Column


IT-jurist Peter van Schelven over...

Celstraf voor DDoS-aanvallen

Enige weken terug heeft de Rotterdamse rechtbank een verdachte veroordeeld tot celstraf voor strafbare betrokkenheid bij het uitvoeren van langdurige reeksen van DDoS-aanvallen. Het vonnis leverde de persoon in kwestie een veroordeling tot 240 dagen gevangenis op, waarvan 55 dagen echt moeten worden uitgezeten en de overige 185 dagen slechts als hij binnen een proeftijd van twee jaar alsnog in de fout gaat.

De uitspraak van de rechtbank is te zien als een aardige overwinning van justitie in de strijd tegen cybercriminaliteit. De veroordeelde werkte samen met anderen aan enkele forse DDoS-aanvallen, maar uit de uitspraak blijkt dat hij feitelijk niet aan de knoppen heeft gezeten toen de DDoS-aanvallen in het voorjaar van 2013 werden uitgevoerd. De aanvallen waren namelijk daadwerkelijk door een ander uitgevoerd.

De rechtbank zag daarin geen beletsel om de man in kwestie strafbaar te achten. De strafrechter oordeelde dat de verdachte een zodanig forse ‘intellectuele bijdrage’ aan de verwezenlijking van de DDoS-aanvallen heeft geleverd, dat hij als medepleger moet worden aangemerkt. In de strafrechtelijke strijd tegen cybercriminaliteit is het een winstpunt dat de strafrechter oordeelt dat ook een ‘intellectuele bijdrage’ als waarvan in deze zaak sprake was, niet door de beugel kan.

Spamhaus
De DDoS-aanvallen waarover de strafrechter zich moest buigen, waren gericht tegen de website en diensten van Spamhaus, een wereldwijd bekende organisatie die sinds 1998 ontwikkelingen op het gebied van spam volgt, een zwarte lijst van grote spammers voert en informatie biedt om mailservers en netwerken te beveiligen. Door de DDoS-aanvallen is de website van Spamhaus enige tijd onbereikbaar geworden en soms reageerde deze daardoor zeer traag.

Uit de uitspraak blijkt dat ook de diensten van andere internetserviceproviders, zoals Cloudflare, zijn aangevallen, waardoor ook voor anderen het internet- en emailverkeer verstoord werd.

Geen volledige controle
Waaraan heeft de veroordeelde zich precies schuldig gemaakt? Uit het vonnis blijkt dat hij anderen door middel van chatcommunicatie opdrachten heeft gegeven en dat hij informatie, zoals IP-adressen, heeft verstrekt aan degenen die de aanvallen daadwerkelijk uitvoerden. Dat was uiteraard fout gedrag. De rechtbank kende tevens grote betekenis toe aan het feit dat hij – ook in chatcontacten met derden – veelal in de ‘wij-vorm’ sprak. Daarmee heeft de veroordeelde laten blijken dat sprake was van een groep waarvan hij deel uitmaakte. De inhoud van de contacten die hij had, wekken in ieder geval het beeld dat hij een zekere zeggenschap had over wat er in de groep gebeurde.

Een belangrijk punt van het strafvonnis is dat de rechtbank oordeelt dat het feit dat hij niet op ieder moment de volledige controle had over wat er in de groep gebeurde, zijn gedrag niet minder laakbaar maakt. Het betrof, aldus de rechtbank, een van de grootste DDoS-aanvallen in de geschiedenis. In de strijd tegen cybercriminaliteit is het een winstpunt dat volledige betrokkenheid van de verdachte dus niet nodig is om tot een strafrechtelijke veroordeling te kunnen komen.

IP-hijack
Op één ander punt ging de verdachte vrijuit. De rechtbank vond dat de verdachte ook nog betrokken was bij een zogeheten ‘IP-hijack’, als gevolg waarvan e-mailberichten ten onrechte als spam werden aangemerkt. De dagvaarding van de officier van justitie was op dit punt echter zo gebrekkig, dat de rechtbank ten aanzien van die betrokkenheid geen veroordeling kon uitspreken.

Ook op nog een ander punt gaf de rechtbank justitie een tikje op de vingers. De rechtbank oordeelde dat het onderzoek dat in deze zaak was uitgevoerd te lang had geduurd. Als dat anders zou zijn geweest, dan had een langere celstraf voor de hand gelegen. Met 55 dagen ‘zitten’ komt de veroordeelde er al met al nog tamelijk goed vanaf.


Lees meer over