Wanneer is het aanbieden van een stresstest legaal of juist strafbaar?

De FBI heeft in samenwerking met de High Tech Crime Unit van de Nederlandse politie en het Britse National Crime Agency vijftien websites offline gehaald waar ddos-diensten werden aangeboden. Dat las ik bij Tweakers onlangs. De diensten presenteerden zichzelf als ‘stresstesters’, sites waar je tegen betaling de capaciteiten van je eigen site kunt testen om te weten of je ddos aanvallen aan kan. En tja he meneertje, dat iemand dan andermans IP adres invult daar kunnen wij verder niks aan doen. Precies ja, waar ligt dan de grens tussen die twee.

Natuurlijk is het legaal om een bedrijf de dienst te leveren van het veroorzaken van hoge belasting om te zien of die daartegen bestand is. Wanneer een netwerk of site van groot belang is, dan is testen op ddos-bestendigheid een legitieme wens en een aanbieder mag in dat commerciële gat springen.

Wat dan weer strafbaar is, is een site platleggen door deze opzettelijk en wederrechtelijk een hoge belasting te bezorgen. Dat noemen we een (d)dos aanval of in mooi juridisch Nederlands een verstikkingsaanval. Afhankelijk van de impact kan de maximale celstraf vele jaren zijn.

Het verschil tussen die twee? Perceptie, voornamelijk. Net zoals een website security scanner functioneel veel lijkt op een crackertool, maar die laatste strafbaar is omdat deze bedoeld is om het misdrijf computervredebreuk mee te plegen.

Wie dus de legale dienst wil aanbieden, moet zich er dan ook van bewust zijn dat er mensen zullen zijn die deze illegaal gaan inzetten. Zeg maar net zoals pizzabedrijven zich ervan bewust moeten zijn dat er wel eens een prank call voor een pizza bij de buren gaat komen. Daar neem je als normaal bedrijf dan ook maatregelen tegen.

Een legitiem stresstestbedrijf zal dus extra stappen moeten nemen om a) te voorkomen dat haar diensten voor misdrijven worden gebruikt en b) de indruk te vermijden dat je hoopt op klanten van dat type. Ik zou daarbij op zijn minst dan ook een intake van de klant verwachten: wie is dit, hoe weten we dat dat netwerk van hem is, en hebben we enige garantie dat er geen schade gaat optreden bij derden. Oh ja, en het lijkt me vrij voor zich spreken dat je eigen ingekochte zendcapaciteit inzet, en dus geen botnets met argeloze koelkasten en thuiscomputers commandeert.

Veel van de booter/stresser sites die ik ken, doen geen enkele moeite om te voorkomen dat andermans site wordt aangevallen. Hun enige doel lijkt te zijn zo snel mogelijk zo veel mogelijk ‘stresstests’ uit te voeren, ongeacht wie daar de nadelen van ondervindt. In dat geval zie ik wel hoe je ze als Justitie als medeplichtige van dat misdrijf aanmerkt.

Oh ja, zo’n dienstverlener kan zich niet verschuilen achter de juridische bescherming van aansprakelijkheid voor platform. Dat gaat over inhoud van derden die je opslaat en doorgeeft, niet over diensten die je zelf levert.

Arnoud

De legaliteit van bootersites en ddos’en kopen

denial-service-ddos-aanval-attackDDoS-aanvallen, waarbij websites worden overspoeld met dataverkeer, worden steeds gemakkelijker en goedkoper, door de opkomst van speciale websites die die aanvallen op commando uitvoeren. Dat meldde de NOS vorige week. Zogeheten booter-sites bieden een makkelijke interface om tijdelijke botnetkracht in te huren om een specifieke website even te overbelasten. Legitieme dienstverlening met het doel de eigen website te kunnen controleren, heet het dan. In juridische taal: kom nou toch.

Het uitvoeren van een ddos-aanval is strafbaar, maar de strafmaat is nog wat onduidelijk. In beginsel staat er één jaar cel op (art. 138b Wetboek van Strafrecht). Maar de paar rechtszaken waarin mensen vervolgd werden voor ddos-aanvallen, hadden grotere gevolgen en daarom werd daar een ander artikel van stal gehaald: het “vernielen, beschadigen of onbruikbaar maken” van een computersysteem of een “stoornis in de gang of in de werking” daarvan veroorzaken (art. 161sexies Strafrecht). Zeker als je dan “gemeen gevaar” of levensgevaar veroorzaakt, gaat het hard met de strafmaat – tot vijftien jaar cel.

Een bootersite voert niet op eigen initiatief een ddos-aanval uit, maar faciliteert het in gang zetten daarvan na betaling door een klant. Op zijn minst is dat medeplichtigheid: het verschaffen van gelegenheid en middelen tot het plegen van het misdrijf.

Vrijwel elke site zegt dan ergens braaf, je koopt een stresstest en je moet een vinkje zetten dat je toestemming hebt van de eigenaar. Maar zoals ik dus al zei, juridisch gezien: moehaha. Kom nou toch. Er zijn een hoop situaties waarbij je kunt zeggen, ik lever een dienst en het hangt van de klant af of het legaal is en dat kan ik niet beoordelen, maar hier? Nope. Vergeet het maar. Al is het maar omdat die sites totaal niet ingeregeld zijn op het voorkomen van misbruik.

En er zit vast ook een stukje vooroordeel in. Een site met groene Courier-letters op een zwarte achtergrond is eerder strafbaar dan zwarte schreefloze letters op een witte achtergrond met strakke stockfoto’s en een blauwe balk met daarin een keurig securitylogo en daaronder “over ons – contact – werken bij” et cetera. Maar ik heb niet het gevoel dat dat hier echt de doorslag gaat geven.

DDoS-inkoopsites schieten “als paddestoelen uit de grond”, aldus een politiewoordvoerder tegen de NOS. Waardoor dat precies komt, is mij niet helemaal duidelijk. Misschien zijn er meer verveelde pubers die het wel grappig (lauw? hoe heet dat tegenwoordig) vinden om elkaar plat te gooien. Of het is makkelijker geworden ddos-aanvallen in te kopen waardoor je makkelijker als reseller aan de slag kunt. Of mis ik iets?

Arnoud