En rekke aktører som DnB, Norsk Tipping og PST har den siste tiden vært plaget av DDoS-angrep (Bilde: Jørgen Elton Nilsen, Hardware.no)

Tenåringene kan slippe unna straff

Loven som gjør DDoS-angrepene ulovlig er ikke trådd i kraft.

Onsdag meldte Kripos at de har pågrepet to tenåringer for å ha gjennomført såkalte tjenestenektangrep (DDoS) mot en rekke norske og utenlandske nettsider.

Blant annet har Norsk Tipping, PST, DNB og Aller Internett blitt «tatt ned» av angrepene utført av en gruppe ungdommer som kaller seg DotNetFuckers.

- Vi har pågrepet de to vi mener er mest sentrale i disse angrepene, men vi ønsker fortsatt å snakke med flere, sier politiadvokat Erik Moestue i Kripos.

Kripos mener at forholdene rammes av straffelovens paragraf 291/292 som omhandler grovt skadeverk.

Les også: Tenåringer pågrepet for DDoS

Uklart om paragrafen er gyldig

Men professor ved senter for rettinformatikk ved Universitetet i Oslo, Olav Torvund, har tidligere satt spørsmålstegn om tjenestenektangrep faktisk er ulovlig i henhold til dagens straffelov.

Det er vedtatt en revisjon av straffeloven som utvetydig gjør denne typen angrep ulovlig, men denne paragrafen er ikke satt i kraft. Derfor benytter Kripos seg av bestemmelsen om skadeverk når de har siktet ungdommene. Det er denne bestemmelsen Torvund er usikker på om kan anvendes.

Skepsisen uttrykket han i et blogginnlegg etter angrepene som ble gjort mot blant annet PayPal og MasterCard i kjølvannet av Wikileaks-boikotten for et par år siden.

Teknisk begrunnelse

Bakgrunnen for det hele er relativt teknisk, og for å forstå den må man forstå hva et såkalt DDoS-angrep egentlig er.

Det tenåringene har gjort er å få kontroll over et større antall datamaskiner som er infisert med trojanere («virus»), som de kan fjernstyre til å gjøre hva de vil.

Et DDoS-angrep (Distributed Denial of Service) fungerer så ved at bakmennene ber alle disse maskinene sende så mange forespørsler som overhodet mulig til en server, i dette tilfelle Norsk-Tipping.no, itavisen.no, pst.no og lignende. Om trafikken blir stor nok, kan man ved hjelp av dette gjøre serverne for andre brukere svært trege - eller i verste fall gjøre tjenesten helt utilgjengelig.

En bryter seg altså ikke inn på serverne, men man skaper «trafikkork» som gjør at ingen andre får tilgang. Prinsippet er ikke helt ulikt det du opplever når AltInn er tregt når alle samtidig ønsker å sjekke selvangivelsen når den legges ut. Forskjellen er at all trafikken ikke skapes av mange nysgjerrige personer som prøver å komme inn, men av et enormt antall forespørsler fra noen relativt få datamaskiner.

Når angrepet stoppes, vil tjenesten fungere igjen og det har ikke skjedd noen direkte fysisk skade.

Skader man en gjenstand?

Straffelovens paragraf 291 sier følgende: «For skadeverk straffes den som rettsstridig ødelegger, skader, gjør ubrukelig eller forspiller en gjenstand som helt eller delvis tilhører en annen»

- Det springende punkt her er om de ødelegger, skader, gjør ubrukelig eller forspiller en gjenstand. Det er vanskelig å si at den som hindrer tilgang ødelegger det man hindrer tilgang til, selv om det fører til at gjenstanden, her datasystemet, ikke kan nyttiggjøres så lenge tilgang hindres. Ved en blokade, f.eks. under en arbeidskonflikt, kan man ikke si at det utøves skadeverk ved at virksomheten blokkeres. Det kan føre til tap, men ingen gjenstand ødelegges, skriver Torvund i sin blogg.

Professoren understreker at man kan bli stilt erstatningsansvarlig for økonomiske tap uavhengig av denne diskusjonen, men er tvilende til om straffelovteksten er dekkende for handlingen.

- Ikke uvanlig med uenighet

Politiadvokat Erik Moestue sier til Nettavisen at han kjenner til professor Torvunds tidligere betenkninger rundt problemstillingen.

- Det er ikke uvanlig at det er uenighet mellom juseksperter, sier Moestue.

Han påpeker samtidig at en av de andre fremste ekspertene på området, førsteamanuensis ved politihøyskolen og tidligere førsteadvokat i Økokrim med bakgrunn fra blant annet DVD-Jon-saken, på sin side mener at skadeverkparagrafen helt åpenbart kan benyttes.

- Jeg føler meg rimelig trygg på at jusen er riktig. Jeg har selv stått i tingretten for rundt 11 år siden og prosedert DDoS, der to ble dømt, sier Moestue, men påpeker at saken aldri ble prøvd videre i rettssystemet og at det derfor er manglende presedens på området.

- Jeg skal ikke si at det er nybrottsarbeid å drive med datakrimarbeid, men mange av bestemmelsene ble laget i en tid da man ikke hadde datamaskiner og internett på samme måte som i dag. Så har man fyll på, blant annet med hackerbestemmelsen i paragraf 145 annet ledd. Det var jo egentlig en brevbruddsbestemmelse, men så kom data, og man utvidet, påpeker han.

- Utfordringen med denne typen angrep er om det er skade på noe fysisk. Det er tatt opp i den nye straffeloven som ikke er trådd i kraft. Den treffer handlingen rett fram, for da var lovgiver oppmerksom på problemet. Men departementet har samtidig i OT-proposisjon 22 påpekt at eksisterende straffelov dekker mange av endringene som foreslås, sier han.

Høyesterett har tidligere ment at det har vært skadeverk om det gjøres minimale programendringer i et system, fordi det gjøres endringer på harddiskene.

- Når man kjører et elektronisk angrep mot en datamaskin, så er ikke poenget om man bruker elektronikk, sprayboks eller kniv - en setter systemet ut av spill, sier Moestue.

Han viser til en gammel damluke-sak der det ble ansett som skadeverk å midlertidig åpne en luke, som senere kunne lukkes.

Vet ikke om de har forstått konsekvensene

Politiadvokaten sier at de to guttene som pågrepet har avgitt fulle forklaringer om angrepne.

- Har de forstått hva de egentlig har gjort?

- Om de har forstått at det har konsekvenser for ansatte som kan miste jobben og slik, det vet jeg ikke. De har forstått at de har tatt ned en side, men om de har forstått de fulle konsekvensene av dette er vanskelig å si, sier han.

Et av de viktigste spørsmålene fremover vil være erstatningsspørsmålet.

- Det ligger i sakens natur at et slikt angrep går over. Man trykker på knappen, og så stopper det. Tapet må man derfor se nøyere på. Det anslås et tap på 3-500.000 kroner for en av de fornærmede, men hvilken substans det er i det vet jeg ikke.

DNB er en av aktørene som har blitt utsatt for angrep. De har så langt ikke anmeldt saken, men kan ha lidd betydelige tap. Mostue viser også til at en nettavis kan ha legitime krav i henhold til tapte reklameinntekter.

Strafferammen på grovt skadeverk er seks års fengsel. Saken vil trolig komme opp for retten over sommeren en gang.

Kommentarer (23)

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen