres procedurer.

  • more_vert
    • insert_linkKopier link
9
Hans Nielsen
6. juni 2018 kl. 11:58

gælder så bare ikke hvis man har et .dk domæne,

Som jeg så ikke har, men af andre grunde, Men lads os da få lukket ned for de data, også i Danmark. Hvis man har brug for oplysninger, så kan man komme forbi en dommer. Man kan også lukke en side, uden at kende ID på ejeren.

Hvis man er kriminel, så er en falsk ID nok det mindste problem! Har de fanget personer, med de Kinesiske piratkopi butikker ? De har vel bare mødt op ved dem som er registreret i WHOIS :-)

Det her er gentagne FUD fra myndigheder.

Til Myndigheder og Politiker. Se dog at få overholdt den lovgivning der er i EU, ellers arbejde for at vi skal ud af EU. Hvis i ikke ønsker at overholde lovene i fællesskabet ?

https://www.version2.dk/artikel/sikkerhedsfolk-slaar-alarm-gdpr-nedlukning-vil-fjerne-noeglekilde-efterforskning-1084804

  • more_vert
    • insert_linkKopier link
6
Bjarne Nielsen
6. juni 2018 kl. 11:09

... er DK Hostmaster er privat firma, for hvilket der gælder fuldstændig samme GDPR regler som alle andre.

De henviser til "domæneloven", og mon ikke det er pgf. 18 de tænker på? Her står sjovt nok den sædvanlige sang om, at det kun gælder "når anden lov ikke siger andet" (og det er sikkert herfra at undtagelsen om navnebeskyttelse kommer).

Her kommer jeg til kort i forhold til mit tæt på ikke-eksisterende juridisk kompetance-niveau, for vi risikerer vel at komme ud i noget om det generelle og det specifikke, og om afvejning af modsatrettede interesser. Og om dette er et område, hvor GDPR tillader nationale særregler.

Men jeg har personligt svært ved at se, hvordan de kan mene, at insisterende viften med domæneloven alene kan give dem en blanco-check. Argumentet må være længere end det.

  • more_vert
    • insert_linkKopier link
5
Christian Nobel
6. juni 2018 kl. 10:16

.. er DK Hostmaster er privat firma, for hvilket der gælder fuldstændig samme GDPR regler som alle andre.

At politikerne så har lavet en rævestreg, så det offentlige kan samkøre registre og lave Stasiregistrering af borgernes gøren og laden er en anden (og absolut ikke smukkere) sag.

  • more_vert
    • insert_linkKopier link
4
John Madsen
6. juni 2018 kl. 10:01

Jeg har haft navne- og adressebeskyttelse i flere år udelukkende for at skjule min email, postadresse og telefonnummer i whois-opslag, hvilket i øvrigt er ret besværligt i mange andre henseender. Kunne være skønt hvis dkhostmaster fulgte ICANNs eksempel og stoppede med at udstille deres kunders privatoplysninger, og jeg kunne slippe for at skulle forny det, næste gang det nærmer sig udløb.

  • more_vert
    • insert_linkKopier link
3
René Nielsen
6. juni 2018 kl. 09:35

Derfor ser jeg ikke noget problem i at det bliver besværligt for politiet eller selvbestaltede politifolk som såkaldte sikkerhedsfirmaer at opnå tilgang til disse data. Tværtimod ser jeg det som garanti for en retsstat, at politiet skal have et mistankegrundlag af en vis styrke, før politiet kan få adgang til disse data.

Hvis jeg nu ville drive en ”Swinger club” på nettet hvor man kunne købe og sælge seksuelle ydelser eller man kunne købe sig adgang til et kæmpe gang-bang i romersk imperatorstil, var det ikke sikkert at jeg havde lyst stå med navns nævnelse i et offentligt register således at jeg blev et evigt mål for selvretfærdige moralske personers hadekampagner.

Jeg ville bruge en stråmand til at stå i whois og det tror jeg også at andre ville. Især hvis man har kriminelle hensigter.

Hvis der derimod som udgangspunkt var lukket for offentlig adgang uden en dommerkendelse, ville jeg ikke se noget behov for en stråmand, til mine lovlige aktiviteter. Dermed ville kvaliteten af whois registeret stige.

Denne barnlige tro på at skidtfolk vil oplyse deres rigtige navn og adresse, forekommer mig fjernt.

  • more_vert
    • insert_linkKopier link
2
Jacob Pind
6. juni 2018 kl. 08:51

gælder så bare ikke hvis man har et .dk domæne, der dækker dkhostmaster ind under at den lokale lov siger de skal sætte denne data til friet skue.

  • more_vert
    • insert_linkKopier link
1
Simon Mikkelsen
6. juni 2018 kl. 08:19

Man har i mange år kunnet købe anonymitet og mange har gjort det, så det er ikke noget nyt.

Men hvorfor skal folk ikke have lov til at være anonyme som standard? Så kan man vælge at offentliggøre sine oplysninger, hvis man fx vil fremstå mere troværdig.

Ja, det er træls for politiet, men de er trods alt til for os borgere. Det omvendte kalder man en politistat.

  • more_vert
    • insert_linkKopier link