Sikkerhedsfolk slår alarm: GDPR-nedlukning vil fjerne nøglekilde til efterforskning

Illustration: teguhjatipras/Bigstock
Nye persondataregler står til at ulovliggøre offentlige WHOIS-registre. En katastrofe, siger sikkerhedsekspert.

De offentlige WHOIS-registre, der lister personer bag domæner, er på direkte kollisionskurs med EU's databeskyttelsesforordning, GDPR. Hvis parterne ikke bliver enige om en løsning, vil sikkerhedsfolk miste en central datakilde.

»Jeg synes, det er en helt forkert retning,« siger Jan Kaastrup, der er CTO og partner i sikkerhedsfirmaet CCIS.

Læs også: Udenlandske registranter skal bevise deres identitet for at få danske domæner

»Det her er en nøglekilde til efterforskning i mange brancher og i sikkerhedsprodukter, og det fjerner man, hvis WHOIS ikke længere er offentligt tilgængeligt,« fastslår han.

Det er den internationale internetkustode ICANN, der kræver, at domæne-data offentliggøres i WHOIS-registre. Men i en afgørelse fra Hollands datatilsyn – og i en juridisk vejledning, ICANN har bestilt – fremgår det, at et offentligt WHOIS-register ikke kan eksistere under GDPR.

ICANN arbejder derfor på en ny model for adgang til WHOIS-data. Men modellen er ikke blevet godkendt af EU-Kommissionen, der i flere år har haft problemer med WHOIS-systemets manglende privacy.

Danmarks WHOIS-register går fri

Alt imens er deadlinen for GDPR – 25. maj – kun kommet nærmere. Og ICANN har da også meddelt, at man ikke vil sende jurister efter internet-registranter, der lukker ned for WHOIS-data, for at leve op til EU-reglerne.

Men det har altså konsekvenser for sikkerhedsfolk, der beskæftiger sig med it-kriminalitet.

»Vi bruger det ikke bare til at fange kriminelle, men lige så meget til at verificere legitime oplysninger. Og det ville være en katastrofe, hvis man gjorde de informationer utilgængelige,« siger Jan Kaastrup.

»Tag danskebank.it som eksempel. En af de måder, hvorpå vi rent faktisk kan finde ud af, om det er et legitimt site, eller om det et phishing-site, er ved at slå WHOIS-informationer op.«

Ifølge et blogindlæg fra DK-Hostmaster kommer GDPR ikke til at ændre WHOIS-praksis hos den danske domæne-administrator. I Danmark kræver Lov om internetdomæner særskilt, at informationen er offentlig – og den bestemmelse trumfer altså GDPR.

Spam og phishing vil stige

CCIS’ Jan Kastrup er ikke ene om at se problemer i at miste WHOIS som informationskilde.

Den prominente sikkerhedsblogger Brian Krebs opfordrede for nylig i en række tweets sikkerhedsfolk til at protestere mod ændringerne.

»Om få måneder vil volumen af spam, phishing og stort set enhver form for cyberkriminalitet være steget betydeligt. Nye privacy-regler fra EU kommer til at fjerne det absolut mest brugbare værktøj, som sikkerhedseksperter og -forskere har til rådighed: WHOIS,« skriver han på Twitter.

Læs også: 100 dage tilbage: Her er en GDPR-guide til junglen af ændringer i databeskyttelse

En af løsningerne, som ICANN har foreslået – og som har fået opbakning fra Electronic Frontier Foundation – er, at adgang til WHOIS kun skal ske med retskendelse.

På den måde kan politimyndigheder stadig få adgang til data. Men løsningen overser, at ordensmagten får mange sager serveret af private sikkerhedsselskaber, pointerer Brian Krebs.

»Når det ikke længere er muligt, gæt hvad der så sker,« skriver han.

Falske oplysninger er oplysende

Flere pointerer over for Brian Krebs, at kriminelle ikke skriver korrekt information i registrene. Men det betyder ikke, at data ikke kan bruges, bemærker sikkerhedsbloggeren.

Læs også: Tjeneste til anonymiseret domæneregistrering: Vi ejer domænet

Det samme fortæller Jan Kaastrup:

»De kriminelle bruger meget ofte anonymiseringstjenester til at oprette domæner, og så er WHOIS-oplysningerne falske. Men det kan så rejse et rødt flag på et givent domæne, som dem, der ønsker et højt niveau af tillid, kan bruge som datapunkt,« siger han og tilføjer:

»WHOIS er heldigvis ikke den eneste kilde, vi har, men det er trods alt en vigtig informationskilde.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Mon ikke vi kommer til at en del af disse "vi plejer at kunne, men det må vi ikke længere"-historier. Der kan man sætte sig ned og begynde at græde, eller man kan tænke i alternativer.

Der er intet til hinder for, at domæner kan have en bekræftet identitet - vi ser det allerede andre steder, f.eks. med verificerede twitter-konti (som vi i øvrigt kan se, at Brian Krebs twitter konto må være). Og mon ikke at Danske Bank både er vigtig nok og selv har en interesse i at deres domæner er bekræftede af f.eks. en WHOIS record?

Så find et bedre eksempel.

Ændringen er ikke, at alle nu skal være anonyme - ændringen er, at det nu ikke længere er alle, som skal stå frem med navn - og for sådan nogle som mig - med privatadresse. Det er ikke et forbud imod en WHOIS database.

PS: Jeg er bekendt med DK-HOSTMASTERs holdning.

  • 6
  • 9
Jan Ferré

Det er lidt sørgeligt, at GPDR på denne måde bruges til at skære alle over én kam: De, der ønsker at registrere et domæne, ønsker vel basalt set at dette domæne skal være offentligt tilgængeligt - om det så er for at levere en webtjeneste eller en mail-tjeneste. Og dermed ønsker de at offentliggøre deres domænes navn. Jeg kan ikke se noget galt i, at den person, der ønsker at have et sådant domæne, afkræves nogenlunde verificerede oplysninger, og at disse oplysninger offentliggøres.
Man kan så diskuttere om det er en anakronisme, at whois-tjenesten ønsker at registrere denne slags oplysninger på en person frem for på et firma.

Noget andet er klienter, der ønsker at tilgå tjenester. De skal efter min mening kunne regne deres oplysninger som private - i det omfang, de ikke frivilligt giver oplysninger til de tjenester, de tilgår.

  • 2
  • 4
Hans Nielsen

Jeg kan ikke se noget galt i, at den person, der ønsker at have et sådant domæne, afkræves nogenlunde verificerede oplysninger, og at disse oplysninger offentliggøres.


Jeg kan se rigtigt mange grund til ønskes om at være annonym.

Jan kan da godt forstår at din bageopskrifter måske ikke er så kontroversiel. Men andre mennesker kan med god grund have noget at skjule. Så de og deres familie ikke kan findes så nemt. Om det er på nettet eller på facebook, og det behøver ikke at være ulovligt. (i Danmark)

  • Som opfordringer til demonstration mod Tyrkiet.

  • Oplysninger eller "nedgørelse" af andre lande som Tyrkiet, Rusland,..

  • Oplysning, fora eller sider om ikke vanila sex.

  • ....

  • 8
  • 2
Martin Andersen

Helt enig med Helge Svendsen og Hans Nielsen.

Det giver ikke mening at lige præcis registrering af domæne navne er noget som skal være kendt af alle i hele verden. Det er alt andet lige ikke normalt at individers køb eller abonnementer på den måde skal udstilles for omverden.

Men det giver fin mening at DK-hostmaster har de oplysninger internt, som de så kan udlevere til f.eks. politiet i forbindelse med en konkret efterforskning men ellers holder hemmeligt.

Som det er i dag kan man som registrant kun få skjult ens navn og adresse fra whois på .dk domæner ved at ansøge kommunen om adressebeskyttelse. Og den ansøgning skal fornys manuelt hvert år.

  • 7
  • 0
Henning Wangerin

Man behøver ikke et domæne for at have en webside

Korrekt.

Men hvis man gerne vil ha en fornuftig adresse til sin website er det lidt svært at komme uden om at have sit eget domæne.

Hvem husker ikke de mystiske adresser man fik med sin gamle tdc eller cybercity forbindelse? Det give sgu ingen mening i nutiden at skulle ha siden liggende på http://vip.cybercity.dk/~cc46742/

Eller den ultimative grund til at have sit eget domæne:
Mail-adresser som IKKE skifter fordi man skifter internet-udbyder eller udbyderen lukker ned eller bliver solgt.
Lukker min mail-udbyder ned, eller laver de lort i opsætningen, flytter jeg bare et andet sted hen. Den adresse som står på mit visitkort bliver ikke ændret af det. Helt ligesom mit telefon-nummer som jeg kan portere rundt mellem diverse udbydere når jeg bliver træt af den gamle.

/Henning

  • 8
  • 0
Hans Nielsen

Men nu er domæner jo ikke rettet mod private og deres kattevideoer.


Hvilken tid lever du i, og hvilken styreform går du ind for siden du vil bestemme hvad jeg skal bruge MIT domæne til.

Og domæner er så meget mere end hjemmesider, for mange det mindst vigtige.

Vi andre anderledes tænkende, og måske mere fritænkende mener nok at nettet skal bruges anderledes, som til lige det man vil. Et domaine behøves ikke at have en hjemmeside, det kan bruges til en helt del mere.
Og det er op til ejeren selv at tage vare om det.

Og så tror jeg også ,at Youtube har fået en god forretning ud af deres domæne, selv om det også består af kattevideoer fra private.

https://www.youtube.com/results?search_query=top+20+funniest+cat+videos+

  • 6
  • 0
Jesper Lund

PS: Jeg er bekendt med DK-HOSTMASTERs holdning.

DK Hostmaster vil selvfølgelig henvise til domænelovens § 18, som siger at registrantens navn m.v. i whois skal være offentlig tilgængelig. I bemærkningerne til domæneloven henvises der til "international best practice". Lidt ironisk eftersom det nu ikke længere er praksis at offentliggøre disse personoplysninger i whois. Det ændrer selvfølgelig ikke ved at domænelovens § 18 kræver offentliggørelse.

Men det interessante spørgsmål, som DK Hostmaster glemmer at stille, er om domænelovens § 18 er i overensstemmelse med EU-retten.

Hvis man ser på bemærkningerne til § 18 er der ikke rigtig nogen begrundelse for at whois skal være frit tilgængelig udover "jamen, det gør man i den store verden" (nej, ikke længere) og en uklar formulering i pkt. 2.1.4.5 om at "den gældende lov er baseret på åbenhed". Altså igen, sådan har vi altid gjort, foruden et spagt ønske om åbenhed.

Mht. "åbenhed" argumentet er de forenede sager C-92/09 og C-93/09 (Schecke) interessant.

Efter dommens præmis 80-85 kan et ønske om åbenhed, uanset at dette måtte være et legitimt formål, ikke automatisk få forrang over for andre rettigheder, for eksempel beskyttelse af retten til privatliv og personlige oplysninger.

I denne sammenhæng skal man også huske at Schecke-sagen handler om offentliggørelse af landbrugsstøtte (potentielt store og måske i visse tilfælde omstridte beløb), hvor den legitime samfundsmæssige interesse for åbenhed må være større end interessen i at det skal udstilles hvor domæneregistrant NN bor.

Der er er selvfølgelig en vis mulighed for at undgå offentliggørelse af registrantoplysninger i § 18, men som andre har skrevet i tråden er det enormt besværligt, og det ændrer ikke ved at domænelovens § 18 er baseret på "åbenhed" som forrang og intet andet, og slet ikke nogen proportionalitetsvurdering af hensynet til åbenhed i forhold til det indgreb i grundlæggende rettigheder, som foretages med § 18.

Jesper Lund
Formand, IT-Politisk Forening

  • 8
  • 1
Lars Skovlund

Hvilken tid lever du i, og hvilken styreform går du ind for siden du vil bestemme hvad jeg skal bruge MIT domæne til.


For det første er det ikke dit domæne (domænelovens § 3. Internetdomæner, der særligt tildeles Danmark, tilhører den danske stat.). For det andet, Domæneklagenævnet giver sig selv en del at skulle have sagt med hensyn til om du bruger dit (dvs. statens) domæne til http-trafik eller ej. Så tiden kunne meget vel være... i dag.

kilder:
https://www.retsinformation.dk/eli/lta/2014/164
https://www.version2.dk/artikel/klagenaevn-konfiskerer-html-fri-domaener...

  • 2
  • 6
Johan Johansen

Oprettede for et stykke tid siden et domæne med endelsen TECH og sjovt nok fik man en "gave" 30 dages "anonymitet" (en eller anden organisation i Australien stod som registrant). Der var naturligvis også et tilbud om at få det efter de 30 mod en betaling. Jeg gjorde ikke brug af dette tilbud, men går udfra, at dem der har "brug" for at "gemme" sig allerede har gjort brug af den slags muligheder ? Bare et gæt :)

  • 0
  • 0
Christian Nobel

Men det interessante spørgsmål, som DK Hostmaster glemmer at stille, er om domænelovens § 18 er i overensstemmelse med EU-retten.

Nu har DK Hostmaster jo i det hele taget en meget speciel måde at lave lov fortolkninger på.

Eksempelvis kræver det at et domæne nu skal "NemID valideres" (det er nemlig enormt sikkert at jeg bestiller et papkort til firmaet, og logger ind via det), selv om der er tale om et "kunde" forhold som har varet i dekader - pludselig skal der valideres.

Og prøver man at diskutere det med DK Hostmasters "jurist", kommer der hele tiden cirkelkonklusioner ud af det - som fuldstændig er opfundet af DK Hostmaster, ikke i lov om digitalt signatur, eller de garantier der blev udstedt at Helge Sander og Charlotte Sahl-Madsen.

Det ville være rart hvis deres monopol blev brudt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere