EU houdt aanbesteding DNS Resolvers

De Europese Unie heeft een aanbesteding gestart voor DNS-resolvers. Dat berichtten technische media, waaronder Tweakers, naar aanleiding van de tender, die 12 januari 2022 is geopend. De aanbesteding is uitgezet onder het CEF Programma (Connecting Europe Facility: CEF) dat is gelanceerd door de Raad en het Europees Parlement gezamenlijk, richtlijn (EU) 2021/1153

Met de aanbesteding is klaarblijkelijk een budget van maar liefst €80 miljoen gemoeid, verdeeld over 3 percelen, zie de tender onder budget controle: mirror print screen:

Een eigen DNS-resolver is onderdeel van de strategie van de EU om op termijn digitaal onafhankelijker te zijn van grote internationale partijen. Volgens de Unie zijn Europese instellingen en burgers in steeds grotere mate afhankelijk van niet-Europese DNS-resolvers. “De uitrol van DNS4EU gaat over de consolidatie van DNS-oplossingen in de handen van een handvol grote bedrijven”, staat in de aanbesteding. De EU erkent dat er een gebrek is aan investeringen vanuit het continent waardoor nieuwe DNS-infrastructuren amper worden opgezet.

DNS staat voor Domein Naam Systeem en is de techniek waarmee internetadressen worden opgevraagd. De webnaam hangt vast aan een getal (ip nummer) en met het DNS-protocol wordt het met elkaar gemapt. De DNS is een hierarchie dat werkt als een soort gouden gids van het internet. Een DNS resolver de vrager die de queries uitzet waarmee het IP adres bij de naam (of andersom) wordt gevonden. Dat proces van het vragen (uitzetten van quiries) naar het juiste ipnummer, dat hoef je niet zelf te doen maar gaat via een browser of een mailserver.

Het is dus wel opmerkelijk als de EU hier tussen wil zitten en dat leidt ook tot opmerkingen in de technischer pers dat dit een weg is om censuur in te kunnen lassen. Want de DNS resolver van je eigen gading kan bijvoorbeeld ongewenste IP-adressen helemaal niet resolven, of dat nu om goede bedoelingen is of niet. Het einde van vrij internet? Reden tot zorg is er zeker:

Tweak zegt over de aanbesteding:

De EU wil de resolver onder andere gebruiken om op Europees niveau websites te kunnen blokkeren. Zo moeten hostnames van URL’s gefilterd kunnen worden op basis van ‘legale voorwaarden in de EU of nationale jurisdicties’. Daarnaast moet de resolver websites met illegale content zoals malware of phishingpanels kunnen blokkeren. Data daarvoor zou afkomstig zijn van Europese beveiligingsorganisaties, zoals CERTs of landelijke opsporingsdiensten. Opvallend is dat de aanbesteding specifiek stelt dat bedrijven ‘premium- en wholesale-diensten’ voor de resolver kunnen aanbieden. Het gaat dan om opt-in-diensten voor ‘extra beveiliging’ zoals meer filtering, monitoring en bredere ondersteuning.

 

We zochten dat terug in de aanbesteding en vonden het volgende stukje in het begeleidend schrijven, dat meldt over de marktsituatie rond DNS Resolvers:

Yet, the market for cloud services and infrastructure is highly concentrated among a limited number of companies. While some local alternatives exist at national level, none of the pan-European providers is European-owned. Similarly, DNS4
resolution, a critical backbone function to access resources on the internet, is increasingly concentrated in the hands of a few non-European operators, creating overall internet resilience weaknesses, and potentially insecure in terms of guaranteeing privacy safeguards according to EU rules and protection from local cybersecurity threats (e.g. malware and phishing in local EU languages).
This situation is especially problematic for public administrations or public and private entities entrusted with the operation of services of general interest (SGIs 5) or of Services of General Economic Interest (SGEIs6
) as well as critical infrastructures, who are in need for particularly robust and secure backbone networks and interconnection
services such as DNS resolution. Their respective infrastructures are not properly interconnected and alternative (sub)contractors which could provide such services are either too small or not in line with their high demands in terms of data management 7

Het staat er inderdaad zorgwekkend. De privacy, oh gottegot stel je voor we hebben geen privacy. Dus nu: heel internet opnieuw bouwen maar dan zo dat we alles kunnen blokkeren. Aanbestedingsnieuws begint het een beetje op te vallen dat Privacy als nieuw ideaal is omarmd, terwijl andere belangrijke dingen blijven liggen.

Al die ontvoerde kinderen op de achterbank van seriemoordenaars hebben waarschijnlijk maling aan hun privacy, maar een Europese kindervermissingsalertering zoals de Amerikaanse Amber Alert is nog mijlen ver weg, ook al is de software er gewoon. Dat kost echter nog geen 1 miljoen per jaar per land dus had met 28 miljoen makkelijk te regelen moeten zijn voor de hele EU. Waarom dan wel 80 miljoen uitgeven aan iets dat je oma niet uit te leggen valt, een eigen DNS Resolver, om de privacy van wie precies te beschermen, maar niet een krappe 30 miljoen om vermiste kinderen snel op te sporen?

Ook dat valt de oma van Dean niet makkelijk uit te leggen. Was er maar een Europarlementariër die in een motie ervoor zou pleiten om het geld hiervoor in te zetten voor de inkoop van een effectieve kindervermissingsalertering.