Tag: booter

About booter

Subscribe Feeds

Europol haalt bij actie met Nederlandse politie vijftig ddos-booters offline

Geplaatst op in Ondernemingsvrijheid, Regulering, 8 reacties

Verschillende internationale politiediensten, waaronder de Nederlandse, hebben tijdens een operatie tientallen ddos-booters offline gehaald. Dat meldde Tweakers vorige week. Dergelijke diensten leveren DDoS-aanvallen op verzoek en tegen betaling, met het dunne excuus dat bedrijven wellicht hun netwerk willen testen maar dan geen behoefte hebben aan contracten, facturen of betalingen met ouderwets fiatgeld. Of zoiets. Want, zo vroegen diverse lezers, hoe maak je dan het onderscheid tussen een legale stresstest dienst en zo’n booter?

Voor mij begint het al bij de naam. De frase “to boot someone” is gamerslang voor iemand van internet schoppen, met name als die van jou aan het winnen is. Een ddos op zijn ip adres uitvoeren is daar een bekende truc voor die vrijwel altijd werkt, wat dus heeft geleid tot handige jongens met bootersites, geef mij geld en ik schop die ander voor je van internet. Wie zichzelf dus met die naam tooit, heeft de schijn nogal tegen – alsof je een directiegroepschat van een financiële organisatie “Wirefraud” noemt.

Maar goed iets formeler: het hangt van het beoogde doel van de dienst af of het illegaal is om deze te maken. De wet stelt namelijk strafbaar het maken, verkopen, verspreiden et cetera van een middel om een ddos aanval te plegen (artikel 139d lid 2 Strafrecht). Het moet dan gaan wel om een “technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf”.

Er zijn tools te over waarmee je een ddos-aanval zou kunnen uitvoeren, in de Unixwereld is ping -f de bekendste. Of zelfs maar vaak genoeg op F5 drukken in je browser. Maar de kern bij al die tools is dat ze gebruikt kunnen worden, terwijl de wet ontworpen of speciaal geschikt vereist. Dat vereist dus iets meer, en meestal komt dat neer op intentie van de maker en/of presentatie of aanbod van de dienst. Een al wat oudere maar bekende dienst is webstresser punt org, waar Brian Krebs een artikel over schreef. In dat artikel zie je bijvoorbeeld dat men spreekt van “attacks” die je kunt kopen, dat wijst voor mij niet op de intentie van een legitieme dienst leveren.

Er zullen vast legitieme klanten tussen zitten die oprecht dachten deze dienst nodig te hebben, en ook keurig kregen wat ze vroegen, namelijk een stresstest van afgesproken omvang en tijd op hun eigen netwerk. Maar dat je zulke klanten hebt, is geen argument dat je dienst als zodanig dan legaal is. Pas als grofweg al je klanten op die manier legitiem zijn, kun je die discussie gaan voeren. Dat er dan een keer een crimineel tussendoor glipte die z’n mattie wilde booten, dat is dan een bedrijfsongeval en daar neem je dan vervolgens maatregelen tegen. Ik zie hier werkelijk niets dat daarop wijst.

Arnoud

 

 

Politie stuurt waarschuwingsbrief naar vermeende afnemers ddos-dienst

Geplaatst op in Regulering, 10 reacties
geralt / Pixabay

De politie heeft afgelopen maandag een waarschuwingsbrief gestuurd naar 29 mensen die in verband worden gebracht met het afnemen van ddos-diensten. Dat meldde Security.nl onlangs. “We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop”, zo staat in de brief vermeld.

De briefontvangers zouden via de website MineSearch ddos-diensten hebben afgenomen, waarmee het mogelijk was om tegen betaling ddos-aanvallen te laten uitvoeren. Vorig jaar juli doorzocht politie de woningen van twee verdachten die vermoedelijk bij de website betrokken zijn. Daarbij kwamen deze klantgegevens (ik moet nu zeggen: allegedly-klant) kennelijk naar boven, en dan is het logisch dat je die mensen eens héél serieus aanspreekt.

Maar mag het, is dan gelijk de vraag die ik her en der zie. Het deed me denken aan die zaak uit januari waarbij de politie sms-berichten had gestuurd naar contacten die in de telefoons van vermeende drugsdealers werden aangetroffen. Logisch zou je zeggen, dat zullen vermoedelijk wel klanten zijn en het kopen van drugs is strafbaar, dus dat geeft een redelijk vermoeden van schuld.

De hoofdregel uit strafvordering (opsporing en bestrijding van strafbare feiten) is dat de politie alleen mag doen wat in het wetboek geregeld is. Ja, behalve wat geen of geringe inbreuk maakt op de grondrechten. Een praatje maken op straat is dus bijvoorbeeld gewoon prima, dat kun je moeilijk een inbreuk op je grondrechten noemen. Iemand meenemen naar het bureau voor een verplicht praatje is dat wel, en dat is dan ook wettelijk geregeld. Idem voor het doorzoeken van een in beslag genomen administratie of C&C server van een botnet.

Voor mij speelt hier ook mee dat er meer aanwijzingen zijn dan “je staat in de telefoon van een dealer”: je gegevens van een betaalde transactie voor een criminele dienst staan in de administratie van de (vermoedelijke) crimineel die deze verzorgde. Je bent onschuldig tot het tegendeel bewezen is, maar hier de vermoorde onschuld bepleiten is toch wel erg ingewikkeld in deze omstandigheden.

We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop.
Er lijkt mij gezien die feiten eigenlijk al genoeg aanleiding te zijn om direct tot onderzoek en aanhouding over te gaan, dus dan is deze brief volgens mij juist een tegemoetkoming en niet een juridisch probleem.

Arnoud

Wanneer is het aanbieden van een stresstest legaal of juist strafbaar?

Geplaatst op in Ondernemingsvrijheid, Regulering, 4 reacties

De FBI heeft in samenwerking met de High Tech Crime Unit van de Nederlandse politie en het Britse National Crime Agency vijftien websites offline gehaald waar ddos-diensten werden aangeboden. Dat las ik bij Tweakers onlangs. De diensten presenteerden zichzelf als ‘stresstesters’, sites waar je tegen betaling de capaciteiten van je eigen site kunt testen om te weten of je ddos aanvallen aan kan. En tja he meneertje, dat iemand dan andermans IP adres invult daar kunnen wij verder niks aan doen. Precies ja, waar ligt dan de grens tussen die twee.

Natuurlijk is het legaal om een bedrijf de dienst te leveren van het veroorzaken van hoge belasting om te zien of die daartegen bestand is. Wanneer een netwerk of site van groot belang is, dan is testen op ddos-bestendigheid een legitieme wens en een aanbieder mag in dat commerciële gat springen.

Wat dan weer strafbaar is, is een site platleggen door deze opzettelijk en wederrechtelijk een hoge belasting te bezorgen. Dat noemen we een (d)dos aanval of in mooi juridisch Nederlands een verstikkingsaanval. Afhankelijk van de impact kan de maximale celstraf vele jaren zijn.

Het verschil tussen die twee? Perceptie, voornamelijk. Net zoals een website security scanner functioneel veel lijkt op een crackertool, maar die laatste strafbaar is omdat deze bedoeld is om het misdrijf computervredebreuk mee te plegen.

Wie dus de legale dienst wil aanbieden, moet zich er dan ook van bewust zijn dat er mensen zullen zijn die deze illegaal gaan inzetten. Zeg maar net zoals pizzabedrijven zich ervan bewust moeten zijn dat er wel eens een prank call voor een pizza bij de buren gaat komen. Daar neem je als normaal bedrijf dan ook maatregelen tegen.

Een legitiem stresstestbedrijf zal dus extra stappen moeten nemen om a) te voorkomen dat haar diensten voor misdrijven worden gebruikt en b) de indruk te vermijden dat je hoopt op klanten van dat type. Ik zou daarbij op zijn minst dan ook een intake van de klant verwachten: wie is dit, hoe weten we dat dat netwerk van hem is, en hebben we enige garantie dat er geen schade gaat optreden bij derden. Oh ja, en het lijkt me vrij voor zich spreken dat je eigen ingekochte zendcapaciteit inzet, en dus geen botnets met argeloze koelkasten en thuiscomputers commandeert.

Veel van de booter/stresser sites die ik ken, doen geen enkele moeite om te voorkomen dat andermans site wordt aangevallen. Hun enige doel lijkt te zijn zo snel mogelijk zo veel mogelijk ‘stresstests’ uit te voeren, ongeacht wie daar de nadelen van ondervindt. In dat geval zie ik wel hoe je ze als Justitie als medeplichtige van dat misdrijf aanmerkt.

Oh ja, zo’n dienstverlener kan zich niet verschuilen achter de juridische bescherming van aansprakelijkheid voor platform. Dat gaat over inhoud van derden die je opslaat en doorgeeft, niet over diensten die je zelf levert.

Arnoud