Internetrecht door Arnoud Engelfriet

Uit onderzoek van Tweakers.net blijkt dat veel geregistreerde gebruikers in de praktijk een relatief zwak wachtwoord hebben ingesteld, rapporteerde de techsite gisteren. In minder dan een half uur bleek de helft van de versleutelde wachtwoorden eenvoudig te kraken met standaardtools. Leuk, alleen vroegen diverse mensen zich per mail af of dit eigenlijk wel mag, wachtwoorden gaan kraken van je gebruikers.

De analyse van Tweakers lijkt me in alle oprechtheid opgezet, maar dat is natuurlijk geen argument dat je dús binnen de wettelijke grenzen zit. Maar als je alleen intern test of wachtwoorden wel veilig zijn, en er voor zorgt dat niemand (ook de redactie die erover gaat schrijven niet) toegang krijgt tot de wachtwoorden zelf, dan zie ik eerlijk gezegd het probleem niet.

Het testen van wachtwoorden is een volstrekt gebruikelijke handeling, hoewel deze normaal alleen gebeurt bij het inschrijven. De bekende rood/geel/groene indicatoren zijn het bekendste voorbeeld, maar periodieke controles op wachtwoorden zijn niet ongebruikelijk. Verstandig ook, want kwaadwillenden kunnen óók zulke kraaksoftware draaien en zo proberen binnen te komen. Je kunt dus zelfs betogen dat Tweakers verplicht is sterke wachtwoorden af te dwingen omdat zij (de persoonsgegevens van) haar gebruikers moet beschermen.

Natuurlijk áls het misgaat en een derde bij het wachtwoord kan, dan is Tweakers de pineut. De voorwaarden met hun aansprakelijkheidsbeperking helpen dan niets: wie zelf wachtwoorden gaat kraken en dan deze lekt of laat misbruiken, handelt “grof nalatig” en is hoe dan ook aansprakelijk voor alle schade die mensen lijden.

Journalistiek heel interessant maar juridisch echt problematisch zou zijn om te kijken of diezelfde gebruikersnamen en wachtwoorden ook werken bij andere forums.

Meelezende sysadmins: hoe testen jullie wachtwoorden van gebruikers?

Arnoud
Afbeelding: Strongpasswordgenerator.com

Internetbank Bizner stopt ermee, maar op de valreep leveren ze nog een leuk vonnis over de aansprakelijkheid van een bedrijf voor misbruik van de inlogcodes rond internetbankieren.

Bizner had een bedrijf voor een kleine 40.000 euro aangeklaagd. Er waren leningen aangevraagd vanuit het bedrijf via de internetbankierapplicatie van Bizner. Voor een deel werd dit erkend, maar voor één lening van € 10.000,- stelde het bedrijf dat dit zonder toestemming aangevraagd was door een werknemer met wie ze in een conflict lagen.

De werknemer had toegang tot de BizKey, het apparaatje waarmee je inlogt op de internetbankierapplicatie. Volgens de directeur was hij echter niet geautoriseerd de lening te sluiten zonder overleg. In de voorwaarden van Bizner stond niet expliciet wat er in zo’n situatie zou moeten gebeuren. De rechtbank valt dan ook terug op de algemene rechtsregel of het te verwijten is aan het bedrijf dat deze medewerker de BizKey kon gebruiken:

Indien dit misbruik te wijten is aan gebrek aan zorg van [gedaagde], dan wordt dat in beginsel aan hem toegerekend, tenzij [gedaagde] omstandigheden stelt en bewijst die een zodanig gebrek aan zorg uitsluiten.

In dit geval bleek de werknemer in te wonen bij de directeur. De betaalrekening van Bizner werd door hen gezamenlijk op een vaste computer beheerd, waarbij de werknemer ook de beschikking had over de BizKey en daarbij behorende codes. Waarom de directeur dit toestond, wordt niet duidelijk uit het vonnis. Je gaat je dan wel achter je oren krabben als je leest dat de directeur wist dat deze werknemer een fraudeverleden had.

De rechtbank oordeelt dan ook dat het bedrijf aan te spreken is op de lening, en dat deze dus gewoon moet worden terugbetaald.

Door [persoon1] niet te betrekken in de rechtsverhoudingen met Bizner en hem daarentegen wel in de gelegenheid te stellen te beschikken over en gebruik te laten maken van de BizKey en de codes, heeft [gedaagde] het risico genomen dat jegens Bizner misbruik van zijn identiteit kon worden gemaakt en kan hem dat worden toegerekend.

Wel had men nog betwist dat Bizner een vertragingsrente in rekening mocht brengen. Deze claim was op de algemene voorwaarden gebaseerd (en was dus hoger dan de wettelijke rente). Volgens het bedrijf waren de algemene voorwaarden niet van toepassing, maar daar gaat de rechter niet in mee.

Namens Bizner is immers op de comparitie onweersproken verklaard dat het onmogelijk is om via internet een aanvraag van haar producten te voltooien zonder het aanvaarden van de algemene voorwaarden.

Helaas werd niet nader ingegaan op de vraag of die voorwaarden wel correct werden aangeboden, iets dat verbazingwekkend vaak fout gaat bij grote bedrijven. Maar ja, wie bewaart er screenshots van het algemenevoorwaardenscherm?

Dat het de werknemer was die hier de voorwaarden aanvaardde, maakt niet uit. Het bedrijf is vanwege het wanbeheer van de Bizkey en code aansprakelijk voor de gevolgen, en is dus gebonden aan die algemene voorwaarden. Bizner mag dus het bedrijf houden aan het artikel over de vertragingsrente.

Arnoud

Een lezer vroeg me:

Onze vereniging publiceert elk jaar voor de leden een handig boekje met zaken als de statuten, het huishoudelijk reglement, besluiten uit het afgelopen jaar en handige tips voor de leden. Ook zetten we hier altijd een lijst met contactgegevens van alle leden in. Dit doen we al jaren, maar het aantal leden groeit gestaag dus nu is voorgesteld om dit boekje voortaan via de website te verspreiden. Maar hebben we dan geen privacyprobleem?

Ja, dan heb je een privacyprobleem. Het publiceren via internet van namen, adressen en dergelijke contactgegevens van je leden kan echt alleen met een expliciete toestemming van de leden. En die moet vooraf worden gevraagd.

Je zou voor nieuwe leden die toestemming in het inschrijvingsformulier kunnen vragen, maar je bestaande leden zul je toch apart om deze toestemming moeten vragen.

Verder vraag ik me af of het echt wel nodig is om deze informatie zo online te zetten. De kans op misbruik van zulke gegevens is aanwezig, en ik zie weinig redenen waarom de hele wereld moet weten wat het telefoonnummer van verenigingslid X is. Je zou volgens mij kunnen volstaan met de gegevens op een wachtwoordbeveiligd deel van de site te zetten, waarbij alleen leden het wachtwoord weten.

Of je dan kunt volstaan met één wachtwoord of dat elk lid zijn eigen wachtwoord moet hebben, is een andere vraag. Bij een kleine vereniging is één wachtwoord nog wel beheersbaar (”volgend jaar is ons wachtwoord ‘zebrapad’ “) maar met enkele honderden leden lijkt me een wachtwoord per lid wel echt verplicht.

Arnoud

De Revu wordt niet gestraft voor het infecteren van 14.000 computers en het hacken van de mailbox van de geanonimiseerde Staatssecretaris van Defensie, zo las ik gisteren bij Security.nl. De politierechter vond dat het nieuwsfeit dat de mailbox te kraken was, belangrijk genoeg is om de hoofdredacteur vrij te spreken van het strafbare feit. De auteur van het artikel werd ook vrijgesproken, omdat hij niet betrokken was bij het daadwerkelijke inbreken. Hij kreeg de informatie achteraf en maakte daar een artikel van.

Ik heb hier grote moeite mee. Journalisten staan niet boven de wet en hebben niet het recht om 14.000 pc’s te infecteren om daarmee aan te tonen dat een wachtwoord te raden is door die pc’s er lekker veel te laten proberen. Ik heb sterk het vermoeden dat de politierechter onvoldoende rekenschap heeft gegeven van wat er nu feitelijk is gedaan. Als het nieuwsfeit was geweest “Voordeur huis staatssecretaris blijkt met bulldozer te forceren”, dan was het vonnis volgens mij heel anders uitgevallen.

De overwegingen uit het vonnis wijzen er namelijk sterk op dat de rechter zich heeft laten overtuigen door het beveiligingsaspect van de zaak. Immers, zo staat in het vonnis:

Hierbij wordt voorop gesteld dat de vraag of de privé emailboxen van bewindslieden voldoende beveiligd zijn tegen inbraken van buitenaf, op zichzelf een zaak is die het algemeen belang raakt. … Verdachte heeft betoogd dat het plegen van de onderhavige strafbare feiten noodzakelijk was voor de onderbouwing van de stelling in het artikel dat het schortte aan die beveiliging.

Nu wil ik best geloven dat beveiliging van zulke mailboxen op zich een belangwekkend iets is voor journalisten, maar dat betekent nog niet dat elk hackje daarmee nieuwswaardig is. Zeker niet als het hackje gewoon een lompe brute force aanval is. Iedereen weet dat je met genoeg proberen elk wachtwoord weet te raden.

Bovendien -en dit is een juridische blog- lijkt het vonnis me in strijd met wat de Hoge Raad tot nu toe steeds zegt over dit soort “nieuwsmaak”-acties. Zoals ik vorig jaar december blogde, in 1995 luidde het oordeel nog dat een vervalste aanvraag voor een rijbewijs niet onder de vrije nieuwsgaring valt, ook niet als je wilde aantonen dat aanvragen voor een rijbewijs onder valse naam mogelijk zijn (27 juni 1995, NJ 1995/711, niet online). En in december 2006 oordeelde de Hoge Raad hetzelfde in een zaak over een ‘gat’ in het bancaire systeem van automatische incasso.

In die laatste zaak citeerde men instemmend het Gerechtshof, dat had bepaald:

Nu het aan de verdachte ten laste gelegde het doel van zijn onderzoek (publiekelijk bewijs te vergaren voor zijn stellingen) voorbij is geschoten en hem andere, minder verstrekkende methodes ten dienste stonden, oordeelt het hof de jegens verdachte ingezette strafvervolging ter voorkoming van (soortgelijke) strafbare feiten en ter bescherming van de rechten van anderen, meer in het bijzonder van die van bovenaangegeven (rechts)personen, zowel passend als geboden.

Bij de incassozaak had de journalist een groot aantal incasso-opdrachten verstuurd voor soms substantiële bedragen van rekeningen van volslagen onbekenden. Hij had ook kunnen volstaan, aldus het Hof, met 1 grote incasso van een betrokken partij (bv. de directeur van de betrokken bank). En die analogie kun je zonder moeite doortrekken naar hier: was het nu echt nodig om 14.000 pc’s te infecteren om aan te tonen dat je met genoeg pc’s een wachtwoord kunt kraken?

En feit blijft (zoals Brenno de Winter al schreef) dat Revu het echte nieuws gemist heeft.

Anders nieuwswaardig feit is dat Hyves kennelijk goed functioneert als distributieplatform voor het verspreiden van virussen die een botnet bouwen. Gebruikers vertrouwen de website, terwijl nu blijkt dat er zeer kwaadaardige content op kan staan. Ook dit werd niet als nieuwswaardig feit gesignaleerd.

Waar ik nu heel bang voor ben, is dat al die scriptkiddies die eerst riepen “ik bewijs mensen een dienst door de beveiliging te checken” nu gaan roepen “oh ik ben journalist want ik onderzoek maatschappelijke misstanden door onvoldoende beveiliging”.

Arnoud
Afbeelding afkomstig van Revu.

Dat heb ik me ook al jaren afgevraagd: waarom worden wachtwoorden op websites altijd als bolletjes of sterretjes getoond? Jakob Nielsen heeft er nu onderzoek naar gedaan, en wat blijkt:

Usability suffers when users type in passwords and the only feedback they get is a row of bullets. Typically, masking passwords doesn’t even increase security, but it does cost you business due to login failures.

Het idee achter die sterretjes is dat iemand die op je scherm meekijkt, niet kan meelezen wat je wachtwoord is. Maar hoe vaak komt dat tegenwoordig nog voor? De meeste wachtwoorden worden vandaag de dag gestolen met Trojans en phishingsites, en die kijken gewoon naar wat je intypt en niet naar wat er op het scherm komt te staan. Dus aan de veiligheid draagt het niets bij.

Nielsen doelt met die “login failures” op mensen die niet kunnen zien wat ze intypen en dus vaker fouten maken met hun wachtwoord. Ik vraag me af of dat nog steeds een probleem is. Wie gebruikt er geen password-manager voor websitewachtwoorden?

Overigens: degenen die mijn blog er ouderwets uit vinden zien, kunnen maar beter niet Nielsen’s site bekijken.

Arnoud

De rechtbank in Den Haag heeft twee voormalige voorlichters van het ministerie van Sociale Zaken en Werkgelegenheid veroordeeld tot voorwaardelijke taakstraffen van 150 en 100 uur, meldde Nu.nl zaterdag. De twee bleven hun oude wachtwoord van de Geassocieerde Pers Diensten gebruiken om zo vroeg kennis te krijgen van nog ongepubliceerde nieuwsberichten.

Het bewijs was in deze zaak niet zo moeilijk rond te krijgen. De twee liepen tegen de lamp toen ze een verslaggever vroegen om in een artikel een wijziging aan te brengen: het artikel beweerde dat minister Donner gereformeerd was, maar hij is protestant. Dat verbaasde de journalist nogal, want het artikel was nog helemaal niet gepubliceerd op dat moment. Het systeem van GPD blijkt bij te houden wie welk artikel opvraagt, en zo waren de verantwoordelijken snel op te sporen. Er bleek meer dan 800 maal illegaal ingelogd te zijn vanaf een IP-adres van het ministerie van Sociale Zaken (195.109.215.181, zoek maar na).

De zaak doet sterk denken aan de computerinbraak door persbureau Novum, waarbij ook andermans wachtwoord werd gebruikt om in te loggen. Een verschil hier, dat de verdachten zwaar werd aangerekend, was dat zij als ambtenaren op het ministerie werkzaam waren en dus een voorbeeldfunctie hadden.

De verdachten gebruikten in eerste instantie nog hun eigen wachtwoorden, die na hun ontslag nog gewoon bleken te werken. Eigen schuld dus, en geen misdrijf, zo betoogde de advocate. Maar nee, “het behoort vanzelf te spreken, dat men na vertrek bij een werkgever geen kennis meer neemt van of gebruik maakt van vertrouwelijke informatie, ook al kan feitelijk nog toegang tot die gegevens worden verkregen; daar is geen verbod van die werkgever voor nodig.” Daarmee was dat computervredebreuk.

Opmerkelijk was nog dat de journalist die zijn wachtwoord aan zijn ex-collega’s gaf, ook veroordeeld werd: een voorwaardelijke taakstraf van 60 uur voor medeplichtigheid aan de computervredebreuk. Pas dus goed op je wachtwoord!

Arnoud

Een lezer biecht op:

In een donker duister verleden heb ik mij de toegang verschaft tot een gedeelte van een forum dat met een wachtwoord was beveiligd. De makers hadden aangegeven dat er echt niks interessants stond. En alsof dit nog niet voldoende was om de nieuwsgierigheid bij mij op te wekken was het ook nog eens met een wachtwoord beveiligd. Ik heb daarop tervergeefs een aantal pogingen ondernomen om het wachtwoord te raden. Totdat ik op een gegeven moment bij mezelf dacht “Wat zou het wachtwoord toch zijn? Dat gaan ze natuurlijk niet aan mij vertellen, want dat is geheim”. Als gauw ondervond ik dat ik gelijk had: het wachtwoord was geheim, letterlijk wel te verstaan. Natuurlijk heb ik de beheerders direct op de hoogte gesteld, maar nu vraag ik me af: heb ik door mijn nieuwsgierigheid te bevredigen de wet overtreden?

Het achterhalen van een wachtwoord om daarmee binnen te dringen in een computersysteem dat niet van jou is, is een riskante onderneming. Opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk is strafbaar als computervredebreuk.

De vraag is hier wel of er ook echt binnengedrongen is. Alleen maar een gevonden sleutel in het slot omdraaien is nog geen inbreken, en alleen maar een wachtwoord intypen dat werkt, lijkt me ook nog geen computerinbraak. En onze mysterieuze lezer is uit eigen wil gestopt met de poging. Dat heet “vrijwillige terugtred” in het strafrecht. Een poging die je uit jezelf afbreekt, is niet strafbaar (art. 46db Strafrecht).

Aan de andere kant, zodra je het wachtwoord goed intypt, krijg je meteen ook een resultaat te zien. Je wordt ingelogd, je krijgt de beheerspagina voor je neus of wat er dan ook maar moet gebeuren bij de gebruiker wiens wachtwoord je achterhaald hebt. Dus je kunt betogen dat de inbraak voltooid was op het moment dat het wachtwoord geaccepteerd was en de “U bent ingelogd” pagina op het scherm kwam te staan.

Wat denken jullie? Moet dit kunnen zolang je maar niets doet als je het wachtwoord geraden hebt, of hoort deze meneer een SWAT-team door het raam te krijgen?

Arnoud

Een verdachte mag niet worden bevolen zijn PGP-decryptiesleutel of wachtwoord af te geven, bepaalde een een Amerikaanse magistrate judge eind november. Zo’n bevel is in strijd met de Amerikaanse Grondwet. Dat meldt onder andere Planet. In Engeland moesten diezelfde maand een groep Britse dierenactivisten nog hun decryptiesleutels afgeven. En hoe zit dat in Nederland?

Je hoeft niet mee te werken aan je eigen veroordeling. Dat heet het nemo tenetur-beginsel. Dat staat niet expliciet in onze wet, maar wordt wel erkend op grond van artikel 6 EVRM. Op grond van het Saunders-arrest van het Europese Hof geldt dat de verdachte geen verklaringen hoeft af te leggen, maar wel materiaal moet uitleveren dat onafhankelijk van zijn wil bestaat, zoals documenten en bloedmonsters. Als de verdachte in zijn dagboek een bekentenis had geschreven, en de politie vindt deze bij een huiszoeking, dan mag die gewoon worden gebruikt. Ook als het op de PC staat. Maar als de politie het dagboek niet kan vinden, mag de verdachte niet worden bevolen te vertellen waar het ligt.

Een wachtwoord zit ook in je hoofd, en het moeten vertellen is dus een “verklaring afleggen”. Vandaar dat zo’n bevel bij ons niet gegeven mag worden. Dit is expliciet vastgelegd in artikel 125k Wetboek van Strafvordering. Voor getuigen, maar ook voor andere betrokkenen (zoals een systeembeheerder) geldt deze verplichting wel - uiteraard voorzover ze het wachtwoord ook weten.

Kortom, nee, bij ons mag dit niet. Of het in de VS nu echt niet mag, is nog een open vraag. Dit is een beslissing van een magistrate judge, zeg maar een rechter-commissaris. Nog lang geen Supreme Court-arrest dus.

Zeer uitgebreid over nemo tenetur versus afgeven van sleutels is Bert-Jaap Koops, de expert op dit gebied, in Verdachte en ontsleutelplicht: hoe ver reikt nemo tenetur? (PDF). Bij de behandeling in de Tweede Kamer van het wetsvoorstel Computercriminaliteit II verklaarde de minister trouwens expliciet (RTF) dat het nemo tenetur-beginsel verbood om verdachten te bevelen hun wachtwoord af te geven.

Verder nog een heleboel discussie op Bij Tweakers en Slashdot.

Vraagje voor de toekomst: als ik nou geen wachtwoord gebruik maar een biometrische beveiliging op mijn gegevens heb, kan ik dan verplicht worden mijn vinger op de sensor te leggen? Het nemen van een vingerafdruk is namelijk geen inbreuk op nemo tenetur, maar het effect is wel hetzelfde als bevolen worden een wachtwoord af te geven. Aan de andere kant mag de politie ook de sleutelbos uit mijn broekzak halen en daarmee mijn brandkast openmaken.

Arnoud

Is dit slim of zie ik iets over het hoofd?

Al die sites die eisen dat je een naam en wachtwoord kiest, zijn eigenlijk heel onveilig. Vrijwel iedereen gebruikt tegenwoordig zijn e-mailadres als gebruikersnaam, en vaak heb je niet eens meer een aparte gebruikersnaam. De veiligheid komt dan volledig te liggen op het wachtwoord. Zo hoort het ook, alleen als mensen zelf wachtwoorden mogen kiezen, kiezen ze vaak hele onveilige.

Nu kwam ik van het weekend dit voorstel tegen: schaf gebruikersnamen af, en verzin voor iedereen die zich registreert, een lange, makkelijk te onthouden maar moeilijk te raden zin (een passphrase):

• A user should enter only his password. Login is not needed for this scheme. Certainly, a password should be unique for each user.
• The password is not chosen by user, but generated by the program. There is nothing new here: passwords are often generated by software using secure random number generators.
• The password is a random sentence. Raskin proposes to put together two random adjectives and one noun from a large dictionary (e.g., about 10 000 words):
  old free papaya
  exclusive malformed seal
  savoury manlike oracle
• User can choose to use another type of password. As Raskin says, you can give user a choice from five methods of generating easy-to-remember passwords. I would also add that you can use Koremutake algorithm (passwords like “habakysomagri” or “gafevipromystu”), a random sentence generator (”old free papaya” or “exclusive malformed seal”) and several other generators.

Wel een beetje opletten natuurlijk wat je genereert, want “gemutileerde zeehond” is dan misschien makkelijk te onthouden maar niet voor iedereen een even fijn wachtwoord.

Arnoud

Een Braziliaanse gamer en topscorer in het spel GunBound is ontvoerd en met een pistool bedreigd om zo zijn wachtwoord te krijgen, meldt Security.NL:

De bende wilde zijn wachtwoord van het online spel GunBound voor 8000 dollar verkopen. De gamer werd door een vriendin van één van de criminelen via Orkut verleid. Tijdens de afspraak met het meisje in een winkelcentrum werd de jongen ontvoerd. Ondanks het feit dat hij vijf uur lang bedreigd werd en al die tijd een pistool tegen zijn hoofd kreeg, weigerde hij zijn wachtwoord af te staan.

BRIGHT meldt nog dat het plan was om het wachtwoord voor 8000 dollar te verkopen.

Arnoud