Brit krijgt twee jaar gevangenis voor aanbieden ddos-dienst en andere misdrijven

Een twintigjarige Britse man heeft een gevangenisstraf van twee jaar gekregen voor het aanbieden van een ddos-dienst onder de naam 'Titanium Stresser', naast andere misdrijven. De betaalde tool werd gebruikt om ongeveer 1,7 miljoen ddos-aanvallen uit te voeren.

De man creëerde de dienst op 15-jarige leeftijd, schrijft The Register. Hij zou in totaal bijna 400.000 pond aan de dienst hebben verdiend. Hij stelde Titanium Stresser beschikbaar voor verschillende prijzen. Zo konden klanten bijvoorbeeld ongeveer driehonderd pond betalen om de dienst 30.000 seconden per maand te gebruiken gedurende een periode van vijf jaar. De tool werd onder andere gebruikt om de diensten van Xbox Live, Teamspeak, Runescape en Minecraft plat te leggen. De man zou de tool in het verleden zelf gebruikt hebben om bijna zeshonderd ddos-aanvallen uit te voeren.

Het bedrijf achter Runescape, Jagex, zou ongeveer zes miljoen pond hebben uitgegeven om zich tegen de ddos-aanvallen te wapenen. In totaal zijn er via de tool meer dan 1,7 miljoen ddos-aanvallen uitgevoerd op ongeveer 666.000 ip-adressen over de hele wereld. De man claimde de tool in eerste instantie te hebben ontwikkeld om Minecraft-servers te stresstesten, waarna de ontwikkeling 'uit de hand liep'. De advocaat van de man schrijft de acties toe aan het feit dat de jongen destijds veel op school werd gepest en dat hij gediagnosticeerd was met het Syndroom van Asperger.

De rechter zei daarover dat hij inzag dat de motivatie voor de daden niet van financiële aard was, maar dat de jongen de acties uitvoerde om 'zich groot, belangrijk en indrukwekkend te voelen'. Desalniettemin zou hij hebben geweten dat hij ernstige misdrijven beging. The Guardian meldt dat de rechter stelde dat 'de straf een afschrikkend effect moet hebben' en dat hij niet wilde afzien van een gevangenisstraf. Uit berichtgeving van de Eastern Region Special Operations Unit komt naar voren dat zijn straf neerkomt op 24 maanden gevangenisstraf voor het zelf uitvoeren van ddos-aanvallen, 9 maanden voor het runnen van de dienst en nog eens 24 maanden voor witwassen. Die straffen zit hij allemaal tegelijk uit.

IT-banen

Reacties (71)

Byte 26 april 2017 11:54

"Het bedrijf achter Minecraft zou ongeveer zes miljoen pond hebben uitgegeven om zich tegen de ddos-aanvallen te wapenen."

Volgens mij is het Jagex (Runescape) die 6 miljoen pond heeft uitgegeven voor het wapenen tegen de aanvallen:

"Jagex, the company behind MMORPG Runescape, reportedly spent £6m trying to fend off Titanium Stresser attacks."

Toevallig speel ik Oldschool Runescape en zag het nieuws al voorbijkomen. Goed dat dit aangepakt wordt.

Edit:
Misschien handig om toe te voegen: wanneer een server van Runescape een dergelijke aanval krijgt, reageert deze niet meer op jouw acties. Dit resulteert vaak in het dood gaan op het spel. Wanneer je dood gaat op Runescape verlies je je spullen. Dit is mij al enkele keren gebeurd. Als workaround heeft Jagex de timer van 3 minuten naar 1 uur gezet dat je jouw items nog op kan pakken, maar in bepaalde instances verlies je alsnog je spullen.

[Reactie gewijzigd door Byte op 6 augustus 2024 18:49]

0xygen500 @Byte • 26 april 2017 12:02

Wat gebeurt er als je in de wildernis dood gaat tijdens zo'n DDOS en iemand anders logt sneller in? Kan die dan jouw spullen pakken?

Byte @0xygen500 • 26 april 2017 12:16

Ik ben zelf geen PK'er (PvP'er), maar ik geloof dat als je de dood gaat door een andere speler de oude timer (2-3 minuten) telt. Dus dan zullen alle items op de grond zichtbaar zijn voor andere spelers en geldt de 1 uur timer dus niet.

[Reactie gewijzigd door Byte op 26 juli 2024 22:55]

True @Byte • 26 april 2017 12:53

Die geldt wel, na die eerste PK timer.

TheUninvited @0xygen500 • 26 april 2017 12:36

Ja vaak wel, ze proberen mensen te lokken om veel risico te nemen en met behulp van bijvoorbeeld DDOS zo aan in-game items te komen door iemand te laten doodgaan zonder dat hij zijn items heeft beschermd. Kan zomaar een paar honderd euro opleveren als je het goed uitvoert, er is een hele zwarte markt omtrent dat spel en andere MMORPG's in het algemeen waardoor er veel scams zijn. Denk dat DDOSes in het algemeen worden uitgevoerd om daar profijt van te hebben, dus dit zal met deze veroordeling weinig oplossen omdat er nog steeds veel geld valt te verdienen hiermee.

Baris @0xygen500 • 26 april 2017 15:01

Dat kan. Daarom geldt voor de wilderness ook de vuistregel: don't bring items to the wilderness that you aren't prepared to lose

Auteur

duqu @Byte • 26 april 2017 14:18

Oops, dat moet uiteraard Runescape zijn! Dank. Is aangepast.

Sunnie 26 april 2017 11:50

Is hij nou veroordeeld voor het aanbieden van de ddos-dienst, of het zelf gebruiken ervan om aanvallen uit te voeren? Mocht hij veroordeeld zijn voor het aanbieden van deze dienst, dan vind ik deze straf echt exorbitant, zeker gezien zijn persoonlijke situatie.

Verwijderd @Sunnie • 26 april 2017 11:53

Of je leest even: "He had pleaded guilty to two charges under the Computer Misuse Act and one charge of concealing criminal property."

biglia @Verwijderd • 26 april 2017 13:21

Die titanium stressor service runnen leverde hem maar 9 maanden. Zijn geld witwassen en zelf DDoS'en leverde hem de grootste straf op:

“Today, he was sentenced to 24 months imprisonment for his own DDoS attacks, nine months for running a titanium stressor service and 24 months for money laundering the proceeds made from the stressor service, all to run concurrently,” reads a press release issued by the Eastern Region Special Operations Unit (ERSOU), an anti-cybercrime unit that worked with the U.K.’s National Crime Agency to investigate Mudd.

Het kon nog erger:

Detective Chief Inspector Martin Peters of the ERSOU’s Regional Crime Unit recalled that at sentencing the judge said the defendant likely would have received six years if he’d been tried as an adult and if he had no medical issues. Mudd had been slated to be sentenced last week, but that hearing was delayed until today after the court heard medical testimony on Mudd’s apparent struggles with autism.

bron: https://krebsonsecurity.c...-hire-service/#more-38273

[Reactie gewijzigd door biglia op 6 augustus 2024 18:49]

djwice

@biglia • 27 april 2017 23:07

Dus 24+9+24= 4 jaar en 9 maanden cel, totaal. Niet 2 jaar zoals de kop van dit Tweakers artikel suggereerd?!

Sterker nog voor het aanbieden van de dienst dus 9 maanden en geen 2 jaar zoals de kop zegt?!

[Reactie gewijzigd door djwice op 27 juli 2024 01:44]

3x3 @Sunnie • 26 april 2017 11:54

Vanwege de aard van ddos aanvallen zou het ook niet gek zijn dat de nu 20 jarige Britse man ook de aanvallen faciliteerde.

Nazgoroth @Sunnie • 26 april 2017 11:54

Voor zover ik tot nu toe gelezen heb uit verschillende bronnen heeft de veroordeelde het programma / tooltje? geschreven en vervolgens te koop/lease aangeboden als dienst aan wie wou.

Het schrijven van zoiets is een ding, er eigenlijk een business plan omheen ontwikkelen toch wel iets anders.

[Reactie gewijzigd door Nazgoroth op 6 augustus 2024 18:49]

lukjah @Nazgoroth • 26 april 2017 12:30

Hij DDOS de slachtoffers nog steeds zelf. Hij laat alleen de hoogste bieder bepalen wie hij "hackt"

Verwijderd @Sunnie • 26 april 2017 12:33

Hij heeft zowel de tool zelf gebruikt als aangeboden. Voor welke van de twee hij dan ook veroordeeld is, ik vind de straf juist buitensporig laag.

De schade is enorm. Vele duizenden websites geplaagd en op kosten gejaagd. En daar nog geld mee verdienen ook. Ik kan er geen sympathie voor opbrengen.

Sissors @Sunnie • 26 april 2017 12:45

Wat is volgens jou precies het verschil tussen het DDOS'en van diensten omdat je het zelf leuk vind, en het DDOS'en van diensten omdat iemand jou betaald het te doen. En dan lijkt me die tweede eerder nog ernstiger dan de eerste. Die eerste is ook natuurlijk fout, maar dat kan je nog op baldadig gedrag gooien (met (financiele) consequenties voor velen), maar dat tweede is sowieso crimineel.

Voor de duidelijkheid: Hij bood een dienst aan, niet een programma ofzo wat de gebruiker kon downloaden.

Jeroen73 @Sunnie • 26 april 2017 12:56

...dan vind ik deze straf echt exorbitant, zeker gezien zijn persoonlijke situatie.

Ik weet dat gepest worden niet leuk is en ik begrijp dat Asperger het allemaal nog moeilijker maakt, maar tegen de tijd dat je vier ton verdiend hebt met criminele activiteiten en wereldwijd voor miljoenen aan schade hebt toegebracht, dan ben je toch echt flink over de grens heen van wat nog vergeeflijk is. Ik hoop dat hij in de gevangenis de hulp gaat krijgen die hij al eerder nodig had.

Vayra @Sunnie • 26 april 2017 13:22

Ik vind de straf te laag. Dit is moedwillig, langdurig en zeer actief schade toebrengen. Daar kan je niet mee wegkomen door even te zeggen dat je zielig bent.

Northside @Sunnie • 26 april 2017 14:15

Is gewoon het faciliteren van misdrijven. Ik vind het niet anders dan bijvoorbeeld het verkopen van illegale wapens die vervolgens bij een overval gebruikt worden. Straf is volkomen terecht. Wat had jij dan een passende straf gevonden, 40 uur schoffelen ofzo?

Ik denk wel dat deze jongen een hele vervelende tijd tegemoet gaat in de gevangenis. Gepest worden gaat daar een hele nieuwe betekenis krijgen.

mashell @Sunnie • 26 april 2017 14:25

Mocht hij veroordeeld zijn voor het aanbieden van deze dienst, dan vind ik deze straf echt exorbitant, zeker gezien zijn persoonlijke situatie.

Het lijkt me logischer dat de aanbieder van de dienst (de eigenlijke criminele organisatie) zwaarder wordt gestraft dan een gebruiker. Asperger is geen excuus, mensen met Asperger weten heel goed wat wel en niet mag (waarschijnlijk zelfs beter dan een niet Asperger patient) en tja dat pesten. Dat je zelf gepest wordt kan natuurlijk geen excuus zijn om een tool te ontwikkelen waarmee je websites en hun gebruikers te gaan pesten, eerder in tegendeel.
Als we internet belangrijk vinden, sommigen vinden het zelfs een eerste levensbehoefte of een grondrecht, tja dan wordt het verstoren daarvan ook zwaar bestaft.

Whatts @mashell • 26 april 2017 15:01

Ik ben het grotendeels met je eens, alleen mogen van mij de aanbieder en de gebruiker evenredig gestraft worden. Zonder vraag is er ook geen aanbod.

Sunnie @mashell • 26 april 2017 15:03

Dus een ieder die een dienst aanbied die mogelijk op een criminele wijze gebruikt kan worden moet maar worden veroordeeld? In dit specifieke voorbeeld gaat dat weliswaar niet op, omdat hij zijn 'ddos-dienst' ook zelf aanwendde voor crimineel gebruik, wat zijn valkuil is geweest. Als er geen bewijs was geweest dat hij zijn eigen dienst zelf had gebruikt voor foute doeleinden, wat is er dan strafbaar aan het tooltje wat hij heeft ontwikkeld? Er zijn toch meerdere van deze 'stresstests' op de markt?

mashell @Sunnie • 26 april 2017 15:35

Bij de rechter gaat het nooit om dit soort technische detals (net zoals bij dat een .torrent slechts een link is) maar gaat het om de intentie. En dit tool is dus niet bedoeld als onschuldige stresstest voor systeembeheerder maar als DDOS machine.

Alxndr

26 april 2017 11:51

wat ik me altijd afvraag bij dit soort artikelen, hebben ze ook een "pluk-ze" wet of iets dergelijks, of mag/kan hij die 4 ton gewoon houden? Kan wel uit dan, 2 jaar brommen a 2 ton per jaar.

Qwerty-273 @Alxndr • 26 april 2017 12:00

De UK heeft de Proceeds of Crime Act 2002 ( https://en.wikipedia.org/wiki/Proceeds_of_Crime_Act_2002 of http://www.legislation.gov.uk/ukpga/2002/29/contents ) die vergelijkbaar is met de Plukze-wetgeving in NL.

SinergyX @Alxndr • 26 april 2017 12:01

Ik denk dat hij aardig wat van dat geld al heeft uitgegeven, of heeft omgezet naar bitcoins, zal best dat hij nog wat rechtelijke kosten moet betalen.

Het is in de basis maar trouwens 1 jaar, andere jaar is voorwaardelijk, kans dat hij die dus niet hoeft uit te zitten (en gezien de 'oorzaak' die de advocaat aanhaalt, pesten en asperger, nog vrij groot ook).

Edit, volgens bron, buiten geld en PayPal dus ook:
including 249.81 Bitcoins

Die dus vrolijk van hem blijven.

[Reactie gewijzigd door SinergyX op 6 augustus 2024 18:49]

laptopleon @SinergyX • 26 april 2017 15:33

Ik kan uit de tekst alleen opmaken dat tijdens het onderzoek precies bekend is geworden wat aan hem betaald is voor het DDOS-en. Er staat niet dat hij dat geld mag houden. Ik heb geen verstand van de Engelse wet maar zo'n artikel vertelt nooit alle details. Het ligt niet voor de hand dat hij het mag houden aangezien hij veroordeelt is voor de illegale dienst waar hij het mee verdiend heeft. Het is - in Nederland - gebruikelijk dat illegale inkomsten middels een boete of inbeslagname geconfisqueerd worden. Het principe wat hierbij gehanteerd wordt is dat misdaad niet mag lonen.

SinergyX @laptopleon • 26 april 2017 15:43

Uiteraard zal dit worden afgenomen, mits het kan worden afgenomen. Hij had honderden PayPal accounts, zal me niets verbazen dat hij ook aantal bitcoin accounts heeft. Nu is PayPal nog wel te achterhalen, maar bitcoin kan je niets mee beginnen, hij zal z'n wachtwoord toch nooit afgeven.

Daarnaast kan hij al genoeg hebben uitgegeven, zolang niet 100% is vast te stellen wat hij heeft binnengekregen (en daarvan is uitgegeven), hoe bepaal je dan hoeveel hij 'terug' moet geven?

Goed, heb je nog je claimcultuur voor de bedrijven die flink moesten investeren in anti-ddos, maar is dat 1 op 1 hem aan te schrijven? Er zijn talloze ddos services, dat hij nu gepakt is, kan je hem niet 100% verantwoordelijk stellen voor die 'schade'.

Kom je uiteindelijk op een kale kip principe, terwijl hij achter de schermen nog steeds bij z'n centjes kan komen die niet bekend zijn.

laptopleon @SinergyX • 27 april 2017 14:03

Nogmaals, het artikel geeft hierover geen hints, dus het blijft speculeren maar dit is toch iets te kort door de bocht.

Inderdaad kunnen slachtoffers nu claims indienen, want hij is schuldig bevonden. Als zijn software een uniek patroon of herkenbare aanpak heeft of hij gebruikte steeds dezelfde IP-adressen en daar zijn logs van (als ik het goed begrijp), dan is zijn betrokkenheid eenvoudig te bewijzen. Uitgaven van slachtoffers kunnen niet 1:1 omgezet worden in claims, maar als een webwinkel een week uit de lucht is geweest, is het vrij eenvoudig de gemiddelde misgelopen omzet te berekenen. Kosten die gemaakt zijn om de schade te beperken, zoals betere hosting en IT-specialisten inhuren kan ook aardig in de papieren lopen en het zou goed kunnen dat de rechter dit als rechtstreeks gevolg van het DDOS-en ook als schade toekent. Aangezien hij meer dan een miljoen IP-adressen geDDOSt heeft, zijn er allicht bedrijven bij de aanzienlijke bedragen zijn misgelopen en dito kosten hebben moeten maken.

Dat hij nu niet genoeg geld heeft om schadevergoeding te betalen wil nog niet zeggen dat er niets te halen valt. In Nederland althans kan er nog een aantal jaar beslag op een groot deel van je inkomsten worden gelegd.

Sowieso is het geen kale kip als hij een vermogen aan bitcoins heeft. Als er bekend is dat je vermogen bezit (in bitcoins of anders) heeft maar weigert te betalen, kan je in Nederland uiteindelijk ook gegijzeld worden. Oftewel hij moet dan de cel in tot een maximum periode of tot hij alsnog betaalt.

Volgens The Register is er, behalve de bitcoins, nog £ 386.000 aan hem betaald. Dat is best veel om echt op te maken. Grote kans dus dat daar een aanzienlijk deel van over is, in cash op een bankrekening of in de vorm van goederen, aandelen etc. Misschien heeft hij er wel een huis van gekocht, of andere zaken zoals een dure auto. Dat is typisch vermogen dat onder de 'pluk ze' wetgeving ook ingenomen kunnen worden. Verder is het goed mogelijk dat hij ook legale inkomsten heeft gehad, die kan hij ook kwijtraken, niet alleen de illegale inkomsten.

[Reactie gewijzigd door laptopleon op 6 augustus 2024 18:49]

zipje_en_zopje @Alxndr • 26 april 2017 13:11

Die "pluk ze" regel is nog het minst van zijn zorgen. Met al een strafrechtelijke veroordeling is het nu voor de schadelijders (Microsoft!) peanuts om een claim in te dienen voor terugbetaling van de schade.

Verwijderd @zipje_en_zopje • 26 april 2017 14:56

Yep, in Nederland zou ik me in zo'n geval dus als ik uit de bak kwam voorlopig nergens bij een gemeente inschrijven zodat dagvaardingen niet te betekenen zijn. Ik weet niet hoe dat in Engeland wekt.

Alxndr

@zipje_en_zopje • 26 april 2017 15:10

succes daarmee, de schade loopt in de miljoenen, deze jongen verdient in zijn leven waarschijnlijk niet eens genoeg om de proceskosten te kunnen betalen

Verwijderd @Alxndr • 26 april 2017 11:54

Dat is inderdaad iets wat ik mij nu ook afvraag. Wat is er gebeurt met de 400.000 pond?

Northside @Alxndr • 26 april 2017 14:18

Ik denk dat hij een uiterst onplezierige tijd tegemoet gaat in de gevangenis. Zelfs 6 maanden zeepjes oprapen in de douches daar is mij geen 4 ton waard.

Verwijderd @Northside • 26 april 2017 14:55

Het is een Britse en geen Amerikaanse gevangenis hoor.

Northside @Verwijderd • 26 april 2017 14:57

Oh, in Britse gevangenissen zijn het wel allemaal aardige jongens?

Verwijderd @Northside • 26 april 2017 15:00

Nee, maar het is er niet zo erg als in de commerciele slavenkampen gevangenissen in de USA. Engeland zit (nog) in de EU, de mensenrechten bepalingen zouden anders al lang in stelling gebracht zijn.

evilution @Verwijderd • 26 april 2017 16:44

Ik zou nog niet eens in een Nederlandse gevangenis willen verblijven. Maar goed, daarom houd ik mij afzijdig van criminaliteit

Verwijderd @evilution • 26 april 2017 18:45

Oh, ik zou er ook niet voor m'n lol gaan zitten hoor. Verveling is het ergste daar, daar kan ik erg slecht tegen. Maar het haalt het niet bij de 3e wereld toestanden die je in de USA tegenkomt.

Outerspace Moderator General Chat + Wonen & Mobiliteit 26 april 2017 11:54

Under current British sentencing laws Mudd will spend one year behind bars and the second year of his sentence out on licence. ®

Dus meneer heeft 1 jaar gevangenisstraf en 1 jaar voorwaardelijk. Ik ben tevens benieuwd of hij de kosten, die de andere bedrijven hebben gemaakt, ook terug moet betalen (en zijn verdiensten via paypal / bitcoins). Daar lees je helaas niks over (ook niet bij The Register).

DonChaot @Outerspace • 26 april 2017 12:09

Ik ben wel benieuwd of justitie ook achter de mensen aan gaat die de dienst hebben afgenomen, die lijken mij net zo erg.

YopY @DonChaot • 26 april 2017 13:58

Mogelijk, maar waarschijnlijk kijken ze alleen of het Engelse daders zijn, zo niet sturen ze hun bewijs naar bijv. Interpol op, dan wordt het een internationale zaak. Die zijn vaak best lastig, ivm jurisdictie en internationaal strafrecht enzo.

Da's bijvoorbeeld de reden waarom Nederlanders over het algemeen niet aangeklaagd worden voor bijv. piraterij van US series.

Xfade @DonChaot • 26 april 2017 17:59

Ook benieuwd of dit uberhaupt te achterhalen is.

Rob_03 @Outerspace • 26 april 2017 13:17

Het is soms handiger om eerste justitie de startzaak te laten afhandelen en als de uitspraak er is er met een civiele rechtszaak achteraan te komen. Dat wil overigens dan weer niet zeggen dat er ook een veroordeling volgt voor alle geleden schade etc.

MadButcher 26 april 2017 12:26

Terrecht dat bewuste DDOS-ers en andere internetcriminelen hard worden aangepakt.
Het zijn criminelen. Ze zijn een grote plaag.

Finger 26 april 2017 13:06

Toch best knap als je dat op weet te zetten met 15jaar.

SeelenSchmerz 26 april 2017 13:24

Hij had zijn ddos-dienst wellicht beter als legale stresstest-dienst aan kunnen bieden. Dat had hem mogelijk ook nog meer geld op kunnen leveren.

Carni 26 april 2017 13:49

De misdaad zelf is toch eigenlijk gepleegd op minderjarige leeftijd van 15 jaar? Of geld dat, wanneer je jaren later pas gepakt wordt en inmiddels meerderjarig bent, je als volwassene berecht wordt? In dat geval is het balen voor hem dat het zo lang geduurd heeft en hij er niet met een:"Foei jongen!"vanaf komt.

Verwijderd @Carni • 26 april 2017 13:54

De misdaad was nog steeds gaande

Carni @Verwijderd • 26 april 2017 14:04

Tja, als iemand op zijn 15de een moord pleegt is het slachtoffer ook nog steeds dood als hij 18 is. Met virus schrijven is dat toch altijd vaag. De een schrijft een virus en veroorzaakt nauwelijks schade, en een ander veroorzaakt miljoenen aan schade. In basis deden ze allebei het zelfde maar word er compleet verschillend veroordeeld. Ik heb verder totaal geen verstand van recht, maar vroeg me dit wel vaker af wanneer ik zoiets lees. In geval van net minderjarig zou het voor het OM misschien zelf interessant zijn om te wachten tot de dader meerderjarig is?

Troubled @Carni • 26 april 2017 15:35

Wat is er vaag aan? Als je op iemand schiet maakt het ook uit of je hem door zijn hoofd schiet of in zijn arm raakt. Als je een virus naar iemand stuurt val je iemand ook aan zonder dat je weet hoeveel schade het doet.

Verwijderd 26 april 2017 14:58

4 ton opbrangst voor zoiets? Da's gauw verdiend, dat is wel verleidelijk. Alleen het anonieme gedeelte wat beter aanpakken: betalingen alleen in bitcoin en zo, communicatie via Freenet of Tor sites.

mutley69 26 april 2017 21:34

2 jaar is echt veel te licht gestraft. DDoS-en kost immers erg veel geld en vooral veel tijdsverlies en ergernis. Maar goed er is al gestraft - daar alleen al moeten we blij om zijn. Zelfs voor moord gaat men tegenwoordig bijna vrijuit.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: