image

Is het strafbaar om je kwetsbare router uit 2016 te blijven gebruiken?

woensdag 14 september 2022, 10:19 door Arnoud Engelfriet, 16 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken van een besmet apparaat, waarmee bijvoorbeeld ddos-aanvallen worden uitgevoerd waar de eigenaar geen last van heeft, strafbaar? Ben je verplicht om bij een vastgestelde besmetting actie te ondernemen?

Antwoord: Die oudere D-Link routers blijken kwetsbaar voor de Mirai-botnetsoftware, en omdat hiervoor geen updates meer beschikbaar komen (al sinds 2016) is het een kwestie van tijd totdat ze besmet raken. Er is dus weinig aan te doen behalve je router vervangen, en dat is een lastige want voor de consument-gebruiker lijkt het ding nog prima te werken. Er is althans op papier een mogelijkheid om het strafbaar te noemen dat je met zo'n apparaat door blijft werken. Art. 350b Strafrecht bepaalt namelijk in lid 2:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

Malware zoals Mirai verspreidt zichzelf en heeft als doel schade aan te richten (door ddos-aanvallen, waar die router dan aan meedoet), dus dat valt onder het begrip 'gegevens' uit dit wetsartikel. De vraag is dan dus: heb je juridisch gezien "schuld" aan dat verspreiden als je een niet meer te updaten router aan laat staan, wetende dat Mirai actief zoekt naar (onder meer) dit type apparaat?

De term "schuld" is een trapje lager dan "opzet" (met daartussen de "voorwaardelijke opzet"). Kort door de bocht is de vraag of je dit risico redelijkerwijs had kunnen voorzien en het desondanks voor lief hebt genomen. Weet een gemiddeld gebruiker dat zijn D-Link router niet meer wordt bijgewerkt sinds 2016?

Daar komt bij: wat kon je redelijkerwijs doen om het gevaar af te wenden? De enige optie lijkt te zijn, de router vervangen. Voor 50 euro heb je al een prima router voor thuis, maar ik geef toe dat lang niet iedereen zo even 50 euro over heeft voor een nieuw apparaatje als de oude het nog doet, nog los van de tijd (en ict-kennis) om zo je netwerk opnieuw in te richten.

En dat moet je dan tegenover de impact stellen: het is niet zo dat jóuw router wereldwijd enorme schade aanricht, je bent een klein deeltje van een enorm netwerk. Cynisch gezegd maakt het dan weinig uit dat enkel en specifiek jij je router vervangt, die aanval komt er toch wel want de totale massa aan geïnfecteerde systemen is enorm. Maatschappelijk is het gewenst dat iedereen die apparaten vervangt, maar daar is dus geen juridische prikkel voor.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (16)
14-09-2022, 11:43 door Anoniem
Ik neem aan van niet,het valt onder je eigen verantwoordelijkheid op je netwerk. De risico’s wat het zo met zich meebrengt is wel dat je netwerk door verouderde firmware van de router kwetsbaar is voor hackaanvallen.
14-09-2022, 12:45 door Anoniem
Je hebt ook een civielrechtelijke verantwoordelijkheid naar de mensen die je schade berokkent .

Dat is normaal gesproken iets als jouw lekke leiding waar de onderburen schade van ondervinden.

Ook hier zal het (IANAL) erop neerkomen dat je (slechts) aansprakelijk bent voor jouw directe aandeel in de schade .
Als je één van de miljoen botjes bent , zal dat 1/1000000 deel van de schade zijn .
14-09-2022, 15:56 door SecOff
@arnoud Ik neem aan dat als je weet dat je router besmet is en voor DDOS aanvallen wordt gebruikt en je doet er vervolgens niets aan, er wel sprake is van "schuld"?
14-09-2022, 17:18 door Anoniem
Is uit en weer aan zetten voldoende om de besmetting ongedaan te maken?
Is een reset voldoende om de besmetting ongedaan te maken?
14-09-2022, 17:30 door Anoniem
Tja wat heeft het voor zin om hier achteraan te gaan met de term "strafbaar"... er is toch geen mechanisme wat daar
op een efficiente manier een straf aan kan hangen (zoals bij een verkeersovertreding ofzo, waarbij een agent of een
camera je een bekeuring geeft).

Een goede internetprovider sluit je af als je een DDoS client hebt draaien, zie bijv dit topic:
https://www.security.nl/posting/767887/Ddos+aanvallen+en+wachtwoorden

Dan ben je al gestraft want dan doet je internet het niet meer. Dan kun je zelf bepalen of je de router vervangt of het
verder zonder internet doet... dergelijke providers leveren zelf ook routers die heden ten dage goed genoeg zijn voor
het gemiddelde gebruik, inclusief WiFi extenders. Waarom zou je dan een D-Link kopen?
14-09-2022, 18:04 door Anoniem
Beetje ouderwets gedacht. Vroeger had je hele grote dure mainframes waar vanzelfsprekend een systeembeheerder werkte. Die ervoor moest zorgen dat het systeem beheerd werd.

Als ik een bluetooth weegschaal in de aanbieding koop bij de Aldi dan koop ik gewoon een weegschaal. Er staat niet op de doos dat ik daar dan automatisch systeembeheerdeer van word. Ook niet op het bonnetje. En ook niet in de wet. Dat kun je ook in redelijkheid niet van de brave burger verlangen, ondanks dat er in zijn "slimme" deurbel inmiddels meer computer zit dan in de gouwe ouwe ENIAC.

Strafrecht is bijvoorbeeld voor wie artikel 139c over afluisteren overtreedt. Zoals Google, Apple of Facebook. En de Chinezen en de Russen natuurlijk. Daar zitten wel allemaal onderuitkomertjes in want anders was het al lang toegepast geweest. Maar de geest van die wet is toch vrij duidelijk. En wordt met voeten getreden.
14-09-2022, 19:59 door Anoniem
Interessante afwegingen. Er speelt dus mee wat de impact is. Dat opent nieuwe perspectieven.

Neem nu hetzelfde idee en projecteer dit op een ISP.
Via de site https://spoofer.caida.org/recent_tests.php?as_include=&country_include=nld&no_block=1
Is direct te zien welke Nederlandse provider toestaat dat je met een ander, niet jouw, IPadres het Internet op gaat: je ip adres spooft.
Ddos aanvallers maken heel dankbaar gebruik van deze fout/nalatigheid in de configuratie bij de provider.
Op die manier kunnen miljoenen ipadressen al spoofend gegenereert worden voor ddos aanvallen.
Zodra de isp is geinformeerd is het geen onwetendheid meer, maar minstens nalatig, en in vetgelijk met de eerste cadus, strafbaar.
Is dit ook juridisch voldoende hard te maken?
Dan ontstaat dus de mogelihkheid dat deze isp's in NL en mogelijk de EU, dit even corrigeren.
Op de genoemde link is voldoende info, oa van MANRS, te vinden hoe dit goed is in te stellen.

Veel isp s doen dit al goed. Diverse heb ik benaderd en hebben het snel verbeterd. Echter er zijn er nog een procent of 5....

Hopelijk ksn Atnoud ons redden.. ;)
14-09-2022, 20:54 door Anoniem
Dan kunnen we ook gelijk stoppen met onze klimaatdoelen en stikstof gezeik. Cynisch gezegd maakt het weinig uit als wij de enige zijn die moeite doen.
14-09-2022, 23:38 door Anoniem
Door Anoniem: Dan kunnen we ook gelijk stoppen met onze klimaatdoelen en stikstof gezeik. Cynisch gezegd maakt het weinig uit als wij de enige zijn die moeite doen.
Oh ik ben ook een groot tegenstander van het naleven van zelf opgelegde klimaatdoelen! Dat heeft geen enkele zin.
Stikstof is iets genuanceerder omdat dat een voornamelijk lokaal probleem is. Je moet je afvragen of de gevolgen van
stikstof uitstoot belangrijker zijn dan de gevolgen van het stilleggen van de bouw, maar dat is een andere zaak.
Bij klimaatdoelen weet je van te voren dat het verspild geld is wat alleen bedoeld is om je geweten te sussen. Aan het
klimaat gaat het niks veranderen.
14-09-2022, 23:56 door Anoniem
Door SecOff: @arnoud Ik neem aan dat als je weet dat je router besmet is en voor DDOS aanvallen wordt gebruikt en je doet er vervolgens niets aan, er wel sprake is van "schuld"?
Hoe weet je dat jouw router voor DDOS aanvallen gebruikt wordt? Als mijn router/internet "moeilijk doet", dan zet ik de router uit en aan. Meestal of altijd gaat dat goed. Ik zou niet weten of hij voordien bezig was met DDOS aanvallen of ander malheur op internet aan te richten.
15-09-2022, 07:51 door Anoniem
Door Anoniem: Is uit en weer aan zetten voldoende om de besmetting ongedaan te maken?
Is een reset voldoende om de besmetting ongedaan te maken?

En dan is-ie binnen een paar seconden weer besmet, als-ie nog aan het internet hangt. Zinloze actie dus.
15-09-2022, 13:29 door Anoniem
Veel ISPs hebben tegenwoordig tooling die de waarschuwingen afgeven als vanaf een IP adres van hun klanten "verdacht" verkeer komt. Besmette klanten, of het om hun routers of andere apparatuur worden "in quarantaine" gezet en kunnen maar beperkt internetten en krijgen emails, SMSen en dergelijke om ze op de hoogte te stellen dat ze waarschijnlijk zijn besmet. Ik kan me voorstellen dat deze specifieke mirai besmetting ook snel gedetecteerd wordt door die ISPs.

Los daarvan, 2016 EOL betekent in de praktijk dat een behoorlijk deel van deze routers stuk is gegaan ondertussen (BADCAPS) en vergeleken bij modern spul, traag is. Veel providers stellen nieuwe apparatuur beschikbaar, dus de mensen die deze routers nog gebruiken hebben al minstens 6 jaar geen nieuwe ISP gekozen en destijds niet de apparatuur van de ISP gebruikt. Er zullen er ongetwijfeld nog wel een paar aan het internet hangen, maar de aantallen zullen relatief laag zijn in Nederland.

Of je aansprakelijk bent? In theorie wel, in de praktijk zal er iets serieus misdaan moeten zijn vanaf jouw internetrouter voordat Justitie wil gaan bewijzen dat jij grof nalatig bent geweest. Ik zou me eerder druk maken over Brein die je een rekening gaat sturen voor illegale downloads van jouw IP met bewijslast. Dan kan het maar zo zijn dat ze een rechtszaak tegen je winnen tenzij jij kan aantonen dat je alles gedaan hebt om het te voorkomen maar je router was gehacked. Ook dat is zeldzaam, maar qua risico zie ik dat eerder gebeuren dan dat justitie je gaat vervolgen voor een mirai besmetting van je oude dlink.
15-09-2022, 15:48 door Anoniem
Academische discussie

Tussen de aspecten
- waartoe ben je verplicht,
- wat is moreel goed of verwerpelijk
- wat is het goede om te doen
- hoeveel last moet/mag je er als persoon (of als organisatie) van hebben

Vroeger hoefde je geen autogordel
- Het is ten slotte mijn eigen keuze of ik wel/niet risico neem.
De gevolgen van letselschade kwam op de schouders van de maatschappij.
Dat paste financieel en politiek niet meer.
Nu is de autogordel verplicht.

Trek je eigen analogie
15-09-2022, 17:03 door Anoniem
Door Anoniem:
Door Anoniem: Is uit en weer aan zetten voldoende om de besmetting ongedaan te maken?
Is een reset voldoende om de besmetting ongedaan te maken?

En dan is-ie binnen een paar seconden weer besmet, als-ie nog aan het internet hangt. Zinloze actie dus.

De kwetsbaarheid van deze modems is dat ze niet goed omgaan met bepaalde http-parameters. Enkel verbinding maken met internet betekent nog niet direct automatisch een besmetting.

Tips:
1) Alleen https sites bezoeken en vooraf doorlichten met virustotal
2) Modem alleen aan laten staan tijdens internetten

Dan valt het risico voor jezelf en anderen nog wel mee.
De beste oplosing is natuurlijk een nieuwe modem die deze kwetsbaarheid niet heeft.
15-09-2022, 21:00 door Anoniem
“ Er is dus weinig aan te doen behalve je router vervangen”

Of een firewall voor zetten…
Beschermt ook meteen al je andere apparaten op het netwerk die mogelijks (al dan niet gekende/misbruikte) lekken bevatten iets meer.
16-09-2022, 10:39 door Anoniem
Door Anoniem: “ Er is dus weinig aan te doen behalve je router vervangen”

Of een firewall voor zetten…
Beschermt ook meteen al je andere apparaten op het netwerk die mogelijks (al dan niet gekende/misbruikte) lekken bevatten iets meer.

Dat zal de snelheid waarmee de router besmet wordt wel beperken, maar in het geval van deze kwetsbaarheid is het
niet voldoende. In theorie kan een bezoek aan een website de router besmetten, omdat er in de website een link kan
staan die verwijst naar je router. De besmetting komt dan dus van je eigen PC en gaat niet langs de firewall.
Uiteraard voorkom je hiermee wel dat een portscanner je router vindt en van buitenaf aanvalt, maar vaak kan dat toch
alleen nadat je zelf ergens een vinkje "beheer vanaf internet toestaan" aangezet hebt, wat veel mensen niet doen. Of
ze hebben deze "router" in feite alleen als WiFi accesspoint in gebruik achter de router van hun provider, waardoor deze
aanval sowieso al niet werkt. Maar die "aanval van binnenuit" blijft mogelijk.

Wat in dat geval wel kan helpen is je router een ongebruikelijk IP adres geven. Als hij 192.168.0.1 of 192.168.1.1 is
dan loop je VEEL meer risico op dit soort exploits dan als ie pak em beet 172.26.229.1 is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.