Hacker achter Spamhaus-cyberaanval krijgt half jaar voorwaardelijk

Sven Olaf K., de hacker die in 2013 verantwoordelijk was voor de grootste cyberaanval tot dan toe, krijgt een voorwaardelijke celstraf van een half jaar. Dat meldde Nu.nl gisteren. In 2013 ging het internet bijna stuk vanwege een ddos aanval op Spamhaus, een bekende dienst die spammerszwartelijsten publiceert. De timing was opmerkelijk genoeg vlak nadat een bedrijf waar Olaf K. aan verbonden was, op die lijst verschenen was. Dat feit, plus diverse chats met medeverdachten, was voor de rechtbank genoeg bewijs.

Uit het vonnis blijkt dat K. ten laste werd gelegd dat hij het delict van het ddos’en zou hebben gemedepleegd. Oftewel, hij had niet in zijn eentje die aanval uitgevoerd, maar hij werkte in nauw verband met anderen om het delict gezamenlijk te laten gebeuren. (Dus niet samen met de botnetslachtoffers maar samen met andere beheerders.) En dat samenwerken hoeft niet heel formeel:

Bij de beoordeling of aan die eis is voldaan, kan rekening worden gehouden met onder meer de intensiteit van de samenwerking, de onderlinge taakverdeling, de rol in de voorbereiding, de uitvoering of de afhandeling van het delict en het belang van de rol van de verdachte, diens aanwezigheid op belangrijke momenten en het zich niet terugtrekken op een daartoe geëigend tijdstip.

Andere verdachten verklaarden op meerdere manieren dat K. een belangrijke rol had. Zo zie ik bijvoorbeeld in het vonnis een chatdiscussie waarbij iemand tegen K. zegt, als je spamhaus plat wilt, praat dan met N. Waarop hij zeg: “take it down”, waarna [nickname N] binnen een minuut antwoordt: “spamhaus.org down”. Verderop ontstaat in chats het plan om een efficiënte DNS-gebaseerde ddos te doen, hoewel het programma dat K. wil ontwikkelen, niet blijkt te werken. En als laatste lees ik dan “yeah i know, we did that” in reactie op dit bericht. Tsja, dan weet ik het ook wel. (Het waren allemaal Skype-chats en kennelijk heeft Justitie de inhoud gevorderd bij Microsoft.)

Het betoog van de verdediging dat het “erg lastig, of beter gezegd onmogelijk, (lijkt) om een substantiële bijdrage aan een delict te leveren op het moment dat je geen enkel zicht hebt op de exacte handelingen van anderen” mist feitelijke grondslag. Uit de chatgesprekken blijkt dat de verdachte frequent contact had met de uitvoerders van de aanvallen, ook overlegde hoe de aanvallen zouden worden voortgezet, dat hij adviseerde, aanjoeg en mogelijkheden aandroeg.

De rechtbank acht dan ook wettig en overtuigend bewezen dat K. wel degelijk nauw betrokken was bij de uitvoering van de ddos.

Ook bleek de verdachte IP-adressen te hebben gekaapt, wat dus inderdaad een stoornis blijkt te zijn in een geautomatiseerd werk (art. 161sexies Strafrecht). Doel van die kaping was de goede werking van de Spamhaus zwarte lijst te verstoren. Dat werkte maar gedeeltelijk: slechts drie mails werden abusievelijk als spam gemarkeerd. Maar voor 161sexies is geen grote schade vereist.

Arnoud

Mag Spamhaus eigenlijk wel een spammerszwartelijst publiceren?

De grootste DDoS-aanval uit de geschiedenis, heet het met enige retoriek. Zelfbenoemd spambestrijder Spamhaus was vijf dagen onbereikbaar door een gigantische hoeveelheid dataverkeer. De reden heeft te maken met het feit dat Spamhaus de hosters Cyberbunker en CB3ROB als spammer of spammersvriend had aangemerkt. Dit omdat deze geen maatregelen nemen als Spamhaus vindt dat hun klanten spammen.

Tegenover webwereld zegt Sven Kamphuis van CB3ROB:

Ze denken dat ze de baas op internet, maar wíj zijn de baas. Op deze manier willen wij hun dubieuze rol in het daglicht zetten. Het is een slecht idee om censuur uit te besteden aan een vaag clubje dat aan niemand verantwoording aflegt.

Hetgeen de vraag oproept: mág Spamhaus inderdaad zomaar roepen “partij X is een spammer” volgens zelfbedachte criteria?

Nou ja, op zich natuurlijk wel. Vrijheid van meningsuiting en zo. Alleen, Spamhaus is niet zomaar een pipo met een blog die een mening produceert (zoals ik) maar een invloedrijke organisatie wiens meningsuiting directe gevolgen heeft. Als ik zeg “X is een spammer” dan gebeurt er verder weinig, als Spamhaus dat zegt (middels toevoeging aan hun blacklist) dan kan X ineens niet meer mailen.

Natuurlijk, daar zit geen spatje dwang achter: een heleboel providers luisteren op vrijwillige basis naar Spamhaus en hebben ooit bedacht dat zij volautomatisch de partijen gaan blokkeren die de spambestrijder aanwijst. Dat is hun keuze, en niet die van Spamhaus – niemand hóeft hun blacklist te hanteren, toch?

In 2000 wilde de Vereniging tegen de Kwakzalverij “een zo objectief mogelijke lijst presenteren van de kwakzalvers die [in de 20e eeuw] de hoofdrol vertolkten”. Een orthomanueel genezer maakte bezwaar tegen vermelding in de lijst, omdat hij naar eigen zeggen absoluut geen kwakzalver was. De Hoge Raad oordeelde dat de lijst legitiem was als vrije meningsuiting, met name omdat de Vereniging een eigen duidelijke definitie had geschreven waar de genezer aan voldeed. Dat andere media de lijst overnamen zonder die genuanceerde definitie erbij, kon niet voor rekening van de Vereniging komen.

Daarbij is in aanmerking te nemen dat de Vereniging c.s. blijkens de vaststellingen van het hof het grote publiek willen waarschuwen voor wat zij als kwakzalverij beschouwen, en dat zij zelf door de inhoud en context van hun publicaties geen onduidelijkheid laten bestaan over wat zij daarmee bedoelen.

In 2012 vorderde een chiropractor bij de Amsterdamse rechter dat het de Reclame Code Commissie verboden zou worden een uitspraak te doen over zijn reclame. De rechtbank bepaalde echter dat ook de RCC gewoon vrijheid van meningsuiting heeft en dus mag zeggen wat zij vindt van de praktijken van de man.

De omstandigheid dat de uitspraken van de Commissie als gezaghebbend worden ervaren en dat haar aanbevelingen op grote schaal worden nageleefd, hetgeen de SRC onbetwist heeft aangevoerd, geeft er slechts blijk van dat de SRC een in de reclamewereld bestaande behoefte aan een systeem van toezicht op de wijze waarop reclame wordt gemaakt bevredigt en is een teken dat de SRC in de verwezenlijking van haar statutaire doelstellingen succesvol is gebleken.

In beide zaken schemert wel door dat het belangrijk is dat je duidelijke maatstaven hanteert over wanneer iemand een kwakzalver, oneerlijke-reclameman of spammer is. Ook moet je daar op een eerlijke manier aan toetsen.

En hoe gezaghebbender je bent, hoe zorgvuldiger je moet zijn. Sta je bekend als objectieve beoordelaar, dan moet je zorgen dat je dat blijft. Dat zagen we bij een rechtszaak tegen de Consumentenbond:

Gegeven de invloed die aan zijn oordelen wordt gehecht, dient de informatieverstrekking en advisering [van de Consumentenbond] deskundig, objectief en duidelijk te zijn. Gezien de reputatie van de Consumentenbonden de impact van door hem ingenomen standpunten, dient de wijze waarop de Consumentenbond met die standpunten naar buiten treedt te voldoen aan hoge eisen van zorgvuldigheid, duidelijkheid en neutraliteit.

Alles bij elkaar zie ik dan ook voor Spamhaus geen probleem om te publiceren wie zij spammer acht, mits ze daar duidelijke criteria voor hanteert en objectief handelt. De criteria zijn er, en er is een snelle procedure voor verwijdering als je meent dat je onterecht opgenomen bent. Dat lijkt me dus in theorie prima in orde.

Wel bekruipt me het gevoel dat veel providers érg makkelijk lijsten als Spamhaus volgen. En dat is toch wel opmerkelijk. Niemand koopt blindelings op basis van wat de Consumentenbond zegt, en uitspraken van de Reclame Code Commissie leiden ook niet tot volautomatische advertentieblokkades bij de (vrijwillig) aangesloten uitgeverijen. Waarom doen we dat bij e-mailspam eigenlijk wel?

Arnoud