image

Juridische vraag: Is het bezit, kraken en openbaren van een gehackte wachtwoorddatabase strafbaar?

woensdag 22 februari 2017, 12:56 door Arnoud Engelfriet, 7 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Er zijn veel dumps van gehackte wachtwoorddatabases (bijvoorbeeld LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo'n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in bijvoorbeeld presentaties of publicaties?

Antwoord: Het is op dit moment algemeen niet strafbaar om in het bezit te zijn van gegevens die door een misdrijf zijn verkregen. Bezitten van dergelijke waar noemen we 'heling' maar dat geldt alleen bij fysieke goederen, niet bij informatie. Heb je bijvoorbeeld een foto of een pdf met jaarcijfers in je bezit die iemand anders heeft gedownload na een computervredebreuk, dan ben jij niet strafbaar.

Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar.

Ik denk dat dit artikel ook gaat over hashes. Hoewel dat strikt gesproken geen wachtwoorden zijn (je kunt er niet mee inloggen) is het meestal wel mogelijk om die wachtwoorden terug te halen, en daarom zou ik ze "daarmee vergelijkbaar" noemen. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.

Daarmee zou dus ook het bezit van die pdf met jaarcijfers ineens strafbaar zijn (een jaar cel). Er is een uitzondering (lid 2) voor handelen in het algemeen belang, zoals bij journalisten die met gestolen bronmateriaal een grote misstand aan de kaak willen stellen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (7)
22-02-2017, 17:18 door Anoniem
Leren we dan om die reden ook maar weigeren om de Amerikaanse douane wachtwoorden te geven? We moeten ze in ieder geval wel waarschuwen dat ze dan in de problemen gaan komen met de Nederlandse wet! Zullen ze van schrikken!
22-02-2017, 17:41 door johanw - Bijgewerkt: 22-02-2017, 20:38
Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.
Zo, dat zullen klokkenluiders gaan merken. Natuurlijk zegt men dat die wet daar niet voor bedoeld is maar dat heeft het OM nog nooit tegengehouden om personen met een onwelgevallige boodschap de mond te snoeren.
22-02-2017, 22:33 door Erik van Straten - Bijgewerkt: 22-02-2017, 22:38
22-02-2017, 12:56 door Arnoud Engelfriet: Ik denk dat dit artikel ook gaat over hashes. Hoewel dat strikt gesproken geen wachtwoorden zijn (je kunt er niet mee inloggen) is het meestal wel mogelijk om die wachtwoorden terug te halen, en daarom zou ik ze "daarmee vergelijkbaar" noemen. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.
Het is m.i. onjuist om te stellen dat je uit een cryptografische hash (zelfs MD5) een wachtwoord "terug kunt halen". Uit een cryptografische hash van een wachtwoord als "hU7t%yS4^€sD" kun je, realistisch gezien, dat wachtwoord niet "terughalen" uit die hash. Zelfs de kans dat je een geheel ander wachtwoord kunt vinden (een "collision" die dezelfde hash oplevert en waar je dus mee kunt inloggen) is verwaarloosbaar klein.

Wat je wel kunt doen is eerst van heel veel bekende wachtwoorden (zoals "12345" en "Welkom01") de hashes uitrekenen en kijken of de hash die jij in handen hebt, overeenkomt met een eerder uitgerekende hash (een tabel met bekende wachtwoorden als uitgangspunt en de daaruit afgeleide hashes, heet een rainbow table). In theorie kun je ook een rainbow table maken van alle wachtwoorden van 12 karakters (met bijv. 90 mogelijkheden per karakter), maar ik betwijfel of er op aarde voldoende schijfruimte is om die op te slaan.

Het is bovendien niet een hash die gesalt wordt, maar het wachtwoord vóór het hashen. Zowel met als zonder salt is er geen sprake van dat je een wachtwoord kunt terugrekenen uit een cryptografische hash. En van wachtwoorden met salts kun je net zo goed rainbow tables maken als van wachtwoorden zonder salt, alleen kost dat meer tijd en meer opslagruimte.

Het probleem is dat mensen prutsers zijn bij het bedenken en onthouden van (vele unieke) voldoende lange random wachtwoorden. Wat je ook verzint aan trucs (salts, langere hashesh, pbkdf2 etc), het zijn allemaal lapmiddelen die op termijn het onderspit delven. Helaas zien veel te weinig mensen in dat een goede password manager je met zowel het genereren als het onthouden van fatsoenlijke wachtwoorden kan helpen.

Andersom is het vaak wel zo dat je met een een onomkeerbare afgeleide van, of (tijdelijk alternatief) voor, een wachtwoord kunt inloggen; denk aan pass-the-hash bijv. onder Windows, authentication cookies in webapplicaties of tokens die je "terugkrijgt" van een site zoals DigiD.
23-02-2017, 09:47 door Dick99999 - Bijgewerkt: 23-02-2017, 18:25
Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.
Los van de verschrijving die Erik al aangaf (wachtwoord+salt geeft een hash) zou dit een merkwaardige uitzondering zijn. Zout zorgt voor 2 zaken:
- Rainbow tabellen zijn niet meer effectief
- Wachtwoorden zonder ZOUT kunnen sneller gekraakt worden, ook zonder rainbow tabel.
Beide als ieder wachtwoord met een uniek zout wordt gehasht. Maar of dat 'sneller' een uitzondering waard is betwijfel ik.

De snelheidswinst kan aanzienlijk zijn: bij Linkedin konden 2.3E17 (zeventien!, zonder rainbow tabel) wachtwoorden per seconde getest worden vanwege het ontbreken van zout. (zie https://www.heise.de/security/meldung/LinkedIn-Hack-117-Millionen-Passwort-Hashes-zum-Download-aufgetaucht-3224212.html
--- EDIT zout
23-02-2017, 10:37 door Anoniem
Hoe zit dit overigens voor bedrijven die deze databases op hun eigen infrastrucuur willen testen en daarvoor de wachtenwoorden kraken om deze uiteindelijk te kunnen vergelijken (zoals Facebook dat eveneens gedaan heeft)?
Kwaadwillenden zullen deze databases ongetwijfeld gebruiken, waarmee mogelijkerwijs in bepaalde situaties een datalek voorkomen kan worden?..
27-02-2017, 09:38 door Anoniem
Door johanw:
Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.
Zo, dat zullen klokkenluiders gaan merken. Natuurlijk zegt men dat die wet daar niet voor bedoeld is maar dat heeft het OM nog nooit tegengehouden om personen met een onwelgevallige boodschap de mond te snoeren.
Eh ja, ik vrees van wel. Vooral als je naar de wetstekst kijkt. Het begrip "voorhanden hebben" is juridisch iets anders dan daadwerkelijk in bezit hebben. Bijvoorbeeld een pistool voorhanden hebben betekent: dat je het niet daadwerkelijk op de man draagt. Om hierin te voorzien wordt in de wet Wapens en Munitie "voorhanden hebben" gezien als "hij draagt een wapen". Een klokkenluider die iets digitaal voorhanden heeft (en het digitaal bestand niet persoonlijk bezit, maar wel bij kan komen) is wel heel heel erg makkelijk te vervolgen door het OM. Ik denk dat de enige manier om hier onderuit te komen is het anoniem via PUBLEAKS melden (https://www.publeaks.nl/) met gebruikmaking van een VPN in combinatie met de TOR-browser.

Ik vraag mij overigens af of Kamerleden die voor dit wetsvoorstel hebben gestemd wel goed over deze materie hebben nagedacht. Maar dat is mijn persoonlijke mening natuurlijk.
01-03-2017, 11:03 door Anoniem
"Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar."

Het bezit van een elektronisch woordenboek (bruikbaar om passwords te vergelijken) zou dus ook strafbaar zijn.

Tompoes
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.