摘要
- AFRINIC 后来的审计显示,核心治理问题在于有效请求、政策评估、批准、库存变动和公开 WHOIS 记录之间的链条断裂;任何角色只要能在没有独立检查的情况下修改多个环节,腐败风险就会增加。
- WHOIS 是托管权的公开声明,而非合法分配的自证证据。即使底层的工单、批准或库存依据缺失或存在争议,已更改的记录也可能显得权威。
- 从 AFRINIC 可用池中获取地址与对遗留记录进行的修改之间的区别很重要:前者涉及表面权利的创造,而后者涉及在历史脆弱的记录中替换身份和托管权。
- AFRINIC 在丑闻后描述的管控措施——高级最终审查、变更可追溯性、每日对账、合格权限和永久审计机制——最好被解读为一张需要加强保护的控制面地图,而不是证明此前所有保障措施都不存在。
- 董事会问责制应以董事是否要求对注册核心资产进行运营审计、例外报告和关账证据来衡量,而不是以他们是否亲自知道可疑块对应的名字来衡量。
档案本应是机构
互联网号码注册机构并不制造地址空间。它管理一个有限的库存,并记录谁有权使用其中的指定部分。这个朴素的描述隐藏了不同寻常的权力集中。主机管理员可以评估需求,运营团队可以将一个块从可用状态变为已委托状态,而公开记录可以使结果在网络、经纪人、安全研究人员和所谓的持有者看来是确定的。当这些行为得到适当分离和记录时,分配档案就是机构本身:它保留了使条目合法化的理由、批准和历史。当它们没有做到时,公开记录就可能成为一种有吸引力的虚构。
2019 年围绕 AFRINIC 曝出的丑闻常常被压缩成一个坏人的故事。这在情感上很整洁,但在制度上毫无用处。一个具名员工可以被解雇。可以提起刑事诉讼。这两种行动都无法解释为什么未经授权的更改成为可能,为什么异常持续存在,为什么内部证据没有触发决定性的审查,或者为什么外部人员帮助拼凑了一个保管者自己未曾公开披露的画面。一个将事件视为肇事者传记的注册机构,很大程度上搁置了使事件成为可能的制度体系。
更具挑战性的问题是,2013 年至 2019 年间的分配档案需要证明什么。它需要证明:申请人有明确身份且符合条件;存在资源请求;员工依据当时有效的政策评估了请求;批准的数量与所证明的需求相符;在适用情况下合同和付款条件已满足;库存由授权人员更改;并且公开的 WHOIS 条目复制而非捏造了经过授权的结果。每一个后续修改都需要其自己的授权、执行人、时间戳、证据和批准。审查者应该能够沿着这条链条向前和向后追溯。
AFRINIC2021 年的 WHOIS 数据库准确性报告提供了此次后续检查发现的最强有力的公开机构说明。报告称,审计检查了 2005 年至 2019 年间委托给资源成员的 2,824 个 IPv4 前缀的记录。其中九个没有工单号,与 2012-13 年间 Fiber Grid 的分配有关;在 2,815 个有工单引用的记录中,2,800 个包含经过评估的资源请求,而 15 个的不一致涉及通过早期注册转移项目从其他注册机构导入的前缀。这些数字并不表明整个分配库存混乱。它们表明更为精确的问题:一个基本完整记录的档案中包含了一小套例外文件,其后果非常严重,而机构需要一种方法在外部危机发生之前检测到这些例外。
当以百分比表示时,例外率听起来可能令人放心。但对于注册机构来说,这是一个错误的分母。一个未获支持的/14 代表 262,144 个地址。一个未获支持的/16 代表 65,536 个。控制风险取决于受影响资源的数量、状态和可逆性,而不仅仅是缺陷工单的计数。报告 99%文件完整性的审计,如果缺失的 1%包含大块、特权变更或可能被货币化的记录,仍可能掩盖重大失误。稀缺性使小数量的例外文件变成了资产负债表规模的诱惑,而没有使这些地址成为私有财产。
四个绝不能合而为一的行为
分配完整性取决于四个行为的分离:评估、授权、执行和发布。评估关注申请人和请求是否符合政策。授权将评估转化为机构决策。执行改变库存和相关的内部记录。发布改变外部在 WHOIS 及相关服务中看到的内容。在小型机构中,一名员工可能参与多个阶段,但任何重要分配都不应仅凭该员工未经佐证的行动来完成。
第一个分离是在分析案例的分析师和批准人之间。主机管理员必然行使判断力。政策无法预见每一个网络计划、使用模式或公司形式。这种自由裁量权正是二次审查重要的原因。审查者不应仅仅确认方框已填写。审查者应质疑身份、资格、数量、相关组织、先前的分配、异常速度、区域外指标和利益冲突。重大或异常请求应上升至更高的批准层级。批准身份和理由应在资源离开池之前固定下来。
第二个分离是在批准和技术执行之间。运营界面应仅接受不可变的批准引用,其批准的前缀和组织与拟议的变更相匹配。如果员工可以直接创建目标组织、分类块、修改库存并发布 WHOIS 条目,那么机构就用一个强大账户取代了权威链。仅记录该账户是不够的。只有在怀疑出现后才被查看的日志不过是法医残留物,而非预防性控制。
第三个分离是在执行与对账之间。每日委托统计数据文件、内部资源库存、会员系统和 WHOIS 是同一机构行为的不同表示。由于系统更新时间不同,偶尔出现差异是正常的。但这些差异应当是可见的、有时限的且能清除的。涉及资源状态、组织句柄或前缀大小的无法解释的差异应创建一个由变更团队之外的人负责的例外。该例外应保持开放,直到附加支持授权或记录被撤销。
第四个分离是在管理与保证之间。负责分配的团队不能是唯一决定其控制是否充分的团队。内部审计需要读取整个序列的权限,涵盖注册服务和技术,并向能够要求管理层采取行动的委员会报告。外部财务审计可能测试收入、负债和账目,而不重建号码资源变更。收到无保留财务意见的董事会并未因此获得核心注册准确性的保证。
这些分离并非官僚装饰。它们在分歧代价最低的时刻制造分歧。审查者可以在发布前阻止未获支持的请求。对账员可以在地址被路由、租赁或出售前识别不匹配。审计员可以在对手方积累信赖利益之前发现模式。一旦数年过去,每一次纠正都成为历史持有者、当前用户、购买者、网络和注册机构本身之间的竞争。
WHOIS 可能发布它并未赢得的信心
2013 年发布的 RFC 7020 描述了注册准确性作为互联网号码注册系统的核心要求。注册机构必须确保唯一性并提供关于分配的准确信息。这一要求是操作性的,而非装饰性的。网络、事件响应者和资源持有者使用注册数据来了解谁对某个块负责。然而,WHOIS 条目仅仅是最终的断言。它无法证明产生它的权威。
这种区别是 AFRINIC 案的核心。公开报道通过历史 WHOIS 记录、联系地址、域名注册和路由观察追踪了可疑变化。这些来源之所以有用,是因为它们暴露了矛盾。它们不能替代分配档案。公开记录说明某个组织持有一个前缀,确立了注册机构在当时的陈述。这并未证明该组织提出了有效请求、请求得到了批准,或者更改条目的人有权这样做。
WHOIS 的公开性也可能在机构内部产生虚假的安慰。如果员工看到某个块注册到一个看似连贯的组织,并且界面将当前条目视为起始事实,那么记录便开始自我验证。后续的支持请求可能被接受,因为它来自先前未经授权更改插入的联系人。维护者凭证随后可能允许进一步的修改。每笔交易都会使伪造的前提获得更长的管理历史。
解药不仅仅是当前联系人的更强身份验证。一个被破坏的声明可以被完美验证。注册机构必须保留权威的根源:原始请求、经过验证的法律身份、政策评估、批准、合同(如需要)、付款、前缀决定以及每一次后续转移或更新。联系人或维护者的变更应受到特别审查,因为它们改变了谁可以授权下一次更改。请求同时更换组织身份及其访问凭证并非例行维护;这是潜在的控制权变更。
AFRINIC 后来的报告称,自 2017 年 8 月起,每个 WHOIS 对象都受维护者保护,并描述了针对员工变更和超级维护者使用的 PGP 认证。这些是防止未认证编辑的有用保障。但它们没有回答经过认证的员工是否实质上被授权进行特定更改。访问控制证明哪个凭证执行了操作。治理必须证明为何允许该操作。
这种差异解释了为什么监控不能简化为账户安全。相关警报既有技术性的,也有语义性的。大块从可用变为已委托而没有关联的批准请求;资源被重新分类为遗留;休眠的历史组织获得了新注册的电子邮件域名;多个不相关的持有者被分配了共同的联系信息;组织句柄在转移前不久被更改;或者 WHOIS 中出现但不在会员系统中的前缀——所有这些都需要调查,即使每次登录都成功。
自由池和遗留资产是不同的控制问题
后续审计区分了两大类受影响的资源。第一类包括 AFRINIC 声称从其可用池中被盗用并无故归属于某些组织的地址。报告量化这些地址为 2,371,584 个 IPv4 地址。第二类是遗留资源:在成熟的区域注册系统建立之前进行的分配,随后交由 AFRINIC 管理,通常没有当前合同,有时隶属于已经更名、合并、解散或失去了知情联系人的组织。
这种区别之所以重要,是因为控制测试不同。从可用池中移动一个块需要同时期的请求和决定。库存起始于 AFRINIC 作为未分配空间的管理者。因此,一个未经授权的委托可以通过缺少有效的分配事件而被发现。审计可以问:请求在哪里,谁评估了它,谁批准了它,什么政策证明了它的合理性,内部资源文件是如何变化的?
遗留变更提出了更困难的权属问题。该块已经有一个历史持有者。注册机构可能被要求更新名称、联系人、公司继承人或维护者。一个失效的电子邮件地址并不是资源被放弃的证据。一个突然活跃的声称者不是继承的证据。决定性的文件可能包括旧的注册数据、公司记录、合并文件、通信以及来自另一个注册机构的证据。一个能够在没有独立验证的情况下替换过时联系信息的员工,实际上可以挑选谁将代表缺席的持有者发言。
AFRINIC 的报告描述了使遗留资产脆弱的特点:一些持有者与注册机构没有合同协议;联系人可能退休或离职;组织可能已解散或重组;一些所谓的交易包括维护者密码的转移。报告还记录到,2012 年至 2015 年间的历史联系人有时会被更新为与名义持有者匹配但注册时间过近、不符合该组织假定历史的电子邮件域名。这正是一种注册机构可以自动测试的异常情况。
这两个问题可能重合。审计称,一些本应留在 AFRINIC 池中的资源在成为销售交易标的之前被标记为所谓的遗留空间。如果准确,这一顺序表明为什么状态字段是控制变量而非描述。将块重新分类可以从需要新分配决策的过程转移到一个模棱两可的、被框架化为维护旧权利的过程。一个保护分配但允许轻率重新分类的系统在其最强的大门旁留了一扇侧门。
因此,稳健的设计应将状态变更视为特权交易。任何单个分析员都不能将池块声明为遗留。变更应需要历史委托记录的证据、至少两个批准、与注册机构已接收池历史的自动化比较以及向保证职能的通知。先前的状态应保持不可变。如果后来的审查者无法同时看到新旧分类以及过渡的授权,那么注册机构没有保存历史;它覆盖了历史。
稀缺性改变了威胁,而非使命
在 2013-19 年间,IPv4 的稀缺性使得控制弱点日益具有价值。AFRINIC 于 2017 年进入最后一个/8 政策的第一阶段。公开市场和私人交易为地址赋予了可观的价格,而许多旧分配仍未被充分利用、记录不全或与休眠组织相关联。行政处理与商业价值之间的差距造成了明显的腐败风险。
然而,市场价格不应定义制度上的错误。IPv4 地址不是金库中的金属条。注册机构根据社区政策管理唯一标识符。未经授权分配的直接损害是,机构就托管权做出矛盾或虚假的声明,剥夺符合条件的申请人对稀缺池空间的利用,并使网络面临后续撤销的风险。二级市场放大了激励并增加了依赖,但失败始于权威记录。
这一点之所以重要,是因为惊人的价值估计可能扭曲补救措施。一个标题可能将地址数量乘以观察到的价格,并宣布数千万美元的损失。这样的估计可以表达规模,但它不会确立法定所有权、已实现的收益或可追偿的损害。它也不能告诉董事会哪个控制环节出了问题。治理的相关单位是未经授权的决定:块如何改变状态、哪些证据缺失、哪个账户执行了操作、什么审查本应阻止它以及例外存在了多久。
稀缺性本应使 AFRINIC 在丑闻前加强审查。大量的分配、遗留更新以及对休眠记录的修改成为了经济上敏感的交易。机构不必假设每个员工都腐败。它应假设一项有价值的特权最终会吸引错误、压力、勾结或滥用。制衡批准、强制休假、高风险队列轮换、利益冲突声明、独立例外抽样和自动异常检测是对这一假设的常规回应。
威胁也延伸到了首次行为之后。一个注册存在问题的块可能通过不相关的网络被路由、租赁给客户、在商业安排中用作抵押品或出售给相信公开记录的购买者。每个额外方都提高了纠正成本。这意味着时效性是控制有效性的一部分。三年后调查的警报可能有助于解释过去,但对防止法律和运营纠葛作用甚微。
回溯审计实际证明了什么
AFRINIC2021 年的报告不可或缺,但也有局限性。说它不可或缺,是因为它识别了机构自身的类别、方法、计数和补救措施。报告称,后续检查使用了内部资源文件、WHOIS 日志和历史、委托统计、工单记录、成员资格和资源请求、反向 DNS、互联网路由注册、外部历史记录、公开报告和举报人信息。这接近于一个有效的持续控制系统应该核查的证据集。
说它有局限性,是因为 AFRINIC 在危机之后撰写了这份报告,当时法律纠纷和警方调查正在进行。报告作出了关于盗用和合法托管权的结论,这些结论可能受到了受影响方的质疑。读者应区分注册机构的行政认定与最终的司法裁决。报告可以确立 AFRINIC 发现了什么以及它声称采取了什么行动。它单独不能解决每一个有争议的块或确定个人的刑事责任。
报告中的数字揭示了修复的复杂性。截至 2020 年 11 月,它列出了 1,060,864 个从池中回收并隔离的地址,1,310,720 个仍在审查中的池地址,467,968 个未经证实的遗留变更已被撤销的地址,394,496 个应控股公司要求合并的遗留地址,以及 936,704 个因托管权未定而处于争议中的遗留地址。这些类别表明纠正并非简单的删除操作。一些记录可以恢复,一些需要公司合并,而许多涉及竞争性主张。
AFRINIC 承认撤销速度缓慢。当多个组织声称托管权时,它锁定这些地址,防止进一步修改 WHOIS,直至达成协议或由有权机关作出决定。当持有者未回应更新请求且未收到反对意见时,它表示可疑更新已被撤销,地址被锁定,直至合法持有者完成尽职调查。这些措施可能维持现状,但它们也展示了预防为何重要:能够在变更前确定权威的分配档案,之后再也无法干净利落地做到这一点。
报告还描述了发现后采用或加强的管控措施。它提到了自动化、一项计划中的变更控制政策以增加检查和可追溯性、对资源和成员资格请求的高级最终审查、2019 年 6 月通过的欺诈和腐败政策、2020 年启动的独立举报平台、对遗留更新更强的验证、MyAFRINIC 与 WHOIS 之间的每日不一致报告、与委托统计的比较、PGP 认证、按角色限定资格以及超出普通员工权限的变更升级。
这些措施不应被解读为承认之前不存在任何措施。机构在描述改进时往往不会精确发布改进前后的控制矩阵。但这份列表在分析上具有揭示性。每一项措施都对应一个可识别的失败模式:自动化限制了随意走捷径;最终审查打断了自我批准;可追溯性保留了谁更改了什么;对账发现了不一致的记录;限定资格减少了过度访问;独立报告绕过了管理层压制。改革清单直接指向了先前保证不足的控制面。
无人质疑的日志只是档案
人们很容易认为完整的技术日志就能解决问题。它们会有帮助,但除非机构定义了要检测什么、由谁审查、多快以及接下来会怎样,否则日志不是控制。显示授权员工凭证更改了组织句柄的记录是中性的。显示同一个人评估了请求、批准了变更并修改了大块的警报是治理信息。
有效的注册日志需要至少三个层次。事件层记录认证、操作人、时间、接口、对象、旧值和新值。权威层将事件与工单、政策版本、批准和证据联系起来。保证层记录自动检查是否通过、审查者是否检查了变更、产生了什么例外以及如何关闭。没有权威层,审查者知道发生了什么,但不知道是否应该发生。没有保证层,机构无法证明有人查看过。
日志还必须防篡改,并在相关权利存续期间保留。IPv4 托管权可能比员工、系统和公司更长久。短期运营保留期对于日常应用痕迹可能是合理的,但对于/16 的权威历史来说是灾难性的。注册机构应保留已签名的、只追加的历史记录,包括状态、组织、联系人、维护者、工单和批准。敏感申请材料可以单独保护,同时哈希和引用保持完整性。
警报设计应遵循价值和模式。大前缀、同一操作人反复变更、非工作时间的更新、新创建的组织获得大量空间、最近注册的联系人域名、跨不相关持有者的地址复用、涉及遗留分类的状态变更以及权威存储之间的不匹配是高价值信号。没有单一信号能证明不当行为。其目的是在证据新鲜时要求第二双眼睛。
关闭与检测同等重要。每个警报应以四种记录结果之一结束:已授权并得到支持;作为错误已纠正;已升级进行调查;或由指定高级官员作为记录的例外接受。反复出现的良性解释应改进规则。涉及同一操作人、组织或中介的反复例外应扩大审查。一个没有主人却不断增长的警报队列造成监控的表象,同时也让风险延续。
董事会不必是主机管理员
董事不能检查每一个分配。他们也不应尝试。他们的责任是让管理层证明核心注册保持准确,并且例外得到控制。在号码注册机构中,这一职责不能仅靠财务报表来履行。稀有的库存和权威记录是运营资产,它们的腐败可能在没有首先表现为会计差异的情况下产生负债、诉讼和合法性损失。
董事会应在每次会议上要求一份简明的控制报告。它可以包括新分配的数量和地址量;高风险遗留变更;在标准界面之外进行的更改;库存、会员和 WHOIS 之间不匹配的记录;按存在时间分类的未关闭警报;覆盖操作;特权账户;未解决的冲突声明;以及按严重程度分类的审计发现。报告不会暴露申请人秘密。它会告诉董事控制是否在运作。
这一时期发布的审计委员会职责范围提到了财务报告、内部财务控制、风险管理、内部审计、信息系统和信息技术治理。这一范围足够广泛,可以询问注册服务。然而,2018 年的公开会议记录显示,委员会讨论了内部审计员的招聘,而 2019 年 4 月的会议记录描述了涵盖企业合规、财务和会计、注册服务以及业务连续性的内部审计计划。计划的存在并不能证明相关测试在问题公开之前已经完成。
这种区别——职责范围、计划、执行、发现、补救——是恰当的问责链条。董事会经常宣布章程并假设保证随之而来。但并非如此。委员会必须批准基于风险的计划,确保审计员具有访问权限和独立性,接收发现,分配责任人和截止日期,并验证关闭。如果注册服务仅在多年日益稀缺之后才进入 2019 年审计计划,董事应问为什么核心资产此前没有受到类似的操作性测试。如果它已经过测试,他们应问哪些测试未能检测到未经支持的状态和身份变更。
个人知识仍然相关,但不是唯一的测试。收到特定警告而未采取行动的董事,与从未被告知的董事承担不同的责任。但如果其报告设计使重大例外保持在董事的视线之外,机构仍然不能以董事会缺乏详细知识来为自己辩护。治理部分地就是构建这条视线。
公开报道是最后的外部控制
MyBroadband、KrebsOnSecurity 等媒体发布的报道将公开和商业获取的记录拼凑成一个令人不安的叙述。它们追溯了历史条目、公司、域名、联系人和路由。它们的工作之所以有价值,是因为它们将不一致之处转化为机构和受影响方再也无法轻易忽视的形式。但这本不应是注册机构主要的检测机制。
调查性报道具有与分配决定不同的证据标准。记者可以发现异常,寻求评论,并发布有支持的推论。注册机构撤销记录必须逐块确定权威,并为竞争性主张者提供正当程序。这种差异不是否定报道的理由。而是注册机构应将可信的外部信号作为线索纳入,同时进行自己的记录在案的检查。
报道也有限制。价格估计因日期、块声誉、交易条款和市场流动性而异。历史 WHOIS 服务可能包含不完整的快照。公司联系可以显示控制或关联,但不能证明特定资源交易是经授权的。来自某个块的路由本身并不能识别更改注册的一方。因此,负责任的机构分析会归因指控,将观察与结论分开,并避免将重复视为佐证。
AFRINIC 后来的调查结果为核心关切提供了机构支持:其报告称内部员工可能与第三方串通,APNIC 的调查导致了纪律程序,以及一名前主机管理员滥用了权利和特权。它还量化了其认为无正当理由归因的池资源。这些是严重的发现。它们仍然不消除检查控制的必要性。相反,对内部人的发现越有力,就越清楚地表明内部人抵抗必须成为注册机构设计的一部分。
最有益的公开问题不是员工为何想获利。稀缺资源创造了明显的动机。而是为什么一个持有每日库存、工单、变更历史和账户数据的机构,没有将异常转化为及时、独立的挑战。外部人士只能看到碎片;注册机构拥有连接点。控制系统本应使这些连接点成为常规。
修复需要可证明的记录,而非看起来更干净
丑闻之后,存在使 WHOIS 迅速看起来正确的压力。这种压力可能通过将发布视为真理来重现最初的错误。注册机构不应将一位无支持的持有者替换为另一位,仅仅因为后者的主张感觉更合理。它需要一个恢复标准,既保留证据,保护连续性,又使不确定性可见。
首先,应冻结原始状态和完整的变更历史。调查人员需要工单、消息、批准、身份文件、日志、委托统计、路由观察和相关公司记录的副本。其次,与可信操纵风险相关的访问应在不删除证据的情况下受到限制。第三,每个块应有一个案例记录,区分池来源、遗留历史、当前注册、当前使用、声称者证据和法律状态。
第四,补救应与信心相匹配。没有有效请求和明确未授权路径的池块可以在通知和审查后收回。有竞争继承人的遗留块可能需要锁定,同时由法院或商定程序确定托管权。出于善意购买的当前用户可能对合法持有者没有优先权利,但突然的技术中断仍可能伤害客户。注册纠正、路由现实和商业补救是相关但不同的问题。
第五,注册机构应在不预判个案的情况下发布总体进展。按状态、地址量、存在时间和补救方式分类的统计数字,让成员评估机构是否正在解决问题。公众不需要私人证据或关于未解决声称者的指控细节。他们需要知道范围、决策规则、审查路径以及纠正是否在加速。
最后,恢复后的文件应比丑闻前的文件更强。它应包含支持最终立场的证据、每一份通知、反对意见、决定、审查者和运营变更。当当前的 WHOIS 条目看起来整洁时,恢复并未完成。只有当独立人员能够解释为什么该条目现在具有权威性时,恢复才算完成。
稀缺公共注册机构的控制架构
实际改革既不奇特也不惩罚性。身份验证应独立于倡导请求的分析员。大量分配和遗留控制变更需要两个批准。系统应将批准的前缀、组织和状态与执行命令绑定。当前和历史记录应在权威层只追加。权限应限于角色,按季度审查,并在职责变更时立即撤销。没有人应管理自己的访问。
对账应每天在资源库存、成员记录、工单系统、委托统计和 WHOIS 之间运行。高风险差异应阻止进一步变更,直至解决。内部审计员应抽样普通文件并检查每一项重要例外,而不仅仅是确认程序存在。审计委员会应直接接收发现并跟踪补救。应有一条独立的举报渠道,让员工、成员和外部人士提交关切并受到报复保护。
冲突控制同样值得关注。参与资源评估的员工应披露外部业务、密切财务利益以及与中介或申请人的关系。声明应更新、与已知对手方核对,并由员工管理层之外的人审查。声明不是仪式形式;它应在出现冲突时改变案件分配和访问权限。
指标应抵制掩盖风险的平均值。董事会需要按地址加权的例外统计,而不仅仅是工单完成百分比。它应看到最大的未支持或未解决块、最旧的例外、覆盖操作频率、按操作人集中的情况以及从首次警报到遏制的时间。单个/12 异常值得比数百个无害的联系人更正更多的关注。
独立审查应定期尝试冷重建。从 WHOIS 中选择一个块,并证明其路径回到已接收的库存或历史委托。然后选择一个批准工单,并证明其路径向前到确切发布的块。两个方向捕捉不同的失败。正向测试发现被错误执行的批准操作。向后测试发现没有足够授权存在的公开条目。
成员应有一项验证角色,但不承担注册机构的负担。定期报表可以要求持有者确认资源、联系人和维护者。不回应应触发后续行动和加强审查,而非自动丧失权利。持有者应能够获得其资源的变更历史,并及时对未经授权的修改提出质疑。这可以在保持注册机构对其自身行为负责的同时分散检测。
制度判决
2013 年至 2019 年间,AFRINIC 管理了一项稀缺性和商业价值急剧上升的资源。其公开记录具有远远超出维护它的办公室的权威。后来的证据表明,一些文件和变更无法支持注册机构已发布的声明,而修复需要广泛的事后调查、外部援助、纪律处分、锁定、撤销和涉及诉讼的决定。
将这一结果称为一个坏人的工作是逃避。内部人可能发起滥用,但只有机构才能赋予这种滥用持久的权威。分配档案应迫使每个请求通过独立的评估、批准、执行、对账和审计。变更历史应使异常行为迅速可见。董事会应了解控制环境状况,而不需要知道每个前缀。
教训超出了 AFRINIC。分布式互联网治理通常赞美信任、社区和技术能力。这些美德不能取代控制。注册机构的合法性取决于其证明记录中显示的人通过公平、有记录和可审查的过程获得授权的能力。当它无法做到这一点时,损失的不仅仅是地址数量。机构失去了对自己话语的控制。
来源与分析边界
主要机构证据是 AFRINIC 的WHOIS 数据库准确性报告,将其视为利益相关机构的回顾性说明,而非在每个资源争议中的最终判断。RFC 7020提供了注册系统对唯一性和注册准确性的要求。AFRINIC 存档的合并政策手册 1.0 版显示了员工行使分配责任时所处的公共政策环境。2018 年年报和已发布的董事会材料描述了正式的审计职责范围和内部审计能力的发展。MyBroadband 的2019 年 12 月调查提供了归因的公开记录发现,不被视为裁决。
本分析不决定刑事责任、实际所有权、损害赔偿或任何有争议前缀的合法保管人。它不假设 2019 年后描述的每一项控制在之前完全不存在。它评估了公开可见的权威链以及 AFRINIC 自身后来发现对制度的影响。当证据仅支持一项指控、行政认定或推论时,会据此处理。

