Интернет-регуляторы продвигают спорный план по ограничению публичного доступа к WHOIS записям о регистрации веб-сайтов. Сторонники этого предложения утверждают, что оно повысит точность данных WHOIS и обеспечит лучшую защиту конфиденциальности людей, регистрирующих доменные имена. Критики утверждают, что такой переход будет невозможен и затруднит борьбу с фишерами, спамерами и мошенниками.
Рабочая группа в составе Интернет-корпорации по присвоению имен и номеров (ICANN), организации, которая курирует систему доменных имен в Интернете, предложила отказаться от существующей системы WHOIS, которая управляется сотнями регистраторов доменов и позволяет любому желающему запрашивать регистрационные данные веб-сайтов. Вместо существующей системы группа предлагает создать более централизованную систему поиска WHOIS, которая по умолчанию будет закрыта.
Согласно промежуточному отчёту (PDF) рабочей группы ICANN, данные WHOIS будут доступны только «прошедшим аутентификацию пользователям, которые несут ответственность за надлежащее использование» информации.
«Изучив широкий спектр вариантов использования и множество связанных с ними проблем, [рабочая группа ICANN] пришла к выводу, что от сегодняшней модели WHOIS, предоставляющей каждому пользователю одинаковый анонимный публичный доступ к (слишком часто неточным) регистрационным данным, следует отказаться», — написала «экспертная рабочая группа» ICANN. Группа заявила, что «признаёт необходимость обеспечения точности, а также защиты конфиденциальности тех регистраторов, которым может потребоваться усиленная защита их личной информации».
Текущий план рабочей группы предусматривает создание так называемой «агрегированной службы каталогов регистраций» (Aggregated Registration Directory Service, ARDS), которая будет служить информационным центром, содержащим неавторитетные копии всех собранных элементов данных. Регистраторы и реестры, управляющие сотнями различных доменов общего пользования (gTLD, например, dot-biz, dot-name и т. д.), будут отвечать за ведение авторитетных источников данных WHOIS для доменов в их gTLD. Те, кто хочет запросить данные о регистрации доменов в системе WHOIS, должны будут подать заявку на получение учётных данных для доступа к ARDS. ARDS будет отвечать за обработку жалоб на точность данных, аудит доступа к системе для минимизации злоупотреблений и управление лицензированием доступа к данным WHOIS.
В плане признается, что создание «единого центра» для обработки регистрационных данных может сделать группу уязвимой для хакеров, но в нем также говорится, что такая система позволит повысить ответственность за проверку регистрационных данных.
Неудивительно, что временное предложение вызвало волну недовольства со стороны некоторых экспертов в области безопасности и технологий, которые обеспокоены тем, что этот план может навредить потребителям и специалистам по расследованию киберпреступлений.
«Интернет-пользователи (частные лица, компании, правоохранительные органы, правительства, журналисты и другие) не должны сталкиваться с препятствиями, включая предварительное согласование, обязательства по раскрытию информации, уплату сборов и т. д. для получения доступа к информации о владельце веб-сайта, за исключением законных служб защиты конфиденциальности», — говорится в письме (PDF), которое в прошлом месяце совместно направили в ICANN G2 Web Services, OpSec Security, LegitScript и DomainTools.
«Интернет-пользователи имеют право знать, кто управляет сайтом, который они посещают (или тот факт, что он зарегистрирован анонимно)», — говорится в письме. «Сегодня люди просматривают полные записи WHOIS и на основании любого из полей выявляют случаи мошенничества и других злоупотреблений и сообщают о них; журналисты и учёные используют данные WHOIS для проведения исследований и разоблачения неправомерных действий; а родители используют данные WHOIS, чтобы лучше понимать, с кем они (или их дети) общаются в интернете». Эти и другие способы использования повышают безопасность и стабильность интернета, и их следует поощрять, а не ограничивать барьерами закрытой по умолчанию системы.
Другие комментарии общественности, опубликованные на данный момент, отражают обеспокоенность геополитическими последствиями предлагаемых изменений. Например, Afnic, который является регистратором доменных имён в географическом регионе Франции (.fr) и других регионах, отмечает, что ARDS должен быть юридически зарегистрирован как минимум в одной стране, а его техническая инфраструктура должна находиться как минимум под юрисдикцией одной страны.
«Мы обеспокоены тем, что ARDS будет использовать универсальные правила для оценки обоснованности запросов. Учитывая, что в корневом каталоге около 1500 доменов верхнего уровня, некоторые из них будут локальными и не должны подпадать под те же правила, что и .com или .net, в отношении которых правоохранительные органы могут запрашивать доступ к данным», — написал Пьер Бонис из Afnic. «Должны ли китайские правоохранительные органы получать доступ к частным данным, например, для доменных имён .berlin? Мы считаем, что этот вопрос до сих пор недостаточно проработан».
Центр демократии и технологий (CDT), некоммерческий аналитический центр, базирующийся в Вашингтоне, округ Колумбия, утверждает, что нынешняя система несовершенна и вызывает серьёзные опасения в отношении конфиденциальности и свободы слова, поскольку раскрывает конфиденциальную информацию общественности.
«Согласно рекомендациям ОЭСР по защите конфиденциальности, персональные данные должны соответствовать своему назначению и быть защищены от необоснованного или несанкционированного раскрытия», — говорится в официальных комментариях (PDF) CDT по этому предложению. «Система WHOIS без необходимости раскрывает конфиденциальные данные регистраторов в ответ на анонимные запросы, предоставляя злоумышленникам лёгкий доступ».
CDT предложила гибридную систему, которая позволит отдельным некоммерческим регистраторам сохранять конфиденциальность личной информации, но при этом иметь публичный доступ к сведениям о регистрации коммерческих веб-сайтов. CDT заявила, что поддерживает подход, аналогичный тому, который использует Nominet — регистратор, обслуживающий домен верхнего уровня .uk.
«Эта политика обеспечивает надлежащий баланс между интересами и обязательствами коммерческих и некоммерческих организаций в интернет-экосистеме: организации, предоставляющие услуги или занимающиеся торговлей, должны раскрывать больше контактной информации в рамках WHOIS, чтобы общественность могла получить доступ к сведениям, необходимым для коммерческой и юридической деятельности», — утверждает CDT. «Nominet также использует простой, но эффективный метод борьбы с теми, кто злоупотребляет этим различием: если Nominet определяет, что коммерческая организация неправомерно идентифицирует себя как физическое лицо, она может изменить настройки этой записи в реестре таким образом, чтобы более подробная контактная информация о коммерческой организации была общедоступной в WHOIS».
Гарт Брюэн, главный исследователь в Knujon («no junk» наоборот) и давний активный критик ICANN за отсутствие прогресса в повышении точности данных WHOIS, заявил, что промежуточные рекомендации рабочей группы направлены на то, чтобы скрыть проблему WHOIS, а не решить её.
«Вот уже 14 лет ICANN критикуют за то, что она не решает эту проблему напрямую, а теперь они хотят спрятать записи WHOIS за стеной, чтобы никто больше не мог их критиковать, — сказал Брюн. — Предложение многоуровневого доступа с расширенными правами для правоохранительных органов и служб безопасности не следует рассматривать как какое-то позитивное нововведение, на самом деле это отвлекающий манёвр. Правоохранительные органы и так имеют расширенный доступ к данным о регистрантах, так было всегда. WHOIS нужен для того, чтобы обычные пользователи Интернета могли узнать, кому принадлежит доменное имя. В конечном счёте потребитель оказывается в невыгодном положении: теперь ему приходится обращаться в полицию или в какую-нибудь платную службу безопасности, чтобы получить информацию о доменном имени.
Как журналист и исследователь в области киберпреступности, я склонен поддерживать тех, кто выступает за сохранение статус-кво в отношении записей WHOIS. Как показывают многочисленные истории из моей серии «Хлебные крошки», записи WHOIS чрезвычайно полезны для поиска и разоблачения мошенников и киберпреступников. Даже когда спамеры или мошенники явно указывают в записях WHOIS ложную информацию о личности и адресе, они всё равно часто оставляют подсказки, которые можно использовать для установления важных связей и корреляций, например повторное использование одного и того же адреса электронной почты или поддельного номера телефона. Кроме того, записи WHOIS являются чрезвычайно важным средством связи с владельцами веб-сайтов, которые заражены и используются для распространения вредоносного программного обеспечения.
Наконец, в промежуточном отчёте рабочей группы остаётся открытым вопрос о том, как именно ARDS будет обеспечивать более точные и полные записи WHOIS. Действующие соглашения об аккредитации, которые регистраторы/реестры должны подписывать с ICANN, уже требуют от регистраторов/реестров проверки данных WHOIS и исправления неточных записей, но уже давно доказано, что эти соглашения неэффективны для получения более точных записей.
