Wanneer is een kopieerbeveiliging ‘doeltreffend’?

| AE 5848 | Auteursrecht, Hacken | 12 reacties

copyright-protect-pirates.pngEen lezer vroeg me:

In de auteurswet staat dat je een ‘doeltreffende’ kopieerbeveiliging niet mag kraken of omzeilen. Maar wanneer is een beveiliging nu doeltreffend?

Inderdaad, artikel 27a Auteurswet: doeltreffende technische voorzieningen omzeilen is onrechtmatig. De vraag is dan wat ‘doeltreffend’ is. Op het eerste gezicht is daar maar één fatsoenlijke invulling van en dat is “kan niet worden omzeild”, maar dan heb je dat wetsartikel niet nodig want zo’n voorziening kún je niet omzeilen. Dat kan dus niet de bedoeling zijn (want de wetgever is niet dom, is een juridisch axioma).

Het is dus mogelijk dat er een voorziening is die te omzeilen is en die we toch doeltreffend vinden. Wellicht de analogie dat een fietsslot te forceren is met de nodige moeite maar we dat toch een stevig slot vinden? Een politiekeurmerkslot is te openen, toch hechten verzekeraars waarde aan dat keurmerk. Dus enig doel treft zo’n slot wel.

In 2007 heeft een Finse rechter gezegd dat DeCSS niet doeltreffend (meer) was omdat die crack van Jon Johansen zo wijdverbreid was dat iedereen ‘m kon vinden. Dat vind ik wel een aardige: het uitbrengen van een crack is dan onrechtmatig, maar als deze wijd beschikbaar is dan niet meer. Te laat.

In hoger beroep werd dat teruggedraaid: het was niet de bedoeling van de wet dat een tool als DeCSS legaal zou zijn, dus is deze dat niet. Eh. Juist. Bovendien was er speciale software nodig, en dat bewijst dat de beveiliging normaal juist wel doeltreffend is. Alleen dat wat een gemiddelde consument “out of the box” en zonder hulpmiddelen zou kunnen omzeilen, is dan niet doeltreffend.

Poeh. Dat gaat me óók weer wat hard, en het introduceert een onmogelijke bewijslast: de tool moet voor de gemiddelde consument zó direct beschikbaar zijn dat het geen los hulpmiddel meer is. Iedere consument moet het in huis hebben dus. Maar dat zal niet snel gebeuren, dus dan zou het altijd een verboden hulpmiddel blijven? Wat voor tool zou dan nog wél legaal kunnen worden?

Arnoud

Afscherming online archieven omzeilen, mag dat?

| AE 2001 | Beveiliging, Hacken | 20 reacties

De afscherming van online archieven blijkt makkelijk te omzeilen, meldde Webwereld gisteren. Dit geldt voor bijvoorbeeld het Haags Gemeentearchief, maar ook voor de Financial Times en Elsevier. Zoekmachine-expert Henk van Ess ontdekte het lek en publiceerde de truc in een aantal filmpjes. De trucs blijken simpel:

Zo is met een bookmark-truc het online-ontoegankelijke deel van het Haagse Gemeentearchief toch gewoon in te zien. Voor het maximum van zes leesbare artikelen bij opinieweekblad Elsevier is het nog eenvoudiger. Het uitschakelen van JavaScript volstaat om meer artikelen te kunnen zien.

U voelt ‘m al aankomen: mag dat eigenlijk wel, zo’n beveiliging kraken en uitleggen hoe dat kan? Het gaat immers om beveiligingen wegens auteursrechten, en artikel 29a Auteurswet zegt dat het omzeilen van “doeltreffende technische voorzieningen” onrechtmatig is.

Bij de Elsevier-truc heb ik daar geen twijfel over: ja, dat mag. Het aan- of uitschakelen van Javascript is een doodnormale handeling. Ik kan dat moeilijk als omzeilen van een beveiliging zien. Ok, als je het doet specifiek om de Elsevier-‘beveiliging’ te omzeilen wordt het misschien iets anders, maar dan zou ik graag dat woord “doeltreffend” eens willen benadrukken in artikel 29a.

Er is bij de invoering van dit wetsartikel niet heel uitgebreid ingegaan op wanneer een beveiliging nu “doeltreffend” is. De minister liet het bij de opmerking dat het “uiteindelijk aan de rechter” is om dit te toetsen. Het proefschrift van Kamiel Koelman over auteursrecht en technische voorzieningen (PDF, 1,5MB, pagina 88 e.v.) gaat er iets dieper op in maar begint al meteen met “Het is echter onduidelijk wat ermee wordt bedoeld”.

Het verdrag waar de bepaling uit komt, eist dat de beveiliging “de beoogde bescherming bereikt”. Een cirkelredenering natuurlijk: een beveiliging is doeltreffend als hij beveiligt. Maar uit de literatuur blijkt dat als het doorbreken “geen bijzondere inspanning vergt” of als de ‘beveiliging’ slechts een “signalerend of waarschuwend effect” produceert, er geen sprake kan zijn van doorbreken.

In 2007 oordeelde een Finse rechter als eerste (en tot dusverre als enige) over het kraken van zo’n beveiliging. Uit het door Ars Technica vertaalde vonnis:

[S]ince a Norwegian hacker succeeded in circumventing CSS protection used in DVDs in 1999, end-users have been able to get with easy tens of similar circumventing software from the Internet even free of charge,” wrote the court. “Some operating systems come with this kind of software pre-installed…. CSS protection can no longer be held ‘effective’ as defined in law

Oftewel, als de kraak wijd en zijd bekend is en zelfs gewoon standaard met Linux meekomt, dan kan niet langer sprake zijn van het doorbreken van een ‘doeltreffende’ voorziening. Ik zou zeggen: deze ‘kraak’ is evenzo gebaseerd op standaardfunctionaliteit van webbrowsers en kan dus met de beste wil van de wereld niet onrechtmatig zijn.

In het filmpje over toegang tot het Haagse Gemeentearchief wordt aan de bookmark een code toegevoegd die links naar afbeeldingen herschrijft. Henk legt niet uit hoe dat werkt maar ik vermoed dat het een dieplink is naar de afbeeldingen die dus zelf niet beveiligd zijn. Dit is een bekende dommigheid: men beveiligt wel de webpagina waar de afbeelding op moet verschijnen maar niet de afbeelding zelf.

De redenering lijkt me dezelfde. Je kunt zelfs zeggen dat er geen beveiliging wordt doorbroken omdat de afbeeldingen zelf onbeveiligd online staan. Wie de URL weet van zo’n afbeelding, kan deze intypen en het plaatje zien. Hoe is dat onrechtmatig?

Arnoud

De (il)legaliteit van audio/video codecs

| AE 1629 | Aansprakelijkheid, Auteursrecht, Open source | 17 reacties

media-player-classic-video-audio-codec.pngOp het NedLinux forum mailde men mij over een interessante vraag:

De vraag is alleen (wat me bezig houdt), in hoevere is de codecs die niet officieel aangeschaft zijn illegaal ? Ik bedoel…. hoe is dat geregeld in Nederland ? Ik zie dat Frankrijk al erg moeilijk doet als je VLC gebruikt of Mplayer.

Een codec is een stuk software waarmee audio of video ge(de)codeerd kan worden. Wie alleen naar de radio luistert en DVD’tjes koopt in de winkel en die afspeelt op zijn DVD-speler, heeft daar niet zo veel mee te maken. Maar als je muziek en films gaat downloaden dan kom je allerlei rare formaten tegen en moet je de bijbehorende codecs gaan installeren. Sommige codecs zijn makkelijk te vinden, voor anderen moet je op vage Russische sites rondspeuren.

Maar mag dat nou zomaar? Dat is een moeilijke vraag, want er spelen een heleboel aspecten mee.

Auteursrecht op de codec

Ten eerste is er de vraag of die codec zelf (de DLL dus) wel legaal verspreid mag worden. Er zijn gevallen genoeg bekend van simpelweg gestolen codecs: mensen kopen software waar codecs bij zitten en zetten die gewoon op internet. Zo zijn er complete collecties met Windows Media A/V codecs, die echter gewoon uit de C:WindowsSystem directory van iemands Windows-PC afkomstig zijn. Ook enkele Quicktime-codecs zouden op die manier verkregen zijn.

Wordt een codec op die manier verspreid, dan is het niet toegestaan om die te downloaden en te gebruiken. De thuiskopie-uitzondering geldt niet voor software en dus ook niet voor codecs. Dat je toevallig ergens een Windows-licentie hebt liggen, verandert daar niets aan lijkt mij; die hoort bij jouw aangeschafte Windows en kun je niet zomaar van toepassing verklaren op alle Microsoft-software die je downloadt.

Octrooien op de algoritmen

Ten tweede implementeren veel codecs namelijk beschermde algoritmen. De octrooihouders hebben geen licenties gegeven voor die codecs, zodat vrije verspreiding niet zomaar mogelijk is. Voor persoonlijk niet-commercieel gebruik hoef je je geen zorgen te maken, octrooi-inbreuk is alleen mogelijk als je commercieel bezig bent.

Ik hoor nu een aantal mensen “jamaar softwarepatenten zijn niet geldig in Europa” denken. Nou is dat een heel grijs gebied, maar als we het hebben over audio/video-coderen zit je toch aan de witte kant van dat gebied. Het manipuleren van audiovisuele signalen is een vorm van technologie en valt daarmee onder de octrooiwetgeving. Er zijn dan ook genoeg octrooien op dit gebied, die in rechtszaken ook gewoon overeind blijven. Het verkopen van audio/video-afspeelsoftware of apparaatjes met zulke codecs erin betekent dus dat je een octrooilicentie moet kopen.

En ja, open source codecs hebben daar een probleem. Want de meeste van die octrooilicenties voorzien niet in de mogelijkheid dat de licentienemer de codec gaat doorleveren aan derden die ook weer kopieën van de codecs gaan maken. En de GPL heeft weer een bepaling dat die octrooilicentie daar wél toestemming voor moet geven, anders mag je de software in het geheel niet verspreiden. Een soort van Mexican standoff dus.

Kopieerbeperkingen omzeilen

Ten derde willen sommige codecs nog wel eens kopieerbeperkingen negeren. Het beroemdste voorbeeld is DeCSS, waarmee de beveiliging op DVD-inhoud omzeild kan worden. Nu is dat strikt gesproken geen codec, maar als je een codec voor DVD content wilt gebruiken, kom je niet ver zonder deze functionaliteit.

Het omzeilen of uitschakelen van “effectieve” kopieerbeveiligingen is verboden, net als het verspreiden van hulpmiddelen die daar speciaal voor gemaakt zijn. Volgens een Finse rechtbank zou DVD-beveiliging CSS niet effectief zijn omdat het zo eenvoudig te breken bleek. Daarom was DeCSS niet verboden.

Oh ja, dat verbod geldt zowel in Amerika (onder de DMCA) als bij ons in Europa onder de Auteursrechtenrichtlijn en artikel 29a Auteurswet.

Sommige codecs voor Windows Media (WMV/WMA) omzeilen de DRM-functies die Microsoft er in gebouwd heeft. Dat was in één geval in ieder geval aanleiding voor Microsoft om een rechtszaak te beginnen, maar een jaartje later trokken ze die weer in. Overigens zonder uit te leggen waarom, dus dat schiet niet erg op.

Er is dus niet een duidelijk ja/nee-antwoord te geven op deze vraag. Het hangt af van de codec, waar deze vandaan komt en welk algoritme er gebruikt wordt. Codecs die bv. bij Fluendo te koop zijn, mag je legaal gebruiken. Die zijn door het bedrijf zelf ontwikkeld, zodat je voor auteursrechtschendingen niet bang hoeft te zijn. Die codecs komen ook met een octrooilicentie en omzeilen geen kopieerbeveiligingen.

Ook de Ogg Vorbis- en Theora-codecs zijn legaal, om dezelfde redenen. Al heeft niemand ooit kunnen bewijzen dat deze technieken octrooivrij zijn.

Download je van voornoemde vage Russische site een gratis exemplaar van de commercieel verkochte DivX-codecs, dan zit je in het donkergrijs tot zwarte gedeelte van dat grijs gebied. En heb je waarschijnlijk ook een Trojan of drie op je PC.

Arnoud

Nieuw op Iusmentis: De (il)legaliteit van modchips

| AE 437 | Auteursrecht, Hacken, Iusmentis | Er zijn nog geen reacties

Modchips die kopieerbeveiligingen in een spelcomputer opheffen of omzeilen, zijn verboden in Nederland. Het is strafbaar om zulke chips te verspreiden of uit winstbejag in bezit te hebben. Met een zogeheten modchip kan de functionaliteit van spelcomputers (consoles) worden aangepast. In principe is het legaal om gekochte apparaten aan te passen, al zal in veel… Lees verder