Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 129 reacties
Submitter: supperbas

De advocaten van de vier jeugdige hackers die oktober 2004 drie overheidssites platlegden, hebben de rechtbank in Breda verzocht een eis tot schadevergoeding van bijna 500.000 euro af te wijzen.

De Stichting Ictu, de beheerder van de getroffen sites overheid.nl, regering.nl en nederland.nl, eiste in een civiele procedure een schadevergoeding van 471.553 euro en vijfenveertig eurocent van vier van de vijf hackers. Een groot deel van dit bedrag, ongeveer driehonderdduizend euro, besteedde de stichting aan een 'structureel betere beveiliging' van de websites. De advocaten vinden het onterecht dat de vier hackers voor dit deel moeten opdraaien, omdat de Ictu ook zonder de bewuste ddos-aanval voor een betere beveiliging had moeten zorgen. Ictu ontkent dat de beveiliging voor 2004 onvoldoende was.

Botnet_kleinerIn 2004 overspoelden de vijf hackers, met behulp van een botnetwerk van ongeveer 190.000 computers, de overheidsites met aanvragen voor data, waardoor de sites vier dagen lang onbereikbaar waren. De hackers werden strafrechtelijk vervolgd en kregen onder meer cel- en taakstraffen. Twee van de daders waren ten tijde van de ddos-aanval minderjarig.

Moderatie-faq Wijzig weergave

Reacties (129)

Tja die sites hadden sowieso al beveiligd moeten zijn. Het zou wat zijn als alle overheidsinstellingen er uit liggen op de eerste dag van een echte oorlog.
De vraag is, hoe kun je je wapenen tegen een grootschalige DDOS-attack, wat die scriptkiddies (heerlijk woord ;) ) hebben gedaan was nog relatief klein.

Ander argument is dat een dermate dure beveiliging niet nodig zou zijn als zij zich gewoon zouden gedragen.

EDIT: Ik zal het even verfijnen na reacties van hieronder.

Er is al beveiliging (iedere website heeft dat tot op zekere hoogte), de vraag is echter hoe ver je die beveiliging door moet voeren. Je kunt het namelijk zo gek maken als je zelf wil.

Als je aan geeft: "Als alle criminelen zich zouden gedragen was er ook geen politie meer nodig". Vergis je niet, die is altijd nodig. Maar hoeveel? Moeten er een burger:politie ratio van 2:1 komen?

Dit soort extreme acties kosten direct en indirect geld en dat mag van mij best op de daders verhaalt worden. Dat is mijn mening daarover.

[Reactie gewijzigd door The Realone op 14 februari 2008 09:11]

Ander argument is dat een dermate dure beveiliging niet nodig zou zijn als zij zich gewoon zouden gedragen.
Als er ingebroken is bij mij thuis en ik besteed vervolgens 10.000 euro aan een betere beveiliging van mn huis, kan ik dat dan ook op de inbreker verhalen?

Ik mag al blij zijn als ik de schade aan opengebroken deur of raam vergoed krijg... en dan is dat nog meestal gewoon van de verzekering, niet van de inbreker.

Behoorlijk onzin dus, die eis om die kosten te verhalen op de hackers cq inbrekers.

[Reactie gewijzigd door Bosmonster op 13 februari 2008 15:23]

En wat nu als je je huis lekker veilig hebt mooie sloten op je hardhouten witgelakte deuren , je grindpad met wit gepolijste kiezeltjes hebt aangeharkt en dubbele braakveilige beglazing hebt..
Om dan vervolgens tot de conclusie te komen dat een wannabe uri geller een botnet van honden mobiliseert die je huis en tuin volschijten dat er 10 bulldozers en 50 schoonmakers voor nodig zijn om je huis weer toegankelijk te maken..

Is het dan nog steeds een feit dat je je beveiliging maar op orde moet hebben..
Als je je site dichtspijkert en vervolgens wordt (op wat voor nivo dan ook) de toegang daartoe ontzegd dan zit je nog steeds met de gebakken peren.
Begrip heb ik er niet voor , al zeker niet met een 4 dagen durende ddos, en wat mij betreft mogen deze jongelieden bloeden.
En een half miljoen mag belachelijk lijken, maar gedeeld door 4 is het een stuk schappelijker :-) , bijna net of je een heel klein huisje koopt zonder er ooit in te kunnen wonen.

Ik weet het , een stinkvoorbeeld maar ja ...
Ik ben het met je eens, maar dit geldt alleen wanneer de dader niet gepakt wordt.

Deze dadertjes zijn wel opgepakt, dus moeten ze een passende straf gaan uitvoeren.
Ik zou eerder voorstellen om ze 2 weken te laten straatvegen of schoffelen, maar iig geen half miljoen op tafel leggen.
Ze moeten inderdaad een passende straf krijgen. Ze moeten niet gekielhaald worden om een voorbeeld te stellen.

Dat de overheid haar zaakjes niet goed op orde heeft op informatiebeveiligingsgebied is evident. ICTU zegt dit ook zelf: "structureel betere beveiliging'"..

En voor de "structureel betere beveiliging'" moeten de hackers dan betalen? Omdat ICTU zelf haar zaken niet goed op orde had?

Volkomen belachelijk!
Ander argument is dat een dermate dure beveiliging niet nodig zou zijn als zij zich gewoon zouden gedragen.
Dat is dus niet waar, want je gaat uit van het goede van iedereen. Zoals jouw parent-post al zegt, wat als het oorlog is? En wat als Russische of Chineze maffia, die juridisch zo goed als onbereikbaar zijn, opeens je plat leggen met de eis van EUR100M? Moeten zij zich "gewoon gedragen"? Wat is hun motivatie? Die is er niet.

Dit is de doelstelling van beveiliging, en gewoon gedragen is daar geen onderdeel van, tenzij alles binnenbedrijfs en betrouwbaar is. Bij externe aangelegenheden is dat duidelijk niet het geval en moet de beveiliging dus afdoende zijn. Waarom die vier kids voor de beveiliging van de overheid moeten opdraaien is dus kul.

Vooral dat argument, dat "de beveiliging voor 2004 afdoende was", is complete onzin. Vier kinderen konden het voor meerdere dagen platleggen. Hallooo, bord voor je kop! |:(. Als zij het kunnen, kan de Russische maffia het ook. Als zij het doen, dan heb je pas echt een probleem. Wie ga je dan aanklagen? John Doe 1-45? :(.

edit:

Dat die kids een half miljoen moeten betalen mag best hoor, daar niet van, maar noem het dan gewoon compensatie en niet "extra beveiliging". Uiteindelijk gaan onze ministers er toch op snoepreisje van.

[Reactie gewijzigd door Beelzebubu op 13 februari 2008 15:19]

Valt de actie van deze 'kids' wel onder de definitie van wat een scriptkiddie doet? Ik vind 't nogal wat, als de beveiliging "voor 2004 al afdoende" was... Volgens mij krijgen hackers onder de 18 veel te snel het predikaat scriptkiddie 8)7
Valt de actie van deze 'kids' wel onder de definitie van wat een scriptkiddie doet?
Hangt ervan af welke definitie je hanteert. Wat mij betreft moet je echt zelf in staat zijn om nieuwe beveiliging de novo te kraken d.w.z. zelf beveiligingsgaten kunnen vinden met zelf-geschreven tools, zonder hulp van buitenaf. Oftewel een compleet authentieke, intelligente en doelgerichte aanval op de veiligheid van je target.

Dee kids hebben gewoon een random DDOS op een random target ingezet, wat ik niet echt intelligent noem. Doelbewust, mjah, maar intelligent, nee. Dus wat mij betreft gewoon een stel waardeloze kut-kiddies. Als ze echt wat voorstelden, dan zouden ze de Linux of Windows kernel inmiddels wel aan het verbeteren zijn.
Om even iets recht te zetten , deze kiddies zijn geen hackers maar crackers zie link.

http://nl.wikipedia.org/wiki/Hacker

i.m.o. zijn dit dan ook gewoon scriptkiddies.
Chinese/Russische mafia? Lockdown en kabels doorsnijden, deden ze in Estland (of waar was het) ook
Op www.grc.com is al sinds begin 90-er jaren info te vinden over wat een DOS attack is, wat je er tegen kunt doen en hoe de beheerder het daar heeft opgelost. DDoS attacks zijn al veel ouder dan 2004.

Er zijn speciale hosting partijen die dit soort dingen voor je opvangen (laatst nog een gezien, maar weet niet meer wie dat was). Akmai is ook een oplossing voor grote companies die erg veel Bandwith nodig hebben. Als ik het me goed herinner gebruikt Google ze standaard en is Microsoft er vorig jaar of het jaar daarvoor toen het onder grootschalige DDoS attacks lag ook een tijd lang hun servers via Akmai van genoeg BW voorzien om gewoon te blijven werken, zelfs met een grote DDoS (zal ook wel wat oplossingen in dat netwerk geregeld worden), ik weet niet of ze nog steeds van hun diensten gebruik maken.

Kortom: Genoeg mogelijkheden.
Een gerichte ddos aanval met 190.000 clients, dat waren in 2004 misschien kiddies, maar geen scriptkiddies hoor ;)
Ze hebben moedwillig nuttige, informatieve sites platgelegd enkel en alleen omdat ze dingen stuk wilden maken - het digitale equivalent van bushokjes slopen zo je wilt.

Dat is in mijn opinie dermate infantiel dat je ze met een gerust hart scriptkiddies mag noemen. Het feit dat ze gepakt zijn (wat, laten we eerlijk zijn, toch maar heel zelden gebeurt) geeft ook wel aan hoe bekwaam ze daadwerkelijk waren.

Een online casino DDOS'en voor chantage, a la, kan ik inkomen. Maar moedwillig dingen stuk maken alleen maar omdat je dat leuk vind is wel zo zielig dat ze wat mij betrefd best een tijdje in de schuldsanering mogen. Die 300.000 per persoon aan beveiligingsinvesteringen is natuurlijk onzin, maar de rest van het bedrag zou ze alsnog een goede hint moeten geven over hoe 'leuk' het nu daadwerkelijk was.
Waarschijnlijk gaat het via het centraal justitieel incasso bureau... en die rekeningen worden niet gesaneerd :)
Wat mij nou toch wel boeit is waarom dat tot een schade van 271.553 euro en vijfenveertig eurocent kan leiden.
@Wimw: Extra koffie voor de systeembeheerders :)

[Reactie gewijzigd door Iknik op 14 februari 2008 13:15]

er komt wel wat meer bij te kijks dan eventjes een steentje door een bushokje keilen, wat de mensen van die leuke nuttige sites aan het doen zijn is een stel van 4 man proberen financieel compleet te kielhalen, dat noem ik toch ook wel het equivalent van moedwillig slopen
Als we ons allemaal aan de verkeerdregels houden heb je ook geen verkeerspolitie meer nodig... Het argument van gedragen is erg zwak.

Wel vind ik dat een civiele procedure starten om 300.000 euro voor beveiliging terug te halen bij een groep jongeren een relatie onbereikbaar doel is. Ik snap dan ook weer niet dat een rechter dat toekent... :S
Het beveiligen tegen DDoS aanvallen kan erg duur uitlopen. Cluster netwerk, geo-load-balancing, anycast, etc, het telt snel op in hardware en NOC (data centers) kosten. En dan nog ben je nooit 100% opgewassen tegen een zware DDoS.

Kijk maar eens naar legitieme gevallen, het zogenaamde slashdot-effect, waarbij zelfs grote bedrijven zoals Google het soms lastig hebben om het bij te benen. Microsoft moest ook de hulp inroepen van Akamai tijdens de grote service-pack downloads. Akamai is vaak de gemakkelijkste uitval om jezelf in te schermen tegen een gigantische stortvloed aan bezoekers, echter dat kost dus een aardige duit.

@Niemand_Anders, volledig mee eens. Maar zelfs in Nederland zullen er genoeg zombies zijn om schade aan te richten (al is dat hier in Amerika op veel grotere schaal). Ik deal vaak zelf met DDoS-en op ons netwerk, en ook al is het gemakkelijk om IP blocks vanuit Rusland, China, Nigeria, etc tegen te houden, de meeste DDoS-en zijn veel specifieker tegenwoordig, en komen soms vanuit hetzelfde data center. Er blijft natuurlijk verschil tussen een 6Mbps kabel-gebruiker-zombie, of een OC-48+ server-zombie. Zit soms vaak overhoop met NOC managers, omdat ze niet allemaal preventief werken als één van hun server ten prooi is gevallen en andere netwerken/servers aanvalt.

[Reactie gewijzigd door Ron.IT op 13 februari 2008 16:46]

Voor internationale websites klopt dat inderdaad, maar websites van de Nederlandse overheid moeten vooral voor de Nederlanders bereikbaar zijn, want dat is de primaire doelgroep. Die 190.000 bots zullen echt niet allemaal uit Nederland komen.

Van elk IP BLOK is bekend aan welke provider deze is uitgegeven. Krijg jij dus ineens heel erg veel requests op IP's welke buiten de Nederlandse IP ranges vallen, dan kun je daar gewoon op shapen (traffic control). Dergelijke tactieken worden ook tijdens de verkiezingen door politieke partijen gebruikt.

Akamai en dergelijke netwerken zijn zoals je zelf aangeeft een eenvoudige manier om de risico's op een DDOS aanval te verkleinen. Als een bedrijf of overheid ervoor kiest een dergelijke dienst niet af te nemen, dan moet je achteraf ook niet bij de rechten gaan huilen.. Als de overheid systeembeheerders niet van het bestaan van netwerken zoals Akamai afweten, dan heet dat incompetentie.

Beveiliging kost gewoon geld (resources, log analyses en mankracht). Beveiliging hoort een integraal onderdeel van de bedrijfsvoering te zijn. Helaas is dat vaak niet het geval en DDOS attackers maken graag gebruik van die zwakte.
Je gaat geheel aan het feit voorbij dat de DDoS'ertjes de hele provider hebben lamgelegd. Verkeer dat je besluit niet door te laten zal nog altijd ergens aan moeten komen. Je kunt nog zoveel investeren in je eigen serverpark, maar als je colocenter het verkeer niet aankan ben je genoodzaakt kosten te maken.
Daarnaast is het een behoorlijk stomme criminele actie: ten eerste al het hacken van tig computers van gebruikers die er niks mee te maken hebben (geef ze een rekening voor elke gehackte PC, zijn ze nog goedkoper uit met deze boete), ten tweede het lamleggen van een heel datacenter, waarbij de provider allerlei extra dure apparatuur mag gaan aanschaffen om geen klanten kwijt te raken. Zoiets praat je niet goed en is zeker niet de schuld van een overheid, maar doodgewoon de schuld van de eikels die zich met dit soort praktijken bezighouden.
Volkomen mee akoord.
Ze hadden hun zombies beter gebruikt voor een 'goed' doel bv. om iets duidelijk te maken aan de overheid/bedrijf (telenet/belgacom anyone?) ipv. zo'n willekeurige DDos attack op overheidsserver die dienen om info te leveren aan de burger.
Het zou wat zijn als alle overheidsinstellingen er uit liggen op de eerste dag van een echte oorlog.
Tja, als ik zou vermoeden dat we in oorlog waren zou ik toch niet gaan internetten op de genoemde sites... Dan is het neem ik aan voldoende om radio & tv aan te zetten :P
Lijkt mij eerlijk gezegd logisch. De hackers zijn niet verantwoordelijk voor het ontbreken van de beveiliging. Ze zijn hooguit verantwoordelijk voor eventuele directe schade, bijvoorbeeld doordat mensen hun werk niet kunnen uitvoeren o.i.d. Of de provider, die een x bedrag op moet hoesten voor iedere dag(deel) dat de site er uit ligt. Ik geef ICTU weinig kans, in ieder geval niet op het volledige bedrag.
Mee eens, als je nou eerst een zorgt dat alles goed zit dan hoef je ook niet bang te zijn dat hackers binnen komen. Als ze echt willen dat lukt het ze meestal ook wel, maar dit voelt meer aan als het opentrappen van een al openstaande deur.
Beetje van standaard inbreker molt je slot en steelt je tv, kortom, nieuwe tv en het hele huis op zijn kosten voorzien van een anti diefstal systeem met IR, camerera's en een hoogspannings hek...

Dus nu ineens tonnen willen besteden aan het beter maken , op andermans rekening...
Nee, dat hadden ze eerder moeten doen !

[Reactie gewijzigd door bonus op 13 februari 2008 14:56]

Bij een DDOS voelt het aan als het opentrappen van een openstaande deur inderdaad... maar dan wel gebruik makend van een (flink aantal) twintigtonner vrachtwagen(s) op 80 km/u. Wat voor voordeur had je precies in gedachten?
Netzoals bovenstaande ben ik met hun eens.
De de kosten die opgebracht zijn om de sites te beveiligen moeten ze niet verhalen bij de tieners. Ze zullen de tieners stiekem dankbaar moeten zijn dat zij hebben aangetoond dat de servers en de machines in de het bot netwerk slecht beveiligd zijn.
De schadevergoeding van 471.553 euro is naar mijn mening is dit een afschrikmiddel.
Waarschijnlijk wordt dit bedrag verworpen tijdens hoger beroep.
Je kunt niet beveiligen tegen een goede DDos: net zoals de politie niet even 10.000 voetbal supporters kan tegenhouden. Is gewoon de wet van de grote getallen: zoveel requests afvuren dat de server het niet bijbeent. Dus volgens mij rijden er nu gewoon wat gasten van het ICTU in een dikke auto van dat geld, want wat ze ook gedaan hebben, echt helpen doet het niet...
De tieners moeten niet betalen maar de mensen die hun pc slecht beveiligen zodat er een botnetwerk kan ontstaan. je achterdeur openlaaten staan is toch ook uitlokking
Nee, dat is geen uitlokking en wie daar misbruik van maakt is gewoon een gemene dief.
Hmm, vind het maar een beetje een raar verhaal. Wat men in het artikel 'hacker' noemt, is in wezen gewoon een cybercrimineel met een botnetwerk. Zodoende is er een ddos-aanval uitgevoerd op de betreffende paginas, wat nogal een verschil is met het hacken van een pagina. Met beveiliging (van ICTU) heeft het dus weinig te maken, behalve als de bots aan het ICTU netwerk hingen.
wacht even....

5 kiddo's voeren een geslaagde aanval/hack op een site uit. En de beheerder zegt dat de beveiliging voldoende is?????

En omdat deze beveiliging dan toch beter kan mogen de hackers vervolgens lappen voor wat de beheerder blijkbaar niet goed genoeg heeft gedaan.

Wat een onzin zeg. (by the way..... hoe beveilig je een site tegen een DDOS attack? misschien een noob vraag maar als er vanaf 190.000 computers data wordt opgevraagd lijkt het me dat je weinig kunt doen, behalve een fors aantal aanvragen afslaan)
Ik snap niet waarom zoveel mensen het hier over werkstraffen en dergelijke hebben.

Het gaat niet over een straf maar over een schadevergoeding. Een straf krijg je als je iets illegaals doet en je wordt gestraft. Dit val onder het strafrecht. Deze horde is al gepasseerd.

Deze zaak gaat over de vergoeding van geleden schade. Dat is een civiele zaak.
Als iemand mij op mijn neus slaat en schade veroorzaakt wil ik graag een veroordeling voor geweld zien (strafrechterlijk) maar ook nog graag even de kosten die ik voor ziekenhuis etc. maak vergoed zien(civiel).

Dat de schade verhaald wordt op deze daders vind ik dan ook niet gek. Dat ze proberen geld besteed voor "structureel betere beveiliging" ook op de daders proberen te verhalen vind ik op z'n minst gezegd een beetje vreemd, want het is geen geleden schade. Dat je je websites goed moet beveiligen zou gewoon normaal moeten zijn en valt naar mijn mening niet onder het kopje "geleden schade".

Je moet dus hier niet van straf uitgaan. De straf is al gegeven. Het gaat er nu over van hoe gaan we onze geleden schade op die veroordeelde mensen verhalen.
Ik ben het eens met de ¤ 500.000. Je kunt wel zeggen dat de beveiliging sowieso goed moet zijn en dat de hackers daar niet aan hoeven te betalen, maar zonder hackers is de beveiliging helemaal niet nodig. Ik vind dus dat hackers best mogen meebetalen in ontwikkeling van beveiligingssoftware. Ze vragen er zelf om.
@ kemphaas

Dit is echt een krom benadering. Je zegt m.a.w. als er geen dieven waren, hoeven we onze eingdom (huis/auto/fiets etc.) niet beveiligen en op slot te doen. Dus zonder dieven geen
beveiliging en daarnaast wil je ook dat de dieven (al ze er toch zijn) gaan mee werken aan de beveiliging aan je huis/auto etc. (Dat lijkt me ook niet echt een goed idee)

Van utopie naar hedendaagse samenleving; Je moet je huis/eigendom beveiligen, doe dat niet en kijk of een verzekraar is die je wilt uitkeren als blijkt dat jij de deur van je huis wagenwijd open hebt laten staan afgelopen jaren.

Daarnaast eigen verantwoordelijkheid en een fatsoenlijke beveiliging (zeker dergelijke website) is niet te veel gevraagd van de overheid.

[Reactie gewijzigd door Zhadum op 13 februari 2008 15:13]

Nou, dan kunnen we zo goed onze eigen comptuers en servers niet-beveiligen.

Dat is nou niet slim, want je kunt niet vertrouwen op karatker van de mensen. (Net als de bestuurders van vervoer)
Puur in theorie zou ik dan een pc onbeveiligd op internet kunnen zetten met een persoonlijke webserver zonder beveiliging. Indien jij op mijn webserver komt ga ik jou dan aanklagen omdat je zonder toestemming op mijn webserver zit omdat deze alleen bedoelt is voor mij. Nu moet ik de beveiliging in laten stellen door een specialist die ¤120 per uur kost, maar gelukking kan ik de kosten op jou verhalen...? In mijn ogen ban jij namelijk dan een 'hacker'.

Jij bent gek.

[Reactie gewijzigd door KoeNijn op 13 februari 2008 15:55]

Ben inderdaad van mening dat de hackers niet aansprakelijk kunnen worden gesteld voor de ¤300.000 die uitgegeven werd aan betere beveiliging voor de betreffende websites... Die beveiliging had er al moeten zijn, de hackers hebben alleen (over)duidelijk gemaakt dat er nogal wat aan schortte.
De stichting moest gewoon zijn mond houden, wat ze met het geld doen hoeven wij niet te weten.
5 mensen doen zeer bewust een 'langdurige' aanval op 3 website's die in handen zijn van de nederlandse regering zijn, .... ik vind dat ze nog goed weg komen met een boete van een half miljoen. Persoonlijk zou ik eerder voor ontzegging van de Nedelandse Nationaliteit gaan, samen met een retourtje Nederlandse grens. Dat gehack was gewoon asosiaal en nog erger, volledig immoraal.
De daders wisten donders goed waar ze mee bezig waren, ...nee, ik vind het best, laat ze lekker maar, totdat ze echt volwassen (lees: >40) zijn, maar betalen aan de overheid. Niets mis mee.

[Reactie gewijzigd door SirNobax op 13 februari 2008 15:23]

ik vind dat ze nog goed weg komen met een boete van een half miljoen.
Misschien dat je het artikel nog eens moet lezen:
De hackers werden strafrechtelijk vervolgd en kregen onder meer cel- en taakstraffen
Kortom: ze zijn al gestraft.
Deze eis om geld moet dus puur gaan om vergoeding van geleden schade. Sterker nog: Nederland kent geen "punitive damages", oftewel schadevergoedingen die tevens als straf dan wel afschrikwekkend voorbeeld moeten dienen. Ik denk dat de rechter die 3 ton dus zowiezo af zal wijzen omdat het in orde hebben van je beveiliging nou eenmaal bij de normale bedrijfsvoering van een hostingprovider hoort. Blijft er dus nog een "restantje" over van 171.000 euro, oftewel rond de 43.000 euro per persoon. Dat zal waarschijnlijk ook als exorbitant bestempeld worden, zeker gezien het feit dat twee van de daders minderjarig waren.

en als je werkt heb je in Nederland zowiezo levenslang in de vorm van de belastingen :+
Waarom is het direct exorbitant? Als je als 15-jarige met een paar vrienden en een stapel baksteken 's nachts bij een Ferrari-dealer de showroom molt en een aantal auto's total loss helpt is een vergoeding van de geleden schade ook exorbitant?
Met 15 jaar weet je echt wel wat je doet hoor, zeker als je kijkt naar hoe de acties verliepen.
ik vind dat ze nog goed weg komen met een boete van een half miljoen.
Dat is dus net het punt, dit is geen boete, of straf, maar schadevergoeding. Dat ze door het rechtssysteem gestraft worden voor hun gedrag, is normaal. On strafrecht heeft ze dus ook al gevangenisstraf/ taakstraf opgelegd.
Deze procedure heeft niets meer met straffen te maken, maar is een schadevergeoding. Het is gewoon niet correct daar een beveiliging voor de toekomst bij te halen, vinden ze. In mijn ogen hebben ze daar zeker een punt.

Of het strafrecht ze hard geneog heeft aangepakt, dat is een ander punt, alles wat jij vorostelt heeft niets met schadevergoeding te maken.,... een totaal andere discussie dus.
Dit is een civiele vordering. Maar de "schade" die men heeft opgelopen door het verbeteren van de beveiliging is niet relationeel terug te voeren op de hack. En het is nog maar de vraag of 3 ton wel proportioneel is.
Vreemde doelloze kreten, want ontzeggen van de Nederlandse nationaliteit slaat helemaal nergens op, want ik kan nergens lezen dat het buitenlanders waren, ten tweede slaat het nog minder op het feit dat men een half miljoen euro wil vangen door de incompetentie van deze overheid die zijn spullen niet op orde hadden, ten derde is het bedrag helemaal een idiote eis, want het gaat er zolangzamerhand op lijken dat je beter kunt moorden, overvallen plegen, ontvoeringen etc etc omdat je dan in het slechtste geval 10 jaar gevangenisstraf op kan lopen en dit bedrag is voor 4 15 jarige jongens 4x levenslang. In jouw geval zou dat neerkomen op een overtreding van de wettelijke snelheid op de weg met laat maar zeggen zo'n 10 kilometer per uur, dat jij 10.000 euro voor de kiezen gaat krijgen als je een vergelijk wil maken. Dan wil ik jou nog wel eens horen, want dan is het huis vele malen te klein 8)7
En jij bent vroeger altijd de heilige boon geweest? Jij houdt je altijd netjes aan de snelheidslimieten? Je doet nooit wat verkeerd, zowel wettelijk als moreel niet? Netjes hoor, erg celibaat. SirNoBax for pope.

Shit man, ga even een 15-jarige voor een half miljoen in de schulden werpen. Weet je zeker dattie de criminaliteit ingaat. Nee, jij snapt hoe de samenleving werkt(e, in de middeleeuwen), en hoe je deze vooruit helpt.

EDIT:
@SirNoBax:
Nou nou, die jongens hadden echt geen 190.000 systeemkasten in een donkere kelder staan hoor. Zo 'gestolen' waren ze nu ook weer niet. En met 190.000 'gekaapte' computers rijd je geen mede-weggebruikers dood. Zit dus inderdaad nogal een verschil in.

@Beantherio:
They already did the fucking time! Lees het artikel nog maar eens! Het is juist de hoogte van de straf, of liever gezegd, deze smerige rotschop die ze na krijgen, waar ik het niet mee eens ben!

[Reactie gewijzigd door Zyppora op 13 februari 2008 15:36]

Met 140 over de snelweg rijden, of een zeer goed geplande DDOS aanval met 190.000 "Gestolen" computers op de digitale infrastructuur van de overheid, daar zit nog al wat verschil in, en dat word op deze manier ook goed duidelijk gemaakt.
Het feit dat de stichting het uitgeef aan de beveiliging is niet gek, ooit zou dat toch moeten gebeuren, was het niet goedschiks (met ons belastingsgeld) dan maar kwaadschiks (met het ingevorderde geld van een crimineel).

[Reactie gewijzigd door SirNobax op 13 februari 2008 15:29]

Daar zit idd een enorm verschil in. Met 140 over de snelweg breng je jezelf en anderen in (levens)gevaar. Dat kun je van zo'n DDOS nauwelijks zeggen. Dat de consensus is dat 140 over de snelweg sociaal geaccepteerd is en dat de verkeerspolitie eens boeven moet gaan vangen doet daar weinig aan af. Dus ja, buitenproportioneel.

[Reactie gewijzigd door .oisyn op 13 februari 2008 15:40]

Ach ik heb er niet zo een probleem mee met de hoogte van de boete

Als die kids in het centrum winkelruiten gaan ingooien en daar 300k aan schade maken word er schade en schande gesproken, maar dit valt voor mij in de zelvde catogorie, er is hier ook sprake van schade.

En ja je kan ook zeggen dat winkeliers rolluiken hadden moeten instaleeren, maar toch.
Dan worden de kids opgepakt en berecht. Ze betalen een schadevergoeding en daarmee is de kous af. In dit geval gaat de winkelier voor 3 ton rolluiken installeren tegen volgende vandalen wat ze dan ook nog even mogen aftikken. Slaat natuurlijk nergens op. Slachtoffer moet schadeloos gesteld worden, rechter moet straffen.
Shit man, ga even een 15-jarige voor een half miljoen in de schulden werpen. Weet je zeker dattie de criminaliteit ingaat. Nee, jij snapt hoe de samenleving werkt(e, in de middeleeuwen), en hoe je deze vooruit helpt.
Alsof fouten die je in het verleden maakte een excuus zijn om in de toekomst weer fouten te maken! Als je de wet overtreed, nu of in de toekomst, moet je daarvan de consequenties dragen. En deze hackers wisten heel goed wat ze deden, dus van verzachtende omstandigheden is geen sprake. Over de hoogte van de straf kun je misschien discussieren, maar echt medelijden kan ik met deze 4 heren niet hebben. If you can't do the time, then don't do the crime etc.
Als ik de deur van het gemeentehuis 3 dagen dicht weet te houden (geen idee hoe, maar een container ervoor zetten), krijg ik dan ook 5 ton aan mijn broek. Lijkt me sterk.
Ik ben het helemaal met je eens, Iemand die een bushokje kapot slaat moet ook bloeden. Arme oude mensen die nu in de regen en wind staan te wachten op een bus die nog te laat is ook!
Een stevige knipoog naar die overheid over hoe zwak ze staan in deze tijd, waarbij de informatievoorziening voor hun kinderen in handen is van <40 ers, vind ik te verantwoorden.

Lachend, gierend en brullend 3 dagen erna over de grond rollen terwijl die sites nog steeds down zijn is wat minder slim, maar pijnlijk genoeg kon onze eigen overheid hier NIETS tegen doen.

Ik zet m'n geld liever op wat baldadige tieners dan den haag voor mijn digitale veiligheid dus. DigID anyone?
Het gaat hier niet over een boete (strafrecht); dan zou 500k buitenproportioneel zijn. Het gaat in deze zaak om het verhalen van reële schade op de daders (civiele procedure). Die schade moet gewoon helder aangetoond worden. Andere overwegingen spelen niet mee.
Als die hackers er niet zouden zijn zou de beveiliging ook niet nodig zijn geweest. Ik ben het eens met het feit dat die 300.000,- onzin is, maar ik vindt wel dat goed duidelijk moet worden gemaakt dat dit gewoon een misdaad is.

Hacken is leuk en lijkt moreel niet slecht. Daarom zijn er veel hackers die voor de plezier anderen elende veroorzaken. Deze mensen zal je nooit buiten zien stelen of misdaden zien plegen. Daarom moet er gezorgt worden dat er goed duielijk wordt gemaakt dat dit niet kan, en hieraan vast ziten hoge consequencies.
Zonder die hackers scriptkiddies was de beveiliging ook nodig geweest. De 5 personen zijn niet echt de enige in de wereld die dit kunnen flikken.
Zoals hierboven al is genoemd, was die beveiliging ook dan nodig. Want iemand die echt kwaad wil tegen de overheid had dus de vrije hand. Dankzij deze hackers (niet dat ik het goedpraat, ze hadden het veel beter netjes kunnen melden (niet dat er dan wat aan gedaan was hoor)) zijn ze er wel achter gekomen wat er fout zat en kunnen ze ECHTE schadelijke aanvallen in de toekomst wellicht voorkomen.
zijn er dan inderdaad zo veel mensen die niet beseffen dat een inbraak plegen in andermans computer en door zijn/haar bestanden snuffelen een misdrijf is?


maar ja.... tis abstracter dan andermans post open maken...

Overigens is het hacken zelf niet verkeerd... dat is namelijk alleen maar een script of programma aanpassen... (bijv) Een tweaker (of een ander met veel verstand van computers) kun je dus ook als hacker zien.

Zodra je je met hacken op illegaal terrein begeeft is het natuurlijk verkeerd (cracken heet dit geloof ik)
zijn er dan inderdaad zo veel mensen die niet beseffen dat een inbraak plegen in andermans computer en door zijn/haar bestanden snuffelen een misdrijf is?
Volgens mij is iedereen het hierover eens. Het gaat hier dan ook niet om de hoogte van het bedrag maar over de opbouw ervan. Boete is terecht, vergoeding van de kosten voor een IT-calamiteitenteam waarschijnlijk deels terecht maar vergoeding voor de aangeschafte beveiliging die al lang aanwezig had moeten zijn is absoluut onterecht.
Ze zouden eerder schadevergoeding moeten vragen voor geleden schade. Niet de vergoeding voor het verbeteringen in hun netwerk.
Tsja wat is de schade dan: misgelopen omzet? Burgers die niet weten wat de overheid heeft gedaan in die 3 dagen. Volgens mij is de werkelijke schade minimaal, maar wil men een voorbeeld stellen.
Wat dacht je van bandbreedte? 1TB ben je hier in NL, zo heb ik een tijd geleden gelezen, 75 euro voor kwijt. Als je met 190000 machines aanvalt die elk 256kbit uploadbandbreedte hebben zit je aan 6GB per seconde, 21TB per uur, 525 TB per dag, 2101 TB per 4 dagen. 2101 * 75 = 157575 euro, tel daarbij nog de kosten van de verstookte electriciteit, personeel en weet ik wat bij op en je zit al gauw aan de 171553 (minus de 3 ton dus) euro schade.
Maar alleen als de ICTU een bonnetje kan overleggen dat ze daar daadwerkelijk voor betaald hebben. Wat die uren betreft zal dat wel snor zitten, maar ik denk dat de bandbreedteconsumptieschade bij anderen is terechtgekomen.
Wat dacht je van: Inrichten calamiteiten-team door de IT-afdeling?
OK, het is *maar* een openbare website en geen zwaar beveiligde datawarehouse, maar toch zal er het nodige aan geescaleerd zijn. Al die uren konden niet aan "normale" werkzaamheden worden besteed. Als gedurende die 72 uur 10 FTE bezig zijn geweest met een uurloon van 50 euro dan levert dat een kostenpost op van 36.000 euro.
Deel dit bedrag in twee (Deels schuld van de DDOS-aanval, deels schuld van slechte beveiliging) en dan heb je een reeel bedrag aan schade.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True