De legaliteit van bootersites en ddos’en kopen

denial-service-ddos-aanval-attackDDoS-aanvallen, waarbij websites worden overspoeld met dataverkeer, worden steeds gemakkelijker en goedkoper, door de opkomst van speciale websites die die aanvallen op commando uitvoeren. Dat meldde de NOS vorige week. Zogeheten booter-sites bieden een makkelijke interface om tijdelijke botnetkracht in te huren om een specifieke website even te overbelasten. Legitieme dienstverlening met het doel de eigen website te kunnen controleren, heet het dan. In juridische taal: kom nou toch.

Het uitvoeren van een ddos-aanval is strafbaar, maar de strafmaat is nog wat onduidelijk. In beginsel staat er één jaar cel op (art. 138b Wetboek van Strafrecht). Maar de paar rechtszaken waarin mensen vervolgd werden voor ddos-aanvallen, hadden grotere gevolgen en daarom werd daar een ander artikel van stal gehaald: het “vernielen, beschadigen of onbruikbaar maken” van een computersysteem of een “stoornis in de gang of in de werking” daarvan veroorzaken (art. 161sexies Strafrecht). Zeker als je dan “gemeen gevaar” of levensgevaar veroorzaakt, gaat het hard met de strafmaat – tot vijftien jaar cel.

Een bootersite voert niet op eigen initiatief een ddos-aanval uit, maar faciliteert het in gang zetten daarvan na betaling door een klant. Op zijn minst is dat medeplichtigheid: het verschaffen van gelegenheid en middelen tot het plegen van het misdrijf.

Vrijwel elke site zegt dan ergens braaf, je koopt een stresstest en je moet een vinkje zetten dat je toestemming hebt van de eigenaar. Maar zoals ik dus al zei, juridisch gezien: moehaha. Kom nou toch. Er zijn een hoop situaties waarbij je kunt zeggen, ik lever een dienst en het hangt van de klant af of het legaal is en dat kan ik niet beoordelen, maar hier? Nope. Vergeet het maar. Al is het maar omdat die sites totaal niet ingeregeld zijn op het voorkomen van misbruik.

En er zit vast ook een stukje vooroordeel in. Een site met groene Courier-letters op een zwarte achtergrond is eerder strafbaar dan zwarte schreefloze letters op een witte achtergrond met strakke stockfoto’s en een blauwe balk met daarin een keurig securitylogo en daaronder “over ons – contact – werken bij” et cetera. Maar ik heb niet het gevoel dat dat hier echt de doorslag gaat geven.

DDoS-inkoopsites schieten “als paddestoelen uit de grond”, aldus een politiewoordvoerder tegen de NOS. Waardoor dat precies komt, is mij niet helemaal duidelijk. Misschien zijn er meer verveelde pubers die het wel grappig (lauw? hoe heet dat tegenwoordig) vinden om elkaar plat te gooien. Of het is makkelijker geworden ddos-aanvallen in te kopen waardoor je makkelijker als reseller aan de slag kunt. Of mis ik iets?

Arnoud

11 reacties

  1. Een site met groene Courier-letters op een zwarte achtergrond is eerder strafbaar dan zwarte schreefloze letters op een witte achtergrond met strakke stockfoto’s en een blauwe balk met daarin een keurig securitylogo en daaronder “over ons – contact – werken bij” et cetera.
    Heerlijk, die willekeur.

    Ik werk bij een middelgrote ISP, waar iemand opeens ’s nachts onze website begon aan te vallen met een botnet. We kwamen er vrij snel achter dat er op een universiteitscampus een LAN-party gehouden werd, dus de vervelende pubers (of misschien ietsje ouder nog) klinkt als een aannemelijke theorie.

  2. Het openresolver project geeft een leuke lijst met te misbruiken services, dat zal ook niet hebben meegeholpen denk ik.

    Als die sites echt ’toestemming’ hadden willen vragen, doe dat dan met een DNS-record op het domein dat je aan wil vallen, reverse DNS instellen of met een file-upload zoals Google Analytics. Maar die kleine trucs bouwen ze niet in en we weten allemaal waarom. Het gaat ze om ’t geld en het boeit ze geen drol wie daar de dupe van wordt.

  3. Als je nou ergens een behoorlijk stevige server neer zet, en je bestelt zo’n service om je zelf aan te vallen, en je ontwerpt je DDoS “omgekeerd” (dat is: zwaar voor de aanvaller, licht voor de server), dan krijg je gratis een lijst IP-adressen van de computers van het aanvallende botnet.

    Kan een botnet op deze manier niet gebruikt worden om zichzelf op te rollen? De IP-adressen kunnen worden doorgegeven(*) aan de bijbehorende internet-providers; die kunnen de betreffende klanten op de hoogte stellen dat hun computer mogelijk is geïnfecteerd, en wellicht kunnen ze een eigen onderzoek instellen. Je kunt misschien niet iedereen via deze weg bereiken, maar het aantal slecht beveiligde computers op het internet moet op deze manier toch flink gereduceerd kunnen worden?

    (*) Zijn er privacy-bezwaren? Het lijkt me dat dit een legitiem doel dient (handhaven van de integriteit van het netwerk), dat de gegevens zijn verkregen binnen een context waarin de legitimiteit van dat doel vanzelfsprekend is (de personen zijn zelf internetgebruikers), dat het delen van de gegevens niet verder gaat dan noodzakelijk om het doel te dienen, en mogelijk ook dat het delen van deze gegevens een effectief middel is.

    1. Wat interessante artikelen die ik tegen kwam nadat ik op basis van jouw reactie ging Googelen: A hacked DDoS-on-demand site offers a look into mind of “booter” users en Six Nabbed for Using LizardSquad Attack Tool.

      Beide gaan over de lessen die kunnen worden getrokken uit een gestolen database van een van die booter sites, LizardSquad. (Ironisch genoeg gebruikte de laatste de DMCA om die database weer offline te krijgen.)

      TL/DR ArsTechnica: “Attacks on gamers have made up a significant percentage of the LizardStresser’s workload. While more than half of the attacks launched by customers of the service have been against Web servers, a significant portion have targeted individuals or small community gaming servers—including Minecraft servers.”.

      TL/DR Krebs on Security: “According to Arbor, the top three motivations behind attacks remain nihilism vandalism, online gaming and ideological hacktivism— all of which the company said have been in the top three for the past few years.”

      Maar er staat nog veel meer in die artikelen dan het waarom en het wie van de aanvallen.

  4. Die sites draaien inderdaad op verveelde pubers met de creditcard van pappa. Doe wat technische dingen voor een aantal servers van het (verschrikkelijke) spel Minecraft, daar is het zo droevig dat ze via zogenaamde Skype-resolvers proberen om IP-adressen te achterhalen van de internetlijntjes van de beheerders, om daarna berichtjes te sturen “geef mij xxx anders trek ik je lijn plat”. De servers zelf worden in een vakantie zoals nu gemiddeld een keer of 3 per dag aanvallen. Altijd precies 15 minuten, en dan zijn de credits op gok ik zo.

    Een enkeling bleek wat minder anoniem dan ‘ie dacht, dus toen ging er een telefoontje naar pappa en mamma op zaterdagavond. Blijkt het een 14-jarig kind te zijn. Klonk niet alsof het een gezellig avond ging worden daar in huis…

  5. Ik vergelijk het met een slotenmaker. Die kan ook ingehuurd worden om de deur van de buurman open te breken. Daarom vraagt de slotenmaker om inzage in uw identiteitsbewijs.

    Er zijn ook zeker legitieme doelen voor een stress-test. Zaak is dan om 100% toestemming te hebben, en voor de bootersite is het zaak om identiteitsgegevens als IP en doelen op te slaan.

    Het verhaal van “Ragebooter” is ook interessant in deze: De eigenaar zegt dat alles legaal is, omdat hij toegeeft voor de FBI te werken. Hij slaat alles 7 dagen op en geeft de politie 100% inzage in het gedrag van haar gebruikers. Zie het artikel op Krebson Security.

    Over dat bootersite’s als paddestoelen uit de grond zouden springen: Misschien is dat een vooroordeel/bias, omdat het nu meer “in the open” gebeurd, beide commercieel en wettelijk.

    Heel ouderwets: Een DDOS was oorspronkelijk meer een digitale sit-in. In plaats van met z’n honderden voor de poort van Coca Cola te gaan zitten, en zo het commerciele verkeer te verstoren uit protest, zo ging je met duizenden wereldwijd de website van Coca Cola verversen. Dat protest-element lijkt geheel verdwenen. Zeker bootersite’s is: Het inhuren van 1000den protestanten.

    Wat men ook ziet is het creeeren van ruis tijdens een aktie. Toen de sites van MasterCard, Visa en Paypal werden geDDOSed, omdat men het niet eens was met het afsluiten van WikiLeaks donaties, zaten enkele Nederlandse tieners met het tooltje LOIC vanaf hun eigen IP-address mee te doen. Natuurlijk stond bij hun de politie de volgende dag voor de deur (en gingen de echte “boosdoeners” vrijuit). Met DOSSEN vanaf je eigen huislijntje trek je echt geen sites omver (of je moet iets als Slowloris gebruiken), maar je bent wel mede-dader in de ogen van de wet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.