itavisen skriver i dag om usikkerheten rundt hvorvidt DDoS-angrep er lovlig eller ikke: Vi trenger en egen DDoS-lov!

På den ene siden har man Inger Marie Sunde, førsteamanuensis ved politihøgskolen som er helt klar på at DDoS går under samme paragraf som skadeverk...

Og på den andre siden har man professor i rettsinformatikk Olav Torvund ved Universitetet i Oslo, som mener DDoS angrep går under en annen paragraf som ikke har trådt i kraft enda.

Hva mener dere?
Er DDoS såpass farlig at man må lage en egen lov mot dette?

Selv mener jeg DDoS er en ny form for demonstrasjon, og er nærmere "sivil ulydighet" enn skadeverk av eiendom...

Et annet spørsmål er hvordan politiet skal klare å spore opp de som har deltatt i angrepet? Hva om angrepet blir kjørt fra en offentlig maskin på et bibilotek? Fra en nettkafe, burger king, nettbuss eller lignende med åpent nett?

Kan man i det hele tatt håndheve en slik lov?

For de som lurer på hvordan man beskytter seg mot DDoS, les denne PDF'n av CISCO Systems: DEFEATING DDOS ATTACKS

Ellers er løsningen mot de fleste DDoS-angrep å sette host-siden statisk, og sette opp en flash-knapp eller lignende som tar deg videre til den dynamiske siden...

Det er vel lurere å lære folk til å beskytte seg riktig i stedet for å haste i vei med forbud.

Er så lei alle de tragiske gruppene som driver og ddoser folk uten grunn. Så ja.

Jeg google litt og fant denne guiden for hvordan man setter opp DDoS beskyttelse på en "ALOHA Load Balancer": Use a load-balancer as a first row of defense against DDOS

I guiden står det også at man kan bruke OpenSource alternativet HAProxy

Hvor mye vil det koste å sette opp DDoS beskyttelsen fra denne guiden med HAProxy? Og hvor effektiv vil den være?

Kunne HAProxy + guiden jeg posta forhindret et DDoS angrep fra "DotNetFuckers" ?

Eller må man bruke dyrere beskyttelser som VPN?

Har ddoseren en botnet så er det ulovlig uansett.

Hvor mye vil det koste å beskytte seg mot et angrep fra f.eks. "DotNetFuckers" og hva er det vanlig å bruke mot store DDoS angrep?

Og under hvilken paragraf mener du DDoS angrep burde settes?

Selv mener jeg DDoS bør gå under "sivil ulydighet" som en ulovlig demonstrasjon, siden dette ikke er direkte skadeverk på eiendom.

Blir omtrendt som å sammenligne en demonstrasjon foran en butikk, som forhindrer folk å komme inn i butikken (sivil ulydighet), og løpe inn i butikken og knuse varene (skadeverk)...

Vet ikke hvor kraftig angrepet fra DotNetFuckers var, men man får kjøpt tjenester av leverandører med båndbredde nok til å tåle de fleste ddos-angrep. Vet at VeriSign har en slik tjeneste. Hva det koster er nok veldig variabelt, du må ta kontakt for å lage en avtale.

Går ikke DDoS under skadeverk da?

Hvis det blir laget en lov bør den skille på mot privat persjoner og bedrifter.
DDos er pøbelstreker mot private. (alt over eks 1time er skadeverk)
DDos mot bedrifter er skadeverk.

All DoS er mot bedrifter.

Finnes det noen former for "sosial ulydighet" på nettet? Ulovlige demonstrasjoner? Eller bør alt bli definert som "skadeverk" ?

Har man ikke dette også hvis noen demonstrer og stiller seg utenfor din butikk, noe som gjør at folk ikke har tilgang til butikken din?

Point.
Men uten å spore helt ut av diskusjonen, ville du klassifisert "Website defacement" som "sivil ulydighet" eller "skadeverk" ?

Vel... nå er det du snakker om den "lowtec" DoS'en, jeg tenkte mere på den nye "hightec" DoS'inga som ikke "clogger" opp hele båndbredden, men bare serveren. [FYI sender ufulstendige fårespørsler til serveren og man trenger da ikke å sende mere en et par i sekundet for å kræsje en server.]
Men så skal det nevnes at DotNetFuckers brukte denne "lowtec" DoS'inga.

Nei, men nå er jo som oftest et DoS angrep ikke en langvarig (ikke sammenhengende ivertfall) "stenging" av serveren/nettsida.

Tenkte jeg skulle vise til loven om skadeverk

Understreking gjort av meg

Jeg mener at DDOS kan vurderes som skadeverk utfra denne formuleringen. I perioden under angrep er tjenesten ubrukelig. Og i enkelte tilfeller har konsekvense gått over lengere tid. AP gikk langvarig over til en Origo-tjeneste for nettsidene deres da de ble tvunget til alternativ løsning under DDos angrep under landsmøtet.

Jeg mener du har misforstått begrepet sivil ulydighet her. Svil ulidighet er ikke en form for demonstrasjon. Sivil ulydighet er når en velger å bryte loven i politisk øyemed. En kan gjøre et DDoS angrep som av personlige årsaker. Og en kan gjøre det med et politisk motiv, altså som sivil ulydighet. Men uansett vil det være ulovlig.

Jeg mener det finnes situasjoner hvor det er greit å benytte seg av sivil ulydighet. Men jeg er av oppfatningen at når en gjør det må aksjonistene være foreberedt på å ta de juridiske konsekvensene for sine handlinger. Det er mye derfor jeg har problemer med internettaktivisme da det foregår annonymt hvor de ikke er villige til å stå til ansvar for sine handlinger

til slutt til nso: Det skal mye til for at DDoS-angrep skal kunne klassifiseres som terrorisme. De de fleste annerkjente definisjoner av terrorisme innebærer vold mot mennesker og ikke matrielle gjenstander og/eller verdier.

Så for å oppsumere. Kan DDoS-angrep være en form sivil ulydighet? Ja. Bør DDoS-angrep være straffbart? Som all annen sivil ulydighet. Ja

Enig.
Jeg har aldri sagt at DDoS burde være _lovlig_ , jeg er bare ikke enig i at DDoS skal settes i samme paragraf som "Skadeverk".
Ja, jeg vet godt at "Sivil Ulydighet" er straffbart, som sagt tidligere, "Ulovlig demonstrasjon"

Så du mener da at jeg skulle bli kasta i fengsel hvis jeg var med på en demonstrajon mot... tja, la oss da si Spaceworld fordi jeg mener det er feil at de selger spill med 18+ rating til 12'åringer (ikke at jeg er i mot det da). Og vi står der i 10-30min?

Jeg mener det kommer litt ann på omfanget av angrepet. Og må vurderes for hvert enkelttilfelle men at det er mulig. Det ligger gjerne stor verdi i nettsider med tanke på arbeidskraft og hardware. Men jeg mener at paragraf 206 i straffeloven vil være mer egnet for slike saker når den trer i kraft

Det er her jeg tror man vil få problemer med å definere hvilken gjærning som er begått.

Hvor går grensen fra "Sivil ulydighet" til "Skadeverk" nå man snakker om DDoS-angrep?

Altså:
Nettsiden er nede opptil 10 minutter = Sivil ulydighet
Nettsiden er nede opptil 60 minutter = Skadeverk
Nettsiden er nede opptil 360 minutter = Terrorisme

Hvordan skal man skillet étt DDoS-angrep fra et annet?

Skal vi sette alle DDoS-angrep under én paragraf?
Hvilken?

Jeg sier det igjen. Sivil uldighet er kun når en gjør det med et politisk motiv. Det vil si at du kan gjøre flere ulovlige handlinger som kan vurderes fra alt til skadeverk, tyveri, brudd av portforbud osv. Det er ikke et skille fra "sivil ulydighet" til skadeverk, da skadeverk kan være sivil ulydighet.

Skal en sette alle DDOS-angrep under en og samme paragraf? nei. det tror jeg ikke er hensiktsmessig. En må se på angrepet og se på hvilken lov angrepet eventuelt har brudt.

Hvor skillene går, og hvordan en skiller ett DDoS-angrep fra et annet er opp til retten.

Det har vært lite med norske DDOS-angrep av større skala som noen har villet ta seg bryet med. Nå i det siste har jo denne scriptkiddie-gruppen utført såpass mye tull at nå hagler det inn med anmeldelser mot de. Siden de ikke akkurat skjulte seg godt så vil det vel bli kjørt en sak mot de nå.

Siden det nå er snakk om å ta ned butikken til firmaer som noen har millionomsetning i døgnet så snakker vi nok nå grovt skadeverk, medvirkning etc. Det eneste spørsmålet blir om det økonomiske tapet kan beregnes og ikke minst om de blir økonomisk ansvarlige for dette tapet.

Hadde det vært et firma i den angripende enden hadde saken nok hatt enda flere lover og regler som hadde vært aktuelle å bruke.

Det blir også et spørsmål om alder tenker jeg.

Man kan gjerne si at det finnes (eller ikke finnes!) lover mot DDOS, men så lenge det ikke er prøvd i norsk rett er det vanskelig å være skråsikker

Det gikk fort gitt, Kripos har gått til aksjon med henvisning til paragrafer om grovt skadeverk:
https://www.politi.no/kripos/

DDoS går vel egentlig under skadeverk loven da det "ødelegger" andres "eiendom" og/eller hindrer business.
DOS derimot er litt mer i grå-sonen og det burde det bli laget en lov mot. Kollektiv DOS av frivillige personer og ikke bot-nets er derfor halveis lovlig, siden man bare sender trafikk til siden.

Da har man vist bestemt seg for å bruke paragrafene 291/ 292 som omfatter grovt skadeverk og har en strafferamme på seks års fengsel.

Kripos sikter to tenåringer for omfattende dataangrep

Greit å huske på før man begynner å tukkle med DDoS-angrep.

Da trenger man vel egentlig ikke noen egen lov? Man kan bare fortsette å bruke loven for grovt skadeverk?
Eller skal man lage en ny lov med andre strafferammer?

Eller bruker man bare loven for grovt skadeverk til den nye loven trer i kraft?
I så fall kan denne tråden lukkes for min del.

I framtiden kommer vel dette til å falle under §206 i straffeloven?
Det at den ikke er tredt i kraft ennå, er jo litt idiotisk.
Men poenget mitt er at man ikke trenger en egen "DDOS lov" siden det kommer til å falle under §206 og muligens §291. Det får vi svar på i denne rettssaken mot DotNetFuckers.

Digger meg at de ble tatt forøvrig Ta ned sider i øst og vest for moroskyld hører ikke hjemme noen steder.

Hjelper ikke med noe slikt når du får et ordentlig DDoS angrep. Da må du ha et ordentlig Hardware firewall som greier å stoppe, men selv det kan være problematisk.

Lovverket lider dessverre av å være eldre enn Internett. Flere ting på Internett som går inn i gråsoner når det kommer til det gjeldene lovverket. Burde vel egentlig fått inn et helt nytt kapittel i Norges Lover som omhandler slike tilfeller.
Kommer nok også bare til å bli flere og flere slike saker, som (kanskje) ikke gjelder under gjeldene lovverk, ettersom verden blir mer og mer digitalisert.

Blir spennende å se etterhvert hvor grensen vil gå på straff vs. inkompetent leverandør. Har sett siter som går ned ved å holde inne F5 i browseren.

Det hadde hjulpet hvis de ikke fikk så mye oppmerksomhet fra media. Nå har et par scriptkiddies som ikke en gang klarer å gjemme seg bak en proxy blitt omtalt som superhackere av så godt som alle medier i hele Norge, og det er nok mesteparten av grunnen til at de driver med DDoS-ing av servere.

Såvidt jeg vet driver ikke DotNetFuckers med noe annet enn å ødelegge for andre, og etter det jeg har hørt er det eneste de gjør å ta ned sider med DDoS og et botnet de har kjøpt. Jeg har ingen ting imot DDoS som protest mot noe, for det er en veldig effektiv måte å få oppmerksomhet, men når man gjør det bare for å ødelegge blir det bare unødvendig og irriterende.

https://www.politi.no/kripos/

Vi trenger ikke ny lov, det er visst fullt mulig å ta folk vha det eksisterende lovverket.

ikke meningen å kapre tråden, men hva er DDOS angrep ?

Dette burde kanskje trådstarter forklart i innledningen sin.. Etter å ha lest tråden, og sidne jeg har bittelitt (ikke ironisk man akkurat bittelitt) over gjennomsnittet innsikt i dataverdene, så har jeg konkludert med at DDOS angrep er sending av for mange forespørsler til en server på en gang, slik at den korker ?

Nå har det seg sånn at https://twitter.com/#!/FreshDotNet Ddos itavisen og anonymousnorway.com

Er det ikke på tide at vi får en slutt på dette. Vi kan ikke ha det sånn, folk skal ødelegge for bedrifte (itavisen) uten at det får en reaksjon.

Nesten sånn at det virker som det er nettkrig mellom anonymousnorway og FreshDotNet (UGNazi )

For meg så virker det som det er denne gruppen som står bak de fleste Ddos mot sider i norge. Er det ikke på tide at noen White-Hat sette er stopper for dette. Spesielt når politiet ikke kan "gjøre" noe .

Hvis du ikke er enig i hvordan "bakeriet" gjør sinn virksomhet, så kan man vel sende inn en klage eller møte opp og si hva du mener. Men å "stenge " inngangen til en bedrift med "20 personer" ville ha blitt stoppet av politiet, før det hadde gått 30 min. det vil si ulovlig demonstrasjon.

JEg kan kanskje være enig, hvis det hadde vært en politisk parti. eller en bedrift som gjorde noe kontroversiell, men å ddos en nettavis. der går grensen for min del.

Hvis man egner på det, så koster dette nokså mye penger også. Både for bedriften og for de som leverer it-tjenestene.

Men det blir jo forsatt en ulovlig demonstrasjon. En hver butikk har lov til å bortvise kunder, som ikke er der for å handle. Hvis de ikke vil gå ut av butikken, så er det en jobb for politiet å fjerne de.