4 min read

Sorry Brian

Sorry Brian

Sorry Brian, maar je bent mis!

Brian Krebs is één van de beste "security journalists" die ik ken. Ik heb de eer gehad één keer een podium met hem te delen op een security-conferentie enkele jaren terug, zijn boek Spam Nation over spammers voor illegale online apotheken is goed geschreven en was aangenaam om te lezen. Maar vandaag heef Brian het mis, en het heeft alles te maken met de GDPR.

Brian - en een aantal andere Amerikaanse security-onderzoekers - hebben begin dit jaar plots "ontdekt" dat de GDPR geen lege doos is en dat die wel degelijk in mei 2018 van kracht wordt. Ze snappen bovendien niet dat Europa dat niet even voor hen wil uitstellen (quelle idée!) en schreeuwen dus moord en brand.

En waar gaat het nu juist om? Wel, om de "whois" gegevens van domeinnamen. Bij de registratie van een domeinnaam vragen de beheerders van de extensie (bv .be voor frank.be) gegevens over je: je naam, adres, telefoonnummer, faxnummer en emailadres. In de beginjaren vond men het logisch dat die informatie publiek getoond werd, voor iedereen. Bij .com registraties was dit nog steeds zo.

GDPR

Gaandeweg werd dit bij een aantal - hoofdzakelijk Europese - domeinnamen beperkt. Onder meer .nl, .be, .eu en .fr tonen al even deze gegevens niet meer zomaar, zeker niet als het om de registratie van domeinnamen van particulieren ging. Werden registraties daardoor helemaal anoniem en kon je zomaar je ding doen zonder "vindbaar" te zijn? Tuurlijk niet! Je moet nog steeds al die gegevens bezorgen aan de beheerders van de extensie (bv aan DNS Belgium voor .be namen), maar de informatie is verborgen voor het grote publiek. Heeft er iemand echter een goede reden om je toch te contacteren over je domeinnaam, dan kunnen ze de gegevens vragen aan DNS Belgium, die geval per geval zal bekijken hoe ze de aanvraag behandelen. Dit is niet nieuw, dit is al jaren zo, tenminste voor een aantal extensies. Registreer je echter als particulier een .com naam, dan waren je gegevens nog steeds zichtbaar.

Wat nu wel nieuw is met de GDPR, is dat stillaan ook dàt verdwijnt: persoonsgegevens hoeven niet publiek te staan, dus worden ze weggehaald.

Zo haalt Brian vandaag in een tweet uit naar Google (die de .app domeinnamen beheert) en gegevens verbergt:

De domeinnaam uit het voorbeeld is voicemail.app. Als je de publieke whois gegevens ervan opvraagt, zie je van de "Registrant" (de eigenaar van de naam) enkel de bedrijfsnaam , staat en land. Geen verdere informatie.

Moord! Brand! Heiligschennis! De wereld gaat op onze kop vallen!

Want duidelijk is de privacy van burgers toch onderschikt aan het werk van security onderzoekers? Neen?

Same same, but different

Wat Brian echter niet schijnt te snappen, is dat de laatste tien jaar in Amerika een ander fenoneem opdook bij .com registraties: "anonieme of proxy registraties". De .com domeinnaam wordt bij dit systeem niet op de echte eigenaarsgegevens geplaatst, maar op naam van een anoniem bedrijf dat als enige taak heeft om registraties voor derden uit te voeren. Het gevolg: je ziet in de publieke whois enkel de gegevens van dat tussenbedrijf, niet van de eigenlijke eigenaar. Bij zowat elke grote Amerikaanse registrar is dit een gratis of goedkope optie bij de registratie van een .com domeinnaam.

Wat we zien bij heel wat security researchers en journalisten is dat velen van hen zo'n "proxy" registratie gebruiken.

Ook Brian Krebs gebruikt voor krebsonsecurity.com zo'n dienst! Noch het adres, noch het emailadres, noch het telefoonnummer, noch de naam van Brian komt voor in de registratie. Meer nog: door de manier waarop .com registraties werken, heeft ook Verisign (de tegenhanger van DNS Belgium maar dan voor .com domeinnamen) zijn contactgegevens niet. Heeft er dus iemand een geldige reden om toch de eigenaar van de domeinnaam direct te contacteren, dan kan Verisign enkel de naam van dit tussenbedrijf doorgeven. In dit geval is het een bedrijf in Canada, maar er zijn ook dergelijke bedrijven die bewust in Panama, de Seyschellen of Polynesië ingeschreven zijn.

Tucows-Domains---Whois-Result-2018-05-09-15-32-23

Uiteraard snap ik dat: ze willen namelijk niet dat hun privé-gegevens zomaar op straat liggen, ze hebben recht op privacy!

Wacht. Was dat niet net waartegen ze nu protesteerden? Hmm...

Conclusie

Sorry Brian, je bent een toffe jongen. Maar vandaag ben je mis en een beetje hypocriet! Geef toe dat je van 2016 tot 2017 de GDPR gewoon genegeerd hebt, dat ook domeinnamen van spammers in "privacy vriendelijke" zones zoals .be, .nl en .eu wel degelijk offline gehaald worden, ook zonder publieke whois gegevens en wordt op 26 mei wakker in een Internet dat niet plots vol met spam zal staan - toch niet meer dan dat vandaag het geval is.

Van het feit dat Privacy iets goed is, en dat de publieke whois-databank voor domeinnamen een overblijfsel van de beginjaren van het internet is, hoef ik je niet te overtuigen, anders had je voor je eigen naam je gegevens niet zelf verborgen.