Britse rechercheurs hebben meerdere sites opgezet waar cybercriminelen zogenaamd ddos-aanvallen konden bestellen. Dat meldde Nu.nl onlangs. De politie kon zo duizenden aanvragers noteren en gaat ze allemaal een bezoekje brengen. Het riep bij een paar lezers de vraag op: is dat geen uitlokking, zou dat ook mogen naar Nederlands recht?
DDOS-bestelsites, in het jargon booter sites, zijn Justitie al lang een doorn in het oog. Europol haalde in 2022 vijftig ddos-booters offline, mede dankzij de inzet van de Nederlandse politie. Zoals ik toen blogde:
Dergelijke diensten leveren DDoS-aanvallen op verzoek en tegen betaling, met het dunne excuus dat bedrijven wellicht hun netwerk willen testen maar dan geen behoefte hebben aan contracten, facturen of betalingen met ouderwets fiatgeld. Of zoiets.Anders gezegd, er lopen dus veel mensen rond die graag geld uitgeven om een DDoS-aanval uit te laten voeren die in strijd is met de wet. Die mensen eruit pikken voor ze écht schade hebben aangericht, is een legitiem doel van de politie. Alleen kom je dan snel terecht in de discussie over ‘uitlokking’.
De discussie over uitlokking speelde in 2013 bij een nepvuurwerkwinkel, opgezet door de politie met als doel mensen waarschuwingen te geven die daar illegaal vuurwerk meenden te bestellen.
Van uitlokking is in ons strafrecht sprake als je iemand op andere gedachten brengt, hem overhaalt het strafbare feit te plegen terwijl hij dat zelf niet van plan was. In het lokfiets-arrest bepaalde de Hoge Raad dat je iemand niet uitlokt door een onafgesloten fiets neer te zetten op een plek waar vaak fietsen steelt. Een fiets is een fiets, en de dief kiest er nog altijd zelf voor om die te stelen. Zou een agent na het plaatsen naar een stel junks toegaan en zeggen “hee daar staat me een mooie fiets, en onafgesloten ook nog”, dan wordt het al twijfelachtiger.Ik had er toen een kléin beetje moeite mee, omdat een winkel naar zijn aard producten promoot. Iemand die toevallig aan komt waaien en dan de strijkers, Bengaals vuur en mortierbommen in het gezicht geduwd krijgt, die kan denk ik goed verdedigen op andere gedachten gebracht te zijn door die reclame: hij kwam alleen voor legaal vuurwerk en werd door de reclame effectief overtuigd deze te kopen.
Bij DDoS-aanvallen zie ik dat niet. Natuurlijk, het standaardexcuus van die sites is dat ze zich richten op mensen die hun eigen netwerk willen testen. Maar hier worden de kopers van de diensten aangesproken. En die hebben geen mooi CRA-compliant bedrijfsnetwerk, laat staan dat het opgegeven target IP-adres behoort tot hun eigen serverpark. Dus daar is geen enkel excuus.
Het volgende argument zou zijn dat de koper-in-spe eigenlijk nooit van plan was een DDoS-aanval te bestellen, maar door de site werd overgehaald: het is makkelijk, niet duur, ze zeggen hier “niet te traceren” en dergelijke aanprijzingen. Zonder de precieze site te zien is het lastig te zeggen hoe hard de website mensen probeerde over te halen.
Maar ik zou zeggen: als men de site niet actief adverteerde bij derden, maar ‘gewoon’ als een beschikbare dienst neerzette, dan wordt er niemand op andere gedachten gebracht. Het is immers een bestaande site die de politie overnam, dus eventuele reclame of bekendheid moet je de vorige eigenaar toerekenen. Ik zie er daarom dus juridisch geen uitlokking in.
Arnoud