Is het strafbaar om je kwetsbare router uit 2016 te blijven gebruiken?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken van een besmet apparaat, waarmee bijvoorbeeld ddos-aanvallen worden uitgevoerd waar de eigenaar geen last van heeft, strafbaar? Ben je verplicht om bij een vastgestelde besmetting actie te ondernemen?
Antwoord: Die oudere D-Link routers blijken kwetsbaar voor de Mirai-botnetsoftware, en omdat hiervoor geen updates meer beschikbaar komen (al sinds 2016) is het een kwestie van tijd totdat ze besmet raken. Er is dus weinig aan te doen behalve je router vervangen, en dat is een lastige want voor de consument-gebruiker lijkt het ding nog prima te werken. Er is althans op papier een mogelijkheid om het strafbaar te noemen dat je met zo'n apparaat door blijft werken. Art. 350b Strafrecht bepaalt namelijk in lid 2:
Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.
Malware zoals Mirai verspreidt zichzelf en heeft als doel schade aan te richten (door ddos-aanvallen, waar die router dan aan meedoet), dus dat valt onder het begrip 'gegevens' uit dit wetsartikel. De vraag is dan dus: heb je juridisch gezien "schuld" aan dat verspreiden als je een niet meer te updaten router aan laat staan, wetende dat Mirai actief zoekt naar (onder meer) dit type apparaat?
De term "schuld" is een trapje lager dan "opzet" (met daartussen de "voorwaardelijke opzet"). Kort door de bocht is de vraag of je dit risico redelijkerwijs had kunnen voorzien en het desondanks voor lief hebt genomen. Weet een gemiddeld gebruiker dat zijn D-Link router niet meer wordt bijgewerkt sinds 2016?
Daar komt bij: wat kon je redelijkerwijs doen om het gevaar af te wenden? De enige optie lijkt te zijn, de router vervangen. Voor 50 euro heb je al een prima router voor thuis, maar ik geef toe dat lang niet iedereen zo even 50 euro over heeft voor een nieuw apparaatje als de oude het nog doet, nog los van de tijd (en ict-kennis) om zo je netwerk opnieuw in te richten.
En dat moet je dan tegenover de impact stellen: het is niet zo dat jóuw router wereldwijd enorme schade aanricht, je bent een klein deeltje van een enorm netwerk. Cynisch gezegd maakt het dan weinig uit dat enkel en specifiek jij je router vervangt, die aanval komt er toch wel want de totale massa aan geïnfecteerde systemen is enorm. Maatschappelijk is het gewenst dat iedereen die apparaten vervangt, maar daar is dus geen juridische prikkel voor.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Dat is normaal gesproken iets als jouw lekke leiding waar de onderburen schade van ondervinden.
Ook hier zal het (IANAL) erop neerkomen dat je (slechts) aansprakelijk bent voor jouw directe aandeel in de schade .
Als je één van de miljoen botjes bent , zal dat 1/1000000 deel van de schade zijn .
Is een reset voldoende om de besmetting ongedaan te maken?
op een efficiente manier een straf aan kan hangen (zoals bij een verkeersovertreding ofzo, waarbij een agent of een
camera je een bekeuring geeft).
Een goede internetprovider sluit je af als je een DDoS client hebt draaien, zie bijv dit topic:
https://www.security.nl/posting/767887/Ddos+aanvallen+en+wachtwoorden
Dan ben je al gestraft want dan doet je internet het niet meer. Dan kun je zelf bepalen of je de router vervangt of het
verder zonder internet doet... dergelijke providers leveren zelf ook routers die heden ten dage goed genoeg zijn voor
het gemiddelde gebruik, inclusief WiFi extenders. Waarom zou je dan een D-Link kopen?
Als ik een bluetooth weegschaal in de aanbieding koop bij de Aldi dan koop ik gewoon een weegschaal. Er staat niet op de doos dat ik daar dan automatisch systeembeheerdeer van word. Ook niet op het bonnetje. En ook niet in de wet. Dat kun je ook in redelijkheid niet van de brave burger verlangen, ondanks dat er in zijn "slimme" deurbel inmiddels meer computer zit dan in de gouwe ouwe ENIAC.
Strafrecht is bijvoorbeeld voor wie artikel 139c over afluisteren overtreedt. Zoals Google, Apple of Facebook. En de Chinezen en de Russen natuurlijk. Daar zitten wel allemaal onderuitkomertjes in want anders was het al lang toegepast geweest. Maar de geest van die wet is toch vrij duidelijk. En wordt met voeten getreden.
Neem nu hetzelfde idee en projecteer dit op een ISP.
Via de site https://spoofer.caida.org/recent_tests.php?as_include=&country_include=nld&no_block=1
Is direct te zien welke Nederlandse provider toestaat dat je met een ander, niet jouw, IPadres het Internet op gaat: je ip adres spooft.
Ddos aanvallers maken heel dankbaar gebruik van deze fout/nalatigheid in de configuratie bij de provider.
Op die manier kunnen miljoenen ipadressen al spoofend gegenereert worden voor ddos aanvallen.
Zodra de isp is geinformeerd is het geen onwetendheid meer, maar minstens nalatig, en in vetgelijk met de eerste cadus, strafbaar.
Is dit ook juridisch voldoende hard te maken?
Dan ontstaat dus de mogelihkheid dat deze isp's in NL en mogelijk de EU, dit even corrigeren.
Op de genoemde link is voldoende info, oa van MANRS, te vinden hoe dit goed is in te stellen.
Veel isp s doen dit al goed. Diverse heb ik benaderd en hebben het snel verbeterd. Echter er zijn er nog een procent of 5....
Hopelijk ksn Atnoud ons redden.. ;)
Stikstof is iets genuanceerder omdat dat een voornamelijk lokaal probleem is. Je moet je afvragen of de gevolgen van
stikstof uitstoot belangrijker zijn dan de gevolgen van het stilleggen van de bouw, maar dat is een andere zaak.
Bij klimaatdoelen weet je van te voren dat het verspild geld is wat alleen bedoeld is om je geweten te sussen. Aan het
klimaat gaat het niks veranderen.
Is een reset voldoende om de besmetting ongedaan te maken?
En dan is-ie binnen een paar seconden weer besmet, als-ie nog aan het internet hangt. Zinloze actie dus.
Los daarvan, 2016 EOL betekent in de praktijk dat een behoorlijk deel van deze routers stuk is gegaan ondertussen (BADCAPS) en vergeleken bij modern spul, traag is. Veel providers stellen nieuwe apparatuur beschikbaar, dus de mensen die deze routers nog gebruiken hebben al minstens 6 jaar geen nieuwe ISP gekozen en destijds niet de apparatuur van de ISP gebruikt. Er zullen er ongetwijfeld nog wel een paar aan het internet hangen, maar de aantallen zullen relatief laag zijn in Nederland.
Of je aansprakelijk bent? In theorie wel, in de praktijk zal er iets serieus misdaan moeten zijn vanaf jouw internetrouter voordat Justitie wil gaan bewijzen dat jij grof nalatig bent geweest. Ik zou me eerder druk maken over Brein die je een rekening gaat sturen voor illegale downloads van jouw IP met bewijslast. Dan kan het maar zo zijn dat ze een rechtszaak tegen je winnen tenzij jij kan aantonen dat je alles gedaan hebt om het te voorkomen maar je router was gehacked. Ook dat is zeldzaam, maar qua risico zie ik dat eerder gebeuren dan dat justitie je gaat vervolgen voor een mirai besmetting van je oude dlink.
Tussen de aspecten
- waartoe ben je verplicht,
- wat is moreel goed of verwerpelijk
- wat is het goede om te doen
- hoeveel last moet/mag je er als persoon (of als organisatie) van hebben
Vroeger hoefde je geen autogordel
- Het is ten slotte mijn eigen keuze of ik wel/niet risico neem.
De gevolgen van letselschade kwam op de schouders van de maatschappij.
Dat paste financieel en politiek niet meer.
Nu is de autogordel verplicht.
Trek je eigen analogie
Is een reset voldoende om de besmetting ongedaan te maken?
En dan is-ie binnen een paar seconden weer besmet, als-ie nog aan het internet hangt. Zinloze actie dus.
De kwetsbaarheid van deze modems is dat ze niet goed omgaan met bepaalde http-parameters. Enkel verbinding maken met internet betekent nog niet direct automatisch een besmetting.
Tips:
1) Alleen https sites bezoeken en vooraf doorlichten met virustotal
2) Modem alleen aan laten staan tijdens internetten
Dan valt het risico voor jezelf en anderen nog wel mee.
De beste oplosing is natuurlijk een nieuwe modem die deze kwetsbaarheid niet heeft.
Of een firewall voor zetten…
Beschermt ook meteen al je andere apparaten op het netwerk die mogelijks (al dan niet gekende/misbruikte) lekken bevatten iets meer.
Of een firewall voor zetten…
Beschermt ook meteen al je andere apparaten op het netwerk die mogelijks (al dan niet gekende/misbruikte) lekken bevatten iets meer.
Dat zal de snelheid waarmee de router besmet wordt wel beperken, maar in het geval van deze kwetsbaarheid is het
niet voldoende. In theorie kan een bezoek aan een website de router besmetten, omdat er in de website een link kan
staan die verwijst naar je router. De besmetting komt dan dus van je eigen PC en gaat niet langs de firewall.
Uiteraard voorkom je hiermee wel dat een portscanner je router vindt en van buitenaf aanvalt, maar vaak kan dat toch
alleen nadat je zelf ergens een vinkje "beheer vanaf internet toestaan" aangezet hebt, wat veel mensen niet doen. Of
ze hebben deze "router" in feite alleen als WiFi accesspoint in gebruik achter de router van hun provider, waardoor deze
aanval sowieso al niet werkt. Maar die "aanval van binnenuit" blijft mogelijk.
Wat in dat geval wel kan helpen is je router een ongebruikelijk IP adres geven. Als hij 192.168.0.1 of 192.168.1.1 is
dan loop je VEEL meer risico op dit soort exploits dan als ie pak em beet 172.26.229.1 is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
