image

ICANN: Systeem voor toegang Whois-data pas in december

vrijdag 16 maart 2018, 15:50 door Redactie, 7 reacties

Een accreditatiesysteem waarmee beveiligingsonderzoekers, journalisten, opsporingsdiensten en bepaalde andere derde partijen toegang tot whois-gegevens van domeinnamen kunnen krijgen zal waarschijnlijk pas in december gereed zijn, zo hebben ICANN-functionarissen laten weten.

ICANN is de organisatie die onder andere verantwoordelijk is voor de verdeling van ip-nummers en domeinen. Whois-gegevens bevatten allerlei informatie over de eigenaar van het domein, zoals telefoonnummer, adresgegevens en e-mailadres. De informatie is eenvoudig op te vragen. Eind vorig jaar bepaalde de Autoriteit Persoonsgegevens dat het onbeperkt openbaar maken van whois-gegevens niet is toegestaan.

In aanloop naar de nieuwe Europese privacywetgeving GDPR heeft ICANN besloten om bepaalde informatie uit de whois niet meer te laten zien. Allerlei partijen, zoals journalisten, beveiligingsonderzoekers, opsporingsdiensten en copyrighthandhavers, maken van deze informatie gebruik. ICANN heeft echter een accreditatiesysteem voorgesteld waarmee wordt geregeld dat deze partijen toch toegang tot de whois-gegevens krijgen.

Tijdens een ICANN-bijeenkomst afgelopen donderdag lieten functionarissen weten dat het accreditatiesysteem waarschijnlijk pas in december van dit jaar gereed is. Zelfs als ICANN deze deadline haalt, kan het nog maanden duren voordat de honderden registrars wereldwijd het nieuwe systeem doorvoeren. In de tussentijd kunnen bijvoorbeeld onderzoekers en securitybedrijven geen whois-gegevens gebruiken bij het onderzoeken van scams, botnets en andere dreigingen, zo meldt it-journalist Brian Krebs.

Bestuursleden van ICANN hebben Europese privacytoezichthouders gevraagd om tijdelijk niet aan de nieuwe privacywetgeving te voldoen totdat het accreditatiesysteem is geïmplementeerd. ICANN heeft echter nog geen antwoord gekregen en verschillende personen die de ICANN-bijeenkomst bijwoonden stelden dat Europese privacytoezichthouders dergelijke verzoeken zelden toestaan.

Reacties (7)
16-03-2018, 18:15 door Anoniem
Krebs is gewoon een sensatieblogger. Helaas is ICANN't ongeveer van hetzelfde allooi.
18-03-2018, 13:48 door Anoniem
Hoop dat ze het WHOIS zsm afsluiten. Publiekelijk whois info beschikbaar stellen is niet veilig. Er wordt misbruik gemaakt door criminelen en iedereen met internet toegang.

Kwaadwillenden, stalkers etc kunnen wanneer deze een van de volgende kenmerken: naam, telefoon nummer, email adres, plaatsnaam, straat naam, etc weten door simpel weg te googelen meteen al deze kenmerken vinden. Dan hoef je nog niet eens te weten of jouw doelwit een website heeft en welke. Er zijn talloze scrapers die alle .com whois informatie kopieren en doorzoekbaar publiceren. Danzij dat soort lieden komen jouw (alle eerder genoemde) prive gegevens op straat, dan wel google te liggen.

Ik had een kennis die als zelfstandige ging werken in de zorg, eenmanszaakje opgestart bij de kvk. Daar koos ze voor een handelsnaam die haar voor en achternaam bevatte plus een toevoeging. Daar had ze verder niet echt lang bij stil gestaan.

Gevolgen: Haar privacy volkomen vernietigt dankzij de KVK die
er voor kiest om alle info te publiseren, dus naam, adres, telefoonnumer, emailadres. Terwijl mijn kennis een geheimadres had. Toch ligt al haar info op straat. Btw nummer ligt door de verplichting dit op je website te vermelden ook op straat, maar bij zzpers is dat gewoon je bsn nummer.

Kwaadwillenden hebben dankzij WHOIS diensten en dankzij de KVK een fantastische kans om info te vinden en te misbruiken voor bv identiteitsfraude. Dat is schandelijk!

Ik vind dat de KVK geen prive woon adressen meer zou mogen publiceren, zonder toestemming niet in ieder geval en geheim adressen al helemaal niet. Schandalig dat de KVK geen gehoor wou geven haar adres geheim te houden. Ze heeft zich een jaar later uitgeschreven, maar haar "geheime" adres zwerft nog veelvuldig op internet. Goudengids, bedrijvengids, etc etc. Allemaal ongevraagd zonder toestemming copypasten ze prive gegevens (uit whois en kvk) om geld te kunnen verdienen aan advertenties. Pff walgelijk.

Mijn kennis zit op facebook en af en toe op dating sites, bizar hoe vaak ze na 1 swipe op haar geheime 06 nummer wordt benaderd. Allemaal dankzij, haar naieviteit, maar vooral dankzij WHOIS, KVK & google diensten die geld verdienen aan het schenden van haar privacy.

Ik hoop slightly offtopic, dat er tegen de sleepwet wordt gestemd. Want de bizar grote database die de aivd gaat maken zal natuurlijk ook worden gehackt. Het is nl. een veel te grote honeypot. Hackers uit de gehele wereld kunnen met een goedkoop pctje en 15 usd sofware al hun slag slaan. Het is onuitsluitbaar dat die database niet super snel gehackt gaat worden dan wel musbruikt zal worden door interne medewerkers. De criminele infiltranten staan al te trappelen. Waanzij die WIV wetgeving, zelfs de gestapo was niet zo extreem stasistisch.
18-03-2018, 22:57 door Anoniem
WHOIS data zou alleen voor opsporingsinstanties beschikbaar moeten zijn en verder niemand.

Het slaat toch nergens op als je veilig wil e-mailen met bv je huisarts of hypotheekverstrekker en je daar S/MIME voor gebruikt, je een domeinnaam nodig hebt en vervolgens je volledige privé adres voor de gehele wereld inzichtelijk is...?
19-03-2018, 00:01 door Anoniem
Door Anoniem: Kwaadwillenden hebben dankzij WHOIS diensten en dankzij de KVK een fantastische kans om info te vinden en te misbruiken voor bv identiteitsfraude. Dat is schandelijk!
En het is niet schandelijk dat mensen de wet niet kennen als ze een domein registreren of een bedrijfje starten? Geen moeite doen om de wet te kennen en de regels door te nemen voor je je persoonsgegevens verstrekt is laakbaar. Maar de wet geeft de mogelijkheid om zo te handelen, tegen de kosten van de gevolgen van je onderneming. Ook heeft het delen van de informatie een doel, De verantwoordelijke van een domein of onderneming in het publieke domein hoort ook vooraf na te trekken te zijn. Ondernemers die zichzelf verborgen willen houden hebben genoeg mogelijkheden om hun privegegevens te beschermen door het kiezen van een goed vestigingsadres of organisatievorm. Ook is het bij veel domeinen mogelijk om je adres via een privacymerk te registeren. Ondernemen is niet alleen maar nemen. Je klaagzang gaat aan mij voorbij.
19-03-2018, 09:30 door Anoniem
Door Anoniem: Hoop dat ze het WHOIS zsm afsluiten. Publiekelijk whois info beschikbaar stellen is niet veilig. Er wordt misbruik gemaakt door criminelen en iedereen met internet toegang.

Kwaadwillenden, stalkers etc kunnen wanneer deze een van de volgende kenmerken: naam, telefoon nummer, email adres, plaatsnaam, straat naam, etc weten door simpel weg te googelen meteen al deze kenmerken vinden. Dan hoef je nog niet eens te weten of jouw doelwit een website heeft en welke. Er zijn talloze scrapers die alle .com whois informatie kopieren en doorzoekbaar publiceren. Danzij dat soort lieden komen jouw (alle eerder genoemde) prive gegevens op straat, dan wel google te liggen.

Maar ook onderzoekers maken er vollop gebruik van. Het blijkt keer op keer dat criminelen niet alleen lui zijn, maar ook dom. Een fout is altijd wel gemaakt bij de registratie van een domein. En op die manier zijn al veel scammers en spammers ontdekt.

Ik had een kennis die als zelfstandige ging werken in de zorg, eenmanszaakje opgestart bij de kvk. Daar koos ze voor een handelsnaam die haar voor en achternaam bevatte plus een toevoeging. Daar had ze verder niet echt lang bij stil gestaan.

Gevolgen: Haar privacy volkomen vernietigt dankzij de KVK die er voor kiest om alle info te publiseren, dus naam, adres, telefoonnumer, emailadres. Terwijl mijn kennis een geheimadres had. Toch ligt al haar info op straat. Btw nummer ligt door de verplichting dit op je website te vermelden ook op straat, maar bij zzpers is dat gewoon je bsn nummer.

De KvK kiest er niet voor. Die is wettelijk verplicht de gegevens van alle ingeschreven bedrijven te publiceren. Zodat jij kunt controleren of dat bedrijf waar jij via Marktplaats iets koopt, wel echt bestaat.

Ik vind dat de KVK geen prive woon adressen meer zou mogen publiceren, zonder toestemming niet in ieder geval en geheim adressen al helemaal niet. Schandalig dat de KVK geen gehoor wou geven haar adres geheim te houden. Ze heeft zich een jaar later uitgeschreven, maar haar "geheime" adres zwerft nog veelvuldig op internet. Goudengids, bedrijvengids, etc etc. Allemaal ongevraagd zonder toestemming copypasten ze prive gegevens (uit whois en kvk) om geld te kunnen verdienen aan advertenties. Pff walgelijk.

Als je je inschrijft bij de KvK hoor je te weten wat ze met die gegevens doen. Als jij niet wilt dat jouw geheime adres bekend is, regel je een kantooradres. Dat is eenvoudig genoeg. Verwar de wettelijke plicht van de KvK niet onbekendheid bij je kennis.

Ik hoop slightly offtopic, dat er tegen de sleepwet wordt gestemd. Want de bizar grote database die de aivd gaat maken zal natuurlijk ook worden gehackt. Het is nl. een veel te grote honeypot. Hackers uit de gehele wereld kunnen met een goedkoop pctje en 15 usd sofware al hun slag slaan. Het is onuitsluitbaar dat die database niet super snel gehackt gaat worden dan wel musbruikt zal worden door interne medewerkers. De criminele infiltranten staan al te trappelen. Waanzij die WIV wetgeving, zelfs de gestapo was niet zo extreem stasistisch.

De kans op hacken van die database acht ik lager dan bij de NSA, gezien de neiging van de NSA om allerlei louche bedrijfjes als onderaannemer in in schakelen. Dat doen we hier beter. Maar uiteindelijk zal ook deze database openbaar worden.

Maar er zijn meer redenen om tegen de sleepwet te stemmen. Zoals ongefilterd doorgeven van informatie. In alle interviews zeggen de voorstanders dat het niet gebeurt, dat oninteressante informatie wordrt verwijderd, maar de wet zelf zegt duidelijk iets anders. De mogelijkheid bestaat en dat de huidige personen bij AIVD dat misschien niet willen doen, betekent niet dat ze niet over een jaar een reden hebben om het wel te doen. Dan krijgt Turkeye gewoon de telefoongesprekken van iedere anti-Erdogan Turk in bijvoorbeeld Leiden. Of Israel die van iedere Palestijn in Groningen.

Peter
19-03-2018, 09:52 door Anoniem
Door Anoniem: WHOIS data zou alleen voor opsporingsinstanties beschikbaar moeten zijn en verder niemand.
Vind ik niet. Wel denk ik dat er teveel informatie in staat.

Voor een organisatie is het heel redelijk dat naam en locatie erinstaan. Je weet dan bijvoorbeeld in welke jurisdictie je het zoeken moet. En contactinformatie, zeg email voor het gemak en telefoon als out-of-band, is ook wel nuttig. (Toen TPC nog bestond kon je naar veel landen gratis faxen vanaf email; dan is fax als out-of-band optie erg handig.) De database is dan ook ontstaan voor en door techneuten, zodat ze elkaar konden helpen als er dingen misgaan. Maar waarom daar bijvoorbeeld ook "administrative" contactinfo in staat, dat lijkt me meer iets tussen domeinhouder en registrar.

Maar om nou te zeggen, iedereen is prive, alle organisaties ook, dus alleen politie en justitie mogen in de WHOIS database kijken, nee, dat gaat te ver.

Het slaat toch nergens op als je veilig wil e-mailen met bv je huisarts of hypotheekverstrekker en je daar S/MIME voor gebruikt, je een domeinnaam nodig hebt en vervolgens je volledige privé adres voor de gehele wereld inzichtelijk is...?
Dan zie je dus dat je niet klakkeloos het ene met het andere moet verbinden. Jij niet, maar ook als systeemontwerper niet.

Voorbeeldje waarom je redenering zo ondermaats is: Het zou het technisch vrij simpel zijn om een organisatie op te zetten die voor een paar euro per jaar een S/MIME subcertificaat uitdeelt. Mischien zelfs met IMAP inbox erbij. Dus om jouw naam uit de WHOIS te houden hoef je niet een wereldwijd systeem van domeinbeheer op z'n kop te zetten.
19-03-2018, 12:51 door Anoniem
Door Anoniem: Als je je inschrijft bij de KvK hoor je te weten wat ze met die gegevens doen. Als jij niet wilt dat jouw geheime adres bekend is, regel je een kantooradres. Dat is eenvoudig genoeg. Verwar de wettelijke plicht van de KvK niet onbekendheid bij je kennis.
Ben ik niet met je oneens. Wel denk ik dat er het een en ander te verbeteren is, bijvoorbeeld aan de verschillende en inelkaargrijpende verplichtingen. En wellicht ook het makkelijke doorverkopen dat dan weer enorme hoeveelheden "aanbiedingen" en andere ongevraagde rommel oplevert.

Ik hoop slightly offtopic, dat er tegen de sleepwet wordt gestemd. Want de bizar grote database die de aivd gaat maken zal natuurlijk ook worden gehackt.[...]
De kans op hacken van die database acht ik lager dan bij de NSA,
"Hacken" betekent niets, dus kun je alles er wel onderschuiven. Het is dan ook vooral een sensatieterm uit de bezigheidstherapie die voor veel geld als "computer security" verkocht wordt. Met als direct gevolg dat alle risicoanalyses bij voorbaat al betekenisloos zijn. Bijvoorbeeld:

Probeer die stelling maar eens hard te maken. Dan moet je beginnen met een aanvalsmodel verzinnen waar je dan een risicoanalyse op kan loslaten. En dan merk je heel snel dat je die hele term "hacken" gewoon niet kan gebruiken want het dekt geen enkele lading, zeker niet eenduidig. Er is altijd wel iemand die zegt "maar het betekende toch wat anders?" of "heb je dat andere gat dan niet meegenomen?" en dan moet je model overnieuw en je risicoanalyse ook.

gezien de neiging van de NSA om allerlei louche bedrijfjes als onderaannemer in in schakelen. Dat doen we hier beter.
Anders, niet noodzakelijkerwijs beter. Er wordt hier ook enorm gebeund, af en toe ook zichbaar buiten de eigen dienst.

Maar er zijn meer redenen om tegen de sleepwet te stemmen.
Dat zeker. Alleen al de leugens, de voorwendsels, en de valse beloftes. Daar zouden meer wetten op afgeschoten moeten worden. En politici op ontslagen moeten worden, die ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.