Verhuisbericht als digitale verdwijntruc

Het internet is niet meer weg te denken als economische factor. In de e-commerce gaan miljarden om. Wat als hackers een website eenvoudigweg 'kapen'?...

Twaalf miljoen dollar kreeg de Californische zakenman Gary Kremen in januari van dit jaar voor www.sex.com, het internetadres dat hij in 1994 voor een grijpstuiver op zijn naam had laten zetten. Kremen had vermoedelijk meer in de wacht kunnen slepen, als hij de domeinnaam (de aanduiding voor het adres van een website) had kunnen verzilveren tijdens de hoogtijdagen van de internet-hype, aan het eind van de vorige eeuw.

Jarenlang echter wist ene Stephen Cohen sex.com uit Kremens handen te houden, nadat hij de domeinnaam in 1995 via fraude op zijn naam had weten te zetten. Pas in 2000 wees een rechter Kremen aan als rechtmatige eigenaar.

Kremen trof later een schikking met Verisign, het bedrijf dat had toegestaan dat Cohen er met de domeinnaam vandoor ging. Naar verluidt heeft dat Verisign twintig miljoen dollar gekost.

Dergelijke extreme vormen van 'domeinkaping' hebben zich in Nederland nog niet voorgedaan. Grappenmakers registreerden wel eens domeinnamen zoals janpeterbalkenende.nl, beertjevanbeers.nl en benbot.nl, omdat de premier, de tv-presentatrice en de minister hadden nagelaten hun domeinnaam zelf vast te leggen. Diefstal van al geregistreerde, 'grote' .nl-domeinnamen komt nooit voor.

Dat wil niet zeggen dat het niet kan. Het blijkt niet erg ingewikkeld om een domeinnaam te 'verhuizen'. De eigenaar zal zijn internetadres in de meeste gevallen niet langer dan een etmaal kwijtraken - weinig in vergelijking met de langdurige 'gijzeling' van sex.com. Technische kennis is hier niet voor nodig: wat formulieren en een dosis geluk zijn voldoende. Bovendien is dit 'geluk' te sturen.

Het beheer van de domeinnamen die eindigen op .nl (wat een top level-domein wordt genoemd) ligt sinds 1996 bij de Stichting Internet Domeinregistratie Nederland. Bij de SIDN zijn 1,86 miljoen domeinnamen geregistreerd. Het beheer van de internetadressen verloopt grotendeels geautomatiseerd via hostingproviders, bedrijven die websites voor klanten op internet bereikbaar maken. De verhuizing van een domeinnaam verloopt via formulieren, die iedereen kan inzenden.

De SIDN controleert per e-mail of de verhuizing inderdaad gewenst is. Ziet de eigenaar de e-mail over het hoofd, of is het bericht gericht aan een e-mailadres dat onbereikbaar is, dan is de verhuizing binnen een werkdag een feit.

Zo blijkt bij een steekproef het administratief contact van de website van het ministerie van Economische Zaken (grabbelton@minez.nl) onbereikbaar te zijn. Ook de mailadressen van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Nederlandse Spoorwegen (NS) doen het niet. Deze organisaties krijgen het dus niet te weten, als iemand verhuizing van hun domeinnaam aanvraagt.

Woordvoerder Ben Geerlings van de SIDN erkent dat het mogelijk is onrechtmatig domeinnamen te verhuizen. Is de verhuizing eenmaal een feit, dan kan dit niet eerder dan 24 uur later worden teruggedraaid.

Andere toplevel-domeinen zijn beter beschermd. Bij .be en .com is de eigenaar als enige bevoegd de domeinnaam te verhuizen. Geerlings zegt niet op de hoogte te zijn van de uitzonderingspositie van het Nederlandse systeem.

Verbetering lijkt in zicht. In juni komt er een nieuw registratiesysteem waarin zowel aanvrager als domeinnaamhouder worden gevraagd om toestemming. De bedenktijd voor beide partijen wordt verlengd tot drie werkdagen. Jorrit Wensink van de deelnemersadministratie van de SIDN: 'In de nieuwe versie is er wel de mogelijkheid de verhuizing tegen te houden voordat deze wordt uitgevoerd.' Domeinnaamhouders kunnen straks via hun providers vooraf bezwaar aantekenen.

'De SIDN schiet al jaren tekort in de veiligheid van .nl-domeinen en daar zal de vernieuwde registratie ook weinig aan veranderen. Domeinnaamhouders kunnen nog steeds ongemerkt hun domein (tijdelijk) kwijtraken.' Dat zegt Ali Niknam, directeur van TransIP bv - met enkele tienduizenden .nl-namen de achtste hostingprovider van Nederland in omvang. 'De SIDN ziet zich vooral als een juridische organisatie en niet als een technische speler. Dat blijkt wel, want alle problemen worden aangepakt met extra regels en extra formulieren.'

Ook Pauline Middelink van Internet Access Facilities vindt het onbestaanbaar dat domeinverhuizing zo eenvoudig kunnen gebeuren. 'Een correcte provider zal een nette opzegbrief of e-mail maken bij het wegverhuizen van het domein. Als reactie daarop kan de klant weer bezwaar maken. Met het nieuwe registratiesysteem zal het moeilijker worden. Daarin gaan ze met bevestigingsmails werken.' Die methode vindt ze nodeloos ingewikkeld. Middelink pleit voor een unieke autorisatiecode voor opheffing of verhuizing van een domeinnaam.

Danny Mekic, algemeen directeur van hostingprovider Interlize.NET, noemt het beleid van SIDN vooral schadelijk voor providers die domeinaanvragen hebben geautomatiseerd. 'Bij Interlize zit er nog altijd een persoon tussen.' Walter Hop, technicus bij het geautomatiseerde TransIP, vindt dat geen juiste voorstelling van zaken: 'Onterechte verhuizingen zijn voor iedereen een groot probleem. Wij hebben voor binnenkomende verhuizingen zelf een beveiliging geprogrammeerd.'

PvdA-Kamerlid Martijn van Dam betitelt de huidige verhuisprocedure als 'knullig'. Toch zou de politiek volgens hem nu niet moeten ingrijpen. Van Dam: 'De charme van de Nederlandse organisatie van het internet is nu juist dat deze los staat van de overheid. Dat moet zo blijven. Zodra er toch grote problemen ontstaan, zullen bedrijven vanuit hun economisch belang zelf wel druk gaan uitoefenen.'

SP-Kamerlid Arda Gerkens is onthutst door het feit dat .nl-domeinen zo kwetsbaar blijken te zijn. 'Of het nu gaat om de inbraakgevoeligheid van het nieuwe biometrische paspoort, problemen bij invoering van de OV-chipkaart of nu dit met .nl-domeinen: de overheid heeft gewoon geen antwoord op veiligheidskwesties. Het belang van de digitale samenleving wordt zwaar onderschat.'