Politie stuurt waarschuwingsbrief naar vermeende afnemers ddos-dienst

| AE 12968 | Regulering | 10 reacties

geralt / Pixabay

De politie heeft afgelopen maandag een waarschuwingsbrief gestuurd naar 29 mensen die in verband worden gebracht met het afnemen van ddos-diensten. Dat meldde Security.nl onlangs. “We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop”, zo staat in de brief vermeld.

De briefontvangers zouden via de website MineSearch ddos-diensten hebben afgenomen, waarmee het mogelijk was om tegen betaling ddos-aanvallen te laten uitvoeren. Vorig jaar juli doorzocht politie de woningen van twee verdachten die vermoedelijk bij de website betrokken zijn. Daarbij kwamen deze klantgegevens (ik moet nu zeggen: allegedly-klant) kennelijk naar boven, en dan is het logisch dat je die mensen eens héél serieus aanspreekt.

Maar mag het, is dan gelijk de vraag die ik her en der zie. Het deed me denken aan die zaak uit januari waarbij de politie sms-berichten had gestuurd naar contacten die in de telefoons van vermeende drugsdealers werden aangetroffen. Logisch zou je zeggen, dat zullen vermoedelijk wel klanten zijn en het kopen van drugs is strafbaar, dus dat geeft een redelijk vermoeden van schuld.

De hoofdregel uit strafvordering (opsporing en bestrijding van strafbare feiten) is dat de politie alleen mag doen wat in het wetboek geregeld is. Ja, behalve wat geen of geringe inbreuk maakt op de grondrechten. Een praatje maken op straat is dus bijvoorbeeld gewoon prima, dat kun je moeilijk een inbreuk op je grondrechten noemen. Iemand meenemen naar het bureau voor een verplicht praatje is dat wel, en dat is dan ook wettelijk geregeld. Idem voor het doorzoeken van een in beslag genomen administratie of C&C server van een botnet.

Voor mij speelt hier ook mee dat er meer aanwijzingen zijn dan “je staat in de telefoon van een dealer”: je gegevens van een betaalde transactie voor een criminele dienst staan in de administratie van de (vermoedelijke) crimineel die deze verzorgde. Je bent onschuldig tot het tegendeel bewezen is, maar hier de vermoorde onschuld bepleiten is toch wel erg ingewikkeld in deze omstandigheden.

We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop.
Er lijkt mij gezien die feiten eigenlijk al genoeg aanleiding te zijn om direct tot onderzoek en aanhouding over te gaan, dus dan is deze brief volgens mij juist een tegemoetkoming en niet een juridisch probleem.

Arnoud

Is het maken van software voor een ddos-aanval, pardon een stresstest, legaal?

| AE 11511 | Ondernemingsvrijheid | 2 reacties

Een lezer vroeg me:

Op het forum van Security.nl las ik de vraag of het legaal is of niet om software te maken waarmee je ddos aanvallen kunt plegen. Kun je daar duidelijkheid over geven?

Het hangt van het beoogde doel van de software af of het illegaal is om deze te maken. De wet stelt namelijk strafbaar het maken, verkopen, verspreiden et cetera van een middel om een ddos aanval te plegen (artikel 139d lid 2 Strafrecht). Het moet dan gaan wel om een “technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf”.

In de comments lees ik onder meer dat mensen wijzen op de bekende tool ping(1), waarmee je kunt kijken of een bepaald ip-adres bereikbaar is via internet. Deze beschikt over een flood-optie waarbij heel veel data wordt verstuurd. Daarmee kun je een (d)dos aanval plegen als je de ping richt op je slachtoffer en langdurig met die optie actief pings stuurt. Maar ik kan met de beste wil van de wereld dat geen “hoofdzakelijk geschikt gemaakt of ontworpen” noemen.

De zakelijke term voor legitieme tools die veel data sturen is een stresstester. Die kun je inzetten om bij je eigen netwerk (of dat van klanten) te kijken of de netwerkcapaciteit groot genoeg is, of zelfs hoe ze omgaan met een ddos aanval. Weten wat je aan kunt, is immers een goede test van je security. Maar zo’n tool moet dan wel worden gemarket als voor legitieme doeleinden en natuurlijk ook alleen op factuur en met contract waarin duidelijk staat wie waar gaat stresstesten en dat de klant daar toestemming voor geeft.

Een tool die is voorzien van uitleg hoe je heimelijk deze bij anderen installeert en vervolgens via internet commando’s stuurt om vanaf hun computers een dos-aanval uit te voeren, zou ik wel degelijk ‘ontworpen’ voor dat misdrijf noemen. Het zal dus heel erg neerkomen op hoe de tool wordt gepresenteerd, welke toelichting erbij staat en wat uiteindelijk de algemene indruk is. Ja, dat is vaag maar voor juristen is dat niet erg.

Let op dat het verder niet uitmaakt of je de software verspreidt of voor jezelf houdt. Ook alleen maar zelf maken is in theorie al strafbaar (hoewel de vraag is hoe iemand er dan achterkomt dat je het hebt).

Arnoud