Is mijn provider aansprakelijk voor bugs in zijn router?

| AE 6399 | Security | 15 reacties

Een lezer vroeg me:

Is mijn Internet Service Provider aansprakelijk voor schade die ontstaat door een fout of een bug in de door hem aan zijn klanten beschikbaar gestelde router? Hierbij ga ik er van uit dat mijn eigen PC qua veiligheid op orde is.

Wie een product levert, moet zorgen dat die aan de redelijkerwijs gewekte verwachtingen voldoet. Of het nu gaat om een appel, een wasmachine of een tablet. Blijkt dat niet zo te zijn, dan heeft de consument recht op gratis herstel of vervanging van het product.

Deze ‘conformiteitseis‘ staat geheel los van eventuele garanties of toezeggingen van de fabrikant of leverancier. Een fabrikant kan garanderen dat de tablet een jaar lang perfect werkt, maar als na anderhalf jaar de batterij de geest geeft dan kun je toch écht bij de winkel gratis herstel daarvan verlangen. Ja, bij de winkel. Want volgens de wet is niet de fabrikant maar de winkel verantwoordelijk.

Probleem is altijd wel: wat is een redelijke verwachting bij dit soort dingen? Dit is namelijk niet hetzelfde als “is foutloos”. Dat een appel na een week bruin en oneetbaar wordt, is niet onredelijk. Die appel voldoet dus aan de conformiteitseis, en je kunt geen herstel of vervanging van de appel eisen. Een wasmachine die na een week defect is, is evident niet conform de verwachtingen.

Bij ICT-producten is dit een groot grijs gebied, met name als het gaat om security. We blijken met z’n allen nog steeds niet in staat om veilige en foutloze producten af te leveren. Dus enige fouten of problemen moet je helaas verwachten. Er is nog geen norm zoals we die wel kennen voor veiligheid: een router mag niet fysiek ontploffen of 240 volt op de netwerkaansluitingen zetten. Dat is per definitie buiten de conformiteitseis, ongeacht de reden voor een dergelijke fout.

Je moet dus op zoek naar de aard van de fout: hoe kon deze schade ontstaan, hoe moeilijk was het geweest dit te fixen en vooral had je redelijkerwijs mogen verwachten dát de fout er niet zou zijn? En daar is weinig zinnigs over te zeggen zonder te weten wat voor fout, wat voor router en wat voor gebruik daarvan.

Het lijkt mij dat wanneer een bedrijf een router levert met verouderde firmware – dus met bekende fouten – je al heel snel mag spreken van een conformiteitsgebrek. Dat hoort gewoon niet te gebeuren. Maar dat er fouten worden ontdekt in wat er is uitgeleverd, dat is nu eenmaal de praktijk. Meer dan een upgrade installeren, kun je niet doen denk ik. Natuurlijk moet die dan wel gratis beschikbaar gesteld worden.

Arnoud

Mijn router heeft een backdoor, mag ik mijn geld terug?

| AE 6278 | Ondernemingsvrijheid, Security | 21 reacties

ziggo-modem-wifi.jpgEen lezer vroeg me:

Ik las op Tweakers dat mijn oude router een backdoor bevat. Dat is natuurlijk niet wat ik mocht verwachten, dus kan ik nu bij de winkel mijn geld terug vragen?

Een product zoals een router moet aan de redelijkerwijs gewekte verwachtingen voldoen. Dat heet de conformiteitseis, soms ook wel de wettelijke garantie genoemd.

Een router die niet routeert, is niet conform de verwachtingen. Die mag dus terug, en de winkel moet deze herstellen of een vervangend product geven. En lukt dat niet, dan heb je recht op je geld terug.

Maar niet elke verrassing bij het product is een conformiteitsgebrek. Zo hadden we ooit de discussie over IPv6 versus conformiteit in de context van netneutraliteit; die zou je ook hier kunnen voeren. Mag je anno 2014 van een router verwachten dat hij een IPv6-netwerk aan kan? Natuurlijk, als het op de doos staat dan moet hij dat doen. Maar als er niet over v4 of v6 gesproken wordt, wat mag je dan verwachten?

Je moet dan gaan kijken naar wat de stand der techniek is, wat gebruikelijk is in de markt, oftewel wat de redelijke verwachting mocht zijn bij dit soort producten. Prijs en doelgroep tellen mee. Een simpel routertje van €10 zal minder kunnen dan een topmodel van een als innovatief bekendstaand bedrijf. En bij dat simpele routertje mag je dan ook eerder storingen of problemen verwachten.

Onbedoelde backdoors zou ik in eerste instantie niet meteen als conformiteitsgebrek zien. Fouten worden overal gemaakt, en zeker bij IT-producten. Het is bekend dat dat kan gebeuren, en dat weegt mee bij het bepalen van de verwachtingen.

Een opzettelijk ingebouwde backdoor wordt een ander verhaal. Daarmee introduceert de fabrikant opzettelijk een beveiligingslek of kwetsbaarheid, en dat kan toch niet de bedoeling zijn. Maar bewijzen dat de backdoor opzettelijk ingebouwd was, lijkt me niet echt haalbaar.

Arnoud

Meesurfen met internet van de buren geen computervredebreuk

| AE 2466 | Security | 38 reacties

Nou, mooi is dat. Meeliften bij het internet van de buren is geen computervredebreuk, oordeelde het Hof Den Haag vorige week (via). Ook als je daarbij de router kraakt. Een router is namelijk geen “geautomatiseerd werk” in de zin van de wet, en je kunt alleen computervredebreuk plegen als je binnendringt in een geautomatiseerd werk. Dit is het hoger beroep van de 4chan-zaak.

In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard een dreigende tekst geplaatst (“I”ll go and kill some peeps from my old school”). In eerste instantie oordeelde de rechtbank dat deze bedreiging niet serieus te nemen was omdat het motto van 4chan was “only a fool would take anything posted here as fact”. Daar komt het Hof op terug: gezien de context van enkele andere school shootings mocht je die bedreiging wel degelijk serieus opvatten, ook als deze niet daadwerkelijk zo bedoeld was.

Het oordeel dat er geen computervredebreuk bij de buren werd gepleegd, blijft in stand. Het Hof neemt de redenering van de rechtbank over dat er pas sprake kan zijn van een computerinbraak als je daadwerkelijk iets doorbreekt (wat dus niet klopt gezien de huidige wet). Maar belangrijker, het Hof stelt dat je op een router niet kunt inbreken omdat een router geen “geautomatiseerd werk” is. Artikel 80sexies Strafrecht definieert dat namelijk als

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het Hof interpreteert die “en” nu netjes als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat niets op.

Het hof stelt vast dat een router een schakelapparaat op de knooppunten van een netwerk zoals het internet is. Een router houdt een wachtwoord of gebruikerscode opgeslagen en zorgt, in opdracht van de gebruiker van die router alleen voor de verzending van gegevens naar de juiste bestemming.

Net als ik heeft ook ict-jurist Jan-Jaap Oerlemans grote moeite met dit arrest.

Ik denk dat artikel 80sexies Sr verkeerd wordt geïnterpreteerd en dit onwenselijke effecten met zich meebrengt. Wat als mensen spam of kinderpornografie over je beveiligde wifi-netwerk verspreiden? De onderhavige zaak illustreert overduidelijk een ander onwenselijk effect. Als via een ander wifi-netwerk misdrijven worden gepleegd en op basis van het IP-adres wordt getracht een verdachte te identificeren komen opsporingsdiensten bij de verkeerde persoon uit!

Het lijkt mij ook dat dit niet de bedoeling is geweest van de wetgever. Maar het staat er wel, en ik vrees dat we niet heel ver komen met dat een router een geheugen heeft voor firmware of dat er een buffer is die 0,1 seconde alle data vasthoudt. Echter, ik vond een sprankje hoop in de memorie van toelichting uit 1993:

een “geautomatiseerd werk”. Hieronder wordt verstaan elke inrichting die met technische middelen geschikt is gemaakt voor de opslag, verwerking of overdracht van gegevens. … Hieronder vallen dus computers, netwerken van aan elkaar verbonden computers en geautomatiseerde inrichtingen voor telecommunicatie (mijn cursivering)

Echter, bij de Eerste Kamer werd het “op te slaan en te verwerken”. En in 2006 werd het het huidige “op te slaan, te verwerken en over te dragen”, waarbij werd opgemerkt

Daarmee vallen niet alleen computers in de meer gangbare betekenis onder het begrip geautomatiseerd werk, maar ook computernetwerken en geautomatiseerde inrichtingen voor telecommunicatie, zoals telefoon en telefax.

In het Cybercrime-verdrag vond ik nog een definitie van “computer system” die hoopvoller klinkt:

any device or a group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data

Onze wet moet immers passen binnen het Cybercrime-verdrag, dus daar kan de Hoge Raad wellicht nog wat mee in eventuele cassatie. Dat zal wel lastig worden, want tegen de letterlijke tekst van een wetsartikel ingaan met je interpretatie is heel erg moeilijk.

Ook kun je zoals mijn collega Paul Pols betoogt, verdedigen dat niet ingebroken is op de router maar op het netwerk, en dat slaat wel gegevens op naast ze te verwerken en versturen. Maar ik vrees dat dat niet gaat werken.

Een wetswijziging lijkt me dan ook nodig. Daarvoor nu gaan pushen vind ik eng, want dat gebeurt dan in het wetsvoorstel dat ook het OM de bevoegdheid zou geven websites te sluiten zonder gerechtelijk bevel.

Arnoud

Gratis internet in de trein hacken, mag dat?

| AE 1493 | Security | 9 reacties

De draadloze internettoegang, die momenteel als proef gratis wordt aangeboden in de trein tussen Groningen en Leeuwarden, blijkt slecht beveiligd te zijn, las ik bij Tweakers. De verbindingen zijn standaard niet versleuteld, waardoor iedereen mee kan lezen met het netwerkverkeer. Ook blijkt de router gewoon de fabriekswachtwoorden te gebruiken. Dit ontdekte NOS Headlines dat “met… Lees verder