Achtergrond

Juridische vraag: Provider dumpt klant wegens DoS-aanval

woensdag 18 mei 2011, 10:36 door Arnoud Engelfriet, 18 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Een paar dagen terug is de site van onze gamingclan aangevallen. Eerst werden we gehackt, en toen we dat hersteld hadden kregen we een grootschalige ddos-aanval. Zo grootschalig dat onze provider er zelf offline van ging. Deze heeft vervolgens ons contract beëindigd, met een beroep op de Algemene Voorwaarden waarin staat dat wij geen overlast mogen veroorzaken.

Antwoord: Hackpogingen en ddos-aanvallen zijn helaas schering en inslag bij gamingclans, zo heb ik gemerkt. Veel hosters zijn er dan ook niet happig op om zulke sites te hosten, want zij krijgen de rommel over zich heen. Ik ken diverse hosters die expliciet gamingsites/clansites hebben verboden in hun algemene voorwaarden. Dat mag op zich, je bent als hoster niet verplicht om met wie dan ook zaken te doen.

Je moet alleen wel een bevoegdheid hebben in je voorwaarden om een bepaalde categorie klanten te weigeren. Als je aanbiedt iedereen te hosten behalve pornosites, dan kun je een gamingsite er niet zomaar afschoppen als ze al een abonnement hebben afgesloten. (Een pornosite natuurlijk wel, want die is genoemd.) De opgegeven reden is natuurlijk onzin: de klant veroorzaakt geen overlast, dat zijn derden die ruzie hebben met de klant. Heel misschien zou dit op kunnen gaan als de hoster kan bewijzen dat de ruzie of ddos-aanval is uitgelokt. Maar "je bent een gamingclan dús lok je ddos-aanvallen uit" overleeft de giecheltoets echt niet.

In zeer uitzonderlijke gevallen kan een hoster ook zonder expliciete bevoegdheid een contract opzeggen. Voortzetting moet dan "redelijkerwijs niet meer van hem gevergd kunnen worden", zoals de wet (art. 6:248 BW) het formuleert. Maar dat is niet hetzelfde als "jullie site geeft gedoe" of zelfs maar "ik word offline gegooid door een ddos-aanval op jullie". Er moet echt geen andere optie meer zijn dan opzeggen.

Ik zou dus zeggen dat de klant de opzegging niet hoeft te accepteren. Pas bij herhaalde grootschalige aanvallen waar de hoster ondanks alle denkbare (redelijke) maatregelen continue van offline gaat, mag hij het contract verbreken. In die situatie zou de hoster ongeveer failliet gaan als hij de klant met zijn gamingsite aanhoudt, en dat kan redelijkerwijs niet geëist worden.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Juridische vraag: Mag ik internet in de trein aftappen?

Juridische vraag: Mag admin illegaal materiaal verwijderen?

Reacties (18)

18-05-2011, 10:53 door Anoniem

Dan kom je dus als (kleine) hoster wel flink in de problemen... Als je fors moet investeren in hardware om DDoS aanvallen af te slaan (forser dan als je 'gewone' klanten zou hosten), dan ga je het niet redden tussen al je concurrenten... In hoeverre is het redelijk en billijk om dat van een leverancier te verwachten?

Stellen dat een DDoS wordt veroorzaakt door derden is technisch waar, maar de oorzaak kan natuurlijk wel degelijk bij de gamingclan zelf liggen. Als ik met een Ajax shirt in het ADO vak ga lopen, mag ik dan ook van de aanwezige leiding volledige bescherming verwachten?

18-05-2011, 11:12 door cjkos

Is er al niet eens eerder zo'n vraag geweest?
Dit komt me zo bekend voor.

18-05-2011, 11:40 door Arnoud Engelfriet

@Anoniem 10:53 Je bent niet verplicht om te investeren in anti-DDOS-hardware. Je mag best gamingclans en andere ddos-aantrekkende partijen weigeren. Dat moet alleen wel expliciet gemeld zijn.

18-05-2011, 12:02 door RichieB

@Anoniem 10:53: Draai je voorbeeld eens om. Als je met een Ajax shirt in het ADO vak gaat staan, en die Hagenezen beginnen op je in de slaan, moet de aanwezig leiding dan helemaal niets doen, behalve "eigen schuld" roepen? Iets kan nog zo dom en ondoordacht zijn, maar de agressor (ADO fans, hackers, DDossers) zijn diegenen die de wet overtreden.

18-05-2011, 12:58 door Anoniem

Door Arnoud Engelfriet: @Anoniem 10:53 Je bent niet verplicht om te investeren in anti-DDOS-hardware. Je mag best gamingclans en andere ddos-aantrekkende partijen weigeren. Dat moet alleen wel expliciet gemeld zijn.

Je hoeft toch niet iedereen te accepteren? Ieder bedrijf mag toch discrimineren op punten die niet bij wet zijn verboden? Als ik geen klanten wil van buiten de EU omdat dat gedoe met BTW geeft, dan kan ik dat toch? Of dat ik als Enschedees bedrijf nu even geen klanten uit Amsterdam wil.

Peter

18-05-2011, 13:41 door Anoniem

Ik heb hetzelfde gehad. Ik stelde wat scammer-achtige zaken aan de kaak op een blog en daar waren een 'aantal' oost-europeanen niet blij mee en die lanceerden een DDoS. Gevolg was dat er ook meer plat ging dan verwacht bij de hoster. Uiteindelijk kon ik kiezen of een dedicated hosting afnemen tegen een(voor mij) fikse meerprijs of de betreffende website offline halen. In het geval van die dedicated hosting was het eenvoudiger voor ze om het verkeer te filteren, waardoor andere (shared) klanten er weinig tot geen last van ondervonden.

18-05-2011, 13:46 door Arnoud Engelfriet

@Peter: Dat is waar maar dat moet je vooraf expliciet melden. Als iemand al klant is en je bedenkt achteraf dat je hem niet wil als klant, dan ben je te laat. Alleen in zéér uitzonderlijke omstandigheden (zoals dwaling of bedrog door de klant) kun je er dan nog vanaf.

18-05-2011, 13:53 door Wim ten Brink

Het probleem is dat iedere site via DDOS aangevallen kan worden en dat je daar als webmaster of host eigenlijk weinig tegen kunt doen. Het is vooral een probleem bij hosters die "shared webhosting" aanbieden, omdat je dan vaak met een honderdtal andere sites op een enkele server zit. Als dan een site overlast aanbiedt waardoor al die andere sites plat gaan dan heeft de Hoster eigenlijk weinig keuze dan het verhuizen van die site naar een ander IP adres. Of gewoon opheffen...
Lastiger is het indien een DDOS aanval plaats vindt op basis van IP adres i.p.v. domeinnaam. Dan wordt de host immers zelf aangevallen. Maar meestal is wel te bepalen welk domein wordt aangevallen en helaas betekent dat dan dat die site even op zwart moet.
De Hoster heeft wel een risico indien hij de site weer toelaat. Er kan dan namelijk een nieuwe DDOS aanval plaats vinden. En als de site naar een andere server en ander IP adres wordt verplaatst gaat gewoon die andere plek vervolgens plat. Kortom, de site is een behoorlijk risico omdat het de sites van tientallen, zoniet honderden andere klanten plat gooit. En dat lijkt mij toch echt een goede reden voor de Hoster om een site van hun systeem te gooien...

Maar goed, een eenmalige DDOS aanval is niet voldoende, tenzij daar iets over in de AV staat. Maar eerst een hack-aanval en daarna DDOS? Dat lijkt op een patroon dat snel gestopt moet worden!

19-05-2011, 13:13 door Anoniem

Ach, ik vind het zo gek nog niet, waarschijnlijk gaat het hier om een budget accountje van een paar euro in de maand.
Als je als hoster dan een dikke ddos te verwerken krijgt, heb je niets aan die klant verdiend en ga je er de eerstkomende jaren ook niets meer aan verdienen. Dus gaat die klant dan voor de schade betalen of niet? Zo niet, zou ik ook zeggen dat ze beter een ander kunnen zoeken.
Of dat in eerste instantie de gehackte site de oorzaak was van de ddos of iets anders, het blijft wel de verantwoordelijkheid van de klant wat er binnen dat domein gebeurt. Nu ziet het er naar uit dat er van de hoster verwacht wordt dat hij het verlies neemt en er verder niets aan doet om herhaling te voorkomen. Niet gek dat die hoster die klant niet meer wil.

19-05-2011, 13:48 door Anoniem

Wil je uberhaupt wel klant blijven bij een hoster die jouw niet meer als klant wil. Je zal de minimale service krijgen waar ze contractueel toe verplicht zijn en bij de eerste misstap waar ze je op kunnen betrapen zullen ze je alsnog dumpen.

19-05-2011, 16:08 door Anoniem

@Anoniem 13:13: "het blijft de verantwoordelijkheid van de klant wat er binnen dat domein gebeurt". Waar haal je dat nou vandaan? Die klant heeft toch geen invloed welke/hoeveel pakketjes wanneer door wie naar dat domein gestuurd worden?
En de klant voor de schade bepalen is al helemaal vergezocht als dat niet in de voorwaarden staat (en gezien mijn voorgaande zin lijkt me dat ook zeer onwaarschijnlijk).

Snap ook wel dat die hoster niet tevreden is met de klant, maar hostingbedrijf zijn betekent dat je sites host. En daarmee het risico nemen dat er DDOS aanvallen op je sites komen.

@ 13:48 door Anoniem: eens, als ik die klant was zou ik het resterende bedrag voor de rest van het contract laten terugbetalen en verkassen... zullen beide partijen het beste vinden lijkt me.

20-05-2011, 11:01 door _R0N_

Wat ik me dus afvraag is of de hoster ook zo had gereageerd als het bijvoorbeeld de site van BREIN was of van BUMA..
Die krijgen waarschijnlijk ook wel eens een DDOS voor hun kiezen.
Natuurlijk is het voor een kleine hoster lastig als 1 klant dermate veel overlast veroorzaakt, ook al kan deze er niets aan doen, dat de overige klanten er last van krijgen.

20-05-2011, 11:14 door Arnoud Engelfriet

Brein krijgt zeer regelmatig DDOS-aanvallen. Daar zijn afspraken over met de hoster, ik neem aan dat BREIN daar extra voor betaalt. Toen Wikileaks net kwam met die 250.000 documenten, heeft Byte ook een speciale ddos-proof site (infrastructuur) opgezet daarvoor.

Kan een leuk businessmodel zijn: DDOS-proof hosten.

20-05-2011, 14:20 door Anoniem

@Arnoud: http://www.security.nl/artikel/35116/1/Grootschalige_DDOS_aanval_op_hostingprovider_Byte.html :-)

21-05-2011, 09:50 door Anoniem

@16:08 Het is dataverkeer, dus waarom is dat niet voor rekening van de klant dan?
En het resterende bedrag laten terugbetalen? Eerst wordt er voor duizenden euro's schade berokkend en dan nog het lef hebben een paar euro terug te gaan vragen? Sommige mensen snappen er werkelijk niets van schijnbaar.
Zelfde verhaal met mensen die denken onbeperkt support te krijgen op accountjes van een euro per maand.

@11:01 Wanneer je een site host voor zoiets als BREIN, weet je van tevoren welke risico's dat inhoud. Daar wordt dan ook rekening mee gehouden wat de prijsafspraak betreft. Appels en peren vergelijken dus.

21-05-2011, 15:04 door Anoniem

Door Arnoud Engelfriet: Brein krijgt zeer regelmatig DDOS-aanvallen. Daar zijn afspraken over met de hoster, ik neem aan dat BREIN daar extra voor betaalt. Toen Wikileaks net kwam met die 250.000 documenten, heeft Byte ook een speciale ddos-proof site (infrastructuur) opgezet daarvoor.

Kan een leuk businessmodel zijn: DDOS-proof hosten.

Ik weet waar ze hosten, en welke maatregelen ze kunnen nemen, maar BREIN neemt deze niet. Downtime is airtime voor ze.
een DDOS kan iemand met een breedband verbinding al veroorzaken. Tim thuis bijvoorbeeld.

24-05-2011, 17:20 door Patio

k denk dat het voorkomen van DDOS-aanvallen best via slimme software is te regelen. Als vanuit hetzelfde IP-adres bij voorbeeld 1000 tekens per seconde binnenkomen weet je dat er geen mens, maar een machine bezig is. Niemand kan zo snel tikken. Weigeren die hap of ze nu zinnige of onzinnige inhoud als spelletjes op je site proberen te zetten zal je worst wezen.

Voor plaatjes en andere media als muziek kun je andere voorwaarden opstellen wat veel sites al doen. Ze pikken bij voorbeeld slechts jpg (resp. mp3)-formaat met een bepaalde resolutie. Het vooraf bekijken ervan om auteursrechtschending te voorkomen zal vrees ik handmatig moeten gebeuren. Je kunt er natuurlijk ook voor kiezen deze aan je laars te lappen, maar dat kan je duur komen te staan, vrees ik.

25-05-2011, 07:01 door Anoniem

Door Anoniem: @16:08 Het is dataverkeer, dus waarom is dat niet voor rekening van de klant dan?

Oh, je bedoelt dat de klant verantwoordelijk is voor het betalen van het dataverkeer als dat boven zijn grens uitkomt. Sorry, dat had ik niet begrepen uit je melding.

En het resterende bedrag laten terugbetalen? Eerst wordt er voor duizenden euro's schade berokkend en dan nog het lef hebben een paar euro terug te gaan vragen?

Eeeh ja, je gokt wat voor contract die klant heeft en nou ga je vanuit die veronderstelling extrapoleren.
Het lijkt me geen "schade" als in het contract staat dat de klant voor dataverkeer betaalt. Dan zijn het gewoon opbrengsten voor de provider en kosten voor de klant.

Ben het wel eens met de inhoud van wat je zegt, maar de manier waarop zette me op het verkeerde been.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer