'GDPR hindert cybercrimebestrijding'

De reikwijdte van de Europese privacywetgeving AVG (GDPR in het Engels) is groot. Security-onderzoekers waarschuwen voor benadeling van cybercrimebestrijding doordat WHOIS-data niet langer openbaar dreigt te zijn. Spam, phishing en cybercrime kunnen na 25 mei flink opleven.

Jasper BakkerredacteurMeer van deze auteur

GDPR eu — © CC0: Pixabay.com

CC0: Pixabay.com

WHOIS-beheerder ICANN is niet goed voorbereid op de invoering, per 25 mei, van de AVG. De internationale internetorganisatie publiceert van oudsher informatie over registratie van domeinnamen. Hierdoor zijn naamregistreerders, maar ook beheerders en eigenaren van internetsites te traceren. Dit geldt ook voor domeinnamen die dienst doen voor malafide doeleinden, zelfs als daarbij valse namen en BV-constructies worden gebruikt.

Ontoegankelijkheid dreigt

Security-expert en onderzoeksjournalist Brian Krebs waarschuwt al enkele maanden voor de dreigende ontoegankelijkheid van de WHOIS-data. Die gegevens bevatten immers privacygevoelige informatie en vallen daarmee onder de AVG. Deze EU-brede wetgeving, die al jaren in aantocht is, geldt vanaf 25 mei en is dan niet alleen van toepassing op Europese bedrijven en organisaties. De AVG raakt elk bedrijf en organisatie dat actief is in de EU of dat data van Europese burgers heeft of verwerkt.

Krebs is somber gestemd over de negatieve impact van de AVG op cybercrimebestrijding. De Amerikaan heeft in zijn loopbaan al vele DDoS-aanvallen, malware-operaties en cybercriminelen blootgelegd en opgespoord. Daarbij heeft hij ook veelvuldig WHOIS-data nuttig aangewend, net zoals andere securityspecialisten dat doen.

Toename voorspeld

“Voorspelling: over een paar maanden zal het volume aan spam, phishing en zo’n beetje elke vorm van cybercrime merkbaar toenemen”, tweette de internationaal bekende securityspecialist begin deze maand. De AVG-impact op WHOIS wordt door hem omschreven als het wegnemen van het meest nuttige hulpmiddel voor security-experts en -onderzoekers.

Het gaat Krebs niet alleen om zijn eigen werk en werkzaamheden. Hij stipt aan dat het gebruik van WHOIS-data security-activiteiten mogelijk maakt waarmee dossiers worden samengesteld voor politie en Justitie. Daadwerkelijke opsporing en aanhouding van cybercriminelen is immers aan officiële wetshandhavers.

Voorwerk voor opsporing

Zij hebben dan wel gedegen verdenking en voldoende bewijs nodig voordat ze in actie kunnen komen. Dit geldt ook voor het opzetten van internationale samenwerking die vaak nodig is vanwege de grensoverschrijdende aard van cybercrime. Krebs ziet de aanpak van cybercrime nu bedreigd worden.

Het benodigde voorwerk wordt namelijk veelal verricht door externe security-onderzoekers. Dit zijn dan experts zoals Krebs zelf, maar ook beveiligingsteams bij ICT-leveranciers die van gevarieerde samenstelling zijn. Zowel securityleveranciers als McAfee en Kaspersky Lab, maar ook softwarebedrijven als Microsoft en telecomaanbieders als KPN werken veel samen met autoriteiten voor het aanpakken, opsporen en oppakken van cybercriminelen.

Wow, I just received this from the Dutch High Tech Crime folks and it’s so cool I want to wear it! Thanks @PolitieTHTC from the peeps @_SectorC @KPN pic.twitter.com/I9F7Ew3BwO
— Jaya Baloo (@jayabaloo) March 21, 2018

Kwestie van tijd en expertise

Formeel kunnen wetshandhavende instanties nog wel toegang krijgen tot WHOIS-data. Zij zouden dan veel van het diepgaande en tijdrovende onderzoekswerk zelf moeten uitvoeren. Het is maar de vraag of ze daarvoor de tijd en expertise hebben. In Nederland is nu net de noodklok geluid over het tekort aan securityspecialisten.

Krebs spreekt van ‘het aanreiken op een zilveren presenteerblaadje’ wat cybercrimezaken tot op heden betreft. De bekende onderzoeker heeft in meerdere gevallen goed gebruik gemaakt van de openlijk beschikbare WHOIS-data. Ook IT-beveiligingsbedrijf ClearSky Cyber Security argumenteert dat WHOIS-data groot nut heeft voor het ontdekken en pareren van digitale dreigingen, zoals phishingcampagnes, cyberspionage en Chinese overheidshacks in Europa.

Why #WeNeedWHOIS 1:
We use WHOIS data to discover targeted phishing set up by threat actors. Example:
Iranian threat group Charming Kitten used isabella.careyy@gmail.com as registrant of 12 domains used for phishing against human rights activists.¹
¹https://t.co/m2a730fiMQ pic.twitter.com/8G9fTg2bRo
— ClearSky Cyber Security (@ClearskySec) April 8, 2018

Ondertussen leeft er nog wel twijfel en scepsis over Krebs’ sombere opvatting wat betreft de AVG-impact op WHOIS en daarmee op cybercrimebestrijding. Zo wordt bijvoorbeeld de validiteit van WHOIS-gegevens betwijfeld. Cybercriminelen gebruiken toch niet hun eigen naam, adres en andere privacygevoelige gegevens om hun malafide werk uit te voeren? Toch zouden WHOIS-gegevens een belangrijke rol spelen in het - al dan niet indirect - identificeren van kwaadwillenden.

Echte of herleidbare gegevens

Zo stelt security-expert Dmitri Alperovitch, mede-oprichter en CTO van CrowdStrike, dat deze data van vitaal belang is voor diverse cybercrime-onderzoeken. Kwaadwillenden kunnen - al dan niet per ongeluk - echte of herleidbare informatie in hun DNS-registraties gebruiken. Security-onderzoeker Dave Dittrich van de Universiteit van Washington, tweet: “Mensen maken fouten, zelfs in OPSEC (operationele security)”, wat ook geldt voor cybercriminelen.

Ook beveiligingsonderzoeker Lesley Carhart van industrieel cybersecurityleverancier Dragos voorziet een negatieve impact op security-onderzoek. “Ik denk dat veel van de GDPR-beschermingsmaatregelen fantastisch zijn. Maar toch gaat dit mijn onderzoek zwaar hinderen, en het had beter aangepakt kunnen worden.”

AVG-vrijstelling?

WHOIS-databasebeheerder ICANN wil GDPR-vrijstelling voor die data, terwijl de EC stelt dat het aan die non-profit internetorganisaite is om gepaste WHOIS-toegang voor wetshandhaving te regelen. Laatstgenoemde lijkt een oplossing, maar zou in de praktijk toch het voorwerk door externe security-researchers belemmeren.