Het was geheim – mag dat?

| AE 993 | Security | 23 reacties

Een lezer biecht op:

In een donker duister verleden heb ik mij de toegang verschaft tot een gedeelte van een forum dat met een wachtwoord was beveiligd. De makers hadden aangegeven dat er echt niks interessants stond. En alsof dit nog niet voldoende was om de nieuwsgierigheid bij mij op te wekken was het ook nog eens met een wachtwoord beveiligd. Ik heb daarop tervergeefs een aantal pogingen ondernomen om het wachtwoord te raden. Totdat ik op een gegeven moment bij mezelf dacht “Wat zou het wachtwoord toch zijn? Dat gaan ze natuurlijk niet aan mij vertellen, want dat is geheim”. Als gauw ondervond ik dat ik gelijk had: het wachtwoord was geheim, letterlijk wel te verstaan. Natuurlijk heb ik de beheerders direct op de hoogte gesteld, maar nu vraag ik me af: heb ik door mijn nieuwsgierigheid te bevredigen de wet overtreden?

Het achterhalen van een wachtwoord om daarmee binnen te dringen in een computersysteem dat niet van jou is, is een riskante onderneming. Opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk is strafbaar als computervredebreuk.

De vraag is hier wel of er ook echt binnengedrongen is. Alleen maar een gevonden sleutel in het slot omdraaien is nog geen inbreken, en alleen maar een wachtwoord intypen dat werkt, lijkt me ook nog geen computerinbraak. En onze mysterieuze lezer is uit eigen wil gestopt met de poging. Dat heet “vrijwillige terugtred” in het strafrecht. Een poging die je uit jezelf afbreekt, is niet strafbaar (art. 46db Strafrecht).

Aan de andere kant, zodra je het wachtwoord goed intypt, krijg je meteen ook een resultaat te zien. Je wordt ingelogd, je krijgt de beheerspagina voor je neus of wat er dan ook maar moet gebeuren bij de gebruiker wiens wachtwoord je achterhaald hebt. Dus je kunt betogen dat de inbraak voltooid was op het moment dat het wachtwoord geaccepteerd was en de “U bent ingelogd” pagina op het scherm kwam te staan.

Wat denken jullie? Moet dit kunnen zolang je maar niets doet als je het wachtwoord geraden hebt, of hoort deze meneer een SWAT-team door het raam te krijgen?

Arnoud

Deel dit artikel

  1. Als we naar het voorbeeld kijken van de sleutel en de inbraak dan is dit volgens mij inderdaad niet strafbaar. Anders is het natuurlijk wanneer iemand een inbraak wil gaan plegen en eerst met een koevoet een raam of een deur forceert en de persoon in kwestie dan vrijwillig terugtreedt. Hij kan nu niet voor diefstal worden vervolgd maar wel voor zaakbeschadiging(art. 350). In jouw voorbeeld is de sleutel omdraaien geen diefstal maar zodra deze persoon de sleutel omdraait en 1 stap naar binnenzet zou het wel bijvoorbeeld huisvredebreuk kunnen worden(even er vanuit gaande dat het in de nacht is) en wanneer deze persoon wat wegneemt wordt het diefstal.

    Kan computervrede niet vergeleken worden met de bovenstaande situatie. Computervredebreuk is het forceren van het raam of de deur en zodra dit gelukt is kunnen er meerdere strafbare delicten plaatsvinden: diefstal, zaakbeschadiging(in dit geval art. 350a) etc??? Dus de vrijwillige terugtred heeft geen toepassing meer op de computervredebreuk omdat dit delict al voltooid is. De persoon in kwestie wist namelijk dat hij op verboden terrein was en heeft zich hiertoe de toegang verworven.

  2. Computervredebreuk: “Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a.

    door het doorbreken van een beveiliging,”

    Opzet en wederrechtelijkheid lijken me duidelijk, er is binnengedrongen in een geautomatiseerd werk. Dit is gedaan door een beveiliging te doorbreken (waarbij voor zover ik weet onder beveiliging elke vorm van feitelijke beveiliging, in casu een wachtwoordbeveiliging) wordt bedoeld. Wat mij betreft is het raden van een wachtwoord een vorm van doorbreking. Dus sprake van computervredebreuk. Of het feitelijk zo’n ramp was is een 2e.

    Mijns inziens is het overigens dus te laat voor vrijwillige terugtred, er is sprake van een voltooid feit.

  3. @Arnoud: Meer dan enkel raden: Ja. Meer dan raden, intypen en op ‘ok’ drukken: Nee. Laat ik het omdraaien, op welk punt zou anders sprake zijn van indringen? Als het moment waarop je je toegang hebt verschaft geen indringen is, is het dan zo op het moment dat je verderklikt? Wat nu bij een systeem waar direct alle belangrijke info zichtbaar is na het inloggen (dus ipv “wachtwoord akkoord” staat er “Geheime afspraak Beatrix met AIVD is verplaatst naar woensdag 23 juni om 14.00 uur)? Dat kan geen invloed hebben op het moment dat sprake is van voltooide poging, de binnendringer kan immers v??r het binnendringen niet weten wanneer hij gevoelige informatie tegenkomt.

  4. Update: Zie het volgende citaat uit Franken, Kaspersen & de Wild, “Recht en computer”, 2004, p.398.

    Betrekking hebbend op computervredebreuk: “Hierbij zal alleen van strafbaarheid sprake zijn, indien bij het ‘wederrechtelijk binnendringen’ een beveiliging daartegen wordt doorbroken of een technische ingreep wrdt gehanteerd, die is te vergelijken met het hanteren van een valse sleutel. Het feit, dat er een beveiliging is aangebracht is te beschouwen als het aangeven van de grens tussen het ‘priv?-terrein’ en het voor eenieder toegankelijke gebied.”

    Door in te loggen betreed je het beveiligde gebied, en daarmee is sprake van binnendringen.

  5. @Joost: daar heb je gelijk in. Ik twijfelde nog, maar je hebt me wel overtuigd denk ik. Hooguit zou het anders kunnen zijn als je een tussenscherm kreeg met “U bent ingelogd, klik hier om het systeem te gaan gebruiken” of zo. Dan zou je kunnen afbreken zonder te klikken, en dan ben je nog niet binnengedrongen. Maar dat soort systemen komt niet vaak meer voor volgens mij.

  6. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:door het doorbreken van een beveiliging,door een technische ingreep,met behulp van valse signalen of een valse sleutel, ofdoor het aannemen van een valse hoedanigheid.

    Het gaat hier om een rubriek dat beschermd was met een wachtwoord. De beveiliging lijkt mij niet doorbroken op het moment dat het wachtwoord geraden wordt, zeker niet als het zo’n voor de hand liggende wachtwoord is. De computer het wachtwoord laten raden is een technische ingreep, maar daar is volgens mij hier geen spraken. Als ik het verhaal zo lees is er geen spraken van het gebruik van valse signalen of valse sleutel. En heeft deze meneer geen valse hoedanigheid hoeven aannemen om gebruik te krijgen tot rubriek. Goed nieuws dus voor het SWAT team: ze kunnen in Amerika blijven.

  7. @Alex Voor zover ik het begrepen heb is er sprake van binnendringen zodra je een daadwerkelijke beveiliging doorbreekt. De sterkte van die beveiliging doet niet ter zake, dus dat er een slecht wachtwoord gebruikt was maakt niet uit. Enkel ‘Stop, je mag er in niet in’ weergeven is niet voldoende, een wachtwoord wel. Het begrip ‘valse sleutel’ in het citaat kan mijns inziens prima worden ge?nterpreteerd als ‘op een of andere manier verkregen wachtwoord’. Immers, de functie van een (valse) sleutel en een wachtwoord is vergelijkbaar: Ze zijn noodzakelijk om toegang te verschaffen.

  8. @Joost: het doorbreken van een beveiliging is sinds 2006 geen noodzakelijk deel van de delictsomschrijving meer. Enkel het “wederrechtelijk” binnendringen levert al computercriminaliteit op, ook als daarbij geen beveiliging wordt doorbroken. Dat doorbreken is wel voldoende bewijs van wederrechtelijk binnendringen.

    @Alex: daar heb je gelijk in, maar nu het niet verplicht is om iets stuk te maken, kun je nog steeds binnendringen met een geraden wachtwoord. Het zou dan kunnen vallen onder het “gebruik maken van een valse sleutel”, wat ook een vorm van wederrechtelijk binnendringen is.

  9. Ik twijfel een beetje of het raden van een wachtwoord wel onder een valse sleutel valt. Naar analogie van de offline variant zou een valse sleutel duiden op een kopie. Het vinden van de verloren sleutel valt onder ‘op een of andere manier verkregen’, maar dat maakt die sleutel nog niet vals. De eigenaar van de sleutel behoort te weten dat hij zijn sleutel is verloren en kan dus maatregelen nemen. Zo ook de beheerder van deze site. Die behoort te weten dat het wachtwoord zo zwak is dat dit makkelijk geraden kan worden. En de aard van het systeem is zodanig dat daar geen kopieen voor nodig zijn.

    (edit: op verzoek van auteur ingekort)

  10. @Alex: ik heb het voorbeeld van het geraden wachtwoord ooit in de literatuur gelezen, maar kan dat nu niet meer terugvinden. Maar wat zou je denken van lid d, “het aannemen van een valse hoedanigheid”? Je doet het met het geraden wachtwoord voorkomen alsof je de gebruiker in kwestie bent wiens wachtwoord je raadt. Als ik jouw bedrijfsbadge vind en die opspeld, doe ik alsof ik jou ben. Ook al heb ik niets gestolen of gekraakt.

  11. @Arnoud: Dat zou een goede zijn als je als gebruikersnaam bijvoorbeeld zou moeten invullen admin of Arnoud. Ik zou bij de rechter natuurlijk wel onder uit proberen te komen door te verijzen naar 1 april, maar ik weet niet of dat veel uit zou halen. Ik maak uit de tekst echter op dat het gaat om een passwoord beschermde rubriek. Even tussendoor is yogurt ook een veel gebruikt wachtwoord? Als de omstandigheden zijn dat beheerders de gebruikers misleiden over de inhoud, het wachtwoord wel heel erg zwak gekozen is en de persoon netjes heeft gehandeld zou ik op basis van mijn gevoel niet iemand voor willen veroordelen.

  12. Er is in de door Arnoud beschreven casus denk ik wel sprake van binnendringen, want de lezer kwam “binnen” terwijl er een drempel was aangebracht om dat tegen te gaan. Het was dus (iets) meer dan binnenwandelen en dat is volgens mij voldoende voor “binnendringen”.

    Maar ik twijfel nog of het wel strafbaar was, want het verhaal geeft enige aanleiding om te denken dat de beheerders van de site toestemming hebben gegeven om te proberen het wachtwoord te raden. Dus misschien was het niet “wederrechtelijk”.

    Een andere verdediging is aanvoeren dat hij niet opzettelijk is binnengedrongen. De lezer kan zeggen dat hij een beetje aan het spelen was, daarbij niet de bedoeling had om binnen te dringen, en dat je kunt ook niet kunt zeggen dat hij bewust de aanmerkelijke kans heeft aanvaard om binnen te geraken door “geheim” in te tikken (dus ook geen voorwaardelijk opzet).

    (Alleen is het misschien wat tegenstrijdig om zowel te zeggen dat je toestemming had om het te proberen en helemaal niet de bedoeling had om binnen te komen.)

  13. @Lennie: ik zou zeggen dat dat nog steeds computervredebreuk is, hoewel je dan zou kunnen betogen dat sprake is van zaakwaarneming. Het zou dan net zoiets zijn als zien dat bij de buurman de deur een verroest slot heeft dat zo open gaat, en dan zelf de slotenmaker laten langskomen. Maar echt sterk is dat niet vrees ik, bij zaakwaarneming moet echt een concrete noodsituatie zijn waardoor je wel moet ingrijpen en niet kunt wachten tot de buurman thuis is om hem op het gammele slot te wijzen.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS