0
0
Dois anos depois que a ICANN começou a trabalhar em um modelo de acesso compatível com o GDPR para dados de contato de registro de nome de domínio (WHOIS), ainda há muita incerteza sobre quando uma possível solução será implementada. Ainda mais preocupações sobre se essa solução permitirá que governos, organizações e usuários em todo o mundo acessem dados de contato para fins legítimos em tempo hábil e se será eficaz. Em um teste recente da colcha de retalhos existente dos processos de registradores, 98% dos pedidos de acesso aos dados do WHOIS pelos signatários do Cybersecurity Tech Accord não foram reconhecidos ou foram negados.
Por mais de 20 anos, os serviços whois fornecidos pelo registrador, efetivamente um conjunto distribuído de bancos de dados de registro de nomes de domínio, têm sido um recurso essencial para profissionais de cibersegurança que conduzem investigações sobre incidentes on-line. Como tal, desempenharam um papel essencial contribuindo para a segurança e estabilidade da internet. No entanto, após a implementação, em 2018, do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, o acesso a esses serviços tem sido severamente limitado, mesmo para fins legítimos, deixando muitos preocupados com o potencial impacto na segurança cibernética.
Em agosto de 2018, os signatários do Cybersecurity Tech Accord destacaram pela primeira vez o que estava acontecendo com o WHOIS. Naquele momento, a Corporação da Internet para Nomes e Números Atribuídos (ICANN) tinha acabado de publicar a Especificação Temporária que definiu como o GDPR impactou o acesso aos dados do WHOIS. Expressamos uma série de preocupações na época, acreditando que os planos da ICANN estavam minando uma ferramenta essencial para proteger os usuários da internet de ameaças online. Ressaltamos a importância de uma ação rápida para garantir que dados preciosos não sejam perdidos. Alguns meses depois, acompanhamos nossa declaração inicial com vários exemplos concretos demonstrando como a luta contra o crime cibernético se tornou mais difícil desde que as mudanças foram implementadas.
Dois anos depois, ficamos imaginando o que exatamente é acelerado sobre o “Processo acelerado de desenvolvimento de políticas” da ICANN. Embora o mundo ao nosso redor tenha mudado drasticamente o caminho para o WHOIS permanece longe de ser estabelecido. A ICANN inicialmente se concentrou na coleta de dados e na limitação de sua disponibilidade pública com a Revisão de Implementação em maio de 2019. Uma segunda fase, com o Sistema de Acesso e Divulgação Padronizada(SSAD), foi concluída em julho deste ano. Infelizmente, 15 meses após a conclusão da primeira fase, a implementação está longe de ser concluída, e as recomendações destacadas na segunda fase não conseguem propor um sistema simplificado ou padronizado. Isso tudo pode parecer ruim o suficiente, mas a realidade é ainda pior. Mesmo quando os dois processos forem acordados, os registradores terão pelo menos um ano para colocar as mudanças em prática. O tempo todo, processos essenciais de segurança e investigação estão sendo prejudicados.
As implicações dessa falha no desenvolvimento de políticas são claras a partir dos gritos de ajuda e ação dos profissionais de cibersegurança. Investigadores cibernéticos começaram a relatar que estavam enfrentando dificuldades usando dados do WHOIS desde 2018. O Grupo de Trabalho AntiPhishing (APWG) e o Grupo de Trabalho anti-abuso móvel (M3AAWG), em sua pesquisa naquele ano, disseram que os pedidos de acesso ao WHOIS não público por investigadores legítimos para fins legítimos eram rotineiramente recusados. Eles destacaram que a orientação fornecida era inespecífica, a implementação não era uniforme, e os processos mal compreendidos pelos investigadores, registradores de nomes de domínio e registros de nomes de domínio. Parecia que registradores e registros estavam divulgando, ou não divulgando, dados da WHOIS a seu critério individual, muitas vezes sem justificativa razoável de uma forma ou de outra.
Além disso, nos primeiros nove meses da Especificação Temporária em vigor, markMonitor, signatário do Cybersecurity Tech Accord, apresentou mais de 1.000 solicitações separadas a registradores de dados não públicos do WHOIS. Destes, 86% foram ignorados por 30 dias e considerados “negados” ou foram explicitamente negados sem qualquer indicação de que o pedido foi realmente considerado. De fato, nos primeiros seis meses de 2020 a Appdetex, outra de nossas signatárias, constatou que apenas 22% dos registradores que foram alvo de pedidos responderam de alguma forma.
É difícil exagerar a importância de manter o acesso legítimo a esses recursos. Para entender melhor a posição hoje, os signatários do Cybersecurity Tech Accord AppDetex, ESET, Facebook, Microsoft e Panasonic deram uma olhada mais de perto nas taxas de resposta que estavam recebendo em suas solicitações de segurança cibernética. Embora a amostra fosse pequena, as conclusões eram bastante esmagadoras. Em 55% dos casos, os pedidos foram negados, e em 43% dos casos não houve resposta alguma – deixando minúsculos 2% dos casos em que qualquer ação foi tomada. Não é à toa que os profissionais de cibersegurança, no setor privado e na comunidade policial começaram a se perguntar se algum dia poderão confiar nessa ferramenta novamente. O CSC, signatário do Cybersecurity Tech Accord, também compartilhou preocupações sobre as informações do WHOIS serem negadas de forma esmagadora e, com base no aumento dos riscos cibernéticos com o Covid-19, o CSC considera que o aumento do número de ameaças de domínio e DNS é um problema sistêmico que precisa de uma supervisão mais ampla.
Quanto mais esse problema persistir, mais inadequado o WHOIS se torna uma ferramenta para proteger todos nós online. Na verdade, os investigadores serão cada vez mais forçados a usar técnicas alternativas para obter as informações de que precisam. Isto é especialmente lamentável, pois o acesso ao WHOIS é mais importante hoje do que nunca. Em março, a Trend Micro informou que a Internet estava se afogando em malware e golpes de phishing relacionados ao Covid-19. Desde então, o número de novos nomes de domínio contendo termos como “covídio”, “vírus” e “vacina” cresceu exponencialmente, com muitos registrados simplesmente para enganar consumidores inocentes que não têm meios para distinguir entre jogadores honestos e maus atores. Estes são precisamente os tipos de ameaças que o acesso ao WHOIS ajudaria a resolver. Em junho, a Microsoft obteve uma rara vitória ao tomar o controle de domínios-chave em uma infraestrutura criminal que vinha usando o Covid-19 como isca, garantindo que eles não possam mais ser usados para executar ataques cibernéticos. No entanto, para obter uma vantagem significativa sobre os criminosos on-line, ferramentas como whois devem ser capazes de funcionar suavemente e rapidamente.
É por isso que o Cybersecurity Tech Accord e a comunidade tecnológica mais ampla não estão desistindo desse recurso e recomendamos que todos os caminhos sejam explorados para manter o WHOIS relevante para investigações de segurança cibernética. Se o processo de política atual na ICANN falhar, a regulação se tornará a única opção para restaurar o acesso a esta ferramenta fundamental.
Veja aqui os principais marcos do Processo de Desenvolvimento de Políticas Aceleradas da ICANN (EPDP).
FONTE: CYBERTECH ACCORD