Is het maken van software voor een DDoS aanval illigaal

het lijkt me wel legaal. Je zou het namelijk kunnen gebruiken voor testen van het een of ander.

Het maken van die software is niet illegaal, het zou gebruikt kunnen worden om in opdracht de beveiliging van een netwerk of een server te testen. Dit zou mogelijk wel een conflict met het contract tussen collega en werkgever kunnen opleveren (concurrentiebeding, werk voor derden etc.).
Een andere mogelijkheid is een studieopdracht.

Het is niet gelijk strafbaar, alleen als de "software developer" van te voren al weet dat zijn software voor mindere legale doelen word gebruikt.

Titel V. Deelneming aan strafbare feiten
Artikel 48

Als medeplichtigen van een misdrijf worden gestraft:

1*.
zij die opzettelijk behulpzaam zijn bij het plegen van het misdrijf;
2*.
zij die opzettelijk gelegenheid, middelen of inlichtingen verschaffen tot het plegen van het misdrijf.

Drie links voor je als je 'echt' advies wilt (maar niets ten koste van de anderen die hun mening al gegeven hebben):

juridischevraag@security.nl

http://security.nl/tag/juridische%20vraag

http://security.nl/artike...ens_werk_aangeklaagd.html komt in de buurt van je probleem, maar is net iets anders in de details.

Uit mijn hoofd kan ik zo geen artikel noemen, maar loop even recente (laatste 5 a 10 jaar) rechtzaken rond P2P software eens na en check dan www.wetten.nl voor de precieze teksten waar men naar verwijst. Da's natuurlijk pas 1 kant van de zaak, namelijk in welke mate softwareleveranciers/makers verantwoordelijk zijn voor wat er met de software gebeurt. Maar is zwart/wit gesteld (aub hier geen discussie over) vergelijkbaar: software die als belangrijkste doel heeft 'foute dingen' te doen

Heel kort door de bocht over medeplichtigheid: Wetboek van Strafrecht art 47 (art48 is al gequote)

1. Als daders van een strafbaar feit worden gestraft:
* zij die het feit plegen, doen plegen of medeplegen;
* zij die door giften, beloften, misbruik van gezag, geweld, bedreiging, of misleiding of door het verschaffen van gelegenheid, middelen of inlichtingen het feit opzettelijk uitlokken.

2. Ten aanzien van de laatsten komen alleen die handelingen in aanmerking die zij opzettelijk hebben uitgelokt, benevens hun gevolgen.

Maar ik zou er dus wat Europese of Nederlandse jurisprudentie bij zoeken.

Edit: zeg ik erg traag. Al betekent imho niet dat als een ander forum ook het onderwep kan behandelen, we hier niet ook een mening kunnen vormen (o.v.v. de juiste jurisprudentie )

[ Voor 8% gewijzigd door F_J_K op 07-03-2010 15:06 ]

djexplo schreef op zondag 07 maart 2010 @ 14:58:
Het is niet gelijk strafbaar, alleen als de "software developer" van te voren al weet dat zijn software voor mindere legale doelen word gebruikt.

[...]

Tjonge jonge, direct een wetsartikel erbij halen... waarom zo zwart/wit? Er spelen hier overduidelijk 2 vragen en dat zijn óf dergelijke software legaal is en of de werkgever überhaupt bevoegd is om de werknemer erop aan te spreken. Dat laatste is zeker niet het geval daar de werknemer dit volledig in vrije tijd en met eigen resources doet, hierbij ga ik er gemakshalve vanuit dat de werknemer niet in overheidsdienst is en dat hij privé ook geen gebruik maakt van bedrijfsresources maar alles in eigen beheer doet.
Blijft de vraag over of de software geproduceerd mag worden en daarvan is geen enkele wet op van toepassing dat dit niet zou mogen gebeuren. De ontwikkelaar zou, indien hij de software bewust schrijft met het doel dat deze software misbruik eenvoudiger maakt, wel aansprakelijk gehouden kunnen worden. Maar daarvoor moet het doel wel duidelijk omschreven zijn. Er is meer software die dezelfde mogelijkheden biedt maar voor een ander doel geschreven is.

Het lijkt me lastig om dat direct strafbaar te stellen eigenlijk. Je kunt een ping-commando ook zo formuleren dat het ddos-achtige eigenschappen krijgt. Maakt dat de makers van het OS strafbaar??

djexplo schreef op zondag 07 maart 2010 @ 14:58:
Het is niet gelijk strafbaar, alleen als de "software developer" van te voren al weet dat zijn software voor mindere legale doelen word gebruikt.

[...]

Dan zou nmap, metasploit, nessus, nikto etc ook illegaal zijn?

Nmap is in duitsland illegaal, maar verder afaik nergens.


Vergelijk het eens met keukenmessen, bijlen of kettingzagen: ook prima als wapen te gebruiken maar an sich niet illegaal en voor iedereen verkrijgbaar.

Een keukenmes mag best in je keukenla liggen, maar een werpmes of (grote) stiletto is verboden. Zoekmachines zoals Google mogen best in NL actief zijn (ook al zijn er ook warez-hits), zoekmachines die zich heel expliciet alleen richten op warez blijkbaar niet (zie TPB).

nmap is een tool dat nuttig wordt gebruikt, een tool dat expliciet en alleen is bedoeld voor het opzetten van botnetwerken tbv DDoS'en is dat, imho en ianal, niet.

[ Voor 4% gewijzigd door F_J_K op 07-03-2010 16:00 ]

Uiteraard, maar ook voor botnetwerk-tools weet ik goede doelen.
SURFnet dat daarmee experimenteert om zo hun beveiliging en detectie te verbeteren, waardoor het equivalent wordt aan een reguliere audit-tool zoals nmap.

Waar ligt dan die grens ergens? Met nmap -A kun je aardig wat schade toebrengen, en metasploit zou ik dan ook wel met een stiletto willen vergelijken.

Het probleem is dat een stiletto duidelijk definieerbaar is (x cm max, blad mag zoveel zijn), en software niet.

F_J_K schreef op zondag 07 maart 2010 @ 15:59:
Een keukenmes mag best in je keukenla liggen, maar een werpmes of (grote) stiletto is verboden.

De wet verbiedt het je een wapen voorhanden te hebben. Dat hele grote broodmes in je la is prima, maar als je gaat stappen met datzelfde broodmes in je binnenzak valt het opeens onder de Wet Wapens en Munitie. Je mag tienduizend kilo ammoniumnitraat in de schuur hebben liggen, maar als het met diesel gemengd in een vat achterin je busje staat heb je een heleboel uit te leggen. (anfo)

Je mag nmap op je harddisk hebben staan, maar je mag het niet gebruiken om in te breken op de mailserver van het koninklijk huis.

Doordat veel dingen meer dan precies één mogelijke toepassing hebben telt je (kennelijke) intentie ook mee voor de rechter.

F_J_K schreef op zondag 07 maart 2010 @ 15:59:
Een keukenmes mag best in je keukenla liggen, maar een werpmes of (grote) stiletto is verboden.

Het ontwerpen van stiletto's daarentegen (op papier) zal niet verboden zijn... Het lijkt me voor deze casus dan ook relevant of deze software alleen gemaakt wordt, of ook verspreid. In het laatste geval zal medeplichtigheid eerder een probleem zijn.

Dit is zeker een grijs gebied, want als je in de Pentest branch zit, kan je eigen software gebruiken, omdat het veliger is.
Immers je beheerd het zelf, dus je kan het ook zo deleten.
Ze doen alleen kwaad, als jij het wilt. Een bot maken lijkt mij probleem. Er is wel is als (poging tot/ op voorbedachte rade) van fraude plegen?
Tevens is een bot plat gezien, het op afstand besturen van de computer. Dus je kan het zien als een RAT maar dat geeft niet weer of dat het goedaardig of kwaadaardig is. En het uitvoeren van een DDOS, is ook breed te zoeken. Want immers als ik 5000 systemen beheer via mijn "bot" dan kan ik die ook allemaal even een ping laten testen of een http get laten testen op een site... dat die site het niet trekt... dat wist ik niet.
Het is denk ik niet strafbaar, en geen rede tot ontslag... maar het kan wel het bedrijf schade aan brengen.

Rare hypothetische vraag die misschien voor rechters in opleiding interessant is.

Soldaatje schreef op zondag 07 maart 2010 @ 18:01:
Rare hypothetische vraag die misschien voor rechters in opleiding interessant is.

Een rechter in opleiding zal dan ook waarschijnlijk op zoek gaan naar vergelijkbare zaken in het verleden, de oordelen van die rechters geven vaak aan hoe de algemeene wetten op zo iets specefieks toegepast worden.