ICANN 54, Dublin. Actueel: abuse

Half oktober was het Convention Centre Dublin in Ierland het podium van de 54e ICANN-meeting. Deze bijeenkomsten, die driemaal per jaar worden gehouden, zijn de uitgelezen kans om bij te blijven in onze branche, om zeer diverse registries en andere leveranciers te ontmoeten en om in contact te komen met klanten wereldwijd.
ICANN-meetings worden roulerend over de vijf continenten gehouden. Er is een groep mensen die je overal tegenkomt (waaronder Openprovider), maar het is juist de aantrekkingskracht op lokale bedrijven en instellingen die elke meeting kleur geven en inspiratie brengen. In Dublin heb ik leveranciers, klanten en potentiële klanten gesproken uit een verscheidenheid aan Europese landen, sommige bekend, evenzovele nog onbekend.
In deze blog post richt ik me op een onderwerp dat deze keer zeer nadrukkelijk aanwezig was: misbruik of abuse. De opmaat naar dit onderwerp was op de afgelopen ICANN-meeting in Buenos Aires al gegeven, hoewel toen de focus meer op identificatie en validatie lag. In Dublin was het vervolg gepland met een groot aantal constructieve, interactieve workshops, sessies en meetings.
Wie geïnteresseerd is in andere sessies zou eens in de volledige agenda moeten kijken: de meeste sessies worden opgenomen en zijn publiekelijk beschikbaar, op video, audio en/of teksttranscriptie. Bovendien zijn verschillende sessies vertaald in tot zeven talen, waaronder Spaans en Frans. Geen Nederlands helaas!

Wat is misbruik?

Allereerst is het belangrijk om te begrijpen dat misbruik zeer diverse vormen aan kan nemen. Het kan overduidelijk zijn zoals in het geval van kinderporno of het verspreiden van malware; het kan phishing of spamming zijn; het kan om inbreuk op merkrecht of het illegaal verkopen van medicijnen gaan; het kan command and control servers betreffen; het kunnen ongeldige whoisgegevens zijn; en het kan zo onduidelijk zijn als wanneer iemand zijn naam van een website verwijderd wil zien.
Daarnaast is het belangrijk om de aard van het misbruik te onderkennen. Een website met de naam goedkope-medicijnen-zonder-recept.shop die als illegaal wordt gerapporteerd is waarschijnlijk voor slechts één doel opgezet, terwijl een phishingpagina op je-eigen-domein.nl meer waarschijnlijk het resultaat is van een lekke WordPress-installatie.
Elke vorm van misbruik vereist zijn eigen specifieke benadering. Vanuit het standpunt van Openprovider is de scope beperkt tot misbruik van de domeinnaam zelf, terwijl de verantwoordelijkheid voor de inhoud van de website bij de domeineigenaar en soms het hostingbedrijf ligt. Dit onderscheid is in de praktijk wat minder scherp: Openprovider behandelt misbruik van het tweede soort in sommige gevallen ook.

Het ontvangen van misbruikmeldingen

De eerste sessie over misbruik deze ICANN meeting was al op zondagmiddag en ging over de kwestie van rapportage. Op dit moment ontvangen wij abuserapportages in alle mogelijke vormen: van complete en correcte rapporten die de website, directe link en een uitgebreide verklaring bevatten tot simpele e-mails zoals “Onze merknaam staat op een van jullie websites, graag afsluiten”, niet zelden zonder ook maar de domeinnaam in kwestie te noemen…
In een interactieve sessie probeerden beide kampen – registrars aan de ene kant en de public safety community (waaronder wetshandhaving, consumentenrechtenorganisaties en private organisaties) aan de andere kant – de ideale manier te vinden om misbruik te rapporteren.
De tijd die hierin gestoken wordt kan beide partijen daadwerkelijk beter samen brengen. En dat is uiteindelijk wat we allemaal willen, want in de huidige perceptie (oké, ik chargeer) doen de klagers geen moeite om te onderbouwen en proberen de registrars onder elke vorm van medewerking uit te komen.
De deelnemers aan de sessie waren met name de grote jongens: hosters zoals GoDaddy en 1&1 en rechtshandhavers als de FBI en de UK National Cyber Crime Unit. Het is goed een begin van consensus tussen deze partijen te zien en ik heb er het volste vertrouwen in dat we samen een meer gestandaardiseerde vorm van abuse reporting kunnen vinden. De vraag is hoe we ook de kleinere partijen zover krijgen zich hierbij aan te sluiten.
De Registrar Stakeholder Group organiseerde een informeel vervolg in een (hoe kan het ook anders in Dublin) naastgelegen pub, zodat registrars en handhavers laagdrempelig ervaringen konden uitwisselen. Dit heeft waardevolle contacten en inzichten opgeleverd.

Afhandelen van misbruikmeldingen

Zodra een melding van misbruik wordt ontvangen, is het belangrijk actie te ondernemen. Registrars zijn via de overeenkomst met ICANN contractueel verplicht om binnen 24 uur op meldingen van officiële instanties te reageren. De eisen wanneer het niet-officiële instanties betreft zijn minder strakt gedefinieerd: “De registrar zal binnen redelijke tijd redelijke actie ondernemen en adequaat reageren.”
Het eerste probleem dat opkomt is hoe we een officiële van een niet-officiële instantie kunnen onderscheiden. Zeker voor handhaving buiten de eigen jurisdictie is dat lastig. En als officiële instanties besluiten om gebruik te maken van gratis e-mailadressen zoals Gmail of AOL, dan houden onze mogelijkheden ook wel een beetje op…
Er borrelen enkele ideeën, waaronder een gecentraliseerde database of een gecentraliseerd contact binnen de rechtshandhaving, maar deze ideeën zijn nog in een zeer prematuur stadium.
De volgende vraag is hoe er gereageerd moet worden. ICANN definieert hier geen strikte procedures voor. Verschillende registrars hebben samengewerkt aan een document dat een breed scala aan soorten misbruik opsomt en aanbeveliingen voor het opvolgen ervan bevat. Dit document zal aan beide kanten leiden tot een beter begrip.
Het groothandelsconcept van Openprovider, zonder hosting of e-maildiensten, positioneert ons op een speciale plek in de keten van online content. Wij verwerken misbruik via strakke procedures. Als het even mogelijk is acteren wij via onze klant en niet zelf. Waarom? Gewoon omdat wij de domeinhouder niet kennen, het is onze klant die hem kent! Natuurlijk zijn er situaties denkbaar waarin wij wel een directe verantwoordelijkheid hebben of waarin de klant geen gehoor geeft. In dat geval kunnen we ertoe overgaan het domein in kwestie zelf te bevriezen.

Wat was er nog meer?

Hoewel mijn focus deze ICANN-meeting op ‘misbruik’ lag, zijn er enkele interessante ontwikkelingen die ik graag kort deel:

• De plannen om het whois-protocol te vervangen door het nieuwe RDAP (Registration Data Access Protocol) worden concreter. Dit protocol is veel meer gestandaardiseerd en maakt het mogelijk de gegevens eenvoudig te verwerken.
• Deels gerelateerd hieraan is de wens om alle registries over te laten gaan naar thick whois: op dit moment zijn Verisigns .com en .net de enige gTLD’s die op een thin whois draaien: whois zonder contactgegevens. De migratie van thin naar thick kan leiden tot juridische vraagstukken voor bepaalde registrars. Voor Openprovider zijn geen problemen te verwachten omdat wij altijd hebben gewerkt met thick whois in het achterhoofd.
• Steeds meer partijen vragen zich hardop af welke mijlpalen een blokkerende factor vormen voor de volgende ronden van nieuwe gTLD’s. Er zijn diverse onderzoeken bezig die zich alle richten op een soepeler verloop van een volgende ronde, maar is het echt nodig om te wachten tot 2017 – het jaar waarin de laatste onderzoeken vermoedelijk voltooid zijn?
• Samen met mijn collega’s heb ik diverse interessante gesprekken gehad met Europese registries die wederzijdse kansen bieden.
• En natuurlijk zijn er de avondevenementen (ik heb er minimaal 15 geteld in 4 avonden…) waarin eigenlijk de interessantste ontmoetingen plaatsvinden, van GoDaddy tot gigantische Chinese registrars, een variëteit aan registries en veel leveranciers van andere producten en diensten.

Naast deze min of meer geplande afspraken zijn het natuurlijk de vele soms verrassende ad hoc-ontmoetingen die ICANN-meetings altijd tot een inspirerende ervaring maken. De volgende keer, in maart 2016, strijkt ICANN neer in Marrakech, Marokko. Voor die tijd staat er nog een aantal lokale evenementen in de agenda, zoals de SIDN-, NIC AT- en NIC IT-registrardagen en in februari volgend jaar de Domain Pulse, een evenement dat ik absoluut kan aanbevelen aan elk bedrijf dat op Europese schaal opereert!