Juridische vraag: Wanneer is een website die stresstesten aanbiedt strafbaar?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Vandaag las ik een nieuwsbericht over de politie die in samenwerking met de FBI vijftien websites offline heeft gehaald waarop DDoS-aanvallen werden aangeboden. Maar wat ik mij nu afvraag, is een website waarop 'stresstesten' worden aangeboden wel (per definitie) strafbaar? Er zijn toch ook legale toepassingen van deze diensten?
Antwoord: Natuurlijk is het legaal om een bedrijf de dienst te leveren van het veroorzaken van hoge belasting om te zien of die daartegen bestand is. Wanneer een netwerk of site van groot belang is, dan is testen op ddos-bestendigheid een legitieme wens en een aanbieder mag in dat commerciële gat springen.
Wat dan weer strafbaar is, is een site platleggen door deze opzettelijk en wederrechtelijk een hoge belasting te bezorgen. Dat noemen we een (d)dos aanval of in mooi juridisch Nederlands een verstikkingsaanval. Afhankelijk van de impact kan de maximale celstraf vele jaren zijn.
Het verschil tussen die twee? Perceptie, voornamelijk. Net zoals een website security scanner functioneel veel lijkt op een crackertool, maar die laatste strafbaar is omdat deze bedoeld is om het misdrijf computervredebreuk mee te plegen.
Wie dus de legale dienst wil aanbieden, moet zich er dan ook van bewust zijn dat er mensen zullen zijn die deze illegaal gaan inzetten. Zeg maar net zoals pizzabedrijven zich ervan bewust moeten zijn dat er wel eens een prank call voor een pizza bij de buren gaat komen. Daar neem je als normaal bedrijf dan ook maatregelen tegen.
Een legitiem stresstestbedrijf zal dus extra stappen moeten nemen om a) te voorkomen dat haar diensten voor misdrijven worden gebruikt en b) de indruk te vermijden dat je hoopt op klanten van dat type. Ik zou daarbij op zijn minst dan ook een intake van de klant verwachten: wie is dit, hoe weten we dat dat netwerk van hem is, en hebben we enige garantie dat er geen schade gaat optreden bij derden. Oh ja, en het lijkt me vrij voor zich spreken dat je eigen ingekochte zendcapaciteit inzet, en dus geen botnets met argeloze koelkasten en thuiscomputers commandeert.
Veel van de booter/stresser sites die ik ken, doen geen enkele moeite om te voorkomen dat andermans site wordt aangevallen. Hun enige doel lijkt te zijn zo snel mogelijk zo veel mogelijk 'stresstests' uit te voeren, ongeacht wie daar de nadelen van ondervindt. In dat geval zie ik wel hoe je ze als Justitie als medeplichtige van dat misdrijf aanmerkt.
Oh ja, zo'n dienstverlener kan zich niet verschuilen achter de juridische bescherming van aansprakelijkheid voor platform. Dat gaat over inhoud van derden die je opslaat en doorgeeft, niet over diensten die je zelf levert.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Pas op het moment dat je een dienst opzet met eigen servers, eigen internetaansluiting en daar ook netjes voor betaald, kun je spreken van een legal stresstester. Wij doen dat regelmatig voor partners. Daarvoor hebben we dan ook voldoende bandbreedte en een aantal servers met 10Gbps (of meer) netwerkaansluitingen.
Peter
Ja natuurlijk is het op te lossen. Maar die sites ZIJN helemaal niet om te testen.
Het zijn saboteurs en ze faciliteren chantage. Ze weten dat best, maar met een dikke berg boter op het hoofd doen
ze net of ze bedoeld zijn voor legitieme doeleinden.
Ja natuurlijk is het op te lossen. Maar die sites ZIJN helemaal niet om te testen.
Het zijn saboteurs en ze faciliteren chantage. Ze weten dat best, maar met een dikke berg boter op het hoofd doen
ze net of ze bedoeld zijn voor legitieme doeleinden.
Wat een gegeneralizeer... Je werkt voor de overheid? Daar zijn dit soort opmerkingen standaard. En de geleverde oplossing meestal ook. Is lekker goedkoop...
Onzin, er zijn ook legitieme bedrijven die dit doen. En die controleren vooraf zeker dat jij de eigenaar bent, van de website die getest moeten worden. Niet veel anders dan legitieme penetration testing diensten, mock spearphishing diensten, vulnerability assessment diensten.
Dat er veel illegale aanbieders zijn, dat klopt.
Ja natuurlijk is het op te lossen. Maar die sites ZIJN helemaal niet om te testen.
Het zijn saboteurs en ze faciliteren chantage. Ze weten dat best, maar met een dikke berg boter op het hoofd doen
ze net of ze bedoeld zijn voor legitieme doeleinden.
Wat een gegeneralizeer... Je werkt voor de overheid? Daar zijn dit soort opmerkingen standaard. En de geleverde oplossing meestal ook. Is lekker goedkoop...
Ach man klets toch niet!
Je weet best waar het over gaat en dat die lui hardstikke fout zitten.
Je hebt net zo dik boter op je hoofd als zij.
Gelukkig worden ze tegenwoordig keihard aangepakt.
Ach man, ik implementeer bij grote Nederlandse bedrijven anti-DDoS oplossingen. Denk je dat die oplossingen niet worden uitgetest ? Daarvoor huren we een volstrekt legitiem bedrijf in.
Het feit dat jij niet bekend bent met dergelijke *legitieme* diensten, wil niet zeggen dat ze niet bestaan. Dat malafide aanbieders hard aangepakt moeten worden, daarin heb je volstrekt gelijk.
Misschien kan je wat meer luisteren naar input van anderen, kan je wat van leren.
Digitaal aangifte doen is naar mijn mening niet zo een goed idee. Het is dan weer vragen om misbruik van zo een systeem. Maar ook blijft het belangrijk dat iemand recht in je ogen kijkt, terwijl je aangifte doet. En er even aan herinnert dat valse aangifte doen stout is.
Om aangfte te doen heb je echter doorgaans (zeer geruime) tijd de tijd. Is er al eens aan gedacht om een database aan te leggen met concept- of proforma aangiften? Waarbij pas als de politie overweegt actie te ondernemen, in de bewuste gevallen eerst nog de aangever wordt verzocht om het in persoon komen te bevestigen? Zo een systeem zou ook beter controleerbaar zijn op misbruik. En het werkt efficient want de aangifte ligt er al pro forma. Dus dat is printen, voorlezen en tekenen. Tegelijk zou zo een systeem een prachtig beeld kunnen geven van gevallen waar (nog) niks mee gedaan is.
En natuurlijk ook laten zien hoe groot dat DDOS probleem nu eigenlijk is. Want die ze op mij uitstorten, die komen niet in de krant. Enkel die op de ING. Maar ik vind mezelf ook best belangrijk.
Ach man, ik implementeer bij grote Nederlandse bedrijven anti-DDoS oplossingen. Denk je dat die oplossingen niet worden uitgetest ? Daarvoor huren we een volstrekt legitiem bedrijf in.
Het feit dat jij niet bekend bent met dergelijke *legitieme* diensten, wil niet zeggen dat ze niet bestaan. Dat malafide aanbieders hard aangepakt moeten worden, daarin heb je volstrekt gelijk.
Misschien kan je wat meer luisteren naar input van anderen, kan je wat van leren.
Als dat bedrijf wat jij inhuurt door de FBI uit de lucht gehaald is dan weet je nu dat ze niet legitiem waren.
Als de zat niet zijn dan zit je gewoon offtopic te kletsen.
Op zich zal het je verbazen hoe weinig legitieme test-tools deze procedure wel vereisen. Security.txt is een variant hierop die (bijna) nooit wordt geraadpleegd. Meer info: https://securitytxt.org
De wereld is op dat gebied van scanning qua tooling echt nog niet professioneel genoeg. Als je een beetje grote website runt krijg je vaak genoeg wat scanners langs waar je niet om hebt gevraagd. Responsible Disclosure is het niet, want in de meeste spelregels staat wel iets over dat ongevraagd scannen/verstoren niet de bedoeling is. In de fysieke wereld ga je ook niet alle ramen en deuren even testen van een kantoorgebouw zonder toestemming, vreemd dat we dat in de online-wereld bijna normaal zijn gaan vinden.
Als je tijdens een scan vervolgens belt/mailt/faxed met een legitieme test-tool merk je wel het verschil: de test zal meteen worden afgekapt, excuses volgt (incl. een sales gesprek waarschijnlijk als je gelukt hebt :P) en je site staat vervolgens op de 'no scan list' die er dan vaak wel is. Maar dat is helaas dus allemaal achteraf, gewoon vooraf security.txt even checken zou veel makkelijker zijn.
Als BOFH's wat meer van dat soort belletjes zouden doen (en de tool-onwikkelaar dus even blijft wakker bellen) zal het vast wel een keer netjes geïmplementeerd gaan worden.
https://www.researchgate.net/publication/318435326_Quiet_Dogs_Can_Bite_Which_Booters_Should_We_Go_After_and_What_Are_Our_Mitigation_Options
Overigens, naar mijn idee is er altijd sprake van een strafbaar feit wanneer een bedrijf aangevallen wordt zonder dat een vrijwaringsverklaring is getekend. Al zal het moeilijk zijn om te bewijzen wélke betaalde dienst is gebruikt voor een dergelijke aanval.
Nee, heb ik dat ooit beweerd ?
Klopt, heb ik ooit gepretendeerd dat er bij legitieme diensten geen sales gesprek is, geen vaststellen van identiteit, geen vrijwaringsverklaring voor juridische aansprakelijkheid, en ga zo maar door ?
Sure, klopt geheel.
Onzin, er zijn ook legitieme bedrijven die dit doen. En die controleren vooraf zeker dat jij de eigenaar bent, van de website die getest moeten worden. Niet veel anders dan legitieme penetration testing diensten, mock spearphishing diensten, vulnerability assessment diensten.
Dat er veel illegale aanbieders zijn, dat klopt.
Wat is een legaal bedrijf die legaal ddos aanval /test kan uitvoeren ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.