Uit de lucht halen van domeinnamen door SIDN (deel2)

SIDN probeert met haar activiteiten bij te dragen aan een beter internet voor iedereen: vrij en open, maar ook veilig en betrouwbaar. Onderdeel daarvan is een veilige en betrouwbare .nl-zone. SIDN kiest er daarbij bewust voor om te doen wat ze kan doen in plaats van alleen te doen wat ze verplicht is te doen.

In mijn vorige blog heb ik laten zien waarom we bij SIDN een Notice-and-Take-Down-regeling kennen en met welke waarborgen dat omkleed is. SIDN haalt als last resort domeinnamen uit de zone die gebruikt worden voor het publiceren van onmiskenbaar onrechtmatige of strafbare content. Het gaat dan om take downs op verzoek van derden. Maar SIDN haalt ook domeinnamen op eigen initiatief uit de lucht. En we denken er zelfs over om dit uit te breiden.

Take down op initiatief van SIDN in het kader van Abuse204.nl

Onlangs hebben we aangekondigd dat we ook domeinnamen op eigen initiatief uit de lucht gaan halen. Dit gebeurt in het kader van het zogenaamde Abuse204.nl-programma (Abuse to zero for .nl). Hierbij waarschuwen we op basis van informatie van een gespecialiseerde partij houders, registrars en hosters dat een .nl-domeinnaam betrokken is bij de verspreiding van malware of phishing en verzoeken we hen actie te ondernemen.

Gemiddelde levensduur malafide sites flink ingekort

We zijn dit programma in 2014 gestart. En hoewel we dit niet alleen aan onze inspanningen moeten toerekenen, hebben we vastgesteld dat sindsdien de gemiddelde levensduur van dit soort abuse onder het .nl-domein is gedaald van ongeveer 200 naar 24 uur. In zo’n 70% van alle meldingen die we uitsturen, wordt de malware of de phish dankzij de goede samenwerking tussen de betrokken partijen binnen 24 uur verwijderd. Deels worden besmettingen op verder gewone websites aangepakt, bij een ander deel wordt de hele content offline gehaald en deels worden domeinnamen uit de zone gehaald.

Wij grijpen in bij het uitblijven van actie door betrokken partijen

Hoewel wij snel actie ondernemen richting de betrokkenen en zij hier over het algemeen snelle opvolging aan geven, blijft helaas een klein gedeelte van de abuse-sites ook na enkele dagen nog steeds ongewijzigd in de lucht. Heel vervelend, omdat de malware en phishes al die tijd slachtoffers kunnen maken. Voor SIDN reden om te besluiten om 114 uur nadat zij de eerste melding aan alle betrokken partijen verstuurd heeft zelf in te grijpen. Het enige wat we in zo’n situatie zelf nog kunnen doen, is de domeinnaam uit de zone halen. Dit hebben we sinds december 2016 40 keer moeten doen.

Zorgvuldige werkwijze

Zoals gezegd, gebeurt dit niet zomaar. We gaan hierbij zorgvuldig te werk. In alle gevallen zijn er meerdere berichten verstuurd naar het abuse-adres of andere contactadressen van zowel de houder van de domeinnaam, de hoster en de registrar met het verzoek om actie te nemen. Ook hebben we waar mogelijk de betrokkenen nagebeld. Voordat we de domeinnaam uit de lucht halen, controleren we bovendien via een andere bron of de malware of phish er inderdaad nog is. Daarnaast vindt een controle plaats om vast te stellen of het uit de lucht halen van de website niet onevenredige schade toebrengt. Dit laatste blijkt in de praktijk gelukkig nooit het geval. De meldingen en de opvolging daarvan doen eigenlijk altijd hun werk.

Doorlooptijd blijven inkorten

Vooralsnog hanteren we dus een hele voorzichtige termijn van 114 uur. Bekend is dat bijvoorbeeld phishing-aanvallen het grootste deel van slachtoffers maken in de eerste paar uur. Om het programma effectiever te maken, willen we in de toekomst de doorlooptijd dan ook verder inkorten. Tegelijkertijd gaat het altijd om een stok achter de deur. We behalen het grootste effect doordat betrokkenen zelf nog eerder op onze berichten reageren en waar mogelijk hun verantwoordelijkheid nemen.

Toekomstmuziek: domeinnamen gebruikt voor phishes nog sneller herkennen

Inmiddels werkt het SIDN Labs-team (www.sidnlabs.nl) aan slimme methoden die op basis van een hele set aan parameters snel een risicoprofiel voor de registratie van een domeinnaam kunnen bepalen. Dit gebeurt op basis van data die we als registry verwerken. Hiermee kunnen we in de toekomst houders, registrars en hosters nog sneller en beter informeren en waar nodig zelf actie ondernemen.

Trends ontdekken

Wat we bijvoorbeeld regelmatig zien is dat domeinnamen specifiek geregistreerd worden voor bijvoorbeeld phishing of malwarebesmettingen (zoals ransomware). Zo zagen we pas dat er telkens domeinnamen van nep-transportbedrijven geregistreerd werden die gebruikt werden om ransomware te verspreiden. Op enig moment herkennen we zo’n trend. Het mag duidelijk zijn dat de volgende 100 domeinnamen met het woord ‘transport’ erin, in ieder geval verdacht zijn.

Nu is dit een vrij snel herkenbaar patroon. Maar SIDN Labs is in staat om veel minder eenvoudig te herkennen patronen te signaleren. Hierdoor kunnen we van bepaalde nieuw geregistreerde domeinnamen met een zekere mate van waarschijnlijkheid voorspellen dat ze voor narigheid gebruikt gaan worden. Een voorbeeld hiervan is het nDEWS-systeem dat uitrekent of het DNS-verkeer dat we voor een nieuw geregistreerde domeinnaam een afwijkend patroon heeft. Een ander voorbeeld is het JTIE-systeem waarbij we dreigingsinformatie uitwisselen met de Fraudehelpdesk.

Ingrijpen voordat schade aangericht kan worden

We zijn er nog niet uit hoe we deze informatie precies gaan gebruiken. Aan de ene kant is er ten slotte slechts sprake van een vermoeden en wil je de gebruiker die te goeder trouw is niet beperken in zijn mogelijkheden om een domeinnaam in gebruik te nemen. Tegelijkertijd wil je voorkomen dat de vermoedens eerst bewaarheid worden en je pas ingrijpt als er al potentieel schade wordt veroorzaakt.

Een idee is om dit soort vermoedelijke criminele domeinnamen pas na een extra controle van de houdergegevens in de zone op te nemen. Hiermee benadeel je echter de goedwillenden. Daarnaast zou je ze in ieder geval nauwgezet kunnen monitoren. Het lastige is alleen dat een actieve domeinnaam uit de zone halen vanwege het caching effect meestal pas na enige tijd effect heeft. Voorkomen dat een domeinnaam in de zone wordt opgenomen, is dus veel effectiever.

Nabije toekomstmuziek

Vooralsnog zitten dit soort intelligente systemen nog in een onderzoeksfase, al heeft SIDN Labs de eerste testen al uitgevoerd en die waren veelbelovend. Op dit moment loopt er al een pilot op basis van nDEWS waaraan zo’n 30 registrars deelnemen. Andere registrars kunnen zich aanmelden. Meer informatie is te vinden op ndews.sidnlabs.nl.

In een 3e deel van deze serie ga ik in op een andere ontwikkeling op het gebied van Notice-and-Take-Down bij SIDN: Trusted NTD.

Reacties

Maarten-Simon-thumbnail

Maarten Simon

Legal & Policy Advisor

+31 26 352 55 00

maarten.simon@sidn.nl

  • vrijdag 21 december 2018

    .nl-domeinnaam

    ICANN en de WHOIS: gaat de admin-c verdwijnen?

    ICANN

    Eén tijdige, wereldomvattende oplossing is wenselijk

    Lees meer
  • maandag 27 mei 2019

    Over SIDN

    Samenwerken in het digitale tijdperk

    Thumb-City-Hall-of-The-Hague

    Kom op 19 en 20 juni naar EuroDIG 2019 in Den Haag

    Lees meer
  • donderdag 20 september 2018

    .nl-domeinnaam

    ACM eerste overheidspartij die SIDN kan dwingen domeinnamen uit de lucht te halen

    Thumb-ACM

    Wij verwelkomen deze bevoegdheid

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.