نوشته شده توسط مهندس کلانتری
آدرس کوتاه: https://sitedar.com/?p=724
پیش از این برای دستیابی که اطلاعات ثبت کننده یک دامنه (مانند ایمیل و تلفن) به راحتی به پایگاه داده WHOIS دسترسی داشتیم. اما امروز قوانین حفظ حریم خصوصی این پایگاه داده را از در اختیار گذاشتن این اطلاعات منع می کند، تا زمان تهیه پروتکل جدیدی از سوی ICANN نمی توانیم همانند گذشته با این اطلاعات دست یابیم. در این مقاله از دارکوب به بررسی پیشینه این مسئله و تاثیرات آن می پردازم.
در ماه مه 2018، قانون حفاظت از اطلاعات کلی اتحادیه اروپا (GDPR) رسما به اجرا در می آید. GDPR ظاهرا قانونی است برای حفاظت از حریم خصوصی شهروندان اروپایی در مورد چگونگی استفاده از اطلاعات کاربران توسط شرکت های بزرگ اینترنتی مانند گوگل و فیسبوک. اما مقررات حفظ حریم خصوصی نیز با برخی اثرات ثانویه همراه است که نفوذ آن فراتر از مرزهای اتحادیه اروپا رفته و به طرز عجیب و غریبی می تواند امنیت کاربران اینترنت را نیز تضعیف کند.
لیست مطالب
این بار مسئله امنیت درباره سرنوشت WHOIS است، یک پروتکل برای جستجوی نام و اطلاعات تماس افرادی که یک نام دامنه وب سایت را ثبت نام کرده اند. برخی از ابزارهای WHOIS رایگان در اینترنت وجود دارد و مگر اینکه صاحب آن وب سایت تصمیم گرفت تا اطلاعات خود را مخفی کند. هر کسی می تواند (یا بهتر است بگویم می توانست) نام، آدرس، ایمیل و شماره تلفن ثبت کننده را در WHOIS جستجو کند.
WHOIS یک منبع ارزشمند برای محققان امنیتی، روزنامه نگاران و مأموران انتظامی است که از آن برای ردیابی انتشار اسپم یا بدافزار در اینترنت استفاده می کنند. از سوی دیگر این اطلاعات برای اسپم ها و هکرها نیز کار آمد است، آن ها می توانند اطلاعات پایگاه های WHOIS را استخراج کرده برای انتشار اسپم یا هک کاربر ثبت نام کننده استفاده کنند. این منجر به گسترش خدمات پنهان سازی (masking ) WHOIS شده است، که اغلب توسط رجیسترار با هزینه ایی کمی انجام می شود.
سوال این است که آیا هر کسی باید بتواند از پایگاه داده ها WHOIS برای جستجوی اطلاعات در مورد افراد پشت یک نام دامنه استفاده کند. به عبارت دیگر، آیا WHOIS یک ویژگی مهم برای امنیت اینترنت است یا یکی از بقایای مضر از روزهای اولیه وب؟
این سوال برای بیش از یک دهه در شرکت ICANN، یکNGO غیر انتفاعی که مسئولیت سرنوشت داده های WHOIS را بر عهده دارد، بررسی شده است. اما اجرای قانون جدید GDPR در اواخر امسال این مسئله را به اولویت اصلی دستور کار این سازمان تبدیل کرده است.
ICANN در ماه نوامبر اعلام کرد که اقدامی علیه رجیسترارها برای عدم اجرای تعهدات مربوط به ارائه داده های دامنه، انجام نخواهد داد. به عبارت دیگر اگر چه ICANN معمولا اقدام قانونی علیه ثبت کننده هایی که اطلاعات WHOIS را منتشر نکرده اند انجام می دهد، این سازمان در توافقنامه خود با ICANN تصریح کرد، این سازمان اعلام کرده است که به دنبال اقدام قانونی علیه ثبت کنندگان نیست تا زمانی که یک توافق نامه داده جدید WHOIS با GDPR ایجاد می شود.
به منظور این تعویق اقدام، ثبت کنندگان مجبور بودند مدل های خود را برای انطباق با قوانین WHOIS پیشنهاد نمایند. سپس در 12 ژانویه، ICANN یک سند را ارائه کرد که حاوی سه راه حل موقت برای ثبت دامنه بود که به آنها اجازه می دهد تا با قوانین ICANN و اجرای GDPR در اروپا مطابقت داشته باشند تا ICANN بتواند یک راه حل دائمی برای آینده تدارک ببیند.
مشکل به طور خلاصه اینطور مطرح شده است که ICANN با هزاران ثبت کننده دامنه در سراسر جهان مانند GoDaddy یا HostGator که مجبورند اطلاعات WHOIS شرکت ها را انتشار دهند (مانند نام ها، ایمیل ها و شماره تلفن ها) توافق کرده است. از سوی دیگر، GDPR شرکت ها را از انتشار اطلاعاتی که افراد را شناسایی می کند منع می کند، یعنی زمانی که قانون در ماه آوریل به اجرا در می آید، موافقت نامه های ICANN با ثبت کنندگان در مورد انتشار اطلاعات WHOIS حداقل در اروپا غیر قانونی خواهد بود.
در همان روزی که راه حل های موقت ICANN برایWHOIS منتشر شد، GoDaddy، بزرگترین ثبت کننده دامنه در جهان اعلام کرد که از 25 ژانویه 17 میلیون مشتری جستجوی انبوه جزئیات تماس WHOIS را از دست می دهد.
جیمز بلادل، معاون سیاست گذاری جهانی GoDaddy، در نامه ای اعلام کرد: “ما اقداماتی را برای حفاظت از مشتریان مان از هرزنامه و تماس های تلفنی ربات ها در سراسر جهان در نظر می گیریم و این به مقررات حفاظت از داده ها GDPR هیچ ارتباطی ندارد. GoDaddy همراه با ICANN و بقیه صنعت، در حال بررسی تاثیر بالقوه GDPR در دسترسی به WHOIS هستند”.
بلادل همچنین به افزایش شکایت مشتریان در مورد چگونگی ارسال اسپم در عرض چند دقیقه بعد از ثبت دامنه اشاره کرد که به فروش اطلاعات مشتریان به اسپم ها توسط GoDaddy اشاره دارد. اما بسیاری از محققان امنیتی که وابسته به دسترسی کلی به داده های WHOIS هستند، این حرکت را سو استفاده این شرکت از مزایای عدم اطمینان به آینده ICANN WHOIS برداشت می کند.
“GoDaddy به طور یک جانبه تصمیم گرفته است که ایمیل ها، اسم ها و شماره های تلفن را که از داده های WHOIS منتشر می کند را اصلاح نماید، که تفاوت قابل توجهی با قراردادهای آن ها با ICANN دارد و رفتار رجیسترار ها نیز در آینده بسیار متفاوت خواهد بود.
ثبت نام کنندگان مانند GoDaddy و سازمان های پشت برنامه جستجوی WHOIS مانند جستجو ICANN و DomainTools سعی کرده اند راه های مختلف دیگری برای محدود کردن جمع آوری کلی داده های WHOIS توسط اسپم ها پیاده سازی نمایند. برای مثال اجرایcaptchas و یا نشان دادن اطلاعات تماس برای مالک وب سایت به صورت عکس به جای متن ساده، برای محدود کردن جمع آوری خودکار داده ها.
با وجود این تلاش ها، احتمالا دیگر ثبت کنندگان به زودی راه GoDaddy را دنبال خواهند شد و جستجوهای فله ایی داده WHOIS را متوقف کنند. دلیل این امر این است که انتشار داده ها موضوع علاقه ثبت کننده ها نیست چون این ها داده های مشتریان آن ها هستند. علاوه بر این نگهداری سرور برای داده های WHOIS هزینه ایی برای این شرکت است. و همچنین همانطور که بلادل ذکر کرد معمولا ثبت کنندگان به خاطر فروش اطلاعات خود متهم می شوند.
در واقع رجیسترارها نمی خواهند WHOIS وجود داشته باشد. بنابراین آنها از این فرصت استفاده می کنند تا ببینند که چقدر می توانند از این فرصت استفاده کنند.
این حرکت یک ضربه به محققان امنیتی است که برای انجام کار خود، به دسترسی کلی به داده WHOIS و همچنین خدمات تجزیه و تحلیل داده ها مانند DomainTools وابستگی دارند. چون به گفته Xavier Mertens، مشاور امنیتی مستقل در بلژیک برای او و همکارانش کار با WHOIS اغلب اولین خط دفاع در هنگام ارزیابی یک تهدید است.
تصور کنید شما فعالیت های مخربی مربوط به یک نام دامنه مشاهده می کنید و اولین کار شما این است که ببینید چه کسی پشت این دامنه است. اگر داده WHOIS در دسترس عموم نباشد می توانید تصور کنید چه مقدار کارهای اداری برای دسترسی به این اطلاعات به وجود می آید؟
روزنامه نگاران همچنین به طور منظم از داده های WHOIS برای پیدا کردن اطلاعات تماس برای منابع احتمالی استفاده می کنند. آرشیوهای اینترنتی همچنین از داده WHOIS برای ارسال درخواست مجوز برای ذخیره وب سایت هایی را که به نظر می رسد رها شده اند یا در معرض خطر حذف همیشه هستند، بهره می برند.
ICANN در وضعیت دشواری قرار دارد. از یک طرف، این سازمان تحت فشار از مقامات انتظامی و محققان امنیتی است که به اطلاعات WHOIS وابسته هستند تا به بررسی تخلفات احتمالی یا کاهش حملات خرابکارانه کمک کنند. از سوی دیگر این سازمان همچنین باید با قوانینی نظیر GDPR که جلوی فروش عمده اطلاعات را می گیرد تطابق پیدا کند.
اما ICANN ماه گذشته یک یادداشت منتشر کرد که برنامه هایی را برای تعدادی از مدل های موقت منتشر کرد که اساسا اجازه می دهد ثبت کننده ها اطلاعات شخصی مربوط به یک ثبت کننده دامنه مانند نام، ایمیل یا شماره تلفن اطلاعات WHOIS مسدود کند تا زمانی که ICANN بتواند برنامه های جایگزینی برای WHOIS ایجاد کند.
هدر فورست، رئیس ICANN، از نظر دادن درباره برنامه های آینده WHOIS خودداری کرد و گفت که شورای GNSO چندین موضوع مرتبط با WHOIS در دستور کار خود را در سال 2018 دارد، که نسل بعدیDirectory Service Policy توسعه داده شود.
تصویب GDPR در ماه می ممکن است آغاز پایان دادن به داده های WHOIS را نشان دهد، اما این لزوما بد نیست. قوانین حریم خصوصی GDPR باعث می شود راه حل هایی برای بحث در مورد چگونگی مدیریت حفظ حریم خصوصی و پاسخگویی در اینترنت به وجود آید، حتی اگر این بحث ها به نظر آهسته پیش روند.
در کوتاه مدت، محققان امنیتی مانند Mertens و WHOIS شرکت های تجزیه و تحلیل داده ها مانند DomainTools احتمالا از محدودیت دسترسی کلی به داده های WHOIS رنج می برند. همانطور که برای افراد خارج از اروپا که می خواهند داده های WHOIS خود را پنهان کنند، و این کار را از طریق ثبت کننده خود انجام دهند، اگرچه این هزینه اغلب با هزینه های اضافی همراه است.
Mertens نیز گفته است: سال ها، ثبت کنندگان حریم خصوصی صاحبان دامنه ها را با ارائه خدمات برای پنهان کردن اطلاعات خود نقض کرده اند، بنابراین من فکر نمی کنم که GDPR ، WHOIS را از بین ببرد. خطر این است که اطلاعات بیشتر و بیشتری از پایگاه داده WHOIS عمومی حذف شود، زیرا برای بسیاری از سازمان ها حذف اطلاعات حساس آسان تر خواهد بود، به جای این که برای اجرای کنترل های مورد نیاز GDPR زمانی برای پیاده سازی مکانیزم کنترل لازم صرف کنند.
مشخص نیست که ICANN چه زمانی یک پروتکل نهایی برای نسخه نسل بعدی WHOIS ارائه می دهد، اما بازنگری این پروتکل تقریبا 30 ساله به طول انجامیده است. مفهوم اینکه درخواست اطلاعات فردی نیاز به کسب اطلاعات متقابل دارد عادلانه است – تنها سوال باقیمانده این است که چطور این کار باید انجام شود.