Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Wout Funnekotter

Hoofdredacteur

Een ddos'er betrapt

Hoe de aanvaller tegen de lamp liep

06-02-2018 • 10:00

516 Linkedin Google+

Artikel

Op 1 februari 2018 arresteerde de politie een verdachte op verdenking van het uitvoeren van meerdere ddos-aanvallen. Het gaat om aanvallen in september 2017 gericht op de bank bunq, en eind januari 2018 op verschillende banken, overheidsinstanties en ook Tweakers. Na de aanvallen van september 2017 was bunq al dicht bij het identificeren van de dader. De verantwoordelijke meldde zich uiteindelijk vrijwillig bij de bank, waarbij hij zich verontschuldigde voor zijn handelen. Bunq besloot geen aanklacht in te dienen.

In november werd bunq wederom getroffen door een ddos die 'flink heftig' was, vertelt ceo Ali Niknam aan Tweakers. Bunq kwam toen wederom de aanvaller op het spoor, op basis van slordigheden in zijn handelen en verschillende tips uit de it-wereld, en besloot aangifte te doen bij de politie. De politie bevestigt dat het om dezelfde persoon ging. De maanden erna werd door de politie op basis van de informatie die door bunq overlegd was, een dossier opgebouwd.

Terwijl de politie aan het dossier werkte, vond eind januari weer een golf ddos-aanvallen plaats, waarbij eveneens Tweakers werd getroffen. Vanuit Tweakers werd toen een onderzoek gestart naar de identiteit van de aanvaller. Tegelijkertijd hield securitybedrijf RedSocks de situatie ook goed in de gaten, waarbij het probeerde te achterhalen wie de aanvaller was.

Zowel Tweakers als RedSocks heeft informatie over de aanvallen en identiteit van de dader gedeeld met het Team High Tech Crime van de politie, waarmee het dossier uiteindelijk kracht is bijgezet. Toen deze informatie op donderdag 1 februari vanuit beide partijen los van elkaar gedeeld werd met de politie, was de verdachte al eerder die dag in hechtenis genomen.

Wat volgt is een reconstructie van de ddos-aanvallen vanuit het perspectief van Tweakers en de wijze waarop de identiteit van de dader ontdekt werd.

Hoe een ddos'er tegen de lamp liep

Als systeembeheerder van Tweakers kijkt Kees Hoekzema niet op van aanvalspogingen op de servers die hij beheert. In de zestien jaar dat hij verantwoordelijk is voor de infrastructuur waar de site op draait, zijn ddos-aanvallen een bekend fenomeen geworden. Om de zoveel maanden signaleert hij pieken in het dataverkeer, duidelijk bedoeld om de servers en verbinding zo sterk onder druk te zetten dat de site onbereikbaar wordt. Vrijwel nooit met succes.

Toen Kees op maandag 29 januari wakker werd en zijn telefoon ontgrendelde, was hij dus niet direct gealarmeerd over de notificatie die hij zag. Monitoringsoftware op het netwerk had een grote toename in dataverkeer opgemerkt en direct een waarschuwing verstuurd, zoals dat wel vaker gebeurt. Dankzij verschillende maatregelen die bij Tweakers in de afgelopen jaren zijn genomen, hadden gebruikers geen hinder ondervonden en was het de aanvaller niet gelukt om de site geheel onbereikbaar te maken. De back-upsystemen hadden hun werk gedaan en de hostingprovider sloeg de aanval af door na ongeveer een uur ‘upstream’ het verkeer te stoppen.

De eerste aanval op Tweakers op zondag 28 januari

Al snel werd echter duidelijk dat dit niet zomaar een aanval was. Hostingprovider True schatte de aanval op 25Gbit/s, waardoor de verbinding tussen True en Tweakers geheel werd dichtgetrokken. Dit was zonder twijfel een van de grootste ddos-aanvallen op Tweakers tot dat moment en de eerste die angstvallig dicht in de buurt kwam van de maximale hoeveelheid dataverkeer die door de infrastructuur opgevangen kan worden.

Eerder dat weekend was ABN Amro al getroffen door een ddos-aanval. Die zorgde ervoor dat de internetbankierendienst van de bank tijdelijk niet bereikbaar was. Gelijktijdig met de aanval op Tweakers zondagavond, werden ook de servers van ING en de Rabobank onder vuur genomen, met net als bij ABN Amro storingen en uitval tot gevolg. Hoewel het vanwege de timing plausibel leek dat de aanvallen door dezelfde dader waren uitgevoerd, was daar geen bewijs voor. Dat veranderde in de dagen erna.

Grofweg vierentwintig uur na de eerste aanval, om maandagavond 21:08, werd een tweede aanval op het netwerk van Tweakers gedetecteerd. Deze was nog veel groter dan de eerste; volgens de netwerkafdeling van True kwam er meer dan 40Gbit/s binnen. Ook dit keer zat de verbinding tussen True en Tweakers op de maximale capaciteit.

Later die avond volgde nog een eigenaardig korte aanval. Ditmaal niet op de hoofdlocatie, maar op de back-uplocatie van Tweakers. Deze is speciaal bedoeld om in het geval van een verstoring op de hoofdlocatie, zoals stroomuitval of brand, een deel van het verkeer over te nemen, zodat de site gewoon beschikbaar blijft. Ook hier werd de verbinding weer maximaal belast. Omdat de verbinding naar deze locatie flink kleiner is, werd de aanval niet meteen opgemerkt tussen de andere aanvallen.

De hoge piek links is de aanval van maandagavond op de hoofdlocatie, de kleine piek rechts is de aanval op de tweede locatie

Terwijl Kees tot laat in de avond bezig was met analyse van het netwerk en voorbereidingen op een mogelijke nieuwe aanval, was de redactie van Tweakers nieuwsberichten aan het schrijven. Het aantal doelwitten van de ddos-aanvallen was die maandag namelijk sterk toegenomen. Niet meer gaat het alleen om banken, waarvan er overigens nog veel meer aan de initiŽle lijst van dat weekend toegevoegd werden, ook overheidsdiensten als DigiD en de Belastingdienst kregen het zwaar te verduren.

De Nederlandse media stortten zich ondertussen op het dadervraagstuk. Wie zit hier achter? Is het Iran? Noord-Korea? De Russen? Vooral dat laatste land krijgt op veel plekken de schuld. Niet lang voordat de aanvallen begonnen, kwamen de Volkskrant en Nieuwsuur namelijk met de grote onthulling dat het Nederland was dat Amerika van een grote hoeveelheid informatie had voorzien met betrekking tot de Russische pogingen de Amerikaanse verkiezingen te beÔnvloeden. Het was de AIVD gelukt in te breken in de systemen van de Russische hackersgroep Cozy Bear, waarbij het zelfs toegang had tot de camera’s die registreerden wie de computerruimte in- en uitliep.

Uiteindelijk bleef het bij speculeren. Ook aan tafel bij het tv-programma Jinek, dat die maandagavond een deel van de uitzending aan het onderwerp besteedde, kwamen techjournalist Joost Schellevis en Tweede Kamerlid Kees Verhoeven tot de conclusie dat hoewel de dader best een natiestaat kan zijn, en Rusland daarbij niet ondenkbaar is, het net zo goed kan gaan om iemand die ‘zit te klooien achter zijn computer’. Dat ze daarmee heel dicht bij de waarheid zaten, beseften ze toen waarschijnlijk niet.

Door heel Nederland waren onderzoekers en instanties intussen bezig met een speurtocht naar de afzender van deze aanvallen. Ook bij de overheid was het alarmfase rood. Nationaal CoŲrdinator Terrorismebestrijding en Veiligheid Dick Schoof stelde: “We zien dat aanvallen steeds geavanceerder worden. Het is daarom goed om te zien dat (financiŽle) instellingen de situatie goed en professioneel oppakken. Informatie wordt uitgewisseld en we staan in nauw contact met elkaar.”

Kees kwam dinsdagavond via Twitter in contact met beveiligingsonderzoeker Rickey Gevers, die zich op dat moment richtte op de aanvallen op de banken. Hij vroeg hem of hij al wist om wat voor soort ddos het hier ging. Gevers antwoordde dat het een zogeheten dns amplification attack was, waarbij hij kon zien dat Tweakers zich in hetzelfde rijtje doelwitten bevond als de banken. Het was nog steeds mogelijk dat het om twee losstaande aanvallen ging, maar de technische sporen begonnen langzaamaan te wijzen naar een enkele dader, die zowel Tweakers als de banken en overheidsinstanties aanviel.

Nog geen twintig minuten na de uitwisseling op Twitter kwam er weer een ddos binnen op de hoofdlocatie van Tweakers. Omdat provider True inmiddels maatregelen genomen had om het udp-verkeer richting Tweakers te limiteren, is moeilijk te zeggen hoe groot de aanval was. Uiteindelijk werd een maximale piek van 8Gbit/s gemeten. Kort daarna kreeg ook Rickey Gevers de aanval op de radar en tweette: “Ja hebbes! Dns amplification naar 213.239.154.30. Bijzonder dat jullie ook steeds in het rijtje staan hoor”. Kees reageerde dat hij het gek zou vinden als dit ‘de Russen’ zijn.

Later op die avond stuurde hij een tweet waarin hij zich afvroeg of hij dit keer wel een Netflix-aflevering zou kunnen afkijken zonder gestoord te worden door notificaties uit het netwerk. Nog geen twee minuten later kwam weer een udp-ddos binnen, waarvan 12Gbit/sec de firewall van Tweakers wist te bereiken. Kees bekroop langzaam het gevoel dat de dader hem in de gaten hield.

Nog geen half uur later werd dat gevoel bevestigd door een e-mail die hij ontving van iemand die zich ‘DDoS’ noemt. “Jij snapt ook wel dat deze ddos-aanvallen (op Tweakers en de banken, en Digid/Belastingdienst) niet door de 'Russen' worden uitgevoerd ;)”, valt er in de mail te lezen. De e-mail is verstuurd via ProtonMail, een dienst met end-to-end-encryptie die het moeilijk maakt de afkomst te achterhalen. Of het hier om een grappenmaker of de dader ging, is dus niet te zeggen.

Kees besloot te toetsen of zijn tweets echt door deze persoon in de gaten gehouden werden en probeerde hem uit te lokken. Hij tweette: “Ah well, we starten gewoon nog een poging om deze episode af te kijken. Wish me luck!". Twintig minuten later kwam er weer een udp-aanval binnen. Hoewel er enige tijd zat tussen de tweet en de aanval, leek er een verband. Kees vroeg via een tweet of de aanvaller wilde stoppen. Binnen een minuut nam de aanval behoorlijk in kracht af. Zijn vermoeden werd verder bevestigd.

Blij dat het verkeer weer was teruggelopen, stuurde Kees een bedanktweet uit voor het stoppen van de aanval, samen met een eerste analyse van de aanvalsmethoden die gebruikt werden. Meteen daarop nam de ddos weer in kracht toe tot de eerdere hoeveelheid. De aanvaller leek er een spelletje van te maken. Wederom vroeg Kees via een tweet de aanvaller te stoppen en hij meldde daarbij dat de gebruikers van Tweakers' irc-chatkanaal de enigen zijn die er echt last van ondervinden.

Nog geen twee minuten later werd vanaf een computer ergens in Nederland een webbrowser geopend en richting irc.tweakers.net gestuurd, waar gebruikers via een html5-client in kunnen loggen op de irc-server. Dit is een beslissing die de aanvaller later duur zou komen te staan. Hij vulde zijn nickname in en klikte op ‘Connect’. Kees' vermoedens dat de aanvaller hem volgde, werden nogmaals bevestigd toen de gebruiker met de nickname ‘DDoS’ het chatkanaal binnenkwam.

Omdat het leek dat deze persoon op erkenning uit was, besloot Kees hem vriendelijk te benaderen. Een half uur lang chatten ze op haast gezellige wijze met elkaar over de aanvallen en gebruikte technieken. Gebruiker DDoS liet daarbij zien kennis te hebben van bepaalde zaken die alleen bij de dader bekend kunnen zijn. Gedurende het chatgesprek kondigde hij aan een nieuwe aanval te starten, waarna meteen een piek in netwerkverkeer waar te nemen was. Ook wist hij de eerdere aanvallen met een opmerkelijke mate van detail te omschrijven.

Een deel van het irc-gesprek tussen DDoS en Kees

Aan het eind van het gesprek deed de aanvaller uit de doeken hoe hij de aanval had opgezet en het antwoord is minder spannend dan waar de dagen ervoor over gespeculeerd is. Het zou gaan om een ‘stresser’; een dienst waarmee bedrijven de ddos-vastheid van hun eigen netwerken kunnen testen, maar die natuurlijk net zo goed voor een echte ddos ingezet kan worden. De aanvaller zei bij zo’n dienst 40 euro uitgegeven te hebben om de capaciteit voor de aanval in te kopen; of hij daarbij doelde op alle aanvallen of alleen op degene die plaatsvond tijdens het gesprek, is niet bekend. Hij benadrukte nogmaals dat het niet ‘de Russen’ zijn geweest en claimde wederom de verantwoordelijkheid voor alle recente ddos'en in Nederland, niet enkel die bij Tweakers. Tegen elf uur ‘s avonds besloot Kees het voor gezien te houden en sloot hij de chat af, op een paar minuten gevolgd door DDoS. Op dat moment, zo bleek later uit de serverlogs, zakte de nog lopende aanval in. Tien minuten later was alles weer rustig op het netwerk.

De verschillende ddos-aanvallen van dinsdag 28 januari. Tijdens de grillige grafiek rechts speelt het gesprek op irc zich af.

Wegens de bijzondere aard van de situatie werden de volgende dag verschillende mensen binnen Tweakers bij de kwestie betrokken. Logfiles werden doorgespit en verzameld, juridische mogelijkheden en beperkingen bekeken en uiteindelijk werd op donderdag 1 februari contact gezocht met de politie, bij wie het verhaal werd neergelegd.

Op dat moment was er nog weinig concrete informatie over de dader bekend. Hoewel het zeer aannemelijk was dat de irc-gebruiker DDoS achter de aanvallen op Tweakers zat, bleven zijn claims over de betrokkenheid bij de andere aanvallen niet meer dan dat: claims. En omdat hij een vpn-verbinding gebruikte om op irc te komen en mailde via Protonmail, waren er geen duidelijke digitale aanknopingspunten.

Dat veranderde op het moment dat Kees zich realiseerde dat gebruiker DDoS geen losse irc-client draaide, maar gebruikmaakte van de webclient op irc.tweakers.net. Daardoor was het mogelijk om het ip-adres van de gebruikte VPN in combinatie met de gebruikte useragent op te zoeken in de accesslogs van de server. Op die manier werd inzichtelijk wat deze gebruiker, of in ieder geval gebruikers met dit ip-adres, nog meer gedaan hebben op de site. Die informatie bevestigde het beeld van een aanvaller die een kick krijgt van alle commotie die zijn werk veroorzaakt. Zo bleek gebruiker DDoS, terwijl hij op irc het eerder genoemde gesprek met Kees had, het artikel ‘Belastingdienst en banken waren dinsdagavond opnieuw doelwit van ddos-aanvallen’ op te vragen en meerdere malen te refreshen. Vermoedelijk om de nieuwe reacties te lezen.

Ook bleek uit de logs dat vanaf dit ip-adres gecontroleerd werd hoeveel ongelezen notificaties er op de site waren, wat betekent dat de aanvaller een account heeft op Tweakers. Omdat hij daarna uitlogde, was een deel van de sessie-informatie meteen verwijderd, en dat maakte het achteraf niet mogelijk om het gebruikte Tweakers-account gemakkelijk te achterhalen.

Op dat moment was bekend dat de aanvaller een gebruikersaccount heeft en daarmee leek zijn identiteit binnen handbereik. Om te achterhalen om welke van de 830.948 accounts het ging, dook Kees verder de logfiles in. En dan bleek dat hoogmoed toch echt voor de val komt en onze dader in zijn drang naar erkenning zichzelf verraden heeft.

Wat bleek: vanaf hetzelfde sessie_id zijn maar liefst vijftien nieuwstips over de aanvallen ingestuurd via het formulier dat daarvoor op de site staat. In dit geval is er ťťn ding heel relevant aan die simpele tipfunctie: die kan alleen gebruikt worden door ingelogde gebruikers. Kees had nu niet alleen een anonieme sessie_id, maar ook een bijpassend gebruikersaccount. Nu werd de zoektocht een stuk eenvoudiger. Verder onderzoek wees uit dat deze gebruiker een aantal minuten nadat Kees op dinsdagavond het irc-gesprek sloot en naar bed ging, het profiel van Kees op de site bekeken had. Ook bleek dat deze gebruiker interesse had in de zelden bezochte serverstatistiekenpagina van Tweakers, waar een succesvolle ddos in de grafieken te zien zou moeten zijn. Tot slot correspondeerde de naam in het gebruikersprofiel met een Twitter-account dat sinds kort een volger was van Kees - zoals hij zelf al vermoedde. Kees stuurt een mailtje naar betrokken collega’s met een simpel: “I've got him.”

De verwijzingen in de logs naar de nieuws-submit en het artikel dat door de dader opgevraagd werd. Groen is de sessie_id, die bij verschillende ip's gelijk blijft.

Vanaf dan ging de bal snel rollen. Nog op donderdagavond werd de politie op de hoogte gesteld van deze ontwikkelingen en vrijdag werd een achttien pagina’s tellende aangifte opgesteld door twee rechercheurs van het Team High Tech Crime.

Op dat moment was bij Tweakers nog niets bekend over hoe lang het onderzoek naar de dader al liep, de betrokkenheid van bunq en het feit dat ook RedSocks de dader op de hielen zat. Dat alles bleek toen de politie maandag naar buiten bracht dat een verdachte was opgepakt in verband met de ddos-aanvallen en daarbij alle betrokken partijen bedankte voor hun hulp.

De verdachte wordt dinsdag 6 februari voorgeleid aan de rechter-commissaris. In het kader van het onderzoek is onder meer zijn woning doorzocht, waarbij zijn computer en 'andere digitale gegevensdragers' in beslag zijn genomen. Volgens Gert Ras van Team High Tech Crime kan een celstraf van maximaal zes jaar opgelegd worden.

Reacties (516)

Wijzig sortering
De persoon heeft gewoon een probleem en kickt op de aandacht die hij aanricht met zijn ddos aanvallen. In plaats van een celstraf zal het voor de jongen veel beter zijn om hem psychisch te laten onderzoeken en hem te laten behandelen. Een celstraf is alleen maar een kort termijn oplossing bij dit soort zaken en als de persoon niet goed behandelt wordt zal hij waarschijnlijk weer doorgaan of op andere wijze aandacht willen trekken.

Het is een leuk en interessant artikel om te lezen, maar het kan ook een negatief effect hebben. Als mensen snappen dat het zo eenvoudig kan zijn en zolang ze geen erkenning zoeken dan kan dit ook nog maar het begin zijn van ddos aanvallen.

Ik snap daarnaast ook niet hoe eenvoudig het is om voor zo weinig geld en moeite stresstesten te laten doen op sites die de persoon niet in beheer heeft. Misschien ook een eye-opener voor de desbetreffende instanties. Misschien moet de controle en informatie voor bedrijven die stress testen aanbieden ook strenger en zal de Nederlandse overheid en de Europese Unie hier strenger op moeten controleren.

Edit: Voordat iedereen zegt hoe ik aan bepaalde informatie kom lees ook eerst dit bericht en eventueel de reacties: https://tweakers.net/nieu...oeren-ddos-aanvallen.html

[Reactie gewijzigd door Andyk125 op 6 februari 2018 12:26]

Vrijwel alle criminelen hebben een probleem. En voor vrijwel alle criminelen geldt dat een celstraf recidive niet helpt voorkomen.
Zeker mee eens, in feite zelfs sommige mensen beschadigen daar nog veel meer van (kan ik me ook wel iets bij voorstellen). Zeg ook niet dat recidive celstraf een goede oplossing is alhoewel dit wel ervoor zal zorgen dan die persoon geen netwerken meer kan bestoken met onzin data en de beheerders dus geen rot dag meer kan bezorgen. De daadwerkelijke oplossing is heropvoeding, en dan nogmaals de vraag hoe serieus wil de persoon zelf dit, het kan ook doen alsof en vervolgens gewoon terugkeren naar zijn/haar oude behoeftes (gelijkwaardig voorbeeld als kinder verkrachters, ooit lopen ze toch weer tegen de lamp of gewoon al een week na het vrijkomen, ik zeg maar wat).

Een denial of service aanval is gewoonweg zeer vervelend.. Kleine bedrijven en hobbyisten kost dit vaak de "kop" omdat niet iedereen genoeg financiŽn heeft om backup netwerken naast de productie netwerken neer te zetten of bijvoobeeld een reverse cdn enterprise netwerk te huren wat in zo'n geval wel zeker nodig is.

Zoals mensen hier al eerder aangeven, het kost VEEL minder geld voor een developer om een "Stresser/DDOS" service op te zetten en hier geld mee te verdienen dan een netwerk op te zetten dan immuun is tegen dit soort aanvallen.. En daar zal wat aan gedaan moeten worden, netwerken beter beveiligen en script kiddie forums nog beter monitoren. Vandaag de dag zie je kinderen al met een telefoon als een zombie over straat lopen en dan krijg je al snel de hype dat ze onderling vertellen "oh weet je ik heb een cool programma, kost maar 40 euro en daar kun je dit mee doen".

[Reactie gewijzigd door r_AllocStarByte op 6 februari 2018 14:21]

"De daadwerkelijke oplossing is heropvoeding, en dan nogmaals de vraag hoe serieus wil de persoon zelf dit,"

Dat gebeurt anders ook in het gevangeniswezen. Ik ken zelf twee ex-gedetineerden die aan lager wal geraakt waren en nu weer een normaal leven leiden. Het helpt wellicht niet sterk voor mensen met sterke criminele neigingen, maar je kan niet over de gevangenispopulatie als 1 groep spreken naar mijn mening.

"En daar zal wat aan gedaan moeten worden, netwerken beter beveiligen en script kiddie forums nog beter monitoren. "

Hmm ja, zoals aan zoveel 'wat aan gedaan moet worden'. Een beetje loze term om maar niet te zeggen dat je er niks aan moet doen.

"Vandaag de dag zie je kinderen al met een telefoon als een zombie over straat lopen en dan krijg je al snel de hype dat ze onderling vertellen "oh weet je ik heb een cool programma, kost maar 40 euro en daar kun je dit mee doen"."

Wat mij betreft is dat niet anders dan wapens of vergif. Je kan voor een prikkie een goed mes of een zakje gif kopen en daar met gemak iemand mee omleggen. Dat betekent niet dat we nu met z'n alleen met malienkolders en norrit hoeven rond te lopen omdat elke puber zo'n moordwapen kan aanschaffen. Net zo min hoeven we ook niet massaal nog meer ddos-bescherming en nog bredere peering links te huren omdat elke puber een ddos kan inkopen.

Het primaire actiepunt zal toch zijn om het duidelijk te maken dat je niet met dit soort dingen wegkomt, dat gebeurt gelukkig al. Hoe minder 'vrijblijvend' het lijkt, hoe minder een scriptkiddie geneigd zal zijn om voor de grap of zelfbevestiging dit soort acties uit te gaan voeren.

[Reactie gewijzigd door Lekkere Kwal op 6 februari 2018 15:21]

Die volg ik niet, het recidive percentage is toch niet (dicht bij) 100%? Het is wel voor veel groepen meer dan 50%, maar dat is toch nog geen 'vrijwel alle'?
Maar ik zeg ook niet dat iedereen die een celstraf heeft recidiveert. Ik zeg alleen dat celstraf vrijwel niet helpt tegen recidive. Dat niet iedereen na een celstraf recidiveert betekent niet dat dit volledig het effect is van de celstraf. Andersoortige meer constructieve maatregelen hebben vaak een veel beter effect dan gewoon een celstraf.

In dat opzicht is mijn reactie wel wat ongenuanceerd, aangezien ik eigenlijk bedoel te zeggen dat celstraf van de verschillende mogelijke straffen doorgaans het minst bijdraagt aan de gewenste gedragsverandering.
"Maar ik zeg ook niet dat iedereen die een celstraf heeft recidiveert. Ik zeg alleen dat celstraf vrijwel niet helpt tegen recidive. "

Die zinnen staan haaks op elkaar. Als de helft van de gedetineerden niet recidiveert na een celstraf, hoe kan de celstraf dan geen effect hebben op recidive?

" Andersoortige meer constructieve maatregelen hebben vaak een veel beter effect dan gewoon een celstraf."

Maar dat is ook wat wel degelijk wordt toegepast in het gevangeniswezen, het is niet zoals in films dat je een streepje op de muur zet totdat je vrijkomt of langs de weg staat met een pikhouweel. Je wordt wel degelijk begeleid, maar ze kunnen er niks aan doen als je niet wilt veranderen. wat bij die andere constructieve programma's net zo is.
Nee dat is niet logisch wat je zegt. Dat zou betekenen dat de enige reden waarom een deel van de criminelen niet recidiveert, is omdat ze in de cel hebben gezeten. Daar neem je ten onrechte een causaal verband aan. Jouw redenering zou tot gevolg hebben dat als personen geen gevangenisstraf krijgen (en ook geen andere straf), zij per definitie zullen recidiveren. Er zij genoeg personen die eenmaal de wet overtreden en het sowieso niet nogmaals zouden doen, ongeacht of ze ervoor gepakt worden en ongeacht of ze daarvoor een celstraf krijgen.

Ik heb nooit beweerd dat celstraf betekent dat je wordt opgesloten met een pikhouweel. Ik zeg alleen dat celstraf (dus opgesloten worden) op zich minder effectief is dan andere vormen van straf, zoals ook uit onderzoek blijkt.
Stelling 1:
En voor vrijwel alle criminelen geldt dat een celstraf recidive niet helpt voorkomen.
Stelling 2:
Ik zeg alleen dat celstraf (dus opgesloten worden) op zich minder effectief is dan andere vormen van straf, zoals ook uit onderzoek blijkt.
Celstraf helpt recidive niet voorkomen, of is celstraf "opzich minder effectief zoals ook uit onderzoek blijkt"?
Uit welk onderzoek blijkt dat celstraf recidive niet voorkomt/minder effectief is?
Eens inderdaad dat mijn stelling 1 niet klopt. Die is te kort door de bocht. Ik bedoelde stelling 2. En die onderzoeken zijn er legio, zie ook wat een ander had gepost: https://www.rijksoverheid...dive/verminderen-recidive

[Reactie gewijzigd door MennoE op 7 februari 2018 20:45]

Omdat het heel goed mogelijk is dat de helft van de gevangenen ook zonder celstraf niet zouden recidiveren.

[Reactie gewijzigd door ronny op 6 februari 2018 20:02]

Het was maar een voorbeeld.
Maar ben eerlijk mensen die aandacht nodig hebben en er zo ver voor gaan is best wel ziekelijk gestoord. Dat was het punt dat ik wilde maken. Of je nu ziekelijk gestoord bent en een kind verkracht of bedrijven gaat aanvallen voor de aandacht. In beide gevallen ben je niet goed snik. Zeker is het absoluut niet hetzelfde..
Er bestaat niet zoiets als iemand die 'niet goed snik' is en iemand die dat niet is, het is niet zoiets simpels als wel of niet zwanger zijn. Elk persoon heeft een zekere mate van 'gek' gedrag, dat is alleen maar menselijk. De vraag is in hoeverre de 'gekke' kant voor problemen zorgt in het leven van de persoon, nog ongeacht de strafbaarheid van z'n gedrag. Op basis van allerlei kwalificaties kan je een persoon wel een stempel geven van bijvoorbeeld een persoonlijkheidsstoornis, maar dat betekent niet automatisch dat die persoon crimineel is of zal worden. Er zijn genoeg narcisten die zich zelf zeer onpopulair maken in de samenleving tot isolatie aan toe, maar nog geen zakje drop durven te stelen.

Bij een vergrijp gaat men er vanuit dat een verdachte bewust heeft gehandeld. Hoe absurder het vergrijp (denk aan moord met verkrachting, kinderdelicten) hoe eerder psychisch onderzoek erbij gehaald wordt, maar dan moet je echt iets heftigs gedaan hebben. Een ddos uitvoeren en dan zelfbevestiging zoeken hoort daar niet bij. Dan blijft de verdediging over om te proberen hard te maken dat de verdachte door z'n 'afwijking' het delict begaan heeft (en dus niet of minder toerekeningsvatbaar is), maar die kans is vrij klein bij economische delicten. Een afwijking werkt normaal gesproken in alles door, men is niet opeens 'kleptomaan' als hij een oled-tv bij de media markt steelt terwijl hij de rest van de tijd alles netjes betaalt wat hij wil kopen.
Dat gaat wat ver...
Ondanks dat dit vervelend is en opsporing heel veel geld kost is er niemand die echt last heeft van een DDOS aanval. Dan kan ik even geen geld overmaken, vervelend... Maar over een paar uur lukt het wel.
Dan kan ik even niet bij een website, vervelend... Over een uurtje nog eens proberen.

Tuurlijk het zal geld kosten, maar ik heb liever 10 DDOS aanvallen, dan ťťn verkracht kind, waarbij het leven nooit meer hetzelfde zal zijn.

Vandaag de dag gaat iedereen weer verder tot de orde van de dag, die DDOS aanvallen zijn we volgende week vergeten...
Nou nee hoor ik overdrijf niet, in dit geval gaat het om maar enkele ntp/dns servers, ok 40gbps is dan wel weer wat veel. Maar van een paar uur lang telkens.
Maar heb zelf gevallen mee gemaakt waar maanden lang iedere dag 6+ uur over de 20 duizend verschillende IOT devices je servers bekogelen. Dan ben je dus doomed en kun je flink wat extra geld neertellen om je website in de lucht te houden. Je kosten worden dus zomaar uit het niets aanmerkelijk hoog, en als je zaak al slecht lopende zou zijn dan heb je helemaal pech. Game over dus.

[Reactie gewijzigd door r_AllocStarByte op 7 februari 2018 11:41]

Volgens de rijksoverheid:
Het percentage ex-gedetineerden dat binnen 2 jaar na vrijlating opnieuw in de fout gaat is 47%. Na een taakstraf of een reclasseringstoezicht is dat minder: 34%.
Zonder de discussie helemaal gevolgd te hebben, en zonder zelf nog verder zitten te zoeken naar verdere cijfers / omstandigheden komt dit het eerste in mij op:

Kan het zo zijn dat gevangenisstraffen vaker worden opgelegd bij delicten, waarvan het daderprofiel al een verhoogde kans geeft op recidive? En dat taakstraffen of reclasseringstoezicht opgelegd worden bij minder heftige vergrijpen? Met andere woorden: Het feit dat iemand een gevangenisstraf krijgt kan het gevolg zijn van een bepaald vergrijp, maar het feit dat iemand recidive-gevoelig is kan een gevolg zijn van een bepaalde karaktereigenschap/stoornis/psychologie van een persoon. De oorzaak van de recidive-gevoeligheid kan dezelfde zijn als de oorzaak waarom iemand in eerste instantie een misdrijf heeft gepleegd en dus een gevangenisstraf heeft gekregen.
Precies, maar zolang ze opgesloten zitten hebben 'wij' er in ieder geval geen last van. Vandaar dat echt levenslang ook prima werkt. Maargoed, dat is weer een andere discussie.
Precies, maar zolang ze opgesloten zitten hebben 'wij' er in ieder geval geen last van.
Zolang die botnets voor een prikkie te huren zijn houdt je dit. Nu wordt er een opgepakt, volgende week is er weer een ander scriptkiddie die hetzelfde trucje doet. Dit keer het geluk dat de dader in Nederland woonde en heel laks was. Als het iemand uit het buitenland betreft dan is oppakken ook nog veel moeilijker. Als het iemand is met een groter botnet (en dus veel meer dan een paar websites kan platleggen en misschien wel voor dagen in plaats van uren) dan is de schade vele malen groter.
Zo lang ze binnen zitten wel hoor :+
Begeleiding en behandeling is prima, maar dan moet een persoon daar wel open voor staan. Een gevangenisstraf kan dan net genoeg zijn om iemand zn leven te laten omgooien, maar ik snap ook dat na 2-3 keer een celstraf dat effect ook weg is.
Dat hoeft ook niet altijd het doel te zijn. Soms moet iemand gewoon op de blaren zitten voor datgene wat hij heeft gedaan. Een celstraf heeft ook als doel om de samenleving gerechtigheid te bieden. Bij zwaardere deliquenten om de samenleving te beschermen.
De persoon heeft gewoon een probleem en kickt op de aandacht die hij aanricht met zijn ddos aanvallen. In plaats van een celstraf zal het voor de jongen veel beter zijn om hem psychisch te laten onderzoeken en hem te laten behandelen.
En waar maak je uit op dat de dader een op aandacht belust iemand is? :? Door de acties die hij doet? Wellicht kicked hij er juist op om een dergelijke aanval te doen en de (eventuele) erkenning die het mogelijkerwijs oplevert, maar daar hoef je zeker niet een aandachtstrekker voor te zijn. Een psychisch onderzoek naar zo'n persoon gaat dan ook weinig opleveren ben ik bang.
Ik snap daarnaast ook niet hoe eenvoudig het is om voor zo weinig geld en moeite stresstesten te laten doen op sites die de persoon niet in beheer heeft. Misschien ook een eye-opener voor de desbetreffende instanties. Misschien moet de controle en informatie voor bedrijven die stress testen aanbieden ook strenger en zal de Nederlandse overheid en de Europese Unie hier strenger op moeten controleren.
Sorry, maar waarom moet alles maar vanuit de politiek met regeltjes en wetten geregeld worden? Dat heeft echt geen enkele zin. Elke (ICT) omgeving is anders, je kunt dus ook niet dergelijke bedrijven die stresstests aanbieden zomaar via wetten en regels laten reguleren, dankzij de diversiteit aan infrastructuur bij (potentiŽle) klanten. Daarnaast is het aan het bedrijf of instelling zelf om zoiets te gaan doen of niet, alsmede is de verantwoordelijkheid een goede beveiliging te hebben aan het bedrijf en niet aan de Nederlandse overheid of de EU. Ik zou zeggen, laat de politiek er vooral buiten.

Over het artikel; tof achtergrond artikel! Over dit soort dingen wil ik wel vaker lezen. Al had ik eerder verwacht dat het een artikel van Kees zelf zou zijn, eventueel met net wat meer diepgang / informatie dan nu gegeven is. Nu komt het artikel op mij vooral over als een eigen veer uitdelen en pronken met het werk van vooral een ander.

Hoewel het natuurlijk mooi is voor Kees en de betrokkenen om bij te hebben gedragen aan de arrestatie, vind ik het aan de andere kant wel een beetje pochen / haantjes gedrag, door de manier waarop Tweakers gekozen heeft er een artikel over te schrijven.
Ik mis de artikelen van Kees zoals hij ze vroeger wel schreef, maar wellicht kijk ik verkeerd op Tweakers of heb ik iets uit staan waardoor ik het niet zie wellicht?

[Reactie gewijzigd door CH4OS op 6 februari 2018 11:38]

Daarnaast is het aan het bedrijf of instelling zelf om zoiets te gaan doen of niet, alsmede is de verantwoordelijkheid een goede beveiliging te hebben aan het bedrijf en niet aan de Nederlandse overheid of de EU.

Op een gegeven moment (en dat moment zit er erg vlug aan te komen gezien de situatie waar het om gaat) moet je als overheid toch gaan ingrijpen - zoals we hebben kunnen zien is het steeds moeilijker om aanvallen te mitigeren doordat de hoeveelheid bandbreedte die aanvallers in kunnen huren (en met technieken eventueel kunnen verveelvoudigen) veel meer is dan de meeste bedrijven aan kunnen.

Heck, zelfs giganten zoals Google kunnen op den duur flink in de problemen gaan komen, als je ziet dat er al IoT-botnets van 1 TB/s gesignaleerd zijn.

Edit: bedrijven, niet bronnen :/

[Reactie gewijzigd door MicBenSte op 6 februari 2018 11:49]

Op een gegeven moment (en dat moment zit er erg vlug aan te komen gezien de situatie waar het om gaat) moet je als overheid toch gaan ingrijpen - zoals we hebben kunnen zien is het steeds moeilijker om aanvallen te mitigeren doordat de hoeveelheid bandbreedte die aanvallers in kunnen huren (en met technieken eventueel kunnen verveelvoudigen) veel meer is dan de meeste bronnen aan kunnen.
Tweakers heeft (samen met True, de hoster) de aanval enigszins kunnen afslaan, weinig was er in elk geval te merken van de DDoS-aanval voor de gewone gebruikers.

Het is dus eerder de vraag waarom banken, die financieel toch breder zitten dan Tweakers zou je zeggen, de aanvallen niet hebben kunnen afslaan en Tweakers wel.

Zolang een minder draagkrachtig bedrijf als Tweakers (in vergelijking met banken that is) een aanval wel kan afslaan, maar banken niet, is er wat mij betreft genoeg ruimte voor verbetering bij de banken en is politieke bemoeienis (waar vaak toch ook mensen zitten die amper een IT-achtergrond hebben op een enkeling na, die dan weer geen vuist kunnen maken) echt nog lang niet nodig.

Laat de banken dus eerst maar hun infrastructuur maar (verder) fortificeren, nu is het net een kaartenhuis, elke keer weer. En als fortificeren niet werkt, wellicht toch maar terug naar wat meer ouderwets met papieren acceptgiro's en dergelijken gaan werken om betalingen te verwerken.

Daarbij rijst bij mij ook de vraag, wat de politiek dan zou moeten doen; zonde om daar extra belastinggeld in te steken in elk geval.

[Reactie gewijzigd door CH4OS op 6 februari 2018 12:00]

Je hebt een punt re de banken - alleen heb ik zo'n donkerbruin vermoeden gezien eerder nieuws re DDOS aanvallen op banken op eerdere momenten in de geschiedenis, dat er wat meer technische complicaties zijn t.o.v. 'regulier' webverkeer om een aanval af te slaan doordat je rekening moet houden met de aard van banken (maar dat is in mijn geval slechts een slag in de lucht - ik ken de details niet van hoe zoiets opgezet wordt door de banken). Re politiek - het hoeft geen uitgebreid iets te zijn, maar bv een maatregel om iig, zoals ik eerder noemde, services zoals stressers meer onder controle te brengen.

Zelf zou ik er voorstander van zijn als op de lange duur landen gewoon een 'internetschild' voor nuts- en overheidsinfrastructuur ontwikkelen, maar dat zal ongetwijfeld wel even duren om te ontwikkelen zelfs als de overheid morgen zoiets voorstelt.
Een HTTPS-verbinding bij een bank naar een client, is niet anders dan een HTTPS-verbinding naar een bezoeker van Tweakers. ;) Dus het (web)verkeer is voor de clients <-> servers niet heel anders. Voor servers <-> servers in de eigen infrastructuur allicht, maar voor het verkeer wat naar buiten gaat dus niet. Het is niet dat omdat een bank een beveiligde verbinding gebruikt, deze opeens anders is als voor een 'normale' site zoals Tweakers, of ik snap jouw punt wellicht niet. Ook begrijp ik niet wat je bedoeld met de re's in jouw reactie, dus het leest wat suboptimaal, als ik zo eerlijk mag zijn.

[Reactie gewijzigd door CH4OS op 6 februari 2018 13:49]

het leest wat subomtimaal
:+ Dit ook.

OT: Het is heus wel te verbieden en ik zou niet weten waarom het daarbij iets uit zou maken dat 'elke IT omgeving anders is'. Alles zit op hetzelfde internet en gebruikt dezelfde protocollen.

Het is eerder de vraag hoeveel wetten gaan helpen aangezien je ook vanuit het buitenland zo'n stresser-dienst aan kunt bieden.

Overigens zijn er heus wel wat maatregelen te nemen en dat gebeurt ook. Of dacht je dat banken etc nu voor het eerst hiermee te maken kregen? Schering en inslag is het.
OT: Het is heus wel te verbieden...
Het feit dat hij is gearresteerd en dus ergens van verdacht wordt, geeft al aan dat het momenteel al verboden is.
Het is eerder de vraag hoeveel wetten gaan helpen aangezien je ook vanuit het buitenland zo'n stresser-dienst aan kunt bieden.
Het is al reeds verboden, zij het niet zo zwart/wit als men zou willen, maar het fefit dat hij is gearresteerd en in voorarrest zit, zegt natuurlijk al wel genoeg. Een arrestatie wordt niet zomaar gedaan, daarvoor moet dus wel een grond / verdenking zijn om diegene te arresteren. ;)
Overigens zijn er heus wel wat maatregelen te nemen en dat gebeurt ook. Of dacht je dat banken etc nu voor het eerst hiermee te maken kregen? Schering en inslag is het.
Natuurlijk is het geen probleem van vandaag of gisteren, dat weet ik ook wel, maar dat maakt voor mijn punt toch ook niets uit? Feit blijft dat banken zich nu ook niet goed verweren tegen aanvallen, zoals dat dan dus waarschijnlijk al jaren het geval is, terwijl een site als Tweakers, wat toch een lager (IT-)budget heeft dan de banken een dergelijke DDoS aanval wel kan afweren. Dat zegt dus wat over de infrastructuren van zowel Tweakers (beheerd door o.a. Kees) in positieve zin, als de banken, helaas in negatieve zin, terwijl je anno 2018 wel anders zou mogen verwachten, juist van een bank, waarbij alles steeds maar meer digitaal moet, omdat het scheelt in o.a. personeelskosten en snelheid.

Je zou dus zeggen dat men wat zou hebben gedaan, met de aanvallen vanuit het verleden, maar men lijkt liever de knip erop te houden, want de ICT-kosten zijn al zo hoog. Men heeft liever dat men een weekend onbereikbaar is, dan dat men een §30.000 - §50.000 euro uitgeeft voor goede maatregelen om dergelijke aanvallen af te weren.

[Reactie gewijzigd door CH4OS op 6 februari 2018 13:59]

[...]
Het feit dat hij is gearresteerd en dus ergens van verdacht wordt, geeft al aan dat het momenteel al verboden is.
Het ging over het verbieden van stressers. Niet van DDOS'en ;)
Je zou dus zeggen dat men wat zou hebben gedaan, met de aanvallen vanuit het verleden, maar men lijkt liever de knip erop te houden, want de ICT-kosten zijn al zo hoog.
Als je het zo formuleert, lijkt het alsof je ervan overtuigd bent dat die banken en andere site gewoon zitten te wacht op wat komen gaat en niets doen aan DDOS voorbereiding. Dat is echt niet zo. Alleen zetten ze niet alles in de krant… Zetten er ook niet precies bij wat hun maximale capaciteit is, zoals Tweakers hier doet in het artikel.
Men heeft liever dat men een weekend onbereikbaar is, dan dat men een §30.000 - §50.000 euro uitgeeft voor goede maatregelen om dergelijke aanvallen af te weren.
Ik denk toch dat je de zaak een beetje onderschat. Een beetje serieuze load balancer alleen kost al § 20.000 per stuk. Tweakers is een mooie club en zeker voor Nederlandse begrippen een groot aantal leden, maar deze banken hebben toch echt een orde groter aantal klanten / bezoekers, betalingen, pageviews etc. per dag.

[Reactie gewijzigd door breakers op 6 februari 2018 14:46]

Ik denk dat je 1Tbps bedoelt en geen 8Tbps, OVH, Google, ... kunnen deze aanvallen 'makkelijk' aan.
waar maak je uit op dat de dader een op aandacht belust iemand is? :? Door de acties die hij doet? Wellicht kicked hij er juist op om een dergelijke aanval te doen en de (eventuele) erkenning die het mogelijkerwijs oplevert, maar daar hoef je zeker niet een aandachtstrekker voor te zijn. Een psychisch onderzoek naar zo'n persoon gaat dan ook weinig opleveren ben ik bang.
Eh… dit is wel degelijk om aandacht vragen en niet zo'n beetje ook. Zeker als je bedenkt dat hij al eerder bekend heeft en zijn excuses heeft aangeboden bij Bunq. Best mogelijk dat er nog meer problemen bij zitten zoals een gebrek aan inzicht voor de gevolgen of zo, maar normaal is dit niet. Doet een beetje denken aan een pyromaan of kleptomaan.
Je gaat er dan vanuit dat de persoon die bekend is, inderdaad dezelfde persoon is die de aanvallen uit dit artikel ook op zijn geweten heeft, terwijl daar nog niemand voor veroordeeld is. Je weet dus niet 100% zeker of het zo is, maar je gaat er wel vanuit dat hij inderdaad de schuldige is. Voor hetzelfde geld is hij een medeplichtige, of wat erger, de zondebok. Je weet ook niet om wie het gaat en hoe hij als persoon is, dus oordeel je ergens over, zonder details te weten. Dan maak je wat mij betreft een wat voorbarige conclusie door ervan uit te gaan dat hij inderdaad aandacht zoekt.
OK, het kan iemand anders zijn, maar het punt blijft overeind dat deze persoon / personen DDOS'en om voor gezonde mensen onbegrijpelijke motieven. Er is geen sprake van een poging tot afpersing, er is geen wraakmotief, er is ook totaal geen lijn te ontdekken in de doelwitten – anders dan dat het populaire sites zijn. Kortom, er blijft weinig anders over dan het motief waar veel jongens van die leeftijd last van hebben. Testosteron, wat zich bij sommigen uit in stoerdoenerij, onzekerheid, geldingsdrang, haantjesgedrag. Alleen blijft het bij de meesten bij een keertje uitproberen terwijl deze pipo bezig blijft.
Ik ken genoeg mensen die dergelijke dingen vroeger voor de lol / kick deden en totaal niet om aandacht, wat tegenwoordig veel meer een motief is.
Ze moeten de kosten maar eens gaan verhalen op dit soort gasten. Is de lol er snel af!

Ik heb ook wel eens met dit soort situaties te maken als webhost, heb medelijden met Kees die er zijn tijd aan heeft moeten verspillen.
Het is dat ze nu de dader hebben, dan kan dat. Meestal wordt de dader niet gevonden, op wie verhaal je dan de kosten?
Niet. Dat is helaas iets waar wij tot nu toe altijd mee te maken hebben gehad.

Wij bieden onze klanten nu een ddos protectie aan die ze maandelijks kunnen afnemen tegen betaling. De meeste klanten die het afnemen hebben slechts 1 a 5x per jaar een flinke aanval. Dan is het nog wel te doen, je spreidt in feite de kosten over meerdere klanten.
Gelukkig hebben wij weinig klanten die echt in een risico categorie zitten.
[…]je spreidt in feite de kosten over meerdere klanten.
Dit is uiteraard bijna altijd de conclusie bij vandalisme, of hoe je het ook wil noemen.

Vergis je niet, alles bij elkaar is het een miljardenindustrie. Denk je eens in wat een geld en tijd feitelijk verspild wordt, van fietssloten tot de bewaking van complete industrieterreinen, van autoverzekering tot politiewerk. Alleen maar omdat een klein gedeelte van de mensen zich niet kan gedragen.
Tja, maar dan kreeg je ook appeltaart als je iets had gepresteerd bij xs4all. 40E uitgeven om een ddos met dns amplify neer te zetten noem ik geen technische prestatie, eerder zielig machtsvertoon: "Kijk eens hoe snel ik met mijn leenauto kan rijden, en dat voor 40E"
Ik zeg toch ook nergens dat het een topprestatie is?
klopt, ik ook niet. Appeltaart verdienen vind ik wel een goede/leuke/nuttige 'samenwerking'.
En er zijn ook heel veel mensen die, ter bescherming van hun eigen ego, met leugens komen als "het was alleen maar om die persoon bang te maken", "ik deed het voor de lol", etc. Dit omdat de echte reden (bijv. ik heb een minderwaardigheidscomplex en wil me zo machtig voelen) ze teveel confronteert met zichzelf.

Hoe dan ook, het was denk ik vooral een combinatie van factoren: relatieve anonimiteit in combinatie met een gevoel van spanning en macht.
"Sorry, maar waarom moet alles maar vanuit de politiek met regeltjes en wetten geregeld worden?"
Zie de stresser als een geweer, die het mogelijk maakt een misdaad te begaan. Politie heeft ook geweren, genoeg andere mensen ook in Nederland. Het is niet onmogelijk om eraan te komen, maar is het wel altijd geregisteerd en makkelijker te traceren als deze tools daadwerkelijk worden ingezet voor verkeerde doeleinden. Waarom zou dat voor een Stresser een ander verhaal zijn?

"vind ik het aan de andere kant wel een beetje pochen / haantjes gedrag"
Eerlijk is eelijk, was er met alle waarschijnlijkheid zonder het onderzoek van tweakers te weinig direct bewijs geweest dat het deze aanvaller was. Dus vind persoonlijk dat ze volkomen in hun recht staan om te zeggen dat ze essentiele bijdrage geleverd hebben bij arrestatie. En pochen of niet, mag best duidelijk zijn dat tweakers dit soort zaken ook daadwerkelijk onderzoekt. En elk foutje benut. Om eventuele herhaling te verkomen.
"Sorry, maar waarom moet alles maar vanuit de politiek met regeltjes en wetten geregeld worden?"
Zie de stresser als een geweer, die het mogelijk maakt een misdaad te begaan. Politie heeft ook geweren, genoeg andere mensen ook in Nederland. Het is niet onmogelijk om eraan te komen, maar is het wel altijd geregisteerd en makkelijker te traceren als deze tools daadwerkelijk worden ingezet voor verkeerde doeleinden. Waarom zou dat voor een Stresser een ander verhaal zijn?
Appels en peren vergelijk je hier naar mijn idee. Wapens kun je iemands leven mee beroven, met een DDoS aanval kan dat niet. Weliswaar andere zaken dan weer wel, maar dat is nog altijd minder erg dan een kogel door je kop. Dus wat mij betreft gaat de vergelijking daar al mank.
"vind ik het aan de andere kant wel een beetje pochen / haantjes gedrag"
Eerlijk is eelijk, was er met alle waarschijnlijkheid zonder het onderzoek van tweakers te weinig direct bewijs geweest dat het deze aanvaller was. Dus vind persoonlijk dat ze volkomen in hun recht staan om te zeggen dat ze essentiele bijdrage geleverd hebben bij arrestatie. En pochen of niet, mag best duidelijk zijn dat tweakers dit soort zaken ook daadwerkelijk onderzoekt. En elk foutje benut. Om eventuele herhaling te verkomen.
Daarom dat ik zeg dat ik eerder verwacht had, dat het artikel geschreven was door Kees, niet door Wout. ;) Dat geeft toch net dat ene beetje credit meer, die Kees toch zeker wel verdiend, maar wat nu onderbelicht blijft.

Enne, verkomen? Niet voorkomen? ;)

[Reactie gewijzigd door CH4OS op 6 februari 2018 14:08]

Nou dan verschillen we daar van mening. Ik vind de tools om dit soort grote impact op de samenleving te hebben toch echt wel vergelijkbaar. Wat als dit voorbeeld voorkomt bij eerste-hulp afdelingen van ziekenhuizen. Is het dan wel appels en appels? Het gaat om de impact die deze tools kunnen hebben, vind ik niet vreemd dat je dit gereguleerd wil hebben en enkel beschikbaar voor mensen die er zorgvuldig mee om kunnen gaan toegang krijgen.

Het artikel beschrijft wat Kees allemaal gedaan heeft met de aanvallen op Tweakers en hoe hij daaruit de dader heeft weten op te sporen. Maar als dit artikel door Kees zelf was geschreven had hij meer credit gekregen? Klinkt mij als omgekeerde logica in de oren: "Wij van Wc-eend adviseren Wc-eend", dat idee zeg maar. Maar dat zal een smaak dingetje zijn, vind het een duidelijk artikel met verdiende lof richting Kees.
Enneh, verkomen? Niet voorkomen? ;)
Ja, voorkomen. Alleen niet echt handig dat je bij het verbeteren van iemands taal begint met een woord dat niet bestaat. ;)
Nou dan verschillen we daar van mening. Ik vind de tools om dit soort grote impact op de samenleving te hebben toch echt wel vergelijkbaar. Wat als dit voorbeeld voorkomt bij eerste-hulp afdelingen van ziekenhuizen. Is het dan wel appels en appels? Het gaat om de impact die deze tools kunnen hebben, vind ik niet vreemd dat je dit gereguleerd wil hebben en enkel beschikbaar voor mensen die er zorgvuldig mee om kunnen gaan toegang krijgen.
Ook dan zijn het appels en peren. De EHBO-afdelingen hebben sowieso geen connectie naar de buitenwereld, enkel via een beveiligde verbinding om patientendossiers op te halen. ;) Ook zijn naar mijn idee ziekenhuizen beter voorbereid op dergelijke aanvallen dan banken dat in de praktijk zijn, want van ziekenhuizen lees je veel minder dat er DDoS aanvallen op zijn dan op banken. Ze zullen er vast zijn, maar blijkbaar is het dan minder grootschalig of hinderlijk dan bij banken.
Ja, voorkomen. Alleen niet echt handig dat je bij het verbeteren van iemands taal begint met een woord dat niet bestaat. ;)
Het was een verkeerde spelling, het woord bestaat wel degelijk; enne. ;)

[Reactie gewijzigd door CH4OS op 6 februari 2018 14:13]

[...]
Ook dan zijn het appels en peren. De EHBO-afdelingen hebben sowieso geen connectie naar de buitenwereld, enkel via een beveiligde verbinding om patientendossiers op te halen. ;) Ook zijn naar mijn idee ziekenhuizen beter voorbereid op dergelijke aanvallen dan banken dat in de praktijk zijn, want van ziekenhuizen lees je veel minder dat er DDoS aanvallen op zijn dan op banken. Ze zullen er vast zijn, maar blijkbaar is het dan minder grootschalig of hinderlijk dan bij banken.
[...]
Weet niet waar jij je wijsheid vandaan haalt, maar is toch echt niet zo dat EHBO afdelingen net zo zijn ingedeeld als kerncentrales. Daarbij geef je zelf al aan dat er toch verbindingen naar buiten zijn, dus per definitie ook wegen naar binnen.
Daarnaast gebeurt het minder omdat er minder te behalen is, minder eer, minder wat dan ook. Maar dat geld niet voor degene die echt kwaad voor ogen heeft en daadwerlijk de samenleving iets wilt aandoen. Dus leuk dat je ideeen hebt over de ICT structuur van EHBO afdelingen, die verreweg van de waarheidliggen in mijn optiek. Maar het gaat om het gevaar dat mogelijk is, en waarom je dat mogelijk zou willen houden? Wat is het probleem met een registratie om dit soort zaken te voorkomen of tracering mogelijk te maken?
[...]
En waar maak je uit op dat de dader een op aandacht belust iemand is?
Omdat hij herhaaldelijk de aandacht op zichzelf vestigt ivm de DDOS.
Yep, he's homesteadin' the noosphere
Je eerste punt ben ik het mee eens, maar je maakt dat al invalid met je 2e punt. Rephrase: je maakt je 2e punt invalid, met je eerste
Als 'iedereen' ineens denkt van; "goh, ez aandacht als ik een DDoS uitvoer"... Tuurlijk niet. Dat soort mensen zijn niet helemaal lekker en zullen (zoals je in je eerste punt aanmerkt) zich even moeten laten onderzoeken.

Over controle wie de DDoS op wie en van waar uitvoert. Dat kan, maar de bandbreete koop je gewoon op, en verkopen ze (de network stressers) als het ware gewoon weer door. De overheid / EU kan daar vrij weinig mee. Zie Cryptomunten: het leeft op het internet, valt moeilijk de controleren (kort door de bocht). Opties die ik zie is dat de AMX bijv gewoon die adressen blockt van bekende stressers. maarja, er is voor betaalt, toch?

[Reactie gewijzigd door D0phoofd op 6 februari 2018 10:50]

Aan een bot netwerk kun je niets doen, aan een stresser wel. Je zou om te beginnen het illegaal kunnen maken voor de dienst om dit aan willekeurige personen aan te bieden.

Daarmee roei je het niet uit, maar er is wel een drempel. Ik maak graag de vergelijking met de fysieke wereld. Stel je hebt een winkeltje en er is een dienst waarmee je 10.000 autos per direct richting de winkel stuurt.

Als dit twee keer zou gebeuren, zouden er kamervragen komen, en op korte termijn een verbod. Er is geen reden om dit in de digitale wereld te tolereren, bedrijven kunnen ten onder gaan aan dit soort grappen.
Ja, zeker waar! Maar als er 10k auto's de zelfde bestemming hebben, worden de wegen verbreed (zoals nu
al het geval is). Als iedereen ineens DDoS'es gaat uitvoeren leggen ze ook hun eigen internet plat...

Je hebt voorkomen en genezen. Genezen doen we nu (wegen verbreden). Voorkomen is niet zomaar gebeurd. En nee, verbieden is geen niet de beste optie. Misschien voor een Nederlander wel. Maar dat is weer achteraf, "oh je hebt een stresser gebruikt? Foei! (extra straf)".

[Reactie gewijzigd door D0phoofd op 6 februari 2018 11:22]

Waarom is verbieden geen optie? Als ik een dienst heb waarmee ik willekeurig winkels kan blokkeren, waarom zou dat niet illegaal gemaakt kunnen worden? Er is geen enkele belanghebbende bij een dergelijke dienst behalve de dienst zelf.
Stressers worden nu ook voor een ander doel gebruikt dan de bedoeling is. Dat maakt ze nu 'populair'.
Jouw winkel blokkade dienst is ook een slecht voorbeeld om die reden. Het heeft maar 1 functie. Stressers niet. Plus daarbij is het iets wat niet lokaal is. Wat als een Duitser, of een rus, Amerikaan verschillende stressers op nederlandse sites aan zet? De Nederlandse 'ban' op die stressers veranderd daar niets aan.

Ik kan ook 10 verschillende bezordiensten naar je deur sturen om 10 pizza's te laten bezorgen. Komt op het zelfde neer. Bezorgdienst is bedoeld om eten te bestellen, maar wie zegt dat het naar mijn huis moet?

[Reactie gewijzigd door D0phoofd op 6 februari 2018 11:34]

Als er geen controle is op die stressers is het gewoon een oerdomme dienst die in het leven is geroepen. Je vergelijking met een bezorgdienst gaat niet op, omdat het naar verhouding veel teveel geld kost om zo'n geintje uit te halen zodat de ontvanger er _echt_ last van heeft (je mag mij 10 gratis pizza's laten bezorgen: ik vries ze in en eet ze later op, bedankt! 1000 gratis pizza's wordt vervelend, maar kost jou ook duizenden euro's en er zal vanuit de pizzeria's controle op zijn dat ik niet zomaar 100 pizza's per pizzeria bezorgd krijg).

Voor (blijkbaar) een paar tientjes kun je een website plat leggen en duizenden euro's schade berokkenen. Bij een bank is de impact misschien nog wel veel groter. Die verhouding is zoek. Jouw pizza's kosten jou kapitalen en de ontvanger nauwelijks iets :)

Zodra je je bij een stresser verplicht moet identificeren voor je een product mag afnemen, is de lol er snel af. Dan had je bij een klacht direct de dader te pakken gehad.

[Reactie gewijzigd door Grrrrrene op 6 februari 2018 12:22]

Jouw pizza's kosten jou kapitalen en de ontvanger nauwelijks iets
Betaling: PIN aan de deur, Contant.
In de regio waar ik woon kan ik makkelijk 40 verschillende zaken laten bezorgen. Gewoon bellen. Geen vpn etc. Zo moeilijk is het niet. Zelfde geldt voor de stressers. die controleren echt niet waar hun traffic heen gaat.
[...]

Zelfde geldt voor de stressers. die controleren echt niet waar hun traffic heen gaat.
Dat is toch juist het punt: stressers zouden moeten controleren wat er wordt aangevraagd en door wie. Hoe lang denk je dat een pizzeria het accepteert dat iemand met betalen aan de deur pizza's laat bezorgen bij een ander? Jouw telefoonnummer wordt vroeg of laat geblokkeerd en je krijgt de rekening voor de verloren pizza's.

Daarom klopt die vergelijking ook niet: een stresser heeft geen last van het platleggen van T.net, een pizzeria wel van het foutief bezorgen van tientallen pizza's. De stresser is vooraf betaald, jij maakt er nu ineens van dat je pizza's gratis laat bezorgen. Dat is geen juiste vergelijking.

[Reactie gewijzigd door Grrrrrene op 6 februari 2018 13:55]

Stressers zouden alleen pakketjes moeten versturen met als payload het ip/accountnaam van de aanvrager en de naam van de stresser. Voor legaal gebruik van een stresser boeit dat niet, voor illegaal gebruik kun je de dader zo oppakken.
En dat is best wel vreemd, waarom implementeren die stressdiensten niet een eenvoudige check waarmee je kunt bewijzen dat een domein of ip waar het heengaat ook van jou is?

Zoals bv Google dat doet met een html bestandje of bij het aanvragen van een ssl certificaat op een domeinnaam waar je een email adres moet kiezen uit de whois info.

Zijn genoeg eenvoudige manieren waar om even te laten zien dat je die server ook echt onder beheer hebt.
Je zegt dat de vergelijking krom is, maar komt zelf met een krommere vergelijking. Met een pizzadienst kun je de maatschappij geen schade aanrichten, hooguit een paar individuen.

Het maakt niet uit indien de stresser zich in het buitenland bevind. Goksites zitten ook in het buitenland, en kunnen ook gewoon verboden worden. Dat duwt de diensten de illegaliteit in. Het roeit ze niet uit maar het heeft wel degelijk effect. Er kan vanaf dat moment niet legaal geld verdiend worden, mogelijk komen figuren op de interpol lijst, of gaan belastingdiensten er achteraan. Iets wettelijk illegaal verklaren heeft wel degelijk een afschrikwekkend effect.
Waarom is verbieden geen optie? Als ik een dienst heb waarmee ik willekeurig winkels kan blokkeren, waarom zou dat niet illegaal gemaakt kunnen worden? Er is geen enkele belanghebbende bij een dergelijke dienst behalve de dienst zelf.
Je zou het in Nederland kunnen verbieden, via het darkweb koopt een dader het in het buitenland (of van iemand in NL die zich van de wet niets aantrekt) en heeft het alsnog. Als de aanvaller zelf in het buitenland zit heb je er nog minder grip op.

Je zou het kunnen vergelijken met semiautomatische wapens, die kan je in Nederland niet zomaar kopen. In de VS wel (met minimale inspanning), die wapens komen niet zomaar naar Nederland. In de vergelijking met ddos kan een dader gewoon naar de VS gaan, een wapen kopen, en naar Nederland schieten (zonder zelf in Nederland te zijn en zonder de wapens hier in Nederland in te voeren). De Nederlandse politie zal dan met de autoriteiten in de VS moeten coŲrdineren om de dader aan te pakken, dat kost tijd (zeker uren). Nu kan je de VS vervangen door een land waar Nederland geen (goede) diplomatieke betrekkingen mee heeft, dan verandert de tijd om zoiets aan te pakken van uren naar dagen of langer. Kortom, de wet kan er wel zijn, maar dat garandeert niet dat die wet ook gehandhaafd kan worden.
Wat is je punt? Dan maar niets verbieden, aangezien iets verbieden niet betekent dat mensen het niet alsnog doen?

Alles kan en mag? Dingen verbieden heeft nut. Het los dingen niet voor 100% op, maar het helpt.
Wat is je punt? Dan maar niets verbieden, aangezien iets verbieden niet betekent dat mensen het niet alsnog doen?
Op grotere schaal aanpakken? Nederland doet zoveel dingen in samenwerking (bewaken van het luchtruim, inlichtingenverzameling, grensbewaking), allemaal dingen met landsgrensoverschrijdend karakter. Hetzelfde is hier het geval (omdat daders de middelen en zelfs de uitvoering vanuit het buitenland kunnen halen/doen), het is dus m.i. niet vreemd om dat ook internationaal aan te pakken.

Ik denk daarbij in de eerste plaats aan aanpakken van de dader, als die in het buitenland zit wil je dat de autoriteiten daar zo snel mogelijk in kunnen grijpen. Andersom hetzelfde, als iemand hier een aanval doet op een doel in het buitenland dan wil je dat de politie hier in kan grijpen (op verzoek van het buitenland). Daarvoor is het handig als er afspraken zijn (wie moet onze politie contacteren bij een aanval uit bijvoorbeeld Frankrijk, waar wordt de dader berecht, etc.)

Ten tweede wil je de aanval af kunnen wenden, misschien zijn er wel technieken (eventueel te bedenken) om een ddos aanval te mitigeren, hoe weet ik niet, maar dat lijkt me wel iets om internationaal over na te denken. Zie bijvoorbeeld:
https://en.wikipedia.org/wiki/DDoS_mitigation.
Ik had het dus meer over voorkoming. Je stelt internationale samenwerking voor om snel daders op te pakken. Zeker een goede zaak. Nog handiger is de dienst aanpakken waar de dader gebruik van maakt.
Nog handiger is de dienst aanpakken waar de dader gebruik van maakt.
Dat gaat nationaal niet lukken, je zou de dienst hier misschien kunnen verbieden, haal je hem uit het buitenland of via het darknet (criminelen schijnen zich weinig van de wet aan te trekken). Zelfs al zou je alle commerciŽle producten (waar deze jongen volgens mij gebruik van maakte) wereldwijd verbieden, dan heb je altijd nog programmeurs die dit (of vergelijkbare zelfgemaakte software) zullen verhandelen (bijvoorbeeld via het darknet).

En nu hebben we het alleen nog maar over scriptkiddies (laten we wel wezen, dit hele artikel is toegewijd aan het opsporen van een jongeman zonder enige formele opleiding / ervaring op dit gebied, chapeau, kind opgespoord).

Als we een keer betrokken raken bij een oorlog (waarbij de vijand dit soort aanvallen inzet en we niet even simpel een jochie op kunnen pakken) dan zal het snel uit zijn met de pret, ze hoeven maar wat infrastructuur, wel allemaal tegelijk, (transporthubs als Schiphol en de Rotterdamse haven, ziekenhuizen, betaalsystemen, en media) plat te leggen en alles (economie, bedrijvigheid en de gemoedstoestand van burgers) komt tot stilstand. Dat houden we dagen vol, misschien weken, genoeg tijd voor een tegenstander om wat macht naar zich toe te trekken (bijvoorbeeld bezetten van strategische gebieden met bepaalde grondstoffen of tactische voordelen) zoals in de volgende stuk naar voren komt te verwezenlijken:
Aangezien er een einde komt van de hegemonie van de Verenigde Staten, zal er volgens De
Wijk een paradigmaverschuiving plaatsvinden. Alle internationale instituten zijn gestoeld op
westerse normen en waarden, maar de zeggenschap van deze westerse instituten zal verminderen.
De westerse landen zullen in een steeds moeilijker positie komen, omdat ze weinig
toegang tot grondstoffen en fossiele brandstoffen hebben. De kracht van ‘soft power’
erodeert en er vindt een ‘ondemocratisering’ plaats. Er wordt geen blok gevormd tegen de
westerse landen, maar ondemocratische landen mťt grondstoffen trekken naar elkaar toe. Daardoor wordt het onveiliger en zullen interstatelijke conflicten en invloedssferen belangrijker
worden.
https://www.atlcom.nl/sit...0de%20Haan%2022-01-09.pdf
Dit stuk is overigens niet van een of ander gekkie op internet, maar een visie van hoogleraar internationale betrekkingen en veiligheid de Wijk. Met dit in het achterhoofd lijkt voorkoming moeilijker en ben je meer gebaat bij mitigatie (afwenden van een aanval) en continuÔteit (zorgen dat we als land, als bondgenootschap, kunnen blijven functioneren tijdens een cyberaanval).

Verder ben ik het wel met je eens dat voorkomen (gericht op de scriptkiddies) een goed middel is, maar die bereik je misschien beter via het onderwijs, reclamecampagnes, misschien zelfs lokhackers (agenten die zich voordoen als verkoper van dergelijke software en de jongeren op die manier kunnen ontmoedigen of juridisch aanpakken).
Ik sta eigenlijk nog meer te kijken over de kennis die je ervoor nodig hebt en het vermogen wat ervoor benodigd is.
Met een schammele 40euro en een basiskennis van het internet breng je "het hele land" in rep- en roer.
> Over controle wie de DDoS op wie en van waar uitvoert. Dat kan, maar de bandbreete koop je gewoon op, en verkopen ze (de network stressers) als het ware gewoon weer door. De overheid / EU kan daar vrij weinig mee. Zie Cryptomunten: het leeft op het internet, valt moeilijk de controleren (kort door de bocht). Opties die ik zie is dat de AMX bijv gewoon die adressen blockt van bekende stressers. maarja, er is voor betaalt, toch?

Stressers kan je reguleren (bij voorkeur op Europees niveau) door te blokkeren tenzij ze ID-verificatie doorvoeren (dus verifieren dat degene die de test aanvraagt daar toe gemachtigd is). En ja, je kan het laten blokkeren - genoeg wettelijke mogelijkheden om IP&DNS-blokkades door te laten voeren. Degenen die daar om heen komen zijn toch degene die wel een andere uitkomst wel anders vinden. Je maakt iig de drempel wat hoger, zodat niet bv 'tante Annie' een aanval kan laten uitvoeren als ze geirriteerd over iets is.

Edit: heel erg pijnlijke typo verholpen...

[Reactie gewijzigd door MicBenSte op 6 februari 2018 11:26]

Heel ingewikkeld hoeft dit niet eens te zijn:
- Default: geen enkele IP range mag gestress-test worden.
- Via je LIR of RIR kun je vervolgens jouw eigen IP ranges, of delen daarvan, "unlocken" voor een stresstest.

Het lijkt mij waarschijnlijk dat de meeste commerciŽle stressers er zelf ook een IP range op nahouden, wat de RIR in staat stelt om sancties op te leggen en je minder afhankelijk bent van wetgeving in specifieke landen. (Er zullen altijd landen zijn die geen zin hebben in dergelijke wetgeving, om wat voor reden dan ook.)
Het is inderdaad wat lastig zo, want de informatie heeft ook beterkking op het andere nieuwsbericht:
https://tweakers.net/nieu...oeren-ddos-aanvallen.html

Wat ik met mijn tweede punt wil zeggen en dit heeft geen betrekking tot de persoon in kwestie is dat jonge lezers en niet alleen lezers van Tweakers maar misschien ook van nieuws sites nu gaan denken goh laat ik het ook eens proberen als het zo makkelijk is. Als een kwajongens actie. Dit kan bij elke site dus ook van een school of iets dergelijks.

De persoon in kwestie heeft dit al vaker gedaan en is al eerder tegen de lamp gelopen. Hij wist dat er consequenties aan hingen en toch kon hij zich niet helpen om er mee verder te gaan. Dit zijn tekenen van verslaving en zullen daarom ben ik van mening dat de persoon een andere behandeling nodig heeft en een gewone gevangenisstraf het misschien alleen maar erger maakt.

Ik ben absoluut geen expert van netwerken. Maar de bandbreedte wordt opgekocht en er wordt geld overgemaakt. Als het bedrijven zijn die stress testen uitvoeren en bandbreedte opkopen dan kunnen overheden wel kijken hoe deze bedrijven aan de bandbreedte komen. Daarnaast moet het toch niet mogelijk zijn dat jan en allemaal stress testen kunnen uitvoeren op sites of servers die men niet in beheer heeft. Er zijn vast wel oplossingen op te verzinnen, in ieder geval op de bedrijven die deze stress testen op een legale manier aanbieden.
Schijnbaar is het zo eenvoudig niet, want meneer zit nu vast.
Lijkt mij dat de acties pas geslaagd zijn wanneer je niet gepakt wordt.

Daarnaast zijn er wel meer dingen "eenvoudig" te vinden op het internet wanneer je er naar gaat zoeken. Dan wel op het "verborgen" stukje internet, maar ook dat is niet meer verborgen wanneer jij het graag wilt zien en gaat zoeken hoe je daar komt.

Een oneindig kat en muisspel.
Petje af voor Kees Hoekzema, de systeembeheerder van Tweakers.
En petje af voor Tweakers dat jullie de pagina ondanks alles draaide hebben kunnen houden.
Maar zoals @Mit-46 hier boven mij al aangeeft: Lijkt mij dat de acties pas geslaagd zijn wanneer je niet gepakt wordt.
Dan geeft mij dit een wat naar voorgevoel.
En dat aangezien ik het nog zo zie gebeuren, dat wanneer de heer/dame die deze ddos aanvallen uitgevoerd heeft, dat deze wanneer i al weer een periode op vrije voeten is (een jaartje of twee), het vervolgens zo nog weer eens uithaalt/probeert.
Aangezien de laatste niet 100% succesvol is geweest, en er van uitgaande de persoon in kwestie van zijn laatst gemaakte fouten geleerd heeft, het dan waarschijnlijk heel anders zal gaan aanpakken.
Ik hoop zo dat ik er naast zit, maar zie dit zo nog weer eens gebeuren.

[Reactie gewijzigd door SSDtje op 6 februari 2018 12:05]

Ik vrees dat er meer "minder begaafden" en zielepoten zijn die op zoek zijn naar erkenning en het op deze manier zullen proberen af te dwingen.
Maar net als met iedere vorm van vandalisme is het een kat- en muisspel: is er al een echt afdoende maatregel gevonden tegen bijvoorbeeld graffiti? Of om het digitaal te houden: spam?

Deze persoon gebruikte een stresser, de volgende zal een botnet inzetten, het is wachten op de volgende stap in deze digitale oorlog.
Deze slag is voor de samenleving (dader is gepakt, mede dankzij de geweldige inzet van Kees), maar het is natuurlijk wachten op de volgende.
Ik heb niet de indruk dat deze persoon bijster deskundig is.
De volgende keer dat hij zoiets probeert zal hij andere fouten maken in zijn drang naar erkenning. Juist andere fouten omdat hij de fouten van deze keer probeert te voorkomen.
Wat heeft het er mee te maken dat hij vast zit en of het eenvoudig is om een ddos aanval uit te voeren? Hij is er inderdaad niet mee weg gekomen, maar daarom is het nog wel eenvoudig geweest voor hem om deze ddos aanvallen uit te voeren.

Als de persoon zelf geen erkenning of toenadering zocht kon het nog wel heel wat langer duren voordat men de persoon gevonden had. Des te knapper van Kees om er op deze manier achter te komen en de informatie door te spelen naar de politie. Maar uiteindelijk is de persoon slordig geworden en wie weet wilde hij uiteindelijk wel gevonden worden, want hoe ik het hele verhaal lees is het gewoon een roep om erkenning en aandacht.
Meestal komen ze er achter door erkenning. Soms niet de ddoser of hacker zelf maar dan een vriend van de aanvaller die een site als eerste checkt tijdens de aanval.

Als je het echt aan niemand zegt en zelf niet naar de impact kijkt is de pakkans als veel kleiner. Als is op het internet uiteindelijk het meeste gewoon traceerbaar welke middelen je ook gebruikt. Veel VPN providers werken ook samen met politie. Facebook werkt met politie samen. Apple & Sony doen moeilijk.

Er zijn er die playstation berichten gebruiken voor criminele doeleinden.
Schijnbaar is het zo eenvoudig niet, want meneer zit nu vast.
Lijkt mij dat de acties pas geslaagd zijn wanneer je niet gepakt wordt.
Deze jongen stapte vorig jaar zelf naar Bunq, en ging nu ook vrij snel de dialoog aan met Kees. Ik acht de kans groot dat hij zichzelf vroeg of laat ook aan Kees bekend zou hebben gemaakt. Hij heeft kennelijk een ziekelijke drang naar aandacht.

Ik wil daarmee niet zeggen dat jezelf verborgen houden eenvoudig is, maar dit heerschap is niet echt een goed bewijs van het tegendeel.
In plaats van een celstraf zal het voor de jongen veel beter zijn om hem psychisch te laten onderzoeken en hem te laten behandelen.
Dat ligt er aan wat de leeftijd van deze "jongen" is. Zelf ben ik daar overigens best wel benieuwd naar.
Ik snap daarnaast ook niet hoe eenvoudig het is om voor zo weinig geld en moeite stresstesten te laten doen op sites die de persoon niet in beheer heeft.
Dat verbaasde mij ook heel erg! Ik had eigenlijk wel wat meer validatie verwacht van de persoon zelf, bijv. zoals dat ook voor certificaten wordt gedaan.
Hij is 18 ter informatie.
Mijn bericht is ook gebaseerd op het vorige nieuwsbericht die Tweakers geplaaatst heeft:
https://tweakers.net/nieu...oeren-ddos-aanvallen.html
Als mensen snappen dat het zo eenvoudig kan zijn en zolang ze geen erkenning zoeken dan kan dit ook nog maar het begin zijn van ddos aanvallen.
Mensen weten al sinds vorige eeuw hoe makkelijk het was.

Nu is het kwestie van "DDos As A Service" af te nemen, er is een aanbieding voor 20 USD op het moment.

Probleem is niet zozeer dat je KUNT ddossen, maar dat na 20 jaar praten er geen samenwerkingsverband is die verkeer binnen Nederland "dos" vrij te maken door (unicast reverse path), ethisch plicht helpen bij terug traceren en verkeer van buiten Nederland te droppen.

Jagen op daders slaat nergens op er zijn elke dag honderden DDoS in Nederland waar je niet over zult horen.

In dit geval moest dader zelf tweakers informeren om verhaal naar buiten te krijgen.
Precies! In je laatste alinea zit ‘m de kneep vermoed ik. Wat als die jongen nooit Tweakers had gecontact?
Ik vermoed dat de andere partijen ook in IRC kanaal zaten.

Want technisch gezien is het vrijwel onmogelijk om een ingehuurde botnet terug herleiden naar opdrachtgever (volg zaak Holleeder om andere opdrachten overtuigend te kunnen bewijzen).

De enige manier is als men botnet verhuurder een Rabobank (or whatever) internetkassa had en opdrachtgever met iDeal had betaald en ze zodoende uitgevoerde opdracht aan opdrachtgever hebben kunnen linken.

Dan blijft het de vraag of (net als met heling) opdrachtgever de zelfde straf kunt geven als uitvoerder.

De daders zal men vermoedelijk op pakken en daarmee vind ik het lachwekkend dat men pontificaal melden dat ze een verdachte hebben opgepakt.... (bluffen op irc/aanmelden artikelen.... met beetje geluk betaling aan DaaS organisatie... en dan nog aantonen dat het gericht was op...)

Op Colombia airport pakken ze dagelijks drugsrunners............. maar als je bron niet aanpakt los je niets op.

[Reactie gewijzigd door totaalgeenhard op 6 februari 2018 11:31]

Goed punt, ik vermoed uit jouw stukje dat de opdrachtgever zomaar **geen** straf krijgt. Mooi vergelijk met de Columbia idd.
Ik zit al 20 jaar te praten met verschillende partijen dat DDoS slechts bestaat door onwil van marktpartijen en en overheid die geen regie heeft (clueless).
Echt? Interessant. Mijn steun heb je, alleen heb ik helaas geen zak te zeggen.:) Dat landschap van marktpartijen zal best wel divers zijn. Om over de overheid nog maar te zwijgen.
Ik heb ook niets te zeggen. :)

Product aansprakelijkheid software en doorlaten van ongewenst verkeer (wat nu slecht vervolgbaar is).

Is mijn motto al 20 jaar voorkomt veel ellende. En maakt ellende structureel oplosbaar.

Niet in belang van de fox-it van deze wereld.
Ik heb ook niets te zeggen. :)

Daar was ik al bang voor. :)

Product aansprakelijkheid software en doorlaten van ongewenst verkeer (wat nu slecht vervolgbaar is).

Is mijn motto al 20 jaar voorkomt veel ellende. En maakt ellende structureel oplosbaar.

Niet in belang van de fox-it van deze wereld.
Dat is toch om gek van te worden. Man oh man.
Wat als die jongen nooit Tweakers had gecontact?
Dan was hij nog steeds gepakt geweest: de politie had hem al in het vizier voordat Tweakers hun (overigens knap verkregen) bewijsmateriaal overhandigden. En had hij ook zijn "moment of Fame" gehad, gezien het feit dat alle journaals melding maakten van zijn arrestatie.
Enige verschil is dat hij voor zichzelf wat extra aandacht heeft weten te genereren. Extra aandacht die leidt tot extra bewijsmateriaal :)

[Reactie gewijzigd door Pietervs op 6 februari 2018 12:38]

Ja, ik kan me zoiets herinneren nu je het zegt.
Dit is zware criminaliteit met voor de maatschappij ontwrichtende gevolgen, gevolgen die door de dader ook te overzien zijn en waarmee hij doorgaat.

Dit is toch gedrag wat zwaar bestraft moet worden. Behandelen is misschien wel mogelijk maar dan wel in een tbs-kliniek.
Het mag inderdaad wel gevolgen hebben gehad op de samenleving maar er zijn geen doden bij gevallen. Terwijl er genoeg mensen vrij rondlopen die veel ergere vergrijpen op hun geweten hebben. Overdrijven is ook een vak, mensen konden geen betalingen doen, betalingen werden later verwerkt of er waren websites niet beschikbaar. Daar gaat de wereld niet kapot van, ook al is het heel hinderlijk en vervelend voor sommige mensen er zijn wel belangrijkere zaken.

Hoeveel mensen lopen er wel niet rond die dagelijks mensen oplichten via het internet voor erg veel geld. Dit heeft naar mijn mening veel meer invloed op mensenlevens dan iemand die ddos aanvallen doet op een bank of andere instelling die daardoor tijdelijk niet bereikbaar is.

Het wordt eens tijd dat mensen hun prioriteiten checken en begrijpen hoe de wereld functioneert. Erg belangrijk dat iemand zijn product met Ideal niet kon betalen, of dat de betaling naar iemand paar dagen langer heeft geduurd. Allemaal bijzaken want ze zijn hun geld niet kwijt en het heeft geen blijvende schade. Misschien paar webwinkels die wat minder verkocht hebben die dag, nou wat een drama.

Edit: Daarnaast zit ik zelf bij de ABN Amro en heb er ook last van gehad, je ergert je op dat moment en je legt je er maar bij neer. Persoonlijk zie ik liever dat de persoon op de juiste manier geholpen wordt dan dat er een zware straf opgelegd wordt.

[Reactie gewijzigd door Andyk125 op 6 februari 2018 15:12]

Er is een hoop economische schade dat moet niet gebagatelliseerd worden. Reken erop dat er een hele hoop overuren gemaakt worden bij alles wat met betalingen te maken heeft.

Hier gaat het bij schade maar echt om een fractie van wat een individuele oplichter doet. Het kost veel geld en zal echt snel in de miljoenen lopen.

Verder is de dader zich ervan bewust waar hij mee bezig is en dan is er sprake van zwaar crimineel gedrag in deze tijden zelfs tegen het terrorisme aan.
Dus economische schade vindt je belangrijker dan mensenlevens? Ik niet, en al helemaal niet als het gaat over banken die over de rug van hun klanten en anderen miljarden winsten boeken terwijl ze nog geen jaar ervoor duizenden mensen hebben ontslagen, omdat het zogenaamd allemaal niet meer uit kan. Nee ik werk niet bij een bank of ander financiŽle instelling en heb er ook nooit gewerkt, maar ik heb voor banken en andere financiŽle instellingen weinig waardering.

Banken hebben veel ergere dingen op hun geweten dan deze jongen en daar zijn maar weinig mensen voor opgepakt en gestraft. De economische schade en mensenlevens die banken hebben verwoest is vele malen erger en hoger.

Sorry maar het is absoluut geen terrorisme, dan wordt het tijd dat je de defenitie van het woord kent.
https://nl.wikipedia.org/wiki/Terrorisme

Ik denk dat men zich meer zorgen moet maken hoe eenvoudig het is om als individueel zoiets te bewerkstelligen. Je hoeft hier geen computer specialist voor te zijn, alle informatie is te vinden op internet en voor een klein bedrag kun je dit blijkbaar al doen.
Economische schade is belangrijk genoeg om er wat aan te doen. Schade is schade of het nou een ddos of een bankoverval is.

In deze tijden lijkt het wel veel op terrorisme.
Je gaat hier wel erg makkelijk voorbij aan de economische schade die klanten (privť en bedrijfsmatig) ondervinden aan het niet kunnen gebruiken van bancaire diensten. Die banken redden zich wel.
Welke economische schade hebben klanten daadwerkelijk gehad? Inderdaad dat is alleen maar gokken en wat is het ergste dat er is gebeurt? Dat ze Ideal niet konden gebruiken en dat de betalingen zijn vertraagt. Mensen konden gewoon hun boodschappen betalen hoor. Waarschijnlijk hebben klanten hun bestellingen en betalingen de volgende dag gedaan en zijn echt niet massaal de winkel in gerent om hun product direct te halen. Dus ook de economische schade aan webshops etc. zal wel meevallen. Maar het nieuws overdrijft altijd graag.

Als er iemand echt schade heeft gehad dan zijn het de banken, en zoals ik al eerder heb gezegd heb ik daar niet heel veel medelijden mee met hun miljarden winsten.
Roerend mee eens. Geen greintje medelijden met die geÔnstitutionaliseerde boevenbende.
Dus economische schade vindt je belangrijker dan mensenlevens?
Als je die redenatie doortrekt, hoeven er dus geen misdaden meer opgespoord/opgelost te worden, behalve de levensdelicten...

Je had het zelf al eerder over oplichtingspraktijken, dat zijn toch ook geen mensenlevens?

Daarmee geef je zelf al aan, dat er dus meer dingen belangrijk zijn dan alleen levensdelicten. Voor jou is dat oplichting, voor een ander is dat het feit dat de trouwjurk niet op tijd betaald kon worden en de bruid nu in een spijkerbroek voor het altaar staat.. :)
''Het is een leuk en interessant artikel om te lezen, maar het kan ook een negatief effect hebben. Als mensen snappen dat het zo eenvoudig kan zijn en zolang ze geen erkenning zoeken dan kan dit ook nog maar het begin zijn van ddos aanvallen.''

Mensen kunnen zonder dit artikel ook snappen dat het makkelijk is om een (D)DoS-aanval uit te voeren, ťťn keer Googlen geeft al genoeg info.
Ja maar het is toch net wat anders als je zelf informatie moet opzoeken en misschien niet eens op het idee komt dan dat er overal op het nieuws te lezen is hoe eenvoudig het is om een ddos aanval uit te voeren en voor zo weinig geld.

Ik wist persoonlijk dat het wel mogelijk is, maar niet dat het zo eenvoudig zou zijn en dat je allerlei banken en overheidssites zo eenvoudig uit de lucht kunt krijgen voor tientallen Euro's.
Mensen weten al een eeuwigheid hoe eenvoudig het is om een ander de hersenen in te slaan om zijn bezittingen af te pakken. Toch gebeurt dit maar zeer zelden.
In plaats van een celstraf zal het voor de jongen veel beter zijn om hem psychisch te laten onderzoeken en hem te laten behandelen. Een celstraf is alleen maar een kort termijn oplossing bij dit soort zaken en als de persoon niet goed behandelt wordt zal hij waarschijnlijk weer doorgaan of op andere wijze aandacht willen trekken.
Sorry hoor maar je kan prima en en doen. En een celstraf ter vergelding en een TBS achtig traject. Zo niet weten waarom een celstraf niet als onderdeel van zijn straf op zijn plek is.
Nee hoor... Ik durf te wedden dat deze arme sneuzel toch echt wel zijn stresser van Hackforums(.net) gekocht heeft. Ze moeten dit wizzkid /script kiddie forum gewoon veel beter in de gaten houden.. Zeer eenvoudig in daadwerkelijke feiten dus.
Hoewel ik het ermee eens ben dat zo iemand (psychische) hulp nodig heeft, is dwangmatige psychische hulp vaak een eindeloze aaneenschakeling van verlengingen van die verplichte hulp. Wat begint met 3 jaar wordt verlengd met steeds maar weer 3 jaar tot je uiteindelijk 30 jaar 'tijdelijke' hulp hebt gehad. Uiteindelijk heeft dat dan weer een averechts effect. In het geval van de gemiddelde TBS'er vraag ik me af of het erg is dat de ooit tijdelijke straf een levenslange veroordeling is in de praktijk, maar in dit geval zou het wel wat extreem zijn om iemand een potentieel levenslange straf op te leggen.
Aan de andere kant, als je hem als voorbeeld zou gebruiken dan schrikt het mensen ook af celstraf voor staat.
Een celstraf is precies dat wat het zegt: een straf.
Het is geen oplossing voor het probleem dat de persoon in kwestie heeft.

Als jij te hard rijdt, krijg je een bekeuring (straf). Dat voorkomt niet dat je de volgende dag weer te hard kan rijden. Het zorgt er misschien wel voor dat je je nog een keer goed bedenkt voordat je het weer doet.


- Handig dat deze reactie nu ergens helemaal beneden aan de pagina verschijnt en helemaal niet meer lijkt te slaan op de post van Andyk125 :)

[Reactie gewijzigd door DaManiac op 6 februari 2018 20:05]

Nou nee dank je. Laten we vooral de verantwoordelijkheid neerleggen bij de stresstestaanbieders, brancheregulering is logischer. Je moet de aanbieders zelf verantwoordelijk maken.
Ja precies joh. We gaan weer naar Nederland naar Controleland.
Voor de tip: Leuk dat dit allemaal kan maar als ik dit zou uithalen zou ik er niks over melden en ook zeker geen browsers gebruiken. Google Chrome zit steeds te connecten op zijn "174..." IP netwerk en stuurt zowaar van alles door, dus de privacy is alles behalve private ;) Ook je ID's / strings van sessies die je steeds doorstuurt Tja dat valt wel erg op he.

Voor de volgende clown: Installeer/boot een clean linux BSD of windows 7 en werk via bouncers en eventueel een open wifi netwerk met een tor browser. Dan is haast onmogelijk om je te achterhalen. Veel is echter al mogelijk en zeker een vpn is niet 100% veilig als het er echt toe doet.

nu die 40 euro nog regelen :+
Denk je echt dat die stress testers die zulke script kiddies gebruiken legaal zijn en bedrijven ze gebruiken? Enige reden dat ze het op het web als stresser neerzetten is om te kunnen zeggen dat het niet als Ddos tool op de markt wordt gezet.

Als je je hier een beetje over inleest en realiseer je je dat regels en controle hierop weinig zin zullen hebben..
Mooie artikel, inderdaad erg spannend.
En zo professioneel dat je zo kalm gebleven bent tijdens de chat en zelfs informatie heb weten te halen van de dader.

Nu is zijn 5 minutes of fame op, nu maar straten vegen of zo. (Dat zal waarschijnlijk [helaas?!] alleen tot een taakstraf leiden neem ik aan).

Maar het is wel zorgelijk dat je dit soort aanvallen met 40§ aan capaciteit en een beetje basis kennis kan uitvoeren, en halve (digitale) Nederland plat kan gooien.
In dit artikel werden de nieuwe richtlijnen genoemd die ze willen gaan hanteren. Een Ddos met beperkte impact is inderdaad "slechts" een taakstraf, maar ik ga er vanuit dat dit niet meer onder beperkt valt, aangezien er vrij veel mensen last van hebben gehad en grote instanties er ook daadwerkelijk uit hebben gelegen. Ik denk dat er wel een gevangenisstraf aan zit komen voor hem, maar die zal geen jaren duren.

Blijf het knap vinden dat Tweakers niet bezweken is, kunnen (sommige) banken nog wat van leren ;)

[Reactie gewijzigd door larssieboy18 op 6 februari 2018 10:53]

Sommige banken hebben andere systemen en andere eisen aan veiligheid dan een site zoals tweakers.net
Zie je zelf ook de gekke tegenstelling met je eigen bericht? ;-)

Juist overheidsdiensten/banken zouden op dit gebied beter beschermd moeten zijn dan 'een nieuwssite'. Je zou ook kunnen stellen dat Tweakers het voordeel heeft van inherent meer kennis over dit soort zaken maar dat is een slap excuus; andere partijen moeten ook zorgen dat ze die kennis in huis hebben of de verantwoordelijkheid ervan bij een derde neerleggen.

Uiteindelijk dus wel degelijk een pluim waard voor Tweakers :)
Ik denk dat @0xygen500 eerder bedoeld dat je met een grote DDOS niet alle servers betrouwbaar online kan houden, en misschien dat een bank wel heel wat meer verificatieprocessen dubbel of extra betrouwbaar wil uitvoeren en dat dat niet met 100% zekerheid kan als er wat main systemen wegvallen en dingen terug op de backup vallen. Nieuws en reacties daarentegen zijn toch wat minder gevoelig dan. Hoewel het me ook mogelijk lijkt dat t.net het inderdaad beter op orde heeft
Tweakers kan andere middelen inschakelen die een ING of RABO niet kunnen. Dit omdat ze met privacy gevoelige data te maken hebben.
Zeker een pluim waardig voor tweakers.net, maar tweakers.net heeft niet hetzelfde complexe netwerk als een ING ofzo.
Zou kunnen. Maar de mensen die Nederland beveiligen, zitten voor een groot deel hier op Tweakers, of niet verder dan 1 persoon van Tweakers vandaan. Dus kennis is misschien niet zo'n heel slecht excuus. Geen enkel bedrijf kan al die kennis bij elkaar krijgen, die mensen kunnen maar voor 1 bedrijf tegelijk werken. Terwijl men gezamelijk wel ergens hobbied.

Het is in dat opzicht juist niet eerlijk om andere Nederlandse instanties te vergelijken met Tweakers.
Die gast is als een 'pyromaan', objecten in de brand steken en er vervolgens 'tof' over doen. Daar zijn wel behandelingen voor. Misschien kan hij ook nog wat schade vergoede. Compensatie voor tijd en energie die er is gaan zitten om de aanval af te slaan. Uren overwerk en nachtwerk voor een hele groep mensen. Volgens mij kun je prima een claim neerleggen bij die gast.
Dat lijkt me inderdaad een betere manier van straffen dan die jongen zo lang mogelijk in een cel douwen. Laat hem maar werken voor het geld wat dit gekost heeft, dat voelt 'ie tenminste. Dan gaat er misschien een lichtje branden.
"Laat hem maar werken voor het geld wat dit gekost heeft, dat voelt 'ie tenminste."
Jep, strak plan.
En dan ook gelijk hem eens lekker voor de gek houden, door wanneer hij zijn maandelijkse termijn bedrag wil overboeken, zijn bank dan een melding te laten te tonen dat er op dat moment een ddos aanval gaande is, en hij daardoor wellicht niet kan inloggen en zo dus wellicht zijn termijn bedrag niet kan overmaken/betalen.
Om zo even te kijken wanneer zijn eigen acties tegen hemzelf gebruikt worden, hij het dan nog zo leuk vindt.
:Y)
Maar, als ik het goed begrijp heeft de beste jongen gewoon een dienst ingehuurd om:
- belastingdienst
- meerdere banken
- technologiewebsites
plat te leggen, danwel ernstig te hinderen.

Volgens mij hebben we een enorm groot probleem met z'n allen als het zo 'simpel' is.....

Overigens, erg leuk artikel. Een soort low-profile thriller ;-)

[Reactie gewijzigd door armageddon_2k1 op 6 februari 2018 10:10]

DDOS aanvallen zijn veel goedkoper als de preventie ervan.
Er zijn ook best wat verschillende types en methodes. De preventie is best complex want je moet op verschillende plekken zaken regelen, configureren en aanschaffen. Ook bij de ISP, hosting partijen en clouddiensten.
Applicatie ddos zou je met een WAF en 'slimme firewall' kunnen afvangen in je eigen DC. Volume aanval met een scrub dienst van bijvoorbeeld F5 Silverline of in de cloud met AWS Shield. Etc.

Bij deze attack moet je moet zorgen dat DNS configuratie secure is. Als men voor bepaalde type requests (UDP any en UDP request for root) op "ignore" had gezet op de DNS server. En een whitelist voor recursion opstellen. Dan had deze attack veel minder impact gehad.

Maar er is geen gouden oplossing tegen ddos het is een set van oplossingen totaalprijs hiervan loopt in de tonnen per jaar voor een medium organisatie.

[Reactie gewijzigd door kr4t0s op 6 februari 2018 11:46]

Preventie kan heel simpel zijn: cloudflare.
Dacht ik dus ook! Maar voor banken is dit geen optie las ik elders, i.v.m. veiligheid en klantgegevens etc.
Er wordt juist gebruik gemaakt van slecht geconfigureerde dns servers waar er nog duizenden van zijn. Dankzij Udp kan je het ip spoofen zodat de response bij tweakers komt. Als de dns van tweakers gewoon goed geconfigureerd is kan je zo’n aanval nog niet afslaan. Dan moet je echt het UDP verkeer gaan filteren.
moet een boek over geschreven worden :-)
Rian van Rijbroeck en Willem Vermeend lijken me zeer geschikte auteurs daarvoor.
Daar zeg je wat. Weer een argument tegen dat onzin-interview op Nieuwsuur. Daar werd nog gezegd dat "groepen" of "individuen" de verdediging aan het testen waren om zo later een grotere aanval op te zetten. Of kun je ook tooltjes kopen op internet om geldautomaten flappen uit te laten spugen.
Nou het kan natuurlijk nog altijd dat de 18-jarige uit Oosterhout een deel Russisch bloed, deel Iraans bloed en een deel Noord-Korea bloed heeft :P

Ontopic:
Erg top dat wederom blijkt dat Tweakers niet een simple tech-site is maar ook daadwerkelijk kan bijdragen aan de veroordeling van deze persoon en dat met voornamelijk eigen middelen. Nou heeft deze persoon natuurlijk wel cruciale fouten gemaakt waarmee hij zichzelf in de vingers heeft gesneden maar wel tof om te zien wat Kees zoal doet als het nodig is.
Nou het kan natuurlijk nog altijd dat de 18-jarige uit Oosterhout een deel Russisch bloed, deel Iraans bloed en een deel Noord-Korea bloed heeft :P
Of sympathieŽn die kant op. Er zijn er hier zat die meteen steigeren als je iets over Russen en hun handel en wandel zegt.

Mooi verhaal verder en goed dat Kees heeft kunnen helpen. Hulde.
[...]

Of sympathieŽn die kant op. Er zijn er hier zat die meteen steigeren als je iets over Russen en hun handel en wandel zegt.

Mooi verhaal verder en goed dat Kees heeft kunnen helpen. Hulde.
Tja, er zijn er ook zat die meteen met hun vinger naar de Russen wijzen. Doet me denken aan mensen die meteen naar Moslims wijzen. Wachten op feiten na een gebeurtenis is denk ik het belangrijkst.

Met de hulde die je Kees geeft ben ik het eens! :)
Tof, dan kan ik dit artikel teruglezen op papier. :*)
Geschreven door Rian en Willem.
En overgenomen van andere bronnen zonder bronvermelding.
Ja! En dan kunnen ze ook uitleg geven over hoe Smart Blockchain kan worden toegepast om deze situaties in het vervolg te voorkomen.
Helemaal mee eens. Mevr van Rijbroeck had tenslotte ook al haar connecties waarin ze zeker wist dat de aanvallen voorbode van "iets groters" waren, en dat daarin de banken gehackd zouden worden en de automaten geld zouden gaan spuwen.
Dan weet je ten minste wel zeker dat alle juiste buzzwoorden gebruikt worden. (Je moet ze alleen zelf nog even in de juiste volgorde puzzelen. :) )
Zo als te lezen valt in het artikel is geen digitale vingerafdruk achterlaten nog niet zo eenvoudig ;)
Het inhuren kan dus best simpel zijn, maar niet gevonden worden is dus even iets anders.

Grootste reden bij dit soort aanvallen is vaak om de spanning die de aanvaller ervaart en de reactie van de gebruikers, die de aanvaller dus al te graag wil uitlokken en daar in worden vaak de sporen achter gelaten.

Je kan het het beste vergelijken met een uit de kluiten gewassen grap van een middelbare scholier die zijn school server plat legt.
Je kan het het beste vergelijken met een uit de kluiten gewassen grap van een middelbare scholier die zijn school server plat legt.
De eerste keer nog wel. Maar aangezien hij in september al een waarschuwing had gehad en het nodig vond toch door te gaan, heb ik er geen problemen mee als deze "scholier" de kosten voor zijn rekening krijgt, in combinatie met nog een andere fikse straf.
Ik doelde er niet op dat deze jongen maar een "scholier" is. De vergelijking had betrekking op het zoeken van spanning/erkenning. Wat vaak de reden is van middelbare scholieren om een schoolserver plat gooien (dus niet chaos veroorzaken of iets dergelijks).

Ben het er 100% mee eens dat hij een flinke straf moet krijgen.

[Reactie gewijzigd door cardboardgenie op 7 februari 2018 12:21]

je zou inderdaad verwachten dat een dergelijk service verificatie doet met domeinnaam houders
Dat zouden ze natuurlijk alleen doen als ze zelf wel volledig legaal te werk gaan, maar iemand die geld wilt verdienen met zijn botnet maakt het niet uit of je de eigenaar bent of niet zolang je maar betaald

slechte ontwikkeling dit
Stresser is wel iets anders dan een botnet...
zeker, maar een botnet kan je wel ten gelde maken door de capaciteit te verkopen als stresser
Het is ook een enorm groot probleem.
Enige wat je hoeft te doen is op google zoeken naar IP Stresser en §10,- op je paypal rekening klaar hebben staan.
Dan alleen het IP adres van je doelwit invullen en de gewenste aanvalsmethode en voilŗ.
Een bank overvallen is ook een koud kunstje... Kous over je kop, ergens pistooltje regelen (of misschien werkt het met een keukenmes al) en naar binnen lopen. Het beveiligen daartegen kost miljoenen.
Op een of andere manier is het toch minder populair dan het op basis van bovenstaande beschrijving lijkt.

Ik vermoed dan ook dat we binnenkort stresser-providers aansprakelijk gaan stellen voor de door hun veroorzaakte schade, tenzij ze met due diligence kunnen aantonen dat er door het bedrijf zelf om de 'aanval' gevraagd is.
Dan zijn ze ook nauwkeuriger met wie er van hun diensten gebruik mag maken.

Botnets blijven een probleem, maar alsnog vermoed ik dat er best nuttige regels (en opsporing!) voor te bedenken zijn. Of die op tijd door de politieke molen komen is vraag 2.
Ja, het is heel simpel en we hebben een groot probleem. De IT-sector roept dat al jaren maar het lukt ons niet om het goed geregeld te krijgen.

Overigens kun je met §40 euro aan benzine ook een hoop schade aanrichten.
De IT-sector roept dat al jaren maar het lukt ons niet om het goed geregeld te krijgen.
De IT sector is ook helemaal niet innovatief. Het internet werkt immers met jaren 70 protocollen. Websites slaan informatie client side op (cookies), dat is gewoon nooit een goed idee. Websites hangen van van obscure rammelende technieken als PHP, Javascript en dergelijke in elkaar. Als het goedkoop is en ongeveer werkt, dan is het voor de IT sector goed genoeg.
Volgens mij hebben we een enorm groot probleem met z'n allen als het zo 'simpel' is.....
Volgens mij kun je daar niets tegen doen.

Stel, een server hangt aan een 1 Gbps-verbinding. Heel simplistisch gezegd kun je die server met tien pc's, elk vanachter hun eigen 100 Mbit-glasvezelverbinding, dus al plattrekken.

Alle mogelijke clients hebben gezamenlijk veel meer bandbreedte tot hun beschikking dan de servers en de netwerken waaraan die hangen.

[Reactie gewijzigd door CodeCaster op 6 februari 2018 10:21]

Dit is al langer 'zo simpel'. Een stresser inhuren, een botnet inhuren, duurt een paar minuutjes en een paar euro's en iedereen kan proberen ieder site plat te leggen.
Weet je wat ook enorm simpel is? Iemand vermoorden. Je koopt een mes bij de HEMA en je achtervolgt iemand naar een donker straatje. Kosten: een paar euro...

Of wat dacht je van een pand in de fik zetten? Een jerrycan met benzine en een uurtje in de nacht. Kosten, een paar euro.

Wat ik bedoel te zeggen: hele zware misdrijven zijn niet voorbehouden aan personen met veel geld of zware-jongens-connecties. Stellen dat het zorgwekkend is dat het zo simpel is om een DDoS uit te voeren is erkennen dat de wereld niet uitsluitend uit nette mensen bestaat en dat alle zaken voor zowel goede als slechte dingen aangewend kunnen worden.

Welcome to the real world :-(

Note: mijn 2 voorbeelden zijn puur educatief en illustratief om mijn standpunt te onderbouwen en op geen enkele wijze bedoeld om mensen op verkeerde ideeŽn te brengen.

[Reactie gewijzigd door Odiebla op 6 februari 2018 11:54]

Ik denk dat het probleem vooral bij de aanbieder van deze legale dienst ligt. Als je iemand op zijn blauwe ogen gelooft dat hij jou netwerk alleen inzet voor zijn eigen infrastructuur te testen dan ben je wel erg gevoelig voor fraude.

Maar ja, volgens mij is het niet veel duurder om een minder legale variant te regelen, en als je doel is de boel in brand steken acht ik die stap niet zo lastig te zijn.
Haha gaaf artikel, mooi dat je hem gepakt hebt Kees!

Wat een sukkel, je zou verwachten dat iemand die zich met dit soort zaken bezighoudt zelf wel goed indekt :').
De DDosser heeft wel de aandacht die hij heeft gewenst want mensen praten er wel over, het staat nu vereeuwigd op het internet. In mijn opinie begrijp ik heel goed waarom Tweakers dit artikel geplaatst heeft, want het voelt aan als een overwinning. Maar waarom zou je aandacht eraan schenken? In artikel wordt beschreven hoe iemand achterhaald werd. Nu deze methode bekend is worden criminelen of wannabe criminelen alleen maar slimmer en zal je als tegenpartij nieuwe methodes moeten gebruiken of verzinnen om de groep of persoon in kwestie te achterhalen.
Vanuit technisch perspectief is dit een heel interessant artikel voor Tweakers om te plaatsen. Niet omdat het als een overwinning aanvoelt, maar omdat het een techsite is en nu uit eigen ervaring kan vertellen hoe je zulke gevallen op het spoor kan komen en wat daarbij komt kijken. Dit heeft diepgang die je bij een regulier mediabedrijf niet te horen krijgt. Die zullen hooguit iets zeggen dat er via een "chatsessie", wat tweets en logfiles de identiteit van de hacker is achterhaald. If at all...
Ik vind het een van de betere artikelen van de laatste tijd. Zeker niet gek dat dit geplaatst is, heeft Kees ook nog wat positiefs overgehouden voor Tweakers zelf na zijn gedwongen speurtocht.

Ook vind ik het interessant hoe de high tech crime politieafdeling in dit geval het perfecte middelpunt is bij het opbouwen van de zaak. De externe partijen leveren bewijs aan dat met elkaar overeenkomt en bij elkaar aansluit. Daardoor kan een goed compleet dossier worden opgebouwd waarbij de feiten ook nog eens door meerdere partijen onafhankelijk van elkaar gecheckt en bij voorbaat dus al onderbouwd zijn. En dit ook nog eens allemaal zonder sleepnetten en privacy-schendende maatregelen, maar gewoon door degelijk politiewerk in samenwerking met de aangevallen partijen.

Overigens is de naam van het tweakersaccount niet in het artikel verklapt, maar zal deze ook nog wel terug te vinden zijn in het vonnis.

[Reactie gewijzigd door Mathijs op 6 februari 2018 17:46]

Daar hebben ze echt niet zo'n tweakers-artikel voor nodig hoor.
Het is iemand die aandacht, die zijn een stukje roekelozer dan iemand die echt kwaad in hun zin hebben. Wat mij vooral opvalt is hoe de persoon het ziet als een spelletje 'sysadmin pesten'.
Wat mij daarbij nog verbaast is dat de persoon blijkbaar het risico dat hij zelf loopt totaal niet inziet.
"Wat wil je bereiken en welke risico's ben je bereid daarvoor te nemen."
In dit geval is hetgeen er bereikt wordt totaal niet in balans met het risico.
Is deze persoon zo onzeker van zichzelf dat het "ophalen van zijn ego" zo waardevol is om er het risico voor te lopen door schadevergoedingen financieel permanent aan de grond te gaan en daarbij ook nog eens de kans 6 jaar zijn vrijheid kwijt te raken, waarna je dan helemaal als een zero terugkomt in de maatschappij?
Of is er gewoon totaal niet over nagedacht omdat het een persoon betreft die zo vol is van zichzelf dat ego-streling tot de ultieme ervaring behoort en zichzelf zo slim vind dat hij "toch nooit gepakt wordt".
In ieder geval heeft deze persoon nu, op zijn 18e jaar, waarop je in principe binnen onze maatschappij aan je eigen leven kunt beginnen, zijn toekomst zwaar heeft vergald.
Ik ben benieuwd naar de conclusie van het psychologisch onderzoek, dat straks in het vonnis wel terug te vinden zal zijn.
Ik gok een van deze of een combinatie van deze punten:
  • Jeugdige hormonen
  • Verveling
  • NaÔviteit
  • Narcisme
  • Persoonlijkheidsstoornis
  • Zoekt bevestiging
Gezien hem dit vaker is overkomen, en is gepakt, denk ik persoonlijk punt 1, 3, 6 en wellicht ook 5. Maarja, wie ben ik? Sneu is het wel.
Een goede analyse naar mijn mening. Toen ik zelf over de jongen nadacht kwam ik uit op het woord zelfoverschatting. Misschien is zijn omgeving zo beschermend dat hij onvoldoende feedback en relativerende signalen heeft gekregen om een realistisch zelfbeeld op te kunnen bouwen. Het hoeft dus niet alleen de persoon in kwestie te zijn die nadere aandacht verdient. Ook de omgeving kan meewegen als (deel)oorzaak.

edit: taal

[Reactie gewijzigd door teacup op 6 februari 2018 21:59]

Dat is het mooie, je kan als onderzoeker lekker belastende dingen verzamelen in je logs ook al is de identiteit die erachter zit nog niet bekend... en op een gegeven moment maakt de dader vanzelf wel een fout waardoor je in 1 klap alles wat je verzameld hebt aan die persoon kan koppelen. Game over :D Zoals in de serie Mr. Robot ook weleens werd opgemerkt kan je iemands zwakke plek hiervoor misbruiken, bijvoorbeeld door iemand uit te dagen / uit de tent te lokken in de hoop dat ie iets slordigs doet, dat is hier duidelijk gelukt.

Al is deze fout wel erg groot, met dezelfde webbrowser op hetzelfde systeem met zowel als je echte account als je alias communiceren, je zou bijna denken dat ie bewust gepakt wilde worden. Stap 1 als je anoniem wil blijven is toch wel een apart systeem met apart IP-adres gebruiken die je nergens anders voor gebruikt, zodat op browser/sessie- en IP- niveau niet zomaar logs naast elkaar gelegd kunnen worden.

Geen medelijden met die jongen, hij heeft al eens een tweede kans van Bunq gehad omdat zij vinden dat iemand niet door een naÔeve jeugdzonde kapot hoeft, maar als je dan gewoon doorgaat kan je daar niet meer van spreken en ben je gewoon crimineel bezig.

[Reactie gewijzigd door Sfynx op 6 februari 2018 10:54]

Geen medelijden nee, maar nu kunnen we met zn allen betalen om dat stuk tuig van een computer weg te houden. En dat zodat hij het na maximaal 6 jaar gewoon nog es kan doen op targets van vriendjes gemaakt in de cel? Nee als ik zou kunnen berechten, levenslang inzetten voor x aantal uur in de week voor minderbedeelden en hulpbehoevenden. Weet niet of vrijheidsberoving wel zon gepaste straf is.
Geen medelijden nee, maar nu kunnen we met zn allen betalen om dat stuk tuig van een computer weg te houden. En dat zodat hij het na maximaal 6 jaar gewoon nog es kan doen op targets van vriendjes gemaakt in de cel? Nee als ik zou kunnen berechten, levenslang inzetten voor x aantal uur in de week voor minderbedeelden en hulpbehoevenden. Weet niet of vrijheidsberoving wel zon gepaste straf is.
En wat nu wanneer er iemand dood was gegaan doordat een hulpdienst niet bereikbaar was. Of een paar 1000 mensen in de financiŽle problemen komen omdat hun toeslag een paar dagen later komt.

Ik vind persoonlijk 6 jaar ongeveer 94 jaar te kort.
In het artikel wordt ook aangehaald dat gebruik wordt gemaakt van proton mail en VPN om de identiteit te verhullen. Het is Kees echter gelukt om op basis van andere unieke informatie (de sessie ID's) een aanknoping te vinden.
Dat het Kees is gelukt om deze aanknopingspunten te vinden is (naast dat het een degelijk staaltje speurwerk was) vooral het gevolg van het feit dat de aanvaller veel domme dingen heeft gedaan.

Het is duidelijk dat het gaat om een type dat alles doet voor de aandacht die hij krijgt met z'n daden. Hij liet zich blijkbaar op Twitter uitlokken door Kees (tweet over rustig Netflix kijken, *bam* DoS gaat weer aan), stuurt nieuwstips in over z'n eigen daden (alsof dergelijke artikelen anders niet zouden zijn opgepikt door Tweakers) en heeft blijkbaar een Twitter-naam die lijkt op z'n Tweakers username.

De basis-maatregelen, gebruik van VPN en protonmail, zijn OK, maar behalve dat was het blijkbaar een vrij slordige operatie.
6 jaar voor een DDoS met een dergelijke impact op het land / de economie?
Weinig? Of terecht? Wie zal het zeggen.

Zou het nog mooier vinden als deze persoon eigenlijk hulp krijgt om zijn acties in te zien en daar dan wat mee doet in zijn verdere bestaan.
Bijv een taakstraf waarbij hij verplicht wordt om goede bescherming tegen dit soort aanvallen op te zetten / implementeren / ontwikkelen bij de desbetreffende instanties.
Zou meer zeggen van leid hem op tot white hacker. En zorg dat hij ergens wordt aangenomen waar hij zijn passie kan uitvoeren. Maar dat hij voor een lange tijd geen geld kan verdienen ermee.
Maar ja eigenlijk vind ik dat er geen cel straf voor hoeft te komen. Geld boete zou gepaster zijn. Maar ja crimineel of cyber crimineel is in de wet bijna hetzelfde.
Hele bedrijven platleggen waardoor ze inkomsten (kunnen) missen is toch een serieuze zaak. Waarom is dat in geval van een DDoS opeens iets waar geen celstraf voor moet komen? Als iemand een bedrijf administratief oplicht kom je ook in de cel. Daar zie ik niemand over vallen.
Wat is erger malware met ransomeware?

Of een ddos die de site niet eens plat legt?
Beiden kunnen onder cybercriminaliteit vallen denk ik. Wat 'erger' is volgens de wet weet ik niet. Maar, in dit geval heeft hij voor zover ik weet wťl succesvol meerdere websites plat gekregen.
Ransomware is malware wat computers versleuteld waardoor de eigenaar niet meer bij zijn of haar bestand kan.
Dat kost een bedrijf veel meer geld dan beetje monitoren hoeveel je server aan IOPS krijgt...
(in out per second)

En ja het is alle twee strafbaar. Zeg niet dat ddosen goed is, maar ddosen of Destributed Denial of Service, het woord bestaat evenlang als het internet.
Ik denk dat je de impact van een DDoS onderschat. Als jouw website bedrijfskritisch is kan deze er niet uit liggen. Als het zo simpel was als een 'beetje monitoren' zouden banken ook geen aangifte doen nadat ze waren aangevallen.
Zou meer zeggen van leid hem op tot white hacker
Het feit dat hij een stresser heeft kunnen huren maakt hem niet per definitie geschikt voor de ICT.
Ik kan ook een vrachtwagen huren, maar dat maakt mij nog geen chauffeur :)

Vraag is wat zijn passie werkelijk is. Ja, hij zal wel iets hebben met ICT, gezien zijn lidmaatschap van Tweakers en de manier waarop hij zijn vandalisme pleegde. Maar vraag is of hij genoeg inzicht heeft in waar hij mee bezig is en de wil heeft om daadwerkelijk een White hat te kunnen worden. Zo niet, dan geef je hem een opleiding hoe hij de volgende keer nog meer schade aan kan richten zonder betrapt te worden...
Das het gevaar van het vak.
Als controleerdeur van druk kan je ook zeggen van nou dit is de maximale druk van een pijp.
Maar als die er overheen gaat dan explodeert de fabriek.
Ik heb schijt aan de fabriek dus ik draai de kraan wat verder dicht....
Niet helemaal vergelijkbaar. Pas als iemand van buitenaf die kraan manipuleert, daarop betrapt wordt, vervolgens een opleiding krijgt en DAN de kraan dicht gaat draaien zou je een punt hebben :)
Zo niet, dan geef je hem een opleiding hoe hij de volgende keer nog meer schade aan kan richten zonder betrapt te worden...

Dit is waarop ik antwoord gaf. Dat is bij elk vak zo. Bij elk vak is er een manier om het goed te doen en ook om het fout te doen.

Als je weet hoe je een mens kan opereren weet je ook hoe je een mens van het leven kan beroven. (overtreffende trap) (te overtreffend)??
Klopt, maar hij heeft nu al 2x aangetoond niet op een goede manier met ICT om te kunnen gaan door zijn DDOS-aanvallen van september en januari.
Hem nu een opleiding aanbieden zodat hij leert hoe hij nog meer schade aan kan richten met een nog kleinere kans op ontdekking... Ik heb daar mijn twijfels bij.

Komt een beetje over alsof je iemand die een verooordeling wegens mishandeling heeft een opleiding tot chirurg gaat geven, om in jouw analogie te blijven :)
Pertinent mee oneens. De jongen heeft forse economische schade aangericht en geniet zichtbaar van het leed van anderen. Ik ga niet mee in de trend om dat soort gedrag te belonen met een goede baan.

Bij geen enkele andere vorm van criminaliteit wordt een dader zo beloond. Een juiste straf is zijn passie afpakken, gewoon 10 jaar zonder computer. En de schade terugbetalen.
Zeg niet dat het een goede baan is. En belonen is het ook niet. Ik zei dat hij daarvoor geen geld voor kan verdienen.
Een crimineel een baan aanbieden, ook indien laagbetaald, is wel degelijk belonen. Bij geen enkele andere vorm van criminaliteit krijg je als "straf" een baan. Je krijgt gevangeniststaf, beperkingen van vrijheden, geldboetes.
Zou meer zeggen van leid hem op tot white hacker. En zorg dat hij ergens wordt aangenomen waar hij zijn passie kan uitvoeren.
Dit lijkt me niet het type dat geschikt is als white hat hacker. Zijn aanval bestond uit het hebben van een PayPal account en dat op de juiste plek inzetten om een stresser-dienst te betalen. Iemand die een exploit vindt / misbruikt en op die manier creatief bezig is, zal veel geschikter zijn.

Daarnaast laten zijn acties (interacties met Kees, zelf insturen van nieuwstips over z'n daden) zien dat hij vooral een aandachtzoeker is. Niet iemand die in alle rust achter de schermen met beveiligingssystemen zit te prutsen.
Technisch gezien is dat ook stress testen.
Ja das gewoon dom en vragen om problemen. Eigen schuld.
Als hij eerder had gecommuniceerd voor het stress testen van de site.

(hey kees, wil graag de site stress testen mag dat)

Niet zo informeel maar je snapt het wel hoop ik.

Maar gewoon amateur werk das waar.
Communitystraf plus een geldboete lijkt me wel op zijn plaats. En een behoorlijke mentaliteitsverandering, want hij is blijkbaar gek op aandacht.
Dit is inderdaad een geval van aandacht.
Maar iedereen kan een LOIC of HOIC downloaden.
LO is op IP basis
HO is HTTP requests en posts (of te wel heel veel mensen die op F5 drukken).

Download tis open source maar ga geen sites plat leggen van andere. Leg op zijn minst je eigen router plat das altijd leuk :P.
Opleiden tot White Hat Hacker met baangarantie omdat de jongen op een knopje kon drukken dat $40 kostte? Ik kan je redenatie niet echt volgen...... Daarnaast is een celstraf (vooral in het geval van deze jongen) beter gepast.
6 jaar de gevangenis in voor die grap ? Kunnen ze beter kinderverkrachters en verkrachters en zinloos geweld plegers opsluiten ipv een taakstraf en voorwaardelijk geven lijkt mij.
6 jaar als het als misdrijf wordt gezien. DDoS valt over het algemeen onder een ander artikel, die kost je max een jaar. Stel de rechter gaat toch voor dat artikel waarbij de maximum 6 jaar is, grote kans dat het, omdat ik aanneem dat het zn eerste veroordeling zal zijn, een fractie zal zijn. Tenzij je bijv. De sluizen tijdens een storm weer open weet te zetten of een trein laat ontsporen denk ik dat het wat dat betreft erger kan en omdat het geen veroordeelde recidivist is verwacht ik geen maximum straf. Misschien 24 maanden waarvan 18 voorwaardelijk? Geen idee, maar 6 jaar in ieder geval niet.
Ja dat is natuurlijk wel zo als ze eerlijk zijn degene die hem gaan veroordelen.
Tenzij ze hem als voorbeeld voor de rest willen neerzetten,dan hangt hij wel als ze echt willen .
Waarschijnlijk ga je gelijk krijgen, maar je weet nooit.
Prachtig artikel! Spannend om te lezen en goed opgemerkt van Tweakers. Wat ik me wel afvraag. Als het Tweakers lukt om een dergelijke aanval (ook al is het dan net) dusdanig zonder last te laten zijn voor de gebruikers, waarom lukt de banken dat niet?
Zonder in detail te treden, maar onze oplossing is niet perse geschikt voor de banken. En ook bij onze oplossing zul je er nog altijd (maar dan beperkt) last van houden.
Banken moeten voor iedereen, ook uit het buitenland, te bereiken zijn. Volgens mij kon dat bij T.net even niet of minder (stond in een van de eerdere artikelen).
Zal dus wel een IP blokkade op een aantal ranges zijn, en daar zitten dan ook legitieme users tussen. Voor banken niet acceptabel, voor een nieuwssite misschien wel.
Wat mij m eer zorgen baart is dat 1 iemand dus in staat in met schijnbaar beperkte middelen banken, belastingdienst en andere websites uren plat te krijgen.

Stel je nu eens voor als er een land , organisatie of meerdere mensen zijn die echt voor schade wil zorgen dan lijkt het er op dat dat eenvoudig mogelijk is.
Omdat bankmensen banken, en tweakers tweaken... :)

Ik denk dat Kees veel sneller in staat is met de hostingprovider te schakelen, dan dat de bank met een solide maar vertragend change proces kan. Dat zal naarmate dit soort aanvallen toenemen ook wel meer aandacht krijgen.
Kan iemand mij vertellen waarom de ABN Amro plat gaat bij deze aanval terwijl dit bij Tweakers niet het geval is?
Daar hebben ze vast geen @Kees 😀
Meer IT medewerkers die op details letten bij tweakers dan ABN amro neem ik aan, Ze hebben heel veel andere dingen te doen denk ik.
Simpel, bij ABN werken voornamelijk bankiers om hun hypotheek te betalen. Tweakers daarentegen is het bolwerk van de meest getalenteerde autistische nerds die het als een way of life zien software en hardware te ontwikkelen. De medewerkers van een beveiligingsbedrijf dat voor een bank werken hebben gewoon een baan. De beveiligings expert die door de selectieprocedure van tweakers komt is net zoiets als neo van de matrix:)
Toch zijn trots die hem dus deels ten onder liet gaan.
En nog eens onterecht ook. Een stresser aanslingeren is nou niet een heel erg grote prestatie...

Als hij nou malware oid had gemaakt, daarmee pc's en IOT devices had geÔnfecteerd voor een bot-netwerk en daarmee alles had platgegooid zou ik zijn 'trots' kunnen begrijpen.
Het verbaasd mij dat je zo'n stresser op een willekeurige site kunt richten en dat zij, zonder verificatie van de eigenaar van het doel, een stresstest uitvoeren.

Verder een tof artikel.

[Reactie gewijzigd door Abom op 6 februari 2018 11:40]

blijkbaar is het voldoende als je geld op tafel legt...
Tja, je kan ook een auto huren en daarmee met volle gang ergens het publiek in racen. Dat verhuur bedrijf vraagt een kruisje onderaan een lijstje met dingen die je niet mag doen, maar zie dat vervolgens maar te beheersen als die auto van het erf af is gereden.

Je kunt er als verhuurder ook naast gaan zitten met een killswitch, maar dan huurt niemand meer jouw auto's en de prijs is dan torenhoog.

M.a.w. die extra controle kost gewoon teveel geld/moeite. En het zijn de rotte appels die het verpesten.
En vervang nu het verhuurbedrijf met een taxibedrijf en je je laat rijden door een taxichauffeur en hem de opdracht geeft om op het publiek in te rijden.

Het is nog altijd de infrastructuur van het stress-test bedrijf wat wordt gericht op de doelen.
Dat is trots op de techniek. Ergens kan ik mij voorstellen dat hij trots is over het eindresultaat.

Hoe hij dat resultaat behaalt is blijkbaar voor hem van secundair belang (eigenlijk ook voor de maatschappij). Hij heeft de websites plat gekregen en het land even in rep en roer... Een grote groep mensen dacht zelfs aan de Russen.

Als je dat op een relatief simpele manier lukt is ook een prestatie. Natuurlijk moreel verwerpelijk en totaal onbegrijpelijk dat iemand dat
Tsja, als je zo redeneert.... 120km/uur over een drukke winkelstraat racen is ook een knappe prestatie... Of met je dronken kop achter het stuur kruipen en geen ongelukken veroorzaken is ook een knappe prestatie.
Mijn punt is dat hij een resultaat wilde behalen (waarschijnlijk) en “economisch” gezien juist gehandeld heeft. Met minimale middelen/inspanningen het (maximale) resultaat behaald.

Dat het voor ons achteraf minder spannend is hoe hij het gedaan heeft doet er eigenlijk niet toe.

Voor mij is de boodschap uit dit alles dat het nog te makkelijk is om instellingen plat te leggen en dat we met zijn allen snel in onjuist nieuws geloven. Heel NL dacht al dat het de Russen waren uit wraak.
Nou nou, heel Nederland.. Rian en consorten wel ja, maar daar bleef het geloof ik bij.
En binnen de context is het duidelijk geen prestatie. Daarbuiten en economisch gezien misschien wel :+

Het is inderdaad wel vreemd te noemen dat een bank eerder eruit ligt dan Tweakers, maar dat kan ook eraan liggen dat banken een grotere hoeveelheid verkeer te verwerken kregen en misschien ook wel meer klanten die dan op zo'n moment gaan proberen: "Zou het er bij mij ook uit liggen?" waardoor de impact vergroot wordt. Het is in ieder geval geen bereikte prestatie, hooguit voer voor giswerk. Waarbij @Kees al aangeeft:
Zonder in detail te treden, maar onze oplossing is niet perse geschikt voor de banken. En ook bij onze oplossing zul je er nog altijd (maar dan beperkt) last van houden.

[Reactie gewijzigd door mrdemc op 6 februari 2018 11:53]

Ik vraag mij erg af of die §40 nou genoeg was voor de DDoS richting Tweakers, of dat het voor alle DDoS aanvallen gecombineerd. Want dan zou het toch wel echt helemaal een schijntje zijn. Natuurlijk er is gebruik gemaakt van amplification, maar dan nog.
Voor §40 heb je al een goede stresser. Echter zijn die stressers meestal gelimiteerd op gebruik in minuten. Ja kan bijv ťťn target voor max. 3 min aan eenstuk stressen. Daarna moet je die weer actieveren. zou er niet gek van staan te kijken als er ook nog een cooldown op zit.

Stel, hij heeft her-en-der een aantal cheap stressers gehuurd > aplification > om&om laten stressen, kan je een redelijk lange aanval uitvoeren opeenvolgend.

Wel grappig hoe zijn script kiddie 'Pride' hem nu de das om doet. Ook wel tof dat Tweakers er open over is over hoe en wat! interessant om te lezen.

[Reactie gewijzigd door D0phoofd op 6 februari 2018 10:35]

Inderdaad een leuk stuk om te lezen. En zo blijkt ook maar waar je allemaal op moet letten als je geen 'papertrail' achter wilt laten. Wat dat betreft ook wel een goede handleiding voor hoe het niet moet :).

Al kan ik uit de 'conclusie' van het verhaal niet afleiden wat deze persoon nou de das om heeft gedaan.
Ik kan alleen vermoeden dat de username op tweakers.net dusdanig doorzichtig was dat het gerelateerde twitter account ook zodanig veel informatie gaf dat de eigenaar ervan daardoor bekend werd.

Edit: Maar ja, het is eigenlijk ook een simpel 1+1 rekensommetje als die persoon al bekend is en 2x tegen de lamp is gelopen. Dan sta je al in 'het systeem' en dan heb je enkel een vergelijkbare modus operandi nodig om de eindjes aan elkaar te knopen.

[Reactie gewijzigd door BLACKfm op 6 februari 2018 23:30]

@ginojo Ik dacht bijna dat het rj was, maar toen las ik dat hij nog maar 18 jaar was 8)7
En nog eens onterecht ook. Een stresser aanslingeren is nou niet een heel erg grote prestatie...

Als hij nou malware oid had gemaakt, daarmee pc's en IOT devices had geÔnfecteerd voor een bot-netwerk en daarmee alles had platgegooid zou ik zijn 'trots' kunnen begrijpen.
Het geeft wel aan dat je tegenwoordig vrij gemakkelijk een dienst kan platleggen door gebruik te maken van het legale circuit. Het is inderdaad wel grappig dat dat mogelijk is en dat iedereen de schuld neerlegt bij enkele buitenlandse landen, terwijl het gewoon een blaataap is.
Het is en blijft een jeugdige fout (in Nederland) hij zal echt geen 6 jaar krijgen.
Jeugdige fout? 1x keer zou hij daar waarschijnlijk nog mee weg gekomen zijn - maar deze grotere golf gaat hij echt niet mee weg komen met 'jeugdige fout', zeker niet als je bewust een sysadmin zit te provoceren en daarnaast ook nog een hele golf aan UDP amplification attacks op kritieke infrastructuur los laat (banken en overheid).
En daar komt nog bij dat hij in september ook al de fout in was gegaan...
Je kan het misschien nog een jeugdige fout noemen als je het 1 keer doet, vervolgens door het stof gaat en een week vrijwilligerswerk bij Amnesty doet.

Blijkbaar kon hij het niet laten om het daarbij te laten, dat geeft aan dat hij er niet van geleerd heeft en dat zal niet goed zijn voor de straf die hij gaat krijgen. Samen met de grote schaal van de aanvallen dit keer zou ik een bescheiden celstraf wel op z'n plaats vinden. Die 6 jaar is het maximum, dat zal hij vast niet krijgen.
Een "hacker" die zichzelf aangeeft...tsjongejongejonge, dan ben je toch echt een oen^99. 8)7
En het daarna gewoon nog een keer doen.. dan wil je gewoon gepakt worden..
Ik vermoed dat hij daarmee zijn portfolio wilde laten zien, in de blinde hoop dat iemand hem zou aannemen :+
Ook toen wilde hij blijkbaar al aandacht, of erkenning
1 2 3 ... 21

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True