Is het strafbaar om je kwetsbare router uit 2016 te blijven gebruiken?

| AE 13549 | Security | 41 reacties

Een lezer vroeg me:

Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken van een besmet apparaat, waarmee bijvoorbeeld ddos-aanvallen worden uitgevoerd waar de eigenaar geen last van heeft, strafbaar? Ben je verplicht om bij een vastgestelde besmetting actie te ondernemen?
Die oudere D-Link routers blijken kwetsbaar voor de Mirai-botnetsoftware, en omdat hiervoor geen updates meer beschikbaar komen (al sinds 2016) is het een kwestie van tijd totdat ze besmet raken. Er is dus weinig aan te doen behalve je router vervangen, en dat is een lastige want voor de consument-gebruiker lijkt het ding nog prima te werken.

Er is althans op papier een mogelijkheid om het strafbaar te noemen dat je met zo’n apparaat door blijft werken. Art. 350b Strafrecht bepaalt namelijk in lid 2:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.
Malware zoals Mirai verspreidt zichzelf en heeft als doel schade aan te richten (door ddos-aanvallen, waar die router dan aan meedoet), dus dat valt onder het begrip ‘gegevens’ uit dit wetsartikel. De vraag is dan dus: heb je juridisch gezien “schuld” aan dat verspreiden als je een niet meer te updaten router aan laat staan, wetende dat Mirai actief zoekt naar (onder meer) dit type apparaat?

De term “schuld” is een trapje lager dan “opzet” (met daartussen de “voorwaardelijke opzet”). Kort door de bocht is de vraag of je dit risico redelijkerwijs had kunnen voorzien en het desondanks voor lief hebt genomen. Weet een gemiddeld gebruiker dat zijn D-Link router niet meer wordt bijgewerkt sinds 2016?

Daar komt bij: wat kon je redelijkerwijs doen om het gevaar af te wenden? De enige optie lijkt te zijn, de router vervangen. Voor 50 euro heb je al een prima router voor thuis, maar ik geef toe dat lang niet iedereen zo even 50 euro over heeft voor een nieuw apparaatje (dat is een modaal weekbudget boodschappen) als de oude het nog doet, nog los van de tijd (en ict-kennis) om zo je netwerk opnieuw in te richten.

En dat moet je dan tegenover de impact stellen: het is niet zo dat jóuw router wereldwijd enorme schade aanricht, je bent een klein deeltje van een enorm netwerk. Cynisch gezegd maakt het dan weinig uit dat enkel en specifiek jij je router vervangt, die aanval komt er toch wel want de totale massa aan geïnfecteerde systemen is enorm. Maatschappelijk is het gewenst dat iedereen die apparaten vervangt, maar daar is dus geen juridische prikkel voor.

Arnoud

Deel dit artikel

    • Deze routers worden sinds maart 2016 niet meer ondersteund. Waarschijnlijk heeft de fabrikant wel ergens een mededeling staan waarin ze adviseren deze routers niet meer te gebruiken (en een nieuwe van hun te kopen). Wat verwacht je nog meer van een fabrikant? Tot het einde der tijden iets ondersteunen? Verplichten om planned obsolescence in te bouwen die de router automatisch bricked zodra hij niet meer ondersteund wordt?

      Ik neem hier aan dat de fabrikant niet op de hoogte was van deze bug toen de router nog ondersteund werd.

      • Fabrikant verplichte langer te ondersteunen.. daar is wel iets voor te zeggen:

        Als volgens Arnouds argument, kort door de bocht, ik schuld heb omdat ik geen 50 Euro wil uitgeven aan een beter apparaat, dan geldt datzelfde natuurlijk in veel grotere mate voor de fabrikant: Het kost veel minder dan 50 Euro per apparaat als die fabrikant een nieuwe firmware uitbrengt.

        Wie is dan het meest nalatig: ik omdat ik geen 50 Euro wil betalen, of de fabrikant die geen nieuwe firmware wil maken voor een fractie van 1 Euro per apparaat?

          • Er is zeker wat te zeggen voor jouw idee, maar aan de andere kant kent elk apparaat (router, server, laptop enz.) haar grenzen. Niet alleen bandbreedte maar ook geheugencapaciteit en processorkracht kennen hun fysieke beperkingen. En toevoegen van patches vreet niet altijd alleen geheugencapaciteit maar wellicht ook rekenkracht. Toevoegen van extra capaciteit op die gebieden kan meer kosten dan een nieuwere router. Overigens om juist deze reden van beperkte capaciteit kopen veel mensen een nieuwe mobiele telefoon terwijl de oude tehnisch gezien nog best een tijdje meekan.

  1. Als ik dit goed begrijp voldoe je aan de eisen voor schuld, alleen is dat niet redelijk om daar strafrechtelijk voor veroordeeld te worden omdat de kosten van repareren niet tegen de schade opwegen.

    Houd dat dan ook in dat een slachtoffer van zo’n botnet niet civiel bij jou kan aankloppen voor de (volledige) schade van een hack en dat jij de schadevergoeding daarna maar mag gaan verdelen onder de personen die “samen” met jouw “verantwoordelijk” zijn voor het in stand houden (router niet beveiligen) en gebruiken van dit botnet.

    Als 10.000 mensen een druppel verf op mijn raam gooien en het kost mij 100 euro om het geheel schoon te maken, dan lijkt het mij niet maf dat je ieder willekeurig persoon van die groep aansprakelijk kan stellen (als je de organisator niet te pakken kan krijgen), ook al is de schade per persoon in die groep erg klein.

    • Als 10.000 mensen een druppel verf op mijn raam gooien en het kost mij 100 euro om het geheel schoon te maken, dan lijkt het mij niet maf dat je ieder willekeurig persoon van die groep aansprakelijk kan stellen (als je de organisator niet te pakken kan krijgen), ook al is de schade per persoon in die groep erg klein.
      Het probleem is natuurlijk dat in die situatie iedereen daadwerkelijk een stukje van die schade toebrengt.

      De situatie met de router is meer dat al je buren ’s nachts een klein bakje verf in de voortuin laten staan, er een onbekend persoon komt die al die bakjes pakt en samenvoegt, en de hele bak tegen jouw raam aan smijt. Is het nu nog steeds redelijk om een individuele buurman/-vrouw voor jouw gehele schade aan te spreken?

      Ik beschouw mijzelf als redelijk technisch geïnformeerd, en weet van het risico van dit soort aanvallen en gebeurtenissen af. Toch zou ook ik geen idee hebben van alle apparatuur in mijn huis of het kwetsbaar is voor botnetaanvallen, of er firmware-updates te krijgen zijn, en of ze überhaupt nog ondersteund worden door de fabrikant. Voor de gemiddelde gebruiker zal dit nog sterker het geval zijn.

  2. Weet de gemiddelde gebruiker van een router wel welk merk dat ding in de meterkast is? Laat staan welk type en dat er mogelijk problemen mee zijn? En wat firmware is en dat dat geüpdatet zou kunnen worden. En dan moet dit nieuwsbericht de getroffen gebruikers ook nog maar zien te bereiken.

    Normaal ben ik niet zo’n fan van die modem/routers van internetproviders, maar denk dat ze in dit geval wel een voordeel hebben.

  3. Ik zie een probleem met dit. Want hoe weet ik of ik een router heb die besmet kan worden of al besmet is? Okay, slecht voorbeeld want ik ben een techneut. Maar neem gewoon een Jab BenedenModaal met een gemiddeld IQ of iets later die weet hoe je laptop aan moet om vervolgens de Facebook App te openen om katten-videos te kijken of the NetFlixen. Iemand die het verschil tussen een bit en een byte niet weet en dat gehele Internet in huis door een neefje heeft laten aanleggen. Personen die eigenlijk niet eens beseffen dat hun WiFi van een router vandaan komt in een kast.

    Ja, er zijn genoeg van dat soort personen. De halve bevolking heeft immers een beneden-gemiddelde intelligentie. Kunnen ze aansprakelijk gesteld worden ook al zijn ze onwetend? 🙂

    • Het is niet eens zozeer gerelateerd aan intelligentie maar meer aan interesse en noodzaak om te weten. Ik ken voldoende mensen met een universitaire opleiding achter de rug die ook niet verder komen dan de aan-knop van hun laptop. Internettoegang is een commoditeit geworden, en een vereiste voor normale deelname aan het maatschappelijk verkeer. Alle normale, gebruikelijke handelingen zijn zo eenvoudig geworden dankzij gebruikersvriendelijke interfaces dat het voor iedereen toegankelijk is. Een zekere mate van expertise is niet langer vereist. We verwachten ook niet van mensen dat ze weten hoe hun magnetron, televiesie of auto van binnen precies werkt.

      Zolang die router uit 2016 het nog naar volle tevredenheid doet vind ik niet dat je kan verwachten van mensen dat ze die uit zichzelf gaan vervangen, ook niet als er geen support van de leverancier meer is. We verwachten ook niet van mensen die een Saab hebben dat ze die gingen inruilen toen Saab failliet ging. Zolang het het nog doet blijven veel mensen het gewoon gebruiken, en waarom zouden ze ook niet?

      En waarom zou de eindgebruiker ook op moeten draaien voor de kosten die uiteindelijk veroorzaakt worden door het onrechtmatig handelen van de mensen achter dat botnet? Dat zijn de mensen die de wet overtreden, niet de eigenaar van een router met een bug in de firmware.

      De vraag stellen hoe lang je van een fabrikant mag verwachten dat die updates uitbrengt voor zo’n stuk hardware lijkt me wel terecht, maar is lastig eenduidig te beantwoorden. Op enig moment zal het technisch gewoon niet meer mogelijk zijn, maar aan de andere kant is het nu niet meer dan een verdienmodel om nog prima functionerende hardware niet langer te ondersteunen in de hoop dat gebruikers hun nog werkend apparaat wegdoen en een nieuwe kopen. Gebruikers hebben een maatschappelijke verantwoordelijkheid om hun aan Internet hangende dingen te updaten ljikt me; maar tegelijkertijd zouden fabrikanten de verantwoordelijkheid op zich moeten nemen om hun producten langer veilig te houden.

        • Ja goede vraag. Ik heb geen goed antwoord. Hangt af van een heleboel factoren, er schieten me zo wat te binnen: Is het echt zo moeilijk om die apparaten zo te maken dat ze langer meegaan? Is er echt geen methode waarmee het voor normale, niet-technische, eindgebruikers eenvoudig is hun apparaat te updaten, inclusief een of ander systeem om de update ongedaan te maken als het niet meer werkt en een of andere herinneringsfunctie om het ook echt te doen? Moet de te verwachten levensduur in relatie staan tot de prijs van het apparaat? Deze router kost dan 50 euro, en je mag verwachten dat die..vijf? zes? tien? jaar mee gaat. En een telefoon van 1400 euro dan? Mag ik dan twintig jaar lang updates verwachten? Als de fabrikant hem zou kunnen bricken lijkt de huidige twee tot drie jaar me onacceptabel, maar wat is dan wel acceptabel? Is het etisch om het nog werkend apparaat vanuit de fabrikant geforceerd te bricken? Dat vinden we bij andere producten volkomen onacceptabel. Nog even afgezien van de vraag hoe dat dan in de praktijk zou moeten, maar niemand accepteert het dat tien jaar na aankoop ineens je auto ermee stopt omdat de fabrikant vind dat het niet meer kan.

          Kortom, ik weet het niet. De vraag stellen is makkelijker dan hem beantwoorden.

  4. Al verplicht je een leverancier tot-het-einde-der-tijden security updates aan te bieden dan nog is het maar de vraag of het technisch mogelijk is/blijft en of de gebruiker van de router de updates installeert. Vaak gaat dit met dit soort routers niet automatisch. Ideetje voor de toekomst: Kill switch inbouwen in de firmware: Wanneer de vooraf gecommuniceerde end-of-support datum is bereikt dan de router automatisch onomkeerbaar uitschakelen. Dit alles netjes wettelijk geregeld natuurlijk.

    • En op deze manier creëren we nodeloos een hoop afval… Bricken is in mijn ogen kapitaalvernietiging en het voorstellen dat we bricken wettelijk toestaan is voor mij een symptoom vaan onze verspillende weggooimaatschappij.

      Ik ben er zeker voorstander van om leveranciers voor een redelijke tijd te verplichten om beveiligingsupdates te leveren (laten we dat “herstel van conformiteit” noemen wand veiligheidsgaten horen helemaal niet uitgeleverd te worden.) Bij consumentenelektronica minimaal voor 7 jaar, maar veel liever voor de 20 jaar dat een elektronisch apparaat met een beetje zorg meegaat.

        • Ik ben het met je eens dat een lekke router gevaarlijk kan zijn en dat een minimale inspanning van de gebruiker verwacht mag worden om beveiligingsupdates te installeren. Mijn uitgangspunt is dat een router met beveiligingsgaten niet conform is en dat de leverancier volgens het EUropese aangesproken kan worden op herstel van de conformiteit. (Of het alternatief, ontbinding van de koop.) Als ik het even heel scherp stel: de fabrikant levert een gevaarlijk product en wil het gebrek niet herstellen. Bij auto’s zie je recall acties, waarom niet bij routers? Waarom ontkomt een autofabrikant niet aan zijn productaansprakelijkheid en de routermaker wel?

          • Helemaal mee eens. Maar nu hebben we een product dat keurig tien jaar lang onderhouden is, maar waar de leverancier nu “vanaf” wil. Laten we zeggen dat die tien jaar altijd duidelijk is gecommuniceerd, en de reden voor stoppen is dat onderhoud steeds complexer wordt terwijl het aantal bezitters van deze dingen snel slinkt. Dan komt er een punt dat het redelijk is dat de leverancier mag stoppen, lijkt mij. En vanaf dát punt zou bricken dus maatschappelijk verstandig zijn.

            • Ja, ik kan me voorstellen dat er een moment komt wanneer het maatschappelijk aanvaardbaar is dat een leverancier ondersteuning stopt. Een leverancier mag naar mijn mening zelfs eerder stoppen wanneer de gebruikers een redelijke compensatie krijgen voor het kapitaalsverlies ten gevolge van het bricken. (Ik zou weleens een concrete maatschappelijke baten en lasten analyse willen zien, zodat we kunnen controleren of een fabrikant de lasten niet simpelweg op de samenleving afwentelt.)

              Waar ik een groot probleem mee heb is dat producenten van allerlei “slimme” apparaten (en computerspellen) menen dat zij hun klanten tot upgrades mogen forceren door servers uit te schakelen op het moment dat ze hun kwartaalcijfers willen oppoetsen en hun klanten met lege handen (of onbruikbare hardware) laten zitten; zonder enige compensatie.

            • Jij definieert een moment, 10 jaar, van te voren gecommuniceerd en met een goede reden, waarop de zorgplicht van de leverancier vervalt. Prima, daar kan ik mee leven.

              En dan zeg je snel er achteraan: en daarna dus bricken.

              Maar dat is een andere discussie. Dan heb je nog steeds overwegingen als: De morele problemen van het straffen van de eigenaar voor hacking door anderen, de maatschappelijke onwenselijkheid van het vernietigen van goede apparaten (want vergeet niet: zelfs na het einde van de supportperiode zijn die dingen niet per definitie gevaarlijk, alleen is er dan een mogelijkheid dat ze op termijn gevaarlijk worden), en het recht om als individu nu eenmaal in beperkte mate risicodragend gedrag te mogen vertonen en toch de gevolgen door de maatschappij te laten dragen (zoals bijvoorbeeld: de medische gevolgen van gevaarlijk rijgedrag of ongezonde voeding of vaccinatieweigering; het hebben van suboptimale deursloten en toch inbraakschade te claimen, planeet-bedreigend reisgedrag, etc).

              Wat mij betreft is het niet: ‘na tien jaar automatisch bricken’ maar eerder: ‘ tot 10 jaar is er een automatische zorgplicht en is bricken sowieso niet toegestaan, en pas na 10 jaar is een AFWEGING mogelijk of bricken maatschappelijk wenselijk is. Maar een beslissing om te bricken is een laatste redmiddel dat indien enigszins mogelijk vermeden dient te worden en een dergelijke beslissing dient breed, vooraf, gecommuniceerd te worden en er kan door een rechter inhoudelijk getoetst worden of de afweging correct gemaakt is.’

          • Je kunt een eindgebruiker niet verantwoordelijk houden voor zaken waar ze geen kennis van hebben. Veel mensen weten nauwelijks dat ze een router in huis hebben. Ze hebben een kastje voor de televisie en nog een kastje in een kast dat ergens voor dient en verder weten ze er niets van af. Ja, dat ze WiFi op hun laptop en telefoon hebben. (En soms niet door hebben dat ze op het open netwerk van hun buren zitten…)

            Ik zeg altijd dat de helft van de gebruikers een beneden-gemiddelde intelligentie heeft met betrekking tot de gehele gebruikersgroep. Simpelweg gezegd, sommige gebruikers zijn eigenlijk te onwetend over wat ze moeten doen en controleren. Je moet deze plicht dan ook iets hoger neerleggen, namelijk bij de providers. Die horen slimmer te zijn dan de gemiddelde eindgebruiker.

        • Helemaal waar, maar een kleine nuance die ik wel van belang vind is dat auto’s met gebrekkige remmen of liften met versleten kabels inherent gevaarlijk zijn. Een kwetsbare router is dat alleen omdat iemand anders de wet schendt door een botnet aan te slingeren. Een lekke router is niet van zichzelf gevaarlijk, maar wordt dat pas als iemand anders er misbruik van gaat maken.

          Het lijkt alsof de verantwoordelijkheid nu bij de onschuldige eigenaar van een router wordt gelegd omdat de daders achter botnets zo lastig op te sporen zijn.

          Echte-wereld-analogie alert: Als het slot van mijn fiets kwetsbaar blijkt voor lockpicking (wat is het Nederlandse woord eigenlijk? Niet-destructief slotkraken? Slotpielen?), en dat is ‘ie waarschijnlijk als ik af mag gaan op de LPL op YT, ben ik dan verantwoordelijk als iemand anders mijn fiets steelt, of is de dief dan nog steeds de dader en de verantwoordelijke voor de diefstal en ben ik gewoon een slachtoffer? Autosloten blijken ook kwetsbaar, maakt mij dat verantwoordelijk als iemand mijn auto steelt om er een ramkraak mee te plegen?

        • Iets is nonconform als het niet doet wat je redelijkerwijs mocht verwachten, waarbij de mededelingen van de fabrikant en de winkel heel zwaar wegen. Het lijkt mij niet nonconform als je zegt “deze router gaat over 3 jaar stuk” en het ding gáát na 3 jaar stuk. Dit gebeurt natuurlijk nu vrijwel nooit, maar dat is a) omdat weinig fabrikanten zo precies willen zijn en b) het vrijwel nooit zo hard te voorspellen is. Ik kan alleen lampen bedenken waarbij een aantal branduren wordt opgegeven, als je dat aantal uren haalt en de lamp gaat daarna permanent uit, dan heb je een keurige conforme lamp gehad.

          • Fair enough. De levensduur (gerekend in branduren) van een lamp heeft ongetwijfeld een valide technische reden. Een levensduur van een router die je moedwillig inkort door inferieure componenten (zoals de genoemde goedkopere condensatoren) te gebruiken, alleen en juist om ervoor te zorgen dat het expres stukgaat, voelt wel wat vreemd aan, ondanks een eventuele aankondiging van de vermoedelijke gebruiksduur vooraf. Mag je van een dergelijk apparaat niet een langere levensduur verwachten als diezelfde apparaten het tot heden gewoon ‘onbeperkt’ deden?

          • Hier ga je wel even voorbij aan de hele maatschappelijke discussie over planned obsolescence, en het feit dat gloeilampen specifiek ontworpen zijn om niet al te lang mee te gaan, omdat ze anders na een tijd bijna niks meer zouden kunnen verkopen.

            Het is bij routers die zichzelf na 3 jaar bricken alleen een heel stuk evidenter, en zal daardoor bij veel meer mensen een slecht gevoel opwekken.

            • Bij gloeilampen word er gekeken naar een balans tussen efficiëntie en levensduur. Wil je een gloeilamp efficiënter maken, dan moet de werktemperatuur van de gloeidraad omhoog. Helaas gaat dan de levensduur van de gloeidraad naar beneden omdat metaalatomen uit de draad dan sneller verdampen, met name op de plaatsen waar de draad iets dunner (dus ook heter) is. Hoe beter de uniformiteit van de gloeidraad, hoe langer de lamp meegaat (bij een bepaalde efficiëntie) Als je de lamp (minder efficient) op een lagere spanning laat werken gat deze ook langer mee.

              Elektronische apparatuur gaat makkelijk tien jaar mee en hergebruiken is veel beter voor het milieu dan goede apparaten weggooien.

  5. Is dit niet vooral een probleem voor diegene die voor de router/modem in het huis heeft gezorgd? Een internet-provider ((b.v. Ziggo, KPN, T-mobile) heeft als leverancier van de router/modem aan honderduizenden klanten — met weinig tot geen verstand hiervan — gezorgd voor een significant groter aandeel van het botnet.

    Kunnen zij dan niet aangepakt worden dat ze ervoor zorgen dat hun klanten geen erg zwakke hardware gebruiken voor hun internetverbinding?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS