Hoe veilig moet een smartphone zijn?

pleister-patch-reparatie-fix.jpgEen lezer vroeg me:

Al enige jaren verbaas ik mij over het gebrek aan beveiligingsupdates/patches bij embedded systemen. Zo heb ik zelf een op Linux gebaseerde Nokia smartphone. Nu weet ik dat er regelmatig stabiliteits- en veiligheidslekken in Linux en de applicaties daar bovenop worden ontdekt, maar Nokia lijkt zich daar weinig van aan te trekken. Ik krijg namelijk nauwelijks firmware updates. Is een bedrijf niet verplicht om dergelijke updates te backporten als onderdeel van de aankoop van het produkt? Je mag immers verwachten dat het produkt naar behoren en veilig functioneert.

Dat is een goeie vraag, waar ik me ook regelmatig over verbaas. Inderdaad, een product moet aan de overeenkomst beantwoorden, en daarbij geldt dat

de koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.

Veiligheid lijkt me bij (embedded) software vandaag de dag wel een eigenschap die voor normaal gebruik nodig is. Je mag niet verwachten dat software foutvrij is, want iedereen weet dat dat niet kan voor de prijs van een smartphone, maar je mag wel verwachten dat fouten van tijd tot tijd worden gerepareerd lijkt me zo.

Niet iedere update of fix voor de originele software is automatisch ook passend voor de embedded software. Deze kan specifiek zijn voor de PC-versie in plaats van het embedded platform, hij kan dingen instabiel maken of eenvoudigweg te groot of complex zijn voor de embedded variant. Ik denk dus niet dat je mag verwachten dat elke security-update doorgevoerd zal worden vanuit de originele software. Maar waar ligt de grens?

Arnoud

33 reacties

  1. Als de updates nodig zijn om het apparaat conform de verwachtingen te houden, dan moeten ze gedurende de gehele economische levensduur gratis worden verstrekt.

    (Dit betekent niet dat elke update gedurende de komende 10 jaar gratis moet zijn; per update moet je kijken of die nodig is voor conformiteitsproblemen.)

  2. Het is natuurlijk niet zo, dat omdat je een linuxvariant draait op een smartphone, je ook gelijk “last” krijgt van dezelfde issues als een desktopversie.

    De linuxversies die over het algemeen op smartphones worden gezet zijn “gestript” te noemen. Dat kan omdat een smartphone over het algemeen ook niet over dezelfde hardware beschikt als een pc. Er zitten dus minder “toeters en bellen” op een linux smartphone. En de gouden regel is: Wat er niet op zit, kan ook niet stuk.

    Daarnaast is het vooralsnog niet makkelijk om de functionaliteit van een smartphone te hacken en voor je eigen gewin te gebruiken. Het enige voorbeeld dat ik me even snel kan herinneren is het gedoe met Apple’s iPhone en het root-wachtwoord dat overal hetzelfde was, maar dat was op te lossen door gebruikersinteractie, niet eens een softwareupdate.

    Het kan natuurlijk altijd gebeuren dat een stukje software in een smartphone lek is; maar ’t gebeurt niet vaak. Meestal wordt dat gelijk opgelost in een nieuwe softwareupdate die dan aangekondigd wordt. De vraag is: Hoe ver wil je gaan om te bewijzen dat je smartphonesoftware lek is? 🙂

    Maar om even terug te komen op je vraag: Inderdaad, een product moet aan de overeenkomst beantwoorden, en daarbij geldt dat

    de koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.

    Stel nu: Je telefoon wordt helemaal leeg gehacked, maar je foon behoudt al zijn functionaliteit, je mist geen data en “alles doet het nog”; In hoeverre is dan niet aan de overeenkomst beantwoord? Ergo: Zijn fabrikanten uberhaupt wel verplicht softwareupdates te leveren, als de apparaten het bij levering gewoon doen, conform afspraak?

  3. Volgens mij zijn (bijna?) al die recente vulnerabilities local privilege escalations, oftewel manieren voor een lokale gebruiker om zichzelf tot root te verheffen. Dat soort problemen zijn voor single-user devices zoals (neem ik aan) mobieltjes niet zo’n probleem, lijkt me…

    Overigens ben ik wel blij met mijn alternatieve Android roms, waar wel regelmatig de nieuwste kernel wordt meegebakken.

  4. Als de updates nodig zijn om het apparaat conform de verwachtingen te houden, dan moeten ze gedurende de gehele economische levensduur gratis worden verstrekt. (Dit betekent niet dat elke update gedurende de komende 10 jaar gratis moet zijn; per update moet je kijken of die nodig is voor conformiteitsproblemen.)

    Dit geldt dan zeker niet voor software die als los product verkocht wordt, zoals windows? Ik weet niet precies wat een economische levensduur is, maar een goed bewaarde CD-ROM kan misschien wel honderd jaar mee. Zou een fabrikant zo lang updates moeten blijven leveren?

    Wat betreft smartphones kan ik me vinden in de opmerkingen #3 en #4. Alleen, naarmate telefoons qua functionaliteit meer op PCs gaan lijken, zullen ze ook meer PC-achtige beveiliging moeten krijgen.

    Stel nu: Je telefoon wordt helemaal leeg gehacked, maar je foon behoudt al zijn functionaliteit, je mist geen data en ???alles doet het nog???; In hoeverre is dan niet aan de overeenkomst beantwoord?

    Je mag toch verwachten dat je telefoon jouw persoonlijke data beschermt tegen buitenstaanders? Als je telefoon dat niet (goed) doet, dan functioneert deze blijkbaar niet goed.

  5. Ik vind dit eigenlijk in het algemeen een interessante vraag. Dus ook voor software op de pc: hoe veilig mag je die nou verwachtten? Bij mijn weten is er nog nooit een software fabrikant juridisch verantwoordelijk gehouden voor grote security gaten, maar dat wordt wellicht toch eens tijd. Natuurlijk binnen alle redelijkheid (een fabrikant kan geen foutloze software leveren), maar als de fout waardoor veel schade is geleden echt groot was…….

    @Rene Lansdorp: Hoezo gebeurt het niet vaak dat er een stukje software in een smartphone lek is? Ik hoor de laatste maanden niet anders. Nokia’s probleem met applicaties die onterecht in het manufacturer domain kunnen komen, BlackBerry’s spyware, Android’s half lamme Linux kernel. Serieus, als Apple overal hetzelfde root wachtwoord had, dan kun je wachten op een stortvloed van soortgelijke fouten. En dan hebben we het nog niet over de manieren om uit de JAVA sandbox te breken.

    @Dirkjan Ochtman: Local privilege escalations zijn op smart phones wel degelijk van belang, door alle apps die men kan downloaden. Als die ineens met hogere rechten mogen draaien dan toegestaan, dan kun je zo een probleem hebben.

  6. @Corn?: economische levensduur van software is volgens mij niet hetzelfde als hoe lang de CD leesbaar is. Een computer heeft een economische levensduur van een jaar of vier, maar de onderdelen gaan (mits goed geconserveerd) ook best langer mee. Het gaat er meer om, hoe lang moet het bruikbaar zijn, hoe lang moet je ermee kunnen werken als je ‘m gewoon na aankoop in gebruik neemt.

  7. Dit doet mij denken aan TomTom, waar je dus moet betalen voor nieuwere updates. Bij aanschaf krijg je een abonnement op updates die je daarna moet verlengen. Een dergelijk systeem zou natuurlijk ook kunnen bij Smartphones, hoewel dat misschien ook via je provider te regelen zou moeten zijn.

    Maar bij TomTom heb ik vooral gemerkt hoe de updates voor de TomTom hardware soms te groot worden voor het apparaat zelf. Zonder extra SD-kaart kan de ruimte op het apparaat best te weinig zijn. Dit geldt vast ook voor mobiele telefoons. En voor het updaten van mijn TomTom moet ik deze aan mijn computer aansluiten. Bij mijn mobiele telefoon eigenlijk ook.

    Maar ik besef ook dat beide apparaten vaak binnen een jaar al verouderd zijn en er veel gebruikers zijn die iedere twee jaar wel een nieuw toestel aanschaffen. Vooral mobiele telefoons zijn een populair mode-verschijnsel en het feit dat je ze “gratis kunt krijgen” bij een nieuw abonnement (met nummerbehoud) maakt updates na die tijd eigenlijk nauwelijks nog de moeite waard. Als je zo iedere twee jaar een nieuw toestel kunt krijgen, moet je dan nog wel blijven rekenen op (gratis) updates voor je oude toestel?

    Wat ik verder opmerk is dat mobiltjes steeds meer in kleine PC’s veranderen en dat ik steeds meer gebruikers merk die dit helemaal niet willen! Mijn moeder wil bijvoorbeeld alleen een mobieltje om mee te bellen. Nog niet eens om mee te SMS’en. En haar agenda houdt ze ook “analoog” bij. (Met pen en papier in een agenda!) Zij heeft geeneens de behoefte aan een zo’n complex apparaat. Maar vind maar eens zo’n eenvoudige telefoon voor een mooie, lage prijs en goedkoop abonnement. Best lastig. (Vooral omdat mijn moeder prepaid belt, en misschien 40 Euro per jaar aan mobiele kosten heeft.)

  8. @Fabian

    Als je een PC koopt, zit daar ook geen beveiliging bij vanuit de OS leverancier (normaal gesproken). Dus moet je er een losse scanner bij kopen waarmee je je systeem veilig houdt. Dit gaat natuurlijk ook op voor smartphones. Daarom vind ik dat de leverancier (lees: fabrikant) van de smartphones gehouden is een product te leveren dat functioneert zoals is afgesproken.

    Pas op het moment namelijk dat de gebruiker er besluit iets anders mee te doen (bijvoorbeeld; jailbreaks toepassen, zelf apps die op het internet gevonden zijn signen (i.g.v. Symbian)) dan de fabrikant bedoeld heeft (netjes apps downloaden uit de store) begint ook de verantwoordelijkheid van de klant m.i.

    Apple heeft dat probleem met identiek root-ww ook gehad, zoek maar even op SSH-d en Alpine, http://tweakers.net/nieuws/63473/nederlandse-tiener-kaapt-iphones-via-ssh.html. Apple’s eerste reactie was, wijzig dat ww even, kunnen gebruikers zelf. Apple’s tweede reactie was een nieuwe softwareupgrade.

    @Corn? Ik weet niet of je er van uit mag gaan dat de telefoon je persoonlijke data beschermt. Dat wordt namelijk door geen enkele leverancier beloofd. Net als dat Microsoft niet belooft dat je outlook adresboek veilig is, of dat de staat niet belooft dat je niet gerold wordt op straat. Dat zijn dingen waar je, indien je daar bang voor bent, zelf maatregelen voor moet treffen. m.i. is dat voor smartphones, iBerrys, PC’s, Blu-rayspelers, mediacenterdingen etc. niet anders.

    @Arnoud Volgens mij, als je naar “de stand der dingen kijkt”, zou de economische levensduur max. 2 jaar zijn, nl. tot je een nieuwe mag uitzoeken. En dat doet iedereen ook braaf..Op je nieuwe telefoon zit ook een nieuwere versie software vaak 🙂

  9. Rene, tegenwoordig komt Microsoft ook met zijn eigen virusscanner en firewall.

    De vraag (geldt voor zowel computers als telefoons) is in hoeverre mag de gebruiker verwachten dat het systeem de priv?-informatie die op het systeem staat ook beschermt tegen “onrechtmatige toegang”? Is Apple aansprakelijk als een iPhone applicatie ongevraagd jouw priv?-contacten aan een adressenlijst toevoegt?

    Bij brandkasten en kluizen zijn er normen om de mate van “inbraakbestendigheid” te meten; eigenlijk zou er ook zoiets moeten zijn voor computersystemen: hoeveel moeite kost het om bij “beschermde gegevens” te komen?

  10. Uit onderzoek van C’t kwam naar voren dat de gemiddelde levensduur van nieuwe computers een jaar of zes is en voor tweedehandse computers was dat een jaar of drie.

    Als de updates nodig zijn om het apparaat conform de verwachtingen te houden, dan moeten ze gedurende de gehele economische levensduur gratis worden verstrekt.

    Nog wel langer. De gemiddelde levensduur van een product is slechts een middel aan de hand waarvan je mede kunt bepalen of het product non-conform is, immers op een gegeven moment is het product wel versleten. Software blijft echter altijd goed. Het moment waarop een veiligheidslek wordt ontdekt kan dat niet goed gepraat worden door te wijzen op de feitelijk levensduur van het product op dat moment. Als de software een bepaald veiligheidslek heeft, maar het product zelf is technisch nog in orde dan beantwoord het product niet aan het conformiteitsvereisten.

  11. @Alex: waren dat laptops of desktopcomputers? Ik zou verwachten dat een laptop sneller slijt, immers daar wordt meer mee gesjouwd en zo.

    En zou je bij software niet kunnen zeggen dat de levensduur verlopen is als deze achterhaald is omdat de stand der techniek zo veel verder is nu? Mag je verwachten dat Doom nog werkt op je huidige PC? Kun je het Microsoft verwijten dat Internet Explorer 3 of Apache 0.96 kwetsbaar is voor een bug van nu?

  12. MathFox,

    Ik vind dat een moeilijke; Ja, Microsoft komt met zijn eigen virusscanner en firewall. Maar die moet je wel na installatie zelf downloaden en installeren (security essentials). De reden dat ze er een “standaard” windows firewall in hebben gezet bij installatie is niet omdat ze vonden dat hun klanten recht hadden op veiligheid, nee, omdat ze een tijd lang slechte publiciteit hebben gekregen. Nog steeds is de Microsoft oplossing (windows Firewall) een grappig ding, maar niet veilig. Alles wat vanaf de PC naar buiten gaat wordt niet gescand, wat betekent dat als je een programma vanaf een stick installeert en die begint je pc te dumpen naar internet, niets hem tegenhoudt. Het is een gevoel van veiligheid.

    De vraag die je stelt is inderdaad lastig te beantwoorden. In hoeverre mag je verwachten dat de informatie beschermd is? Ik denk dat je dat niet mag verwachten. Zoals je ook niet mag verwachten dat een fabrikant van auto’s gietijzeren deuren op je auto hangt, omdat een of andere bende heeft verzonnen dat plaatstaal wel een heel mooi oppervlak is om een betonschaar in te zetten en zo je alarm uit te zetten. (Zie Navigatiediefstallen in de media). Je kunt gewoon niet alles garanderen.

    Een brandkast of kluis is ontworpen en gemaakt om dingen veilig in op te slaan, dat is by design. Een smartphone is ontworpen om mee te bellen en nog wat andere dingetjes te doen met sociale media. Dat doet hij dan ook. Hij is niet ontworpen om je data veilig te houden. Ik vind je vergelijking dan ook enigzins mank gaan.

  13. Levensduur van 6 jaar? Kan wel kloppen. Op mijn werk gebruik ik nog een computer die 5 jaar geleden nog redelijk nieuw was. Thuis gebruik ik ook nog een oude computer die in in 2001 heb aangeschaft en die gewoon onverwoestbaar lijkt te zijn die ik vooral gebruik als ik thuis werk om te VPN-verbinden met werk. (Dan verlies ik de verbinding niet als ik mijn normale PC moet resetten!) Ik heb daarnaast ook nog een laptop uit 2001 die helaas dusdanig traag is dat hij niet erg bruikbaar meer is. Die heb ik wel intensief gebruikt voor 3 jaar en daarna is hij eigenlijk een museumstuk geworden.

    Desondanks is Windows XP, die in 2002 al uit kwam, nog steeds massaal in gebruik en het lijkt er niet op dat er snel afscheid van wordt genomen in het bedrijfsleven. Zo zijn er ook veel Windows 2003 web services aktief over de gehele wereld die nu eigenlijk ook al aan vervanging toe zouden zijn. Het is iets waar ik als software engineer wel een beetje van baal, want met de nieuwe Windows functionaliteit kan ik veel mooiere software maken, mits de gebruiker maar iets beters gebruikt dan XP. Helaas, ik heb teveel gebruikers met XP en dat zal zeker nog drie jaar blijven duren. Mijn ervaring is dat IT-mensen vaak snel overstappen op nieuwe systemen en daarbij hun oude systeem als backup een tijdje bewaren. Maar er zijn veel niet-IT mensen die een computer gebruiken voor hun dagelijkse werk en gewoon geen zin hebben om iedere drie jaar of zo nieuwe hardware te kopen. Gelukkig kom ik al een jaar of twee geen gebruikers meer tegen die Windows ME gebruiken. 🙂

  14. Het ging om een desktop computer. Sjouwen van een laptop leid m.i. niet tot extra slijtage of het moet gaan om eigen schuld. De monitor is wel kwetsbaarder vanwege het scharnier.

    Het lijkt mij dat je in het algemeen niet kunt stellen dat software een levensduur heeft die kan verlopen. Je mag verwachten dat Doom werkt op je huidige PC, mits aan alle systeem eisen wordt voldaan.

    Kun je het Microsoft verwijten dat Internet Explorer 3 of Apache 0.96 kwetsbaar is voor een bug van nu?

    Dat lijkt mij een onjuiste weergave van de feitelijke situatie. De software is toen gemaakt en die bug zat er toen dus ook al in.

  15. Rene, als je stelt dat je niet mag verwachten dat gegevens op een PC beveiligd zijn tegen onbevoegde toegang, betekent dat dat verwerking van persoonsgegevens op PC’s verboden is. Dat geldt ook voor adressenlijsten als die in emailprogramma’s of telefoonnummerlijsten in een smartphone.

    Of zo ongeveer de hele zakenwereld in Nederland is in overtreding van de WBP, of het besturingssysteem van een PC levert enige effectieve beveiliging tegen onbevoegde toegang tot gegevens… (Of beide :-/, kies zelf maar.)

  16. Volgens mij is bij een laptop het toetsenbord vaak het gevoeligste onderdeel. Deze zijn vaak iets compacter gebouwd en vormen naast het scherm een van de grootste onderdelen aan de laptop. Naast het scherm en het toetsenbord kunnen de aansluitingen van de diverse stekkers het ook wel eens begeven. Dit wegens uitputting van het materiaal omdat er steeds weer stekkertjes in en uit gaan. Voeding, netwerk-kabel, vaak ook de USB poort. Die worden continue onder druk gezet door het vele gebruik. (En ik verspil meer netwerk-kabel stekkertjes aan mijn laptop dan mijn normale PC, maar gelukkig zijn die eenvoudig te vervangen.) Verder heb ik gemerkt dat de batterij van een laptop het meest gevoelige onderdeel is na langdurig gebruik. Als er 1 onderdeel is dat je na twee jaar moet vervangen dan is dat in 75% van alle gevallen de batterij. Alleen hebben gebruikers hier nauwelijks last van omdat velen hun laptop gewoon aansluiten aan de stroom.

  17. MathFox,

    Dat is niet helemaal waar. Het impliceert dat verwerking van gegevens op PC’s niet mag gebeuren zonder extra maatregelen die dit tegen moeten gaan. Vandaar dat bedrijven aanvullend echte firewalls, proxies, encryptie, niet routeerbare netwerken etc. gebruiken.

    Voorts is het zo dat er extra aanvullende maatregelen genomen worden door bedrijven om ervoor te zorgen dat informatieuitwisseling met smartphones (email, contacts, etc), waar het klantgegevens betreft bijv. via eigen corporate APN’s worden verzonden.

    Volgens mij is het trouwens pas WBP waardig als de (jouw) informatie daadwerkelijk verwerkt wordt door een bedrijf in een proces en centraal opgeslagen wordt.

    Maar dat zou Arnoud beter moeten weten dan ik.. 🙂

  18. Arnoud,

    Heb even de moeite genomen terug te keren naar het topic.. Sorry voor de distractie. Er staat inderdaad letterlijk dat het product “aan de overeenkomst moet beantwoorden”. Dat impliceert toch dat er een overeenkomst is? Dat er iets op papier moet staat over wat de verwachtingen moeten zijn? En waar beide partijen d.m.v een bon of contract of licentie mee akkoord gaan?

    Waarom dan een economische levensduur hanteren? En waarom een product na 6 jaar tegen een andere meetlat leggen? Zeker met technologische ontwikkelingen is dat niet te doen.

    Volgens mij is de “overeenkomst” dan ook: Je koopt nu een product, dat op het moment nu voor een bepaalde tijd blijft werken (garantie), mits gebruiker er niet ingrijpend aan sleutelt zodat de werking van het apparaat ook blijft zoals het nu uitgeleverd is. Niet meer en niet minder.

    Ik moet er niet aan denken dat ik mijn product moet garanderen voor de wereld van over 4 jaar. Ik kan mijn onderdelen zo inkopen dat ik een garantietermijn kan leveren, en als je goed met mijn product omgaat zal ie’t over een jaar of 6 ook nog wel doen. Maar als ik slim ben dan stop ik de software onder een EULA, en dan hoef ik me daar geen zorgen meer om te maken, tenzij ’t imagoschade op gaat leveren, of ik mijn klanten terwille wil zijn met nieuwe functionaliteit.

    Zolang dat de werking van het product zoals het toen is uitgeleverd niet beinvloedt, heb ik toch verder helemaal nul komma nul verplichtingen?

  19. Ren?: die “overeenkomst” is de koopovereenkomst waarbij een consument bij jou een product aanschaft. Die hoeft niet op papier te staan, zolang maar duidelijk is dat hij een product krijgt en jij een prijs.

    Met dat “aan de overeenkomst beantwoorden” bedoelt de wet dat het product doet wat je redelijkerwijs ervan mag verwachten. Het product hoeft niet perfect te zijn, zeker niet. Een goedkoop waterpistool bij de Action zal snel stuk gaan, dat weet je en dat moet je dus verwachten. Een duur waterpistool zal langer meegaan, maar ook daar kunnen losse onderdeeltjes van plastic aan zitten die snel kunnen afbreken als je iets te hard eraan trekt. Ook dat moet je verwachten en ook dat is dus geen probleem van de winkelier.

    Koop je een paintballgun van 300 euro, dan mag je verwachten dat de trekker niet zomaar kapot gaat. Gebeurt dat toch, dan kun je w?l eisen dat men dit gratis repareert of je een nieuwe geeft.

  20. @Arnoud, nou heb ik vorig jaar voor ruim EUR 5.000 een nieuwe PC gekocht. Een beetje desktop kun je al voor een tiende van die prijs kopen maar ik deed eens gek en kocht het nieuwste en krachtigste dat er op dat moment was. 🙂 Ja, ik ben gestoord maar goed. Daar gaat het niet om. 🙂 Kan ik nu verwachten dat die hardware veel langer mee moet kunnen gaan dan een apparaat van maar EUR 500? Of is het voor deze PC ook gewoon einde garantie na drie jaar en einde levensloop na 6 jaar?

    Ofwel, bepaalt de prijs van een product echt de kwaliteit die je er van mag verwachten?

  21. @Rene (#9 en #14): Je hebt gelijk dat men in de huidige situatie geen beveiliging belooft bij een product en dat je daarvoor allelei extra spul als firewalls, virusscanners, etc. dient te gebruiken. Alleen ik heb daar grote moeite mee. De beveiligingsindustrie draait er lekker op, maar al die producten verschaffen niet automagisch veiligheid. MicroSoft besluit hun mail client zo aan te passen dat deze automatisch allerlei scripts in mails uitvoerd, of hetzelfde verhaal in Office documenten of webpagina’s. Daar gaat geen Firewall, Anitvirus, proxy of encryptie je tegen beschermen. Natuurlijk het gebruik van deze tools is vaak aan te raden, maar ik vind dat software makers ook een soort van standaard niveau aan beveiliging mogen bieden. Als je invoervelden nu nog tot een directe buffer overflow leiden of de input niet gevalideerd wordt, sorry hoor maar dan heb je als producent toch echt zitten slapen.

    Daarnaast kun je het ook nog los trekken van veiligheid in de security betekenis. Heeft er ooit een software fabrikant verantwoordlijkheid genomen voor software bugs die tot economische schade hebben geleid? De gehele software industrie heeft zich in een bizarre positie weten te manouvreren waarbij je bijvoorbeeld een database zou kunnen leveren die iedere maand alle data weggooit, maar doordat iedereen “bugs” is gaan accepteren zij nooit de gevolgen hoeven te dragen van dit soort fouten.

  22. @Fabian,

    Dat is waar, daarom vertrouw ik niet op leveranciers tenzij ik speciale voorwaarden beding, en heb ik al helemaal geen verwachting van veiligheid en beveiliging door fabrikanten van producten die niets met specifieke informatiebeveiliging doen.

    Natuurlijk is het zo dat het heel mooi en fijn zou zijn als fabrikanten wat meer verantwoordelijkheid zouden nemen voor dat soort zaken, maar aan de andere kant zijn wij al sinds de jaren 90 door diezelfde softwarebranche voorzien van EULA’s en andere licentievormen waarin gewoon staat: “If it breaks, or if you break it, you own both halves.”

    Met andere woorden: de enige die aansprakelijk en verantwoordelijk is voor het gebruik van de software, is de klant. De werking is gegarandeerd door fabrikant, tot het moment dat het ermee ophoudt.

  23. Ik denk dat de hoofdvraag is hoe lang een leverancier gratis updates moet blijven leveren van eerder geleverde software. Daarbij spelen zowel de belangen van de klant, die een tijd probleemloos een product wil kunnen gebruiken, als die van de leverancier, die niet tot in lengte van dagen gedwongen wil zijn om kosten te maken aan updates.

    Het probleem is vooral om een criterium te vinden dat goed schaalt naar verschillende situaties. Een paar pogingen:

    Bij software die samen met bepaalde hardware geleverd wordt, zoals het OS van een smartphone, zou de zelfde duur genomen kunnen worden waarbij fysiek functioneren ook nog gegarandeerd wordt. Voor ‘losse’ software kan dit natuurlijk niet, omdat software in theorie onbeperkt mee gaat.

    Je zou als criterium kunnen nemen of de software inmiddels is ingehaald door de stand van de techniek. Hoewel de software na die periode nog net zo functioneert als bij aankoop, zou je kunnen zeggen dat de software op dat punt geen economische waarde meer heeft. Het probleem met dit criterium is dat het afhankelijk is van de snelheid van technologische ontwikkelingen. Windows 95/98/ME zijn inmiddels achterhaald, maar windows 2000 voldoet voor een aantal doeleinden nog prima. Je zou dus kunnen zeggen dat desktop-besturingssystemen tegenwoordig zo’n 10 jaar mee gaan. Dat is meer dan vroeger, en waarschijnlijk zal de levensduur in de toekomst alleen nog maar groeien, naarmate de technologie stabiliseert. Dat zadelt fabrikanten op met het probleem van groeiende update-kosten die niet gedekt worden door de dalende inkomsten uit verkoop van nieuwe exemplaren.

    Tegenover de lange levensduur van software staat de eigenschap dat het aantal fouten in elk software-pakket in theorie eindig is. Je zou dus in theorie de verplichting tot updates kunnen laten lopen tot het punt waarop alle fouten zijn opgelost. In de praktijk zijn er alleen zoveel fouten dat dit punt nooit bereikt zal worden.

    Uiteindelijk is het waarschijnlijk economisch noodzakelijk om geen garanties op software te hebben. Je koopt of kopieert(*) het ‘as is’, en updates mag je alleen eisen als die expliciet door de aanbiedende partij beloofd zijn. In de praktijk zie je dan ook dat zo’n ‘as is’ clausule bij bijna alle software aanwezig is.

    (*) Met kopi?ren doel ik met name op freeware, open source en dergelijke. Op illegale kopie?n heb je natuurlijk ook geen garantie.

  24. Bij software die samen met bepaalde hardware geleverd wordt, zoals het OS van een smartphone, zou de zelfde duur genomen kunnen worden waarbij fysiek functioneren ook nog gegarandeerd wordt.

    Dat kan, maar de vraag is hoe je er juridisch opkomt. Wanneer de smartphone non-conform is dan heeft de koper er van in beginsel recht op kosteloos herstel en/of vervanging. Voor dit standpunt is de vraag waarom ernstige veiligheidslekken die wanneer ze binnen bepaalde periode de smartphone non-conform maken, maar wanneer ze daarbuiten worden ontdekt diezelfde smartphone daar niet non-conform door wordt, terwijl het feitelijk om het zelfde veiligheidslek en broncode gaat?

    Het probleem met dit criterium is dat het afhankelijk is van de snelheid van technologische ontwikkelingen.

    Volgens mij is dat juridisch geen geen geldig argument is. Verkoper kunnen hun aansprakelijkheid ook niet ontlopen door te wijzen dat consumenten hun (desktop) computer gemiddeld vervangen binnen drie jaar. Zo’n ding kan gemiddeld zes jaar meegaan, dus dat mag je verwachten.

  25. @Arnoud:

    Veiligheid lijkt me bij (embedded) software vandaag de dag wel een eigenschap die voor normaal gebruik nodig is. Je mag niet verwachten dat software foutvrij is, want iedereen weet dat dat niet kan voor de prijs van een smartphone, maar je mag wel verwachten dat fouten van tijd tot tijd worden gerepareerd lijkt me zo.
    Vind ik een interessante manier om dit onder de conformiteitsregeling te schuiven! Het recht op gratis herstel impliceert het recht op gratis veiligheidsupdates.

    Ik denk dat je het zo moet formuleren dat je wel mag verwachten dat software geen veilighedslekken heeft. Dus (tot op zekere hoogte) wel foutvrij is. Ontdekte veiligheidslekken zijn dan ontdekte gebreken waarvan herstel door middel van een update kan worden gevorderd.

    Zou je daarentegen niet mogen verwachten dat software geen (nog te ontdekken) veiligheidslekken bevat, dan wordt de zaak niet non-conform door het latere ontdekken van het veiligheidslek, en dan kun je een update niet vorderen op grond van het recht op herstel.

    @Alex:

    Voor dit standpunt is de vraag waarom ernstige veiligheidslekken die wanneer ze binnen bepaalde periode de smartphone non-conform maken, maar wanneer ze daarbuiten worden ontdekt diezelfde smartphone daar niet non-conform door wordt, terwijl het feitelijk om het zelfde veiligheidslek en broncode gaat?
    Daar heb je wel een punt. Het veiligheidslek is er altijd al geweest. “Geen veiligheidslek dat binnen x jaar wordt ontdekt” is geen eigenschap van de zaak.

    Al met al lijkt het me toch wat moeilijk houdbaar dat veiligheidsupdates op basis van de conformiteitsregeling kunnen worden ge?ist. Uiteindelijk is het toch zo dat de afwezigheid van (nog te ontdekken) veiligheidslekken realistisch gesproken niet kan worden verwacht. Bovendien gaat een eeuwigdurende plicht voor de verkoper om voor veiligheidsupdates te zorgen wat ver (al zou die na verloop van tijd wellicht een beroep op art. 6:248 lid 2 BW kunnen doen).

  26. > beveiligingsupdates/patches bij embedded systemen. >[…] > maar je mag wel verwachten dat fouten van tijd tot tijd worden gerepareerd lijkt me zo.

    Interessant maar laten we beginnen met Wat zijn embedded systemen ? De ICT-generatie denkt wellicht aan smart phones en iPads maar in essentie is die product familie veel groter en ook al veel ouder. In de productfamilie embedded systemen zien we: je TV, je DVD-speler, je videorecorder, je autoradio, je calculator, je horloge, de kamerthermostaat, je magnetron, je koffieautomaat, je auto-ontsteking, veel speelgoed, je fietscomputer etc etc….

    En van al die producten heb je nog nimmer 1 sw update gezien. Je beoordeelt het product bij aanschaf en als het tijdens het gebruik dan ongeveer dat doet dan werkt het product eigenlijk zoals voor de totstandkoming van de koopovereenkomst is aangegeven.

    Updaten kan ook technisch niet altijd. De software in de Senseo zit er bv hard ingebakken en de Senseo heeft geen stuk flash-memory met USB-interface.

    Kortom, er lijkt me geen reden om -voor de gehele productfamilie embedded systemen- te gaan verlangen dat men standaard zorgt voor update regelingen en procedures.

  27. @Ad van den Broek, veel van die embedded systemen hebben of een redelijk korte levensduur of er hoort een onderhouds-contract bij waarbij af en toe een monteur langs komt om de software te updaten. Daarbij denk ik aan de koffie-automaat en printers op mijn werk, maar ook mijn auto die regelmatig naar de garage gaat. Sommige producten die een internet-verbinding ondersteunen kunnen zich zelfs automatisch updaten, hoewel dit erg zeldzaam is. Mijn electrische fiets gaat ook regelmatig langs de fietsenmaker die dan ook tussendoor updates kan doorvoeren… Updates zijn verder niet echt noodzakelijk voor apparaten die alleen offline werken. DVD-spelers, polshorloges en een magnetron zijn geen apparaten die het Internet nodig hebben. Als ze defect raken worden ze vaak naar de winkel gebracht en kunnen ze daar nog altijd proberen een update door te voeren. Want ja, zolang het werkt, waarom dan updaten?

  28. @Wim ten Brink, > Veel van die embedded systemen hebben of een redelijk korte levensduur > of er hoort een onderhouds-contract bij > waarbij af en toe een monteur langs komt om de software te updaten. Lijkt me bezijdens de waarheid want gemiddelde Philips TV bevat 16MB sw, gaat bijna 10 jaar mee en krijgt nimmer een sw update.(bron Bits&Chips online) Ik heb echter de indruk dat topic-starter Arnoud praat over ‘embedded systemen’ maar bedoeld ‘internet gekoppelde systemen’.

  29. @Ad van den Broek, toch zou je in de nabije toekomst kunnen verwachten dat die embedded systemen die offline werken ook de nodige beveiliging nodig heeft. De computer in mijn auto kan door middel van een extra module uitgelezen worden waarbij de monteur gewoon op zijn laptop van alles kan uitlezen over de status van de motor, het algemene rijgedrag en nog veel meer. Een koffie-automaat in een groot bedrijf heeft misschien wel een internet-module om aan te geven dat de koffie of de melk bijna op is, zodat iemand een berichtje krijgt om deze tijdig bij te vullen. Een magnetron of wasmachine heeft niet echt een internet-verbinding nodig maar een monteur kan in principe zo zijn laptop op een bepaalde plaats vastmaken om zo de programmering van het apparaat bij te werken. En televisies vind ik wel een grappig onderwerp hierbij omdat ik al 6 maanden lang een LCD-televisie heb die ik kan uitbreiden met Wifi/Internet zodat ik met mijn afstandbediening kan webbrowsen, zonder computer! 🙂 Plus, hij kan zich dan synchroniseren met de internet-klok en ook nog eens programma-informatie van het Internet uitlezen. En polshorloges? De meeste horloges doen niets met computers of het internet maar er zijn al redelijk wat horloges die je via USB kunt voorzien van data, of die een ingebouwde camera hebben en waarvan de beelden op je computer gezet kunnen worden. Het is dat Wifi zoveel energie vreet, anders waren er vast horloges geweest die via Wifi de laatste nieuwsberichten zouden verzamelen! Tja, misschien zijn niet alle apparaten internet-gebonden maar er worden wel steeds meer toepassingen gevonden om Internet en/of computers te koppelen met bepaalde hardware. En het is niet alleen het internet dat je moet beveiligen… Als een hacker de computer van mijn auto kan binnenkomen en zo mijn auto kan starten zonder sleutel, dan kan mijn auto ieder moment gejat worden. Voeg een GPS-module toe in mijn auto en combineer dat met de logs die mijn auto zelf genereert en je kunt precies in de gaten houden waar ik allemaal naartoe ga. Een perfect systeem natuurlijk voor mensen met een lease-auto die het bijbehorende belasting-voordeel willen behouden. Ook mooi voor de jaloerse vrouw die wil weten waar haar man steeds naartoe gaat als hij naar een “klant” gaat. Beveiliging is niet iets voor apparaten die met het Internet koppelen. Ieder apparaat dat in het bereik kan liggen van onbevoegde personen zou beveiliging nodig moeten hebben! Nogmaals de auto, prima dat iemand de boordcomputer kan uitlezen, maar dan wel als ze de contactsleutel in gebruik hebben genomen om de auto te starten! En niet eerder! Wat is gekoppeld terwijl de auto uit stond, mag niet zomaar de boel uitlezen! Lijkt mij toch wel een belangrijke veiligheids-stap.

  30. @Wim ten Brink, Ik ben het geheel met je eens….als je praat over toekomstverwachtingen en wat je daarin wenselijk acht…. maar dit is een juridische blog waarin de topicstarter Arnoud -pratende over embedded systemen- beweert: “je mag wel verwachten dat fouten van tijd tot tijd worden gerepareerd” en dan wordt vervolgens gesproken over updates(maar eigenlijk ook over upgrades). En dan is mijn mening: als je bij de koop je kunt vergewissen van de producteigenschappen dan heb je -mijnsinziens- recht op herstel als er echte eerder verborgen defecten aan het licht komen maar -omdat een product gemaakt wordt op basis van de huidige stand der techniek- heb je daarmee nog geen recht op automatische toekomstige upgrades. En daarbij beweer ik dat mijn mening niets bijzonders is, omdat het al vele jaren de standaard gewoonte is bij embedded systemen.

    Als we in de toekomst willen dat embedded systemen zich gratis periodiek gaan aanpassen aan nieuwe omstandigheden, dus een mobieltje krijgt een upgrade voor een nieuw virus en een TV krijgt een upgrade voor een nieuwe video-codec of HD-standaard dan zullen we de huidige spelregels eerst moeten gaan aanpassen vrees ik.

    De topicstarter Arnoud vraagt zich daarbij af “Waar ligt de grens?” En dan hebben we het volgens mij eigenlijk over de grens tussen productfouten en nieuwe productfunctionaliteit. En volgens mij is die grens al heel duidelijk bij de huidige spelregels: Een product moet doen wat beloofd is bij de totstandkoming van de koopovereenkomst, gebaseerd op de toenmalige stand der techniek. En als we morgen dan nieuwe dingen willen, moeten we een upgrade of een nieuw product gaan kopen of voortaan het product als dienst (SAAS bv) gaan afnemen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.