Mijn NAS bevat een backdoor. Is de fabrikant aansprakelijk?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik zit met het volgende. Ik heb dus een D-Link NAS waar een backdoor account in aanwezig is. Nu begrijp ik heel goed dat software en andere producten beveiligingslekken bevatten. Maar een backdoor account voeg je als fabrikant toch echt zelf toe. Kan ik een partij als D-Link (en genoeg anderen helaas) hier aansprakelijk voor houden? Het liefst wil ik gewoon mijn geld terug of een product zonder backdoor.
Antwoord: Hier werd inderdaad recent voor gewaarschuwd: "Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service."
De hardcoded credentials waren geen bewuste feature, maar een slordigheid: dit is een typische Unix-constructie die alleen niet goed is geïmplementeerd. Maar uiteindelijk doet het er niet toe of het opzet, roekeloosheid, onoplettendheid of iets anders was. Die backdoor zit er, het product is daardoor niet veilig, wat kun je daarmee als consument?
Het simpele antwoord is natuurlijk: je mag van een product verwachten dat dit aan de redelijke verwachtingen voldoet. Dat wil niet zeggen dat het altijd 100% foutloos en backdoorloos is, je moet kijken hoe het product wordt gemarket, hoe eenvoudig de fout te exploiteren is en in hoeverre D-Link dit had moeten voorzien. Niet elke fout is een conformiteitsgebrek.
Toch denk ik dat je bij een enorme impact zoals hier je wel een goed verhaal hebt dat het product niet voldoet aan de redelijke verwachting. Zó makkelijk binnendringen, dat moet niet kunnen bij zo'n belangrijk product. Maar dit wordt al snel een moeilijke technische discussie, waar je niet makkelijk uitkomt als de wederpartij betaald wordt om het met je oneens te zijn.
In de nabije toekomst zullen we met wetten als de Cyber Resilience Act dit een stuk makkelijker aan kunnen pakken. Die stellen updates en een kwalitatief proces van security verplicht. Er is dan weinig nuance meer als er dan toch een securityfout doorheen glipt.
Als laatste blijf je natuurlijk met het aloude probleem in het consumentenrecht dat de winkel (die jij moet aanspreken en die wettelijk verplicht is jou je geld terug te geven, nu herstel geen optie meer is omdat de NASsen end-of-life zijn) simpelweg weigert dat te doen met meestal een excuus zoals "er zit maar 2 jaar garantie op" of "het lampje gaat aan dus hij is niet stuk". En daarna komt security jou eruit zetten want stemverheffing triggert Protocol Lastige Klant. Het kan dus een hele toer zijn om je recht te halen als consument, en de vraag is altijd of dat het waard is gezien de prijs van het ding.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
werkt en in veel mindere maten voor de burger. Dit kan ik ook terugvinden bij bank fraude.
werkt en in veel mindere maten voor de burger. Dit kan ik ook terugvinden bij bank fraude.
Duh.
Voor wie werken de wetgevers van de BV Nederland?
Hint: dat zijn niet de 17+ miljoen burgers van Nederland.
En de verkoper het niet meer wil vergoeden vanwegen oud/geen-garantie.
Dan heb je als consument nog een heel duidelijke weg om te volgen.
NOOIT MEER IETS VAN D-LINK kopen
Soms is het wel duidelijk een bewuste feature. In oude Synology nas systemen zat een backdoor waar het wachtwoord met de datum veranderde. Zoiets implementeer je nier per ongeluk. Misschien ooit bedoeld om klanten te helpen die zichzelf buiten gesloten hadden.
Maar zo'n backdoor houd je niet eeuwig geheim, dus dook hij uiteindelijk op op het internet en heeft Synology hem verwijderd. In DSM 3.2 was hij al niet meer aanwezig. In elk geval niet deze bekend geraakte backdoor. Over een nieuwe kun je alleen maar speculeren.
Het is een goedkope NAS, dus budget range... dus mag je er niet veel van verwachten.. Het is anders wanneer het een bijvoorbeeld 3000 euro kostende QNAP is met 8 10G ethernet poorten en 40 3.5" en 8 2.5" SSD cache interfaces...
werkt en in veel mindere maten voor de burger. Dit kan ik ook terugvinden bij bank fraude.
Anderzijds... durf jij met 5 anderen een stuk software te schrijven van zeg 100k regels waarbij je 100% zeker weet dat er geen enkele fout in zit? Kop-eraf als 't fout gaat zeg maar..? Dus ook als maatje Dave-de-webdesigner ergens wat opfkt, jouw nek op het blok...
De scheidslijn waar slordigheid opzet wordt is niet eenduidig te trekken, dus dat een rechter daar voorzichtig mee omgaat lijkt me niet verkeerd.
Romulus
Het is een goedkope NAS, dus budget range... dus mag je er niet veel van verwachten.. Het is anders wanneer het een bijvoorbeeld 3000 euro kostende QNAP is met 8 10G ethernet poorten en 40 3.5" en 8 2.5" SSD cache interfaces...
Dat is maar de vraag. Het gaat bij de QNAP van dit voorbeeld ook gewoon om een hogere waarde dus het is misschien redelijk te verwachten dat er meer support wordt geboden/er meer restwaarde in zit.
Dure producten hebben niet noodzakelijk langere (economische) levensduur.
dat je me niet helemaal begrepen hebt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
