Datalekken voorkomen voor 6.2 miljoen domeinnamen
Succesvolle pilot herkennen van mailverkeer naar opgeheven domeinnamen uitgebreid naar hele .nl-zone
Auteurs: Maarten Wullink, Moritz Müller (SIDN Labs), Joost Pisters (Argeweb), Miquel Orozco (Openprovider)
Opgeheven domeinnamen waren in het nabije verleden meer dan eens de oorzaak van grootschalige datalekken. Met LEMMINGS willen we helpen dit te voorkomen. In het afgelopen jaar voerden we samen met 2 registrars, 2 succesvolle pilots uit. Hierbij testten we LEMMINGS bij opgeheven domeinnamen onder het beheer van deze registrars. Op basis van pilotresultaten zetten we LEMMINGS nu in voor het beschermen van álle .nl-domeinnamen. In deze blog delen we onze eerste ervaringen met LEMMINGS en onze plannen voor het komende jaar.
LEMMINGS
Stel, je hebt je .nl-domeinnaam niet meer nodig en je zegt ‘m op. Dan komt de domeinnaam na een quarantaineperiode van 40 dagen weer, voor iedereen, beschikbaar voor registratie. Soms komt het voor dat mensen nog mail versturen naar e-mailadressen die gekoppeld waren aan je oude domeinnaam. Iedereen die jouw oude domeinnaam opnieuw registreert kan dan in principe deze, mogelijk gevoelige, e-mails ontvangen, als ze dezelfde mailadressen aanmaken. Dit gebeurde bijvoorbeeld al eens bij de politie en bij zorginstellingen, waardoor grote datalekken van zeer gevoelige informatie ontstonden. Met LEMMINGS, een acroniem voor deLetEd doMain MaIl warNinG System, proberen we de voormalige houders van opgeheven .nl-domeinnamen te waarschuwen als we detecteren dat er tijdens de quarantaineperiode mogelijk nog legitieme e-mail naar de opgeheven domeinnaam wordt verstuurd. Dit doen we door ze een waarschuwingsemail te sturen als we in het DNS-verkeer voor de opgeheven domeinnaam nog een bepaald niveau van verzoeken voor mail (MX) records ontdekken. LEMMINGS verwerkt hierbij geen informatie over de e-mail zelf zoals bijvoorbeeld de afzender, ontvanger of inhoud van de e-mail. Meer details over de werkwijze van LEMMINGS lees je ook in onze eerdere blogpost waar we LEMMINGS introduceren en op de FAQ-pagina.
De pilots
We evalueerden het LEMMINGS-concept het afgelopen jaar samen met registrars Argeweb en Openprovider via een pilot. Deze uitgebreide testperiode is bedoeld om eventuele onverwachte problemen te vinden, voordat we LEMMINGS voor alle .nl-domeinnamen inzetten. Het doel van de 2 pilots was om de volgende vragen te kunnen beantwoorden:
Hoe goed werkt LEMMINGS?
Wat zijn de ervaringen van de deelnemende registrars?
Wat zijn de ervaringen van de domeinnaamhouders?
Vraag 1 gaat vooral over de technische werking van het systeem. Bijvoorbeeld: doet het wat het moet doen zonder storingen en/of andere problemen? In vraag 2 onderzoeken we, hoe de registrars Argeweb en Openprovider de pilots hebben ervaren. Hierbij willen we onder andere weten of de registrars in LEMMINGS een toegevoegde waarde zien en wat zij van de werkwijze van LEMMINGS vinden. Vraag 3 draait om hoe LEMMINGS-meldingen overkomen op voormalige domeinnaamhouders. Dat is belangrijk om het risico te verlagen dat voormalige houders de LEMMINGS-waarschuwing niet goed begrijpen en onnodig ongerust worden. Deze ongerustheid kan dan leiden tot een toename van vragen bij de supportdesks van registrars en SIDN. De 1e pilot voerden we samen met Argeweb uit. De pilot begon op 1 juni 2021 en liep door tot eind 2021. Het was de eerste echte test van LEMMINGS en daardoor waren we erg benieuwd of alles goed zou verlopen. Aan de technische kant liep alles soepel, alleen had Argeweb al een proactief retentiebeleid, met als doel het aantal domeinnaamopheffingen te minimaliseren. Hierdoor was het lastig om de effectiviteit van LEMMINGS neutraal te beoordelen. We besloten daarom een tweede pilot te starten met Openprovider. Deze pilot startte in september 2021 en liep ook door tot het einde van het jaar. De pilot met Openprovider is om 2 redenen interessant. Ten eerste is het een van de grootste .nl-registrars en ten tweede werkt Openprovider veel samen met resellers. Hiervoor waren extra aanpassingen aan LEMMINGS nodig. In de verstuurde e-mailtekst tonen we nu ook de naam van de reseller als de opgezegde domeinnaam via een reseller geregistreerd werd. Op deze manier weten de domeinnaamhouders bij wie ze terecht kunnen met vragen.
Resultaten
Na afronding van de pilots kunnen we onze onderzoeksvragen proberen te beantwoorden.
Hoe goed werkt LEMMINGS?
Het LEMMINGS-systeem heeft tijdens beide pilots technisch goed gefunctioneerd. Alhoewel het om een prototype gaat, hebben we het systeem wel ontworpen met als eis dat het een hoge stabiliteit en beschikbaarheid moet hebben, ook omdat we na de pilots makkelijk naar de hele zone wilden kunnen opschalen. Voor Argeweb hebben we 8.194 opgeheven domeinnamen geanalyseerd en voor Openprovider 17.437 in de pilotperiode. In totaal stuurden we 1.408 voormalige domeinnaamhouders een waarschuwing. Dit komt neer op ongeveer 5% van het totaal aantal opgeheven domeinnamen van de deelnemende registrars. LEMMINGS kent aan iedere opgeheven domeinnaam een risicocategorie toe. In de pilots viel minder dan 1% van de opgeheven domeinnamen in risicocategorie ‘Hoog’ (zie tabel 1). Het kan voorkomen dat we meerdere domeinnamen samenbundelen in 1 waarschuwingsbericht. Dit voorkomt dat een voormalige domeinnaamhouder, bij meerdere gelijktijdige opheffingen, te veel waarschuwingsmails ontvangt van LEMMINGS.
Risicocategorie | Aantal domeinnamen | Percentage |
|---|---|---|
Laag | 1.015 | 3,97 |
Middel | 184 | 0,72 |
Hoog | 209 | 0,81 |
Tabel 1 Overzicht aantal waarschuwingen per risicocategorie tijdens de 2 pilots.
Wat zijn de ervaringen van de registrars?
Beide registrars zijn zeer tevreden met de pilot. Voor Argeweb sluit LEMMINGS goed aan aan initiatieven die ze al hebben lopen. Argeweb is steeds op zoek naar manieren waarop ze klanten beter kunnen informeren zonder ze bang te maken of onnodig ongerust te maken en LEMMINGS is hier een goede aanvulling. Ook voor Openprovider is LEMMINGS een zeer nuttig initiatief. Ze zijn altijd op zoek naar transparante oplossingen om de veiligheid van hun klanten te verhogen, die eenvoudig te implementeren zijn en zo min mogelijk de processen van hun klanten te verstoren. Tijdens de pilot voldeed LEMMINGS aan deze verwachtingen.
Wat zijn de ervaringen van de domeinnaamhouders?
Voor Argeweb, Openprovider en ons was het heel belangrijk dat domeinnaamhouders de melding van LEMMINGS goed zouden begrijpen en hen niet zouden verontrusten. Zo weet ook Argeweb uit ervaring, dat het vaak moeilijk is technische informatie naar heldere klantinformatie te vertalen die informeert maar niet alarmeert. Om die reden hebben we nauwkeurig in de gaten gehouden, of de deelnemende registrars of wij bij SIDN negatieve reacties van houders ontvingen. Hier kunnen we concluderen dat deze zorg onterecht was. Zowel de registrars als wijzelf ontvingen geen negatieve reacties en alleen enkele vragen. Ook bij de helpdesks van de resellers van Openprovider bleef het rustig. Natuurlijk wilden we ook weten of houders na onze waarschuwing actie ondernamen. Van de 1.408 domeinnamen waarvoor LEMMINGS een waarschuwing verstuurde, werden er 5 weer uit quarantaine gehaald. Dat is 0,4% van alle gewaarschuwde domeinnamen. Van alle .nl-domeinnamen die in dezelfde periode opgezegd werden, werd maar 0,2% weer uit quarantaine gehaald. Het lijkt er dus op dat het bericht van LEMMINGS een effect heeft, maar de impact is vanwege de kleine getallen nog steeds lastig om te meten.
Conclusie
LEMMINGS verstuurde vanwege de beperkte opzet en looptijd van de pilots relatief weinig waarschuwingen. Ook werden er relatief weinig opgeheven domeinnamen uit quarantaine gehaald. Wat overigens geen doel op zich is natuurlijk. Domeinnaamhouders kunnen ook op andere manieren ervoor zorgen dat er geen gevoelige e-mails meer naar hun verlopen domeinnamen worden verstuurd. Desondanks hebben we hierdoor nog onvoldoende data om heel duidelijke uitspraken te doen in hoeverre LEMMINGS bijdraagt aan het voorkomen van datalekken. Tegelijkertijd zijn Argeweb, Openprovider en wij op basis van de 2 pilots van mening dat LEMMINGS zeker een nuttige aanvulling is op het voorkomen van datalekken en het beter beschermen .nl-domeinnamenhouders, omdat de impact van een datalek groot kan zijn. Zo wil Argeweb graag dat de pilot met LEMMINGS breder uitgerold gaat worden. Uit de ervaring van Argeweb lijken hun klanten zich echt onvoldoende bewust van het weggooien van waarde of het risico van het opzeggen van een domeinnaam. Daar willen ze graag verandering in brengen. Ook Openprovider vindt dat, als het gaat over security je nooit genoeg kan doen. Ook zij hopen daarom dat LEMMINGS verder wordt ingezet en dat daarnaast nieuwe projecten worden bedacht om onze domeinnaamhouders te beschermen.
Hoe verder?
Om LEMMINGS beter te kunnen evalueren, en meer .nl-domeinnamen te kunnen beschermen, hebben we in overleg met de Vereniging van Registrars (VvR), de branchevereniging voor alle .nl-registrars, besloten om LEMMINGS in een derde langdurige pilot uit te breiden naar de hele .nl-zone. Hierdoor kunnen we meer, potentieel kwetsbare, domeinnamen beschermen en ook de impact van LEMMINGS beter inschatten. We verwachten in maart met deze derde pilot te beginnen voor een periode van een jaar. Op advies van de VvR voegden we voor de nieuwe pilot 3 extra functies aan LEMMINGS toe:
Alle registrars doen automatisch mee, maar we bouwden een afmeldmogelijkheid (opt-out);
Registrars kunnen ervoor kiezen om de LEMMINGS-meldingen zelf te ontvangen en vervolgens zelf, geautomatiseerd, de domeinnaamhouders te waarschuwen; en
LEMMINGS stuurt een keer per week een overzicht naar deelnemende registrars van alle opgeheven domeinnamen onder zijn beheer waarvan de voormalige houders door LEMMINGS zijn gewaarschuwd.
Uiterlijk 2 weken voor aanvang van de nieuwe pilot informeren we de .nl-registrars uitgebreid hierover.
