Waarom garandeert mijn softwarelicentie de afwezigheid van virussen?

Een lezer vroeg me:

Vaak zie ik in softwarelicenties iets als dit: “Leverancier garandeert dat de Software geen virussen, achterdeuren, logische bommen of andere kwaadaardige routines bevat.” Waarom doen juristen dat? Het is toch raar dat een leverancier zou zeggen “onze software bevat een virus”?

Voor mijn gevoel is de clausule vandaag de dag een copypasteclausule: iedereen doet dit al jaren, dus laat ik het ook maar doen. Maar dat terzijde.

Het idee achter een garantie is dat je de leverancier kunt aanspreken als het toch gebeurt. Het zal zelden voorkomen dat er een virus (van een ander) in software zit, dus dit is een goedkope garantie om te geven.

Specifiek voor de achterdeuren en logische bommen kan de clausule belangrijker zijn dan ze lijkt. Het is enige tijd werkelijk praktijk geweest dat software werd voorzien van achterdeurtjes waarmee de leverancier ondanks alle beveiliging ‘in’ de software kon komen, of van logische bommen die bij wanbetaling afgingen zodat de software onbruikbaar werd.

Vandaag de dag is het vrijwel ondenkbaar dat geleverde software dergelijke kwaadaardige code bevat. Althans, stiekem. Software kan nog steeds uitschakelroutines hebben, maar die wordt dan netjes gemeld. En dan is het moeilijk dit een ‘kwaadaardige’ routine te noemen. Een enkele keer blijkt een ontevreden werknemer dergelijke code ingebouwd te hebben om zijn werkgever dwars te zitten of af te persen, maar dat is iets dat naar de klant toe toch echt voor rekening van die werkgever moet komen.

Arnoud

13 reacties

  1. Een softwarelicentie wordt toch meestal opgelegd door de leverancier? Waarom zou hij er dan zelf iets inzetten waarop hij aangesproken kan worden? Als ik softwareleverancier was zou ik zoiets er alleen inzetten als de klant er expliciet om vraagt.

    De vraag blijft dus onbeantwoord: waarom doen juristen (van softwareleveranciers) dat?

  2. Vandaag de dag is het vrijwel ondenkbaar dat geleverde software dergelijke kwaadaardige code bevat.

    Waarom is dat ondenkbaar, Is men netter gaan programmeren? Aangezien een heleboel software nu in the cloud draait, waarbij het dus draait op een computer waar de leverancier de controle heeft, is het nu meer denkbaar dan ooit dat de leverancier in je data kan snuffelen?

    Of ‘ie het doet is een ander verhaal, maar dat is het net zo goed als hij in de software kan komen op jouw lokale installatie. Misschien is die feature alleen voor tech-support.

    1. Even een mooi, recent voorbeeld van de Apple AppStore: in China zijn veel App-developers lichtelijk gefrustreerd dat ze XCode, dat nodig is voor het ontwikkelen van Apps, zo traag wordt gedownload van de officiele site dus gebruiken ze onofficiele kanalen om aan XCode te komen. En die kanalen blijken besmet te zijn met malware! Die malware komt op zijn beurt weer terecht in de Apps die door deze ontwikkelaars worden gemaakt en komen vervolgens in de AppStore terecht, waar ze geruime tijd hebben gezeten totdat iemand dit uiteindelijk ontdekte en even uitzocht wat de oorzaak was.

      Honderden verschillende Apps bleken besmet, met daarbij miljoenen gebruikers wereldwijd, domweg omdat sommige bedrijven hun Apps hebben ge-outsourced richting China. Een gigantisch schandaal want de AppStore werd veilig geacht.

      Dus ja, software kan malware bevatten simpelweg omdat de ontwikkelaars gebruik maken van besmette ontwikkeltools zonder dit te beseffen…

    2. Waarom is het ondenkbaar dat closed source software zoals windows of OS X een backdoor, bijv. voor de NSA, zou kunnen hebben?

      Omdat het personeelsbestand van dergelijke bedrijven bestaat uit mensen die dit soort informatie toch zullen uitlekken. Er zijn natuurlijk in bedrijven altijd zat ontevreden medewerkers of zelfs ontslagen medewerkers die deze info kunnen onthullen. Als er een backdoor in OS X, iOS of Windows zou zijn dan stond de broncode ervan al lang op wikileaks of zoiets.

      1. Daar zou ik niet vanuit gaan. Een ‘goede’ backdoor is nauwelijks tot niet herkenbaar, ziet eruit als een onschuldige low-priority bug, en slechts enkele mensen zijn ervan op de hoogte. Je kunt er zeker niet op vertrouwen dat dergelijke backdoors door klokkenluiders gepubliceerd zullen worden.

  3. Waarom zou een leverancier zoiets in een licentie zetten? Meestal zal een leverancier toch vooral proberen zichzelf in te dekken? Zelfs als je geen virussen of backdoors in je software inbouwt, wil je toch je eigen risico beperken voor het geval een werknemer of een buitenstaander stiekem toch iets in jouw software inbouwt? Het zal niet veel uitmaken, maar zo’n tekst in je licentie zal zeker niet in je voordeel werken, zou ik zeggen.

    Ik zou zeggen dat zo’n soort tekst alleen opgenomen zal worden als klanten er specifiek om vragen, en/of als er reclame-werking vanuit gaat. Als het gewoon juridisch copy-paste-werk is dat op de grote hoop van licentie-voorwaarden belandt, dan lijkt het me niet zo slim.

  4. Q: “Have any of you been approached by the US [government] for a back door?” A: “Not that I can talk about.”

    Want dat is wat moderne overheden doen. Eerst nemen ze wetten aan dat de overheid niet aan wetten is gebonden (spionage mag, als het maar door de overheid gebeurt). Vervolgens nemen ze wetten aan die het praten over spionage criminaliseren.

    Wat dat betreft is het enorm dom van een leverancier om de garantie van ‘no backdoors’ te geven, want als de afnemer er zelfstandig achterkomt, mag de leverancier zich niet eens verdedigen. Dat zo’n regel in de inkoopvoorwaarden van grote bedrijven staat, kan ik me dan wel weer voorstellen.

  5. Ik weet dat het in het verleden is voorgekomen dat een download besmet was doordat de website gehacked was. Dus het wel prettig dat de leverancier zelf ook vindt dat hij daarvoor aansprakelijk is jegens zijn klant.

  6. Bij open source software staat het vaak specifiek bij de originele software / aanbieder van de software. Ook vanaf welke website de software zonder “rommel” te downloaden is. “Dezelfde” open source software is vaak op diverse andere plekken te downloaden (omdat het open source is), maar dan zit er vaak juist van die rommel bij als enige extra toevoeging bij de software. Geen verdere zinvolle functies of door-ontwikkelingen op de software van wat bij open source software de achterliggende gedachte is. In die zin kan die aanvullende tekst misschien meer betekenisvol zijn voor de gebruiker die de software download?

  7. Veel software bevat wel degelijk backdoors die aanvankelijk alleen bij de fabrikant bekend zijn. Ik heb inmiddels twee systemen (een NAS en een router) gehad, waar de fabrikant via een achterdeur in kon komen. Toen ik de bekende NAS-fabrikant benaderde i.v.m. een bug, kwam dit al snel naar voren omdat ik zo uitgebreidere toegangsrechten kon krijgen op de NAS dan via de standaard web-account. De fabrikant gaf aan dat dit noodzakelijk was om gebruikers in geval van buitensluiting toegang te kunnen bieden tot de NAS. De fabrikant had voor elke NAS een unieke login via ssh, dus hang dit soort devices nooit rechtstreeks aan het internet.

    Afgelopen week is nog bekend geworden dat diverse IP-camera’s een backdoor hebben: https://www.security.nl/posting/444917/Backdoor-account+in+populaire+IP-camera%27s+ontdekt En er zijn meer voorbeelden van backdoors de afgelopen twee jaar, en niet bij de kleinsten: Fluke: http://vpnpick.com/dsl-gateway-router-backdoor-deliberately-hidden-instead-patched/ Sitecom: http://www.scmagazine.com/backdoors-in-wi-fi-routers-said-to-be-closed-can-be-reopened/article/343756/ Apple: http://www.dailymail.co.uk/sciencetech/article-2702589/Apple-denies-creating-iOS-backdoor-government-Hidden-files-discovered-iPhones-leave-devices-open-surveillance.html

    Anno 2015 kun je niet beweren dat er geen backdoors voorkomen. Ik zeg niet dat het in alle gevallen bewust gebeurd, maar ze zijn er wel.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.