De beveiliging van Corsairs Padlock USB-stick blijkt op eenvoudige wijze te kraken: het solderen van een weerstand tegen een van de chips binnenin de stick blijkt genoeg om de pincodebeveiliging te omzeilen. Dat meldde -wie anders- Tweakers gisteren. Nu is dit soort hardware-hacken volstrekt legaal. Deze keer dan ook een iets andere vraag: als je als koper van zo’n stick bent afgegaan op de belofte van beveiliging, heb je dan nu een juridische claim richting de fabrikant?
Wie iets koopt, heeft zekere verwachtingen van het product. Daar moet het product dan ook aan voldoen (art. 7:17 BW). Een belangrijke vraag daarbij is wat voor mededelingen de verkoper heeft gedaan: je mag er als consument in principe vanuit gaan dat die kloppen en dat het product dus kan wat de verkoper belooft.
De Corsair Padlock wordt aangeprezen door de fabrikant als:
Flash Padlock is the best way to secure your data while on the go. This prevents any unauthorized access or “Brute Force†attack to the data on Flash Padlock. Users can program in a PIN, much like they do for an ATM machine, to lock/unlock their data.
Dat klinkt veelbelovend: het systeem biedt de beste manier om je data te beveiligen en voorkomt elke ongeautoriseerde toegang tot de data. Maar noch de whitepaper noch de app note gaan hier dieper op in. Veel onderzoek kan ik dus niet doen. Ik kan als koper dan ook weinig anders dan het bedrijf op haar blauwe ogen geloven dat dit wel de beste manier zal zijn.
Als het product vervolgens die belofte niet nakomt, dan schendt de verkoper de overeenkomst en op grond daarvan mag ik deze ontbinden zodat ik mijn geld terugkrijg. Normaal moet ik de verkoper eerst de kans geven het product te vervangen of te repareren, maar dat heeft hier weinig zin natuurlijk.
Daar staat tegenover dat deze stick slechts 15 euro kost. Hoeveel beveiliging mag je daarvoor verwachten? Bij een fietsslot van 15 euro moet ik ook niet gek staan kijken als mijn fiets op zeker moment toch weg is. Ik mag niet verwachten dat mijn fiets met zo’n fietsslot tegen elke fietsendief bestand is, ik moet weten dat dat soort lui met accu-aangedreven slijptollen rondloopt en daarmee alles openkrijgt.
Maar gaat dat verhaal voor pinbeveiligingen op USB-sticks ook op? Lastige vraag. Wat weet de gemiddelde koper van USB-sticks over de mogelijkheden en onmogelijkheden van beveiliging?
Wat vinden jullie? Behoor ik mijn geld terug te krijgen nu deze stick zo slecht beveiligd blijkt, of had ik moeten weten dat je voor 15 euro weinig veiligheid koopt?
Arnoud
Dat is wel een lastige. Als een fabrikant echt iets claimt te kunnen zitten zij eigenlijk fout vind ik. Dan wordt het valse informatie. Als ze dat niet doen mag je inderdaad niet te veel verwachten.
Ik moet bij dit soort kwesties altijd denken aan de Kryptonite-case (http://www.brickmeetsbyte.com/index.php/site/entry/deanderekantvandekryptonitecase/)
(edit: link aanklikbaar gemaakt)
Ik vind dat de consument zelf maar moet weten wat hij of zij koopt. Dit kan natuurlijk door de verkoper expliciet te vragen. Aangezien er geen informatie over de beveiliging van de stick te vinden is, zou je de stick dus hoe dan ook al niet moeten kopen.
Iets ‘soortgelijks’: Ik vind het opzich wel fijn dat er een mededelingswet is, maar nog steeds is het de verantwoordelijkheid van de consument, of zij wel of geen ‘vendor-lockin’-producten kopen.
Wat bedoel je met ‘vendor-lockin’? Dat ze een proprietary, gesloten systeem gebruiken?
Eigenlijk valt mijn opmerking buiten dit onderwerp. Het beste voorbeeld van vendor lock-in wat ik zo kan bedenken is dat van Microsoft Word. Hun proprietary bestandsformaat werkt niet (volledig) op andere office producten.
Maar het hoeft niet persee betrekking te hebben op de computer. Een tijdje terug wilde ik een nieuw ‘kapje’ voor een fiets-achterlicht kopen. (alleen ’t rode kapje was kapot) Die dingen kosten normaal gesporken een paar euro en passen op -bijna- alle fietsen. Behalve een Gazelle fiets natuurlijk, daar moet een Gazelle-kapje op, en deze kost meer dan 10 euro.
Hoor -jij- je geld terug te krijgen? Nou nee, want je hebt een graad in de informatica, dus -jij- moet beter weten 🙂
Allereerst: Ik heb hier geen juridische gefundeerd antwoord op maar ik denk dat je redelijkerwijs, als consument, behoort te weten dat je voor ???15,00 euro geen state of the art beveiligingssysteem koopt op wat voor apparaat(goed) dan ook.
Ten tweede: Inderdaad heb je niet veel informatie over wat de fabrikant belooft. Maar op basis van de geciteerde regels kun je zeggen dat de hack van tweakers een vorm is van ???unauthorized access??? en dat daarmee de verwachting van de gebruiker niet wordt waargemaakt.
Maar als ik de white paper en de user manual lees wordt hier vooral de nadruk gelegd op software gerelateerde aanvallen zoals de genoemde ???brute force attack??? en in de white paper: ???Immune to host-originated attacks. Since no Flash Padlock communication channel exists when locked, it is immune to attacks originating from its host.???
Kan het bedrijf juridische gezien niet de link leggen tussen het zeer ruim interpreteerbare begrip ???unautorized access??? en de vormen zoals ze deze aanduiden in de rest van hun documentatie?
Hm, dat had ik nog niet eens gezien. Bedankt, Martijn! Inderdaad zou het bedrijf met zoiets kunnen komen. Men beveiligde tegen een specifiek scenario, en daarmee had je als klant moeten weten dat er niet noodzakelijkerwijs tegen andere situaties beveiligd is. Het kettinkje voor aan de voordeur beveiligt tegen mensen die zomaar binnen willen stappen, maar niet tegen een inbreker met een koevoet of stormram.
De vraag is dan nog wel hoe veel onderzoek je moet doen als klant. Moet je dit soort papers en handleidingen lezen alvorens het product te kopen?
Arnoud
Ik vind dat je van een consument niet mag verlangen dat zij voor de koop white papers of handleidingen om te onderzoeken of de verkoper een gekleurde bril op had toen het verkoop plaatje schreef. En er moet rekening worden gehouden met het ontbreken van technische kennis van de koper.
Ik acht een beroep op dwaling (6:226 BW, lid 1a or 1b) goed mogelijk. Hoewel de consument geen conclusie mag trekken aan de uitlating de ‘beste manier’ mag zij dit wel doen aan ‘any unauthorized access’.
Van de verkoper mag in alle redelijkheid en billijkheid worden verlangt dat deze in haar uitlatingen rekening houd met het meenemen en eventueel verlies van het product.
Het meenemen en eventueel verliezen van een dergelijk product valt m.i. onder normaal gebruik, zoals omschreven in 7:17 BW, zodat toch wel van de verkopende partij in alle redelijkheid en billijkheid verlangt mag worden dat zij in haar uitlatingen met een dergelijk senario rekening houd.
> Ik vind dat je van een consument niet mag verlangen dat zij voor de koop white > papers of handleidingen om te onderzoeken of de verkoper een gekleurde bril > op had toen het verkoop plaatje schreef.
Als je echt waarde hecht aan de beveiliging, dan lijkt mij het logisch dat je zelf de white papers lees, lid bent van een consumentenorganisatie, of gewoon reviews leest.
De consument is zelf verantwoordelijk voor wat hij koopt. (Ik denk dat ik een beetje een liberalist ben)
Ik ben het gedeeltelijk eens met Alex dat je niet van een consument mag verlangen dat zij voor de koop van een goed allerlei whitepapers en handleidingen doorleest. Als een consument een mobiele telefoon koopt en aan de verkoper vraagt of deze ook in de Verenigde Staten en het Midden Oosten werkt moet de consument kunnen vertouwen op het antwoord. Hiervoor moet hij geen handleidingen(of whitepapers) door zitten lezen om te kijken of bepaalde netwerken ondersteund worden. Maar in het geval van het zeer ruime begrip beveiliging verwacht ik wel dat de consument zelf wat meer onderzoek doet dan het standaard verhaaltje van een verkoper/website.
Met je woorden keuze wek je de indruk dat ik socialist zou zijn. Dat vind ik niet prettig. Bovendien wek je de indruk dat de verkoper niet verantwoordelijk is voor hij zelf verkoopt.
Liberalisme gaat uit van de individuele rechten en gelijke kansen. Vanuit het liberalisme kun je prima redeneren dat de koper recht heeft op goede informatie, zelfs wanneer hij daar zelf niet om vraagt. De verkoper heeft dan dus de plicht om die te geven.
Het liberalisme heeft in de recente geschiedenis een dominante aanwezigheid. En heeft derhalve zijn stempel gedrukt op de inhoud als de vorm van de wet zoals deze vandaag de dag er uit ziet.
De vraag is alleen: Wat mag je in alle redelijkheid van de verkoper verwachten en wat niet?
De prijs doet hier niet ter zake: de beste beveiliging is gratis (+/- “want” open source). Iedereen die zich ook maar tien minuten in beveiliging heeft verdiept, weet dat dat de data zelf altijd ge?ncrypt opgeslagen moet zijn. Alle systemen die data niet ge?ncrypt opslaan, zijn waardeloos.
Die redenering kan je ook omdraaien: je zou een usb-stick op de markt kunnen brengen van 512MB voor ??? 5 en daarop bijvoorbeeld TrueCrypt op voorinstalleren en rechtmatig claimen dat je de veiligste usb-stick ter wereld verkoopt.
De waarde die je moet hechten aan de veiligheidsclaim staat los van de prijs. Probleem is natuurlijk dat je wel even “usb security” in Google in moet tikken en een paar minuten (maar echt niet langer dan dat) moet lezen. Dat is de werkelijke kwestie.
@Anon2: maar hoe weet de gemiddelde consument (want dat is de maatstaf) of de data wel of niet ge?ncrypt opgeslagen wordt op de stick? De whitepaper lijkt dat te suggereren. Hoe ver reikt dan je onderzoeksplicht?
Arnoud
Als de documentatie (whitepaper) dat suggereert, moet je dat aannemen. (“Lijkt te suggereren” – niet dus? Wat is de formulering?) Gezond verstand zegt mij echter dat softwarematige encryptie hardwarematige encryptie overbodig maakt. In hoeverre mijn gezonde verstand representatief is voor de gemiddelde consument (en wat dat gemiddelde dan is) dat kan ik niet met zekerheid zeggen, maar ik werk met veel van die consumenten en ik denk dat de gemiddelde consument er best toe in staat is om google.com in te tikken in zijn browsert.
In dat geval beter een fingerprint usb stick aanschaffen.