Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

Een lezer vroeg me:

Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties?

Het is op dit moment algemeen niet strafbaar om in het bezit te zijn van gegevens die door misdrijf zijn verkregen. Bezitten van dergelijke waar noemen we ‘heling’ maar dat geldt alleen bij fysieke goederen, niet bij informatie. Heb je bijvoorbeeld een foto of een PDF met jaarcijfers in je bezit die iemand anders heeft gedownload na een computervredebreuk, dan ben jij niet strafbaar.

Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar.

Ik denk dat dit artikel ook gaat over hashes. Hoewel dat strikt gesproken geen wachtwoorden zijn (je kunt er niet mee inloggen) is het meestal wel mogelijk om die wachtwoorden terug te halen, en daarom zou ik ze “daarmee vergelijkbaar” noemen. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen

zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.

Daarmee zou dus ook het bezit van die PDF met jaarcijfers ineens strafbaar zijn (een jaar cel). Er is een uitzondering (lid 2) voor handelen in het algemeen belang, zoals bij journalisten die met gestolen bronmateriaal een grote misstand aan de kaak willen stellen.

Arnoud

Is het strafbaar een USB-killer in je tas te hebben?

usb-killerEen Russische onderzoeker heeft een USB-stick ontwikkeld waarmee het mogelijk is om computers te vernielen, las ik bij Security.nl. De USB-killer stuurt een stroomstoot op -220 Volt naar het moederbord van de computer waar je hem insteekt, en dat is redelijk fataal. Oké, leuk, maar dan wordt het juridisch interessant: stel je stopt die in je tas, met het idee dat een dief zo zijn laptop opblaast als hij het ding vindt en in dat apparaat steekt. Mag dat dan?

Het vernielen van een computersysteem (fysiek stukmaken) is strafbaar, art. 161sexies Strafrecht. Of je dat nu doet door het ding in de sloot te gooien of door een hoog voltage op een USB-poort te zetten, doet daarbij niet ter zake. Stuk is stuk. Echter, de wet eist hier wel “gemeen gevaar”, oftewel gevaar in het algemeen. Als je bijvoorbeeld een huis in brand steekt, dan schep je ‘gemeen gevaar’ voor alle huizen in de buurt. Maar specifiek één ding vernielen is nog geen “gemeen gevaar”.

Natuurlijk is één ding vernielen wel strafbaar, art. 350 Strafrecht. Het maakt in zoverre uit dat bij deze vorm van vernieling er maximaal twee jaar cel kan worden opgelegd, en bij “gemeen gevaar”-vernieling zes jaar.

Echter, hier zet je niet zelf opzettelijk die spanning erop. Je hebt een voorwerp in bezit waarmee dat kan, in de stille hoop dat een dief zelf zo onoplettend is. Dan maak je dus zelf niets stuk. Toch loop je ook dan tegen de strafwet aan. Er zijn namelijk twee redenen waarom dit strafbaar kan zijn (art. 47 Strafrecht:

  1. Uitlokken: in dit geval door gelegenheid of middelen geven om het misdrijf te plegen.
  2. Doen plegen: middels een ander het misdrijf laten gebeuren.

Bij uitlokken loop je tegen het probleem aan dat de dader (als het goed is) zijn eigen laptop opblaast, en dat is niet strafbaar. Ook het uitlokken daarvan is dus niet strafbaar.

Meer kans maak je met “doen plegen”. Dat houdt in dat je niet zelf het misdrijf pleegt, maar een ander dit laat doen. En dan niet in de zin van iemand ompraten (dat is uitlokken namelijk) maar door hem als willoos werktuig in te zetten. Hij had geen idee, kon er niets aan doen en was zich er niet van bewust, maar door jouw snode plannetje deed hij het toch. En dat lijkt me aardig te passen bij wat hier gebeurt. De truc is dat het ding een onschuldige USB-stick lijkt, waarvan iedereen weet dat je die gewoon in je computer kunt steken. Oftewel: jij vernielt die laptop, weliswaar op afstand en met een (willoze) handlanger, maar toch.

Natuurlijk kun je zeggen, ik haalde niemand over, het ding zat in mijn tas en die werd nota bene geját door deze persoon. Maar de intentie van deze USB-killer is duidelijk om schade aan te richten bij een ander. Daar zit een oogmerk van eigenrichting in, en dat is in het strafrecht Niet De Bedoeling. En dan word je al heel snel strafbaar geacht via een constructie als “doen plegen”.

(Meelezende elektrotechnici, waarom is het voltage hier zo belangrijk? Ik dacht altijd dat je dood ging van ampères, niet van volts.)

Arnoud