新闻详情

美国扣押伊朗网站域名事件,ZDNS等专家解读真相

2574
发表时间:2021-07-07 19:56


互联网域名系统国家地方联合工程研究中心

马迪 郭静 卢文哲

北京师范大学互联网政策与法律研究中心

薛虹


美国当地时间6月22日,美国司法部(联邦调查局)会同美国商务部(工业和安全局),关停了包括伊朗国家电视台英语新闻频道Press-TV(“presstv.com”)在内的几十个伊朗网站的域名解析,将这些域名访问劫持到美国政府控制的网站上,导致伊朗在短时间失去大量对外信息传播渠道[1]。本文首先从技术层面复盘了事件过程,然后从法律层面梳理了事件的原委,最后分析了域名治理体系与美国法律的关系,并面向我国企业给出了注册和使用域名的相关建议。


事件过程复盘


2021年6月22日,美国司法部宣布关停(扣押)了33个伊朗伊斯兰广播电视联盟(简称“IRTVU”,已被列入美国SDN清单[2])用于散布虚假新闻的网站和3个真主党(简称“KH”,已被列入美国SDN清单)运营的用于恐怖组织的网站[3]。同时,美国政府在域名注册局(Registry,例如“.com”注册局,美国Verisign公司)的配合下,通过技术手段将这些网站的访问重新定向到新的网页(如图1所示),并在网页上显示了美国司法部联邦调查局(FBI)和美国商务部工业和安全局(BIS)对网站域名的执法处理结果。


图片

图1 被美国实施域名劫持的伊朗网站


由于历史原因,全球大量重要机构和公司的域名注册在“.com” “.org”“.net”等由美国公司管理的顶级域名之下,这些域名是美国政府对其他国家实施制裁的重要标的。在过去二十年间,此类事件屡见不鲜,从美国司法部的网站可以看到,2020年11月4日,美国政府就曾没收伊朗伊斯兰革命卫队用于推进全球秘密影响运动的27个域名,涉及到美国域名注册局公司运行的“.com” 、“.net”、“.org”以及 “.tv”等顶级域名。


经互联网域名系统国家地方联合工程研究中心(ZDNS)技术人员的事后排查分析:此番众多伊朗网站域名被停用是由于美国的域名注册局(美国Verisign公司)配合美国政府的执法行动,通过修改域名解析信息而实施的访问劫持。以涉事之一的伊朗国家电视台英文网站域名“presstv.com”为例:


“.com”注册局在其域名解析系统上将“presstv.com”指向的域名解析服务器由原来伊朗方面管理的服务器ns1.presstv.ir和ns2.presstv.ir

修改为由美国亚马逊公司管理的服务器:

ns-388.awsdns-48.com

ns-977.awsdns-58.net

ns-1088.awsdns-08.org

ns-1900.awsdns-45.co.uk


美国亚马逊公司同时在以上域名解析服务器中,将相关伊朗网站的域名解析指向了美国亚马逊公司云服务提供的IP地址,并在这些IP地址对应的网站主页上显示一张美国政府的公告图片(图1所示)。ZDNS技术人员在调研时注意到,此次受到波及的伊朗网站所配置的伊朗国家代码域名(例如与“presstv.com”指向同一网站的“presstv.ir”)访问正常,伊朗国家代码顶级域名是“.ir”。


在排查分析部分伊朗网站域名状态的过程中,ZDNS的技术人员还发现这些被关停的域名有很多是通过伊朗境外的注册商(Registrar)完成的域名注册。例如,“presstv.com”是经由一家名为"Instra Corporation Pty Ltd."的澳大利亚注册商(www.instra.com)向美国注册局Verisign完成的域名注册。通过这家注册商查询该域名的WHOIS信息,发现最后的更新是在2021年4月3日(在执行制裁之前),技术人员据此推测注册商近期并未修改域名的归属权和解析信息。也即,该澳大利亚注册商没有参与制裁伊朗网站的行动,而是美国政府直接通过美国域名注册局公司完成了相关操作。


于互联网体系结构的技术原因,包括域名在内的互联网基础资源(域名注册、IP地址分配等)管理边界和主权国家的管理边界并不完全重合。一般来说,一个企业或个人可以通过全球任何一个注册商(例如中国的万网、美国的GoDaddy)向注册局(例如运维“.com”的美国公司Verisign)申请注册域名。注册局和注册商均维护了用户的域名系统注册(解析)信息。其风险包括:

  1. 注册局/注册商删除、锁定用户的域名,停止该用户域名的解析;

  2. 注册局/注册商篡改用户域名的解析信息,导致域名劫持。


该事件的法律解读


伊朗是被美国列为全面禁运的国家之一[4],根据美国出口管制的相关规定,仅允许向全面禁运国家出口基本食物和医药。同时IRTVU和KH又是被美国财政部海外资产管理办公室(OFAC)列为SDN清单的实体。对于SDN清单实体,除非经过OFAC授权,否则任何美国人(包括自然人、机构及其他实体)不得与其进行交易,SDN清单实体的任何资产若在美国境内被美国人所有或控制,都将被自动冻结。


从美国司法部公告的内容来看,IRTVU和KH负责上述被关停网站的运营,被关停网站的域名所有权为美国域名注册局所有,关停的原因既包括SDN清单实体利用网站实施了针对美国的虚假宣传行为,也包括SDN清单实体被认定为恐怖主义组织、实施了恐怖主义行为(并未直接利用网站实施上述行为)。由此可见,SDN清单实体即便在未经OFAC授权的情况下从美国获得了域名注册相关服务,美国执法部门依然能够以SDN清单实体违背制裁为由,随时要求域名注册局暂停服务,而无论该网站是否参与实施了美国政府认为的违法行为。


从执法程序来看,锁定SDN清单实体后,美国执法部门会要求各美国公司予以配合,其中域名注册局会被要求修改域名解析,将原有网站界面修改为美国司法部指定警示页面。由于执法部门并不会告知域名注册商和域名持有人,因此这个阶段没有救济程序。网站被扣押后,美国司法部应在60天内通知域名持有人,域名持有人可要求美国政府归还域名,如果域名没有归还,域名持有人可以在法庭上对查封提出起诉,如果美国司法部败诉,则需要将域名恢复原状。



域名被接管的法律风险分析


(一)BIS“实体清单”域名被制裁的法律风险分析


BIS “实体清单”是美国商务部工业与安全局为国家安全利益而设立的出口管制条例,在未得到许可证前,美国出口商不得帮助名单上的企业获取本条例管辖的任何物项。BIS制裁的“美国连接点” (U.S.NEXUS)包括“美国人”、“美元或通过美国银行交易结算”、“美国物项”三方面,域名本身并不属于BIS制裁的“美国连接点”,除非BIS “实体清单”(Entity List)中的企业通过该域名项下的网站实施了违反BIS管制的重大交易行为,这种情况在实践中也是比较少见的。对于华为等进入BIS “实体清单”的中资企业[5]而言,企业域名(网站)被采取制裁措施的可能性较小,其域名注册局和注册商被制裁的风险也比较小。


(二)SDN清单实体域名被制裁的法律风险分析


  1. 国家/地区顶级域名(“ccTLDs”)

    ICANN与绝大多数国家/地区顶级域名注册局之间没有直接的合同关系[6],遵循非正式合作的原则。与ICANN没有合同关系的国家/地区顶级域名注册局不受美国法律的约束与管辖。因此,即便美国政府通过ICANN施压要求国家/地区顶级域名注册局对SDN清单实体中的国家/地区顶级域名进行制裁,ICANN也缺乏有关的法律依据。美国政府如要求ICANN直接停止对国家/地区顶级域名注册局根服务器的服务,将对域名系统的安全性与稳定性构成重大威胁。2016年ICANN经改革成为对全球互联网社群负责的独立组织,应该会拒绝美国政府做出的危害域名系统安全性与稳定性的无理要求。实践中从未发生过美国政府要求ICANN对国家/地区顶级域名采取制裁措施的先例。因此,国家/地区顶级域名注册局、注册商以及域名持有人被制裁的风险相对较小。


  2. 通用顶级域名(“gTLDs”)

    对于“.com”、“.net”、“.top”以及“.网址”等通用顶级域名持有人而言,在ICANN与注册局订立的授权协议中,明确约定缔约方必须受包括美国加利福尼亚州法律在内的可适用法律的管辖。同时,在新通用顶级域名范畴,ICANN声明在没有美国政府的明确授权或者豁免的情况下,其无权向位于被制裁国家或政府机构的人或列于SDN的机构与个人提供大多数商品或者服务,ICANN原则上也没有义务为了向有关SDN机构或个人提供服务而向美国政府寻求获得有关的授权或豁免。


    对于通用顶级域名的注册局和注册商来说,在为SDN清单实体提供域名注册服务时,应注意OFAC对该实体的制裁是初级制裁[7]还是次级制裁[8],如果是初级制裁,非美国的注册局和注册商在避免“美国连接点”的情况下(不违反美国经济制裁的其他规定的前提下)为SDN清单实体提供域名注册服务被制裁的风险是比较小的。而美国的注册局和注册商处于初级制裁限制的范围,为SDN清单实体提供域名注册服务存在较大的被处罚的风险。如果OFAC对SDN清单实体的制裁包括次级制裁,在未获得OFAC许可的情况下,美国境内和境外的注册局和注册商为SDN清单实体提供的域名注册服务如果被认定为重大交易注册局和注册商将面临被处罚、切断美国金融服务通道或被OFAC列入SDN清单等制裁措施。


    对于注册局和注册商在美国境内的通用顶级域名而言,无论OFAC对该域名持有人的制裁是初级制裁还是次级制裁,美国政府执法部门均有权要求注册局对域名采取关停等制裁措施。


    对于注册局和注册商在美国境外的通用顶级域名而言,如果域名持有人被OFAC制裁的范围是初级制裁,域名注册局和注册商又不具备其他美国“连接点”,那么该域名不在OFAC制裁范围内,美国政府无权对该域名进行制裁。如果域名持有人被OFAC制裁的范围包括次级制裁,而美国政府执法机构对美国境外其他国家的域名注册局和注册商没有执法权,因此无法通过注册局层面对域名采取关停等制裁措施。但因ICANN与通用顶级域名注册局之间的授权协议适用的是美国法律(包括缔约方接受OFAC对SDN清单实体的制裁等内容),在法律层面美国政府还是有权通过ICANN要求注册局执行其制裁措施的,只是在实践中还未发生过美国政府通过ICANN要求通用顶级域名注册局采取制裁措施的先例。


    域名持有人除了通过注册局注册通用顶级域名下的二级域名外,还可直接向ICANN申请通用顶级域名。对于这类域名,如果域名持有人是被列入SDN清单的实体,无论域名持有人是美国境内还是境外的实体(包括机构和个人),美国政府均有权通过要求ICANN终止其与域名持有人之间的授权协议来对域名实施制裁,具体的制裁结果取决于ICANN对美国政府制裁指令的接受及执行结果。


(三)其他域名被接管的情形


  1. 因域名滥用(DNS Abuse)采取的措施。一旦某个域名经调查证实与恶意软件(malware)、僵尸网络(botnet)、钓鱼攻击(phishing)和网络诈骗(spam)等相关,注册局/注册商可以根据域名注册协议、ICANN有关政策及可适用的法律对域名进行关停(disable)处理。域名持有人为了恢复域名,可以向注册局/注册商提出申诉,也可以向执法部门提出申诉或向法院提起诉讼。

  2. 域名争议。该程序解决域名持有人与知识产权人等其他人之间的民事权益争议,不属于本文讨论的范畴。


对策与建议


网站及相关的域名系统,是我国各个机构的关键基础设施和对外信息发布渠道。针对此次伊朗域名事件所暴露出的技术和法律问题,建议我国企业在域名注册及使用过程中尽量避免“美国连接点”,降低域名被制裁的法律风险。尽量将注册的域名切换到我国司法管辖的域名注册局和注册商之下,例如由CNNIC运行的“.cn”以及由我国其他企业运维的“.ren”、“.top”以及“.网址”等。对于已由我国注册局管理域名的企业,应逐步将我国注册局管理的域名配置为对应网站访问的首选域名。有条件的机构和企业,也可以申请互联网顶级域名(例如中信集团运维的品牌顶级域名“.citic”、工商银行的“.icbc”),从整体加强企业对域名的自主管理。


注释:

[1]https://edition.cnn.com/2021/06/22/politics/us-seizes-iran-website-domains/index.html

[2]SDN(Specially Designated Nationals)清单,由美国财政部海外资产管理办公室(“OFAC”)维护的名单,名单中的人(包括自然人、机构及其他实体)被成为特别指定国民,即根据OFAC管理的各种制裁计划,财产和财产权益被冻结的个人和实体。

[3]https://www.justice.gov/opa/pr/united-states-seizes-websites-used-iranian-islamic-radio-and-television-union-and-kata-ib

[4]美国确定的全面禁运的国家或地区包括:朝鲜、伊朗、克里米亚、古巴、叙利亚。

[5]被列入BIS实体清单的中资企业包括:华为及其68家非美国关联企业、曙光信息产业股份有限公司(中科曙光)、科大讯飞、旷视科技等。

[6] .au,.jp等少数国家顶级域名因注册局的重大变动,自愿与ICANN及所在国政府签署了三方协议,可能因此受美国法律的管辖。

[7]初级制裁是限制美国人或由美国人拥有或控制的实体开展的涉及SDN清单实体的经济活动,或所涉及交易具有美国元素,如涉及美元资金转移活动或涉及受美国法律管辖的货物、软件、技术等。其中,美国人(US Persons)是指受美国法律管辖的自然人或组织,包括:(1)任何美国公民或居民,无论其身在何处;(2)位于美国境内的人或组织;(3)根据美国法律或州立法注册于美国的公司或位于美国领土、领地、地区的公司;(4)由上述(1)或(3)项所述的自然人或公司所拥有或控制的公司、合伙企业、组织,无论其位于何处或在何处开展业务。

[8]次级制裁通常指向非美国人(non-US Persons),针对的是在美国管辖范围外实施的涉及SDN清单实体的特定活动,且该活动不涉及美国人。具体而言,是指:(1)相关主体不属于美国人;(2)相关交易没有利用或者通过美国人来促成、批准或保证;(3)相关交易没有使用美国的金融系统;且(4)相关交易不涉及美国原产货物或美国含量超过特定比例的货物。制裁手段通常为断绝美国与其的商业往来、扣押其在美国的财产或处以罚金、列入SDN清单等。


_______________
_______________
_______________
_______________
ZDNS
核心网络设备
ZDNS Cloud
顶级域名
友情互联:
_______________________________________________________________________________________________________________________________
邮箱:support@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________________________________
互联网域名系统北京市工程研究中心有限公司 版权所有 © 2022 
官方微信
DDI网络核心服务
顶级域名申请
IP 地址管理
DNS 安全
智能 DNS
域名资质
两地三中心
流量调度
DNS 云解析
新顶级域直通车
________________________________________________________________________________________________________________________________