Inloggen
Weblog Vereniging van Registrars
SIDN HAALT WEBSITES OFFLINE BIJ ABUSE, GOED IDEE?
24 januari 2017 om 12:33:00

De artikelen in deze weblog sectie vertegenwoordigen de persoonlijke mening van de desbetreffende schrijvers en niet altijd het standpunt van het bestuur van de Vereniging van Registrars.

 

Door Pim Effting

Hebben jullie dit nieuws ook voorbij zien komen? Europol haalt 4500 websites uit de lucht. Dit samenwerkingsverband van politiediensten is niet de enige instantie die in actie komt. De SIDN is eveneens van plan om phishingsites aan te pakken door ze offline te plaatsen. Dat lijkt allemaal goed nieuws voor de veiligheid van het internet. Maar is dat wel zo…? Er zijn meer belangen. En bij wie leg je de macht en verantwoordelijkheid?

 

Laten we vooropstellen dat websites met malware, phishing, nepartikelen of iedere andere vorm van (internet)criminaliteit zijn te betreuren. Het is een groot wereldwijd probleem dat iedereen raakt.
Bezoekers wordt potentieel geld afgetroggeld. Eigenaren van websites hebben te maken met downtime, herstelkosten en reputatieschade. Hostingproviders krijgen meldingen binnen die moeten worden verwerkt, bewaakt en afgehandeld. Niemand wordt daar blij van (behalve de crimineel).

 

Ik heb en ken geen cijfers ter onderbouwing, maar uit de praktijk bij mijn hostingbedrijf RealHosting weet ik dat een zeer groot gedeelte van de websites met malware of phishing niet doelbewust hieraan meewerken. De website wordt via een achterdeurtje gekraakt en (mede) ingezet voor criminele doeleinden. De website-eigenaar heeft hiervoor zeker geen toestemming gegeven!
Of het verwijtbaar is aan de website-eigenaar kun je over twisten. Als je wachtwoorden als “123456” of “qwerty” gebruikt ben je niet slim bezig. Hetzelfde geldt voor laks updaten van je software zoals content managementsysteem.

 

Een aanvullend probleem is dat het herstellen van een kraak soms erg lastig is. Er kan een significante periode tussen de infectie en het ontdekken hiervan zitten. Soms zelfs zo lang dat er daardoor geen back-up meer is zonder de infectie. Bovendien is het herstellen van een kraak een specialistisch klusje dat veel aandacht, tijd en dus ook geld kost. En ja, het blijft (uiteindelijk) de verantwoordelijkheid van de website-eigenaar. Het is makkelijk om “eigen schuld, dikke bult” te roepen maar vaak ontbreekt het de website-eigenaar aan voldoende voorlichting, kennis en kunde om het probleem te voorkomen. Laat staan om het op te lossen.

 

Ondertussen kiest o.a. SIDN ervoor om websites offline te halen als het ze niet snel genoeg gaat. Dit doen ze volgens zelf-opgestelde richtlijnen. Nu ben ik zelf geen jurist dus die discussie laat ik even liggen. Wel vraag ik mij af of dit is gewenst. De SIDN heb ik zelf op gebied van kennis en kunde erg hoog zitten, maar dat wil niet zeggen dat ze de aangewezen partij zijn om dit soort acties uit te voeren. Er zijn zoveel nuances en afwegingen te maken. Soms is de schade van het offline brengen van een domeinnaam bijvoorbeeld veel groter dan de schade die door de malware of phishing wordt aangebracht. Het is lastig dat de SIDN deze afwegingen maakt met mogelijk andere belangen.

 

Bedenk ook dat in de praktijk een substantieel gedeelte van de websites een vorm van (inactieve) malware of phishing bevat. Bij een beetje hostingprovider gaat dat snel om honderden of duizenden websites met (latente) infectie. Zolang de malware niet wordt geactiveerd is er ook relatief weinig overlast.
Wat als de SIDN besluit om ALLE (actieve en inactieve) abuse aan te pakken? Dat is echt een rampscenario voor hostingproviders en website eigenaren. Het is in dit geval een geluk bij een ongeluk dat de abuse-feeds van de SIDN niet zo goed werken en slechts een klein gedeelte van de malware detecteert.

 

Daarbij moet ook nog worden opgemerkt dat het maar de vraag is hoe effectief het is om websites na 114 uur offline te halen. Als ik het eigen onderzoek van SIDN mag geloven is bij phishing sites na een periode van zo’n 140 uur toch het grootste verkeer wel van de website af. Daaruit kan worden afgeleid dat schadebeperking bij bezoekers niet meer een overweging kan zijn bij het offline halen van een domeinnaam. De vraag is met welk doel de SIDN de domeinnamen uit de lucht haalt. Misbruik wordt er niet minder van, want het grootste kwaad is al geschied.

 

Graag haal ik ook nog recente wetgeving aan, namelijk de gokwet. De Tweede Kamer heeft IP blokkade bewust uit deze wetgeving gehaald omdat men vindt dat misbruik bij de bron moet worden aangepakt. Het beïnvloeden van de werking van het internet is bijzonder ongewenst. Zonder dergelijke discussies te herhalen is vrijheid en neutraliteit van het Internet iets dat we moeten bewaken en koesteren.

 

Het is ontzettend nuttig dat een partij als SIDN een bijdrage wil leveren aan de bestrijding van abuse. Met de onderzoeken in SIDN labs en ook het (actief) informeren van houders, hosters en registrars. Daarmee maakt SIDN de NL zone veiliger en daar heeft iedereen baat bij. Een stimulerende rol van de SIDN om abuse goed en snel af te handelen is daarom zeker toe te juichen.

 

Tellen we bovenstaande bij elkaar op, dan rest mij de conclusie dat de bron (website eigenaar), hosters en registrars de problemen rondom abuse onvoldoende prioriteit geven. Ook zij kunnen immers websites afsluiten die overlast tot gevolg hebben. Die macht ligt niet exclusief bij de SIDN, maar het is natuurlijk wel lekker makkelijk om die verantwoordelijkheid af te schuiven.

 

Veel registrars en hosters hanteren geen of een zeer laks beleid op gebied van abuse. Het is van groot belang om als branche dit probleem op kort termijn aan te pakken. Lossen we het probleem niet op, ontstaat vanzelf wet- en regelgeving om dit gat in te vullen. En dan zit je pas echt in de problemen met potentieel onuitvoerbare taken.

 

Laten we dus gezamenlijk op zoek gaan naar oplossingen die genuanceerder zijn dan het offline (laten) halen van volledige domeinnamen door een externe partij. Dat kan alleen als we als branche samenwerken. Ik ga daarover graag in gesprek!

Reacties
Plaats uw reactie

Er zijn 11 weblog reacties gevonden. Volgende pagina >



Deze gebruiker is momenteel niet aanwezig.
 het Secretariaat

REACTIE SIDN:

“We zijn blij te lezen dat je oproept voor meer aandacht om het groeiende abuse-probleem gezamenlijk aan te pakken. Dat past geheel bij onze visie op hoe abuse bestreden zou moeten worden.

Na het lezen van je artikel denken we dat het goed is dat we wat meer toelichten hoe SIDN in specifieke situaties optreedt. Dit geeft wat nuance op een aantal vragen en risico’s die je schetst.

Onze Policy Manager, Maarten Simon, schrijft hier momenteel een blog over, wat binnenkort gepubliceerd zal worden. De link naar dit blog zullen we z.s.m. hier plaatsen wanneer het online staat.”


Deze gebruiker is momenteel niet aanwezig.
  Buurman

Ik neem aan dat SIDN de site uit de lucht haalt door de nameservers te wijzigen of te wissen.

 

Als dit inderdaad zo is, realiseert SIDN zich dan ook dat andere services dan web onder dat domein, zoals mail en ftp, ook onbereikbaar worden?

Mail komt niet meer aan, geautomatiseerde backuptaken via ftp mislukken, etc.

 

En doet SIDN dit dan ook als er ergens onder abnamro.nl een phishing pagina staat, of gaan we dan uitzonderingsposities creëren?

 

Ook grote bedrijven kunnen gehackt worden, en als je daar helemaal de stekker uit trekt, is de schade behoorlijk hoog.

 

Hoe regel je juridisch dat SIDN daarvoor niet aansprakelijk is?

 

Kortom, hier zitten nog wel wat haken en ogen aan.

 

 


Deze gebruiker is momenteel niet aanwezig.
 J. de Haan

Ik vind het persoonlijk wel een goed idee als SIDN websites offline haalt die geinfecteerd zijn en nog steeds zijn na enkele dagen. Maar dan wel alleen de website en niet de andere services zoals MAIL/SMTP, FTP etc. Echter is dat lastig te detecteren want iemand kan zijn website wel hebben draaien onder website.domein.nl oid.

Ook is het offline halen van de DNS zone van het betreffend domein geen garantie dat er geen schade aangericht kan worden. De crimineel zou namelijk ook IP adressering kunnen gebruiken en alles buiten DNS om doen.

 

Tuurlijk zijn er altijd voors en tegens en moet er goed gekeken worden naar het hoe en wat.

Velen hebben het waarschijnlijk ook wel meegemaakt bij XS4ALL klanten waarbij de internet verbinding opeens is geblokkeerd zodra er een systeem geinfecteerd is.

 

Edit: het is de verantwoordelijkheid van de website eigenaar dat zijn Wordpress pakket (of ander pakket) up-to-date blijft. Heb je daar geen of niet genoeg kennis van dan moet je het IMHO maar overlaten aan een web hoster/ontwikkelaar die daar wel verstand van heeft.




Deze gebruiker is momenteel niet aanwezig.
 Pim Effting

Inmiddels heeft overleg plaatsgevonden tussen de VVR (waaronder ikzelf) en de SIDN over dit onderwerp. Hieruit zijn een aantal interessante discussieonderwerpen ontstaan die we gezamenlijk verder kunnen invullen.

 

Ondanks verschil van inzicht op bepaalde zaken, is het gezamenlijk belang zeer groot. We werken dan ook constructief samen naar een veiliger Internet.


Deze gebruiker is momenteel niet aanwezig.
  Bakker

Quote: "En doet SIDN dit dan ook als er ergens onder abnamro.nl een phishing pagina staat, of gaan we dan uitzonderingsposities creëren?"

Wat is de reactie van SIDN hierop?

 

Nu hoef je dus als onwillende/crimineel/concurrent, een bedrijf alleen nog maar tijdelijk met een beetje Malware te besmetten op een onbeduidend sub domein, SIDN zorgt er vervolgens voor dat het hele bedrijf echt plat gaat?
(Mits het natuurlijk een volgens SIDN niet cool genoeg bedrijf is, anders maken ze een klasse uitzondering, brrr)

 

Erg fout, vandaag nog mee stoppen!?

 


Deze gebruiker is momenteel niet aanwezig.
 Patrick van Lier

Onlangs hebben wij helaas te kampen gehad met een gehackte website van een klant met een veel gebruikte blog/website installatie. Je raadt het al: wordpress.

 

We kregen netjes van google de melding dat er ongewenste content was gevonden en aangezien we zelf al een melding van ons filter hadden gehad dat er een verdachte stijging van netwerkverkeer had plaatsgevonden hebben we het euvel al snel gevonden.

 

Het vond plaats op een zondagavond dus: site op zwart, notificatie naar de klant en maandagochtend maar direct contact opnemen. De klant helemaal in paniek over het feit dat hij net een mailing had verstuurd en dat zijn site nu echt niet uit de lucht kon.

 

Hoe het technisch in elkaar zat en hoe dit op te ruimen was wist hij echter niet, hij is per slot van rekening geen technicus maar meer graficus, en Wordpress was met 1 klik geinstalleerd zodat hij zich kon richten op de vormgeving. Opschonen ging niet (al wist hij wel hoe, kans op restanten is altijd aanwezig) dus de beste oplossing was de huidige site compleet verwijderen. 'Dan moet ik dus helemaal opnieuw beginnen!?!' was het antwoord.

 

Uiteindelijk heb ik een kopie van de site hersteld uit de backup waar de infectie (voor zover ik kon zien) nog niet aanwezig was. Ook meteen Wordpress even bijgewerkt naar de laatste versie, plugin's en thema's bijgewerkt en de ongebruikte verwijderd en de wachtwoorden van FTP en Wordpress admin aangepast.

 

Dan komt de vraag: waar ligt nu de 'schuld' en wie draait op voor deze kosten? Wij gebruiken Plesk waarin je met 1 klik een Wordpress installatie kunt uitvoeren. De klant is a-technisch en gebruikt de tools die wij hem bieden. Ook is niet 100% zeker vastgesteld dat ze via Wordpress binnen zijn gekomen (logs liggen bij de TD om na te pluizen).

 

Hier is dus al een aardige discussie op gang, maar als vervolgens ook nog kosten gemaakt moeten worden om een geblokkeerd domein weer in de lucht te krijgen (zou ik niet raar vinden, er worden immers kosten gemaakt voor de controle) dan komt dat ook nog boven op de stapel....

 

Kortom: waar liggen de verantwoordlijkheden (en de kosten die daar uit voortvloeien)?




Deze gebruiker is momenteel niet aanwezig.
 Margreth Verhulst

Beste Patrick, hoe de verantwoordelijkheden precies liggen, kan per geval verschillen. Dit is mede afhankelijk van je algemene voorwaarden en eventuele andere voorwaarden die van toepassing zijn, alsmede de omstandigheden van dit specifieke geval. Het is denk ik wel zinvol om onze leden hier wat handvaten voor aan te bieden. Ik zal deze vraag in zijn algemeenheid in ieder geval meenemen naar de Juridische Commissie. Met vriendelijke groet, Margreth Verhulst


Raymond Girbes

Abuse beslissingen moet een taak zijn van de wetgever en niet door een uitvoerder zoals SIDN die een digitale infrastructuur beheeert.


Het lijkt onschuldig maar dat is het niet als de SIDN zelfstandig beslissingen mag nemen.

 

De SIDN is geen justitie en ook geen wetgevende autoriteit. De SIDN zou uitluitend de uitvoerder moeten zijn bij abuse maar in opdracht van justitie. Uiteraard zal men bij justitie veel sneller moeten reageren (binnen 1 uur) en dit probleem serieus moeten nemen. Dus niet meer praten bij justitie maar de SIDN inschakelen in opdracht van justitie.

 

Het wordt de hoogste tijd voor een minister van Internet met goede techneuten, een jurist en een officier van justitie. Allemaal mensen die een eed moeten afleggen om ons te helpen abuse en internet criminaliteit tegen te gaan.


Deze gebruiker is momenteel niet aanwezig.
 J. de Haan

Justitie kan die taak dan misschien beter laten uitvoeren door SIDN aangezien zij veel meer kennis van de materie in huis hebben dan justitie lijkt mij.




Deze gebruiker is momenteel niet aanwezig.
 Arno Vis

Ik vind het prima dat registrars en registries samenwerken om abuse te bestrijden, maar ben absoluut tegen het offline halen van domeinnamen door SIDN.

Het is een taak van de wetgever om dit probleem op te pakken.

 

Ik zie abuse op internet als een boevenbende die een wijk onveilig maakt door in te breken. Zowel een huiseigenaar (registrar) als een buurtwacht (SIDN) mag maar beperkt optreden en dat is maar goed ook. Het is de taak van politie en justitie en de overheid als wetgevende macht om hier duidelijke richtlijnen voor op te stellen en de handhaving ter hand te nemen.

 

Regsitrars en registries kunnen de overheid daarbij ondersteunen, adviseren en pushen, maar moeten heel terughoudend zijn bij het 'eigen rechter' spelen.



Er zijn 11 weblog reacties gevonden. Volgende pagina >
Terug naar de blog van Vereniging van Registrars