Van school gestuurd vanwege een DDoS-aanval, kan dat?

Kun je van school worden gestuurd als je een DDoS-aanval hebt uitgevoerd? Een minderjarige leerling op een ROC zag zich met die sanctie geconfronteerd nadat zijn school stevig onder dienstontzeggingsvuur was gekomen. En dat ondanks zijn medewerking aan het onderzoek en het feit dat hij alleen maar geïnteresseerd was in hoe goed de school hiertegen beveiligd zou zijn.

Vanaf september begonnen diverse DDoS-aanvallen op het netwerk van ROC West Brabant, waar de jongen een opleiding volgde. Na onderzoek werd de leerling uitgenodigd voor een gesprek (waarom is me onduidelijk) en in dat gesprek bekende hij een korte aanval te hebben uitgevoerd, maar niet álle aanvallen. Hij liet zijn laptop onderzoeken en daarop werden sporen gevonden van twee DDoS-aanvallen.

Na aangifte werd de jongen een nachtje op het bureau gehouden, want men vond de aanval kennelijk sterk genoeg om artikel 161septies Strafrecht in te zetten. Dat voelt wat pittig, immers dat artikel gaat over “gemeen gevaar” oftewel grote storingen. Bedoeld voor ‘gewoon’een DDoS aanval is artikel 138b Strafrecht, dat maximaal een jaar cel oplevert.

De school ging vervolgens over tot schorsing in afwachting van definitieve verwijdering, waarop de ouders bezwaar maakten. Dat bezwaar had geen succes, waarop de moeder naar de rechter stapte.

Een rechter mag een besluit van een school niet zomaar overdoen. Hij mag slechts ‘marginaal toetsen’, oftewel kijken of de school in redelijkheid tot dat besluit had kunnen komen. In het vonnis (via) gaat de rechter echter best wel ver met die marginale toetsing.

De scholier had een account op een website waar je DDoS-aanvallen kunt laten uitvoeren. Eh, oké. De logs uit dat account laten drie aanvallen zien op het ROC-netwerk. Zijn verweer: hij heeft een website voor zijn bedrijf, en had dat account genomen om te testen dat zijn site tegen DDoS-aanvallen bestand was. Eh, okéé. En toen het nieuws over de DDoS tegen zijn school verscheen, raakte hij geïnteresseerd of de school beter beschermd zou zijn dan zijn eigen site, vandaar. Ehh, okéééé.

Er was geen bewijs voorhanden dat de jongen achter de ‘grote’ aanvallen zaten. Sterker nog, eentje daarvan vond plaats tijdens dat gesprek met de schooldirectie. Plus, hij werkte mee aan het onderzoek.

Niet aannemelijk is geworden dat [naam zoon] anders dan uitsluitend vanwege pure interesse is overgegaan tot een DDos-aanval op het netwerk van gedaagde. Hij heeft de aanval gestopt zodra hij zag dat de aanval het netwerk vertraagde. Dat de school van zijn handelingen enige schade heeft ondervonden, is niet komen vast te staan.

Daar komt bij dat de school hem in eerste instantie na het onderzoek geen sancties oplegde. Pas nadat de IT-leverancier aangifte deed en de jongen werd gearresteerd, werd tot schorsing en (dreigende) verwijdering) overgegaan. Dat is een beetje laat; het wekt de indruk dat je de actie niet zo erg vindt en pas na de ophef (en publiciteit?) stevig je spierballen wilt laten zien. En dát is niet zoals het hoort.

De school had dus in redelijkheid niet tot het besluit kunnen komen de jongen van school te sturen. Daarom wordt de school veroordeeld hem per direct weer toe te laten.

Mooi zo. Ik erger me al geruime tijden aan de neiging bij scholen (en werkgevers) om ICT-gerelateerde incidenten véél strenger te behandelen dan andere incidenten. De krant lezen op je werk? Henk, leg die krant weg. Zitten Nu.nl-en op je werk? Ontslag op staande voet wegens misbruik bedrijfsmiddelen, overtreding ICT-reglement en op kosten jagen van de werkgever. Dat werk. Ook bij scholen. Doe je het schoolhek op slot met een stevig fietsslot, heel grappig, ga maar een week papiertjes prikken. Pleeg je een ddos, van school gestuurd en aangifte. Is dat “ik snap ict niet dús het is gevaarlijk”?

Arnoud

23 reacties

  1. Ik ben dan meer benieuwd waarom de rechter niet zomaar een besluit van school mag toetsen? Juist in dit soort gevallen lijkt het me een goede zaak dat het wel grondig bekeken wordt (met name om druk van bedrijven uit het school systeem te halen). En mag het bij werkgevers dan wel strenger omdat het om ontslag(recht) gaat? Zowel het verwijderen van school als ontslag hebben een enorme impact.

    1. Marginale toetsing geldt wanneer de partij die de beslissing nam, bevoegd is die zelf te nemen. Een school mag zelf bepalen wanneer zij leerlingen schorst. Een werkgever mag niet (altijd) zelf beslissen wanneer zij werknemers ontslaat, daarom is de toets daar (meestal) voller.

      Een marginale toetsing in het arbeidsrecht speelt bijvoorbeeld bij ontslag wegens een reorganisatie. De werkgever mag beslissen hoe hij zijn bedrijf reorganiseert en wat dat voor personele gevolgen heeft. Dus zolang die reorganisatie redelijk is en niet bv. uitsluitend bedoeld om Pietje weg te werken, zal het ontslag geldig zijn. De rechter mag alleen marginaal toetsen (gaat het alleen om Pietje of is dit écht bedrijfseconomisch relevant).

      Dat iemand disfunctioneert, is geen besluit van de werkgever maar een objectief vast te stellen criterium. Daarom mag de rechter daar wél volledig toetsen.

      1. Mag een rechter niet ook iets simpelweg onredelijk of onrechtmatig vinden? Of moet de klager daarvoor eerst hebben gesteld dat iets niet alleen de marginale toets niet doorstaat, maar daarnaast ook onrechtmatig is?

        1. De marginale toets is toetst juist of er onrechtmatig gehandeld is. Treedt de school buiten haar beoordelingsvrijheid door deze leerling te schorsen? De rechter kan iets onredelijk vinden, maar dat maakt het nog niet onrechtmatig. Binnen de beoordelingsvrijheid kunnen twee mensen tot twee heel verschillende beslissingen komen die allebei rechtmatig zouden zijn (zolang ze binnen de beoordelingsvrijheid vallen).

        2. Dat hangt af van de vordering die men instelt. Hier ging het om de vraag, mocht hij worden geschorst. Dan kan de rechter alleen maar zeggen, ja dat mocht, of nee dat mocht niet.

          Onrechtmatigheid is belangrijk bij de vraag “moet hij schade vergoeden”. Als hij onrechtmatig handelde, moet hij dat (art. 6:162 BW). Dat is dus waar de school nu mee dreigt, de kosten van het onderzoek op hem verhalen. Wel is dan vereist dat de school bewijst dat het onderzoek zijn schuld is, oftewel zonder zijn handelen zou het onderzoek niet zijn uitgevoerd. En daar heb ik zo mijn twijfels bij.

          Onrechtmatigheid náast de marginale toets niet doorstaan kan eigenlijk niet als argument. Net zoals je niet kunt wanpresteren onder een contract en tegelijk onrechtmatig handelen. De begrippen gaan over ongeveer hetzelfde maar vanuit een andere invalshoek.

          1. Net zoals je niet kunt wanpresteren onder een contract en tegelijk onrechtmatig handelen.

            Ehm, dat kan toch wel degelijk, mits je handeling ook zonder het contract onrechtmatig was geweest jegens je contractpartij? (NJ 1956, 157).

  2. Er was geen bewijs voorhanden dat de jongen achter de ‘grote’ aanvallen zaten. Sterker nog, eentje daarvan vond plaats tijdens dat gesprek met de schooldirectie.
    Het schijnt dat je met die ‘computers’ iets kan doen zodat je het van te voren instelt en dan zelf iets anders kan gaan doen. Ik weet ook niet precies hoe dat nou werkt, maar het schijnt wel al te kunnen, als je heel goed ermee bent.

      1. Ook al is er geen schedule optie dan nog zou je zelf een script kunnen hebben wat automatisch inlogt en de DDoS start.

        Het is inderdaad wonderlijk dat IT-vandalisme zo anders wordt dan het ouderwetse vandalisme.

        1. Waarschijnlijk vanwege de veel hogere kosten. Het onderzoeken van een ddos is een specialistisch werkje waar zelfs een goed geschoold persoon lang mee bezig kan zijn. Er is een bedrijf ingehuurd om onderzoek te doen. Bij ‘gewoon’ vandalisme gebeurt dat meestal niet. In dit geval werd een bedrijf in de arm genomen dat, afgaande op hun vacatures, met mbo’ers en hbo’ers werkt. Dan is het niet vreemd dat de ddos weken geduurd heeft, en hadden ze het ‘geluk’ dat deze leerling heeft bekend. De leerling is nog niet klaar met de school:

          De jongen kwam in beeld nadat de school een ICT-bedrijf onderzoek had laten doen naar de problemen. De school is van plan de kosten van dat onderzoek verhalen op de jongen, zo heeft een woordvoerster van het ROC West Brabant gezegd. (bron)

          1. Klinkt stoer dat verhalen van die kosten, maar als ze niet eens genoeg bewijs hebben om hem te mogen schorsen dan zie ik niet hoe de civiele rechter een schadeclaim gaat toekennen. Daarvoor moet immers wel bewezen zijn dat het onderzoek door zijn acties nodig was.

            Plus, hoe veel geld ga je van een 16-jarige kale kip plukken? (Nee, zijn ouders zijn niet meer aansprakelijk voor schade die hij aanricht, dat houdt op bij 16 jaar.)

      2. Met Auto-It bakt u toch zelf een scheduler? Of je vraagt één van je hackervriendjes (misschien wel een klasgenootje) op IRC om even te “testen” in uw afwezigheid.

        Als je de school website plat legt dan vertel je dat natuurlijk aan iedereen die dat wil horen. Bij ons op school was bv. bekend dat je via de printer poort op de computer van de leraar kon komen.

      3. Ik zou wel eens willen weten welke dienst hij gebruikte voor dat “ddos-stresstesten”. Als die geen schedule-optie heeft, dan is het argument valide.
        Ik zit niet echt in de DDoS scene maar volgens mij moet je een DDoS altijd schedulen / queuen, omdat je feitelijk capaciteit van een botnet inhuurt. Op het moment dat je op ‘doe me maar een DDoS’ klikt dan is dat botnet niet aan het niksen en dus ook niet meteen beschikbaar, je opdracht wordt dan in de wachtrij gezet waarbij je een indicatie krijgt van de queue lengte en dus het starttijdstip.

  3. Een DDos aanval is niets meer dan controleren of alle deuren (poorten) op een computer correct zijn afgesloten. Dit veroorzaakt inderdaad een beetje verkeer richting de aangesproken poorten. Als je door een openstaande deur na binnen loopt op een school heeft dat dan de zelfde consequenties. Daarnaast als de sloten niet goed zijn spreek je de leverancier erop aan. Wat betreft IT leven we momenteel echt nog in de middeleeuwen en is alles een beetje eng voor de gemiddelde digibeet. Ik hoop dat de school hiervan leert en de IT dienstverlener aanspreekt op het leveren van adequate diensten.

    1. @Hans, je verwart een poortscan met een DDOS.

      Een DDOS is een aanval met zoveel mogelijk computers tegelijk met als doel een andere computer van het internet te wippen. De bedoeling is dat 1 van de resources van de aanvallende computer eruit gaat. Vanwege de eenvoud wordt hoofdzakelijk de netwerk-pijp gekozen, maar het kan ook CPU,Memory of andere gelimiteerde onderdelen zijn.

    2. Je verwart een DDoS aanval met een portscan. Een DDoS aanval hoeft niet uit TCP of UDP-verkeer te bestaan, dus je kunt niet eens over poorten spreken. Als je graag een vergelijking met het analoge tijdperk maakt, kun je zeggen dat je met een DDoS in je eentje de toegangsweg naar de school blokkeert.

      Wat leert de leerling hiervan? Volgende keer de kaken stijf op elkaar houden, en zeker je laptop niet afstaan aan een bedrijf dat op jouw account inlogt en aangifte doet.

  4. Ik vind het een beetje apart dat die logs van die stresstest-site naar voren kwamen. Van sommige van die sites is wel bekend dat die samenwerken met de FBI, maar de meeste zijn erg gericht op het wegmoffelen van activiteit. Die jongen heeft dus vrijwillig zijn laptop afgegeven bij een particulier IT bedrijf dat onderzoek pleegde? Dat lijkt mij niet zo’n slimme aktie. De school heeft het dan wel slim gedaan. Ze hebben de jongen laten bekennen en incrimineren zonder bijkomst van een advocaat. Tenminste, ik ga ervan uit dat een advocaat niet zegt: Geef die laptop maar af joh!

    Zo’n stresstest kost geld. Ik dacht eerst dat het om LOIC zou gaan (Anonymous DDOS tool), maar die stresstest websites hebben veel meer computerkracht. Op de schimmige stresstestsites komt deze kracht via een botnet. Alle stresstest sites die ik bezocht heb hadden een schedule-optie. Deze wordt dan gebruikt voor blackmail (om 12 uur leggen we uw website plat als u geen geld geeft!) of om concurrenten dwars te zitten.

    Maargoed, je werkt dus mee met het onderzoek met een derde partij, en dan doet die partij zelf aangifte namens de school? Dat is een vrij rare manier van werken. Normaalgesproken is zo’n derde partij toch onafhankelijk? Wie gaat er in de toekomst ooit nog samenwerken met de onderzoekers van ICT Workz BV, nu blijkt dat het ook aangevers zijn?

    Dit is wel één van de zwakste verweren die ik ooit gelezen heb:

    Hij heeft een account op de betreffende website, omdat hij een eigen bedrijf met een eigen website heeft. Om te testen of zijn website tegen DDos-aanvallen bestand is, voert hij soms met behulp van voormelde account gecontroleerde DDos-aanvallen op zijn eigen website uit. Toen hij hoorde van de DDos-aanvallen op het netwerk van gedaagde heeft hij uit interesse onderzocht of het netwerk van gedaagde tegen DDos-aanvallen die vanuit zijn account werden uitgevoerd, bestand was. De eerste DDos-aanval op het netwerk van gedaagde heeft geen enkel effect gehad. De tweede aanval, waartoe [naam zoon] een paar minuten opdracht heeft gegeven, heeft wel invloed gehad op de werking van het netwerk. Zodra hij bemerkte dat de aanval bewerkstelligde dat het netwerk trager werd, heeft hij, enige seconden later, de aanval gestopt. Uitsluitend vanwege het feit dat hij het programma toen niet heeft afgesloten, maar heeft “weggeklikt”, heeft het kunnen gebeuren dat bij het opstarten van zijn laptop op 18 september 2013 een opdracht tot een DDos-aanval op het netwerk van gedaagde verzonden werd. Hij heeft die aanval meteen gestopt, zodat deze geen effect heeft gehad.

    Vooral die laatste is voor mij totaal niet aannemelijk. Ikzelf vind een schorsing hier wel gepast. Als de student nu zelf naar voren was gekomen met: Hey, uw netwerk is niet stressbestendig, dit kunt u doen op het op te lossen! Dan valt het misschien onder de noemer ethisch hacken. Nu is het vooral dom vandalisme. Probleem met DDOS is dat je, met voldoende kracht, altijd het onderspit delft. Zelfs de sites van Paypal of de Rijksoverheid, sites met veel brandbreedte en loadbalancing, kunnen platgelegd worden. Enige om je te wapenen tegen DDOS is om de site te laten hosten bij een bedrijf dat gespecialiseerd is in DDOS-preventie. Dus aantonen dat je gevoelig bent voor DDOS is een beetje zoals aantonen dat je gevoelig bent voor brute-force: Niets nieuws.

    1. Ik denk dat het wel gaat om een stresstest-tool en niet een stresstest-website.

      Hij heeft een account op de betreffende website

      het feit dat hij het programma toen niet heeft afgesloten
      uit de ‘attack history’ op het inlogscherm

      Booters als Napalm Booter hebben een ‘attack history’ scherm (http://i.imgur.com/QQdZF.png). Er is vaak een betaald account nodig voor gebruik. Ook wordt er niet DDOS maar DOS mee gedaan. Het effect is wel hetzelfde, maar de aanvallen met bv. Slowloris zijn een stukje slimmer en kunnen een site of netwerk platleggen met 1 enkele computer. Gebruik van zo’n tool, maar geen proxy, geeft een onderzoeksteam de mogelijkheid om een IP te herleiden. Bij een DDOS website wordt dit erg moeilijk, zo niet onmogelijk. Ik denk dat het vermoeden op de jongen was gevallen omdat deze een tool had gebruikt vanaf eigen IP. Of zouden ze elke student hebben uitgenodigd voor een gesprekje met de directie?

      Op 25 september 2013 is [naam zoon] uitgenodigd voor een gesprek bij de directie van gedaagde. Tijdens dat gesprek is [naam zoon] gevraagd of hij wist wie de DDos-aanvallen op het netwerk van gedaagde gepleegd had en of hij er iets mee te maken had.
    2. Hoe zo terecht dat hij geschorst wordt? Uit het stukje wat je quote haal ik uit dat er van de drie aanvallen slechts 1 is geweest waarbij er daadwerkelijk hinder is geweest en dat slechts een paar seconden (laat het zelfs een paar minuten zijn). Zelfs een schorsing lijkt me dan overdreven.

      De school wil ook de kosten van het onderzoek op de scholier verhalen maar als ik het goed lees, is de scholier pas begonnen nadat bekend werd dat er al DDoS aanvallen waren geweest. Ik acht het dan ook erg onwaarschijnlijk dat de school het onderzoek is begonnen door de paar seconden durende overlast maar ik denk dat het onderzoek gestart is door de grootschaligere aanvallen.

      1. Ik denk dat meer scholieren wisten van die tool en dat niet alle aanvallen van hem kwamen. Dat alleen hij gepakt is, is zuur voor hem. Maar vast staat is dat hij een aanval heeft gepleegt op een netwerk met een tool waarvan hij wist dat het een netwerk kon platleggen. Dit is een beetje als een raam ingooien om te kijken of er kogelvrij glas in zit (terwijl je vermoed dat dit niet het geval is, en een barst ook vervelend is). De school ondervond genoeg hinder van de aanval om onderzoek in te stellen. Bij dat onderzoek is waarschijnlijk zijn IP naar boven gekomen of hij heeft bekend tegenover leerlingen. Duur van de DDOS lijkt mij niet relevant voor de overtreding zelf. Het gaat om de intentie. Daarbij is de duur wel relevant (“even 5 seconden testen”), maar dat hele verweer komt slordig op mij over. Ik geloof er vrijwel niets van. De school beweert dat andere studenten er last van ondervonden en dat men de aanvallen als groot genoeg probleem zag om onderzoek in te stellen. Dat gebeurt niet bij 5 seconden traag laden.

        Ikzelf ben een keer 2 weken geschorst voor een 1 april grap. Dat was niet zo terecht, tenminste dat vond ik, maar vooral dom van mij dat het uitkwam. Ik vind het niet raar dat je voor puur vandalisme geschorst wordt. Ik ben VOOR hacken. Ik vind dat wereldje fascinerend en begrijp goed hoe een tiener daarmee wil experimenteren. Ik maakte dan ook een kanttekening voor ethisch hacken. Een scholier die het computernetwerk op school onderzoekt op veiligheidslekken en dit (eventueel anoniem) meldt krijgt van mij enorm veel respect en vind ik fantastisch. Een scholier die een tooltje gebruikt en op “attack” drukt een stuk minder. Doe het dan via een proxy, een gekaapt botnet, of tenminste in een virtual machine. Verwijder je sporen voordat je je eigen laptop vrijwillig afgeeft aan een IT partij als je onder vermoeden van iets staat en praat tegen niemand niet. Of geef aan hoe je de server zo kan instellen dat deze tools niet, of minder goed, werken. Misschien zijn hack tools tegenwoordig zo gemakkelijk en vrij te verkrijgen dat tieners niet precies weten hoe ze werken, en dat het gebruik ervan illegaal kan zijn.

        Ok, nu ik er nog even over nadenk heb je misschien wel gelijk en moet ik nuanceren. Ik kan goed begrijpen dat een directie zo’n aanval als vandalisme ziet en iemand daarvoor schorst. Ik kan aan de andere kant goed begrijpen dat kinderen nu eenmaal nieuwsgierig zijn en dat, als hij echt kwaad wilde, hij wel dagenlang dat netwerk had kunnen platleggen. Een tijdelijke schorsing lijkt mij terecht. Een progressieve manier zou zijn om de IT afdeling daar een oude bak te laten installeren met IIS6 erop ofzo. Op die server staat ergens een tekstbestand met een e-mail erin. Als je daar een bericht naar stuurt, dan ontvang je punten voor het vak IT & Security. Laat studenten lekker los gaan op die bak, zowel met aanvallen als verdedigen. Stel een paar duidelijke regels op en je hebt de ultieme leeromgeving zonder overlast op je normale netwerk. Op mijn hoge school probeerde ook iedereen op het netwerk te komen, spellen te installeren op work stations etc. Op de universiteit was dit niet anders. Dat gebeurd nu eenmaal.

  5. Wat mij opvalt is dat de minderjarige zoon een eigen website heeft en daar kennelijk een bedrijfje mee heeft. Dat geeft hem toch bepaalde verantwoordelijkheden waar hij kennelijk niet helemaal goed mee om kon gaan. Nu lijkt de schorsing zelf onterecht, maar de DDOS-actie heeft hij namens zijn bedrijf uitgetest omdat hij wilde weten of zijn eigen beveiliging beter was dan die van zijn school. Nou lijkt het mij dat die school vervolgens zijn bedrijf verantwoordelijk kan houden voor de gemaakte onkosten en overlast.

    Waarom is die school dan niet achter het bedrijf aan gegaan? Waarom alleen achter de persoon?

    Is gewoon iets wat ik zomaar afvraag…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.