Veroordeling wegens uitvoeren van een Denial of Service-aanval gericht op de website van een bank

Rechtbank Zeeland-West-Brabant 2 september 2014, ECLI:NL:RBZWB:2014:6659

Verdachte heeft zich schuldig gemaakt aan het uitvoeren van een Denial of Service aanval oftewel DoS-aanval gericht op de website van een bank. Door middel van een onvolledige http post-request heeft verdachte ervoor gezorgd dat het maximale aantal verbindingen werd bereikt waardoor de website niet meer toegankelijk was voor klanten van de bank. Zij konden daardoor geen gebruik meer maken van het telebankieren, iDeal en Mobielbankieren. 

Het standpunt van de officier van justitie

De officier van justitie acht wettig en overtuigend bewezen dat verdachte een Denial Of Service-aanval heeft uitgevoerd op de website van de bank, waardoor deze gedurende één uur niet toegankelijk is geweest. Zij baseert zich daarbij op de aangifte van de bank waaruit onder meer blijkt dat er op 10 april 2013 een verhoogd verkeer over het netwerk was en dat de http-post request afkom-stig was van een enkel IP-adres dat hoorde bij het adres van verdachte. Voorts wijst zij op het proces-verbaal van bevindingen betreffende de uitwerking van de IP-tap en de processen-verbaal betreffende het onderzoek naar de inbeslaggenomen computer, USB-stick en iPad van verdachte. Het verweer van de verdediging dat de computer van verdachte is overgenomen door derden acht de officier van justitie ongeloofwaardig. Los van het feit dat uit de stukken blijkt dat deze stelling vanuit een technisch oogpunt hoogst onwaarschijnlijk is, komt de verklaring van verdachte er in essentie op neer dat niet hij de DoS-aanval heeft gepleegd, maar iemand anders. Verdachte kan echter niet aangeven wie deze andere persoon is geweest. Onder die omstandigheden en onder verwijzing naar het arrest van de Hoge Raad, gepubliceerd in NJ 1999, nr. 152, behoeft het verweer van de verdediging geen verdere weerlegging, aldus de officier van justitie.

Het standpunt van de verdediging

De verdediging stelt zich op het standpunt dat verdachte een logische en uitvoerige weerlegging heeft gegeven van de verdenkingen. Verdachte heeft verklaard dat zijn computer, zonder zijn toestemming, is overgenomen door hackers en dat deze hackers de vermeende DDoS-aanvallen hebben verricht waarbij zij gebruik hebben gemaakt van het IP-adres van verdachte. Verdachte heeft, als bewijs, de door de hackers geïnstalleerde software op een USB-stick gezet om te laten zien dat deze software door anderen op zijn computer is gezet. De stelling van de politie dat het zeer onwaarschijnlijk is dat de computer van verdachte op afstand overgenomen zou zijn, is volgens de verdediging uiterst suggestief geformuleerd. De verdediging is dan ook van mening dat de rechtbank niet tot een bewezenverklaring kan komen en verzoekt verdachte vrij te spreken van zowel het primair als subsidiair ten laste gelegde.

Het oordeel van de rechtbank

Op 10 april 2013 is de bank tussen 13.15 uur en 14.15 uur geconfronteerd met het uitvallen van de website. Als gevolg hiervan was het voor klanten van de bank niet meer mogelijk om hun geldzaken te regelen via internet- en mobiel bankieren en iDeal. Na analyse bleek dat er sprake was van verhoogd dataverkeer over het netwerk. Daarnaast bleek dat een http post-request, afkomstig van één IP-adres, hiervoor verantwoor-delijk was. De post zorgde ervoor dat het maximale aantal verbindingen werd bereikt. Als gevolg hiervan was het voor de overige gebruikers niet mogelijk de pagina te laden en was de site “down”. Het IP-adres dat verantwoordelijk was voor deze actie, was IP-nummer. Nadat dit IP-adres werd geblokkeerd, kwam de site van de bank weer ter beschikking. Uit nader onderzoek bleek dat met het betreffende IP-adres op 26 augustus 2012 een transactie is uitgevoerd bij de bank door middel van internetbankieren. De transactie werd uitgevoerd met een rekeningnummer op naam van de heer en/of mevrouw.

De politie heeft in het kader van het opsporingsonderzoek de verstrekking van de gebruikersgegevens gevorderd van het voornoemde IP-adres. Uit deze gebruikersgegevens bleek dat het IP-adres op naam staat van de vader van verdachte op het adres waar verdachte en zijn ouders wonen.

Vervolgens is in het kader van het opsporingsonderzoek een IP-tap aangesloten op het IP-adres. Hieruit kwam naar voren dat er in de periode 19 april 2013 tot 26 april 2013 uitzonderlijk veel POST-aanvragen werden toegezonden naar bepaalde IP-adressen of domeinnamen. Het aanbieden van een grote hoeveelheid POST aanvragen kan in bepaalde omstandigheden resulteren in het belemmeren van de toegankelijkheid van een webserver. In voornoemde periode is op verschillende websites getracht in te loggen met verschillende e-mailadressen, gebruikersnamen en wachtwoorden met daarin de naam van verdachte.

Bij de doorzoeking in de woning waar verdachte woont, zijn door de politie onder meer een Personal Computer van het merk DELL, een USB-stick van het merk Lexor en een iPad van het merk Apple in beslag genomen. Op de computer zijn verschillende bestanden aangetroffen waarvan bekend is, dat door het gebruik van deze programma’s zogenaamde DDoS-aanvallen worden uitgevoerd. In de submap Prefetch van de Windows map zijn onder meer de volgende bestanden aangetroffen:

  • Bestandsnaam: [bestandsnaam 1]
  • Gemaakt op: 6-4-2013 13:12:58
  • Bestand : [bestandsnaam 1a]
  • Opgestart vanaf: [gebruiker 1]
  • Totaal keer opgestart: 30
  • Bestandsnaam: [bestandsnaam 2]
  • Gemaakt op: 5-4-2013 18:01:07
  • Bestand: [bestandsnaam 2a]
  • Opgestart vanaf: [gebruiker 2]
  • Totaal keer opgestart: 70

In de map ProgramData/MFAData/cfgdump werd op de computer van verdachte het bestand naam 1 aangetroffen. Dit bestand bevat data betreffende de instellingen van de op de harde schijf geïnstalleerde AVG antivirus software. Normaliter zou het antivirusprogramma de hieronder genoemde bestanden in de map naam 2 en naam 3 moeten aanmerken als bestanden welke een bedreiging vormen voor het computersysteem. Met de AVG Exceptionmanager kunnen bestanden echter worden aangemerkt als vertrouw-de bestanden. Dit moet handmatig worden ingesteld.

Bij onderzoek in het bestand naam 1 waren onder meer de navolgende bestanden als "vertrouwd" ingesteld: 2013-03-24/14-24-50, naam 4, 2013-03-24/14-39-56, naam 5,  2013-04-06/11-19-54, naam 6.

In de unallocated clusters (vrije ruimte) van voornoemde computer zijn sporen aangetroffen, welke duiden op het bevragen van de beschikbaarheid van de website http://website 2. Middels deze website kan de beschikbaarheid van websites worden gecontroleerd. Uit de IP-tap blijkt dat middels website 2 de beschikbaarheid van het domein is opgevraagd.

Op de root van de inbeslaggenomen USB-stick zijn mappen aanwezig geweest met de naam map naam 1 en de naam ddos aanvallen. Daarnaast is op de USB-stick in de map VIDEO aangetroffen het bestand map naam 2. Op de inbeslaggenomen iPad is in de Unrecognized files een bestand aangetroffen met naam 7. Dit bestand is binnengekomen op 12 februari 2013.

De rechtbank overweegt dat uit voornoemde bewijsmiddelen volgt dat er op 10 april 2013 een DoS-aanval op de website van de bank is gepleegd. Na onderzoek bleek dat er ten tijde van de aanval sprake was van verhoogd verkeer over het netwerk waarvoor een http post-request verantwoordelijk was. Deze post was afkomstig van één IP-adres. Dit is het adres waar verdachte woonachtig is. De post zorgde er voor dat het maximale aantal verbindingen werd bereikt waardoor de website van de bank niet langer toegankelijk was. Het is een feit van algemene bekendheid dat wanneer een website ontoegankelijk is, de opslag en/of verwer-king en/of overdracht van gegevens is verhinderd. Nadat het IP-adres werd geblokkeerd, was de website van de bank weer toegankelijk.

Op het adres waar verdachte woont, is tijdens de doorzoeking één computer van het merk Dell in beslag genomen. Op deze computer zijn verschillende programma’s aangetroffen waarmee een (d)DoS-aanval kan worden uitgevoerd. Uit onderzoek is gebleken dat het programma op 5 april 2013 is gedownload en het programma 2 op 6 april 2013. Deze bestanden zijn met de virusscanner handmatig als ‘betrouwbaar’ aangemerkt. Beide programma’s bevonden zich derhalve vóór de onderhavige DoS-aanval op de computer. Uit de IP-tap is voorts gebleken dat deze programma’s in de periode net na de DoS-aanval een groot aantal keer zijn opgestart. Op grond van het voorgaande concludeert de rechtbank dat de DoS-aanval is uitgevoerd vanaf de computer die tijdens de doorzoeking in voornoemde woning is aangetroffen.

De rechtbank overweegt voorts dat verdachte heeft verklaard dat hij een beetje computer-verslaafd was en uren achter voornoemde computer zat. Verdachte heeft voorts verklaard dat zijn zusje zes jaar oud is en dat zijn ouders niet zo goed zijn met een computer. Daarnaast zijn op de in beslag genomen USB-stick mappen aangetroffen met de namen ‘dDoS-aanvallen’ en ‘map naam 1’, alsmede een YouTube-video met de titel ‘map naam 2’. Verdachte heeft verklaard dat de USB-stick van hem is en door niemand anders wordt gebruikt. Ten slotte is door de politie geanalyseerd welke websites in de periode 19 april 2013 tot en met 26 april 2013 vanaf voornoemde IP-adres zijn bezocht en welke user-agent daarvoor is gebruikt. Hieruit is gebleken dat er in die periode regelmatig websites werden bezocht die duidelijk raakvlakken hebben met (d)DoS-aanvallen en hacken. Daarvoor werd gebruikt gemaakt van inlognamen, e-mailadressen of wachtwoorden die rechtstreeks zijn te linken aan verdachte zoals: ‘verdachte’, ‘emailadres 1’, ‘emailadres 2’ en ‘wachtwoord’.

Op grond van het voorgaande is de rechtbank van oordeel dat verdachte degene is geweest die de DoS-aanval heeft gepleegd.

Het verweer van de verdediging dat de computer van verdachte is overgenomen door derden en dat op deze wijze de DoS-aanval is uitgevoerd, volgt de rechtbank niet. Uit het dossier volgt dat het vanuit een technisch oogpunt zeer onwaarschijnlijk is dat de computer is overgenomen op een wijze zoals door verdachte is verklaard. Voorts zijn er in het kader van het technisch onderzoek op de computer geen sporen aangetroffen die wijzen op een overname van de computer door een derde. Ook in de overige bewijsmiddelen wordt voor dit standpunt geen steun gevonden. Daar komt bij dat verdachte niet consistent in zijn verklaring is en dat hij, op het moment dat hem meer informatie wordt gegeven, zijn verklaring steeds aanpast. De rechtbank acht de verklaring van verdachte dan ook niet geloofwaardig. Het verweer van de verdediging wordt dan ook verworpen.

Bewezenverklaring

Opzettelijk stoornis in de werking van enig geautomatiseerd werk veroorzaken, terwijl daardoor wederrechtelijk verhindering van de opslag, verwerking of overdracht van gegevens ten algemenen nutte of stoornis in een openbaar telecommunicatienetwerk ontstaat;

Strafoplegging

De rechtbank veroordeelt verdachte tot een werkstraf van 60 uren, subsidiair 30 dagen vervangende jeugddetentie, waarvan 30 uren, subsidiair 15 dagen vervangende jeugddetentie, voorwaardelijk met een proeftijd van twee jaar en bepaalt dat het voorwaardelijke deel van deze werkstraf niet ten uitvoer wordt gelegd, tenzij de rechter tenuitvoerlegging gelast:

  • omdat verdachte, ten behoeve van het vaststellen van zijn identiteit, geen medewerking verleent aan het nemen van een of meer vingerafdrukken of een identiteitsbewijs als bedoeld in artikel 1 van de Wet op de identificatieplicht niet ter inzage aanbiedt;
  • omdat verdachte zich voor het einde van de proeftijd schuldig maakt aan een strafbaar feit;
  • omdat verdachte tijdens de proeftijd de bijzondere voorwaarde niet heeft nageleefd;

De rechtbank stelt als bijzondere voorwaarde dat verdachte zich tijdens de proeftijd moet gedragen naar de voorschriften en aanwijzingen die worden gegeven door of namens de jeugdreclassering, uit te voeren door de William Schrikker Groep, draagt deze reclasseringsinstelling op om aan verdachte hulp en steun te verlenen bij de naleving van deze voorwaarde en bepaalt dat verdachte, hoewel hij de leeftijd van 18 jaar heeft bereikt, bij omzetting van de taakstraf in aanmerking komt voor vervangende jeugddetentie overeenkomstig artikel 77p, lid 4, van het Wetboek van Strafrecht.

Lees hier de volledige uitspraak.

Print Friendly Version of this pagePrint Get a PDF version of this webpagePDF