Conformidade com o GDPR obrigará a ICANN a mudar o sistema WHOIS

Em 25 de maio, o Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) entrará em vigor e poderá tornar o trabalho de resposta a incidentes muito mais difícil para os pesquisadores de segurança. Por um simples motivo: o novo regulamento obrigará a ICANN a fazer mudanças no sistema WHOIS, para adequá-lo aos princípios estabelecidos pelo regulamento em relação à proteção da privacidade dos cidadãos europeus.

O WHOIS é o sistema de consulta ao banco de dados dos responsáveis pelos registros de nomes de domínio na Internet. De acordo com as regras do ICANN, qualquer domínio registrado na Web precisa de um registro WHOIS publicamente acessível que lista vários contatos com seu endereço físico, endereço de e-mail e número telefônico.

e acordo com a Wikipedia, o WHOIS apresenta três tipos de contato para cada domínio: Contato Administrativo (Admin Contact), Contato Técnico (Technical Contact) e Contato de Cobrança (Billing Contact). Estes contatos são informações de responsabilidade do provedor de internet, que as nomeia de acordo com as políticas internas de sua rede.

Por isso, a consulta ao WHOIS é uma das principais ferramentas de investigação  utilizadas por profissionais de segurança para  lidar com cibercrimes.  Geralmente, é a primeira parada durante uma resposta a incidentes, como forma fundamental de os profissionais de segurança chegarem aos proprietários de sites quando hackeados para hospedar páginas de phishing, ou de rastrear vítimas de cibercrimes, fontes e cibercriminosos.

Tempos atrás, a ICANN  escreveu para as autoridades de proteção de dados de cada um dos 28 estados membros da UE pedindo orientação a respeito da sua proposta de criação de  um modelo de conformidade provisório para o WHOIS.  Na prática, queria que as autoridades europeias a  ajudassem a manter o WHOIS em sua forma atual, até que uma política revisada para o sistema  equilibrasse questões críticas, como o direito dos responsáveis pelos domínios à privacidade de seus dados e a necessidade de informações da comunidade, conforme escreveu Goran Marby, presidente e CEO da ICANN, em um post no blog da entidade.

No início deste mês, foi a vez da ICANN receber uma carta do Grupo de Trabalho do Artigo 29 (WP 29), com recomendações sobre o Modelo Provisório de Conformidade da organização com os contratos da ICANN e o GDPR, informando que o WHOIS precisa mudar, de fato, porque da forma como está o sistema realmente fere o principio do regulamento que exige que as empresas obtenham consentimento prévio para listar qualquer informação pessoal sobre residentes na União Europeia.

"A menos que haja uma moratória, talvez não consigamos mais  manter o WHOIS", respondeu a ICANN, ressaltando que, sem a resolução desses problemas, o sistema se tornará fragmentado. E um WHOIS fragmentado não empregaria mais uma estrutura comum para serviços de diretório de registro de domínio de primeiro nível genérico (gTLD).

Problema antigo
Há muito tempo a ICANN sabe que o WHOIS tem muitos problemas de privacidade e segurança.  E que o sistema não estava em conformidade com o GPDR. Mas apesar das reuniões semanais dos últimos dois anos,  não conseguiu apresentar uma maneira consistente de tornar os dados privados.

"Há alguns serviços que cobram para tornar seus dados privados, mas, por outro lado, tomar nomes privados pode apresentar problemas de segurança", disse Michael Fauscette, diretor de pesquisa da G2 Crowd, uma empresa de software e serviços de negócios com base em avaliações de usuários e dados sociais.

A ICANN chegou a estudar 4 diferentes modelos para reformar o WHOIS. Um deles, com mais chance de ser adotado, omite a maior parte dos dados e mantém um formulário de contato para o envio de mensagens para o titular do domínio. "O contato não aparece, só um form, provavelmente com captcha e confirmação do remetente por e-mail", explica Rubens Kuhl, engenheiro do NIC.BR (Núcleo de Informação e Coordenação do Ponto BR).

Esta semana, representantes da ICANN se reuniram com o  Subgrupo de Tecnologia do WP 29 para tratar do tema, e foram informados, pela segunda vez, que a entidade deve mudar fundamentalmente seu serviço WHOIS para torná-lo compatível com a lei de privacidade da Europa já no próximo mês.  Os detalhes da reunião estão descritos em um informe no site da ICANN.

No informe, a equipe executiva da ICANN diz ter entregue pelo menos cinco cartas ao Grupo de Trabalho do Artigo 29 – quatro das quais dominadas por interesses de propriedade intelectual dos EUA, que querem manter acesso irrestrito a todas as informações de registro de nomes de domínio, opina o jornalista Kieren McCarthy em artigo para o The Register.

Independentemente disso, a ICANN apresentou uma matriz de políticas mostrando propostas de solução do problema, uma explicação técnica do WHOIS e um cronograma para implementar uma nova solução no prazo de um ano.

O fracasso da ICANN em resolver a questão, até aqui, já vem sendo apontado por críticos da entidade como um sinal evidente de que a cultura de risco adverso da organização a tornou perigosamente ineficaz para o desenvolvimento de novas políticas de internet.

Para mostrar pensamento estratégico, seria de bom tom que a ICANN apresentasse um plano B o quanto antes, porque tudo indica que os reguladores europeus continuarão se recusando a conceder uma moratória para a entidade.