Mijn router heeft een backdoor, mag ik mijn geld terug?

ziggo-modem-wifi.jpgEen lezer vroeg me:

Ik las op Tweakers dat mijn oude router een backdoor bevat. Dat is natuurlijk niet wat ik mocht verwachten, dus kan ik nu bij de winkel mijn geld terug vragen?

Een product zoals een router moet aan de redelijkerwijs gewekte verwachtingen voldoen. Dat heet de conformiteitseis, soms ook wel de wettelijke garantie genoemd.

Een router die niet routeert, is niet conform de verwachtingen. Die mag dus terug, en de winkel moet deze herstellen of een vervangend product geven. En lukt dat niet, dan heb je recht op je geld terug.

Maar niet elke verrassing bij het product is een conformiteitsgebrek. Zo hadden we ooit de discussie over IPv6 versus conformiteit in de context van netneutraliteit; die zou je ook hier kunnen voeren. Mag je anno 2014 van een router verwachten dat hij een IPv6-netwerk aan kan? Natuurlijk, als het op de doos staat dan moet hij dat doen. Maar als er niet over v4 of v6 gesproken wordt, wat mag je dan verwachten?

Je moet dan gaan kijken naar wat de stand der techniek is, wat gebruikelijk is in de markt, oftewel wat de redelijke verwachting mocht zijn bij dit soort producten. Prijs en doelgroep tellen mee. Een simpel routertje van €10 zal minder kunnen dan een topmodel van een als innovatief bekendstaand bedrijf. En bij dat simpele routertje mag je dan ook eerder storingen of problemen verwachten.

Onbedoelde backdoors zou ik in eerste instantie niet meteen als conformiteitsgebrek zien. Fouten worden overal gemaakt, en zeker bij IT-producten. Het is bekend dat dat kan gebeuren, en dat weegt mee bij het bepalen van de verwachtingen.

Een opzettelijk ingebouwde backdoor wordt een ander verhaal. Daarmee introduceert de fabrikant opzettelijk een beveiligingslek of kwetsbaarheid, en dat kan toch niet de bedoeling zijn. Maar bewijzen dat de backdoor opzettelijk ingebouwd was, lijkt me niet echt haalbaar.

Arnoud

21 reacties

  1. Dat fouten gemaakt kunnen worden ben ik met je eens. Toch vind ik dat je de drempel wel heel erg laag legt hier. Als een backdoor derden in staat stelt om van buitenaf in mijn router te komen (en daarmee op mijn netwerk) verwacht ik op z’n minst een beveiligingsupdate. Vraag is of je vervolgens van de consument mag verwachten dat deze hem zelf installeert, of dat de leverancier dat op verzoek doet (“de reparatie”).

    Tevens, hoe zit het als je de router in de afgelopen zes maanden gekocht hebt? Moet de fabrikant dan gaan bewijzen dat het niet opzettelijk was?

      1. In de eerste zes maanden na aankoop moet de winkel bij een klacht bewijzen dat het géén fabricagefout is (maar bv. slijtage of onjuist gebruik). Dit is een opzettelijk omgekeerde bewijslast. Het is niet reëel dat een product binnen zes maanden gewoon versleten is, dus is het redelijk te vermoeden dat het product gewoon defect is en onder de wettelijke garantie (conformiteitseis) hersteld of vervangen moet worden. En vanwege dat vermoeden is de bewijslast omgekeerd in de wet.

        Een fout hoeft niet opzettelijk te zijn aangebracht.

  2. Geldt iets dergelijks dan ook bij het aanbieden van (IT) diensten? Als je een goedkopere IT-er iets laat analyseren dat je dan minder snel mag “zeuren” als er iets over het hoofd wordt gezien als bij een dure businessconsultant van een paar honder euro per uur? Zijn daar grenzen bij te defineren, of kom je simpelweg weer terug op “redelijkheid/billijkheid”?

  3. Aroud, de “bug” in de D-link routers gebruik je door een user agent string te gebruiken: “”xmlset_roodkcableoj28840ybtide,”

    Lees deze even achterstevoren zonder het nummer! (voor de luie mens: “Edit by joel backdoor”)

    Het lijkt mij niet vol te houden dat dit een bug is, deze router heeft gewoon een bewust ingebouwde backdoor. Het lijkt mij dat dit de zaak juridisch enigzins verandert?

    1. Bij een bewust ingebouwde backdoor of zwakheid zou ik direct een conformiteitsgebrek aannemen ja. Oftewel dan mag je je geld terug als de winkel dit er niet heel snel uit sloopt.

      Enige verweer kan nog zijn dat de backdoor-bouwer niet bij het bedrijf werkte (een inbreker). Dan is het alsnog niet de schuld van de winkel.

      1. Dat lijkt me geen realistisch verweer.

        Aannemelijker lijkt me dat men tijdens het maken van de software de backdoor had aangemaakt met de bedoeling deze weer te verwijderen voordat de routers verkocht zouden worden, maar dat dit bij gebrek aan competentie van het management niet is gebeurd.

        Overigens denk ik dat de grootste klanten voor routers met ingebouwd modem grote ISPs zijn, en die zullen ongetwijfeld een backdooroptie in de producteisen opnemen, zodat er altijd een kijkje genomen kan worden bij een klant mocht die een probleem met zijn verbinding hebben.

  4. Aan sommige backdoors is WEL duidelijk te zien dat ze opzettelijk zijn aangebracht. Eind jaren 90 werd bijvoorbeeld bekend dat windows een backdoor heeft die duidelijk gelabeld was als bestemd voor de NSA. Ook de structuur van de software (een extra key die geaccepteerd werd voor authenticatie) liet zien dat dit niet per ongeluk tot stand was gekomen. Dit is iets heel anders dan buffer overflows, code injection en dergelijke, die opzettelijk maar ook per ongeluk beveiligingslekken kunnen introduceren.

    Valt het opzettelijk introduceren van beveiligingslekken (“backdoors”) niet onder de categorie “misdaad”? Als een fabrikant van lichtschakelaars expres elektrodes aanbrengt die een gebruiker elektrocuteren, dan is dat strict genomen een non-comformiteit van elektrische veiligheidsnormen. Ik zou het eigenlijk niet genoeg vinden om ze te vervolgen voor noncomformiteit: het is in wezen een (poging tot) moord. Zo is het expres aanbrengen van backdoors ook een (poging tot) “hacken” (in de betekenis van “zichzelf toegang geven tot andermans elektronische systemen”).

    1. Aan sommige backdoors is WEL duidelijk te zien dat ze opzettelijk zijn aangebracht. Eind jaren 90 werd bijvoorbeeld bekend dat windows een backdoor heeft die duidelijk gelabeld was als bestemd voor de NSA
      Dat dit pure onzin was is natuurlijk allang bekend. Ook toen al. Hier de opinie van security guru Bruce Scheier over die zogenaamde ‘backdoor’ in Windows eind jaren negentig. https://www.schneier.com/crypto-gram-9909.html#NSAKeyinMicrosoftCryptoAPI

      1. Misschien was mijn voorbeeld niet zo goed, maar ik blijf erbij dat je bij sommige opzettelijke backdoors kunt zien dat de backdoor opzettelijk is aangebracht, en dat het opzettelijk aanbrengen van een backdoor gezien moet worden als een misdaad, en niet slechts een noncomformiteit.

        Het lijkt hier ook een opzettelijke backdoor. Zie eerdere post van Elroy:

        Aroud, de “bug” in de D-link routers gebruik je door een user agent string te gebruiken: “”xmlset_roodkcableoj28840ybtide,”

        Lees deze even achterstevoren zonder het nummer! (voor de luie mens: “Edit by joel backdoor”)

        Het lijkt mij niet vol te houden dat dit een bug is, deze router heeft gewoon een bewust ingebouwde backdoor. Het lijkt mij dat dit de zaak juridisch enigzins verandert?

        1. Het lijkt me niet dat je uit tekst in de backdoor mag concluderen dat de backdoor door de fabrikant opzettelijk is aangebracht. Iedereen kan die tekst invullen. Stel ik stop “hacked-by-corné” in de source van mijn blog, heb jij mijn blog dan gehackt? Lijkt me niet.

          Bij de Stuxnet-worm was er veel speculatie over een variabelenaam die erop zou wijzen dat de ontwikkelaar Israëlisch was (een referentie naar een bijbelse naam of plek meen ik).Maar dat kan er natuurlijk ook in zijn gezet om de aandacht van de werkelijke ontwikkelaar af te leiden.

          1. Door die tekst kan je in elk geval aantonen dat de backdoor opzettelijk is aangebracht en niet een onbedoelde bug.

            Dan is het daarna misschien de vraag wie dat heeft gedaan maar als ik naar een winkel* ga en daar een willekeurige router pak die dat ook heeft, dan mag ik toch stellen dat de fabrikant het heeft gedaan. Of in elk geval, dat het onder verantwoordelijkheid van de fabrikant is gebeurt.

            *Voor de volledigheid moet je misschien 4 verschillende winkels af van verschillenden ketens om zo aan te tonen dat de winkelier het niet heeft gedaan.

            1. Voor de volledigheid moet je misschien 4 verschillende winkels af van verschillenden ketens om zo aan te tonen dat de winkelier het niet heeft gedaan

              Je hoeft niet aan te tonen dat de fabrikant dit heeft gedaan. Dus als de winkelier het heeft gedaan, dan heeft de winkelier je nog steeds een non-conform product verkocht. Dat het product dat de winkelier van de fabrikant heeft gekregen wel conform was, maakt voor jou niet uit.

  5. Het simpele verweer dat een backdoor onbedoeld is lijkt me wat te makkelijk. Je moet dan toch op zijn minst verklaren hoe een dergelijke backdoor door de kwaliteitscontrole (en die bevat op zijn minst het conformiteitsaspect) kon komen.

    Als die backdoor in het aangehaalde Tweakers artikel niet opzettelijk maar onbedoeld was, dan had elementaire kwaliteitscontrole, namelijk een port scan, de openstaande poort moeten vinden. Dit is toch de minste kwaliteitscontrole die je mag verwachten voor een router die tevens dienst doet als firewall? Als dit een onbedoelde backdoor was, dan is op zijn minst sprake van grove nalatigheid. Als koper zou ik mij dermate door de fabrikant bedrogen voelen, dat ik in een update geen vertrouwen meer zou hebben (evenzo als het een opzettelijk ingebouwde backdoor was). Geld terug, schaamrood en veel excuses, lijkt me de enige gepaste oplossing.

  6. Onbedoelde backdoors zou ik in eerste instantie niet meteen als conformiteitsgebrek zien. Fouten worden overal gemaakt, en zeker bij IT-producten. Het is bekend dat dat kan gebeuren, en dat weegt mee bij het bepalen van de verwachtingen.

    Daarmee is mijn inziens een conformiteitsgebrek. Als koper mag je verwachten dat het product de kwaliteit en prestaties bied als soortgelijke producten (art. 2 sub d 99/44/EG). In dit scenario is het kennelijk het niet normaal dat er een backdoor aanwezig is, daarmee bied dit product niet de kwaliteit als die van soortgelijke producten.

  7. Hoe zit dat eigenlijk met een router die WPS (wifi protected setup) heeft?

    WPS is een systeem met een pincode van 8 cijfers, dus in principe zijn er 100 miljoen mogelijke combinaties. Dat is veel minder dan een passphrase van 16 karakters, maar goed. Gemak moet de mens dienen. Het protocol is echter zo lek als een mandje. Je hebt ten hoogste 10.000 pogingen nodig om de eerste 4 cijfers te vinden, ten hoogste 1.000 pogingen voor de volgende 3 en het laatste cijfer is een hash van de eerste 7 dus die weet je meteen. Met in totaal niet meer dan 11.000 pogingen heb je toegang tot iemands wifi. Het WPS protocol bevat geen tijdlimiet voor aantal pogingen, dus je kan binnen enkele seconden binnen zijn.

    Deze zwakheid is al enige jaren bekend. Maar toch komt iedere nieuwe router die ik zie, zowel in zakelijke sfeer als in privésfeer, standaard met WPS ingebouwd. In veel gevallen staat het protocol zelfs al standaard aan. Nu las ik ergens dat je WPS ook kan misbruiken, zelfs als het uit staat. Weet niet 100% zeker of dat klopt, maar ik weet wel dat mijn wifi printer weet dat de lokale router WPS heeft, terwijl het feitelijk uit staat. Het is géén gok van de printer. Heb dat getest met een oude wifi router die geen WPS heeft, en daar geeft hij de optie ‘verbinden m.b.v. WPS’ niet.

    1. WPS kent meerdere varianten. Access points moeten tenminste WPS-PIN (pin code) en WPS-PBC (push button configuration) aanbieden. Andere mogelijkheden zijn overdracht van de sleutel via NFC (near field communication) of een USB stick. De PBC-methode vereist dat op beide apparaten een knop ingedrukt wordt, waarna gedurende een aantal seconden de WPS-informatie uitgewisseld wordt zonder PIN. PBC, NFC en USB vereisen fysieke toegang tot het wireless access point, maar verver geen authenticatie.

      Er zijn de nodige apparaten waarvan bekend is dat de firmware fouten bevat en WPS aanstaat, hoewel het volgens het gebruikersinterface uitgeschakeld is.

      Sommige leveranciers hebben als oplossing voor het zwakke PIN-code-systeem een oplossing ingebouwd met een time-out periode na een aantal mislukte pogingen. Maar als je de hele week de tijd hebt om het draadloze net van je buren te onderzoeken, helpt zo’n time-out niet echt.

      WPS is dus zoiets als een touwtje dat je uit de brievenbus kunt laten hangen als je het te lastig vindt om een sleutel in het slot te steken.

  8. Wat ik mis in deze hele backdoordiscussie is het volgende feitje: Aangezien de VSA een wetje hebben dat backdoors verplicht (bron: https://en.wikipedia.org/wiki/CommunicationsAssistanceforLawEnforcement_Act) kun je met hoge waarschijnlijkheid concluderen dat backdoors in producten van usaniaanse bedrijven opzettelijk zijn aangebracht. Een conclusie die nog verder versterkt wordt door alle onthullingen van klokkeluider Edward Snowden.

    edit:spelfout

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.