Door Named: Tja, iedereen kan vrij domeinnamen registreren, en er is geen controle op bijna-dezelfde namen. [...] Iemand zou nieuwe domeinnamen kunnen controleren of ze veel lijken op bekende of populaire diensten [...] Dan maak je het hackers al een heel stuk moeilijker.
Die route is al vaker voorgesteld, maar die is m.i. kansloos om meerdere redenen.
1) Een naam is een "alias" voor een entiteit - een potentieel nietszeggend identificerend gegeven. Als jouw achternaam "Hitler" is, kun je jouw zoon desgewenst "Adolf" noemen. Het gaat dan immers niet om
dezelfde persoon (die alsnog om oorlogsmisdaden vervolgd zou moeten worden). Dit geldt ook voor domeinnamen die in andere handen vallen. Linksom of rechtsom wil je weten naar
welke entiteit een alias verwijst, bij website-domeinnamen
wie voor die website verantwoordelijk is. Dat blijkt te vaak niet uit de domeinnaam.
2) Je kunt aan een domeinnaam vaak niet zien wat de intenties van de huurder zijn. Een domeinnaam zoals "
facebook-complaints·com" kan van iemand zijn die klachten over Facebook verzamelt, of (later) worden gebruik om te suggereren dat je daar kunt klagen over (bijv. pesten op) Facebook, waarbij de huurder je laat inloggen met jouw Facebook wachtwoord (en eventuele 2FA-code) en zo jouw account kaapt.
3) Als iemand
nl-secure·com of
misecure·com (*) registreert, zegt dat niets. De huurder van zo'n domeinnaam kan vervolgens naar believen subdomeinen creëren, zoals
rabobank.nl-secure·com. "Stom" of niet, mensen trappen daar in.
4) Er bestaat een levendige handel in "geparkeerde" domeinnamen - die vaak worden "witgewassen". Dat doen half-criminele parkeerders door absurde en/of bewust misleidende subdomeinnamen te registreren (en daar "brave" websites achter te stoppen). Vaak worden daar ook duizenden certificaten voor uitgegeven. Twee voorbeelden van idiote domeinnamen: "
sberbank.yandex.ozon.pay.notexistskwid9.amourethenwife·top" en "
git.git.git.git.git.login.joomla-agentur-pforzheim·de. Die laatste is te vinden in
https://crt.sh/?Identity=joomla-agentur-pforzheim.de&deduplicate=Y - met foutmelding omdat het er teveel zijn om weer te geven. Opmerkelijk is dat er op 2024-02-03 minstens 1515 domeinnamen eindigend op
.joomla-agentur-pforzheim·de achter 104.21.6.105 van Cloudflare te vinden waren).
5) In browsers en/of besturingssystemen zijn "trusted root certificates" opgenomen. Er bestaat een toezichthouder die CSP's (Certificate Service Providers) en CA's (Certificate Authorities) erop aanspreekt als zij onterecht certificaten uitgeven of zich op andere wijze niet aan de overeengekomen regels houden. Helaas is die organisatie een slager die diens eigen vlees keurt (met Google die de meeste stemmen in dat CA/B forum heeft opgeëist). Wat, in elk geval in theorie, wél kan, is dat je zelf rootcertificaten blokkeert en/of toevoegt. Een vergelijkbaar systeem
voor domeinnamen is niet standaard aanwezig in browsers en/of besturingssystemen (uitgezonderd firewalls maar daar schiet je te weinig mee op, zie de volgende twee punten).
6) Steeds vaker "zitten" websites, zowel authentieke als neppe, achter CDN's (zoals Cloudflare en Fastly). Bovendien kunnen er "achter" één IP-adres duizenden websites "zitten". Het blokkeren van IP-addressen of zelfs -reeksen
ís mogelijk, maar lijdt tot zeer veel valspositieven: meestal worden dan ook legitieme websites geblokkeerd.
7) Cybercriminelen verzinnen voortdurend nieuwe domeinnamen en/of verhuizen hun websites naar andere IP-adressen (soms dagelijks). Dat maakt blokkeren met een firewall zinloos, omdat je voortdurend achter de feiten aanloopt.
(*) Een heel erg foute club die al heel lang actief is zonder dat die domeinnaam wordt afgenomen, met naast de "grappige" subdomeinnaam "
evilginx.misecure·com", maar bijv. ook (bron: de sectie "
Subdomains (6.5 K)" in het "RELATIONS" tabblad van
https://www.virustotal.com/gui/domain/misecure.com/):
mijnservices785787498.misecure·com
mijnaccesshgfhb.misecure·com
d-h-l.misecure·com
postvak.misecure·com
ubuntu20.misecure·com
icscards.misecure·com
netlfix.misecure·com
cmomgeving.misecure·com
sec-update.misecure·com
binanceapp.misecure·com
mijnics-veriificatie.misecure·com
adminsupport.misecure·com
kvksleutelomgeving.misecure·com
weblogin-access.misecure·com
actualisatieformulierbv.misecure·com
Door Named: Wat IP's betreft, dit is prima in mijn ogen. [...] Eventueel aanhoudend misbruik behoort wel door autoriteiten aangepakt te worden, maar Rusland heeft daar lak aan of geen tijd voor.
Daarmee worden criminelen nog meer richting CDN's en Big Tech cloud hosting (Google, Amazon, Microsoft, LeaseWeb, Rackspace, OVH etc.) gedwongen, en die treden ook steeds minder op tegen cybercriminelen.
Het is noodzakelijk dat internetters, voor (voor hen) risicovolle websites, kunnen vaststellen wie daar verantwoordelijk voor is. Naast dat het totaal niet schaalt om elke internetter dit zelf te laten uitzoeken, wordt dat,
online,
opzettelijk onmogelijk gemaakt.
Dit probleem kan alleen worden opgelost met vertrouwde en betrouwbare derde partijen, die namens internetters, met duidelijk kenbaar gemaakte betrouwbaarheid, de
traceerbare identiteit van de verantwoordelijke voor een website vaststellen en in een digitaal ondertekend document opnemen. Dat is
precies waar digitale certificaten voor bedoeld zijn.
Een domeinnaam bevat, in steeds meer gevallen, onvoldoende informatie om de identiteit van de verantwoordelijke voor een website vast te stellen. Daardoor kun je die entiteit niet (laten) vervolgen als zij of hij jou belazert. Dit maakt het internet
onnodig steeds onveiliger.