KLM, DigiD, iDeal, de grote Nederlandse banken: allemaal hadden ze de afgelopen maand te kampen met DDoS-aanvallen. Wie de daders zijn en wat hun motieven zijn, is nog altijd onbekend. Waren de aanvallen de opmaat voor een geraffineerde phishing-actie? Proberen de verantwoordelijken de getroffen bedrijven af te persen? Of wilde iemand gewoon even laten zien waartoe hij zoal in staat is? Het blijft gissen.
Alleen daarom al zou het prettig zijn als de politie erin slaagt om de dader(s) op te sporen. Belangrijker is natuurlijk dat politie en justitie met de opsporing en veroordeling van de DDoS’ers een duidelijk signaal kunnen afgeven: het uit de lucht halen van sites en diensten waar miljoenen Nederlanders gebruik van maken, wordt niet geaccepteerd.
Dat je niet online kunt inchecken bij KLM of een uurtje geen geld kunt overmaken via iDeal lijkt op het eerste gezicht wellicht onschuldig, maar volgens Eurocommissaris Neelie Kroes zijn de economische gevolgen van dergelijke outages fors. Elk uur dat iDeal platligt, betekent bijvoorbeeld een schadepost van 7 miljoen euro voor Nederlandse webwinkels.
Willem-Alexander en Máxima
In het verleden zijn politie en justitie niet altijd even voortvarend geweest bij het aanpakken van DDoS’ers. Zo duurde het ruim 3,5 jaar voordat drie mannen die werden verdacht van het platleggen van een in 2002 georganiseerde chat met Willem-Alexander en Máxima voor de politierechter moesten verschijnen.
Sindsdien is er wel het nodige veranderd. Het bestrijden van internetcriminaliteit heeft een hogere prioriteit gekregen. En dat is vermoedelijk slecht nieuws voor de vorige week in Spanje aangehouden Sven Kamphuis (CB3ROB).
Als Justitie kan aantonen dat hij betrokken was bij het uitvoeren van de DDoS-aanvallen op Spamhaus lijkt een veroordeling onvermijdelijk. DDoS’en is immers verboden volgens artikel 161 sexies van het Wetboek van Strafrecht.
Vrije meningsuiting
Niet iedereen vindt dat een DDoS-aanval automatisch tot een veroordeling moet leiden. Eerder dit jaar betoogde advocaat Jay Leiderman, die verscheidene leden van Anonymous en Lulzsec bijstaat, dat een DDoS-aanval een vorm van vrije meningsuiting is.
Ook Anonymous zelf liet begin dit jaar van zich horen: leden startten een op Obama gerichte petitie om DDoS-aanvallen te legaliseren. Volgens Leiderman en Anonymous is een DDoS te vergelijken met een traditioneel protest, zoals een sit-in, waarmee demonstranten ook de toegang tot bijvoorbeeld een bank kunnen blokkeren.
Terwijl je voor een sit-in doorgaans niet meer dan een boete krijgt, kunnen DDoS’ers in de Verenigde Staten jarenlange gevangenisstraffen opgelegd krijgen. Buiten proportie, vindt Leiderman. “Bij een DDoS wordt er geen schade aangericht aan een website of aan het achterliggende systeem, en als het protest voorbij is, kan de site weer gewoon functioneren. Dat is geen hacken. Dat is een vorm van protest.”
Zombie-computers
De redenering van Leiderman en Anonymous klinkt zo gek nog niet. Was Operation Payback in december 2010 – gericht tegen bedrijven als Paypal, Visa en Mastercard die weigerden donaties aan Wikileaks over te maken – bijvoorbeeld niet gewoon een legitieme vorm van protest? Dat de websites van die bedrijven net in de drukste periode van het jaar urenlang onbereikbaar waren, is natuurlijk vervelend, maar hoort dat er niet gewoon bij in een democratie?
Bovendien: Operation Payback was weliswaar een distributed denial of service attack, maar toch heel anders dan de gemiddelde DDoS-aanval. Veel deelnemers aan de actie voerden de aanval namelijk niet uit met behulp van een leger aan zombie-computers maar door LOIC op hun eigen pc te installeren: een tool die het voor elke leek mogelijk maakt om je eigen computer en internetverbinding in te zetten voor een DoS-aanval.
Een deel van die ‘leken’ kreeg vervolgens de politie op bezoek. De Amerikaanse justitie besloot 14 verdachten, waaronder enkele minderjarigen, aan te klagen. “Hen hangt nu een gevangenisstraf van 15 jaar boven het hoofd”, stelt Leiderman. En waarom? “Omdat ze gebruikmaakten van hun recht op vrije meningsuiting. Omdat ze uiting gaven aan hun ongenoegen over het beleid van een groot bedrijf als Paypal. En omdat ze opkwamen voor hun idealen.”
DDoS-kabouters
Tja, idealen… De zogeheten ‘DDoS-kabouters’, de vijf tieners die eind 2004 verscheidene overheidssites platlegden, zeiden aanvankelijk ook dat zij idealistische motieven hadden voor hun aanvallen: ze wilden protesteren tegen het regeringsbeleid. In werkelijkheid ging het de vijf natuurlijk in de eerste plaats om de kick dat zij de digitale dienstverlening van de overheid konden stilleggen.
CB3ROB verdedigde de actie tegen Spamhaus eveneens door er een idealistisch sausje overheen te gieten: de aanval op de spambestrijder zou passen in de strijd voor een vrij internet. Een protest tegen het te strenge beleid (‘censuur’) van Spamhaus.
Het is echter moeilijk voor te stellen dat de Spamhaus-aanvallers louter idealistische motieven hebben. Je hoeft geen enorme cynicus te zijn om de aanval in verband te brengen met de zakelijke belangen van spammers en andere internetcriminelen die Spamhaus het liefst van de aardbodem zien verdwijnen.
Criminelen en hooligans
Volgens Leiderman is een DDoS-aanval een vorm van vrijheid van meningsuiting, maar in de praktijk wordt een DDoS natuurlijk maar al te vaak gebruikt om die vrijheid bij het doelwit van de aanval in te perken. Die beschikt tijdens de aanval immers niet langer over de mogelijkheid om met de rest van de wereld te communiceren.
Tel daar de collateral damage van een DDoS bij op. Denk aan andere websites en providers die eveneens te lijden hebben onder een aanval. Of aan de gehackte machines die worden ingezet om de aanval uit te voeren. LOIC installeren op je pc is één ding; andermans computer kapen en gebruiken voor een protest is andere koek.
Een DDoS-aanval is, kortom, een wel heel vergaand middel om je onvrede te uiten. Activisten doen er daarom verstandig aan om voor een andere protestvorm te kiezen. Wie de DDoS toch inzet als actiemiddel moet accepteren dat dat vergaande consequenties kan hebben. Als je gebruikmaakt van een methode die vooral populair is onder criminelen en hooligans, moet je niet verbaasd zijn als je vervolgens als een misdadiger wordt behandeld.
Het zijn vooral de extreme straffen die raar zijn in dit soort gevallen. Krakers worden pas uit een gebouw gezet na een hele procedure, Greenpeace-blokkades leveren je een lijsttrekkerschap op (oh, hij inhaleerde niet), en een DDoS-aanval zou je plotseling jaren gevangenisstraf op moeten leveren.
Reken maar dat die andere voorbeelden ook "economische schade opleveren".
Reageer
Preview