Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 71 reacties

Een twintigjarige Britse man heeft een gevangenisstraf van twee jaar gekregen voor het aanbieden van een ddos-dienst onder de naam 'Titanium Stresser', naast andere misdrijven. De betaalde tool werd gebruikt om ongeveer 1,7 miljoen ddos-aanvallen uit te voeren.

De man creëerde de dienst op 15-jarige leeftijd, schrijft The Register. Hij zou in totaal bijna 400.000 pond aan de dienst hebben verdiend. Hij stelde Titanium Stresser beschikbaar voor verschillende prijzen. Zo konden klanten bijvoorbeeld ongeveer driehonderd pond betalen om de dienst 30.000 seconden per maand te gebruiken gedurende een periode van vijf jaar. De tool werd onder andere gebruikt om de diensten van Xbox Live, Teamspeak, Runescape en Minecraft plat te leggen. De man zou de tool in het verleden zelf gebruikt hebben om bijna zeshonderd ddos-aanvallen uit te voeren.

Het bedrijf achter Runescape, Jagex, zou ongeveer zes miljoen pond hebben uitgegeven om zich tegen de ddos-aanvallen te wapenen. In totaal zijn er via de tool meer dan 1,7 miljoen ddos-aanvallen uitgevoerd op ongeveer 666.000 ip-adressen over de hele wereld. De man claimde de tool in eerste instantie te hebben ontwikkeld om Minecraft-servers te stresstesten, waarna de ontwikkeling 'uit de hand liep'. De advocaat van de man schrijft de acties toe aan het feit dat de jongen destijds veel op school werd gepest en dat hij gediagnosticeerd was met het Syndroom van Asperger.

De rechter zei daarover dat hij inzag dat de motivatie voor de daden niet van financiële aard was, maar dat de jongen de acties uitvoerde om 'zich groot, belangrijk en indrukwekkend te voelen'. Desalniettemin zou hij hebben geweten dat hij ernstige misdrijven beging. The Guardian meldt dat de rechter stelde dat 'de straf een afschrikkend effect moet hebben' en dat hij niet wilde afzien van een gevangenisstraf. Uit berichtgeving van de Eastern Region Special Operations Unit komt naar voren dat zijn straf neerkomt op 24 maanden gevangenisstraf voor het zelf uitvoeren van ddos-aanvallen, 9 maanden voor het runnen van de dienst en nog eens 24 maanden voor witwassen. Die straffen zit hij allemaal tegelijk uit.

Moderatie-faq Wijzig weergave

Reacties (71)

"Het bedrijf achter Minecraft zou ongeveer zes miljoen pond hebben uitgegeven om zich tegen de ddos-aanvallen te wapenen."

Volgens mij is het Jagex (Runescape) die 6 miljoen pond heeft uitgegeven voor het wapenen tegen de aanvallen:

"Jagex, the company behind MMORPG Runescape, reportedly spent 6m trying to fend off Titanium Stresser attacks."

Toevallig speel ik Oldschool Runescape en zag het nieuws al voorbijkomen. Goed dat dit aangepakt wordt.

Edit:
Misschien handig om toe te voegen: wanneer een server van Runescape een dergelijke aanval krijgt, reageert deze niet meer op jouw acties. Dit resulteert vaak in het dood gaan op het spel. Wanneer je dood gaat op Runescape verlies je je spullen. Dit is mij al enkele keren gebeurd. Als workaround heeft Jagex de timer van 3 minuten naar 1 uur gezet dat je jouw items nog op kan pakken, maar in bepaalde instances verlies je alsnog je spullen.

[Reactie gewijzigd door Rickpwns op 26 april 2017 12:01]

Wat gebeurt er als je in de wildernis dood gaat tijdens zo'n DDOS en iemand anders logt sneller in? Kan die dan jouw spullen pakken?
Ik ben zelf geen PK'er (PvP'er), maar ik geloof dat als je de dood gaat door een andere speler de oude timer (2-3 minuten) telt. Dus dan zullen alle items op de grond zichtbaar zijn voor andere spelers en geldt de 1 uur timer dus niet.

[Reactie gewijzigd door Rickpwns op 26 april 2017 12:33]

Die geldt wel, na die eerste PK timer.
Ja vaak wel, ze proberen mensen te lokken om veel risico te nemen en met behulp van bijvoorbeeld DDOS zo aan in-game items te komen door iemand te laten doodgaan zonder dat hij zijn items heeft beschermd. Kan zomaar een paar honderd euro opleveren als je het goed uitvoert, er is een hele zwarte markt omtrent dat spel en andere MMORPG's in het algemeen waardoor er veel scams zijn. Denk dat DDOSes in het algemeen worden uitgevoerd om daar profijt van te hebben, dus dit zal met deze veroordeling weinig oplossen omdat er nog steeds veel geld valt te verdienen hiermee.
Dat kan. Daarom geldt voor de wilderness ook de vuistregel: don't bring items to the wilderness that you aren't prepared to lose
Oops, dat moet uiteraard Runescape zijn! Dank. Is aangepast.
Is hij nou veroordeeld voor het aanbieden van de ddos-dienst, of het zelf gebruiken ervan om aanvallen uit te voeren? Mocht hij veroordeeld zijn voor het aanbieden van deze dienst, dan vind ik deze straf echt exorbitant, zeker gezien zijn persoonlijke situatie.
Of je leest even: "He had pleaded guilty to two charges under the Computer Misuse Act and one charge of concealing criminal property."
Die titanium stressor service runnen leverde hem maar 9 maanden. Zijn geld witwassen en zelf DDoS'en leverde hem de grootste straf op:

“Today, he was sentenced to 24 months imprisonment for his own DDoS attacks, nine months for running a titanium stressor service and 24 months for money laundering the proceeds made from the stressor service, all to run concurrently,” reads a press release issued by the Eastern Region Special Operations Unit (ERSOU), an anti-cybercrime unit that worked with the U.K.’s National Crime Agency to investigate Mudd.

Het kon nog erger:

Detective Chief Inspector Martin Peters of the ERSOU’s Regional Crime Unit recalled that at sentencing the judge said the defendant likely would have received six years if he’d been tried as an adult and if he had no medical issues. Mudd had been slated to be sentenced last week, but that hearing was delayed until today after the court heard medical testimony on Mudd’s apparent struggles with autism.

bron: https://krebsonsecurity.c...-hire-service/#more-38273

[Reactie gewijzigd door biglia op 26 april 2017 13:22]

Dus 24+9+24= 4 jaar en 9 maanden cel, totaal. Niet 2 jaar zoals de kop van dit Tweakers artikel suggereerd?!

Sterker nog voor het aanbieden van de dienst dus 9 maanden en geen 2 jaar zoals de kop zegt?!

[Reactie gewijzigd door djwice op 27 april 2017 23:09]

Vanwege de aard van ddos aanvallen zou het ook niet gek zijn dat de nu 20 jarige Britse man ook de aanvallen faciliteerde.
Voor zover ik tot nu toe gelezen heb uit verschillende bronnen heeft de veroordeelde het programma / tooltje? geschreven en vervolgens te koop/lease aangeboden als dienst aan wie wou.

Het schrijven van zoiets is een ding, er eigenlijk een business plan omheen ontwikkelen toch wel iets anders.

[Reactie gewijzigd door Nazgoroth op 26 april 2017 11:55]

Hij DDOS de slachtoffers nog steeds zelf. Hij laat alleen de hoogste bieder bepalen wie hij "hackt"
Hij heeft zowel de tool zelf gebruikt als aangeboden. Voor welke van de twee hij dan ook veroordeeld is, ik vind de straf juist buitensporig laag.

De schade is enorm. Vele duizenden websites geplaagd en op kosten gejaagd. En daar nog geld mee verdienen ook. Ik kan er geen sympathie voor opbrengen.
Wat is volgens jou precies het verschil tussen het DDOS'en van diensten omdat je het zelf leuk vind, en het DDOS'en van diensten omdat iemand jou betaald het te doen. En dan lijkt me die tweede eerder nog ernstiger dan de eerste. Die eerste is ook natuurlijk fout, maar dat kan je nog op baldadig gedrag gooien (met (financiele) consequenties voor velen), maar dat tweede is sowieso crimineel.

Voor de duidelijkheid: Hij bood een dienst aan, niet een programma ofzo wat de gebruiker kon downloaden.
...dan vind ik deze straf echt exorbitant, zeker gezien zijn persoonlijke situatie.
Ik weet dat gepest worden niet leuk is en ik begrijp dat Asperger het allemaal nog moeilijker maakt, maar tegen de tijd dat je vier ton verdiend hebt met criminele activiteiten en wereldwijd voor miljoenen aan schade hebt toegebracht, dan ben je toch echt flink over de grens heen van wat nog vergeeflijk is. Ik hoop dat hij in de gevangenis de hulp gaat krijgen die hij al eerder nodig had.
Ik vind de straf te laag. Dit is moedwillig, langdurig en zeer actief schade toebrengen. Daar kan je niet mee wegkomen door even te zeggen dat je zielig bent.
Is gewoon het faciliteren van misdrijven. Ik vind het niet anders dan bijvoorbeeld het verkopen van illegale wapens die vervolgens bij een overval gebruikt worden. Straf is volkomen terecht. Wat had jij dan een passende straf gevonden, 40 uur schoffelen ofzo?

Ik denk wel dat deze jongen een hele vervelende tijd tegemoet gaat in de gevangenis. Gepest worden gaat daar een hele nieuwe betekenis krijgen.
Mocht hij veroordeeld zijn voor het aanbieden van deze dienst, dan vind ik deze straf echt exorbitant, zeker gezien zijn persoonlijke situatie.
Het lijkt me logischer dat de aanbieder van de dienst (de eigenlijke criminele organisatie) zwaarder wordt gestraft dan een gebruiker. Asperger is geen excuus, mensen met Asperger weten heel goed wat wel en niet mag (waarschijnlijk zelfs beter dan een niet Asperger patient) en tja dat pesten. Dat je zelf gepest wordt kan natuurlijk geen excuus zijn om een tool te ontwikkelen waarmee je websites en hun gebruikers te gaan pesten, eerder in tegendeel.
Als we internet belangrijk vinden, sommigen vinden het zelfs een eerste levensbehoefte of een grondrecht, tja dan wordt het verstoren daarvan ook zwaar bestaft.
Ik ben het grotendeels met je eens, alleen mogen van mij de aanbieder en de gebruiker evenredig gestraft worden. Zonder vraag is er ook geen aanbod.
Dus een ieder die een dienst aanbied die mogelijk op een criminele wijze gebruikt kan worden moet maar worden veroordeeld? In dit specifieke voorbeeld gaat dat weliswaar niet op, omdat hij zijn 'ddos-dienst' ook zelf aanwendde voor crimineel gebruik, wat zijn valkuil is geweest. Als er geen bewijs was geweest dat hij zijn eigen dienst zelf had gebruikt voor foute doeleinden, wat is er dan strafbaar aan het tooltje wat hij heeft ontwikkeld? Er zijn toch meerdere van deze 'stresstests' op de markt?
Bij de rechter gaat het nooit om dit soort technische detals (net zoals bij dat een .torrent slechts een link is) maar gaat het om de intentie. En dit tool is dus niet bedoeld als onschuldige stresstest voor systeembeheerder maar als DDOS machine.
wat ik me altijd afvraag bij dit soort artikelen, hebben ze ook een "pluk-ze" wet of iets dergelijks, of mag/kan hij die 4 ton gewoon houden? Kan wel uit dan, 2 jaar brommen a 2 ton per jaar.
De UK heeft de Proceeds of Crime Act 2002 ( https://en.wikipedia.org/wiki/Proceeds_of_Crime_Act_2002 of http://www.legislation.gov.uk/ukpga/2002/29/contents ) die vergelijkbaar is met de Plukze-wetgeving in NL.
Ik denk dat hij aardig wat van dat geld al heeft uitgegeven, of heeft omgezet naar bitcoins, zal best dat hij nog wat rechtelijke kosten moet betalen.

Het is in de basis maar trouwens 1 jaar, andere jaar is voorwaardelijk, kans dat hij die dus niet hoeft uit te zitten (en gezien de 'oorzaak' die de advocaat aanhaalt, pesten en asperger, nog vrij groot ook).

Edit, volgens bron, buiten geld en PayPal dus ook:
including 249.81 Bitcoins

Die dus vrolijk van hem blijven.

[Reactie gewijzigd door SinergyX op 26 april 2017 12:03]

Ik kan uit de tekst alleen opmaken dat tijdens het onderzoek precies bekend is geworden wat aan hem betaald is voor het DDOS-en. Er staat niet dat hij dat geld mag houden. Ik heb geen verstand van de Engelse wet maar zo'n artikel vertelt nooit alle details. Het ligt niet voor de hand dat hij het mag houden aangezien hij veroordeelt is voor de illegale dienst waar hij het mee verdiend heeft. Het is - in Nederland - gebruikelijk dat illegale inkomsten middels een boete of inbeslagname geconfisqueerd worden. Het principe wat hierbij gehanteerd wordt is dat misdaad niet mag lonen.
Uiteraard zal dit worden afgenomen, mits het kan worden afgenomen. Hij had honderden PayPal accounts, zal me niets verbazen dat hij ook aantal bitcoin accounts heeft. Nu is PayPal nog wel te achterhalen, maar bitcoin kan je niets mee beginnen, hij zal z'n wachtwoord toch nooit afgeven.

Daarnaast kan hij al genoeg hebben uitgegeven, zolang niet 100% is vast te stellen wat hij heeft binnengekregen (en daarvan is uitgegeven), hoe bepaal je dan hoeveel hij 'terug' moet geven?

Goed, heb je nog je claimcultuur voor de bedrijven die flink moesten investeren in anti-ddos, maar is dat 1 op 1 hem aan te schrijven? Er zijn talloze ddos services, dat hij nu gepakt is, kan je hem niet 100% verantwoordelijk stellen voor die 'schade'.

Kom je uiteindelijk op een kale kip principe, terwijl hij achter de schermen nog steeds bij z'n centjes kan komen die niet bekend zijn.
Nogmaals, het artikel geeft hierover geen hints, dus het blijft speculeren maar dit is toch iets te kort door de bocht.

Inderdaad kunnen slachtoffers nu claims indienen, want hij is schuldig bevonden. Als zijn software een uniek patroon of herkenbare aanpak heeft of hij gebruikte steeds dezelfde IP-adressen en daar zijn logs van (als ik het goed begrijp), dan is zijn betrokkenheid eenvoudig te bewijzen. Uitgaven van slachtoffers kunnen niet 1:1 omgezet worden in claims, maar als een webwinkel een week uit de lucht is geweest, is het vrij eenvoudig de gemiddelde misgelopen omzet te berekenen. Kosten die gemaakt zijn om de schade te beperken, zoals betere hosting en IT-specialisten inhuren kan ook aardig in de papieren lopen en het zou goed kunnen dat de rechter dit als rechtstreeks gevolg van het DDOS-en ook als schade toekent. Aangezien hij meer dan een miljoen IP-adressen geDDOSt heeft, zijn er allicht bedrijven bij de aanzienlijke bedragen zijn misgelopen en dito kosten hebben moeten maken.

Dat hij nu niet genoeg geld heeft om schadevergoeding te betalen wil nog niet zeggen dat er niets te halen valt. In Nederland althans kan er nog een aantal jaar beslag op een groot deel van je inkomsten worden gelegd.

Sowieso is het geen kale kip als hij een vermogen aan bitcoins heeft. Als er bekend is dat je vermogen bezit (in bitcoins of anders) heeft maar weigert te betalen, kan je in Nederland uiteindelijk ook gegijzeld worden. Oftewel hij moet dan de cel in tot een maximum periode of tot hij alsnog betaalt.

Volgens The Register is er, behalve de bitcoins, nog 386.000 aan hem betaald. Dat is best veel om echt op te maken. Grote kans dus dat daar een aanzienlijk deel van over is, in cash op een bankrekening of in de vorm van goederen, aandelen etc. Misschien heeft hij er wel een huis van gekocht, of andere zaken zoals een dure auto. Dat is typisch vermogen dat onder de 'pluk ze' wetgeving ook ingenomen kunnen worden. Verder is het goed mogelijk dat hij ook legale inkomsten heeft gehad, die kan hij ook kwijtraken, niet alleen de illegale inkomsten.

[Reactie gewijzigd door breakers op 27 april 2017 14:09]

Die "pluk ze" regel is nog het minst van zijn zorgen. Met al een strafrechtelijke veroordeling is het nu voor de schadelijders (Microsoft!) peanuts om een claim in te dienen voor terugbetaling van de schade.
Yep, in Nederland zou ik me in zo'n geval dus als ik uit de bak kwam voorlopig nergens bij een gemeente inschrijven zodat dagvaardingen niet te betekenen zijn. Ik weet niet hoe dat in Engeland wekt.
succes daarmee, de schade loopt in de miljoenen, deze jongen verdient in zijn leven waarschijnlijk niet eens genoeg om de proceskosten te kunnen betalen
Dat is inderdaad iets wat ik mij nu ook afvraag. Wat is er gebeurt met de 400.000 pond?
Ik denk dat hij een uiterst onplezierige tijd tegemoet gaat in de gevangenis. Zelfs 6 maanden zeepjes oprapen in de douches daar is mij geen 4 ton waard.
Het is een Britse en geen Amerikaanse gevangenis hoor.
Oh, in Britse gevangenissen zijn het wel allemaal aardige jongens?
Nee, maar het is er niet zo erg als in de commerciele slavenkampen gevangenissen in de USA. Engeland zit (nog) in de EU, de mensenrechten bepalingen zouden anders al lang in stelling gebracht zijn.
Ik zou nog niet eens in een Nederlandse gevangenis willen verblijven. Maar goed, daarom houd ik mij afzijdig van criminaliteit ;)
Oh, ik zou er ook niet voor m'n lol gaan zitten hoor. Verveling is het ergste daar, daar kan ik erg slecht tegen. Maar het haalt het niet bij de 3e wereld toestanden die je in de USA tegenkomt.
Under current British sentencing laws Mudd will spend one year behind bars and the second year of his sentence out on licence.
Dus meneer heeft 1 jaar gevangenisstraf en 1 jaar voorwaardelijk. Ik ben tevens benieuwd of hij de kosten, die de andere bedrijven hebben gemaakt, ook terug moet betalen (en zijn verdiensten via paypal / bitcoins). Daar lees je helaas niks over (ook niet bij The Register).
Ik ben wel benieuwd of justitie ook achter de mensen aan gaat die de dienst hebben afgenomen, die lijken mij net zo erg.
Mogelijk, maar waarschijnlijk kijken ze alleen of het Engelse daders zijn, zo niet sturen ze hun bewijs naar bijv. Interpol op, dan wordt het een internationale zaak. Die zijn vaak best lastig, ivm jurisdictie en internationaal strafrecht enzo.

Da's bijvoorbeeld de reden waarom Nederlanders over het algemeen niet aangeklaagd worden voor bijv. piraterij van US series.
Ook benieuwd of dit uberhaupt te achterhalen is.
Het is soms handiger om eerste justitie de startzaak te laten afhandelen en als de uitspraak er is er met een civiele rechtszaak achteraan te komen. Dat wil overigens dan weer niet zeggen dat er ook een veroordeling volgt voor alle geleden schade etc.
Terrecht dat bewuste DDOS-ers en andere internetcriminelen hard worden aangepakt.
Het zijn criminelen. Ze zijn een grote plaag.
Toch best knap als je dat op weet te zetten met 15jaar.
Hij had zijn ddos-dienst wellicht beter als legale stresstest-dienst aan kunnen bieden. Dat had hem mogelijk ook nog meer geld op kunnen leveren.
De misdaad zelf is toch eigenlijk gepleegd op minderjarige leeftijd van 15 jaar? Of geld dat, wanneer je jaren later pas gepakt wordt en inmiddels meerderjarig bent, je als volwassene berecht wordt? In dat geval is het balen voor hem dat het zo lang geduurd heeft en hij er niet met een:"Foei jongen!"vanaf komt.
De misdaad was nog steeds gaande ;)
Tja, als iemand op zijn 15de een moord pleegt is het slachtoffer ook nog steeds dood als hij 18 is. Met virus schrijven is dat toch altijd vaag. De een schrijft een virus en veroorzaakt nauwelijks schade, en een ander veroorzaakt miljoenen aan schade. In basis deden ze allebei het zelfde maar word er compleet verschillend veroordeeld. Ik heb verder totaal geen verstand van recht, maar vroeg me dit wel vaker af wanneer ik zoiets lees. In geval van net minderjarig zou het voor het OM misschien zelf interessant zijn om te wachten tot de dader meerderjarig is?
Wat is er vaag aan? Als je op iemand schiet maakt het ook uit of je hem door zijn hoofd schiet of in zijn arm raakt. Als je een virus naar iemand stuurt val je iemand ook aan zonder dat je weet hoeveel schade het doet.
4 ton opbrangst voor zoiets? Da's gauw verdiend, dat is wel verleidelijk. Alleen het anonieme gedeelte wat beter aanpakken: betalingen alleen in bitcoin en zo, communicatie via Freenet of Tor sites.
2 jaar is echt veel te licht gestraft. DDoS-en kost immers erg veel geld en vooral veel tijdsverlies en ergernis. Maar goed er is al gestraft - daar alleen al moeten we blij om zijn. Zelfs voor moord gaat men tegenwoordig bijna vrijuit.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Samsung Galaxy S8+ LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One (Scorpio) Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True

*