DDoS’en is de nieuwe sit-in

Wederom een bijdrage van Petra Kramer.

iraanse president schrikt van een computermuisHet is niet verwonderlijk dat de internetbende Anonymous zoveel bijval krijgt  met zijn vrij kinderachtige Operation Payback. Waar WikiLeaks bevestigt dat de wereld nog krankzinniger in elkaar zit dan velen al dachten moeten overheden niet raar opkijken dat burgers zich gaan roeren. Te meer omdat burgerlijke ongehoorzaamheid tegenwoordig zo simpel is als klikken op een link. Toch reageert met name de Nederlandse overheid weer op de slechtst denkbare manier. Oppakken en in de cel met die handel. De woordvoerder van het High Tech Crime Team heb ik al meerdere keren op TV zien verkondigen dat er maar liefst 6 jaar celstraf op een simpele muisklik kan staan.

Waarom die heksenjacht op script kitties zoals ze minachtend liefkozend genoemd worden op 4chan, de thuisbasis van Anonymous? Is dat nou de daadkracht die we mogen verwachten van Bruin I dat in het regeerakkoord claimt te strijden voor een open en vrij internet? Waar blijft dan de veroordeling en het het aanpakken van de DDoS-aanvallen op WikiLeaks zelf? En wanneer gaat premier Rutte weer pleiten voor de absolute vrijheid van meningsuiting zoals hij in het verleden gedaan heeft?

Wikileaks zou dezelfde bescherming moeten krijgen als de vier kranten waar het mee samenwerkt en DDoS’en moet erkend worden als wat het is, een digitale variant op de ouderwetse sit-in. Er wordt geen schade aangericht, het enige wat er gebeurt is dat een bepaalde website (lees dienst) tijdelijk onbereikbaar is. Precies hetzelfde dus als wat met een reguliere staking bereikt wordt. Daar staan ook geen straffen op en al helemaal geen buitenproportioneel zware straffen. Het is absurd dat er minder straf staat op mishandeling dan op bijdragen aan het verstikken van een website. Opgepakt worden voor DDoS’en is als opgepakt worden voor het roepen van rotzak naar een klootzak. Er is geen enkele sprake van serieuze aanvallen op willekeurige doelen. De doelen die getroffen zijn hebben naar een virtueel BOE gesolliciteerd. Waar je met de grote betalingsdiensten op internet nog steeds kunt doneren aan de Ku Klux Klan kun je niet meer bijdragen aan de verdediging van Julain Assange en de vaak vergeten Bradley Manning. Die laatste zit al heel lang in eenzame opsluiting en als hij uiteindelijk veroordeeld wordt hangt hem 52 jaar boven het hoofd.

We leven in een wereld waar bedrijven zonder tussenkomst van een rechter mensen crimineel kunnen verklaren. Anonymous is niet begonnen met de “denial of service.” Dat waren de (internet)banken Paypal, Mastercard, Visa en zelfs de Zwitserse bank Post Finance. Assange was daar niet welkom omdat hij geen inwoner van Zwitserland was. Als inwoner van Zwitserland zijn tegenwoordig een vereiste voor het hebben van een (geheime) bankrekening aldaar dan kan Minister De Jager zich in de handjes knijpen want dan moeten er binnenkort heel wat belastingontduikers boven komen drijven. Meer dan toen diezelfde minister – die we nu niet horen over WikiLeaks – een cd-rom met gestolen gegevens van Zwitserse bankrekeningen kocht.

Overheden zijn al jaren bezig met het inperken van de privacy van hun burgers consumenten. Nu die overheden, en met name Amerika, met de billen bloot gaan zijn meer dan ooit alle middelen geoorloofd lijkt het wel. De geseponeerde aanklacht tegen Assange is opnieuw opgepoetst , Amerika doet z’n best om uitlevering wegens een zwaarder delict voor elkaar te krijgen en Nederland is het braafste hielenlikkertje van de klas door twee tieners op te pakken.

Gelukkig komt er dankzij GroenLinks een debat maar gelet op de reactie van minister Rosentahl die andere “rechtsstaten” niet op de vingers wil tikken wordt dat gewoon helemaal niks. Het zal me ook benieuwen of Opstelten er nog bij wordt betrokken. Ik ben bang van niet want de aanvrager van het debat, Tofik Dibi, heeft zijn afkeer van de digitale demonstranten duidelijk laten blijken. “Wat een domme en onverantwoorde actie v hackers tegen websites van OM en politie. Zo helpen ze democratische openbaarheid zeker niet.

Een individuele DDoS’er is niet meer dan een druppel op een gloeiende plaat. De sites die plat gegaan zijn hebben meer dan genoeg gedaan om een protest over zich af te roepen. Of de sit-in dan echt is of virtueel is irrelevant. Het zou de overheid sieren als daar rekening mee gehouden zou worden in het recht op demonstratie.

  1. 1

    Internetvrijheid? En dan de vrijheid van anderen ontnemen om bijvoorbeeld de site van Mastercard te kunnen bezoeken?

    In dit land geldt vrijheid van meningsuiting nog steeds niet voor mensen die een andere mening hebben.

    En misschien is het hele Wikileaks-verhaal een mooie aanleiding voor de overheden om onze vrijheden nog verder te beperken “want je ziet wat er van komt als iedereen zomaar vrij gebruik mag maken van internet.”

  2. 3

    Er *is* dan ook bizar weinig verschil tussen een (persoonlijk gebruikte) DDOS-tool, en perfect legale dingen als het achterlaten van een URL in je signature op fark of slashdot, een performance-test-tool gebruiken, of gewoon keihard met je ^R- of F5-vingertje een website reloaden, anders dan de intentie van de gebruiker. En dat moet een OM kunnen aantonen. Dat maakt de analogie treffend.

  3. 4

    Wikileaks houdt geen server logs bij denk ik zo, om het leaken van documenten echt anoniem te houden, en dan kun je die ddossers dus ook niet pakken.

  4. 5

    @4: de acties van de ddoskabouters staan volkomen los van de vraag of Wikileaks wel of geen serverlogs bijhoudt. Al deden ze dat wel dan was er waarschijnlijk nog niets dat naar de daders leidde, tenzij zij toevallig net degenen waren die ook documenten hebben gelekt.

    Er is nog een aspect aan een DDoS-aanval. De eerste D staat namelijk voor “distributed” oftewel de aanval komt van veel kanten tegelijk. Meestal heb je daar, om succes te hebben, een botnet voor nodig, oftewel de computers van nietsvermoedende buitenstaanders die (via malware) zijn overgenomen. Dat vind ik nog wel een stukje kwalijker dan het tijdelijk onbereikbaar zijn van een website.

  5. 6

    Sites platleggen is gewoon vandalisme. Maak een spandoek en ga voor het hoofdkantoor posten als je problemen hebt met Mastercard. Roep mensen op om hun creditcard niet meer te gebruiken. Dat lijken me betere acties.

    Bovendien snap ik niet waarom je, wanneer je besluit op te willen komen voor Wikileaks, Mastercard als de belangrijkste vijand ziet. Ik heb weinig op met mensen die hun vijand kiezen op het criterium ‘kan ik die gratis en vanuit mijn luie stoel dwarszitten?’.

  6. 8

    @5 Ik probeerde de vraag “Waar blijft dan de veroordeling en het het aanpakken van de DDoS-aanvallen op WikiLeaks zelf?” uit het artikel te beantwoorden.

  7. 10

    @Anoniem; Ok. ‘Dat geldt tenminste voor de mensen die ze tot nu toe hebben opgepakt’. Overigens vermoedt ik ook dat de maffia (en dat zijn toch over het algemeen de mensen met de botnets), er in dit geval buiten is gebleven.

  8. 12

    Het Ddossen wordt niet door iuedereen gewaardeerd. Leuk is het natuurlijk ook niet als je net met je Mastercard op bol.com dar prachtige boek wilt bestellen over wie de crisis nu eigenlijk heeft veroorzaakt. Sommige klanten moesten wel een heel uur wachten, voor ze de handeling wel konden uitvoeren.

    Terecht wordt er in het artikel op gewezen dat het beperkte ongemak de actie dus meer symbolisch van aard maakt, dan dat het een terroristiscje karakter had, met als doel Mastercard helemaal de wereld uit te helpen.

    En ja, het was een doelgerichte, in de context passende actie. Helaas niet goedgekeurd door de enige consumentenvakbond, dus was het te vergelijken met een “wilde staking”.
    Wie verder de acitvisten een beetje heeft gevolgd, weet dat de al weer opgeroepen hebben tot andere acties, waar consumenten geen last van hebben.

    Keuriger kan dit stukje burgerlijke ongehoorzaamheid eigenlijk niet. De acties van stakende gemeenteambtenaren leverde, rond 30 april dit jaar, veel meer troep op.
    Het artikel zet de actie in het juiste perspectief.

  9. 13

    In de 60er jaren bij de anti racisme demonstraties voor o.a. Martin Luther King ging er een groep mensen naar een bank. Opende voor een paar dollar een rekening (de meeste negers hadden er geen dat was een blanke middenklassen aangelegenheid). Na het openen gingen ze weer in de rij staan om een paar dollar op te nemen en daarna weer om te storten. Dat was volkomen legaal. Het was ook een denial of service. De blanken konden geen geld meer opnemen, ATM’s waren er nog niet en die blanken wilden ook niet tussen 30 negers in de rij staan.
    Als ik dat vergelijk met een ddos aanval waarbij een aantal computers een sessie starten met een bankserver en steeds als die server wacht op een antwoord geen antwoord geven waardoor de server wacht op een timeout en na voldoende ddos sessies voor de kiezen te hebben gekregen kunnen andere gebruikers geen gebruik meer maken van de server.
    Waarom is dan het laatste illegaal en het eerste voorbeeld niet?

  10. 14

    @13: Vanwege de schaal waarop je opereert. Als je in je eentje de deuren van alle filialen van een bank blokkeert, is dat wat anders dan als je een employee wat nutteloze handelingen laat verrichten.

  11. 15

    @14. In het voorbeeld van de bank ging het inderdaad om 1 filiaal maar in de VS is dat ook vaak een complete bank.
    In je eentje alle filialen is niet gebeurd (Ddos). Er waren vele computers die het deden.
    Schaal kan ook geen argument zijn. € 1000 stelen mag niet maar € 1 mag ook niet.

  12. 17

    In je eentje 1 loket blokkeren mag ook niet zomaar, maar daar zal minder problemen over worden gemaakt dan wanneer je een heel gebouw of meerdere gebouwen blokkeert.

    De actie tegen de Mastercardvandaaltjes vind ik ook buiten-proportioneel, maar dat betekent niet dat ik daarmee ook meteen hun acties goed wil keuren.

  13. 18

    We moeten wel even de feiten goed weergeven. Met de DDOS op MC / VISA zijn alleen de frontends van de sites geraakt en heeft 0,0 invloed gehad het betalingverkeer AFGEZIEN van de kleine hoeveelheid mensen die bij VISA online een bevesting moeten regelen.

    Het is een hele grote hype van ongeinformeerde media. Als je het sec bekijkt ligt zo’n site er een dag uit en daarna is het weer business as usual.

    Het grote verschil is uiteraard wel of je enkel en alleen met je eigen computer participeert, of ZELF een botnet aanstuurt. Het laatste is natuurlijk gewoon per definitie fout. Het eerste zie ik persoonlijk een middel van demonstratie.

    Voor de mensen die ook dat fout vinden, wat voor andere middelen heb je tegenwoordig nog om je punt als groep duidelijk te maken aan deze multinationals?

  14. 20

    Reinouts!!! Ga jij even naar het hoofdkantoor in de VS als 15-jarige?

    Fossielen kunnen beter niets over dit onderwerp zeggen; alles wat uit hun mond komt over dit onderwerp is hoogtens hilarisch….

  15. 21

    Ik vind het goed wat Anonymous doet. Als de overheid niet wil dat mensen sommige documenten lezen dan moeten ze het maar beter opbergen. En nu zie je maar weer hoe de ‘grote bedrijven’ onder een hoedje speelt met de overheid. Lang leve Wikileaks en lang leve Anonymous!

  16. 22

    @18 Zeker niet. Doelwit waren (later) de verificatieservers (zoals verified.visa.com) en niet de websites van de bedrijven. Get your facts straight if you pose them as such.

  17. 23

    @22. Wou jij nou beweren dat het credit card POS verkeer er uit heeft gelegen? Zorg eerst dat je zelf de feiten op een rijtje hebt voordat je dit soort statements maakt.
    Het credit card verkeer loopt via de netwerken van Equens en CCV. Daar kom je niet aan met een ddos aanvalletje. Bas heeft gelijk dat er alleen online credit card betalingen uitgesteld werden.

  18. 24

    @12 (Peter):
    “Sommige klanten moesten wel een heel uur wachten, voor ze de handeling wel konden uitvoeren.”

    Oh, nounou, dat is erg.
    Een heel uur lang geen mastercard!
    De wereld vergaat!

    Daarom juist was dit niets anders dan een prachtig vertoon van een virtuele demonstratie. Als we de voordeur blokkeren van een bankhoofdkantoor, worden papieren betalingen ook niet verwerkt. En dat mag wel. In onze wereld dan toch, niet in 1984…

  19. 25

    Al ben ik het grotendeels met je eens, het voorbeeld “rotzak roepen naar een klootzak” is tekenend. Want de vraag is dan of je rotzak mag roepen, niet of het een klootzak is.

    DDOSen mag niet volgens nederlands recht, daarom zijn veel zichzelf respecterende hackers niet blij met dat het ‘onze’ naam besmeurt.

    De ophef is overdreven, het is heksenjacht op een onschuldig kind, maar wat we willen is een vrij en open internet. Massaal DDOS op alles wat stinkt is een potentiële bedreiging voor dat vrije internet.