7 november 2005
De Britse rechter Kenneth Grant van het Wimbledon Magistrates Court
heeft geoordeeld dat het platleggen van een mailserver door er een
overvloed aan e-mails naar toe te sturen die geen ‘unauthorized changes’
hebben aangebracht, niet strafbaar is. Deze uitspraak werd gedaan in de
strafzaak tegen een tiener, die de server van zijn ex-werkgever had
laten crashen door er vijf miljoen e-mails naartoe te sturen. Hij was
aangeklaagd wegens overtreding van afdeling 3 van de Computer Misuse
Act uit 1990 (over ongeautoriseerde toegang tot of aanpassing van
computer systemen), maar de rechter oordeelde dat hij niets strafbaars
had gedaan.
Volgens het uitgeschreven vonnis van de rechter is een mailserver
bedoeld om mail heen te sturen, en had de verdachte niets anders
gedaan. Zelfs het feit dat de mail in uitzonderlijke hoeveelheden werd
verstuurd, maakte niet uit. De zending bleef binnen de kaders die de
Computer Misuse Act vereist. ‘On the narrow issue of an authorised or
unauthorised modification, I concluded that no reasonable tribunal
could conclude that the modification caused by the e-mails sent by the
defendant were unauthorised within the meaning of section 3. In this
case, the individual e-mails caused to be sent each caused a
modification which was in each case an ‘authorized’ modification.
Although they were sent in bulk resulting in the overwhelming of the
server, the effect on the server is not a modification addressed by
section 3 (of the CMA).’ De rechter voegde er meteen aan toe dat dit
betekent dat onder de wet ook een ‘distributed denial of service’
(ddos)-aanval niet strafbaar is. De uitspraak betekende dat de
verdachte zich niet hoefde te verweren en vrijuit ging. Onderzoek door
het beveiligingsbedrijf IntY uitgevoerd in september 2005 toonde aan
dat er elke maand ongeveer 20 van dergelijke ddos-aanvallen worden
uitgevoerd op Britse organisaties. Een voorbeeld was de Greater
Manchester police die tijdens een aanval met 2.000 e-mails per uur werd
geconfronteerd. De uitspraak betekent een enorme klap voor de
wetshandhavers; deskundigen hebben er al lange tijd op gewezen dat de
Computer Misuse Act aan vervanging toe is, omdat veel gevallen van
computercriminaliteit via de bestaande wet niet te vervolgen zijn.
Eerder dit jaar heeft de invloedrijke All Party Internet Group of MP‘s
aangedrongen op het vervangen van de bestaande wet door een veel
modernere, die de nieuwste vormen van criminaliteit afdekt. Soeren
Bech, van Tumbleweed Communications, stelt dat ‘A denial of service or
‘e-mail bomb’ attack could cost an organisation millions in downtime
and be even more devastating than a traditional virus attack.
Importantly it could be caused by little more than a single disgruntled
former employee.’ Peter Sommer, een expert die als getuige voor de
verdediging optrad, riep op voor een zo snel mogelijke herziening van
de wet.
In Nederland valt een dergelijke ddos-aanval wel
onder de Wet Computercriminaliteit als zijnde computerterreur, maar de
stafbaarheidsstelling is ingewikkeld en de straffen relatief laag. De
nieuwe wet (al vanaf 1998 in behandeling en waarschijnlijk pas dit jaar
klaar voor goedkeuring) maakt dergelijke aanvallen veel eenvoudiger te
vervolgen en past de straffen aanzienlijk aan.
