Tag: Ddos

About Ddos

Subscribe Feeds

Europol haalt bij actie met Nederlandse politie vijftig ddos-booters offline

Geplaatst op in Ondernemingsvrijheid, Regulering, 8 reacties

Verschillende internationale politiediensten, waaronder de Nederlandse, hebben tijdens een operatie tientallen ddos-booters offline gehaald. Dat meldde Tweakers vorige week. Dergelijke diensten leveren DDoS-aanvallen op verzoek en tegen betaling, met het dunne excuus dat bedrijven wellicht hun netwerk willen testen maar dan geen behoefte hebben aan contracten, facturen of betalingen met ouderwets fiatgeld. Of zoiets. Want, zo vroegen diverse lezers, hoe maak je dan het onderscheid tussen een legale stresstest dienst en zo’n booter?

Voor mij begint het al bij de naam. De frase “to boot someone” is gamerslang voor iemand van internet schoppen, met name als die van jou aan het winnen is. Een ddos op zijn ip adres uitvoeren is daar een bekende truc voor die vrijwel altijd werkt, wat dus heeft geleid tot handige jongens met bootersites, geef mij geld en ik schop die ander voor je van internet. Wie zichzelf dus met die naam tooit, heeft de schijn nogal tegen – alsof je een directiegroepschat van een financiële organisatie “Wirefraud” noemt.

Maar goed iets formeler: het hangt van het beoogde doel van de dienst af of het illegaal is om deze te maken. De wet stelt namelijk strafbaar het maken, verkopen, verspreiden et cetera van een middel om een ddos aanval te plegen (artikel 139d lid 2 Strafrecht). Het moet dan gaan wel om een “technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf”.

Er zijn tools te over waarmee je een ddos-aanval zou kunnen uitvoeren, in de Unixwereld is ping -f de bekendste. Of zelfs maar vaak genoeg op F5 drukken in je browser. Maar de kern bij al die tools is dat ze gebruikt kunnen worden, terwijl de wet ontworpen of speciaal geschikt vereist. Dat vereist dus iets meer, en meestal komt dat neer op intentie van de maker en/of presentatie of aanbod van de dienst. Een al wat oudere maar bekende dienst is webstresser punt org, waar Brian Krebs een artikel over schreef. In dat artikel zie je bijvoorbeeld dat men spreekt van “attacks” die je kunt kopen, dat wijst voor mij niet op de intentie van een legitieme dienst leveren.

Er zullen vast legitieme klanten tussen zitten die oprecht dachten deze dienst nodig te hebben, en ook keurig kregen wat ze vroegen, namelijk een stresstest van afgesproken omvang en tijd op hun eigen netwerk. Maar dat je zulke klanten hebt, is geen argument dat je dienst als zodanig dan legaal is. Pas als grofweg al je klanten op die manier legitiem zijn, kun je die discussie gaan voeren. Dat er dan een keer een crimineel tussendoor glipte die z’n mattie wilde booten, dat is dan een bedrijfsongeval en daar neem je dan vervolgens maatregelen tegen. Ik zie hier werkelijk niets dat daarop wijst.

Arnoud

 

 

Man van 22 is schuldig aan uitvoeren van ddos-aanvallen, maar krijgt geen straf

Geplaatst op in Regulering, Security, 14 reacties

Een man van 22 uit Scheemda is schuldig bevonden aan het uitvoeren van twee ddos-aanvallen op vrienden, las ik bij Tweakers. Hij krijgt daarvoor geen straf opgelegd. Het OM verdenkt hem van het uitvoeren van 76 aanvallen, maar de rechter acht dat slechts van twee bewezen. En gezien de beperkte schade van die twee, dat het feit in 2017 is begaan en het blanco strafblad tot dan toe is straf niet meer nodig. Opmerkelijk detail: meneer deed mee aan het Hack Right programma (een alternatief straftraject) maar rondde het niet af omdat hij daarvoor had moeten bekennen.

Het doet voor mensen gek aan dat iemand schuldig is aan een strafbaar feit (hier zelfs een misdrijf) maar desondanks geen straf krijgt. Maar dat kan: als de rechter geen reden ziet om straf op te leggen, dan hoeft dat natuurlijk niet. Zou de dader hier een beter mens van worden, of zou de maatschappij er beter van worden? Zo niet, dan is het verspilling van middelen.

In de comments zie ik nog de nodige discussie over dat HackRight programma. Dit is een speciaal programma om jonge hackers (men bedoelt: cybercriminelen) weer op het rechte pad te krijgen:

HackRight kan als alternatief voor een straf maar ook als onderdeel van of náást een straf opgelegd worden. Alleen jongeren die bekennen, geen zeer ernstige vormen van hacking hebben gepleegd en bereid zijn zich op een positieve manier te ontwikkelen, komen ervoor in aanmerking. Bovendien moet het om een eerste cyberdelict gaan. ‘Want dan is de kans dat ze hun gedrag veranderen het grootst’, licht Martijn Egberts toe. ‘Hack_Right bestaat uit vier modules, die je kunt zien als vier puzzelstukjes: herstel, training, alternatief en coaching. Elke module voegt iets toe aan de gedragsverandering van de jongeren.’
De term straftraject is wat verwarrend. Straf legt alleen de rechter op, en hier gaat het om een transactie, een schikking die je als verdachte met het OM afspreekt. Dat kan, maar betekent niet dat je veroordeeld bent. De rechter kan je niet veroordelen tot bijwonen van Hack Right, om de eenvoudige redenen dat dit niet in het wetboek van strafrecht als straf staat (artikel 9 Wetboek van Strafrecht).

Dat gezegd hebbende, je krijgt wel een strafblad als je hieraan meedoet want een OM-schikking of transactie wordt daarop vermeld. Dus als je als jongere in deze situatie zit, áltijd eerst met een advocaat overleggen.

Arnoud

Hacker achter Spamhaus-cyberaanval krijgt half jaar voorwaardelijk

Geplaatst op in Regulering, 1 reacties

Sven Olaf K., de hacker die in 2013 verantwoordelijk was voor de grootste cyberaanval tot dan toe, krijgt een voorwaardelijke celstraf van een half jaar. Dat meldde Nu.nl gisteren. In 2013 ging het internet bijna stuk vanwege een ddos aanval op Spamhaus, een bekende dienst die spammerszwartelijsten publiceert. De timing was opmerkelijk genoeg vlak nadat een bedrijf waar Olaf K. aan verbonden was, op die lijst verschenen was. Dat feit, plus diverse chats met medeverdachten, was voor de rechtbank genoeg bewijs.

Uit het vonnis blijkt dat K. ten laste werd gelegd dat hij het delict van het ddos’en zou hebben gemedepleegd. Oftewel, hij had niet in zijn eentje die aanval uitgevoerd, maar hij werkte in nauw verband met anderen om het delict gezamenlijk te laten gebeuren. (Dus niet samen met de botnetslachtoffers maar samen met andere beheerders.) En dat samenwerken hoeft niet heel formeel:

Bij de beoordeling of aan die eis is voldaan, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Andere verdachten verklaarden op meerdere manieren dat K. een belangrijke rol had. Zo zie ik bijvoorbeeld in het vonnis een chatdiscussie waarbij iemand tegen K. zegt, als je spamhaus plat wilt, praat dan met N. Waarop hij zeg: “take it down”, waarna [nickname N] binnen een minuut antwoordt: “spamhaus.org down”. Verderop ontstaat in chats het plan om een efficiënte DNS-gebaseerde ddos te doen, hoewel het programma dat K. wil ontwikkelen, niet blijkt te werken. En als laatste lees ik dan “yeah i know, we did that” in reactie op dit bericht. Tsja, dan weet ik het ook wel. (Het waren allemaal Skype-chats en kennelijk heeft Justitie de inhoud gevorderd bij Microsoft.)

Het betoog van de verdediging dat het “erg lastig, of beter gezegd onmogelijk, (lijkt) om een substantiële bijdrage aan een delict te leveren op het moment dat je geen enkel zicht hebt op de exacte handelingen van anderen” mist feitelijke grondslag. Uit de chatgesprekken blijkt dat de verdachte frequent contact had met de uitvoerders van de aanvallen, ook overlegde hoe de aanvallen zouden worden voortgezet, dat hij adviseerde, aanjoeg en mogelijkheden aandroeg.

De rechtbank acht dan ook wettig en overtuigend bewezen dat K. wel degelijk nauw betrokken was bij de uitvoering van de ddos.

Ook bleek de verdachte IP-adressen te hebben gekaapt, wat dus inderdaad een stoornis blijkt te zijn in een geautomatiseerd werk (art. 161sexies Strafrecht). Doel van die kaping was de goede werking van de Spamhaus zwarte lijst te verstoren. Dat werkte maar gedeeltelijk: slechts drie mails werden abusievelijk als spam gemarkeerd. Maar voor 161sexies is geen grote schade vereist.

Arnoud

De legaliteit van bootersites en ddos’en kopen

Geplaatst op in Security, 11 reacties

denial-service-ddos-aanval-attackDDoS-aanvallen, waarbij websites worden overspoeld met dataverkeer, worden steeds gemakkelijker en goedkoper, door de opkomst van speciale websites die die aanvallen op commando uitvoeren. Dat meldde de NOS vorige week. Zogeheten booter-sites bieden een makkelijke interface om tijdelijke botnetkracht in te huren om een specifieke website even te overbelasten. Legitieme dienstverlening met het doel de eigen website te kunnen controleren, heet het dan. In juridische taal: kom nou toch.

Het uitvoeren van een ddos-aanval is strafbaar, maar de strafmaat is nog wat onduidelijk. In beginsel staat er één jaar cel op (art. 138b Wetboek van Strafrecht). Maar de paar rechtszaken waarin mensen vervolgd werden voor ddos-aanvallen, hadden grotere gevolgen en daarom werd daar een ander artikel van stal gehaald: het “vernielen, beschadigen of onbruikbaar maken” van een computersysteem of een “stoornis in de gang of in de werking” daarvan veroorzaken (art. 161sexies Strafrecht). Zeker als je dan “gemeen gevaar” of levensgevaar veroorzaakt, gaat het hard met de strafmaat – tot vijftien jaar cel.

Een bootersite voert niet op eigen initiatief een ddos-aanval uit, maar faciliteert het in gang zetten daarvan na betaling door een klant. Op zijn minst is dat medeplichtigheid: het verschaffen van gelegenheid en middelen tot het plegen van het misdrijf.

Vrijwel elke site zegt dan ergens braaf, je koopt een stresstest en je moet een vinkje zetten dat je toestemming hebt van de eigenaar. Maar zoals ik dus al zei, juridisch gezien: moehaha. Kom nou toch. Er zijn een hoop situaties waarbij je kunt zeggen, ik lever een dienst en het hangt van de klant af of het legaal is en dat kan ik niet beoordelen, maar hier? Nope. Vergeet het maar. Al is het maar omdat die sites totaal niet ingeregeld zijn op het voorkomen van misbruik.

En er zit vast ook een stukje vooroordeel in. Een site met groene Courier-letters op een zwarte achtergrond is eerder strafbaar dan zwarte schreefloze letters op een witte achtergrond met strakke stockfoto’s en een blauwe balk met daarin een keurig securitylogo en daaronder “over ons – contact – werken bij” et cetera. Maar ik heb niet het gevoel dat dat hier echt de doorslag gaat geven.

DDoS-inkoopsites schieten “als paddestoelen uit de grond”, aldus een politiewoordvoerder tegen de NOS. Waardoor dat precies komt, is mij niet helemaal duidelijk. Misschien zijn er meer verveelde pubers die het wel grappig (lauw? hoe heet dat tegenwoordig) vinden om elkaar plat te gooien. Of het is makkelijker geworden ddos-aanvallen in te kopen waardoor je makkelijker als reseller aan de slag kunt. Of mis ik iets?

Arnoud

De perfecte misdaad: afpersing of bitcoins betalen?

Geplaatst op in Informatiemaatschappij, 13 reacties

notice-extortion-bitcoin-ddosDit is een van de weinige misdrijven die ik écht computercriminaliteit zou noemen. Heel veel ‘cybercrime’ komt in feite neer op “het gebeurt nu op de computer”, terwijl je dat net zo goed gewoon offline zou kunnen doen. Maar mensen afpersen via internetbedreiging gekoppeld aan een bitcoinbetaling, dat lijkt me een echt internetcriminaliteitsdinges.

BoingBoing meldde vorige week dat Amerikaanse bedrijfjes brieven krijgen van het soort “betaal ons 3 bitcoin of we gaan je site platgooien, nare reviews achterlaten overal, Meld Misdaad Anoniem bellen over een wietplantage bij je thuis, de Inspectie SZW informeren over asbest in je winkel of een SWAT team bellen dat jij iemand bedreigt met een pistool”. En dat zijn best wel nare bedreigingen voor een kleine ondernemer.

Is het strafbaar? Jazeker, afpersing is een misdrijf (art. 317 Strafrecht). Er is zelfs een specifieke bepaling over cyber-afpersing, lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

In de VS kennen ze vergelijkbare regels, hoewel ik geen specifieke Amerikaanse wet ken over cyber-afpersing (waar dit lid 2 over gaat).

Natuurlijk, dit kan in theorie ook met contant geld. Alleen: a) een grote hoeveelheid contant geld afleveren is gedoe en b) je hebt dan een traceerbaar of althans observeerbaar afleveradres nodig. En daar kan de politie dan in hinderlaag gaan liggen.

Dus ja. Strafbaar. Maar wat dóe je eraan?

Arnoud

Van school gestuurd vanwege een DDoS-aanval, kan dat?

Geplaatst op in Security, 23 reacties

Kun je van school worden gestuurd als je een DDoS-aanval hebt uitgevoerd? Een minderjarige leerling op een ROC zag zich met die sanctie geconfronteerd nadat zijn school stevig onder dienstontzeggingsvuur was gekomen. En dat ondanks zijn medewerking aan het onderzoek en het feit dat hij alleen maar geïnteresseerd was in hoe goed de school hiertegen beveiligd zou zijn.

Vanaf september begonnen diverse DDoS-aanvallen op het netwerk van ROC West Brabant, waar de jongen een opleiding volgde. Na onderzoek werd de leerling uitgenodigd voor een gesprek (waarom is me onduidelijk) en in dat gesprek bekende hij een korte aanval te hebben uitgevoerd, maar niet álle aanvallen. Hij liet zijn laptop onderzoeken en daarop werden sporen gevonden van twee DDoS-aanvallen.

Na aangifte werd de jongen een nachtje op het bureau gehouden, want men vond de aanval kennelijk sterk genoeg om artikel 161septies Strafrecht in te zetten. Dat voelt wat pittig, immers dat artikel gaat over “gemeen gevaar” oftewel grote storingen. Bedoeld voor ‘gewoon’een DDoS aanval is artikel 138b Strafrecht, dat maximaal een jaar cel oplevert.

De school ging vervolgens over tot schorsing in afwachting van definitieve verwijdering, waarop de ouders bezwaar maakten. Dat bezwaar had geen succes, waarop de moeder naar de rechter stapte.

Een rechter mag een besluit van een school niet zomaar overdoen. Hij mag slechts ‘marginaal toetsen’, oftewel kijken of de school in redelijkheid tot dat besluit had kunnen komen. In het vonnis (via) gaat de rechter echter best wel ver met die marginale toetsing.

De scholier had een account op een website waar je DDoS-aanvallen kunt laten uitvoeren. Eh, oké. De logs uit dat account laten drie aanvallen zien op het ROC-netwerk. Zijn verweer: hij heeft een website voor zijn bedrijf, en had dat account genomen om te testen dat zijn site tegen DDoS-aanvallen bestand was. Eh, okéé. En toen het nieuws over de DDoS tegen zijn school verscheen, raakte hij geïnteresseerd of de school beter beschermd zou zijn dan zijn eigen site, vandaar. Ehh, okéééé.

Er was geen bewijs voorhanden dat de jongen achter de ‘grote’ aanvallen zaten. Sterker nog, eentje daarvan vond plaats tijdens dat gesprek met de schooldirectie. Plus, hij werkte mee aan het onderzoek.

Niet aannemelijk is geworden dat [naam zoon] anders dan uitsluitend vanwege pure interesse is overgegaan tot een DDos-aanval op het netwerk van gedaagde. Hij heeft de aanval gestopt zodra hij zag dat de aanval het netwerk vertraagde. Dat de school van zijn handelingen enige schade heeft ondervonden, is niet komen vast te staan.

Daar komt bij dat de school hem in eerste instantie na het onderzoek geen sancties oplegde. Pas nadat de IT-leverancier aangifte deed en de jongen werd gearresteerd, werd tot schorsing en (dreigende) verwijdering) overgegaan. Dat is een beetje laat; het wekt de indruk dat je de actie niet zo erg vindt en pas na de ophef (en publiciteit?) stevig je spierballen wilt laten zien. En dát is niet zoals het hoort.

De school had dus in redelijkheid niet tot het besluit kunnen komen de jongen van school te sturen. Daarom wordt de school veroordeeld hem per direct weer toe te laten.

Mooi zo. Ik erger me al geruime tijden aan de neiging bij scholen (en werkgevers) om ICT-gerelateerde incidenten véél strenger te behandelen dan andere incidenten. De krant lezen op je werk? Henk, leg die krant weg. Zitten Nu.nl-en op je werk? Ontslag op staande voet wegens misbruik bedrijfsmiddelen, overtreding ICT-reglement en op kosten jagen van de werkgever. Dat werk. Ook bij scholen. Doe je het schoolhek op slot met een stevig fietsslot, heel grappig, ga maar een week papiertjes prikken. Pleeg je een ddos, van school gestuurd en aangifte. Is dat “ik snap ict niet dús het is gevaarlijk”?

Arnoud

Legaal hacken: waar ligt de grens? (Slideshare)

Geplaatst op in Security, 25 reacties

Afgelopen zaterdag was ik bij hackercommunity Revspace waar ik een half uur mocht praten over computercriminaliteit, hacken en waar de juridische grenzen liggen. Wat is het verschil tussen de TNT-staking en de DDoS?-aanvallen op Paypal? Mag je je eigen bank hacken om te zien of ze wel veilig genoeg zijn voor je geld? En als je de ov-chipkaart gekraakt hebt, mag je dan als proof of concept ermee gaan reizen? De wet stelt grenzen aan ethisch hacken, maar is niet zwart-wit. Dezelfde handeling kan legaal of illegaal zijn afhankelijk van je intentie en de omstandigheden waaronder je deze begaat.

Kijk en luister een half uur lang:

Legaal hacken: waar ligt de grens?
View more webinars from Arnoud Engelfriet.

Ik vind mezelf wel steeds meer klinken als Koos Spee :O

Arnoud

DDoS-ers overheidssites veroordeeld tot schadevergoeding

Geplaatst op in Security, nog geen reacties

Tienduizend euro schadevergoeding voor het DDoS-sen van overheidswebsites. Dat is wat de rechtbank Breda woensdag oplegde aan de “DDoS-kabouters” die in oktober 2004 onder andere overheid.nl, regering.nl en nederland.nl platlegden (en ook diverse Telegraaf-sites). Een hoog bedrag, maar een stuk lager dan de overheid via haar automatiseringsafdeling ICTU had geëist, namelijk een slordige 471.553,54 euro.

De verantwoordelijken voor deze denial-of-service aanvallen kregen eerder al voorwaardelijke straffen (zie o.a. LJN AT0222 LJN AT0224 en het hoger beroep, LJN AV1454). Nu meldde ICTU zich met een schadeclaim voor het opruimen van de rommel.

Allereerst speelde de vraag of ICTU wel mócht claimen, nu niet zij als stichting maar diverse overheidsinstanties schade hadden geleden. De rechtbank vindt van wel. ICTU werd als beheerder gehinderd in haar taak door de DDoS-aanvallen, en moest maatregelen nemen die ze normaal niet had hoeven nemen. Ook stonden de domeinnamen op naam van ICTU, en dat geeft nog een reden voor ICTU om op te treden tegen deze verstoring van het gebruik van de domeinnaam.

Een andere leuke vraag is wie van de DDoS-kabouters nu verantwoordelijk was voor welk deel van de schade. Daar kom je eigenlijk niet uit, maar dat hoeft ook niet. De wet kent de groepsclaim (6:166 BW), waarbij je als slachtoffer ieder lid van een groep kunt aanspreken op de hele schade. De daders regelen dan maar onderling wie wat betaalt. En dat gaat hier op voor de groep DDoS’ser. Zij hebben samen de aanvallen besproken en gecoördineerd, en aanvaardden dus elk het risico dat er schade zou ontstaan door deze aanvallen. Daarom zijn ze samen aansprakelijk.

Dan komen we bij de hoofdmoot: de hoogte van de schade. ICTU moest noodmaatregelen nemen (zoals extra bandbreedte inkopen en een extra router inzetten om te kunnen filteren), en heeft ook de nodige structurele maatregelen genomen om te zorgen dat dit niet nog een keer kon gebeuren. Mag die hele rekening naar de DDoS’sers? Nee, dat niet:

Slechts de kosten, gemaakt ten behoeve van de oplossing van de crisissituatie, ontstaan als gevolg van de aanvallen, kunnen aan gedaagden worden toegerekend. Kosten als gevolg van structurele (beveiligings)maatregelen dienen voor rekening van ICTU te blijven.

ICTU krijgt dus alleen de kosten van de noodmaatregelen en de consultancykosten om die goed in te voeren vergoed. Een terecht vonnis wat mij betreft. Dit was puur vandalisme en dan mag je betalen voor het opruimen van de rotzooi.

Via ISPam.nl.

Arnoud

Stijlloze tegenactie of computercriminaliteit?

Geplaatst op in Security, 31 reacties

bluf-openbaren-geencommentaar.pngDe ludiek bedoelde actie van Geencommentaar kon Geenstijl toch iets meer boeien dan het shockblog in eerste instantie deed voorkomen. GC had een petitie online gezet, waar GS een bindend stemadvies voor had uitgebracht. GC kreeg zoveel onzininschrijvingen dat zij besloot een database te bouwen met meer dan 2000 IP-adressen van stijlloze reaguurders die de petitie hadden vervuild. Vervolgens publiceerde GC een tooltje waar je op basis van IP-adres kon controleren of je met een “roze randdebiel” cq. “huftert” te maken had.

GS kwam daarop met een “oldskool weblog incrowdcookie van eigen deeg”. Een slim stukje Javascript in de pagina’s van GS zocht automatisch het IP-adres op van elke bezoeker van GS in die database. Nu krijgt GS iets meer bezoekers dan GC, zodat de database dit niet aankon en volledig plat ging.

Is deze stijlloze actie nu computercriminaliteit? Het lijkt sterk op een distributed denial of service-aanval, of voor de juristen onder ons een gedistribueerde verstikkingsaanval. Bij zo’n aanval worden honderden of duizenden computers tegelijk ingezet om gezamenlijk het slachtoffer te overbelasten. Meestal doordat al die computers elk zo veel mogelijk onzingegevens opsturen, maar een groot aantal op zich legitieme verzoeken kan ook tot zo’n overbelasting leiden.

Art. 138b Strafrecht stelt strafbaar het opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk te belemmeren door daaraan gegevens aan te bieden of toe te zenden. Eens kijken hoe ver we komen.

De actie was duidelijk opzet, want die Javascript-code komt niet zomaar in een webpagina terecht. Wederrechtelijk? Ik zou zeggen van wel. Op zich mocht iedere GS-bezoeker zijn eigen IP-adres opzoeken in de database van GC. Maar dit was geen vrijwillig opvragen uit interesse van de bezoeker, maar een min of meer gedwongen opvraging door een programmeertruc van de site. Ik twijfel, omdat er ook nog zoiets bestaat als het Slashdot-effect (in Nederland het Nu.nl effect?): te veel bezoeken vanaf een populaire site kunnen een site ook plattrekken. Dat is niet wederrechtelijk van die populaire site. Maar ik denk dat dat toch waarschijnlijk niet opgaat hier.

De grote vraag is dus of Geenstijl zorgde voor het “aanbieden of toezenden” van de gegevens. Het zijn feitelijk de computers van de bezoekers die het doen. Maar die bezoekers zijn niet bij de actie betrokken. Het is het stukje Javascript van Geenstijl dat het toezenden van de opvraging in werking zet. Dat zou je kunnen zien als een handeling van Geenstijl. Andermans computer op afstand besturen is juridisch hetzelfde als achter het toetsenbord kruipen en de commando’s daar intypen. Ik zeg daar wel gelijk bij dat dit nog nergens in de literatuur of rechtspraak getest is. GC, probeer het eens uit! 🙂

Overigens was die actie van GC ook niet bepaald netjes. Het verzamelen van IP-adressen en aanbieden van een zoekmogelijkheid om te zien of iemand een “roze randdebiel” is (of zelfs maar, neutraal gezegd, een Geenstijl-lezer) is een verwerking van persoonsgegevens. Daarvoor moeten de bezoekers wel toestemming hebben gegeven. Ik heb geen privacystatement gezien bij die petitie, laat staan een uitdrukkelijk verzoek om toestemming.

Weet iemand trouwens waarom GC er nu uitligt?

Arnoud

Denial-of-service aanval op Scientology-beweging

Geplaatst op in Security, Uitingsvrijheid, 2 reacties

T-shirt van XS4All naar aanleiding van de gewonnen rechtszakenEen groep anonieme hackers heeft de oorlog verklaard aan de omstreden Scientology-beweging, meldde Tweakers gisteren. Het initiatief voor deze serie aanvallen komt van een groep die zich “Project Chanology” noemt.

Directe aanleiding voor deze actie is de actie van Scientology tegen een gelekt video-interview van Tom Cruise. Diverse sites kregen een takedown notice om de film te verwijderen. Enkele daarvan waren gerelateerd aan 4chan, een internetfenomeen dat verantwoordelijk is voor allerlei internet-ongein (zoals de de lolcat) maar ook serieuze vormen van internetvandalisme.

Security.NL meldt dat er meer dan 488 DDoS-aanvallen zijn uitgevoerd op Scientology-websites, goed voor een dataverkeer van gemiddeld 21 megabytes per seconde oftewel de inhoud van zo’n 3 DVD’s per minuut. Best veel, maar niet uitzonderlijk voor verstikkingsaanvallen.

Op internet heeft Scientology een slechte reputatie, door de keiharde manier waarop zij tegenstanders en kritiek aanpakt, zoals schrijfster Karin Spaink en internetprovider XS4All halverwege de jaren negentig ondervonden. Het is mede dankzij hun standvastig optreden dat ik nu IT-jurist ben trouwens.

Hoe begrijpelijk de weerstand tegen Scientology ook is, het is nog geen excuus voor dit soort vigilante justice. Al was het maar vanwege de kans op onschuldige slachtoffers, zoals een Nederlandse school die een paar minuten per ongeluk op de korrel werd genomen omdat de aanvallers het verkeerde IP-adres hadden gebruikt (oh noes!). Bovendien: Scientology van het net proberen te krijgen is precies hetzelfde als wat de beweging altijd kwalijk wordt genomen.

Kritiek leveren mag best, zelfs als je daarbij gebruik maakt van gelekt materiaal zoals die Tom Cruise video. Dat bepaalde het Gerechtshof in die eerder genoemde zaak tegen XS4All en Spaink:

Naar ’s hofs oordeel kan in deze bijzondere omstandigheden niet worden gezegd dat een beperking van de informatievrijheid op grond van de handhaving van het auteursrecht nodig is in de zin van artikel 10 EVRM en evenmin dat het belang van [F] en de Providers en het algemeen belang bij de informatievrijheid van artikel 10 lid 1 EVRM in verhouding tot dat van Scientology c.s. bij handhaving van hun auteursrecht in dit geval minder zwaar weegt. Derhalve behoort het eerstgenoemde belang niet te wijken voor het belang van Scientology c.s. en slaagt het beroep op artikel 10 lid 1 EVRM.

Maar dit is natuurlijk van een heel andere orde dan Scientology proberen van internet te pesten met dit soort computercriminaliteit. Ook Scientology heeft het recht om haar mening te uiten. Uit jurisprudentie over datzelfde artikel 10 lid 1 EVRM blijkt dat je heel ver mag gaan daarin. Pas wanneer je de democratie zelf aanvalt, overschrijdt je een grens. Maar zelfs dan is het de taak van de overheid, en niet zelfbenoemde vigilantes met te veel vrije tijd om daar wat aan te doen.

Arnoud