Antud blogipostitus on 65 kuud vana ning ei pruugi olla enam ajakohane.
Vahetult jaani-nädalavahetuse eel teavitas Eesti Interneti SA oma kauaoodatud otsusest asuda avaldama .EE tippdomeeni “tsoonifaili”. Tsoon muutub kõigile kättesaadavaks 5. juulist. Meie arvates on tegemist väärt täiendusega Eestis vabalt avalikus kasutuses olevatele avaandmetele.
Ühe tippdomeeni “tsoonifaili” sisus pole iseenesest midagi müstilist, tegemist on loendiga selle DNS süsteemi teenindatavatest domeenidest, viidetest neid teenindavatele nimeserveritele ja viimastega seotud IP aadressidele.
Tsoonifail ei sisalda endas domeeniomanike andmeid, domeenide aegumiskuupäevi ega muud põnevat. Need andmed asuvad tippdomeeni registri andmebaasis, kust neid on võimalik pärida kasutades WHOIS protokolli (https://tools.ietf.org/html/rfc3912). Seetõttu võib muretsejate rahustamiseks tõdeda, et märkimist väärt täiendavaid andmekaitseriske tsoonifaili avalikustamine domeenide kasutajatele kaasa ei too.
Kui tähte närida, siis ei ole isegi tegemist failiga, vaid DNS süsteemis andmete vahetamiseks kasutatava autoriteetsete andmete edastusprotokolli (AXFR – https://tools.ietf.org/html/rfc5936) väljundiga, mida igaüks saab soovi korral vaadata ja soovi korral ka faili salvestada.
Lisaks on tsoonifaili sisu, vähemalt suures osas, olnud võimalik tuletada või sellega võrdseid andmeid koguda ka muudel viisidel:
* DNS jõurünnete kaudu, pärides DNS süsteemist automaatselt genereeritud stringe (‘aa.ee’, ‘ab.ee’, ‘ac.ee’ jne)
* sõnastikurünnete abil, pärides sõnastikest pärit stringe (‘aa.ee’, ‘aabe.ee’, ‘aabits.ee’ jne)
* kombineerides jõu- või sõnastikuründeid keerukamate algoritmidega (nagu Markovi-ahelad jms)
* rünnates DNSSEC-i poolt kasutatavaid NSEC3 räsisid (NSEC3 hash breaking)
* veebilehtedelt ja mujalt infot kokku kraapides (Rapid7 Open Data)
* otsimootoritest infot küsides
* lõppkasutajate rekursiivseid nimeserveripäringuid monitoorides
* väljastatud TLS sertifikaate monitoorides (Certificate Transparency)
* ülaltoodud meetodeid kasutades kogutud andmete müüjatelt
* jne
Tsoonifailide sisu levimisele on kaasa aidanud ka juhuslikud andmelekked, näiteks nimeserveri administraatori tehtud näpuvead AXFR õiguste delegeerimisel, mis aastaid tagasi tingisid ka .EE tsooni sisu ajutise avaldamise.
Ülaltoodud põhjustel on “tsoonifaili” sisu saladuses püsimine alati olnud pigem näiline, mitte praktiline ja sõltunud suuresti selle sisust huvitatu tehnilistest oskustest ja motivatsioonitasemest. Kuna parim motivaator on alati raha, siis on seni täpseimad andmekogud olnud domeenidega kauplejate käsutuses. Näiteks NSEC3 räside murdmiseks vajalik kallis graafikakaart võib sellistele kodanikele end ühel või teisel moel reaalselt ära tasuda.
Loodan, et ülaltoodut ei tõlgendata eksklikult minu seisukohana, et tsoonifailide avalikustamisel ei ole mingit reaalset väärtust. Vastupidi, minu arvates on see positiivne areng, sest loob kõigile internetiolelusest huvitatud osapooltele uusi võimalusi uuringuteks, innovatsiooniks ja muuks väärtusloomeks. Samuti tasandab see taaskord mänguvälja ja toob laiema kasutajaskonnani töövahendi, mis seni on olnud vaid “valitute” privileeg.
Samal seisukohal on meie naaberriikidest olnud Rootsi, kes avalikustas oma .SE ja .NU tippdomeenide tsoonid 2016. aastal (Internetstiftelsen Zone Data) ja pole otsust pidanud kahetsema. Arvata on, et Eesti ja Rootsi eeskuju järgivad lähiaastatel nii mõnedki Euroopa tippdomeenide registrid.
Tänase seisuga on tsoonifailide avalikustamises suuremaid riske näinud intellektuaalse omandiga tegelejad: patendivolinikud, kaubamärkide kaitsmisega tegelevad juristid, turundajad jne. Nimelt ei meeldi neile potentsiaal, et kavandatav uus bränd, uus ärinimi, eesootav brändide ühendamine vms lekiks liialt varakult tsoonifaili kaudu välja, kuna enne avalikustamist on registreeritud kõik vastavad seotud domeenid (nii nagu peabki). Selle riski maandamiseks on aga kõige lihtsam võimalus registreerida domeen ja mitte määrata sellele nimeserverikirjeid, siis ei ole Eesti Interneti SA-l põhjust domeeni tsoonifaili genereerida.
Oh magus iroonia…
Ülaltoodu võib tunduda ka veidi irooniline, kuna alles 2017. aastal jõudis Riigikohtu otsusega lõpule kohtuasi, mis oli seotud kellegi domeeninimede kauplemisega tegeleva kodaniku GV [ nimi toimetusele teada ð ] katsega Eesti Interneti SA-lt sedasama müstilist tsoonifaili teabenõude raames välja vaielda.
Eesti Interneti SA keeldus toona andmeid GV-le väljastamast järgmise põhjendusega:
EIS ei ole teabevaldaja ja nõutud teave ei ole avalik teave. Ükski seadus ei reguleeri domeeninimede registreerimist ning EIS tegevus selle ülesande täitmisel ei rajane ühelgi õigusaktil. Teabenõudele vastamine tooks kaasa registreerijate ja kaubamärgiomanike õigushüvede tõsise riive, sest teabenõudjal on võimalik saada juurdepääs teabele, mille avalikustamine ei ole registreerijate huvides. Ka registreerijad ei ole näinud ette teabe avalikustamist.
Tsoonifaili mitteavaldamise hind oli siis Eesti Interneti SA-le õigusabikuludena 16 919,28 eurot, millest küll 4000 eurot mõisteti välja kaebajalt ehk GV-lt.
Kohtuotsuse materjalidega on võimalik tutvuda aadressil https://www.riigiteataja.ee/kohtulahendid/fail.html?fid=212711240
Loomulikult ei olnud siis veel Eesti Interneti SA käsutuses spekulantide ohjamiseks mõeldud oksjoniportaali, mille hiljutine käivitamine ilmselt paljuski tsoonifaili avalikustamise võimaldajaks sai.
Langetame sellegipoolest solidaarselt pea kõikide kohtuasja osapoolte kulutatud aja ja raha mälestuseks, kelle jaoks tsoonifaili avalikustamisel on olnud väga kõrge hind.