Tag: Verstikkingsaanval

About Verstikkingsaanval

Subscribe Feeds

DDoS-ers overheidssites veroordeeld tot schadevergoeding

Geplaatst op in Security, nog geen reacties

Tienduizend euro schadevergoeding voor het DDoS-sen van overheidswebsites. Dat is wat de rechtbank Breda woensdag oplegde aan de “DDoS-kabouters” die in oktober 2004 onder andere overheid.nl, regering.nl en nederland.nl platlegden (en ook diverse Telegraaf-sites). Een hoog bedrag, maar een stuk lager dan de overheid via haar automatiseringsafdeling ICTU had geëist, namelijk een slordige 471.553,54 euro.

De verantwoordelijken voor deze denial-of-service aanvallen kregen eerder al voorwaardelijke straffen (zie o.a. LJN AT0222 LJN AT0224 en het hoger beroep, LJN AV1454). Nu meldde ICTU zich met een schadeclaim voor het opruimen van de rommel.

Allereerst speelde de vraag of ICTU wel mócht claimen, nu niet zij als stichting maar diverse overheidsinstanties schade hadden geleden. De rechtbank vindt van wel. ICTU werd als beheerder gehinderd in haar taak door de DDoS-aanvallen, en moest maatregelen nemen die ze normaal niet had hoeven nemen. Ook stonden de domeinnamen op naam van ICTU, en dat geeft nog een reden voor ICTU om op te treden tegen deze verstoring van het gebruik van de domeinnaam.

Een andere leuke vraag is wie van de DDoS-kabouters nu verantwoordelijk was voor welk deel van de schade. Daar kom je eigenlijk niet uit, maar dat hoeft ook niet. De wet kent de groepsclaim (6:166 BW), waarbij je als slachtoffer ieder lid van een groep kunt aanspreken op de hele schade. De daders regelen dan maar onderling wie wat betaalt. En dat gaat hier op voor de groep DDoS’ser. Zij hebben samen de aanvallen besproken en gecoördineerd, en aanvaardden dus elk het risico dat er schade zou ontstaan door deze aanvallen. Daarom zijn ze samen aansprakelijk.

Dan komen we bij de hoofdmoot: de hoogte van de schade. ICTU moest noodmaatregelen nemen (zoals extra bandbreedte inkopen en een extra router inzetten om te kunnen filteren), en heeft ook de nodige structurele maatregelen genomen om te zorgen dat dit niet nog een keer kon gebeuren. Mag die hele rekening naar de DDoS’sers? Nee, dat niet:

Slechts de kosten, gemaakt ten behoeve van de oplossing van de crisissituatie, ontstaan als gevolg van de aanvallen, kunnen aan gedaagden worden toegerekend. Kosten als gevolg van structurele (beveiligings)maatregelen dienen voor rekening van ICTU te blijven.

ICTU krijgt dus alleen de kosten van de noodmaatregelen en de consultancykosten om die goed in te voeren vergoed. Een terecht vonnis wat mij betreft. Dit was puur vandalisme en dan mag je betalen voor het opruimen van de rotzooi.

Via ISPam.nl.

Arnoud

Denial-of-service aanval op Scientology-beweging

Geplaatst op in Security, Uitingsvrijheid, 2 reacties

T-shirt van XS4All naar aanleiding van de gewonnen rechtszakenEen groep anonieme hackers heeft de oorlog verklaard aan de omstreden Scientology-beweging, meldde Tweakers gisteren. Het initiatief voor deze serie aanvallen komt van een groep die zich “Project Chanology” noemt.

Directe aanleiding voor deze actie is de actie van Scientology tegen een gelekt video-interview van Tom Cruise. Diverse sites kregen een takedown notice om de film te verwijderen. Enkele daarvan waren gerelateerd aan 4chan, een internetfenomeen dat verantwoordelijk is voor allerlei internet-ongein (zoals de de lolcat) maar ook serieuze vormen van internetvandalisme.

Security.NL meldt dat er meer dan 488 DDoS-aanvallen zijn uitgevoerd op Scientology-websites, goed voor een dataverkeer van gemiddeld 21 megabytes per seconde oftewel de inhoud van zo’n 3 DVD’s per minuut. Best veel, maar niet uitzonderlijk voor verstikkingsaanvallen.

Op internet heeft Scientology een slechte reputatie, door de keiharde manier waarop zij tegenstanders en kritiek aanpakt, zoals schrijfster Karin Spaink en internetprovider XS4All halverwege de jaren negentig ondervonden. Het is mede dankzij hun standvastig optreden dat ik nu IT-jurist ben trouwens.

Hoe begrijpelijk de weerstand tegen Scientology ook is, het is nog geen excuus voor dit soort vigilante justice. Al was het maar vanwege de kans op onschuldige slachtoffers, zoals een Nederlandse school die een paar minuten per ongeluk op de korrel werd genomen omdat de aanvallers het verkeerde IP-adres hadden gebruikt (oh noes!). Bovendien: Scientology van het net proberen te krijgen is precies hetzelfde als wat de beweging altijd kwalijk wordt genomen.

Kritiek leveren mag best, zelfs als je daarbij gebruik maakt van gelekt materiaal zoals die Tom Cruise video. Dat bepaalde het Gerechtshof in die eerder genoemde zaak tegen XS4All en Spaink:

Naar ’s hofs oordeel kan in deze bijzondere omstandigheden niet worden gezegd dat een beperking van de informatievrijheid op grond van de handhaving van het auteursrecht nodig is in de zin van artikel 10 EVRM en evenmin dat het belang van [F] en de Providers en het algemeen belang bij de informatievrijheid van artikel 10 lid 1 EVRM in verhouding tot dat van Scientology c.s. bij handhaving van hun auteursrecht in dit geval minder zwaar weegt. Derhalve behoort het eerstgenoemde belang niet te wijken voor het belang van Scientology c.s. en slaagt het beroep op artikel 10 lid 1 EVRM.

Maar dit is natuurlijk van een heel andere orde dan Scientology proberen van internet te pesten met dit soort computercriminaliteit. Ook Scientology heeft het recht om haar mening te uiten. Uit jurisprudentie over datzelfde artikel 10 lid 1 EVRM blijkt dat je heel ver mag gaan daarin. Pas wanneer je de democratie zelf aanvalt, overschrijdt je een grens. Maar zelfs dan is het de taak van de overheid, en niet zelfbenoemde vigilantes met te veel vrije tijd om daar wat aan te doen.

Arnoud