De FBI heeft in samenwerking met de High Tech Crime Unit van de Nederlandse politie en het Britse National Crime Agency vijftien websites offline gehaald waar ddos-diensten werden aangeboden. Dat las ik bij Tweakers onlangs. De diensten presenteerden zichzelf als ‘stresstesters’, sites waar je tegen betaling de capaciteiten van je eigen site kunt testen om te weten of je ddos aanvallen aan kan. En tja he meneertje, dat iemand dan andermans IP adres invult daar kunnen wij verder niks aan doen. Precies ja, waar ligt dan de grens tussen die twee.
Natuurlijk is het legaal om een bedrijf de dienst te leveren van het veroorzaken van hoge belasting om te zien of die daartegen bestand is. Wanneer een netwerk of site van groot belang is, dan is testen op ddos-bestendigheid een legitieme wens en een aanbieder mag in dat commerciële gat springen.
Wat dan weer strafbaar is, is een site platleggen door deze opzettelijk en wederrechtelijk een hoge belasting te bezorgen. Dat noemen we een (d)dos aanval of in mooi juridisch Nederlands een verstikkingsaanval. Afhankelijk van de impact kan de maximale celstraf vele jaren zijn.
Het verschil tussen die twee? Perceptie, voornamelijk. Net zoals een website security scanner functioneel veel lijkt op een crackertool, maar die laatste strafbaar is omdat deze bedoeld is om het misdrijf computervredebreuk mee te plegen.
Wie dus de legale dienst wil aanbieden, moet zich er dan ook van bewust zijn dat er mensen zullen zijn die deze illegaal gaan inzetten. Zeg maar net zoals pizzabedrijven zich ervan bewust moeten zijn dat er wel eens een prank call voor een pizza bij de buren gaat komen. Daar neem je als normaal bedrijf dan ook maatregelen tegen.
Een legitiem stresstestbedrijf zal dus extra stappen moeten nemen om a) te voorkomen dat haar diensten voor misdrijven worden gebruikt en b) de indruk te vermijden dat je hoopt op klanten van dat type. Ik zou daarbij op zijn minst dan ook een intake van de klant verwachten: wie is dit, hoe weten we dat dat netwerk van hem is, en hebben we enige garantie dat er geen schade gaat optreden bij derden. Oh ja, en het lijkt me vrij voor zich spreken dat je eigen ingekochte zendcapaciteit inzet, en dus geen botnets met argeloze koelkasten en thuiscomputers commandeert.
Veel van de booter/stresser sites die ik ken, doen geen enkele moeite om te voorkomen dat andermans site wordt aangevallen. Hun enige doel lijkt te zijn zo snel mogelijk zo veel mogelijk ‘stresstests’ uit te voeren, ongeacht wie daar de nadelen van ondervindt. In dat geval zie ik wel hoe je ze als Justitie als medeplichtige van dat misdrijf aanmerkt.
Oh ja, zo’n dienstverlener kan zich niet verschuilen achter de juridische bescherming van aansprakelijkheid voor platform. Dat gaat over inhoud van derden die je opslaat en doorgeeft, niet over diensten die je zelf levert.
Arnoud