Hacker achter Spamhaus-cyberaanval krijgt half jaar voorwaardelijk

| AE 9073 | Regulering | 1 reactie

Sven Olaf K., de hacker die in 2013 verantwoordelijk was voor de grootste cyberaanval tot dan toe, krijgt een voorwaardelijke celstraf van een half jaar. Dat meldde Nu.nl gisteren. In 2013 ging het internet bijna stuk vanwege een ddos aanval op Spamhaus, een bekende dienst die spammerszwartelijsten publiceert. De timing was opmerkelijk genoeg vlak nadat een bedrijf waar Olaf K. aan verbonden was, op die lijst verschenen was. Dat feit, plus diverse chats met medeverdachten, was voor de rechtbank genoeg bewijs.

Uit het vonnis blijkt dat K. ten laste werd gelegd dat hij het delict van het ddos’en zou hebben gemedepleegd. Oftewel, hij had niet in zijn eentje die aanval uitgevoerd, maar hij werkte in nauw verband met anderen om het delict gezamenlijk te laten gebeuren. (Dus niet samen met de botnetslachtoffers maar samen met andere beheerders.) En dat samenwerken hoeft niet heel formeel:

Bij de beoordeling of aan die eis is voldaan, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Andere verdachten verklaarden op meerdere manieren dat K. een belangrijke rol had. Zo zie ik bijvoorbeeld in het vonnis een chatdiscussie waarbij iemand tegen K. zegt, als je spamhaus plat wilt, praat dan met N. Waarop hij zeg: “take it down”, waarna [nickname N] binnen een minuut antwoordt: “spamhaus.org down”. Verderop ontstaat in chats het plan om een efficiënte DNS-gebaseerde ddos te doen, hoewel het programma dat K. wil ontwikkelen, niet blijkt te werken. En als laatste lees ik dan “yeah i know, we did that” in reactie op dit bericht. Tsja, dan weet ik het ook wel. (Het waren allemaal Skype-chats en kennelijk heeft Justitie de inhoud gevorderd bij Microsoft.)

Het betoog van de verdediging dat het “erg lastig, of beter gezegd onmogelijk, (lijkt) om een substantiële bijdrage aan een delict te leveren op het moment dat je geen enkel zicht hebt op de exacte handelingen van anderen” mist feitelijke grondslag. Uit de chatgesprekken blijkt dat de verdachte frequent contact had met de uitvoerders van de aanvallen, ook overlegde hoe de aanvallen zouden worden voortgezet, dat hij adviseerde, aanjoeg en mogelijkheden aandroeg.

De rechtbank acht dan ook wettig en overtuigend bewezen dat K. wel degelijk nauw betrokken was bij de uitvoering van de ddos.

Ook bleek de verdachte IP-adressen te hebben gekaapt, wat dus inderdaad een stoornis blijkt te zijn in een geautomatiseerd werk (art. 161sexies Strafrecht). Doel van die kaping was de goede werking van de Spamhaus zwarte lijst te verstoren. Dat werkte maar gedeeltelijk: slechts drie mails werden abusievelijk als spam gemarkeerd. Maar voor 161sexies is geen grote schade vereist.

Arnoud

De legaliteit van bootersites en ddos’en kopen

| AE 8253 | Security | 11 reacties

denial-service-ddos-aanval-attackDDoS-aanvallen, waarbij websites worden overspoeld met dataverkeer, worden steeds gemakkelijker en goedkoper, door de opkomst van speciale websites die die aanvallen op commando uitvoeren. Dat meldde de NOS vorige week. Zogeheten booter-sites bieden een makkelijke interface om tijdelijke botnetkracht in te huren om een specifieke website even te overbelasten. Legitieme dienstverlening met het doel de eigen website te kunnen controleren, heet het dan. In juridische taal: kom nou toch.

Het uitvoeren van een ddos-aanval is strafbaar, maar de strafmaat is nog wat onduidelijk. In beginsel staat er één jaar cel op (art. 138b Wetboek van Strafrecht). Maar de paar rechtszaken waarin mensen vervolgd werden voor ddos-aanvallen, hadden grotere gevolgen en daarom werd daar een ander artikel van stal gehaald: het “vernielen, beschadigen of onbruikbaar maken” van een computersysteem of een “stoornis in de gang of in de werking” daarvan veroorzaken (art. 161sexies Strafrecht). Zeker als je dan “gemeen gevaar” of levensgevaar veroorzaakt, gaat het hard met de strafmaat – tot vijftien jaar cel.

Een bootersite voert niet op eigen initiatief een ddos-aanval uit, maar faciliteert het in gang zetten daarvan na betaling door een klant. Op zijn minst is dat medeplichtigheid: het verschaffen van gelegenheid en middelen tot het plegen van het misdrijf.

Vrijwel elke site zegt dan ergens braaf, je koopt een stresstest en je moet een vinkje zetten dat je toestemming hebt van de eigenaar. Maar zoals ik dus al zei, juridisch gezien: moehaha. Kom nou toch. Er zijn een hoop situaties waarbij je kunt zeggen, ik lever een dienst en het hangt van de klant af of het legaal is en dat kan ik niet beoordelen, maar hier? Nope. Vergeet het maar. Al is het maar omdat die sites totaal niet ingeregeld zijn op het voorkomen van misbruik.

En er zit vast ook een stukje vooroordeel in. Een site met groene Courier-letters op een zwarte achtergrond is eerder strafbaar dan zwarte schreefloze letters op een witte achtergrond met strakke stockfoto’s en een blauwe balk met daarin een keurig securitylogo en daaronder “over ons – contact – werken bij” et cetera. Maar ik heb niet het gevoel dat dat hier echt de doorslag gaat geven.

DDoS-inkoopsites schieten “als paddestoelen uit de grond”, aldus een politiewoordvoerder tegen de NOS. Waardoor dat precies komt, is mij niet helemaal duidelijk. Misschien zijn er meer verveelde pubers die het wel grappig (lauw? hoe heet dat tegenwoordig) vinden om elkaar plat te gooien. Of het is makkelijker geworden ddos-aanvallen in te kopen waardoor je makkelijker als reseller aan de slag kunt. Of mis ik iets?

Arnoud

De perfecte misdaad: afpersing of bitcoins betalen?

| AE 6765 | Informatiemaatschappij | 13 reacties

notice-extortion-bitcoin-ddosDit is een van de weinige misdrijven die ik écht computercriminaliteit zou noemen. Heel veel ‘cybercrime’ komt in feite neer op “het gebeurt nu op de computer”, terwijl je dat net zo goed gewoon offline zou kunnen doen. Maar mensen afpersen via internetbedreiging gekoppeld aan een bitcoinbetaling, dat lijkt me een echt internetcriminaliteitsdinges.

BoingBoing meldde vorige week dat Amerikaanse bedrijfjes brieven krijgen van het soort “betaal ons 3 bitcoin of we gaan je site platgooien, nare reviews achterlaten overal, Meld Misdaad Anoniem bellen over een wietplantage bij je thuis, de Inspectie SZW informeren over asbest in je winkel of een SWAT team bellen dat jij iemand bedreigt met een pistool”. En dat zijn best wel nare bedreigingen voor een kleine ondernemer.

Is het strafbaar? Jazeker, afpersing is een misdrijf (art. 317 Strafrecht). Er is zelfs een specifieke bepaling over cyber-afpersing, lid 2:

Met dezelfde straf wordt gestraft hij die de dwang, bedoeld in het eerste lid, uitoefent door de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist.

In de VS kennen ze vergelijkbare regels, hoewel ik geen specifieke Amerikaanse wet ken over cyber-afpersing (waar dit lid 2 over gaat).

Natuurlijk, dit kan in theorie ook met contant geld. Alleen: a) een grote hoeveelheid contant geld afleveren is gedoe en b) je hebt dan een traceerbaar of althans observeerbaar afleveradres nodig. En daar kan de politie dan in hinderlaag gaan liggen.

Dus ja. Strafbaar. Maar wat dóe je eraan?

Arnoud

Van school gestuurd vanwege een DDoS-aanval, kan dat?

| AE 6270 | Security | 23 reacties

Kun je van school worden gestuurd als je een DDoS-aanval hebt uitgevoerd? Een minderjarige leerling op een ROC zag zich met die sanctie geconfronteerd nadat zijn school stevig onder dienstontzeggingsvuur was gekomen. En dat ondanks zijn medewerking aan het onderzoek en het feit dat hij alleen maar geïnteresseerd was in hoe goed de school hiertegen… Lees verder

DDoS-ers overheidssites veroordeeld tot schadevergoeding

| AE 1350 | Security | Er zijn nog geen reacties

Tienduizend euro schadevergoeding voor het DDoS-sen van overheidswebsites. Dat is wat de rechtbank Breda woensdag oplegde aan de “DDoS-kabouters” die in oktober 2004 onder andere overheid.nl, regering.nl en nederland.nl platlegden (en ook diverse Telegraaf-sites). Een hoog bedrag, maar een stuk lager dan de overheid via haar automatiseringsafdeling ICTU had geëist, namelijk een slordige 471.553,54 euro…. Lees verder

Stijlloze tegenactie of computercriminaliteit?

| AE 1231 | Security | 26 reacties

De ludiek bedoelde actie van Geencommentaar kon Geenstijl toch iets meer boeien dan het shockblog in eerste instantie deed voorkomen. GC had een petitie online gezet, waar GS een bindend stemadvies voor had uitgebracht. GC kreeg zoveel onzininschrijvingen dat zij besloot een database te bouwen met meer dan 2000 IP-adressen van stijlloze reaguurders die de… Lees verder

Denial-of-service aanval op Scientology-beweging

| AE 810 | Security, Uitingsvrijheid | 1 reactie

Een groep anonieme hackers heeft de oorlog verklaard aan de omstreden Scientology-beweging, meldde Tweakers gisteren. Het initiatief voor deze serie aanvallen komt van een groep die zich “Project Chanology” noemt. Directe aanleiding voor deze actie is de actie van Scientology tegen een gelekt video-interview van Tom Cruise. Diverse sites kregen een takedown notice om de… Lees verder