Politie stuurt waarschuwingsbrief naar vermeende afnemers ddos-dienst

geralt / Pixabay

De politie heeft afgelopen maandag een waarschuwingsbrief gestuurd naar 29 mensen die in verband worden gebracht met het afnemen van ddos-diensten. Dat meldde Security.nl onlangs. “We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop”, zo staat in de brief vermeld.

De briefontvangers zouden via de website MineSearch ddos-diensten hebben afgenomen, waarmee het mogelijk was om tegen betaling ddos-aanvallen te laten uitvoeren. Vorig jaar juli doorzocht politie de woningen van twee verdachten die vermoedelijk bij de website betrokken zijn. Daarbij kwamen deze klantgegevens (ik moet nu zeggen: allegedly-klant) kennelijk naar boven, en dan is het logisch dat je die mensen eens héél serieus aanspreekt.

Maar mag het, is dan gelijk de vraag die ik her en der zie. Het deed me denken aan die zaak uit januari waarbij de politie sms-berichten had gestuurd naar contacten die in de telefoons van vermeende drugsdealers werden aangetroffen. Logisch zou je zeggen, dat zullen vermoedelijk wel klanten zijn en het kopen van drugs is strafbaar, dus dat geeft een redelijk vermoeden van schuld.

De hoofdregel uit strafvordering (opsporing en bestrijding van strafbare feiten) is dat de politie alleen mag doen wat in het wetboek geregeld is. Ja, behalve wat geen of geringe inbreuk maakt op de grondrechten. Een praatje maken op straat is dus bijvoorbeeld gewoon prima, dat kun je moeilijk een inbreuk op je grondrechten noemen. Iemand meenemen naar het bureau voor een verplicht praatje is dat wel, en dat is dan ook wettelijk geregeld. Idem voor het doorzoeken van een in beslag genomen administratie of C&C server van een botnet.

Voor mij speelt hier ook mee dat er meer aanwijzingen zijn dan “je staat in de telefoon van een dealer”: je gegevens van een betaalde transactie voor een criminele dienst staan in de administratie van de (vermoedelijke) crimineel die deze verzorgde. Je bent onschuldig tot het tegendeel bewezen is, maar hier de vermoorde onschuld bepleiten is toch wel erg ingewikkeld in deze omstandigheden.

We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop.
Er lijkt mij gezien die feiten eigenlijk al genoeg aanleiding te zijn om direct tot onderzoek en aanhouding over te gaan, dus dan is deze brief volgens mij juist een tegemoetkoming en niet een juridisch probleem.

Arnoud

Is het maken van software voor een ddos-aanval, pardon een stresstest, legaal?

Een lezer vroeg me:

Op het forum van Security.nl las ik de vraag of het legaal is of niet om software te maken waarmee je ddos aanvallen kunt plegen. Kun je daar duidelijkheid over geven?

Het hangt van het beoogde doel van de software af of het illegaal is om deze te maken. De wet stelt namelijk strafbaar het maken, verkopen, verspreiden et cetera van een middel om een ddos aanval te plegen (artikel 139d lid 2 Strafrecht). Het moet dan gaan wel om een “technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf”.

In de comments lees ik onder meer dat mensen wijzen op de bekende tool ping(1), waarmee je kunt kijken of een bepaald ip-adres bereikbaar is via internet. Deze beschikt over een flood-optie waarbij heel veel data wordt verstuurd. Daarmee kun je een (d)dos aanval plegen als je de ping richt op je slachtoffer en langdurig met die optie actief pings stuurt. Maar ik kan met de beste wil van de wereld dat geen “hoofdzakelijk geschikt gemaakt of ontworpen” noemen.

De zakelijke term voor legitieme tools die veel data sturen is een stresstester. Die kun je inzetten om bij je eigen netwerk (of dat van klanten) te kijken of de netwerkcapaciteit groot genoeg is, of zelfs hoe ze omgaan met een ddos aanval. Weten wat je aan kunt, is immers een goede test van je security. Maar zo’n tool moet dan wel worden gemarket als voor legitieme doeleinden en natuurlijk ook alleen op factuur en met contract waarin duidelijk staat wie waar gaat stresstesten en dat de klant daar toestemming voor geeft.

Een tool die is voorzien van uitleg hoe je heimelijk deze bij anderen installeert en vervolgens via internet commando’s stuurt om vanaf hun computers een dos-aanval uit te voeren, zou ik wel degelijk ‘ontworpen’ voor dat misdrijf noemen. Het zal dus heel erg neerkomen op hoe de tool wordt gepresenteerd, welke toelichting erbij staat en wat uiteindelijk de algemene indruk is. Ja, dat is vaag maar voor juristen is dat niet erg.

Let op dat het verder niet uitmaakt of je de software verspreidt of voor jezelf houdt. Ook alleen maar zelf maken is in theorie al strafbaar (hoewel de vraag is hoe iemand er dan achterkomt dat je het hebt).

Arnoud

Wanneer is het aanbieden van een stresstest legaal of juist strafbaar?

De FBI heeft in samenwerking met de High Tech Crime Unit van de Nederlandse politie en het Britse National Crime Agency vijftien websites offline gehaald waar ddos-diensten werden aangeboden. Dat las ik bij Tweakers onlangs. De diensten presenteerden zichzelf als ‘stresstesters’, sites waar je tegen betaling de capaciteiten van je eigen site kunt testen om te weten of je ddos aanvallen aan kan. En tja he meneertje, dat iemand dan andermans IP adres invult daar kunnen wij verder niks aan doen. Precies ja, waar ligt dan de grens tussen die twee.

Natuurlijk is het legaal om een bedrijf de dienst te leveren van het veroorzaken van hoge belasting om te zien of die daartegen bestand is. Wanneer een netwerk of site van groot belang is, dan is testen op ddos-bestendigheid een legitieme wens en een aanbieder mag in dat commerciële gat springen.

Wat dan weer strafbaar is, is een site platleggen door deze opzettelijk en wederrechtelijk een hoge belasting te bezorgen. Dat noemen we een (d)dos aanval of in mooi juridisch Nederlands een verstikkingsaanval. Afhankelijk van de impact kan de maximale celstraf vele jaren zijn.

Het verschil tussen die twee? Perceptie, voornamelijk. Net zoals een website security scanner functioneel veel lijkt op een crackertool, maar die laatste strafbaar is omdat deze bedoeld is om het misdrijf computervredebreuk mee te plegen.

Wie dus de legale dienst wil aanbieden, moet zich er dan ook van bewust zijn dat er mensen zullen zijn die deze illegaal gaan inzetten. Zeg maar net zoals pizzabedrijven zich ervan bewust moeten zijn dat er wel eens een prank call voor een pizza bij de buren gaat komen. Daar neem je als normaal bedrijf dan ook maatregelen tegen.

Een legitiem stresstestbedrijf zal dus extra stappen moeten nemen om a) te voorkomen dat haar diensten voor misdrijven worden gebruikt en b) de indruk te vermijden dat je hoopt op klanten van dat type. Ik zou daarbij op zijn minst dan ook een intake van de klant verwachten: wie is dit, hoe weten we dat dat netwerk van hem is, en hebben we enige garantie dat er geen schade gaat optreden bij derden. Oh ja, en het lijkt me vrij voor zich spreken dat je eigen ingekochte zendcapaciteit inzet, en dus geen botnets met argeloze koelkasten en thuiscomputers commandeert.

Veel van de booter/stresser sites die ik ken, doen geen enkele moeite om te voorkomen dat andermans site wordt aangevallen. Hun enige doel lijkt te zijn zo snel mogelijk zo veel mogelijk ‘stresstests’ uit te voeren, ongeacht wie daar de nadelen van ondervindt. In dat geval zie ik wel hoe je ze als Justitie als medeplichtige van dat misdrijf aanmerkt.

Oh ja, zo’n dienstverlener kan zich niet verschuilen achter de juridische bescherming van aansprakelijkheid voor platform. Dat gaat over inhoud van derden die je opslaat en doorgeeft, niet over diensten die je zelf levert.

Arnoud