Schade op een minderjarge student verhalen voor dingen die hij tijdens schooltijd doet gaat lastig worden.
Ik denk dat hij wel een tijdje voor bureau HALT mag gaan werken.

De jongen is een verdachte. Door hem alvast preventief weg te jorissen, verklaart de school hem schuldig, en schaad daarmee zijn belangen.
Daarnaast is het verhalen van schade misplaatst, omdat een beetje opleiding zijn infrastructuur op orde heeft, en door een Ddos slechts een dag downtime oploopt. Dit hoort binnen de SLA van de ICT dienstverlening te liggen, waardoor er per definitie geen aantoonbare schade is.

En omdat het internet altijd een analogie nodig heeft om het aan oma, en de opleidings-directeur uit te leggen:
Mijn dochter pikt een rolletje drop uit de supermarkt.
Ik breng dit terug met haar, en vervolgens installeert de supermarkt het beveiligings-systeem HarryP-2000, en legt een slotgracht aan met zeldzame krokodillen, en stuurt het gehele management op een 5 daagst hei-sessie om security-aware te worden.
kosten: 200.000,- plus imagoschade en advocaat-kosten, en een koffiejuffrouw.

...of ik even af wil tikken?

In dit geval heeft de student een evident falend ICT beleid aangetoond, en heeft wellicht geconcludeerd dat het schandalige security/uptime-beleid van de school een indicatie was van de impact die zijn actie had.

Als je als school het toestaat dat je infra weken platligt van een Ddos, dan toon je daarmee geen enkel respect voor je leerlingen, geen enkel benul van netwerkinfrastructuur, of leiderschap, en lijkt mij een actie van de raad van bestuur gepast.

...en de leerling? Zodra de politie zijn schuld aantoont, mag een gepaste straf niet ontbreken, zoals een zomer lang de ICT ruimtes van stof ontdoen, of de gymzaal dweilen.

De verdachte studeert ICT en gaat voor de makkelijke optie als een DDos, en dan ook nog eens gepakt worden. Ik zou eens kritisch naar de opleiding zelf kijken :-P

Zonde als je dit riskeert omdat je blijkbaar problemen hebt met je school.

Ik ben het eens met je reactie, behalve met de eerste en laatste zin:

1] Een schorsing wil niet zeggen dat iemand schuldig is, enkel dat er een onderzoek gaande is waarbij het voor zowel de verdachte als het slachtoffer beter is om deze tijdelijk geen contact te laten hebben of dit zoveel mogelijk te beperken.
Ik ben ook wel eens een week geschorst geweest, achteraf bleek onterecht en dat was een gevalletje "jammer maar helaas!" De school is destijds flink door het stof gekropen trouwens, ik ben er alleen maar beter van geworden uiteindelijk...

2] De politie brengt informatie m.b.t. handelingen die mogelijk wetten overtreden (proces-verbaal) aan bij het OM -> het OM stelt mogelijk een aanklacht op n.a.v. die informatie -> en de rechter bepaalt uiteindelijk of deze informatie ook daadwerkelijk als bewijs gezien mag worden... In een rechtsstaat kan de politie nooit iets bewijzen.

Een DDoS is niet iets waar je je 'zomaar' tegen beschermt, en de schuld bij de school leggen is hetzelfde als roepen dat een vrouw de verkrachting aan zichzelf te danken heeft omdat ze in een rokje loopt.

Volgens het artikel waarnaar gelinked wordt vonden de aanvallen over een periode van tenminste twee weken plaats, waardoor er kennelijk lessen uitvielen, en de school een extern bedrijf heeft gevraagd naar het probleem te kijken. Er is dus wel degelijk aantoonbare schade: dat bedrijf werkt niet voor niets, en die gemiste lessen moeten worden ingehaald.


Wat denk je als school aan een DDoS te gaan doen dan? Voor duizenden euro's aan hardware uitgeven om je ertegen te beschermen? Op welk niveau verwacht je dat een school z'n infrastructuur beschermt tegen aanvallen van buiten? Het is toch geen ISP? Hoe duur zou ons onderwijs worden als we elke school z'n eigen anti-DDoS hardware willen laten installeren?

Wederom - wie is hier nou fout: de school, of degene die de aanval uitvoert? Ook al ben je een puber - je hoort verantwoording af te leggen over je daden. En als de puber niet kan betalen, dan zijn z'n ouders wettelijk aansprakelijk. Hij had als IT student natuurlijk beter moeten weten...

Het logisch om hem te schorsen als hij e dader is.
Ook het verwijderen van de opleiding en de gemaakte kosten op hem verhalen is logisch.
Er heeft altijd man-uren gezeten om dit euvel op te lossen.

Het kan natuurlijk een handig financieringsmodel zijn voor je dure veiligheidsmaatregelen.

Dit is geen "get-out-of-jail-card"
Als je voordeur niet op slot is en iemand komt binnen, dan is het nog steeds inbreken toch?
Dat het een makkelijke kans is om in te breken, maakt het nog niet legaal.

Hetzelfde geldt voor computervredebreuk. Men mag dan wel verwachten dat dit allemaal in orde is, maar betekend niet dat je dit daadwerkelijk mag testen door eventjes een ddos'je af te vuren op het schoolnetwerk

Dit is duidelijk een probleem in het beleid. Toen ik nog een opleiding volgde hebben we een keer voor de lol 1 minuut een ddos op onze eigen gehoste website aangezet om te kijken of deze plat ging en inderdaad dit gebeurde. Binnen 24 uur stond de netwerkbeheerder van de school bij ons op school voor de tafel om te vragen hoe het zat. Zo kan het dus ook.

Het wordt inderdaad tijd, dat dit soort mensen ongeacht hun leeftijd keihard wordt aangepakt.
Vergeet niet dat het dit soort mensen zijn, die het plezier van andere gebruikers op internet verzieken, en verstieren.
We moeten af van de beeldvorming, dat deze figuren cowboys zijn.
Ook dat politiek correcte commentaar dat deze heer slechts een verdachte is, daar wordt ik in elk geval niet goed van!

Helemaal mee eens, en dat zeg ik dus ook niet.
Maar het idee van de leiding op deze school, dat bedrijfscontinuiteit wordt geregeld middels een advocaat en schadevergoeding, in plaats van goed, en getest ICT beleid, is geen reden om nu over de rug van een student dit beleid te onderschrijven.
Mijn punt is dus niet dat de student dit straffeloos mag doen, mijn punt is dat de strafmaat niet mag worden gehanteerd om het falen van de directie te verbloemen.

leerplichtig en dan van school verwijderen ? dat kan toch niet !
zo krijg je juist vroeg tijdig schoolverlaters en dat moet voorkomen worden.

dan moet hij maar naar een andere school zeker weer een ICT opleiding om ook weer een DDOS aanval uitte voeren.
en als het zo door gaat dan kan hij niet meer naar school.

Misschien niet direct de leerling, maar als minderjarige zijn de ouders mede verantwoordelijk voor de schade. Zeker als die een eigen huis hebben zal daar nog wat te halen zijn.

quote]Door Anoniem: Dit is duidelijk een probleem in het beleid. Toen ik nog een opleiding volgde hebben we een keer voor de lol 1 minuut een ddos op onze eigen gehoste website aangezet om te kijken of deze plat ging en inderdaad dit gebeurde. Binnen 24 uur stond de netwerkbeheerder van de school bij ons op school voor de tafel om te vragen hoe het zat. Zo kan het dus ook.[/quote]
Niet iedere school heefy de capaciteit om dergelijke beheerders aan te nemen. Tegenwoordig wordt het beheer bovendien uitbesteed en de meeste contracten zien dergelijk als een uurtje-factuurtje post. Wat vaak fors op kan lopen door de wijze waarop datzelfde bedrijf het netwerk en de internetverbinding heeft gerealisserd. Dat bedrijf heeft er geen voordeel bij hetbeter te doen en menig management weet ook niet beter. Die vertrouwen op de (meestal) goede naam van de leverancier.

Voor tips voor dergelijke onderwijsinstelingen (en de leveranciers) is https://blog.surfnet.nl/?p=2327 aardig leesvoer.

Peter

Je korte rokje-analogie faalt. Een dame in een kort rokje heeft het warm, een beperkt kledingbudget, of vind het fijn om er modieus/aantrekkelijk uit te zien, maar zodra ze daarmee een dark-room inloopt, dan is de kans dat er een hand geplaatst wordt een stuk groter. Door het interne netwerk zo schaamteloos bloot te stellen aan het internet, heeft de school zich daarmee in een darkroom geplaatst. Het internet is geen lieve knuffelomgeving, waar iedereen elkaar met respect en eerlijkheid benadert.
Bescherming tegen een Ddos of dos is zeer eenvoudig; trek de internet switch eruit. Hiermee is heel je interne netwerk Ddosvrij, en kunnen alle lessen gewoon doorgaan. Door heel je lesmodel online te positioneren, en dan geen cloudflare of andere oplossingen toe te passen... ja, dan vraag je er wellicht niet om, maar stel je je leerlingen wel heel erg bloot aan de willekeur van een individu.
De student is fout, laat dat duidelijk zijn, maar nadat we die met pek en veren het schoolplein af hebben gejaagd, gaat dan de directie geheel vrij uit? Straks is het een Ddosser uit rusland, en dan? het internet is namelijk nogal groot weet je.

De schade is niet de kosten van het externe bedrijf, of het missen van lessen, dit zijn keuzes die de school namelijk zelf heeft gemaakt. Wat wel hout snijdt, is bijvoorbeeld dat de school de schade heeft becijferd en gepubliceerd, en dat de student daarna actief is doorgegaan. Maar een Ddos is niet altijd direct uit te zetten. De wereld is niet zwart-wit.

Laten we dus vaststellen dat de student een sukkel is, maar ook dat de directie zwaar heeft gefaald, door hun complete bedrijfsvoering te stoelen op iets dat ze totaal niet onder controle hadden. Ze hebben qua infra en beleid gegokt, en verloren.

En had ik al gezegd dat de student een sukkel is? een boef, een crimineel zo je wil, die moet worden geslagen door alle incompetente systeembeheerders en beleidsmedewerkers die dit ROC maar kan vinden? Wat een nare vent zeg, die hun mooie wereld zo ruw komt verstoren. Laten we nog een extra firewall kopen, geld speelt geen rol, dat betaalt die jongen later wel terug. En we huren dat dure bedrijf nog es in, zodat ze nog een keer komen uitleggen wat dat verdraaide internet nu toch ook alweer was.
" Ladies and gentlemen; We've got him!" doorlopen nu, niets te zien hier.

Neen, dat is het niet. Dat heet insluiping, een heel andere categorie.

Nogal boud, en totaal ongefundeerde kritiek. je bent nogal makkelijk met de beschuldigingen maar het lijkt er niet op dat je precies weet hoe tegenwoordig onderwijs wordt gegeven.

De Internet stekker eruit? Dan kun je net zo goed het hele onderwijs opdoeken; 95% van het onderwijs gebeurt via websites van uitgevers, bibliotheken, itslearning e.d.
Als de de Internet verbinding het doelwit was van de DDos, en de school niet state-of-the-art (dure) spullen heeft en weinig kennis hoe dat op te lossen vallen inderdaad intern de lessen uit; niet omdat intern the boel plat ligt, maar omdat er geen verbinding naar buiten is.

Over de schade : natuurlijk wordt die verhaald op de dader. Over *welke* schade wordt niet gepraat, dus allerlei onzin hoe groot dat bedrag wel niet zou zijn, en dán daar kritiek op geven is veel te kort door de bocht.

FYI: Ik ben een (goede) netwerkbeheerder op een grote scholengemeenschap en als wij een leerling betrappen die grote schade heeft berokkend aan ons netwerk, dan gaan mijn uren die ik heb besteedt aan het oplossen direct als rekening naar de ouders van de leerling. Dat staat in ons schoolregelement. (Is overigens pas 1 keer voorgekomen in 12 jaar :P)

Het lijkt er op dat een heleboel van de reageerders, die vinden dat de school het netwerk op orde moet maken, geen idee heeft van wat een DDoS is.

Een DDoS is een gedistribueerde aanval waarbij duizenden tot miljoenen andere computers jouw netwerk, server of internetverbinding onderuit proberen te halen. Bij een dergelijke aanval is het zeer eenvoudig om factoren meer verkeer te genereren dan dat de internetverbinding van de school aan kan. Veel scholen zitten met hooguit 1Gbps aangesloten. Ik zie dagelijks aanvallen van 1,5Gbps tot 10Gbps langskomen. De enige oplossing die een school zou kunnen hebben, is het upgraden van de verbinding naar 10Gbps of meer. Dat is nog steeds meer dan 10x zo duur als een 1Gbps verbinding.

Ook dat is soms niet voldoende, als je kijkt naar de aanvallen op Spamhaus.

Ja, de provider kan de aansluiting aan hun kant filteren, maar afhankelijk van welk verkeer er in de aanval zit, kan dat ook negatieve effecten hebben. Zeker als je PAT gebruikt, zorgt het blokkeren van DNS verkeer, dat veel gebruikt wordt in DDoS aanvallen, ervoor dat je zelf ook geen nieuwe verbindingen meer op kunt zetten.

Peter

Beste college (goede)netwerkbeheerder,
Een school die weken platligt nav een DDos? in welke wereld is dat geen aantoonbaar falend beleid?
Ik weet redelijk goed hoe onderwijs gegeven wordt, en het lijkt me qua product (onderwijs) dan ook zeer goed dat dit overal en op diverse manieren aan de klant (student) wordt aan geboden. Gooi heel je school in de private of public cloud, alleen maar goed, qua product aanbod.

Als de school haar product echter host op goedkope spullen, en zonder relevante kennis, dan is dat een beleids-keuze.
Een niet gekwalificeerde systeembeheerder aanstellen om deze bedrijfskritische infra te beheren/beschermen is een beleidskeuze, en de systeembeheerder kan dan ook niet kwalijk genomen worden als de boel in elkaar dondert. Alleen dat hij dit niet heeft zien aankomen, en hierover niet gerapporteerd heeft.

Een schoolreglement is niet de plek om wetgeving te omzeilen. Door het beschikbaar stellen van infrastructuur aan je studenten, geef je de student hiermee het recht dit te gebruiken. Een student die het laatste bestandje op je overspannen fileserver plaatst, kan niet verantwoordelijk gehouden worden voor de aanschaf van een nieuwe.
Een student die opzettelijk de infrastructuur onbeschikbaar maakt, kun je denk ik wel verantwoordelijk houden voor de kosten die je derft door inkomstenverlies (denk aan een claim van een student die geen tentamen kan maken, en daardoor in zijn carriere geschaad wordt), maar niet de kosten van die broodnodige firewall, die extra cursus, of dat ingehuurde bedrijf.
Dat bedrijf en die firewall hadden er al veel eerder moeten zijn.

...en Ddos dodgen is niet meer moeilijk tegenwoordig.

Niet moeilijk, maar wel heel duur.

Een server kun je nog wel in de cloud zetten. Met EC van Amazon hoeft het ook niet zo duur te zijn als de aanval af en toe plaats vindt.

Het wordt al lastiger als de aanvaller zich specifiek richt op je internetverbinding.

Peter

Ik vindt het wel apart dat er nergens gesproken wordt, dat tientallen bedrijven ook last hebben gehad van deze ddos aanval. Aangezien er behoorlijk wat servers van andere ondernemingen in het zelfde datacenter hangen. Ook onze cloud omgeving was niet meer bereikbaar door de hoeveelheid data verkeer.

De aanvallen die ik zie, zijn rechtstreeks op het netwerk van de scholen gericht en niet op de servers in datacentra.

Maar je hebt wel een punt als je kijkt naar aanvallen op servers. Net als bij grote demonstraties in de harde wereld, zullen er derden slachtoffer zijn van dergelijk gedrag. Daar wordt vaak niet naar gekeken of er wordt geen rekening mee gehouden.

Peter

Duidelijk ingevuld door iemand die niet precies weet wat een DDOS is. Bij een grote DDOS zijn op dit moment zelfs ISP's als KPN niet of nauwelijks in staat de problemen op te lossen of te voorkomen.
Dit moet door alle ISP's wereldwijd samen worden aangepakt.

Een school kan dit niet alleen zelfstandig oplossen.

Mijn router van 2 tientjes heeft een anti-doss vinkje.
Iets met port 80.