- Door
- Rashid Niamat
- geplaatst op
- 3 september 2013 08:01 uur
Zoals bekend is rond 27 augustus een groep, gebruikmakend van de naam Syrian Electronic Army, erin geslaagd toegang te krijgen tot de systemen van Melbourne IT. Het resultaat van deze actie was dat de voorpagina van de NY Times er tijdelijk anders uitzag dan de lezer verwachtte.
Deze actie is niet los te zien van andere criminele internetactiviteiten waarbij toegang tot registratie systemen van registrars wordt verkregen met als doel websites over te nemen en allerlei wijzigingen aan te brengen met als doel andere content dan verwacht op of via die sites te serveren. Het type contentmanipulatie kan verschillen. Van defacing via het verspreiden van malware tot industriële spionage, als eenmaal toegang tot de systemen van registrars is verkregen, is echt veel mogelijk.
De aanval op de NY Times heeft tot zover bekend nu voor het eerst geleid tot suggesties vanuit de securityhoek die alle registrars – zeker hen die gewend zijn voor grotere of internationale organisaties te werken – op termijn kan gaan raken. Het is Patricia Titus, ex-Symantec en ex-Unisys, die als eerste aftrapte. Als antwoord op de vraag: hoe had dit voorkomen kunnen worden, constateert zij dat het aanvragen van een domeinnaam te vaak een typisch voorbeeld is van een haastklus. De opdrachtgever stelt minder eisen en niet zelden zijn het trajecten waarbij de normale controleprocedures door de haast vermeden worden.
Hoewel dit in het geval van de NY Times niet op zal gaan, heeft Titus wel een punt. Het is mede omdat een domeinnaam zo makkelijk te registeren is en tegen extreem lage kosten, dat veel inkopende partijen de bestaande risk assessments achterwege laten. Naar de mening van Titus is dat een doodzonde, mede de uiteindelijke waarde van een domeinnaam die inspanning zonder meer wel rechtvaardigt. Dat laatste zal menig registrar kunnen beamen, het registreren van een naam voor enkele euro’s kan de eerste stap zijn naar een bloeiende online business die vele miljoenen waard is. En waar zit in dat traject de controle op de professionaliteit en integriteit van de registrar? Tom Kellerman, VP bij Trend Micro, werd naar aanleiding van het NY Times voorval geciteerd met de kritische opmerking die menig bestuurder aan het denken dient te zetten: ‘Do you have someone you can call at the registrar – do you even know who to call?’
De vraag van Kellerman is zowel relevant als begrijpelijk vanuit security en BCM optiek, maar merkt de registrar daar wel eens wat van? Eisen VC’s of accountants die startups adviseren en daarbij vaak sturend zijn in het exclusief zaken doen met (ISO) gecertificeerde partijen dat ook de domeinnamen (niet de hosting, puur de namen!) die al jaren eerder zijn vastgelegd bij een bewezen betrouwbare partij worden ondergebracht? Het antwoord is, soms wel. Als langer wordt nagedacht (zie o.a. hier) over de opmerkingen van Titus en Kellerman zal de conclusie zijn dat het vreemd is dat het proces van domeinnamen registreren en beheren tot op heden zo weinig aandacht van security en financiële experts heeft gehad.
De vraag die nu nog gesteld moet worden is: ga je als registrar nu afwachten tot er lastige vragen gesteld worden of zie je dat hier een kans is ontstaan je op positieve wijze te onderscheiden van andere partijen?