Verschillende internationale politiediensten, waaronder de Nederlandse, hebben tijdens een operatie tientallen ddos-booters offline gehaald. Dat meldde Tweakers vorige week. Dergelijke diensten leveren DDoS-aanvallen op verzoek en tegen betaling, met het dunne excuus dat bedrijven wellicht hun netwerk willen testen maar dan geen behoefte hebben aan contracten, facturen of betalingen met ouderwets fiatgeld. Of zoiets. Want, zo vroegen diverse lezers, hoe maak je dan het onderscheid tussen een legale stresstest dienst en zo’n booter?
Voor mij begint het al bij de naam. De frase “to boot someone” is gamerslang voor iemand van internet schoppen, met name als die van jou aan het winnen is. Een ddos op zijn ip adres uitvoeren is daar een bekende truc voor die vrijwel altijd werkt, wat dus heeft geleid tot handige jongens met bootersites, geef mij geld en ik schop die ander voor je van internet. Wie zichzelf dus met die naam tooit, heeft de schijn nogal tegen – alsof je een directiegroepschat van een financiële organisatie “Wirefraud” noemt.
Maar goed iets formeler: het hangt van het beoogde doel van de dienst af of het illegaal is om deze te maken. De wet stelt namelijk strafbaar het maken, verkopen, verspreiden et cetera van een middel om een ddos aanval te plegen (artikel 139d lid 2 Strafrecht). Het moet dan gaan wel om een “technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf”.
Er zijn tools te over waarmee je een ddos-aanval zou kunnen uitvoeren, in de Unixwereld is ping -f de bekendste. Of zelfs maar vaak genoeg op F5 drukken in je browser. Maar de kern bij al die tools is dat ze gebruikt kunnen worden, terwijl de wet ontworpen of speciaal geschikt vereist. Dat vereist dus iets meer, en meestal komt dat neer op intentie van de maker en/of presentatie of aanbod van de dienst. Een al wat oudere maar bekende dienst is webstresser punt org, waar Brian Krebs een artikel over schreef. In dat artikel zie je bijvoorbeeld dat men spreekt van “attacks” die je kunt kopen, dat wijst voor mij niet op de intentie van een legitieme dienst leveren.
Er zullen vast legitieme klanten tussen zitten die oprecht dachten deze dienst nodig te hebben, en ook keurig kregen wat ze vroegen, namelijk een stresstest van afgesproken omvang en tijd op hun eigen netwerk. Maar dat je zulke klanten hebt, is geen argument dat je dienst als zodanig dan legaal is. Pas als grofweg al je klanten op die manier legitiem zijn, kun je die discussie gaan voeren. Dat er dan een keer een crimineel tussendoor glipte die z’n mattie wilde booten, dat is dan een bedrijfsongeval en daar neem je dan vervolgens maatregelen tegen. Ik zie hier werkelijk niets dat daarop wijst.
Arnoud
Ik denk dat het echt belangrijk is dat we diensten als deze offline halen. Het is echt ongelooflijk dat mensen zoiets illegaals kunnen kopen op het internet, en dat het zo makkelijk is om iemand te booten van internet. Er zijn zoveel verschillende tools waarmee je een DDoS-aanval kan uitvoeren, en het kan zo schadelijk zijn voor iemand als hij of zij getroffen wordt. Ik denk ook dat het belangrijk is dat bedrijven hun netwerken goed beveiligd hebben, zodat ze niet zo gemakkelijk te kraken zijn. Maar het is ook belangrijk dat de politie actie onderneemt tegen deze bedrijven die deze diensten aanbieden. Als we ervoor zorgen dat de mensen die deze diensten verkopen, gestraft worden, zullen meer mensen er denk ik vanaf blijven.
Ben je met ChatGPT aan het spelen Wim?
😀 Betrapt! 😀
Moest het toch even uitproberen, he? Ik ben inderdaad gaan spelen met OpenAI om teksten te genereren die redelijk menselijk lijken. Mijn Weather Report website die ik in minder dan een dag heb gemaakt met OpenAI is de opvolger van dit alles. Dan blijkt dat OpenAI best goede teksten kan produceren op basis van data in JSON vorm. Google TTS erover om het mooi uit te laten spreken en het resultaat vind ik best mooi.
Maar goed, voor reviews en zo is de gegenereerde tekst nog iets te herkenbaar. 🙂 Het klinkt te nieuws-lezerig en mogelijk dat OpenAI dat expres zo genereert. Maar van JSON in OpenWeatherMap naar leesbare tekst in OpenAI (en dan TTS) geeft al aan hoe krachtig dit soort systemen al kunnen worden. Zeker als je bedenkt hoe weinig tijd het heeft gekost. 🙂
Nu nog een AI erbij die een passend plaatje bij de temperatuur MAAKT!
Je kunt toch ook om formeel taalgebruik vragen?
Prompt: reageer als een zeer formele en kritische advocaat op dit blogbericht
Het lijkt erop dat de diensten die worden aangeboden door deze ddos-booters in strijd zijn met het Nederlandse strafrecht. Volgens artikel 139d lid 2 van het Strafrecht is het strafbaar om middelen te maken, verkopen, verspreiden of anderszins te verkrijgen voor het plegen van een ddos-aanval. Het is echter niet voldoende om alleen te voldoen aan de letter van de wet om te bepalen of een dienst legaal is. Het is ook relevant om te bekijken of de dienst hoofdzakelijk is ontworpen of geschikt gemaakt om een ddos-aanval te plegen. Aan de hand van de informatie die wordt verstrekt in het blogbericht, lijkt het erop dat deze diensten zijn ontworpen met het doel om ddos-aanvallen te plegen en dat deze diensten daarom in strijd zijn met het Nederlandse strafrecht. Het is ook mogelijk dat de diensten in andere landen als illegaal worden beschouwd, afhankelijk van de nationale wetgeving. Het is daarom van belang om volledig op de hoogte te zijn van de wettelijke kaders voordat men zich met dergelijke diensten bezighoudt.
Reageer als een vrouwelijke hacker van 22 met informeel taalgebruik en maak enkele spelfouten. Geef aan dat je ddos aanvallen legitiem vindt als iemand dit vraagt om uit te testen. Gebruikt straattaal.
Jaha, dus we hebben hier te maken met een paar booters die op de hak worden genomen? Wel, ik zie niet in waarom dat zo’n drama zou zijn. Als je iemand vraagt om een DDoS attack uit te voeren om je netwerk te testen, wat is dan het probleem? Als ze legitieme klanten hebben die echt payed voor een stresstest, wat is dan het probleem? Als je eenmaal online bent, kun je toch je eigen tools gebruiken om dingen te booten? Je hoeft alleen maar de juiste poorten te kennen en wat kennis over packet-injectie te hebben.
Ik denk niet dat de wet het echt onderscheidt tussen legitieme stresstesten en booters. Het is een beetje een dunne lijn, maar als je een bedrijf hebt dat zichzelf een booter noemt, dan weet je gewoon dat je met een crimineel te maken hebt. En goed, als je niet te kieskeurig bent, kun je je wel voorstellen dat je gebruik van zo’n dienst maakt. Maar als je echt legitieme stresstesten wilt doen, kies dan een bedrijf dat daarvoor staat. Geef geen geld aan criminelen, want dat is gewoon een verloren investering.
“Wirecard” klinkt veel betrouwbaarder voor een financiële organisatie 😉