hackers

​We spraken de hackers die deze week belastingdienst.nl plat willen leggen

En wezen ze per ongeluk op het feit dat 1 april eigenlijk een dag te laat is.

door Alejandro Tauber
29 maart 2016, 11:16am

Ben ik nu strafbaar? Ik weet het niet, maar ik heb zojuist een beetje per ongeluk een van 's werelds grootste hackerscollectieven gewezen op het feit dat je je belastingaangifte vóór 1 april moet doen en dat ze hun op 1 april geplande aanval dus beter op 31 maart kunnen uitvoeren. Oeps.

Ik sprak op Skype met Fl00D, een Nederlandse hacker en oprichter van AnonGreySec, een hackerscollectief met volgens henzelf 2.300 leden uit bijna alle landen "behalve Thailand, maar dat komt binnenkort ook wel." Ik zou het niet zeggen aan de hand van zijn shagstem, maar Fl00D is 17. Een ander AnonGreySec-lid, Entity, volgde het Skype-gesprek via een oortje terwijl in de klas zat.

Via via had ik vernomen dat de groep vaak achter DDOS-aanvallen zat op bekende Nederlandse websites. Zo legden ze eerder de sites van de NPO plat, afgelopen week rtlxl.nl, en gisteren nu.nl. "Van alles wat in het nieuws komt, zijn wij het zeven van de tien keer," vertelt Fl00D, niet zonder trots.

De DDOS-aanval gisteravond op nu.nl was volgens Fl00D bedoeld als een testje voor hun aanval op 1 april op belastingdienst.nl. "Het was niet zo heel erg lang, het was als testje bedoeld, om te kijken hoeveel power we nou hebben voor de aanval op 1 april." En power hebben ze, als ik Fl00D mag geloven.

"Toen met KPN en NOS enzo, toen haalden we 650 gigabyte per seconde." Om dat in perspectief te zetten: nu.nl berichtte begin dit jaar dat de zwaarste DDOS-aanval ooit gemeten zo'n 500 Gbps bedroeg. "En dat hebben wij nu verdrievoudigd. We zitten nu op zo'n anderhalve terabyte per seconde."

Voor wie het nog niet weet: een DDOS-aanval houdt simpelweg in dat je voor een bepaalde tijd heel veel internetverkeer naar de servers van een site stuurt, waardoor die het niet meer aankunnen en de sites een tijdje onbereikbaar worden.

In de woorden van Fl00D wil AnonGreySec "op een slechte manier, maar met goede bedoelingen" laten zien dat veel sites nog slecht beveiligd zijn tegen DDOS-aanvallen. Vandaar ook het 'Grey' in hun naam: ze zijn geen 'white hat' hackers die beveiligingslekken netjes delen met de getroffen bedrijven, maar ook geen 'black hats' die data stelen en er snode dingen mee doen. "Fix dit en dan ben je er vanaf," zegt Fl00D

Maar er zit natuurlijk meer achter. Het is niet per se nodig om massale DDOS-aanvallen uit te voeren op een site om aan te tonen dat ze grote hoeveelheden internetverkeer niet aankunnen. Er zit volgens Fl00D ook een gevoel van trots achter, om de naam van hun hackersgroep neer te zetten. Een beetje als digitale graffiti; je laat als crew een tag achter, alleen in plaats van wat verf op een muur zetten, is het nu zo dat mensen een paar uur geen Temptation Island kunnen terugkijken.

Of hun belastingaangifte kunnen doen. Op 26 maart kondigde de groep op hun nieuwe twitteraccount aan dat ze op 1 april een aanval wilden uitvoeren op belastingdienst.nl, wat Fl00D ook tijdens ons gesprek toelichtte: "1 april is de laatste dag dat mensen het kunnen doen, weet je wel. En wij zijn een beetje fuck the system, schijt aan de overheid, daarom is het lachen om een site van de overheid aan te pakken zodat mensen geen belasting kunnen betalen."

Superlachen, vast, voor sommigen, maar hieruit bleek vooral de 17-jarigheid van Fl00D. Je moet je belasting namelijk vóór 1 april doen. Toen ik hem hierop wees bleef het even stil. "Ik heb juist alles precies uitgepland voor 1 april!" lachte hij keihard. "Goed dat je het zegt, anders hadden we het allemaal voor niks gedaan, de site gaat namelijk geheid op slot."

Oeps. Fl00D ging nog tijdens het gesprek aan de slag om de nieuwe datum te communiceren via IRC en Skype. "Ik had Duitsland en België er ook bij betrokken, en iedereen had het in de planning gezet en er tijd voor vrij gemaakt. Sommige leden hadden ook gewoon school en die zouden zich ziek gaan melden."

En zo leidt dit interview ertoe dat de aanval van 1 april, die redelijk onschadelijk was geweest, verzet wordt naar 31 maart, de dag waarop de slackers van Nederland nog even snel hun belasting gaan doen. Sorry, slackers, ik had er niet echt over nagedacht. Als AnonGreySec echt de capaciteit heeft die Fl00D beweert, dan zou het nog wel eens voor serieuze problemen kunnen zorgen bij belastingdienst.nl. Dus mocht je dit lezen en een notoire uitsteller zijn, dan raad ik je aan om je belastingaangifte een dagje eerder te doen.

Update 15:42: Verscheidene mensen hebben erop gewezen dat het mogelijk is om de aangifte tot 1 mei te doen. Fl00D heeft tot nog toe niet gereageerd op verzoek voor commentaar.

Update 16:32: "Meerdere attacks worden het dan," aldus Fl00D via Twitter DM.