Stijlloze tegenactie of computercriminaliteit?

| AE 1231 | Security | 26 reacties

bluf-openbaren-geencommentaar.pngDe ludiek bedoelde actie van Geencommentaar kon Geenstijl toch iets meer boeien dan het shockblog in eerste instantie deed voorkomen. GC had een petitie online gezet, waar GS een bindend stemadvies voor had uitgebracht. GC kreeg zoveel onzininschrijvingen dat zij besloot een database te bouwen met meer dan 2000 IP-adressen van stijlloze reaguurders die de petitie hadden vervuild. Vervolgens publiceerde GC een tooltje waar je op basis van IP-adres kon controleren of je met een “roze randdebiel” cq. “huftert” te maken had.

GS kwam daarop met een “oldskool weblog incrowdcookie van eigen deeg”. Een slim stukje Javascript in de pagina’s van GS zocht automatisch het IP-adres op van elke bezoeker van GS in die database. Nu krijgt GS iets meer bezoekers dan GC, zodat de database dit niet aankon en volledig plat ging.

Is deze stijlloze actie nu computercriminaliteit? Het lijkt sterk op een distributed denial of service-aanval, of voor de juristen onder ons een gedistribueerde verstikkingsaanval. Bij zo’n aanval worden honderden of duizenden computers tegelijk ingezet om gezamenlijk het slachtoffer te overbelasten. Meestal doordat al die computers elk zo veel mogelijk onzingegevens opsturen, maar een groot aantal op zich legitieme verzoeken kan ook tot zo’n overbelasting leiden.

Art. 138b Strafrecht stelt strafbaar het opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk te belemmeren door daaraan gegevens aan te bieden of toe te zenden. Eens kijken hoe ver we komen.

De actie was duidelijk opzet, want die Javascript-code komt niet zomaar in een webpagina terecht. Wederrechtelijk? Ik zou zeggen van wel. Op zich mocht iedere GS-bezoeker zijn eigen IP-adres opzoeken in de database van GC. Maar dit was geen vrijwillig opvragen uit interesse van de bezoeker, maar een min of meer gedwongen opvraging door een programmeertruc van de site. Ik twijfel, omdat er ook nog zoiets bestaat als het Slashdot-effect (in Nederland het Nu.nl effect?): te veel bezoeken vanaf een populaire site kunnen een site ook plattrekken. Dat is niet wederrechtelijk van die populaire site. Maar ik denk dat dat toch waarschijnlijk niet opgaat hier.

De grote vraag is dus of Geenstijl zorgde voor het “aanbieden of toezenden” van de gegevens. Het zijn feitelijk de computers van de bezoekers die het doen. Maar die bezoekers zijn niet bij de actie betrokken. Het is het stukje Javascript van Geenstijl dat het toezenden van de opvraging in werking zet. Dat zou je kunnen zien als een handeling van Geenstijl. Andermans computer op afstand besturen is juridisch hetzelfde als achter het toetsenbord kruipen en de commando’s daar intypen. Ik zeg daar wel gelijk bij dat dit nog nergens in de literatuur of rechtspraak getest is. GC, probeer het eens uit! šŸ™‚

Overigens was die actie van GC ook niet bepaald netjes. Het verzamelen van IP-adressen en aanbieden van een zoekmogelijkheid om te zien of iemand een “roze randdebiel” is (of zelfs maar, neutraal gezegd, een Geenstijl-lezer) is een verwerking van persoonsgegevens. Daarvoor moeten de bezoekers wel toestemming hebben gegeven. Ik heb geen privacystatement gezien bij die petitie, laat staan een uitdrukkelijk verzoek om toestemming.

Weet iemand trouwens waarom GC er nu uitligt?

Arnoud

Deel dit artikel

  1. GC ligt er nu uit omdat ik apache heb afgeschoten. Ben nu bezig wat optimalisaties aan de db-kant toe te voegen.

    Overigens teste het scriptje op de GS-site niet het IP-adres van de bezoeker, maar genereerde het een willekeurig IP-adres.

    Daarnaast wil ik nog even ingaan op je laatste paragraaf. Door de petitie te tekenen plaatst de ondertekenaar al wat persoonlijke informatie op de site. Dat is een geheel vrijwillige handeling geweest.

    Maar inderdaad, 100% netjes is het niet.

  2. Het stukje javascript van GeenStijl checkte niet het ip-adres van de bezoeker in de GC-database. Het genereerde een willekeurig adres en probeerde dat in de database te schrijven.

    Er werd dus niet alleen een ddos-aanval uitgevoerd, er werd ook geprobeerd zich toegang te verschaffen tot een database die daar niet voor bedoeld was.

  3. @Christian (5): die diensten kunnen waarschijnlijk wel vallen onder de uitzondering van de WBP van artikel 8 sub f. Deze staat toe dat je IP-adressen verzamelt en publiceert als dat “noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.”

    Spam geeft veel overlast, en filteren van spam is dan een gerechtvaardigd belang van afnemers van de lijst. De vraag is dan of een spammer meer recht op privacy heeft dan ik recht op een schone inbox. Ik zou zeggen dat de spammer dat verliest. De inbreuk door publicatie van een IP-adres is vrij klein, vaak is de spammer zelfs volstrekt ontraceerbaar omdat ze proxies, open SMTP relays en botnets gebruiken. En het belang van de schone inbox is vrij groot.

    Hier is de inbreuk groter: het gaat om een kleiner groepje mensen, dat vaak identificeerbaar is, en nu neergezet wordt als roze horde en andere negatieve kwalificaties. Het belang van GC bij deze lijst is niet zo groot. Zijn stijlloze reaguurders op je blog net zo erg als spam?

  4. @6 Schrijven kon ook helemaal niet, maar GS beweerde zelf van wel:

    “Zo hebben wij de database van 2.000 ???besmette??? ip adressen vandaag even extragratis aangevuld met nog eens 670.000 extra ip-nummers afkomstig van GeenStijl. Gewoon omdat het kan en omdat je met 2000 ???besmette??? ip-nummers nu eenmaal geen verkiezing naar je hand zet. Natuurlijk wisten we wel dat de ip-database van GC er traag van zou worden, de boel was namelijk zo ontzettend slecht geprogrammeerd dat het voor ons Nerdteam t? leuk was om het niet te doen.”

    Ze hebben naar hun eigen beweren dus wel degelijk geprobeerd te schrijven, maar met dat javascriptje van ze lukte dat niet.

  5. De actie was natuurlijk opzet, maar was het opzet ook gericht op het belemmeren van de toegang tot of het gebruik van een geautomatiseerd werk? Zo nee, dan was er geen opzet in de zin van art. 138b Sr.

    In dit geval lijkt het me niet te bewijzen dat het platleggen van de site het oogmerk van de actie was (tenzij GS dat zelf aangeeft), maar er zou wel sprake kunnen zijn van voorwaardelijk opzet (aanvaarding van de aanmerkelijke kans dat).

    Dat het de computers van de bezoekers zijn die het doen lijkt me op zich niet zo relevant, want computers zijn geen personen. Wel is er steeds een bezoek van GS nodig, en dat bezoeken wordt gedaan door de bezoekers. Die zijn zich echter nergens van bewust, dus niet strafbaar, zodat je hier volgens mij kunt spreken van “doen plegen” door GS via de bezoekers van GS als materi?le niet-strafbare daders. (Het is misschien wel wat bijzonder dat het gaat om een groot aantal materi?le daders, maar dat kan m.i. aan het daderschap van GS via “doen plegen” niet afdoen. En anders kom je er wel via functioneel daderschap.)

    Het lastige punt lijkt mij “wederrechtelijkheid”. Ik denk dat dat hier neerkomt op de vraag of de actie in strijd was met wat in het maatschappelijk verkeer betamelijk is. Het meesturen van het stukje javascript diende op zich geen redelijk doel, terwijl het duidelijk moest zijn dat dit GC voor problemen zou stellen, dus wederrechtelijkheid lijkt mij wel te bewijzen. Mogelijk zou GS zich kunnen verweren door te stellen dat het om een ludieke tegenactie ging…

  6. Ik vind er wel wat voor te zeggen dat de GC-dienst onder art. 8 sub f Wbp valt. Het enige gegeven dat wordt verstrekt is dat iemand (op dat IP-adres) wel eens een reactie heeft geplaatst. Zo erg lijkt me dat niet.

    (En aan bericht #8 zie ik dat het bewijs van voorwaardelijk opzet wel zou lukken.)

  7. Ik ben toch niet helemaal overtuigd of kapot, zowel van de GS, als van de GC aktie. Nu ben ik natuurlijk bijzonder paranoide aangelegd en zie in de verte de legers uit de roze en andersgekleurde botnets opduiken. Kortom, als het niet strafbaar is zou het het moeten zijn.

  8. Wat een hoop gedoe om weinig. IMHO moet GC gewoon niet zo zeiken. Ze proberen iets en dat heeft zich een beetje tegen hun gekeerd. Better luck next time…

    Ondertussen gewoon blij zijn met die extra linkjes die het op heeft geleverd. Of zouden ze straks ook Google van ddos’en beschuldigen omdat ze beter vindbaar worden (mits ze die server nu eens up kunnen houden).

  9. “In dit geval lijkt het me niet te bewijzen dat het platleggen van de site het oogmerk van de actie was (tenzij GS dat zelf aangeeft), maar er zou wel sprake kunnen zijn van voorwaardelijk opzet (aanvaarding van de aanmerkelijke kans dat).”

    Dat lijkt me juist eenvoudig te bewijzen. Onze site werd in een 1×1 groot pixel geladen BUITEN het gezichtsveld van de bezoekers van GS. Welk ander doel kan dat hebben? Als je het script bekijkt is het duidelijk dat de makers het zo hadden opgezet dat de actie zo zou kunnen worden opgevoerd van 1 keer opvragen tot x keer opvragen.

  10. @christina: “namen bij IPno???s maken”? Wat bedoel je? Wij gaven alleen een 1 of 0 terug. Er worden geen namen en datums gecommuniceerd.

    Een IP-adres is wat mij betreft alleen een persoonsgegeven als het is gekoppeld aan een tijd. Dan kan je namelijk pas (redlijk) zeker zijn dat je de goede persoon te pakken hebt.

  11. Joost 20-09-2008 09:34 Met alle respect, Webwereld heeft de feiten niet op een rijtje. De API was bedoeld om IP-adressen te checken, niet om ze toe te voegen. Dat is dan ook niet gebeurd, en onze database is gewoon nog intact. Daarnaast is duidelijk dat GeenStijl geen gebruik heeft gemaakt van de service, maar deze doelbewust heeft willen opblazen, door er willekeurige IP-adressen op af te schieten.

    Wat is checken, anders dan kijken, wie, wat, waar? Het gaat niet om het teruggeven van 0 of 1.

  12. @Joost (18): “Een IP-adres is wat mij betreft alleen een persoonsgegeven als het is gekoppeld aan een tijd” Daar heb je op zich gelijk in, maar dan is jullie isGeenstijl.php behoorlijk misleidend. Het zegt dan hooguit “dit IP-adres behoorde ooit toe aan een GS’er”. Maar je nodigt mensen wel uit om op basis van dat IP-adres een bijdrage te blokkeren.

  13. @Joost(17): als GS aanvoert serieus te hebben gedacht op deze manier de database te vervuilen, dan zal het moeilijk zijn om te bewijzen dat het de bedoeling was om de site plat te leggen. Maar zoals ik al zei, het is voldoende om voorwaardelijk opzet aan te tonen: aantonen dat GS bewust de aanmerkelijke kans heeft aanvaard dat de GC plat zou gaan. Uit de verklaring van GS blijkt dat GS zich hiervan bewust was. Dus het bewijs voor ‘opzet’ is rond.

    @christinA(19): checken is vragen “staat dit adres op de lijst, ja of nee?” Bij “ja” komt een 1 terug, bij “nee” komt een 0 terug.

    Het gaat om ??n bit informatie, en die informatie staat voor iets dat hooguit een zeer lichte inbreuk op de privacy kan worden genoemd, die m.i. wel te rechtvaardigen is in de zin van art. 8 sub f Wbp.

  14. @20: Inderdaad. Maar we bieden iedereen de mogelijkheid zijn of haar IP-adres uit de database te laten halen. Dat verzoek honoreren we altijd.

    De database wordt uiteraard snel minder accuraat. IP-adressen veranderen relatief vaak. Ik denk dan ook niet dat de GS-checker een lang leven beschoren is šŸ™‚

  15. Bona fides’ comment met het idee voor blogs om comments voor plaatsing te beoordelen met behulp van een spellingcontrole, krijgt van mij de originaliteitsprijs.

    Of je maakt een spellingstest in plaats van dat systeem waar mensen gevraagd worden een aantal letters uit een plaatje te lezen en in te toetsen. Dan krijgen ze een plaatje met een paar spelfouten, die ze er uit moeten halen.

    Alleen discrimineer je wel de mensen die alleen maar moeite met spellen hebben.

  16. De API bood de bezoeker de mogelijkheid queries te doen. Dat deze blijkbaar erg cpu intensief zijn, of veel bandbreedte verbruiken in de communicatie, is GC’s probleem. In principe is het ook geen echte DDoS, aangezien dat nutteloze informatie stuurt waar de server zich uiteindelijk in verslikt. Gewoon een voorbeeld van het slashdot effect in werking, of het ‘crowdsourcen’ van het achterhalen van een boel IP adressen.

    Het ‘schrijven in de database’ waar GS over rept is natuurlijk deels bluf en deels onkunde. Ondanks het nieuwe, hippe, anti-gevestigde-media imago wat men zich aanmeet, is de redactie technisch gezien niet erg vaardig. Als de hele grap niet al door een in-house techie is bedacht, is het zonder twijfel door hem of haar opgezet, waarna de redactie er hun eigen sensationele spin aan geeft in het artikel.

    Tot slot is de gebruiker zelf nog altijd verantwoordelijk, lijkt me. Javascript is client-side, de computer die de website bezoekt voert het programma tenslotte uit, en het lijkt me dat de bezitter/beheerder van die computer nog altijd verantwoordelijk is voor de acties die hij middels zijn apparaat uitvoert. Het betreft hier een hele andere orde van groote dan bij bijvoorbeeld rootkits en worm-infecties, aangezien Javascript gewoon gemakkelijk te blokkeren is, en dit mijns inziens ook per definitie moet zijn.

    Dit zal ongetwijfeld niet de laatste keer zijn dat GS de roze horde voor het karretje spant. Eigenlijk doen ze dit de hele tijd, en waar het in het verleden bleef bij het publiceren van adresgegevens en de reaguurders vervolgens de keus te laten hier een pizza te laten bezorgen of een stripper te bestellen, heeft ze nu hun bezoekers voorzien van een handig instrument. Ik twijfel er niet aan dat dit de laatste keer is, en ik vermoed dat het ‘gereedschap’ in de toekomst alleen maar geavanceerder zal zijn.

    Tevens zal GS niet de enige blijven (als ze dat al zijn), maar zal dit soort ‘oorlogsvoering’ in de nabije toekomst door iedere website met een grote fanbase gevoerd worden (zie de recentelijke ‘cyber-aanvallen’ op overheidssites van zowel Rusland als Georgi?). Aangezien het beste nieuws niet ontstaat, maar wordt gecre?erd, waarom zou je dan niet je trouwe schare fans het nieuws laten genereren door crowdsourcing. Vervolgens ga je als echte journalist verslag geven van de hele kwestie, met alle ins en outs. Dit is gemakkelijk te realiseren, aangezien het door de site en community zelf geregiseerd wordt. Tevens speelt het in op het inherente narcisisme van de internetter, leedvermaak en groesgevoel. Perfect nieuws lijkt me, en het gebied is veel te grijs om vlug tot juridische conclusies te komen om dit een halt toe te roepen.

  17. @Martijn: hier werd toch ook nutteloze informatie gestuurd naar een server?

    Gebruikers kan m.i. echt niet verweten worden dat ze javascript aan hebben staan, want dat is volkomen normaal. Bovendien speelde javascript hier slechts een heel ondergeschikte rol. Het is waar dat er op de cli?nt via javascript een HTML-regel werd gegenereerd die de server van GC aanriep, maar die HTML-regel had net zo goed op de server kunnen worden gegenereerd of statisch worden meegegeven. (Of er nu steeds naar hetzelfde adres wordt gevraagd of naar een random adres zal voor de belasting van GC wel geen verschil hebben gemaakt.) Nog een reden om de gebruiker niet verantwoordelijk te achten is dat de rol die (de computer van) een individuele gebruiker speelde vrij onschuldig was. Het probleem werd veroorzaakt door de massaliteit, waarvan de gebruiker geen idee had. De verantwoordelijke daarvoor is de persoon die achter die aansturing van de massa zat, en dat is GS. (Wel kan GS misschien nog aan strafbaarheid ontkomen met het verweer dat de actie niet wederrechtelijk was.)

    Het slashdoteffect vind ik toch een beetje anders. Daarbij wordt er een link geplaatst die de gebruiker slechts zal volgen als zijn interesse is gewekt. Hier liet GS echter iedere bezoeker onbewust de GC-server aanspreken (in dit geval alleen de 99,9% van de bezoekers met javascript aan, maar zoals gezegd speelt javascript hier in feite geen rol). Overigens lijkt het me wel mogelijk dat het opzettelijk veroorzaken van een slashdot-effect onder art. 138b Sr valt.

    Het valt me trouwens op dat (voor zover ik heb gezien) niemand de actie van GS als “diefstal” heeft bestempeld! Wie de rechter van de “bandbreedte kun je niet stelen”-uitspraak verweet zijn vak niet te verstaan moet dit toch ook diefstal vinden? Diefstal van bandbreedte, servercapaciteit, processorkracht en/of elektriciteit?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS