image

Juridische vraag: Wanneer is een website die stresstesten aanbiedt strafbaar?

woensdag 9 januari 2019, 12:24 door Arnoud Engelfriet, 15 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Vandaag las ik een nieuwsbericht over de politie die in samenwerking met de FBI vijftien websites offline heeft gehaald waarop DDoS-aanvallen werden aangeboden. Maar wat ik mij nu afvraag, is een website waarop 'stresstesten' worden aangeboden wel (per definitie) strafbaar? Er zijn toch ook legale toepassingen van deze diensten?

Antwoord: Natuurlijk is het legaal om een bedrijf de dienst te leveren van het veroorzaken van hoge belasting om te zien of die daartegen bestand is. Wanneer een netwerk of site van groot belang is, dan is testen op ddos-bestendigheid een legitieme wens en een aanbieder mag in dat commerciële gat springen.

Wat dan weer strafbaar is, is een site platleggen door deze opzettelijk en wederrechtelijk een hoge belasting te bezorgen. Dat noemen we een (d)dos aanval of in mooi juridisch Nederlands een verstikkingsaanval. Afhankelijk van de impact kan de maximale celstraf vele jaren zijn.

Het verschil tussen die twee? Perceptie, voornamelijk. Net zoals een website security scanner functioneel veel lijkt op een crackertool, maar die laatste strafbaar is omdat deze bedoeld is om het misdrijf computervredebreuk mee te plegen.

Wie dus de legale dienst wil aanbieden, moet zich er dan ook van bewust zijn dat er mensen zullen zijn die deze illegaal gaan inzetten. Zeg maar net zoals pizzabedrijven zich ervan bewust moeten zijn dat er wel eens een prank call voor een pizza bij de buren gaat komen. Daar neem je als normaal bedrijf dan ook maatregelen tegen.

Een legitiem stresstestbedrijf zal dus extra stappen moeten nemen om a) te voorkomen dat haar diensten voor misdrijven worden gebruikt en b) de indruk te vermijden dat je hoopt op klanten van dat type. Ik zou daarbij op zijn minst dan ook een intake van de klant verwachten: wie is dit, hoe weten we dat dat netwerk van hem is, en hebben we enige garantie dat er geen schade gaat optreden bij derden. Oh ja, en het lijkt me vrij voor zich spreken dat je eigen ingekochte zendcapaciteit inzet, en dus geen botnets met argeloze koelkasten en thuiscomputers commandeert.

Veel van de booter/stresser sites die ik ken, doen geen enkele moeite om te voorkomen dat andermans site wordt aangevallen. Hun enige doel lijkt te zijn zo snel mogelijk zo veel mogelijk 'stresstests' uit te voeren, ongeacht wie daar de nadelen van ondervindt. In dat geval zie ik wel hoe je ze als Justitie als medeplichtige van dat misdrijf aanmerkt.

Oh ja, zo'n dienstverlener kan zich niet verschuilen achter de juridische bescherming van aansprakelijkheid voor platform. Dat gaat over inhoud van derden die je opslaat en doorgeeft, niet over diensten die je zelf levert.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
09-01-2019, 13:15 door Anoniem
De illegaliteit zit ook in het feit dat hiervoor vaak botnets ingezet worden. Daarmee gebruik je dus systemen van derden die daar geen toestemming voor hebben gegeven. Daarmee ben je dus al direct illegaal bezig, hoe goed je ook probeert te voorkomen dat de besteller van de DDoS onjuiste bedoelingen heeft.

Pas op het moment dat je een dienst opzet met eigen servers, eigen internetaansluiting en daar ook netjes voor betaald, kun je spreken van een legal stresstester. Wij doen dat regelmatig voor partners. Daarvoor hebben we dan ook voldoende bandbreedte en een aantal servers met 10Gbps (of meer) netwerkaansluitingen.

Peter
09-01-2019, 14:57 door Hyper
Dit is technisch vrij eenvoudig op te lossen door de besteller van de stresstest te vragen om een bestandje zoals "stresstest.txt" te laten uploaden naar de root van de te testen website. De stresstest-service kan hier vervolgens op controleren en alleen de test starten als het bestand is geplaatst.
09-01-2019, 18:47 door Anoniem
Door Hyper: Dit is technisch vrij eenvoudig op te lossen door de besteller van de stresstest te vragen om een bestandje zoals "stresstest.txt" te laten uploaden naar de root van de te testen website. De stresstest-service kan hier vervolgens op controleren en alleen de test starten als het bestand is geplaatst.

Ja natuurlijk is het op te lossen. Maar die sites ZIJN helemaal niet om te testen.
Het zijn saboteurs en ze faciliteren chantage. Ze weten dat best, maar met een dikke berg boter op het hoofd doen
ze net of ze bedoeld zijn voor legitieme doeleinden.
10-01-2019, 03:02 door Anoniem
Door Anoniem:
Door Hyper: Dit is technisch vrij eenvoudig op te lossen door de besteller van de stresstest te vragen om een bestandje zoals "stresstest.txt" te laten uploaden naar de root van de te testen website. De stresstest-service kan hier vervolgens op controleren en alleen de test starten als het bestand is geplaatst.

Ja natuurlijk is het op te lossen. Maar die sites ZIJN helemaal niet om te testen.
Het zijn saboteurs en ze faciliteren chantage. Ze weten dat best, maar met een dikke berg boter op het hoofd doen
ze net of ze bedoeld zijn voor legitieme doeleinden.

Wat een gegeneralizeer... Je werkt voor de overheid? Daar zijn dit soort opmerkingen standaard. En de geleverde oplossing meestal ook. Is lekker goedkoop...
10-01-2019, 10:02 door Anoniem
Ja natuurlijk is het op te lossen. Maar die sites ZIJN helemaal niet om te testen. Het zijn saboteurs en ze faciliteren chantage. Ze weten dat best, maar met een dikke berg boter op het hoofd doen ze net of ze bedoeld zijn voor legitieme doeleinden.

Onzin, er zijn ook legitieme bedrijven die dit doen. En die controleren vooraf zeker dat jij de eigenaar bent, van de website die getest moeten worden. Niet veel anders dan legitieme penetration testing diensten, mock spearphishing diensten, vulnerability assessment diensten.

Dat er veel illegale aanbieders zijn, dat klopt.
10-01-2019, 10:24 door Anoniem
Door Anoniem:
Door Anoniem:
Door Hyper: Dit is technisch vrij eenvoudig op te lossen door de besteller van de stresstest te vragen om een bestandje zoals "stresstest.txt" te laten uploaden naar de root van de te testen website. De stresstest-service kan hier vervolgens op controleren en alleen de test starten als het bestand is geplaatst.

Ja natuurlijk is het op te lossen. Maar die sites ZIJN helemaal niet om te testen.
Het zijn saboteurs en ze faciliteren chantage. Ze weten dat best, maar met een dikke berg boter op het hoofd doen
ze net of ze bedoeld zijn voor legitieme doeleinden.

Wat een gegeneralizeer... Je werkt voor de overheid? Daar zijn dit soort opmerkingen standaard. En de geleverde oplossing meestal ook. Is lekker goedkoop...

Ach man klets toch niet!
Je weet best waar het over gaat en dat die lui hardstikke fout zitten.
Je hebt net zo dik boter op je hoofd als zij.

Gelukkig worden ze tegenwoordig keihard aangepakt.
10-01-2019, 12:38 door Anoniem
Ach man klets toch niet! Je weet best waar het over gaat en dat die lui hardstikke fout zitten. Je hebt net zo dik boter op je hoofd als zij. Gelukkig worden ze tegenwoordig keihard aangepakt.

Ach man, ik implementeer bij grote Nederlandse bedrijven anti-DDoS oplossingen. Denk je dat die oplossingen niet worden uitgetest ? Daarvoor huren we een volstrekt legitiem bedrijf in.

Het feit dat jij niet bekend bent met dergelijke *legitieme* diensten, wil niet zeggen dat ze niet bestaan. Dat malafide aanbieders hard aangepakt moeten worden, daarin heb je volstrekt gelijk.

Misschien kan je wat meer luisteren naar input van anderen, kan je wat van leren.
10-01-2019, 13:41 door Anoniem
De aangiften zijn natuurlijk ook van belang. De verklaring dat je site onder vuur ligt, en de bevestiging dat je absoluut geen opdracht tot "stress-testen" hebt gegeven.

Digitaal aangifte doen is naar mijn mening niet zo een goed idee. Het is dan weer vragen om misbruik van zo een systeem. Maar ook blijft het belangrijk dat iemand recht in je ogen kijkt, terwijl je aangifte doet. En er even aan herinnert dat valse aangifte doen stout is.

Om aangfte te doen heb je echter doorgaans (zeer geruime) tijd de tijd. Is er al eens aan gedacht om een database aan te leggen met concept- of proforma aangiften? Waarbij pas als de politie overweegt actie te ondernemen, in de bewuste gevallen eerst nog de aangever wordt verzocht om het in persoon komen te bevestigen? Zo een systeem zou ook beter controleerbaar zijn op misbruik. En het werkt efficient want de aangifte ligt er al pro forma. Dus dat is printen, voorlezen en tekenen. Tegelijk zou zo een systeem een prachtig beeld kunnen geven van gevallen waar (nog) niks mee gedaan is.

En natuurlijk ook laten zien hoe groot dat DDOS probleem nu eigenlijk is. Want die ze op mij uitstorten, die komen niet in de krant. Enkel die op de ING. Maar ik vind mezelf ook best belangrijk.
10-01-2019, 16:30 door Anoniem
Door Anoniem:
Ach man klets toch niet! Je weet best waar het over gaat en dat die lui hardstikke fout zitten. Je hebt net zo dik boter op je hoofd als zij. Gelukkig worden ze tegenwoordig keihard aangepakt.

Ach man, ik implementeer bij grote Nederlandse bedrijven anti-DDoS oplossingen. Denk je dat die oplossingen niet worden uitgetest ? Daarvoor huren we een volstrekt legitiem bedrijf in.

Het feit dat jij niet bekend bent met dergelijke *legitieme* diensten, wil niet zeggen dat ze niet bestaan. Dat malafide aanbieders hard aangepakt moeten worden, daarin heb je volstrekt gelijk.

Misschien kan je wat meer luisteren naar input van anderen, kan je wat van leren.

Als dat bedrijf wat jij inhuurt door de FBI uit de lucht gehaald is dan weet je nu dat ze niet legitiem waren.
Als de zat niet zijn dan zit je gewoon offtopic te kletsen.
10-01-2019, 19:28 door Anoniem
Kan ik ook uit de lucht gehaald worden door de Federale Politie van de Caicos eilanden? Of van Trinidad en Tobago?
10-01-2019, 22:23 door Anoniem
Door Hyper: Dit is technisch vrij eenvoudig op te lossen door de besteller van de stresstest te vragen om een bestandje zoals "stresstest.txt" te laten uploaden naar de root van de te testen website. De stresstest-service kan hier vervolgens op controleren en alleen de test starten als het bestand is geplaatst.

Op zich zal het je verbazen hoe weinig legitieme test-tools deze procedure wel vereisen. Security.txt is een variant hierop die (bijna) nooit wordt geraadpleegd. Meer info: https://securitytxt.org

De wereld is op dat gebied van scanning qua tooling echt nog niet professioneel genoeg. Als je een beetje grote website runt krijg je vaak genoeg wat scanners langs waar je niet om hebt gevraagd. Responsible Disclosure is het niet, want in de meeste spelregels staat wel iets over dat ongevraagd scannen/verstoren niet de bedoeling is. In de fysieke wereld ga je ook niet alle ramen en deuren even testen van een kantoorgebouw zonder toestemming, vreemd dat we dat in de online-wereld bijna normaal zijn gaan vinden.

Als je tijdens een scan vervolgens belt/mailt/faxed met een legitieme test-tool merk je wel het verschil: de test zal meteen worden afgekapt, excuses volgt (incl. een sales gesprek waarschijnlijk als je gelukt hebt :P) en je site staat vervolgens op de 'no scan list' die er dan vaak wel is. Maar dat is helaas dus allemaal achteraf, gewoon vooraf security.txt even checken zou veel makkelijker zijn.
Als BOFH's wat meer van dat soort belletjes zouden doen (en de tool-onwikkelaar dus even blijft wakker bellen) zal het vast wel een keer netjes geïmplementeerd gaan worden.
11-01-2019, 10:56 door Anoniem
Het feit dat jij niet bekend bent met dergelijke *legitieme* diensten, wil niet zeggen dat ze niet bestaan.
Hebben die legitieme diensten ook een flashy website, gevestigd op een onbekend eiland en waarbij je kunt betalen met cryptocurrency? Bij de legitieme diensten die jij noemt kun je niet 'even' een aanval bestellen, maar gaat er eerst een sales gesprek aan vooraf, stelt men je identiteit vast enz. Hoe laagdrempeliger de dienst, hoe groter de kans dat deze illegaal is. Ook zijn de illegale stressers doorgaans erg goedkoop vergeleken met de legale diensten. Dat klopt ook, het is erg goedkoop als je een botnet gebruikt ipv je eigen infra. Goed om te zien dat steeds meer van die gastjes opgehaald worden door een geblindeerd busje.
14-01-2019, 13:44 door Anoniem
Ik heb ooit een presentatie over het verdienmodel achter booter- & stressersites van Jair Santanna bijgewoond. Deze publicatie geeft inzage in dit soort praktijken.

https://www.researchgate.net/publication/318435326_Quiet_Dogs_Can_Bite_Which_Booters_Should_We_Go_After_and_What_Are_Our_Mitigation_Options

Overigens, naar mijn idee is er altijd sprake van een strafbaar feit wanneer een bedrijf aangevallen wordt zonder dat een vrijwaringsverklaring is getekend. Al zal het moeilijk zijn om te bewijzen wélke betaalde dienst is gebruikt voor een dergelijke aanval.
14-01-2019, 13:53 door Anoniem
Hebben die legitieme diensten ook een flashy website, gevestigd op een onbekend eiland en waarbij je kunt betalen met cryptocurrency?

Nee, heb ik dat ooit beweerd ?

Bij de legitieme diensten die jij noemt kun je niet 'even' een aanval bestellen, maar gaat er eerst een sales gesprek aan vooraf, stelt men je identiteit vast enz.

Klopt, heb ik ooit gepretendeerd dat er bij legitieme diensten geen sales gesprek is, geen vaststellen van identiteit, geen vrijwaringsverklaring voor juridische aansprakelijkheid, en ga zo maar door ?

Hoe laagdrempeliger de dienst, hoe groter de kans dat deze illegaal is. Ook zijn de illegale stressers doorgaans erg goedkoop vergeleken met de legale diensten.

Sure, klopt geheel.
16-01-2019, 12:05 door Datalek
Door Anoniem:
Ja natuurlijk is het op te lossen. Maar die sites ZIJN helemaal niet om te testen. Het zijn saboteurs en ze faciliteren chantage. Ze weten dat best, maar met een dikke berg boter op het hoofd doen ze net of ze bedoeld zijn voor legitieme doeleinden.

Onzin, er zijn ook legitieme bedrijven die dit doen. En die controleren vooraf zeker dat jij de eigenaar bent, van de website die getest moeten worden. Niet veel anders dan legitieme penetration testing diensten, mock spearphishing diensten, vulnerability assessment diensten.

Dat er veel illegale aanbieders zijn, dat klopt.


Wat is een legaal bedrijf die legaal ddos aanval /test kan uitvoeren ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.