Amerykańscy specjaliści z Federalnej Komisji Handlu wskazują, iż tropienie znacznej części internetowych oszustw rozpoczyna się od gromadzenia danych zawartych w bazach WHOIS. W praktyce okazuje się jednak, że często zawartość bazy mija się z prawdą.

WHOIS a prawo

Atrakcyjna domena stanowi dla wielu łakomy kąsek. Zwłaszcza w sytuacji, gdy na horyzoncie pojawia się możliwość jej odsprzedaży z niemałym zyskiem. Nie dziwi więc fakt, iż cybersquatting, znany też jako piractwo domenowe, króluje w sieci od jej zamierzchłych początków. Rejestrowanie domen zawierających cudze znaki towarowe stało się na tyle uciążliwe dla firm, że zwracają się one ku środkom prawnym pozwalającym na odzyskanie praw do spornej domeny. W grę wchodzi wytoczenie powództwa lub skorzystanie z coraz popularniejszego arbitrażu domenowego. Pojawia się jednak niezmiernie istotny problem, a mianowicie ustalenie tożsamości osoby spekulującej adresami internetowymi. Z pomocą często przychodzi baza WHOIS. Jest to publiczna baza danych, zawierająca szczegółowe informacje na temat osób rejestrujących domeny internetowe. Wśród nich znajdziemy imię i nazwisko rejestrującego, jego adres, a także dane kontaktowe. Zasadniczym celem funkcjonowania bazy pozostaje możliwość ustalenia osoby dysponującej domeną. Pozwala to choćby na przypomnienie o upływającym terminie rejestracji domeny.

Piractwo domenowe to jeden z wielu, aczkolwiek wymowny przykład związków baz WHOIS z prawem. Domeny internetowe mogą być wykorzystywane w celu prezentacji treści pornograficznych. System przekierowań w dość prosty sposób może przenieść internautę odwiedzającego "neutralny adres" do zasobów przeznaczonych wyłącznie dla odbiorców dorosłych. Rejestrowane za pomocą fałszywych danych domeny stają się również narzędziem internetowych oszustów, dokonujących przykładowo phishingu, czyli wyłudzania danych osobowych i numerów kart kredytowych klientów banków.

Nieprawidłowe dane

Niestety, dane pochodzące z baz WHOIS mogą wprowadzać w błąd. Nagminną praktyką pozostaje bowiem podawanie fałszywych informacji w trakcie rejestracji domeny, co ma pozwolić na uniknięcie w przyszłości ewentualnej odpowiedzialności prawnej.

Ben Edelman na łamach serwisu CircleID słusznie zauważa, że błędy znajdujące się w bazach WHOIS można generalnie podzielić na trzy grupy. Pierwszą z nich stanowią nieumyślne pomyłki. Mogą one wynikać z nieznajomości języka angielskiego przez osobę rejestrującą domenę lub być podyktowane względami technicznymi. Nie można wykluczyć przy tym sytuacji, w której w bazie WHOIS znajduje się nieużywany obecnie adres poczty elektronicznej. Inny rodzaj nieprawidłowości stanowią błędne dane wprowadzane przez użytkowników chroniących w ten sposób swoją prywatność. Największą uwagę zwracają jednak przypadki celowego podania fałszywych danych w celu uniknięcia ewentualnej odpowiedzialności za popełnione następnie nadużycia. Nieprawidłowości w bazach WHOIS wzbudzają również zainteresowanie amerykańskiej Federalnej Komisji Handlu. Jak wskazują eksperci zajmujący się oszustwami w sieci związanymi z domenami, korzystanie z zawartości WHOIS jest jedną z zasadniczych czynności pozwalających na dotarcie do sprawców.

Projekt amerykańskiej ustawy Fraudulent Online Identity Sanctions Act wychodzi naprzeciw tym nieuczciwym praktykom. Przewiduje on kary dla osób podających fałszywe dane do baz WHOIS, a następnie popełniających przestępstwa z wykorzystaniem domen internetowych. Projekt ustawy przewiduje zakaz przekazywania fałszywych informacji kontaktowych organowi rejestrującemu domeny internetowe. Kary za podawanie nieprawdziwych danych mają sięgać 7 lat pozbawienia wolności. Ustawa ma mieć jednakże zastosowanie tylko do tych użytkowników, którzy podali nieprawdziwe dane, a następnie naruszyli w sieci prawa autorskie lub prawa do znaków towarowych.

Niemal natychmiast pojawiły się kontrowersje co do możliwości praktycznego stosowania nowych przepisów. W dotychczasowych komentarzach często pojawia się pytanie, jak traktować sytuację wskazania przez rejestrującego adresu e-mail, z którego obecnie nie korzysta? Czy będzie to podanie mylących i wprowadzających w błąd danych? Faktem pozostaje, iż organy rejestrujące nie mają możliwości zweryfikowania wszystkich danych wprowadzanych do baz WHOIS.

Prywatność rejestrujących

Komentatorzy amerykańskiego projektu ustawy wskazują na potencjalne niebezpieczeństwa wprowadzenia tak restrykcyjnych przepisów. Wprowadzenie nowych zapisów w amerykańskim prawie ujawnia przy tym dalece zakorzeniony spór pomiędzy zwolennikami ochrony prywatności internautów a osobami dążącymi do efektywniejszego respektowania praw własności intelektualnej. Bez wątpienia racje przemawiające za należytym zabezpieczeniem praw twórców są odzwierciedleniem zagrożeń związanych z technologiami informatycznymi.

Pojawia się jednak pytanie, czy można chronić cenne prawa twórców kosztem prywatności rzeszy internautów? Zdaniem przedstawicieli Electronic Frontier Foundation - organizacji zajmującej się ochroną praw obywatelskich w cyberprzestrzeni - ludzie mimo grożących im kar nie zdecydują się na podawanie prawdziwych danych. Użytkownicy na pierwszym miejscu postawią ochronę swojej prywatności. Obawy przed udostępnianiem swoich danych potęgują informacje o spektakularnych oszustwach związanych z podszywaniem się pod tożsamość internautów.

Warto pamiętać, że prywatnością internautów zajmują się też ustawodawcy europejscy. Już kilka lat temu jedna z rekomendacji Unii Europejskiej zakładała, że należy gwarantować zapewnienie anonimowości użytkownikom sieci w sytuacjach analogicznych do tych, w których mogą nie ujawniać swojej tożsamości w "realu". Troskę o zapewnienie przyzwoitego poziomu ochrony prywatności wyraża też rodzima ustawa o świadczeniu usług drogą elektroniczną, która pozwala na anonimowe korzystanie z odpłatnych usług elektronicznych. Warunkiem pozostaje okoliczność, że anonimowe korzystanie jest technicznie możliwe lub zwyczajowo przyjęte.

Inicjatywy ICANN i UE

Warto dodać, że ICANN od dawna zwraca uwagę na niedokładność danych udostępnianych w bazach WHOIS. Świadczy o tym chociażby raport z 2003 r., zawierający propozycje zasad postępowania w przypadku ujawnienia fałszywych danych rejestrującego domenę. Zasadą powinno pozostać weryfikowanie danych znajdujących się w WHOIS raz w roku i jednocześnie przypominanie o konsekwencjach podania fałszywych informacji, którymi może być nawet rozwiązanie umowy o rejestrację. Bieżące analizowanie poprawności zawartości baz WHOIS jest możliwe dzięki wykorzystywaniu oprogramowania wyszukującego niekompletne dane. Pomocne mogą okazać się formularze, za pomocą których internauci mogą zgłaszać przypadki wykrycia fałszywych danych.

W ostatnich dniach marca ICANN opublikowało raport poświęcony problemom związanym z funkcjonowaniem baz WHOIS. Publikacja ma zapoczątkować cykl corocznych opracowań wskazujących potencjalne możliwości eliminacji błędów w danych wprowadzanych do bazy. Jak już wspomniano, polityka ICANN zakłada możliwość rozwiązania umowy w sytuacji, gdy użytkownik umyślnie poda niedokładne lub nieprawdziwe dane, a następnie nie skoryguje owych błędów. Warunkiem rozwiązania umowy pozostaje także brak odpowiedzi w ciągu 15 dni na żądanie organu rejestrującego dotyczące wprowadzenia prawidłowych danych. Wszystkie organy rejestrujące zostały przy tym zobligowane przez ICANN do analizy zgłoszeń nieprawidłowych danych znajdujących się w bazach WHOIS. W konkluzji opracowania wskazano, że w okresie od września 2002 r. do lutego 2004 r. wpłynęło 24 148 potwierdzonych informacji o niedokładnych danych zawartych w bazie WHOIS. Wyniki badania wskazują, iż liczba zgłoszeń w stosunku do konkretnego organu rejestrującego jest proporcjonalna do jego udziału w rynku.

Jednocześnie specjaliści zwracają uwagę na inny problem, którym jest korzystanie z danych udostępnianych przez rejestrujących domeny w celach komercyjnych. Wątpliwości wzbudza zwłaszcza możliwość pozyskiwania w ten sposób adresów e-mailowych przez spamerów. Jedną z metod przeciwdziałania tym zagrożeniom pozostaje stosowanie klauzul umownych zakazujących wykorzystywanie materiałów zawartych w WHOIS przez osoby trzecie w celach marketingowych. Pozostają też inne sposoby zabezpieczania danych przed spamerami. Przykładem może być baza WHOIS dostępna na stronach NASK. Możliwość korzystania z bazy została ograniczona do 100 zapytań w ciągu 24 godz. dla użytkownika łączącego się z jednego numeru IP. Przekroczenie owego limitu prowadzi do zablokowania adresu, a korzystanie z bazy jest możliwe następnego dnia.

Problem udostępniania danych osobowych znalazł się również w kręgu zainteresowań Unii Europejskiej. Świadczy o tym chociażby opublikowana w 2003 r. opinia na temat powiązań zasad ochrony danych osobowych z bazami WHOIS. Autorzy publikacji wskazują na potrzebę wyraźnego wskazania celu, w jakim zostają pozyski-wane dane rejestrujących. Jednocześnie podnoszą, iż warto skupić się na poszukiwaniu metod eliminujących potrzebę umieszczania w bazach danych dostępnych bezpośrednio dla każdego użytkownika sieci. Racjonalnym rozwiązaniem problemu może okazać się przekazywanie przez rejestrujących części informacji jedynie swojemu ISP. Należy przy tym rozróżnić sytuację, w której domenę rejestruje firma od rejestrowania jej przez osobę prywatną. W pierwszym przypadku przepisy mogą bowiem nakładać na firmę obowiązek udostępnienia danych pozwalających na jej identyfikację. Warto dodać, że w rodzimym prawie ochronie podlegają jedynie dane dotyczące osób fizycznych.

Wizja przyszłości

Wszystko wskazuje, że nawet restrykcyjne amerykańskie przepisy nie wpłyną na praktyki rejestrujących domeny. Już teraz niektóre z firm oferują możliwość "prywatnej rejestracji". GoDaddy umożliwia rejestrowanie domeny za pośrednictwem serwera proxy, co pozwala na nieujawnianie swoich danych osobowych w ogólnodostępnej bazie. Usługi tego typu są reklamowane jako możliwość uchronienia się przed spamem i coraz popularniejszą w sieci "kradzieżą tożsamości". Podobne usługi znalazły się w ofercie firmy Network Solution, która proponuje możliwość rejestracji domeny z jednoczesnym zagwarantowaniem ochrony prywatności użytkownika.