dec 1, 2010 - Internet    No Comments

Is een .be domeinnaam veilig genoeg

When business meets politics…

Als bedrijfsleider van een internet hosting bedrijf ben ik elke dag bezig met zaken zoals .be-domeinnamen. Ik zit trouwens ook als bestuurslid bij de vzw ISPA en in het agentencommittée van DNS.be. Zo ben ik dus langs heel wat kanten betrokken bij het belang van goed werkende .be-domeinnamen.

Daarom sprak ik een tijd geleden mijn vriend Peter Dedecker aan, die sinds 13 juni verkozen is als N-VA volksvertegenwoordiger. Peter is van opleiding ingenieur en ICT’er, en dus ook politicus, en wist mijn bezorgdheid snel te begrijpen.

Ons Belgisch registratiesysteem werkt goed: efficiënt én zonder veel kosten. Super toch?

Enig nadeel: net daardoor waren onze .be-domeinen heel geliefd bij spammers en phisers. Voor weinig geld volledig automatisch een domeinnaam registreren die dan ook nog eens zonder papierwinkel direct operationeel is: zalig toch als je snel een miljoen emails de deur wil uitjagen op een onbestaand adres of beter gezegd een even bestaand adres zodat de spamfilters het herkennen als een echt domein.

Een .be-domeinnaam begon dan ook internationaal een slechte weerklank te vinden en tijd om aan de alarmbel te rinkelen; ook bij de bevoegde minister want via het BIPT heeft de overheid ook een vinger aan de pols bij DNS.be.

Peter stelde daarom de volgende vraag aan de minister:

Mijnheer de voorzitter, mijnheer de minister, ik heb een vraag over het Belgische

.be-domein, beheerd door de vzw dns.be. Die vzw doet dat heel goed. Door een doorgedreven graad van

automatisering en een hoge performantie kon men de kosten voor het beheer sterk drukken. De organisatie

laat haar klanten mee genieten van deze lage kosten voor de registratie van een .be domeinnaam.

Dit is uitermate voordelig voor de consument, maar dit alles heeft echter ook een nadeel. Door de lage

prijzen, de snelle procedures en het gebrek aan voorwaarden voor registratie alsook identiteitscontrole, is het

.be-domein heel aantrekkelijk geworden voor spammers, phishers en andere mensen met minder goede

bedoelingen. Zij registeren en gebruiken .be-domeinen als tijdelijk domein, tot ze genoeg ongure zaken

hebben uitgevoerd of de grond onder hun voeten te heet wordt.

Door deze praktijken staat het .be-domein internationaal gekend als spam- en phishingdomein. Zo prijkte ons

land en haar topleveldomein in de Global Phishing Survey van de APWG van mei 2010 op een niet

benijdenswaardige vierde plaats, voorafgegaan door Thailand, Korea en Ierland en gevolgd door Roemenië

en Maleisië.

Hierdoor aanzien spam- en andere filters berichten afkomstig van een .be-domeinnaam sneller als

ongewenst of zelfs gevaarlijk. U begrijpt dat dit geen goede zaak is voor onze bedrijven of andere bezitters

van een .be-domeinnaam.

Mijnheer de minister, bent u op de hoogte van deze problematiek? Welke oorzaken ziet u nog naast de lage

prijs, snelle procedures en een vlotte toegang? Welke oplossingen ziet u hiervoor en welke?

Legt de Belgische overheid voorwaarden op waaraan moet worden voldaan zodat een burger of een bedrijf

een .be-domein kan aankopen, beheerd door dns.be? Of legt de overheid aan dns.be expliciet op dat er geen

voorwaarden inzake toegang of identiteitscontrole mogen worden opgelegd?

Zijn er in de beheersovereenkomst met dns.be afspraken gemaakt met betrekking tot een zekere

kwaliteitswaarborg of kwaliteitsmetingen voor het .be topleveldomein inzake spam en phishing rankings?

Het antwoord van minister Vincent Van Quickenborne :

Mijnheer de voorzitter, collega, ik ben in de eerste plaats verheugd dat

u toegeeft dat de organisatie van dns.be dat op een goede manier doet: zeer efficiënt en aan voordelige

prijzen. Het is een model voor vele andere landen.

Het rapport waar u naar verwijst dateert van mei 2010, maar ondertussen is er een recenter rapport dat

gepubliceerd is in oktober 2010. Daaruit blijkt dat het .be-domein betere scores krijgt en niet meer

opgenomen is in de top 10 van de slechtst presterende landen. Het rapport waarover ik het heb is het meest

recente rapport van APWG.

Het oude rapport van mei vermeldt de oorzaak van de slechte positie toen, namelijk de activiteiten van de

zogenaamde ‘Avalanche-group’. Dat is een criminele groepering die via allerhande technieken het internet

probeert te exploiteren voor malafide praktijken. De meest geautomatiseerden hadden het meeste last van

deze praktijken.

Uit het meest recente rapport van oktober blijkt dat er geen specifieke problemen meer zijn inzake phishing,

en dat komt omdat onder meer DNS midden 2010 zelf specifieke procedures heeft ingevoerd om dat soort

praktijken tegen te gaan. Uit het feit dat de activiteiten van de Avalanche-group niet meer worden

waargenomen in het .be-domein, blijkt dat het werkt.

Wat betreft uw vierde vraag, is het in eerste instantie DNS zelf die de regels voor het registratiebeleid

vastlegt. Deze gegevens zijn, net zoals de meeste TLD’ s in de wereld, heel open. Samengevat komt dit neer

op het first come first served-principe en respect voor de rechten van derden. Ervaring uit het verleden heeft

aangetoond dat het opleggen van beperkende toegangsvoorwaarden averechts werkt en heeft geleid tot veel

rompslomp, hoge tarieven en frustraties. Het zou er bovendien enkel toe leiden dat burgers minder vaak voor

het domein zouden kiezen. Op lange termijn zou dit ongunstig zijn voor de groei van het internet.

Er is geen beheersovereenkomst afgesloten tussen de Belgische overheid en dns.be. Oorspronkelijk werd

het beheer waargenomen door het departement computerwetenschappen van de KULeuven. In 2000 werd

de opdracht toevertrouwd aan een hiervoor specifiek gecreëerde vzw, namelijk dns.be. De overdracht werd

begeleid en onderschreven door BIPT, de Belgische telecomregulator. Bij de oprichting van de vzw werden

eveneens vertegenwoordigers van BIPT en van de FOD Economie aan de raad van bestuur toegevoegd. Op

die manier zorgen we mee voor inspraak in het beheer van het domein.

Algemeen staat het bekend als een efficiënte organisatie. De raad van bestuur heeft onlangs beslist om in

2011 nog meer toe te zien op de kwaliteit en de veiligheid van het domein en ik vertrouw er dan ook op dat de scores in de rapporten voor het .be-domein in de toekomst in de zelfde lijn zullen liggen van het meest

recente rapport.

Ten slotte, in het raam van de omzetting naar het Belgisch recht van het telecompakket is voorzien dat het

BIPT regelmatig een kopie krijgt. Op die manier zal de regulator in geval van resten en ernstige problemen

de controle desgevallend en in uiterste nood over de domeinnamen kunnen overnemen.

Peter stelde vervolgens nog enkele verdere vragen:

Peter Dedecker (N-VA): Mijnheer de voorzitter, mijnheer de minister, kunt u nog wat meer vertellen over de maatregelen die DNS heeft genomen in het kader van Avalanche? Zijn dat zaken die algemeen gelden? Wat als er binnenkort weer een criminele groep het voortouw neemt om middels automatische registratie

dergelijke toeren uit te halen?

Minister Vincent Van Quickenborne : Ik weet in elk geval dat de maatregelen niet alleen genomen zijn om

Avalanche tegen te gaan.

Het gaat om maatregelen die phishing moeten tegengaan, maar de technische details ken ik niet. Ik wil ze u

wel bezorgen, maar ik ben niet de technieker van dienst.

Persoonlijk blijf ik het jammer vinden dat de minister enkele goeie vragen van Peter uit de weg is gegaan. Waarom is er van uit de overheid toch niet meer bezorgdheid over de voorwaarden voor .be-domeinnamen? Moet er niet minstens een maatschappelijk debat komen of .be-domeinnamen bv enkel voor Belgische bedrijven, vestigingen, organisaties of privepersonen zouden mogen gelden? Die discussie is nooit maatschappelijk gevoerd, maar enkel beslist binnen een vzw die grotendeels gecontroleerd wordt door Belgacom, Telenet en Agoria.

Misschien tijd dat we hier op het internet eens gaan nadenken over wat kan en telkens de pro’s en contra’s afwegen en hopen dat dit de aanzet kan zijn voor een debat in het parlement samen met de betrokkenen. Peter zal het zeker verder opvolgen.