Därför är IIS ingen internetpolis

Jag tror inte att det går en vecka utan att jag minst en gång behöver förklara varför IIS inte har möjlighet att agera mot webbsidor som misstänks bedriva oseriös eller olaglig verksamhet. Det sker i alla våra kontakter med privatkonsumenter, företagare och med myndigheter.

Read this blog entry in English.

Men med anledning av att Svensk Handels säkerhetschef på Twitter nyligen menade att IIS borde göra mer än vad vi gör, tänkte jag förklara det här med adressering och innehåll lite mer ingående.

Vi börjar med den första lilla puckeln som vi behöver ta oss över, som brukar låta nåt i stil med:

  1. “–Vaddå, domännamn och webbsida, det är ju samma sak!”

Nej, så är det inte, utan domännamn är endast vägvisare (alias) som underlättar för besökare att hitta webbinnehåll / webbsidor / hemsidor. Det är egentligen så att våra datorer besöker varandra genom att IP-adresser berättar var de finns, men eftersom vi människor i regel kommer ihåg ord bättre än sifferkombinationer så skapades DNS, Domännamnsystemet som översätter domännamn till IP-adresser.

Exempelvis är alltså iis.se bara ett alias eller vägvisare till IP-adressen 91.226.36.46, som är IPv4-adressen för denna hemsida och även om adressen iis.se skulle försvinna så finns hemsidan kvar. För att göra det än mer komplicerat finns det ingen begränsning i hur många “alias” en webbsida kan ha, besök exempelvis nic.senic-se.se eller varför inte iis.nu. Vem som helst kan länka sitt domännamn till någon annans webbsida utan att denne känner till det. Ett exempel är hjalpa.nu.

För den som vill lära sig mer om domännamn eller hur DNS (domännamnssystemet) fungerar, har vi två bra guider. Domännamn samt DNS – internets vägvisare.

  1. IIS och lagarna

IIS är ett domännamnsregister (Registry) för alla registrerade domännamn som slutar på .se eller .nu. (som är så kallade landstoppdomäner för Sverige och den lilla önationen Niue). Registreringsvillkoren skiljer sig ganska lite åt mellan båda, men för .se så lyder IIS under en speciell svensk lag, som kallas för “Toppdomänlagen” (SFS 2006:24) och som IIS måste följa. PTS, Post- och Telestyrelsen, är tillsynsmyndighet gällande lagen.

Utöver det så behöver IIS förhålla sig till PUL, Personuppgiftslagen, vilket innebär att IIS är förhindrade att visa personuppgifter för innehavare som endera är privatperson eller enskild firma via kontaktinformationen på iis.se.

IIS jobbar i vår tur genom ett återförsäljarled, eller registrarer som våra ackrediterade partners kallas. Det är många gånger webbhotell som tillhandahåller andra tjänster som webbhotellsutrymme och e-mail. Men en partner kan lika gärna vara en ren domännamnsregistreringstjänst, eller en advokatfirma som skyddar sina klienters varumärken för att ta ett exempel. Dessa registrarer finns sedan runtom i hela världen, i skrivande stund 147 stycken .se-registrarer i 13 länder och 88 stycken .nu-registrarer i 13 länder.

Det är genom dessa registrarer som kunderna registrerar domännamn och blir innehavare (även kallat registrant) till domännamnen. Det är här villkor accepteras och avtal ingås mellan registrar (partner) och registrant (innehavare). I samma skede som registraren registrerar domännamnet, skickas uppgifterna till IIS som registrerar dem i databasen över innehavare. Det gör IIS till registerhållare för .se-domäner, på samma sätt som Bolagsverket för register över bolagsnamn och Transportstyrelsen register över fordons registreringsnummer.

  1. ”–Men, innehavaren står ju på bedrägeriwebbsidan!”

Vi har alltså en innehavare av ett domännamn. Det är denne innehavares frihet att använda sitt registrerade domännamn på det sätt hen finner det lämpligt, men även dennes ansvar. För de svenska lagarna gäller ju såväl utanför som på nätet (där de är tillämpliga). Men innebär det att innehavaren av domännamnet behöver vara densamma som innehavaren av webbsideinnehållet? Nej, inte alls, en innehavare kan hyra ut domännamnet eller det kan vara registrerat på en privatperson medan innehållet drivs av ett bolag eller annan person eller tvärtom.

I rollen som abuseansvarig på IIS får jag ärenden som kan handla om försäljning av piratkopior av läkemedel eller kläder, narkotikaförsäljning, bild- och textstölder, ärekränkningar och förtalsbrott, vapenförsäljning och hatbrott, stöldgods och spam, trojan- och virusspridningar, phishing och smishing, renommésnyltning och “ID-kapning”, bedrägerier och mycket, mycket mer i olika allvarsgrad.

Men här finns det saker som kan och bör nämnas: Om vi säger att valfrittvarumarkeoutlet.seär adressen till en sida som det klagas mycket på eftersom de tar emot beställningar och betalningar av attraktiva teknikprylar utan att leverera dem, så är det ju inte adressen som är bedräglig, utan webbsidans innehåll.
Som jag visade tidigare försvinner inte innehållet för att någon tar ner en adresskylt, utan den går ju snabbt att ersättas av valfrittvarumarke-outlet.sevalfritt-varumarkeoutlet.se eller varför inte valfrittvarumarkeoutlet2.se.

  1. ”–Ni måste ju kunna stänga av dem?”

Det händer att olagligt eller bedrägligt innehåll på nätet anmäls till polisen, men även då kan det finnas försvårande omständigheter. I vissa fall bryter webbinnehållet mot webbhotellets avtal som förbjuder “speciellt webbinnehåll”, vilket gör att webbhotellet kan ta ner innehållet från nätet. Men det kan likväl vara så att webbinnehållet ligger på en server i annat land där svensk lag och svensk polis saknar mandat att verka.

I dessa fall kan det tyckas naturligt att vända sig till IIS, men det är absolut inte självklart att IIS ska agera. Just nu prövas vilket ansvar IIS kan ha i sin roll som toppdomänadministratör.

Det är egentligen ganska enkelt: IIS är ingen internetpolis och domare som själva kan avgöra “lagligt från olagligt webbinnehåll”, utan förlitar oss precis som alla andra på svensk rättsordning. Vilket innebär att den som anser sig ha blivit utsatt för brott bör polisanmäla detta. Den svenska polisen är polis på och utanför svenskt internet och tillämpar svenska lagar där det är möjligt.

Efter det att ett avgörande beslut om att ett domännamn ska avregistreras har vunnit laga kraft, kan IIS agera enligt 6.4 i IIS registreringsvillkoren.

Summa summarum. Oavsett vad som skrivs på Twitter är min bedömning att IIS och jag själv gör vad vi kan i form av tips, utbildning och samverkan, mot bland annat bluffakturor.

Artikeln har inga etiketter Foto: STOP av planetlight (CC BY 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Peter Forsman Abuseansvarig på IIS

Hanterar abuse-ärenden för hela .se-zonen och är en av Sveriges främsta experter på nätbedrägerier. Peter har varit verksam inom IT-sektorn sedan mitten av 90-talet och har erfarenheter från flera olika roller i domän- och webbhotellbranschen.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Sebastian Nielsen 9 februari 2016, kl 12.50

    En sak jag inte riktigt förstått, är varför ni inte kan spärra domänen, dvs att ni i erat register markerar domänen som reserverad och upptagen, fram tills att den period som betalats har gått ut.

    Självklart skall man bara göra detta i helt 100% gröna fall där det är totalt bombsäkert att domänen inte kan användas för något berättigat ändamål.
    Ett exempel är domänen ”returnerablocket.se”, vilket är en domän som var avsedd för phishing, själva domänen är vald på ett sådant sätt att den endast kan användas som phishing (För vilket syfte skulle domänen ”returnerablocket.se” passa om man inte tillhör organisationen Blocket AB?), samt att det låg en falsk kortbetalningssida i roten på webbservern. Ta ett annat exempel, om någon, som inte tillhör koncernen Nordea AB skulle registrera ”uppdateranordea.se”, tycker du det ska vara okej då att någon använder era tjänster för att lura av kunder deras bankinloggningar? Och till vilket syfte kan ”uppdateranordea.se” användas, förutom att lura av kunder bankinloggningar?

    Men sålänge alla kontroller klaffar och allt ser ut att vara gönt:
    1 – sidans domän i sig själv (dvs om man tänker sig att man plockade bort webbsidan), är den syftad för olagliga ändamål? Check!
    2 – Sidan är ej uppsatt i test/demosyfte (exempel: http://www.internetbadguys.com )? Check!
    3 – Sidan är ej avsedd för personer utanför sverige? Check!
    4 – Domänen i sig, kan av dess nuvarande innehavare INTE användas för legitima ändamål? Check!
    5 – Domänen används i olagliga syften? Check!
    6 – Det är bråttom, om sidan ligger uppe kan folk bli drabbade? Check!
    7 – Nedstängning av domänen ger verkan, ett exempel där en nedstängning av domänen inte ger verkan är till exempel piratebay, ett annat exempel är någonstans det bedrivs narkotikaförsäljning (för köparna lär ju hitta till sidan på ett eller annat sätt ändå). Men att stänga ner en uppenbar phishingsida såsom ”returnerablocket.se” eller ”uppdateranordea.se” eller liknande, kommer ge garanterad 100% verkan, för de konsumenter som fått phishingmejlet kommer givetvis inte kunna komma in på sidan, ringa företaget (blocket, nordea etc), som då säger ”Men nej, det är phishing, släng mejlet”.

    Det roliga var, att när jag skickade mejlet till eran abuse-avdelning, så blockerade erat virusfilter mejlet med anledningen ”Phishing”, dvs att den kände direkt igen att ”returnerablocket.se” var en bedrägerisida, så jag fick skriva typ ret*urner*ablo*cket.se för att komma runt filtret. Det blev extra ironiskt då det då blev så att ni tydligen kände till att sidan var en bedrägerisida.

    Självklart förstår jag att ni inte kan agera internetpolis, men ni borde faktiskt ha en möjlighet att blockera domäner, men som enbart görs enligt en VÄLDIGT snäv bedömning där bara uppenbara fall plockas, och där man vet att de som kommer begagna sig av sidan, inte kommer börja leta vägar runt spärren.

    Tänk lite ungefär som ”envarsgripande” som bara får göras i ett väldigt snävt fall, och det är när man bevittnat någon begå (och fullbordat) ett brott som har fängelse på straffskalan.

    Svara
    • Sebastian Nielsen 9 februari 2016, kl 12.55

      Jag läste igenom dokumentet som ni länkade till, och där borde ni faktiskt kunna avregistrera/deaktivera uppenbara phishing-domäner i enlighet med punkt 6.1.4, utan att behöva ett lagakraftvunnet domstolsbeslut.

      Svara
      • Peter Forsman
        Peter Forsman 9 februari 2016, kl 15.03

        Hej igen Sebastian, Hade du varit bekväm med att Transportstyrelsen drog in din bils registreringskyltar för att du kört för fort också? Eller att PostNord tar tillbaka ditt företags postbox för att du slarvat med skatten?
        Jag tror att vi gör bäst i att fortsätta se på domäner för vad de är: alias för IP-adresser. Phishingsidors innehåll är ju som bekant någonting annat och tillika en annan parts (hostingleverantörens) ansvar.

        Svara
        • Sebastian Nielsen 10 februari 2016, kl 02.13

          I det här fallet skulle man kunna jämföra en domän ungefär med transportstyrelsens ”Personliga Skyltar”-tjänst ( https://personligskylt.transportstyrelsen.se/ ), och självklart i det här fallet, om någon skulle registrera namnet ”TAXIBIL” utan att vara legitimerad taxi och det slank igenom och folk använde det för att köra svarttaxi, självklart att man skulle plocka in skyltkombinationen då, särskilt om folk skulle bli lurade på sidan.

          Så jämförelsen ”fortkörning” haltar lite, iom att brottet fortkörning inte är relaterat till skylten så att säga. En phishingsida som ligger uppe på säg ”uppdateranordea.se”, då har ju domännamnet en delaktighet i själva brottets utförande, precis som skylten ”TAXIBIL” på en svarttaxi.

          Personligen tycker jag man bör se över reglerna och kunna använda punkt 6.1.4 till att avregistrera en sida, men bara när domänen är avsedd för det olagliga ändamålet ifråga, dvs bedömningen skall vara relativt hård och domänen skall bara stängas ner i undantagsfall.
          Exempelvis domänen ”returnerablocket.se” är ju faktiskt avsedd för phishing, medans domänen ”linasblogg.se” är inte avsedd för phishing, även om det skulle ligga en phishingsida på linasblogg.se .

          Du förstår min poäng va? Där man gör en bedömning utifrån själva domännamnet, om själva domännamnet är avsett för att användas i brott, där denna bedömning sedan kombineras med innehållet på hemsidan (om det är en brottslig sida där) och om båda bedömningar landar på att det handlar om brott, då deaktiverar man domänen.

          Självklart har jag förståelse för att man ska gå till hostingleverantören primärt, men då hostingleverantören inte hade någon abuse-adress så fick man leta runt till olika uppströms ISPs, och sidan låg uppe i flera månader trots åtskilliga mail till olika abuse@-adresser och när det gäller phishing så är det rätt bråttom att få ner sidan, oavsett om nertagning sker hos hostingleverantören eller om nertagning sker genom deaktivering av domänen (båda åtgärder får avsedd effekt), eftersom för varje minut sidan ligger uppe riskerar ytterligare en kund att få sina kortuppgifter stulna.

          Svara
          • Peter Forsman
            Peter Forsman 10 februari 2016, kl 10.06

            Hej igen Sebastian,

            Ja, du kanske har rätt i att det inte var de bästa liknelser, men visst förstår jag vad du skriver och dina argument.
            Men jag håller för den delen inte med dig om IIS roll i sammanhanget, lika lite som att jag ser att Transportstyrelsen ”ta tillbaka” en registreringsskylt med anledningen du uppgett.

            Detta eftersom ”svarttaxiverksamheten” behöver ha fastställts av en rättsvårdande myndighet innan den informationen kommer till Transportstyrelsen.
            Eller menar du att Transportstyrelsen ska agera ”användningspoliser” av hur samtliga registrerade fordon används?
            Jag tror inte det är en verklighet någon av oss skulle uppskatta, där organisationer och myndigheter godtyckligt och egenmäktigt sätter sig över rättsordningen.

            För .se och .nu-domäner så gäller ”Fritt för alla” och ”Först-till-kvarn” för samtliga lediga domännamn – men det handlar om tilldelning av domännamn (att likna med ”namnskyltar”).
            Naturligtvis håller jag med dig om att det är olyckligt varje extra timme en bedräglig webbsida ligger publicerad och riskerar att skaffa sig fler offer.
            Men som jag redan berättat, så var berörda parter informerade av IIS redan innan du tog kontakt med IIS.
            Vilka turer ärendet sedan haft, har inte IIS någon vetskap om.

            Men jag håller alltså inte alls med dig om att registreringen av ditt exempel [returnerablocket.se] i sig skulle vara olaglig, utan det är först när domänen används i detta sammanhang som detta sker.
            Och då är det fortfarande inte registreringen i sig som är olaglig, utan det publicerade webbsideinnehållet som är det.
            Visst kan registreringen av nämnda domän vara tvistig och det kan till och med röra sig om ett rättighetsintrång (beroende på hur domänen används), men då handlar det om en tvist rörande bäst rätt till domännamnet eller alternativt brott mot marknadsföringslagen (civilrättsligt).

            Svara
            • Sebastian Nielsen 10 februari 2016, kl 20.44

              Jag förstår inte alls vad du menar nu? ”Sätter sig över rättsordningen”?

              Om Transportstyrelsen får upprepade rapporter på att en skylt missbrukas till bedrägerier, så kan de givetvis dra in den i väntan på rättsbeslut, dvs ”inhibition”. Samma om man blir tagen av polisen för svarttaxi, då tas i det här fallet de personliga skyltarna in fram tills ärendet avgjorts. Under tiden får man helt enkelt använda sina vanliga skyltar. Det är ett av villkoren man får godkänna när man betalar in avgiften för personlig skylt.

              Självklart innebär inte det att Transportstyrelsen agerar användningspoliser, utan det är helt enkelt bara sunt förnuft. Om ett tiotal personer ringer in och rapporterar att någon kör svarttaxi utan taxameter och lurar, och att de blir lurade på grund av att det står ”TAXIBIL” på regplåten och de då tror att de har taxitillstånd, självklart kommer transportstyrelsen agera och spärra skyltkombinationen, även fast inget domstolsbeslut finns.

              Precis som att ni via 6.1.4 har en liknande rätt att enligt avtalet stänga av ett domännamn utan domstolsbeslut.
              Varför finns ens 6.1.4 i erat avtal om ni inte använder er av den punkten?
              Vad har egentligen 6.1.4 för syfte?

              Såvitt jag vet har inte varken IIS eller några andra organisationer någon kontraheringsplikt, och kan fritt neka att utföra en viss tjänst, trots att det inte finns något rättsbeslut på att tjänsten har använts till, eller kommer användas till, brott.

              Därför ser jag inte det att ”sätta sig över rättsordningen” att tillfälligt spärra en domän fram tills att ärendet avgjorts. Det kan jämföras med en bredbandsoperatör som stänger av en kund för att denne begår olagliga aktiviteter i enlighet med abuse-rapporter. Man behöver altså inte vänta tills ärendet avgjorts i domstol. (Banhof är dock hårda på att det ska finnas domstolsbeslut/myndighetsbeslut/polisanmälan innan de agerar när det rör något som har med brott&rätt att göra, men hissen går ju liksom inte ända upp hos abuseavdelningen hos Banhof. Gör man samma abuseanmälan till exempel Comhem så ryker kundens anslutning omedelebums efter att de kollat i någon logg bara). Faktum är att operatören behöver inte återinkoppla kunden efter att ärendet avgjorts till kundens fördel i domstol, eftersom operatören har som sagt inte kontraheringsplikt, och kan fritt välja vem de vill ha som kunder.

              Det enda som ett avgörande i domstol har för betydelse, är om man blir skyldig att betala bindningstiden ut för den avstängda uppkopplingen. Med andra ord, om ärendet i domstol kommer till operatörens fördel så blir kunden skyldig att betala för uppkopplingen bindningstiden ut, trots att den är avstängd, då det är kunden som brustit i sitt åtagande. Om ärendet är till kundens fördel så slipper kunden betala för resterande månader i bindningstiden. Möjligtvis att operatören blir skyldig att betala tillbaka pengar för den tid som betalats men då uppkopplingen varit avstängd. Sedan händer inget mer, eftersom det som sagt inte finns någon kontraheringsplikt.

              Men operatören blir inte någonsin, skyldig att återinkoppla kunden. Det är något som operatören väljer själv, av vilken anledning som helst. Operatören kan helt enkelt säga att ”Vi litar inte på att kunden kommer betala”.

              Och såvitt jag vet har IIS ingen kontraheringsplikt heller, om en begäran att registrera eller förnya domännamn X kommer in, så är inte IIS skyldig att acceptera den begäran, utan kan fritt neka den begäran, av vilken anledning som helst, tillochmed en sådan enkel anledning som att ”kund har betalningsanmärkningar” (trots att domäner betalas i förskott).

              På samma sätt skulle IIS kunna agera i enlighet med punkt 6.1.4. Eftersom ett domännamn betalas i förskott, så finns det inget problem med att en kund vägrar betala en faktura, och därför behöver IIS aldrig själv dra några ärenden inför domstol.
              Det innebär att IIS kan då fritt stänga av ett domännamn sålänge det sker i enlighet med avtalet. Sedan blir det upp till kunden att stämma IIS inför domstol för att återfå rätten till sitt domännamn. Detta oavsett om grundärendet (brottet) avgjorts inför domstol eller ej. Om grundärendet inte avgjorts, så skulle antagligen domstolen ge IIS rätt permanent, vilket skulle betyda att spärren blir permanent, även om individen sedan blir friad för brottet ifråga, eftersom det i punkt 6.1.4 inte finns något krav på att ärendet ska ha avgjorts rättsligt, och eftersom varje ärende kan bara prövas en gång, förlorar då kunden permanent, även om kunden frias i brottsmålet senare.

              Om däremot ärendet avgörs efter att grundärendet avgjorts, så kommer ärendet antagligen avgöras i samma riktning som grundärendet, dvs om kunden bedömdes vara skyldig till brottet ifråga så vinner IIS, annars vinner kunden.

              Jag tycker ni borde ta upp detta i ett möte och kanske revidera avtal och sådant för att snabbare får ner bedrägerisidor. Självklart, som jag säger, måste denna möjlighet, om den införs, användas mycket sparsamt, så man inte stänger ner ”fel” (dvs oskyldiga) domäner.
              Kanske genom att ni har en abusegrupp på 2 oberoende personer (man aliasar brevlådan abuse@iis.se till 2 personer), och båda måste ”OK:a” på att en domän spärras, innan den spärras. Då minskar risken för felbedömningar och liknande markant.

              Sedan undrar jag varför du hänvisar till 6.4 (som faktiskt kräver att ärendet avgjorts rättsligt) när 6.1.4 inte kräver detta? Just 6.1, 6.2, 6.3 och 6.4 är 4 olika anledningar som en domän kan deaktiveras, dvs det är ett logiskt ”ELLER” mellan dessa 4 anledningar.

              Svara
              • Peter Forsman
                Peter Forsman 11 februari 2016, kl 12.58

                Hej igen Sebastian,

                Rörande tilldelning av domänamn av .se-domäner, så lyder .se under den sk Toppdomänlagen (SFS 2006:24), där 7 § hanterar att reglerna bla ska vara öppet och icke-diskriminerande.
                http://www.riksdagen.se/sv/Dokument-Lagar/Lagar/Svenskforfattningssamling/_sfs-2006-24/
                Reglerna (registreringsvillkoren) säger sedan ”Först-till-kvarn” för ”Vem-som-helst”, utan förprövning för alla lediga domännamn under .se.
                https://www.iis.se/docs/Registreringsvillkor_sv.pdf

                Rörande kontraheringsplikt eller inte;
                IIS är inte avtalspart med slutkunden, utan det är registrar som ingår avtal med kunden. Registrar kan inte neka kund registrering (om förutsättningar enligt registraravtalet är uppfyllda)
                Se: https://www.iis.se/docs/Registraravtal-reviderad-version-150101.pdf

                Vad sedan gäller frågor om villkorstexter och liknande, så är det säkert mer givande att kontakta Juridikavdelningen på IIS för frågor och åsikter om det, då når dem på juridik@iis.se eller i annat fall kontakta tillsynsmyndigheten PTS.

                Mvh
                Peter Forsman

                Svara
    • Peter Forsman
      Peter Forsman 9 februari 2016, kl 15.03

      Hej Sebastian,

      Du skriver själv att man bara ska spärra domäner som man är 100% säker på inte kan användas för något berättigat ändamål.

      Men saken är ju den att alla registrerade domännamn kan användas för för allting (läs: ”berättigade ändamål”). Precis alla domäner kan användas för alla typer av ändamål: webbsideadresser, e-postadresser, namnservrar, FTP:er osv. Och det är helt upp till innehavaren att själv avgöra på vilket sätt domänen används.Här kan du se lite statistik över hur .se-domäner används: https://www.iis.se/domaner/statistik/anvandning/domanstatistik-se/

      Om vi återgår till din exempeldomän ”returnerablocket.se” som du mailade oss om i höstas, så vet du ju också vårt svar till dig om att vi då redan informerat Blockets säkerhetsavdelning samt Polisen om aktuell aktivitet under domännamnet. Jag vet inte om det är anledningen till att brandväggar och filter reagerat, men jag vet att Blockets säkerhetsavdelning är mycket snabba med att initiera begäran om TD (Take down) hos den administerande registraren/hostingleverantören. Jag är väl bekant med den typ av phishingsidor du avser och låt mig försäkra att det sker frekvent informationsutbyte när det gäller den typen av webbsideinnehåll.

      Vad gäller skadlig kod och ”filter”, så sker mycket prevention och tidiga varningar i det ”tysta”, med tjänster som http://sakrare.ikyon.se/ som dygnsvis larmar administrerande leverantör.

      I slutändan tror jag att det har viss påverkan till att Sverige är bäst-näst bäst i världen vad gäller smittade klientdatorer. Se sidan 11: http://docs.apwg.org/reports/apwg_trends_report_q1-q3_2015.pdf

      Svara