Afscherming online archieven omzeilen, mag dat?

De afscherming van online archieven blijkt makkelijk te omzeilen, meldde Webwereld gisteren. Dit geldt voor bijvoorbeeld het Haags Gemeentearchief, maar ook voor de Financial Times en Elsevier. Zoekmachine-expert Henk van Ess ontdekte het lek en publiceerde de truc in een aantal filmpjes. De trucs blijken simpel:

Zo is met een bookmark-truc het online-ontoegankelijke deel van het Haagse Gemeentearchief toch gewoon in te zien. Voor het maximum van zes leesbare artikelen bij opinieweekblad Elsevier is het nog eenvoudiger. Het uitschakelen van JavaScript volstaat om meer artikelen te kunnen zien.

U voelt ‘m al aankomen: mag dat eigenlijk wel, zo’n beveiliging kraken en uitleggen hoe dat kan? Het gaat immers om beveiligingen wegens auteursrechten, en artikel 29a Auteurswet zegt dat het omzeilen van “doeltreffende technische voorzieningen” onrechtmatig is.

Bij de Elsevier-truc heb ik daar geen twijfel over: ja, dat mag. Het aan- of uitschakelen van Javascript is een doodnormale handeling. Ik kan dat moeilijk als omzeilen van een beveiliging zien. Ok, als je het doet specifiek om de Elsevier-‘beveiliging’ te omzeilen wordt het misschien iets anders, maar dan zou ik graag dat woord “doeltreffend” eens willen benadrukken in artikel 29a.

Er is bij de invoering van dit wetsartikel niet heel uitgebreid ingegaan op wanneer een beveiliging nu “doeltreffend” is. De minister liet het bij de opmerking dat het “uiteindelijk aan de rechter” is om dit te toetsen. Het proefschrift van Kamiel Koelman over auteursrecht en technische voorzieningen (PDF, 1,5MB, pagina 88 e.v.) gaat er iets dieper op in maar begint al meteen met “Het is echter onduidelijk wat ermee wordt bedoeld”.

Het verdrag waar de bepaling uit komt, eist dat de beveiliging “de beoogde bescherming bereikt”. Een cirkelredenering natuurlijk: een beveiliging is doeltreffend als hij beveiligt. Maar uit de literatuur blijkt dat als het doorbreken “geen bijzondere inspanning vergt” of als de ‘beveiliging’ slechts een “signalerend of waarschuwend effect” produceert, er geen sprake kan zijn van doorbreken.

In 2007 oordeelde een Finse rechter als eerste (en tot dusverre als enige) over het kraken van zo’n beveiliging. Uit het door Ars Technica vertaalde vonnis:

[S]ince a Norwegian hacker succeeded in circumventing CSS protection used in DVDs in 1999, end-users have been able to get with easy tens of similar circumventing software from the Internet even free of charge,” wrote the court. “Some operating systems come with this kind of software pre-installed…. CSS protection can no longer be held ‘effective’ as defined in law

Oftewel, als de kraak wijd en zijd bekend is en zelfs gewoon standaard met Linux meekomt, dan kan niet langer sprake zijn van het doorbreken van een ‘doeltreffende’ voorziening. Ik zou zeggen: deze ‘kraak’ is evenzo gebaseerd op standaardfunctionaliteit van webbrowsers en kan dus met de beste wil van de wereld niet onrechtmatig zijn.

In het filmpje over toegang tot het Haagse Gemeentearchief wordt aan de bookmark een code toegevoegd die links naar afbeeldingen herschrijft. Henk legt niet uit hoe dat werkt maar ik vermoed dat het een dieplink is naar de afbeeldingen die dus zelf niet beveiligd zijn. Dit is een bekende dommigheid: men beveiligt wel de webpagina waar de afbeelding op moet verschijnen maar niet de afbeelding zelf.

De redenering lijkt me dezelfde. Je kunt zelfs zeggen dat er geen beveiliging wordt doorbroken omdat de afbeeldingen zelf onbeveiligd online staan. Wie de URL weet van zo’n afbeelding, kan deze intypen en het plaatje zien. Hoe is dat onrechtmatig?

Arnoud

20 reacties

  1. Wie de URL weet van zo???n afbeelding, kan deze intypen en het plaatje zien. Hoe is dat onrechtmatig? Je zou zeggen dat het nooit onrechtmatig kan zijn om dingen in te zien of te ontvangen die gewoon vrij toegankelijk zijn. Aan de andere kant is het in nederland ook verboden om een ontvanger in de auto te hebben die, eveneens vrij te ontvangen, radarsignalen ontvangt en signaleert.

    Waarmee ik maar wil zeggen dat logica en wet niet altijd op het zelfde neerkomen.

  2. @Peter: zo algemeen kun je dat niet zeggen denk ik. Het is zeker mogelijk dat zenden, ontvangen of ander handelen van een burger onder een strafwet valt. Zo is met een richtmicrofoon andermans gesprek op straat afluisteren ook strafbaar. Er is geen recht op het ontvangen van signalen. (Art. 10 EVRM gaat over het ontvangen van inlichtingen oftewel informatie. En de HR heeft gezegd dat het ontvangen van radar geen ontvangst van informatie is.)

  3. Dan ben ik toch benieuwd naar de juridische definitie van informatie. Als ik na het ontvangen meer weet dan vooraf. In dit geval, er staat een snelheidscontrole. dan heb ik toch informatie ontvangen? Of niet?

  4. Ander voorbeeld… Op een deur staat “verboden voor onbevoegden” maar de deur is niet op slot dus iedereen kan dit bord gewoon negeren? Want het opendoen van een deur is gewoon een algemene handeling en dus geen belemmering… Ah, wacht. Het is een regel in het auteursrecht! Zijn er dan geen andere regels die dit toch tegen kunnen houden? (Zowel voor de deur als de beveiligde website.)

  5. Stel dat je een file wil beveiligen door een complexe URL, zeg een random reeks van 50 karakters. Is dat dan juridisch gezien minder veilig dan een username/password van misschien minder karakters?

    Ik denk dat de bovenstaande techniek steeds vaker toegepast zal worden. De URL is dan het wachtwoord. De gedachte is dat als je het document kunt downloaden, je ook de inhoud kan delen met anderen. De URL delen met anderen is dan net zo veilig.

    Maar, op de URL staat niet dat het een ‘sleutel’ is. Een wachtwoord impliceert ‘sleutel’. Is het ongeautoriseerd downloaden (bruteforcen, of op andere onrechtmatige wijze de URL achterhalen, bijvoorbeeld door mails van anderen te lezen, of uit logs van een proxyserver) van zo’n document dan niet strafbaar?

  6. Ik vind een argument dat een beveiliging niet meer doeltreffend is als een kraak wijdverspreid is nogal dubieus. Als een kraak maar snel genoeg populair wordt is het ineens niet meer onrechtmatig ? Dat lijkt me een ongewenste situatie.

    Mij lijkt me dat een beveiliging die evident bedoeld is als beveiliging op zichzelf al doeltreffend genoeg zou moeten zijn. Zelfs een popup met een waarschuwing zou al doeltreffend genoeg moeten zijn als beveiliging. Een algorimte met beveiligde keys dus zeker (ook al zijn die keys inmiddels kraakbaar met de juiste software)

  7. Het is ook dubieus, maar ik vind het ook niet juist als men kan ‘wegkomen’ met alleen een zinnetje ergens onderaan. In de echte wereld wordt gewerkt met sloten, deuren, hekken, prikkeldraad en dergelijke. Zou zoiets niet ook in de virtuele wereld moeten gelden?

  8. Je kunt zelfs zeggen dat er geen beveiliging wordt doorbroken omdat de afbeeldingen zelf onbeveiligd online staan. Wie de URL weet van zo???n afbeelding, kan deze intypen en het plaatje zien. Hoe is dat onrechtmatig?

    Typisch gevalletje van “security through obscurity” wat in de praktijk neerkomt op “geen beveiliging”.

  9. @Arnoud, als een bordje niet rechtsgeldig is omdat mensen deze niet kunnen zien, hoe zit het dan met een bordje “Betreden op eigen risico” op een electriciteits-huisje? Dan laat een monteur per ongeluk de deur open en een blinde man met suicidale geleidehond loopt er zo in en beleeft een spannend moment… Kon het bordje niet zien dus geen eigen risico, toch?

    Probleem is dat als je het excuus kunt gebruiken dat je een waarschuwing niet hebt gezien, dat je dan ook niet die aanwijzing hoeft op te volgen. Is leuk als ik weer een bon voor te hard rijden krijg want dan zeg ik gewoon dat ik het bord niet heb gezien omdat er op dat moment een vrachtwagen tussen mij en het bord reed…

    Dan kun je je afvragen of je zo niet ook copyright op foto’s kunt omzeilen simpelweg door een link naar een plaatje door te sturen naar iemand anders, waarop die ander deze vrij door kan kopieren omdat hij hem ontving zonder enige copyright-claims. En ja, wat mag je doen met een plaatje als je een link ernaar ontvangt zonder tekst? Links zoals deze of deze? Twee plaatjes, zomaar op een site die hier hard worden gelinkt. (Arnoud kent ze overigens al.) Aan de link kun je niet zien welke rechten eraan hangen. Overigens zul je op de bijbehorende site al helemaal niets interessants vinden omdat deze al een tijdje ongebruikt is.

    En als ik nou zeg dat de maker van die plaatjes ze in het “Public Domain” heeft gedoneerd, is dat dan iets waar je op mag vertrouwen? Je weet immers niet wie de echte maker is. Kijk, als ik zou zeggen dat ik ze heb gemaakt dan heeft die bewering ook waarde. Maar zolang ik niet toegeef dat ik ze heb gemaakt en op mijn site heb gezet dan zit je als bezoeker toch in een twijfelachtig gebied. Wat mogen anderen dan doen met deze plaatjes? Als er al enige afscherming op de site zit dan merk je daar dus niets van met die directe links. Dus de plaatjes dienen beter afgeschermd te worden of beter te worden voorzien van licenties die iemand eenvoudig moet kunnen lezen.

    Bij plaatjes kun je nog in de EXIF header extra informatie plaatsen, waaronder dus de licentie voor het plaatje. En er zijn ook truuks om te voorkomen dat directe links naar afbeeldingen niet werken. Maar veel mensen weten eigenlijk vrijwel niets van EXIF headers, laat staan dat ze deze kunnen lezen. En het blokkeren van directe links maakt een site weer iets langzamer en heeft soms vreemde bijwerkingen.

    Dus de vraag: mag iemand deze plaatjes gewoon elders publiceren? Of de links naar deze plaatjes? (En nee, niet op de site zelf zoeken naar mogelijke licentie-teksten! 🙂 )

  10. In de echte wereld wordt gewerkt met sloten, deuren, hekken, prikkeldraad en dergelijke. Zou zoiets niet ook in de virtuele wereld moeten gelden?

    Als er in de echte wereld alleen een bordje staat “Verboden toegang, WvS art 361” dan is dat toch ook voldoende. Als je daar aan voorbij gaat ben je toch ook in overtreding of zelfs strafbaar.

  11. Volgens mij zijn de meningen daarover verdeeld, hAl. Het bordje moet in ieder geval prominent in het zicht hangen, en waarschijnlijk zul je ook iets moeten doen om de grens herkenbaar te maken. Ik denk niet dat het genoeg is om bij een weiland dat grenst aan de openbare weg ??n bordje neer te zetten en verder niets. Ik zou op zijn minst een hekje met draad neerzetten en aan het draad het bordje hangen – en dan eerder elke 10 meter een bordje dan 1 bordje op de hoek.

  12. WvS art 361
    Die werkt hier niet voor, denk ik. 🙂

    Toch interessant. We kijken wel naar auteursrechten op het Internet, maar waarom kan in sommige gevallen niet het “Wetboek van Strafrecht” worden toegepast op bepaalde computer-overtredingen? Artikel 272 en verder, bijvoorbeeld. Gaat over het schenden van geheimplicht. Maar goed, dan valt het weer onder strafrecht wat door de officier van justitie wordt behandeld en die heeft vaak wel betere dingen te doen dan gezeur over een slecht-beveiligde site die opeens wordt “gekraakt”.

  13. Goed punt Wim. Je zou het ook via computervredebreuk kunnen doen. Ik ging via de Auteurswet omdat me dit de meest specifieke regeling leek, en een hoofdregel uit het recht is dat je altijd de specifiekste rechtsregel moet pakken.

    Bij computervredebreuk hoef je geen beveiliging te doorbreken sinds een paar jaar. Zolang je weet dat je op verboden terrein bent, ben je strafbaar. De vraag is dan: als je Javascript opzettelijk uitzet omdat je weet dat de toegangscontrole dan niet meer werkt, weet je dan dat je op verboden terrein gaat?

  14. Tja, bij Strafrecht moet het duidelijk zijn welke regels er gelden. Zo weet iedereen wel dat als er een bordje op een deur staat, je toch even het bordje moet bekijken. Idem voor een bordje bij een hek. Je weet ook dat je niet zomaar over een hek mag klimmen en wie dat wel doet loopt weer tegen het strafrecht aan. Het hek is er namelijk om een route af te dwingen naar het gebied achter het hek. Een simpel hek zou al voldoende zijn om mensen uit je achtertuin weg te houden, toch? Net als een pad door je tuin, eigenlijk. Als iemand door je tuin loopt dan weet hij ook dat hij de aangegeven route (het pad) moet volgen om bij je deur te komen. Als de postbode dwars door je vijver en viooltjes loopt om de post in de brievenbus te gooien dan kun je daar een klacht over indienen. Zo ook het Internet, eigenlijk. Alleen zijn de hekken en paden vervangen door URL’s. En mensen volgen de URL’s naar de gewenste plek. Maar als iemand nu een gat maakt door dit hek, zoals ik in mijn vorige post heb gedaan door naar twee plaatjes te linken op een andere site, en anderen lopen nu door dit gat heen simpelweg omdat het er is, kunnen die personen dan wel door het strafrecht veroordeeld worden?

    Simpel gesteld: ik heb een hek om een weiland gezet met bordjes erbij. Iemand haalt een bordje weg en maakt een gat in het hek. Vervolgens lopen mensen door dit gat het weiland op. Zijn die dan strafbaar? Idem met deeplinken naar plaatjes en artikelen online. Ik maak hier een link naar dit plaatje en bezoekers hier volgen de link. Is dat dan strafbaar?

    Dit is volgens mij nog een sterk grijs gebied dat per situatie beoordeeld moet worden. Maar strafrecht is tussen de staat en de beklaagde. Auteursrecht is tussen twee personen. En de staat kan wel besluiten dat de zaak te onbelangrijk is om tot verdere vervolging over te gaan. Tja, en dan? Ik denk dat dit de strafrecht-route minder efficient maakt dan de auteursrecht route.

  15. Stel dat je een file wil beveiligen door een complexe URL, zeg een random reeks van 50 karakters. Is dat dan juridisch gezien minder veilig dan een username/password van misschien minder karakters?

    Ik denk dat de bovenstaande techniek steeds vaker toegepast zal worden. De URL is dan het wachtwoord. De gedachte is dat als je het document kunt downloaden, je ook de inhoud kan delen met anderen. De URL delen met anderen is dan net zo veilig.

    Als je vervolgens in een webpagina zelf die URL publiceert is er niet echt sprake van een “geheim wachtwoord” meer he? De hoeveelheid links die via google, het bekijken van de source van een webpagina of het uitzetten van javascript op die manier te benaderen is, is ook zo groot dat je niet meer kan zeggen dat je niet wist dat deze manier van beveiligen niet doeltreffend is. Iedereen die een beetje op Internet rondsnuffelt komt op deze manier al op plekken waar de maker van website liever niet heeft dat je er komt.

    Een bordje achter het raam met “de sleutel van de voordeur ligt onder de bloempot naast het hekje” lijkt me geen afdoende beveiliging van je voordeur.

    Je zult per sessie een aparte URL moeten gaan genereren met een of andere rewrite rule en die dan weer in een of andere database op moeten slaan om uiteindelijk de juiste content naar de browser te sturen, als je om de (HTTP) authenticatie voor alle content heen wilt. Ik denk dat het dan efficienter gaat zijn om die authenticatie maar aan te laten, dat kost minder programmeren en processorkracht op de webserver.

  16. Sommige sites publiceren referrers van bezoekers van hun site. Als er dan ??n iemand van zo’n “geheime” URL per ongeluk naar zo’n site doorsurft, pikt Google de geheime URL weer van die referrer-pagina en is het hek van de dam. Ik zou er toch maar iets meer aan doen dan alleen de URL geheim houden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.