Is het aanbieden van een DDoS-besteldienst door politie niet gewoon uitlokking?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Eind maart werd bekend dat de Britse politie ddos-sites beheerde, zogenaamd dan uiteraard. Er zouden "duizenden" vandalen-in-spe zijn betrapt met deze honeypots. Mij lijkt dat uitlokking, dat je reclame maakt voor een niet te traceren ddos-site en dan zegt "haha je bent een crimineel, ik heb je". Hoe zit dat juridisch (in Nederland)?
Antwoord: DDoS-bestelsites, in het jargon booter sites, zijn Justitie al lang een doorn in het oog. Europol haalde in 2022 vijftig ddos-booters offline, mede dankzij de inzet van de Nederlandse politie. Zoals ik toen blogde:
Dergelijke diensten leveren DDoS-aanvallen op verzoek en tegen betaling, met het dunne excuus dat bedrijven wellicht hun netwerk willen testen maar dan geen behoefte hebben aan contracten, facturen of betalingen met ouderwets fiatgeld. Of zoiets.
Anders gezegd, er lopen dus veel mensen rond die graag geld uitgeven om een DDoS-aanval uit te laten voeren die in strijd is met de wet. Die mensen eruit pikken voor ze écht schade hebben aangericht, is een legitiem doel van de politie. Alleen kom je dan snel terecht in de discussie over ‘uitlokking’.
De discussie over uitlokking speelde in 2013 bij een nepvuurwerkwinkel, opgezet door de politie met als doel mensen waarschuwingen te geven die daar illegaal vuurwerk meenden te bestellen.
Van uitlokking is in ons strafrecht sprake als je iemand op andere gedachten brengt, hem overhaalt het strafbare feit te plegen terwijl hij dat zelf niet van plan was. In het lokfiets-arrest bepaalde de Hoge Raad dat je iemand niet uitlokt door een onafgesloten fiets neer te zetten op een plek waar vaak fietsen steelt. Een fiets is een fiets, en de dief kiest er nog altijd zelf voor om die te stelen. Zou een agent na het plaatsen naar een stel junks toegaan en zeggen “hee daar staat me een mooie fiets, en onafgesloten ook nog”, dan wordt het al twijfelachtiger.
Ik had er toen een kléin beetje moeite mee, omdat een winkel naar zijn aard producten promoot. Iemand die toevallig aan komt waaien en dan de strijkers, Bengaals vuur en mortierbommen in het gezicht geduwd krijgt, die kan denk ik goed verdedigen op andere gedachten gebracht te zijn door die reclame: hij kwam alleen voor legaal vuurwerk en werd door de reclame effectief overtuigd deze te kopen.
Bij DDoS-aanvallen zie ik dat niet. Natuurlijk, het standaardexcuus van die sites is dat ze zich richten op mensen die hun eigen netwerk willen testen. Maar hier worden de kopers van de diensten aangesproken. En die hebben geen mooi CRA-compliant bedrijfsnetwerk, laat staan dat het opgegeven target IP-adres behoort tot hun eigen serverpark. Dus daar is geen enkel excuus.
Het volgende argument zou zijn dat de koper-in-spe eigenlijk nooit van plan was een DDoS-aanval te bestellen, maar door de site werd overgehaald: het is makkelijk, niet duur, ze zeggen hier "niet te traceren" en dergelijke aanprijzingen. Zonder de precieze site te zien is het lastig te zeggen hoe hard de website mensen probeerde over te halen.
Maar ik zou zeggen: als men de site niet actief adverteerde bij derden, maar 'gewoon' als een beschikbare dienst neerzette, dan wordt er niemand op andere gedachten gebracht. Het is immers een bestaande site die de politie overnam, dus eventuele reclame of bekendheid moet je de vorige eigenaar toerekenen. Ik zie er daarom dus juridisch geen uitlokking in.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
gesprekje met de poltitie (als vervanging van een opvoeding door de ouders) toch helemaal niet verkeerd?
Het is niet dat een DDoS doen iets is waar je zelf of je omstanders eventueel nog van zouden kunnen genieten, wat
je naar voren zou kunnen brengen bij het aanschaffen van vuurwerk (of drugs). Het gaat hier puur om het normloos
benadelen van anderen. Als mensen daar door het zien van een website "toe overgehaald" worden dan is er wat
fout met hun normen en waarden. Daar mag best over gesproken worden.
(merk op dat er geen sprake was van het automatisch vervolgen van bezoekers van de site!)
Ik het algemeen vind ik uitlokken onzuiver handelen. Wat enkel kan als het belang te groot is. Net zoals geheime diensten vieze kunstjes mogen doen, maar pas als de hele staat in gevaar is. En dan graag zelfs, want ik woon ook onder die paraplu.
De beslissing over lokken en uitlokken hoort op het hoogste niveau van de politie te liggen. Het ligt op het randje. Er moet een goede reden zijn om het randje over te gaan. Op zich is daar ruimte genoeg voor. Want als het dan later toch een had achteraf gezien nooit mogen gebeuren geval is, dan kan gewoon de volgende benoemd worden op die plek.
Met uitlokken kun je ook mensen overhalen misdrijven te begaan die ze anders nooit begaan hadden.
En je maakt het uitermate lastig voor de verdediging van zo iemand, om aannemelijk te maken dat als het niet zo gemakkelijk was gemaakt (onder valse opzet), dat het nooit had gebeurd. En dat er dan anders nooit wat aan de hand was geweest. Het hoort dus niet zo thuis in een vrije rechtsstaat. Behalve misschien als die zelf de controle wat kwijt is. Maar dan enkel om wat puntjes terug op de i te zetten. Want anders wordt het heksenjagen en veel heksen verzuipen die dat helemaal niet waren. Enkel voor het applaus van het publiek bij de sloot.
De beslissing over lokken en uitlokken hoort op het hoogste niveau van de politie te liggen. Het ligt op het randje. Er moet een goede reden zijn om het randje over te gaan. Op zich is daar ruimte genoeg voor. Want als het dan later toch een had achteraf gezien nooit mogen gebeuren geval is, dan kan gewoon de volgende benoemd worden op die plek.
Met uitlokken kun je ook mensen overhalen misdrijven te begaan die ze anders nooit begaan hadden.
En je maakt het uitermate lastig voor de verdediging van zo iemand, om aannemelijk te maken dat als het niet zo gemakkelijk was gemaakt (onder valse opzet), dat het nooit had gebeurd. En dat er dan anders nooit wat aan de hand was geweest. Het hoort dus niet zo thuis in een vrije rechtsstaat. Behalve misschien als die zelf de controle wat kwijt is. Maar dan enkel om wat puntjes terug op de i te zetten. Want anders wordt het heksenjagen en veel heksen verzuipen die dat helemaal niet waren. Enkel voor het applaus van het publiek bij de sloot.
Mits dit goed is onderbouwd en een goede context, ben ik niet tegen, en lijkt me dit geen probleem.
Er is altijd nog een toetsing van een aantal rechters in de strafzaak.
Vergeet niet dat criminelen eigenlijk geen duidelijke grenzen hebben. die heeft de politie/justitie wel.
Soms moet je criminelen pakken met middelen die op de grens liggen.
Vraag is veel te generiek, in de rechtzaal gaat het om de vraag of de verdachte wel/niet is uitgelokt door de politie, om strafbare feiten te plegen. Indien de politie de verdachte pro actief heeft benaderd en deze aanmoedigt om het strafbare feit te plegen dan is het uitlokking. Indien de politie dit niet doet, en de verdachte uit zichzelf op de website komt, met de intentie te ddos-en, dan is het geen uitlokking. In beide scenario's, kan je dezelfde website hebben. Het bestaan van een website zegt niets, over de vraag of iemand is uitgelokt.
Met uitlokken kun je ook mensen overhalen misdrijven te begaan die ze anders nooit begaan hadden.
En je maakt het uitermate lastig voor de verdediging van zo iemand, om aannemelijk te maken dat als het niet zo gemakkelijk was gemaakt (onder valse opzet), dat het nooit had gebeurd. En dat er dan anders nooit wat aan de hand was geweest. Het hoort dus niet zo thuis in een vrije rechtsstaat.
Hoezo, jij gaat van het slechtste uit. De politie kan dit doen, zonder op het randje te komen. Natuurlijk zijn er ook situaties denkbaar, waarin men over de rand gaat. Wanneer dat gebeurt, dan behoort dat niet in een rechtsstaat. Dat aanklager en verdediging hun werk moeten doen, dat spreekt verder voor zich.
Vraag is veel te generiek, in de rechtzaal gaat het om de vraag of de verdachte wel/niet is uitgelokt door de politie, om strafbare feiten te plegen.
We zijn toch helemaal niet in de rechtzaal? In het artikel staat:
Indien het geen juridische zaak wordt, dan is de juridische vraag overbodig. Al kan je natuurlijk altijd nog klagen over het uitlokken van een feit waarvoor je *niet* vervolgd wordt, als je dat leuk vindt.
carriere wilt maken! Als het niet de politie was maar een legitieme DDoS service dan zou je ook een behoorlijke kans
lopen uiteindelijk in politiedossiers terecht te komen.
Eigenlijk is alle ddos puberaal. Ik heb er al een aantal over me heen gehad door de jaren heen.
Eerst schrik je, want met dat internet blijf je toch dat gevoel houden dat je Live op TV bent. En dat bijvoorbeeld een Mies of Sonja in de kleedkamer zitten voor je interview. Of een iets jeugdiger influencer. Jeetje, al die arme kijkertjes. En daar krijg je dan ook emails van. Want die denken dat ook. Het zit gratis in hun scherm dus hoe kan dat nou. Maar het blijft gewoon internet. En geen TV. Op social media zie je die reacties ook nog wel eens, dat mensen reageren alsof je iets zojuist voor een miljoenenpubliek op het 8 uur journaal gezegd hebt. Terwijl er misschien maar twee zijn die het gezien hebben.
Van ddos gaat doorgaans helemaal niks kapot. De enige portemonnee die leegloopt is die van de puber.
Als die knip leeg is, is iedereen weer blij dat je er bent. Soms nog blijer dan voorheen. Dat alles maar vanzelfsprekend moet werken is namelijk af en toe helemaal niet zo vanzelfsprekend.
Bij openbare diensten is het vervelend. Als je bijvoorbeeld alleen nog je bejaardenkaartje voor de tram online aan kunt vragen. En dat je dat nou juist dringend nodig hebt omdat je toch al met je been trekt. Maar dat dat niet anders kan. Omdat er nog politici zijn en zo die nog denken dat alles altijd maar moet werken. Vanzelfsprekend. Zelfs.
Een aantal jaar geleden was er toch een uitspraak inzake het lokobject Sweetie van Terre des Hommes, waarbij de verdachte niet strafbaar kon worden gesteld omdat hij strikt genomen niet met een (echt) meisje van doen had?
Je kunt immers niet worden veroordeeld voor iets dat je niet (echt) hebt gedaan!
( Er waren daarna plannen om de wetgeving aan te passen om deze vorm van uitlokking door de politie wel strafbaar te stellen voor mensen die de geldende wetgeving niet genoeg onder de knie hadden, maar hoe is dat afgelopen? Het was daarna vrij stil in de media? )
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.