NemID-hackere risikerer at hænge på kæmperegning for DDoS-angreb

24. april 2013 kl. 06:2935
En plettet straffeattest er én ting, noget andet er det potentielt store erstatningskrav, man risikerer at hænge på, hvis man bliver dømt for at udføre et DDoS-angreb.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

De personer, som på det seneste har bombarderet danske hjemmesider for at gøre dem utilgængelige, risikerer at hænge på konsekvenserne i mange år, hvis de bliver fanget og dømt.

Typisk bliver hackerangreb behandlet efter straffelovens paragraf 293, og det indebærer ikke alene muligheden for at idømme bagmændene en fængselsstraf, men også en økonomisk straf oveni.

»Man kan blive pålagt et erstatningskrav, hvis der er lidt tab, og man kan måske også skulle betale tort,« siger lektor med speciale i strafferet Trine Baumback fra Københavns Universitet til Version2.

I marts og april er NemID-login-systemet flere gange blevet udsat for DDoS-angreb, som beskrevet her på Version2. Og et angreb mod sådan et system kan også føre til yderligere erstatningskrav.

Artiklen fortsætter efter annoncen

»Der er jo mange, der benytter NemID, som man kan forestille sig kunne få et afledt tab. Det kan man også blive pålagt at erstatte,« siger Trine Baumbach.

Anklagemyndigheden, som vil skulle føre sagerne mod bagmændene, hvis de bliver fundet, vil ikke udtale sig om, hvilken størrelsesorden straffen i givet fald vil have. Der har nemlig kun været få tidligere sager i Danmark, og de er ikke direkte sammenlignelige med DDoS-angrebene.

Straffelovens paragraf 293 har normalt en strafferamme på op til ét års fængsel, men kan i særlige tilfælde give helt op til to års ubetinget fængsel.

Den straf vil fremgå af straffeattesten i op til maksimalt fem år for den straffeattest, man kan få udleveret til brug ved eksempelvis jobansøgninger. Straffen vil dog i mindst ti år efter stå på den straffeattest, som politiet og offentlige myndigheder kan indhente.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

»Det gælder for mange af den type forbrydelser, der begås af unge, at de er overmodige, men en straf kan være ødelæggende, fordi man skal afsone i fængsel, og det kommer til at stå på straffeattesten,« siger Trine Baumbach.

Men det er dog risikoen for at hænge på et stort erstatningskrav, der kommer bag på mange.

»Man kan komme til at kæmpe økonomisk med det langt ud i fremtiden, så det er ret alvorligt,« siger Trine Baumbach.

Hun påpeger samtidig, at den tid er forbi, hvor dømte hackere bliver tilbudt topjob i it-branchen, når de har afsonet deres straf.

»Der er ikke noget længere heltemodigt ved at være hacker,« siger Trine Baumbach.

Emner
35 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
35
Jan Ulrich Jensen
28. maj 2013 kl. 12:49

Jeg troede egentlig ikke, at jeg kunne gøre krav gældende overfor NemID for tab alle de gange, hvor det ikke har virket!

Men en lektor med speciale i strafferet har fået mig til at tvivle. Nu tænker jeg på erstatning for tabt arbejdsfortjeneste eller godtgørelse for tort, svie og smerte.

Hvis ikke staten eller NemID kommer til lommerne, kan jeg så gøre krav gældende overfor den kloge og snakkesaglige lektor?

  • more_vert
    • insert_linkKopier link
34
Lars Skovlund
24. april 2013 kl. 14:13

Jeg tror vi nærmer os enighed :) Men indenfor software gælder særlige regler om retten til at undersøge det man har købt (ophavsretslovens §36 og §37). De gælder hhv. fejlretning og interoperabilitet. Hvis man derimod vil lære de teknikker der nødvendigvis skal til for at rette fejl i closed-source software, så er man som jeg læser det ikke omfattet. Derfor er der i høj grad tale om en gråzone, hvor en overtrædelse af disse (for eksempel) må vurderes individuelt.

  • more_vert
    • insert_linkKopier link
29
Lars Skovlund
24. april 2013 kl. 12:09

Han blev dømt i byretten. Frikendt i landsretten. Og anklagende myndighed var Økokrim (sv.t. Bagmandspolitiet). Så skal vi ikke bare sige, at der er delte meninger om hvor ulovligt det var. Hvilket understreger min pointe - at det er ret unuanceret at sige du ikke kan ansætte en der har været tiltalt og/eller dømt for denne type kriminalitet, hvis det du leder efter er en person med viden og erfaring på de fagområder. Bemærk igen, jeg har lavet noget af det samme, men er hverken tiltalt eller dømt. Og arbejder med IT-sikkerhed, sjovt nok.

  • more_vert
    • insert_linkKopier link
32
Lars Kr. Lundin
24. april 2013 kl. 13:33
  • more_vert
    • insert_linkKopier link
28
Jørgen L. Sørensen
24. april 2013 kl. 12:05

--- og hvorles opgør man så tabet for et angreb på en hjemmeside?

Hvis fotoforhandleren smider en film (bruges vist endnu :-) væk med familiens billeder fra en safaritur til Afrika, hænger han normalt kun på filmens købsværdi, ikke på en ny rejse.

Noget lignende må gøre sig gældende f.eks. med hensyn til sikring af en server/hjemmeside --- hvis udgiften er noget, man burde have afholdt tidligere for at have en rimelig sikker side, bør gerningsmanden vel ikke betale for den del af regningen.

Hvor meget han så skal betale for at få siden i luften igen, kan så give nye diskusioner om han skal slippe nemmere, hvis siden kunne lægges ned ved at sætte en tier på højkant.

Selv om jeg går ind for at gerningsmændene (altid) skal straffes for deres "hærværk" på en måde de kan mærke, skal der også være proportioner i det.

  • more_vert
    • insert_linkKopier link
30
Kristian Klausen
24. april 2013 kl. 12:34

--- og hvorles opgør man så tabet for et angreb på en hjemmeside?</p>
<p>Hvis fotoforhandleren smider en film (bruges vist endnu :-) væk med familiens billeder fra en safaritur til Afrika, hænger han normalt kun på filmens købsværdi, ikke på en ny rejse.</p>
<p>Noget lignende må gøre sig gældende f.eks. med hensyn til sikring af en server/hjemmeside --- hvis udgiften er noget, man burde have afholdt tidligere for at have en rimelig sikker side, bør gerningsmanden vel ikke betale for den del af regningen.</p>
<p>Hvor meget han så skal betale for at få siden i luften igen, kan så give nye diskusioner om han skal slippe nemmere, hvis siden kunne lægges ned ved at sætte en tier på højkant.</p>
<p>Selv om jeg går ind for at gerningsmændene (altid) skal straffes for deres "hærværk" på en måde de kan mærke, skal der også være proportioner i det.

Tabet må vel være det de ikke kunne opkræve bankerne for, fordi ingen kunne logge ind..

  • more_vert
    • insert_linkKopier link
24
Lars Skovlund
24. april 2013 kl. 11:32

Om man kan have tillid til en medarbejder kommer da i høj grad an på hvad man har gjort? Jon Lech Johansens (DVD-Jon) karriere har så vidt vides ingen skade lidt ved det han har gjort.

  • more_vert
    • insert_linkKopier link
33
Lars Kr. Lundin
24. april 2013 kl. 13:48

Om man kan have tillid til en medarbejder kommer da i høj grad an på hvad man har gjort? Jon Lech Johansens (DVD-Jon) karriere har så vidt vides ingen skade lidt ved det han har gjort.

Efter at have tænkt over eksemplet med JLJ, så har jeg muligvis nuanceret mit syn på sagen.

Når man overvejer at ansætte en medarbejder, der som JLJ har været på kant med loven, så er det en etisk overvejelse.

Med det mener jeg at man ikke bare skal se på om straffeattesten er blank, men hvad det specifikt er for en sag ansøgeren har haft.

Som ingeniør kan man naturligvis kun påberåbe sig retten til at undersøge et produkt man har købt og betalt for - og man har lige så naturligt retten til at fortælle andre hvad man laver.

Og CSS[*] opfatter jeg som hyklerisk, da DVD-producenterne gerne vil udnytte globaliseringen til at få lavet deres produkter der på kloden hvor de er billigst, men samtidig nægter deres kunder samme ret til at købe DVDer, der hvor de kan fås billigst.

Så jeg mener at retssagen mod JLJ - uanset dens udfald - aldrig skulle have været rejst, og at den derfor er uden betydning for mandens troværdighed.

Og i min personlige optik, er sagen en anbefaling af JLJs etik, fordi han valgte at udfordre loven (selvom det muligvis var ubevidst, han var jo ikke særlig gammel).

Om man så mener JLJ er et godt eksempel ifht. DDOS af NemID må afhænge af om man mener CSS og NemID udgør lige store overgreb på brugerne.

[*] En del af CSS er jo regionskoderne.

  • more_vert
    • insert_linkKopier link
27
Lars Kr. Lundin
24. april 2013 kl. 11:56

Om man kan have tillid til en medarbejder kommer da i høj grad an på hvad man har gjort? Jon Lech Johansens (DVD-Jon) karriere har så vidt vides ingen skade lidt ved det han har gjort.

Hvis du hentyder til Jon Lech Johansens reverse engineering af den latterlige CSS-kryptering, så gjorde han det i Norge, hvor den slags ikke er ulovligt.

Nu er der forskel på ret og jura, men på trods af ønsker fra USA, så fik hans arbejde heller ingen juridiske konsekvenser for ham.

  • more_vert
    • insert_linkKopier link
25
Christian Nobel
24. april 2013 kl. 11:42

Om man kan have tillid til en medarbejder kommer da i høj grad an på hvad man har gjort? Jon Lech Johansens (DVD-Jon) karriere har så vidt vides ingen skade lidt ved det han har gjort.

Vi er altså nødt til at være nuancerede i denne her diskussion - der er stor forskel på at flå et 10$ DDoS angreb ned fra hylden og fyre af, og så aktivt lave hacking i ordets oprindelige betydning.

Endnu en analogi:

Hvis man køber et kæmpe litium batteri og bærer med ombord på en flyvemaskine, for derefter at kortslutte polerne, så maskinen bryder i brand og skvatter ned, så er det nok så som så med sympatien.

Men hvis man på måske uretmæssig vis får fat i et nyt batteri til en Dreamliner og splitter det ad, og dermed kan vise over for Boing, at hvis ikke der gøre noget, så er der risiko for tab af liv - så tror jeg nok Boing kan se gennem fingre med at det er en bekendt der har smuglet batteriet med hjem fra arbejde.

  • more_vert
    • insert_linkKopier link
23
carsten guldhammer
24. april 2013 kl. 11:32

det er helt iorden at han kommer til at hænge på en regning for at sabortere at folk der er afhængig af nem ide ikke kan bruge det

  • more_vert
    • insert_linkKopier link
21
Max Jakobsen
24. april 2013 kl. 11:28

Da Ddos angreb mange gange et internationale skulle man også dømme internationalt. En minimums bøde på 20.000.000 Kr. ville nok få de fleste til at tænke to gange inden de begynder på at ødelægge andres infastruktur.

  • more_vert
    • insert_linkKopier link
18
Lars Skovlund
24. april 2013 kl. 11:10

Nu om stunder har man på DIKU kurser i reverse engineering m.v. (http://sis.ku.dk/kurser/viskursus.aspx?knr=143447) ... og det er naturligvis fordi det efterspørges (ikke mindst i sikkerhedsvirksomhedder, efterretningstjenester etc.). Da jeg læste fandtes det her kursus ikke - så jeg er en af dem der har måttet lære ved at gøre. Under alle omstændigheder lærer man bedst disse færdigheder ved at bruge dem på fremmedes kode. Her taler jeg ikke om websites, men om software - i princippet gælder det samme dog websites. Hvis man efterspørger folk med denne type kompetencer kan det altså være svært at undgå folk der i princippet er kriminelle (men ikke dømte), specielt efter indførelsen af lovkomplekser som Infosoc.

/Lars (p.t. med ren straffeattest :)

  • more_vert
    • insert_linkKopier link
20
Lars Kr. Lundin
24. april 2013 kl. 11:24

Jeg synes det er godt at kursusudbuddet ved DIKU påvirkes af IT-udviklingen.

Nu hvor IT-sikkerhedsbranchen nævnes, så har jeg meget svært ved at forestille mig at en person, der vides at have brugt sine IT-færdigheder til lovovertrædelser, kan få ansættelse hos sådan en arbejdsgiver.

Hvis man ikke kan have tillid til en medarbejder, så er det meget begrænset hvilke opgaver vedkommende kan sættes til at løse.

  • more_vert
    • insert_linkKopier link
17
Klaus Olesen
24. april 2013 kl. 11:07

En udvikler, som har vist sig villig til at bruge sine færdigheder til at bryde loven, mener jeg udgør en sikkerhedsrisiko for arbejdsgiveren.

Personlig mening: Så gør rigtig mange hackere det her fordi de synes det er sjovt. Og mange os uden der er penge i det. Kan godt se at dem som gør det for egen profit, nok ikke vil være den bedste at have i sin virksomhed.

Men dem der gør det for at udfordre sig selv, og blive bedre indenfor dette område, ville jeg personligt ikke have noget imod at have i min virksomhed.

  • more_vert
    • insert_linkKopier link
15
Slettet bruger
24. april 2013 kl. 11:04

Hvis nogen bryder ind i mit hus så er det indbrud

Hvis jeg lader min dør stå ulåst og tyven går ind ad den åbne dør og tager noget så er det simpelt tyveri.

Begge dele er ulovligt men tyveri straffes meget mildere end indbrud.

Jeg håber da man sondrer på samme måde og dømmer dem som har lagt NemID ned, efter den milde fortolkning som siger at når NemID har et så ringe system at det kan lægges ned for en 50'er af unge mænd så har de selv en del af skylden/ansvaret.

  • more_vert
    • insert_linkKopier link
10
Klaus Olesen
24. april 2013 kl. 10:18

Hun påpeger samtidig, at den tid er forbi, hvor dømte hackere bliver tilbudt topjob i it-branchen, når de har afsonet deres straf.</p>
<p>»Der er ikke noget længere heltemodigt ved at være hacker,« siger Trine Baumbach.

Dette tror jeg nu ikke er sandt, der er stadig noget heltemodigt i at hacke, forskellen her er bare at DDoS ofte ikke udføres af hackers, men er script kiddies.

Hvis du kan dit kram på hacking, vil du være guld værd for mange virksomheder. Og kunne let blive headhuntet.

  • more_vert
    • insert_linkKopier link
4
Lars Kr. Lundin
24. april 2013 kl. 09:01

Hvis man begår hærværk, så er man naturligvis ansvarlig for de skader man forvolder.

Det samme gælder for de tab man anretter med et DDOS-angreb.

Men hvis anklageren ønsker at statuere et eksempel ved at gå efter den absolut hårdeste straf (inklusiv økonomisk ruin) til de par DDOS-organisatorer, der ikke var smarte nok til at forblive uopdagede, så kan det føre til mange flere DDOS-angreb fra folk der får sympati med de dømte.

Jeg tvivler på at en hård straf vil have en positiv effekt for DanID og deres "kunder".

  • more_vert
    • insert_linkKopier link
11
Christian Nobel
24. april 2013 kl. 10:26

Spørgsmålet er hvor meget det kommer til at koste det danske samfund, at vores politikere har bøffet i det?

Jeg mener at Stephan Engberg i sin tid har fremført nogle antagelser om at det samfundsmæssige tab Danmark har, ved at have viklet sig ind i den spaghetti konstruktion NemID er, vil løbe op i to-tre cifrede milliardbeløb.

Og når Trine Baumbach siger: »Der er jo mange, der benytter NemID, som man kan forestille sig kunne få et afledt tab. Det kan man også blive pålagt at erstatte,«

Så vil jeg bare spørge, hvor er den erstatning til de borgere der er fraskåret mulighed for at f.eks. bruge netbank fordi de ikke stoler på den sikkerhed og den indbyggede overvågning der er det såkaldte NemID?

Hvis vi laver en sammenligning, så svarer det til, at over et bælt med flere færgeforbindelser (i gamle dage kunne man vælge bank efter hvor god deres netbank var), så bliver der lavet en fælles løsning, hvor man kun kan komme over i en synkefærdig plimsoller med fare for liv - og beskeden er at hvis du vil over, så kan det kun foregå med plimsolleren!

Men hvis anklageren ønsker at statuere et eksempel ved at gå efter den absolut hårdeste straf (inklusiv økonomisk ruin) til de par DDOS-organisatorer, der ikke var smarte nok til at forblive uopdagede, så kan det føre til mange flere DDOS-angreb fra folk der får sympati med de dømte.

Man kan jo spekulere på hvad der sker, når nu de rigtig slemme drenge fra Kina kommer på banen, og virkelig for alvor lægger hele landet ned - vil man så erklære krig mod Kina?

Måske var det lidt bedre at begynde at udvise noget rettidig omhu, og så erkende at NemID skal skrottes, og stat og bank skal adskilles.

  • more_vert
    • insert_linkKopier link
1
Jacob Andersen
24. april 2013 kl. 06:57

Hvor er det dog typisk for vores samfund, at lovgiverne laver tåbelige love, som juristerne kan tolke i vanvittige retninger.

Hvorfor finder den samme regel ikke anvendelse på KL for tiden? De har jo om nogen lavet et DoS attack på folkeskolen (og friskoler, produktionsskoler, aftenskoler mv.) som i den grad har lagt samfundet ned. KL burde derfor kunne idømmes erstatning og tort udbetalinger til alle landets forældre, som har skullet bekoste pasning og har haft tabt arbejdsfortjeneste i de seneste uger.

Nej, det, der i stedet burde være strafbart, er at lave en arkitektur og design af landets fundamentale infrastruktur, der er så tåbelig, at det inviterer til denne slags hændelser. Send derfor i stedet erstatningskravet til DanID/Nets og deres opdragsgiver - den danske stat.

  • more_vert
    • insert_linkKopier link
2
Sune Foldager
24. april 2013 kl. 07:15

Det er jo absurd.. du mener altså at når nogen ulovligt angriber noget du ikke kan lide, så er det målet for angrebet der skal straffes? Strejke- og lock out-retten er lovsikret, så det kan ikke sidestilles. DDOS kan nærmere sidestilles med hærværk, og den slags er også ulovligt selvom sikkerheden er lav.

  • more_vert
    • insert_linkKopier link
7
Jacob Andersen
24. april 2013 kl. 10:10

Det er jo absurd.. du mener altså at når nogen ulovligt angriber noget du ikke kan lide, så er det målet for angrebet der skal straffes? Strejke- og lock out-retten er lovsikret, så det kan ikke sidestilles. DDOS kan nærmere sidestilles med hærværk, og den slags er også ulovligt selvom sikkerheden er lav.

Jeg fik nok ikke udtrykt mig klart nok, så lad mig prøve at opdele mine argumenter lidt klarere:

Omkring DoS: Jeg mener absolut ikke, at DoS skulle gøres "lovligt" på nogen måde, eller at den angrebne part skulle straffes fordi jeg personligt ikke kan lide dem - hvor i alverden læser du dog det??

Nej, jeg mener, at DoS på nettet skal sidestilles med DoS i virkeligheden. Og her er det en voldsom eskalering at se folk argumentere for at DoS skulle være "hærværk" eller det der er værre. Sikke noget sludder! I virkelighedens verden har vi masser af mere eller mindre lovlige versioner af DoS - strejker og lockouter er blot et eksempel, men det kunne også være ting som karneval, byfester, optog, eller når hele Århus midtby spærres af fordi der skal være cykelløb. Disse DoS angreb på virkeligheden kræver typisk at man anmelder dem i forvejen (så andre kan tage deres forholdsregler) og i visse tilfælde skal man have en godkendelse fra den lokale politimester.

Men uanset om aktiviteten er lovligt anmeldt og har de fornødne godkendelser eller ej, ser man så vidt jeg ved aldrig at denne type aktiviteter straffes efter straffelovens §293 - demonstranterne har jo ikke stjålet rådhuspladsen bare fordi de stiller sig op og råber... Jeg har heller aldrig hørt om demonstranter (lovlige eller ej), der er blevet stillet overfor et erstatningskrav. I det øjeblik demonstranterne begynder at sætte ild til containere/biler eller smider med brosten, er de naturligvis gået for vidt, og så skal straffeloven bruges, og demonstranterne skal betale erstatning - analogt med det, skal fysisk skade på it-systemer (overklipning af kabler og deslige) sidestilles med hærværk.

Sagt kort: Hvis man finder DoS bagmændene/kvinderne mener jeg bestemt at de skal straffes. Men det skal ikke være efter §293, der handler om indbrud, men i stedet efter samme paragraf, som man ville straffe folk, der ulovligt arrangerer en demonstration på rådhuspladsen eller blokerede en bro. Med hensyn til i stedet at straffe de ansvarlige (DanID, politikere, whatever), så dækker Michael Jensens indlæg ovenfor meget præcist min holdning, så derfor vil jeg ikke gentage det her.

Omkring den danske model (OT): Jeg kom vist til at åbne for Pandoras æske her. Jeg er ikke selv den store fan af den danske model, og er af samme grund heller ikke medlem af nogen fagforening. Omvendt vil jeg da erkende, at det ikke er den værste model i verden, men alt i alt synes jeg, at den trænger til en voldsom overhaling for at bringe den ind i det 3. årtusinde. Desværre synes jeg danskerne er voldsomt selvfede på dette punkt - ingen skal røre ved den højhellige danske model, og politikerne har naturligvis også en voldsom berøringsangst.

Den verserende konflikt mener jeg understøtter min pointe: Brugen af lockout og strejker er udviklet i en kontekst (industrialiseringen), hvor begge parter af konflikten lider, mens omverdenen stort set kan være ligeglad. Billedlig talt holder begge parter under en konflikt modpartens hoved under vand, indtil konflikten er løst (industrien mister omsætning, lønmodtageren løn - begge dele sker under både lockout og strejke). I dag er en stor del af industrien flyttet til øst(europa/asien), og konflikter rammer i stedet vitale samfundsstrukturer, hvor det ikke er de implicerede parter, men omverdenen, der oplever, at deres hoved holdes under vand under konflikten (sundhedssektoren, transportsektoren mv). Og nu ser vi så i KL/lærerkonflikten det mest groteske eksempel efter min mening, nemlig en situation, hvor det kun er den ene part, der holder den anden parts hoved under vand - kommunerne holder lærernes hoveder under vand (de mister lønkroner), men kommunernes hoveder er ikke holdt under vand (de mister ikke omsætning) - tvært imod påstår medierne at de rent faktisk sparer penge... Dermed er hele grundlaget for anvendelsen af lockout/strejkevåbnet fjernet, og dermed mener jeg ikke at en konflikt som den verserende overhovedet skulle være lovlig til at begynde med, og den lov, der gør det lovligt burde afskaffes ASAP!

  • more_vert
    • insert_linkKopier link
8
ab ab
24. april 2013 kl. 10:12

Sagt kort: Hvis man finder DoS bagmændene/kvinderne mener jeg bestemt at de skal straffes. Men det skal ikke være efter §293, der handler om indbrud, men i stedet efter samme paragraf, som man ville straffe folk, der ulovligt arrangerer en demonstration på rådhuspladsen eller blokerede en bro.

Jeg er ikke jurist, men personligt mener jeg, at det må være straffelovens §193, der udgør den rette hjemmel for udmålingen af straffen i NemID-affæren. Paragraffens ordlyd er som følger:

Den, der på retsstridig måde fremkalder omfattende forstyrrelse i driften af almindelige samfærdselsmidler, offentlig postbesørgelse, telegraf- eller telefonanlæg, radio- eller fjernsynsanlæg, informationssystemer eller anlæg, der tjener til almindelig forsyning med vand, gas, elektrisk strøm eller varme, straffes med bøde eller fængsel indtil 6 år.</p>
<p>Stk. 2. Begås forbrydelsen groft uagtsomt, er straffen bøde eller fængsel indtil 6 måneder.

  • more_vert
    • insert_linkKopier link
14
Jacob Andersen
24. april 2013 kl. 11:04

Jeg er ikke jurist, men personligt mener jeg, at det må være straffelovens §193, der udgør den rette hjemmel for udmålingen af straffen i NemID-affæren. Paragraffens ordlyd er som følger:</p>
<pre><code>Den, der på retsstridig måde fremkalder omfattende forstyrrelse i driften af almindelige samfærdselsmidler, offentlig postbesørgelse, telegraf- eller telefonanlæg, radio- eller fjernsynsanlæg, informationssystemer eller anlæg, der tjener til almindelig forsyning med vand, gas, elektrisk strøm eller varme, straffes med bøde eller fængsel indtil 6 år. Stk. 2. Begås forbrydelsen groft uagtsomt, er straffen bøde eller fængsel indtil 6 måneder.
</code></pre>
<p>

Se, det ville jeg meget bedre kunne acceptere som et passende grundlag for en anklage. Spørgsmålet er så bare, hvad juristerne lægger i ordet "omfattende". Det er vel næppe at afbryde vandforsyningen til en enkelt bygning? For at bringe min tidligere analogi på banen igen, svarer det vil til at blokere adgangen til en by ved at spærre alle tilkørselsveje (naturligvis uden en af politimesteren godkendt grund) eller lave andre storskala problemer. Men at blokere adgangen til et mindre område er vel ikke "omfattende" (fx (ulovlig) blokade af en virksomhed)?

Fører vi det over i en Internet-contekst, bør denne lov således finde anvendelse på angreb på selve infrastrukturen - fx DIX eller en ISP. Dette vil kunne betegnes som "omfattende". Men at en enkelt server lægges ned af et DoS skal vel så sammenlignes med at lukke for vandet til en enkelt bygning. Det kan vel ikke være "omfattende"?

At den server, der lægges ned så er flaskehals i et dårligt designet system er vel for så vidt irrelevant i forhold til en bedømmelse af, hvor "omfattende" angrebet er. For det er jo forstyrrelsen, der skal være omfattende og ikke konsekvenserne af forstyrrelsen, tænker jeg. Men nu er jeg jo heller ikke jurist, og jeg må erkende, at jeg sommetider har svært ved at forstå deres ræsonnementer

Og så er jeg tilbage ved min oprindelige pointe i, at det burde være ansvarspådragende at lave et design af et samfundskritisk system, som indeholder et single-point-of-failure.

Jeg elsker Christian Nobels analogi med plimsolleren :-D

  • more_vert
    • insert_linkKopier link
19
Lars Kr. Lundin
24. april 2013 kl. 11:13

For det er jo forstyrrelsen, der skal være omfattende og ikke konsekvenserne af forstyrrelsen, tænker jeg.

På tysk kan man beskrive vores diskussion med: "Da reden Blinde über Farben". :-) (Som en politisk korrekt person undskylder jeg her overfor alle blinde læsere).

Hvis den omtalte vejblokering forsinker et redningskøretøj, og liv derved går tabt, så har det vel betydning for ansvaret.

På samme måde kan et DDOS af NemID have haft ret omfattende konsekvenser (dog næppe med tab af menneskeliv som følge).

Men udfaldet af retssager kan man aldrig vide sig sikker på, en god forsvarsadvokat kan måske overbevise retten om at det dårlige grundlæggende design af NemID er en del af problemet.

  • more_vert
    • insert_linkKopier link
26
Jacob Andersen
24. april 2013 kl. 11:47

På tysk kan man beskrive vores diskussion med: "Da reden Blinde über Farben". :-)
(Som en politisk korrekt person undskylder jeg her overfor alle blinde læsere).

Spot on! :-)

Hvis den omtalte vejblokering forsinker et redningskøretøj, og liv derved går tabt, så har det vel betydning for ansvaret.

Det er ikke mit indtryk at dette er tilfældet. Jeg tror (men jeg er jo en af de "blinde", der diskuterer farver her) at hvis påstanden er overtrædelse af §193, så er det formuleringen heri alene, der indgår. Men der kan naturligvis være andre relevante anklagepunkter som kommer oveni...

Apropos blinde og farver, så har vi det så hyggeligt her på V2 med at sukke over politikere og DJØFer, mens vi ikke selv forstår deres virkelighed. Mon ikke det er sikkert at antage, at de på deres side af hegnet har præcis samme problem med at forstå it-problemstillinger. Når det kommer til angreb som dem, vi har været vidne til i de senere år, så vidner politikernes og juristernes udmeldinger i pressen om at de ikke fatter hat af it, og heller ikke kan finde ud af at lave en klar kobling til juraen. De er mao. døve, der diskuterer musik.

Hvad kunne vi konstruktivt gøre for at rette op på det?

(jeg har desværre ikke selv noget bud på et svar).

  • more_vert
    • insert_linkKopier link
22
Christian Nobel
24. april 2013 kl. 11:29

Hvis den omtalte vejblokering forsinker et redningskøretøj, og liv derved går tabt, så har det vel betydning for ansvaret.</p>
<p>På samme måde kan et DDOS af NemID have haft ret omfattende konsekvenser (dog næppe med tab af menneskeliv som følge).

Vi kan godt dvæle lidt ved den igangværende lockout, for konsekvenserne af den må da mildt sagt også være ret så omfattende.

For som Jacob er inde på, så er det jo ikke kun en sag mellem to parter, men derimod at stort set hele samfundet tages som gidsler, især forældrene, men også afledte parter, så som arbejdsgivere der er nødt til at udvise fleksibilitet da måske halvdelen af deres arbejdsstyrke har et problem, og som rejsebureauerne der nu begynder at tabe penge, efterhånden som forældrene brænder deres ferie af på andet en ferie.

Så det giver absolut mening at holde den konflikt op mod blokeringen af den eneste dør ind til bankernes gatekeeper.

Og der er ingen tvivl om hvor samfundet har tabt mest.

  • more_vert
    • insert_linkKopier link
12
Peter Makholm
24. april 2013 kl. 10:36

Lidt længere nede i tråden erkærer Peter Makholm sig enig:

Jeg er selvfølgelig stadigvæk enig. Når jeg ovenover taler om §293 er det fordi jeg tænker på det lidt mere ligegyldige angreb på KL's webservices.

Men jeg kan godt se at artiklen handler om NemID-angrebet, jeg beklager.

Iøvrigt kan jeg sagtens se at at §193 kan finde anvendelse hvis man hindrer brugen af en bro der udgør et single point of failure. Så som sådan opfylder lovgivningen Jacob Andersens ønske om analogi.

  • more_vert
    • insert_linkKopier link
5
Anders Palm
24. april 2013 kl. 09:13

Jeg har svært ved at se hvordan man på nogen måde kan sidestille DoS med hærværk.

Det tætteste vi kan komme på en definition i denne sammenhæng må være straffeloven, der siger:

§ 291. Den, der ødelægger, beskadiger eller bortskaffer ting, der tilhører en anden, straffes med bøde eller fængsel indtil 1 år og 6 måneder.

DDoS angreb hverken ødelægger, beskadiger eller bortskaffer (desværre), nemid.

Der er tale om en blokade. Og ja, det er lovsikret at man kan gøre den slags som en del af en faglig konflikt, men ikke ved en civil konflikt eller som led i demonstration. Moralsk skal man grave dybt for at finde forskellen synes jeg, men det er jo kulturelt bestemt at lovene er som de er her til lands.

  • more_vert
    • insert_linkKopier link
6
Peter Makholm
24. april 2013 kl. 10:00

§ 291. Den, der ødelægger, beskadiger eller bortskaffer ting, der tilhører en anden, straffes med bøde eller fængsel indtil 1 år og 6 måneder.</p>
<p>DDoS angreb hverken ødelægger, beskadiger eller bortskaffer (desværre), nemid.

Som det fremgår af artiklen så sigtes bagmændene for DoS-angrebet efter straffelovens §293. Som tidligere nævnt skal §291 og §293 klart fortolkes i samme kontekst. At et DoS-angreb derfor føre til sigtelse for §293 er en mulig præcedens for at defacements vil kunne føre til sigtelse for hærværksparagraffen.

Moralsk skal man grave dybt for at finde forskellen synes jeg, men det er jo kulturelt bestemt at lovene er som de er her til lands.

At blokade er tilladt i faglige konflikter følger af en indbyrdes aftale mellem arbejdstagere og arbejdsgivere som følge af konflikten i 1899. Det er altså arbejdsgiver der har givet utilfredse arbejdstagere lov til at blokkere arbejdspladsen under en række betingelser.

Det er derfor som sådan ikek en lovbefæstet ret men en aftale mellem parterne der gør blokaden lovlig. Det svare helt til at hvis vi laver en aftale om at du gerne må parkere din bil foran min indkørsel, så kan jeg næppe få dig sigtet for blokade uden først at hæve aftalen.

  • more_vert
    • insert_linkKopier link
3
Michael T. Jensen
24. april 2013 kl. 08:59

Jeg føler mig lidt splittet. På den ene side er jeg enig med dig i at angreb på samfundskritiske funktioner skal afværges, opklares og straffes.

På den anden side kan jeg se en samfundskritisk funktion, som:

  • er designet på en måde, så den er sårbar overfor DDoS- og MitM-angreb.
  • er designet i modstrid med best-practise mht. kryptering
  • er designet så alle brugere er nødt til at installere et særdeles sårbart 3-partsprogram, som medfører at 3/4 (gæt) af brugerne får installeret ask.com på deres computere eller kører med en forældet version
  • er designet så bankerne kan kontrollere alle borgeres adgang til alle offentlige, private financielle og mange andre sites.

Vores Folketing har valgt ovenstående måde at gøre tingene på, for så er der en mulighed for at lave et logon-system, som en privat aktør kan tjene penge på. Spørgsmålet er hvor meget det kommer til at koste det danske samfund, at vores politikere har bøffet i det? Stillet overfor kritik af systemet afvises denne i bedste spin-stil. Er NemID nede? Jamen så må vi lave en back-upløsning! Bliver NemID angrebet? Lad os finde og straffe dem! Ingen stiller spørgsmålet: Har vi fået designet NemID forkert?

Set i det lys bliver problemstillingen pludselig så grå og trist, hvor den kunne have været så dejlig sort/hvid.

  • more_vert
    • insert_linkKopier link