Thực trạng WHOIS sau Luật Bảo vệ dữ liệu chung (GDRP)

09:55 PM 09/04/2019 In bài viết

Kết quả hình ảnh cho WHOIS after GDPR: A quick recap for CISOs

Điểm quan trọng đầu tiên các công ty công nghệ cần xem xét, đó là WHOIS. Nói một cách nôm na, WHOIS là từ viết tắt của WHO IS, là một giao thức truy vấn và phản hồi được sử dụng rộng rãi trong việc truy vấn cơ sở dữ liệu của những người dùng đã đăng ký hoặc được ủy quyền về một nguồn tài nguyên Internet như domain name, IP address… Nói cách khác WHOIS giúp người dùng có thể truy vấn thông tin cơ bản của một domain như: Nơi đăng ký, chủ sở hữu, địa chỉ, email, ngày đăng ký, ngày hết hạn… Theo quy định của tổ chức quản lý tên miền quốc tế ICANN, nhà đăng ký tên miền sẽ phải công bố công khai các dữ liệu liên quan đến thông tin tên miền và cho phép bất cứ ai cũng có thể truy cập vào trung tâm cơ sở dữ liệu này (ví dụ: http://www.whois.com) để tìm kiếm các thông tin liên quan đến tên miền.

Có 02 cách để truy cập WHOIS, đó là truy cập vào dữ liệu phạm vi công cộng bao gồm tên miền cao cấp (TLD) và  tên miền quốc gia (ccTLD) cũng như các thông tin cá nhân và địa chỉ của từng người đăng ký. Mặc dù các chi tiết như vậy có thể là những thông tin cần thiết giúp ngăn chặn và theo dõi các chủ sở hữu tên miền độc hại, nhưng không có gì lạ khi giao thức Internet (WHOIS) bị từ chối trong mắt các nhà lập pháp Châu Âu.

Gần đây, ICANN, đã đưa ra một số đề xuất sửa đổi các công cụ tổng hợp thông tin của giao thức và cách cung cấp các tài nguyên như cơ sở dữ liệu cho các bên liên quan khác nhau nhằm tuân thủ các quy định bảo vệ dữ liệu chung. Tuy nhiên, hiện tại việc áp dụng WHOIS vẫn chưa được rõ ràng, nên hãy cùng xem xét tình hình hiện nay và các sáng kiến hiện tại của ICANN. Liệu số phận của WHOIS sẽ ra sao trong tương lai.

Thực trạng hiện nay

Dưới đây là một số khía cạnh quan trọng cần được xem xét như là một phần của việc đưa ra quyết định cuối cùng về việc có nên gắn bó với giao thức truy vấn internet (WHOIS) hay không.

Quyền riêng tư và định danh: Phải đối phó với luật pháp quốc tế, trách nhiệm và quyền truy cập là một thách thức đối với WHOIS, vì vậy nhà sáng lập cần tìm ra điểm chung mà không làm mất đi sự logic và độ chính xác mà dữ liệu miền đã cung cấp. Nhưng nên áp dụng ở đâu? Xác định trách nhiệm pháp lý của các bên cung cấp tên miền có thể khó khăn vì không phải lúc nào cũng biết rõ nơi khách truy cập và nơi cư trú.

Bảo mật: Về vấn đề an ninh mạng, giao thức truy vấn internet (WHOIS) phải đối mặt với một vấn đề nan giải là liệu vấn đề này có nên được công khai hay không. Một mặt khác, dựa trên những dữ liệu được công bố, tội phạm mạng có thể lợi dụng những dữ liệu đó để nhắm vào các cuộc tấn công lừa đảo và spam. Tuy nhiên, các hồ sơ cá nhân sẽ làm giảm khả năng phát hiện các tên miền độc hại của các nhóm an ninh mạng.

Độ chính xác:  Thật dễ dàng để tưởng tượng các hồ sơ có chứa những điểm không chính xác hoặc mất tính hữu dụng như thế nào. Chẳng hạn, chính những người đăng ký tự điền thông tin cá nhân, liên hệ và thông tin vị trí của họ trong quá trình đăng ký tên miền và họ có thể cố tình chọn cách trốn tránh hoặc cung cấp các chi tiết sai lệch .

WHOIS phải tuân thủ nghiêm ngặt GDRP

Tập đoàn Internet ICANN đã nghiên cứu các cách tiếp cận khác nhau để giải quyết vấn đề tuân thủ GDRP của WHOIS, gồm có:

Mô hình mới: Mô hình truy cập mới sẽ được cấp cho người dùng ở các mức độ cho phép khác nhau với những thông tin giao thức internet tùy thuộc vào ý định của họ. Tuy nhiên, ICANN chưa xác định những điều kiện cụ thể nào sẽ được coi là hợp pháp. Các nhà thực thi pháp luật có thể sẽ giữ quyền truy cập vào hồ sơ, ngay cả khi họ ở chế độ riêng tư, nhưng đối với những người khác như các chuyên gia an ninh mạng thì điều này không được chắc chắn.

Dữ liệu sẽ được công bố khi phê duyệt: Với Thông số kỹ thuật tạm thời ngày nay, các hồ sơ và dịch vụ của giao thức internet  sẽ chỉ hiển thị dữ liệu của người đăng ký như thông tin liên hệ của họ sau khi được quản trị viên hoặc người liên hệ kỹ thuật cho phép.

Chiến lược nâng cao nhận thức và giáo dục: Là một phần của sáng kiến được đề xuất này, ICANN sẽ tiếp tục tương tác với các nhà đăng ký, cơ quan đăng ký và chính phủ, để nâng cao nhận thức về các hoạt động của ICANN và các quy trình của giao thức internet (WHOIS). Ví dụ, tổ chức  triển khai các chương trình nâng cao năng lực để đào tạo các cơ quan và các bên liên quan khác về các chính sách và kỹ thuật sử khi dụng dữ liệu của WHOIS.

Tăng cường bảo mật DNS: Một trong những nỗ lực gần đây của là ICANN nhằm tăng cường bảo mật tên miền và giúp WHOIS ổn định và chính xác hơn. Tổ chức đã quyết định tăng cường bảo mật DNS. Điều này đã được thực hiện bằng cách thay đổi khóa mật mã gốc DNS vào tháng 10 năm 2018, với mục tiêu giảm tội phạm mạng  và cải thiện độ chính xác.

Điều gì có thể xảy ra với WHOIS?

ICANN gần đây đã gia hạn việc áp dụng thông số tạm thời của WHOIS thêm 90 ngày nữa, kể từ ngày 19 tháng 2 năm 2019 đến tháng 5 năm 2019. Chính sách tạm thời được thiết lập ngắn hạn, chính là một minh chứng rõ nhất cho việc bắt buộc các đối tượng sử dụng phải thực thi quy định bảo vệ dữ liệu chung của châu Âu.

Tuy nhiên, điều này cũng đã làm dấy lên không ít lo ngại. Khi việc gia hạn tạm thời kết thúc, giao thức Internet (WHOIS) sẽ bị phân mảnh vì một số nhà đăng ký có thể không có lựa chọn nào khác ngoài việc tuân thủ quy định bảo vệ dữ liệu chung (GDPR) , trong khi những người sử dụng khác sẽ phải đáp ứng các nghĩa vụ theo hợp đồng với ICANN.

Hiện tại, ICANN vẫn đang trong quá trình nghiên cứu và tìm hiểu để tìm ra một số giải pháp phù hợp khác với những đặc điểm kỹ thuật tạm thời, nhưng điều đó không có ý nghĩa gì trong thực tế.

Trong khi đó, các nhà chuyên môn đã xác định rằng tên miền quốc gia cao nhất (ccTLD) sẽ không bị ảnh hưởng bởi sự thay đổi chính sách của giao thức internet trong thời điểm hiện tại, vì các cơ quan đăng ký chính thức phụ trách các tên miền cụ thể theo quốc gia có chính quyền riêng biệt tùy thuộc vào chính sách của quốc gia họ.

Dựa trên tình hình thực tế hiện nay, thật khó có thể dự đoán liệu giao thức internet (WHOIS)  có còn là công cụ chính để truy cập thông tin tên miền hay không. Thời gian sẽ trả lời điều đó.

Ngọc Phượng