Internet der dingen gaat dood door DRM?

robot-wetHet internet der dingen kan ten onder gaan aan DRM, schreef Bruce Schneier onlangs. Steeds meer apparaten worden slim en hangen aan internet, maar iedere fabrikant lijkt de neiging te voelen een stukje controle in te bouwen en dat via DRM-wetgeving of gewoon botweg veranderingen aan de firmware af te dwingen. En dat gaat in tegen de kerngedachte van internet: alles praat met elkaar, bedient elkaar en wisselt informatie uit. DRM als dood voor dingen?

Het meest recente geval betrof de Zigbee-lampen van Philips. Via het Zigbeeprotocol kunnen lampen op afstand worden bediend in een netwerk. Een recente firmwareupdate van Philips zorgde er echter voor dat dit niet meer werkte met lampen van andere fabrikanten, ook al waren die lampen compliant met het protocol. Met de marketingmeelbal over iets met gebruikskwaliteit werd dit teruggedraaid, maar de boosheid bij gebruikers zal nog wel even blijven hangen.

Dit was dus een ingebouwde wijziging (firmware update), hij doet het gewoon niet meer. Andere fabrikanten gebruiken DRM: beveiligingsroutines die bepaald gebruik afdwingen of juist blokkeren. Schneier noemt het voorbeeld van de Keurig koffiecups. Het koffiezetapparaat van het bedrijf herkent cups als al dan niet authentiek van henzelf, en weigert dienst als die herkenning mislukt. Hetzelfde is bij diverse printers bekend met inktcartridges van andere fabrikanten. Alsof je Senseo geen koffie van Perla-pads meer wil zetten omdat “een perfecte gebruikservaring niet kan worden gegarandeerd”.

Dergelijke routines zijn te omzeilen. Die cups hebben een chipje aan boord met daarin een of ander controlegetal. Achterhaal dat getal (of hoe je dat maakt) en stop in je eigen cups een vergelijkbaar chipje met hetzelfde getal, en hoepla alsnog perfecte gebruikservaring. Alleen: dat mag niet, want DRM.

Digital Rights Management (DRM) is eind jaren negentig als concept opgekomen om muziek en films te beschermen tegen ongeautoriseerd kopiëren. In de basis komt het erop neer dat software bepaalde acties met die muziek of films blokkeert, en omdat het wettelijk verboden is die software uit te schakelen of te omzeilen, is het probleem van ongeautoriseerd kopiëren dan opgelost. Ahem, ja ik weet het.

Ergens begin jaren nul hebben wat slimme advocaten bedacht dat DRM-wetgeving niet alleen over muziek en films gaat. Er staat in de wet “ongeautoriseerde toegang tot een beschermd werk” en daaronder kun je ook de firmware van een apparaat rekenen. Je bent dus illegaal bezig als je een printercartridge maakt die in andermans printer werkt, want jouw chipje met nummer is een ongeautoriseerd toegangsmiddel. Er wordt nu immers toegang verkregen tot de routines uit de firmware die het printen mogelijk maken, terwijl die routines alleen benaderd mochten worden door cartridges van de fabrikant zelf. Ja, die is heel gezocht. Specifiek voor printers té gezocht, want in 2004 verklaard een Amerikaans beroepshof deze interpretatie van printerfabrikant Lexmark als in strijd met de wet.

Lexmark was lang niet de enige die het probeerde. Anderen riepen (en roepen) hetzelfde, met wisselend succes bij de rechter. En dan krijg je te maken met een beetje vervelende bug uit het Amerikaanse recht: ook al denk je dat je gelijk hebt, het duurt zó lang en het is zó duur om je recht te halen dat het meestal niet de moeite waard is. Nog afgezien van de kans dat je verliest. Dus als tractorfabrikant John Deerde dan roept dat je je tractor slechts in licentie hebt en je de DRM schendt door het ding te tunen, wat kun je dan?

Dit gaat dus niet werken. Als je werkelijk een Internet der Dingen wil, dan moeten Dingen met elkaar Inter-operabel zijn. Dat vereist protocollen die gezamenlijk afgesproken zijn en door iedereen te implementeren. Geen eenzijdige controle vanuit één fabrikant, en geen technisch/juridische Frankenstein-constructies die dat tegen kunnen houden (of die indruk kunnen wekken). Maar omdat het voor veel fabrikanten eenvoudig en logisch lijkt om iets dicht te timmeren, zie ik dat er niet snel van komen. Hoe veranderen we dat?

Arnoud

35 reacties

  1. Je vergeet een ander belangrijk misbruik van DRM:

    Gameconsoles. DRM daarin zorgt dat je geen kopieën van games kan spelen. Tot zover niets aan de hand. Maar diezelfde DRM zorgt er ook voor dat het apparaat verder niet meer dan een voetenbankje is als je er geen games op wil spelen, maar eigen (legale) software op wil draaien. Het doet dus af aan een recht dat we altijd gehad hebben: alles doen wat we willen met ons legaal gekochte eigendom.

    Op zich zou je dit laatste mogen omzeilen, immers het regelt geen toegang tot een beschermd werk. Maar omdat dit toegangs systeem geintegreerd is met het DRM systeem mag het weer niet. Eigenlijk zou er een aanvulling moeten komen dat als jouw DRM systeem meer beperkingen oplegt dan op basis van de auteurswet mogelijk het systeem wel omzeild mag worden. Dit om fabrikanten te dwingen hun DRM te beperken tot waar ze wettelijk recht op hebben.

  2. Een late voorspelling voor komend jaar: DRM-sjoemelsoftware.

    Natuurlijk accepteren we cups van andere merken, maar we persen er nét even te weinig of te veel water doorheen, zodat de koffie niet zo lekker smaakt als uit onze Eigen Cups®. En natuurlijk accepteren we cartridges van alle merken in onze printer. Maar wat gaat die inkt toch snel op als het geen Eigen Merk™ cartridge is!

    Het is hard nodig dat software-standaarden in de wet verankerd worden en gecontroleerd worden. Dat gaat veel verder dan afdwingen dat elke telefoonlader een USB-aansluiting heeft. Dat zullen standaarden moeten zijn waar beide onderdelen, zowel koffiezetapparaat als cup, zowel printer als cartridge, zich aan zullen moeten houden. Maar dat zal een moeilijke strijd worden, omdat dit vast neergezet zal worden als de overheid die de ondernemingsvrijheid wil beknotten.

    1. Je hoeft niet de standaarden zelf in de wet te verankeren. In plaats daarvan kan je beter in de wet vastleggen dat (commerciële!) producten alleen verkocht mogen worden als de koper de (gratis!) mogelijkheid wordt geboden om te beschikken over de volledige technische specificaties van alle interfaces van het product. Die specificaties moeten zodanig gedetailleerd zijn dat, op basis van de specificaties, een derde partij beide kanten van de interface kan implementeren. De specificatie mag ook niet nodeloos obfuscated geformuleerd zijn (zoals bijv. een specificatie in de vorm van niets anders dan geoptimaliseerde machine-code).

      Voor zover een interface gebruik maakt van cryptografische sleutels, hoeven die sleutels daarbij niet openbaar gemaakt te worden, zolang een product aan de eigenaar maar de mogelijkheid biedt om elke sleutel te vervangen door een eigen sleutel. Zo kan je zoiets als “secure boot” implementeren zonder een lock-out van de gebruiker.

      1. Heel goed idee, en begin eens met de uitzondering dat technische specificaties en handleidingen vrijgesteld zijn van copyright. Dan is het tenminste legaal om de mensen gedetailleerde informatie te geven over hun eigen bezit.

      2. Voor zover een interface gebruik maakt van cryptografische sleutels, hoeven die sleutels daarbij niet openbaar gemaakt te worden, zolang een product aan de eigenaar maar de mogelijkheid biedt om elke sleutel te vervangen door een eigen sleutel. Zo kan je zoiets als “secure boot” implementeren zonder een lock-out van de gebruiker.

        Dit moet inderdaad gewoon verplicht worden voor alle hardware die je koopt. Bij DVD / bluray spelers betekent dit dat je de software helemaal kan aanpassin naar eigen goeddunk, maar dat je dan geen beveiligde DVDs of Blurays kan afspelen. Toegegeven, niet erg praktisch, maar het gaat om het principe 😉

        Voor de Playstation 4 betekent dit, dat je zelf een sleutel kan toevoegen of kan kiezen om geen sleutel te gebruiken en dan je eigen OS en software op de hardware kan installeren, maar om het Playstation OS en PS4 games te draaien moet je DRM aan zetten. (een stuk nuttiger)

        Voor IoT producten betekent dit dat je deze zelf moet kunnen programmeren, ook nadat de support van de fabrikant is gestopt. Of door het met eigen software samen te laten werken met producten waarin de leverancier niet voorziet. De DRM moet alleen actief zijn voor de eigen software van de leverancier, ieder software die je volledige toegang tot de hardware ontzegt zou moeten sneuvelen door een uitzondering wegens misbruik.

  3. Niet zo moeilijk: open protocollen (laten) bedenken, die door fabrikanten licentievrij kunnen worden gebruikt. Als voorwaarde voor dat gebruik slechts eisen dat de firmware open source is. Voorwaarde voor succes is dat consumenten verder kijken dan hun neus lang is, en apparaten kopen die compliant zijn aan die open protocollen. En voldoende kritisch zijn om “aanbiedingen” die niet compliant zijn links te laten liggen.

    Overigens gaat het vergelijk met printers niet helemaal op. De printkwaliteit heeft wel degelijk fors te leiden onder het gebruik van merkvreemde cartridges. Het is bij inkt (of toner) niet zoals bij benzine voor auto’s, dat de kwaliteit afgegrendeld wordt door uniforme kwaliteitseisen. Dat kunnen we als consumenten wel gaan eisen, als er een universeel inktsysteem beschikbaar komt, waarop printerfabrikanten hun ontwerp af kunnen stemmen. Denk dan echter niet dat je voor onder de 500 euro een fatsoenlijke kleurenprinter kunt krijgen… Maar dat geeft niks, als je bedenkt dat de inkt bijna niets meer kost (een concept dat bij veel van onze printerklanten er maar moeilijk in gaat…)

    1. Een interessant gerelateerd artikel (uit 2007) is te vinden op FSF.org: Antifeatures by Benjamin Mako Hill (het artikel is van BMH, niet de antifeatures). Het gaat niet eens specifiek over DRM, maar puur over expliciet ingebouwde functionaliteitsbeperkende features.

      Het knaagt ook altijd aan me als ik weer eens een spel voor m’n zoontje koop waarbij je figuurtjes en andere artikelen kunt kopen om die te spelen in het spel. Behalve dat die natuurlijk allang in de software zitten en je daar al dubbel en dwars voor betaald hebt en je door het kopen van zo’n figuurtje alleen een ongewenste beperking opheft. Grrr…

      (edit: Dit was niet bedoeld als reactie op Con, maar op de blog zelf.)

  4. Anderzijds is het natuurlijk handig als er een bepaalde vorm van functionaliteitsbescherming in al die aan het internet gekoppelde dingen zitten. Dat een fabricant dan kiest voor afdwingbare updates lijkt me niet eens zo onredelijk. Dit geeft de producent uiteraard een machtspositie waar misbruik van gemaakt kan worden. Het lijkt me dat DRM technologie niet zozeer het problem is, maar eerder het mogelijke misbruik dat ervan gemaakt kan worden.

    1. Als ik een koelkast met internet connectivity koop, dan wil ik de software in die koelkast volledig kunnen vervangen door eigen werk. Waarom? Omdat het mijn koelkast is, mijn hardware en ik daarmee moet kunnen doen wat ik wil. Zo niet dan is het begrip eigendom waardeloos geworden.

      Hetzelfde met dat Keurig verhaal: Ik wil de software van dat apparaat volledig kunnen vervangen. Dat ik dan geen Keurig pods meer kan gebruiken is geen probleem, als ik dan maar eigen of alternatieve pods kan gebruiken.

      Uberhaupt is dit een twijfelachtig gebruik van auteursrecht. Die pods hebben een functioneel ontwerp, hoezo zit daar auteursrecht op?

      1. Als ik een koelkast met internet connectivity koop, dan wil ik de software in die koelkast volledig kunnen vervangen door eigen werk. Waarom? Omdat het mijn koelkast is, mijn hardware en ik daarmee moet kunnen doen wat ik wil. Zo niet dan is het begrip eigendom waardeloos geworden.

        Voor bijna iedere normale persoon zal echter gelden dat het volstrekt ongewenst is dat iemand via de internettoegang de software van de koelkast kan manipuleren. Het is dus juist voor vrijwel iedereen van belang dat de software tot het uiterste beveiligd is en dat alleen toegang verkregen kan worden via een beperkte beveiligde interface via een webgui of een via app. Daarom is het logisch dat apparaten die aan het internet gekoppeld zijn extreem goedbeveiligd worden tegen ongewenste software manipulaties.

        1. Ongewenste software-manipulaties moeten moeilijk/onmogelijk zijn, gewenste software-manipulaties moeten mogelijk zijn. Duh. Het lijkt me dat er een technische oplossing is: vereis een handeling die fysieke toegang vereist voor software-updates, zoals het indrukken van een bepaalde knop.

          Voor de duidelijkheid: “gewenst” moet hier zijn: gewenst door de eigenaar, niet gewenst door de fabrikant, door auteursrechthebbenden of door de overheid. Voor zover de rechten van derden worden geschonden door software-manipulatie mag de eigenaar daar op aangesproken worden, maar DRM is niet de oplossing.

          1. Tweakers bedient me weer op mijn wenken met een stukje over de PS4 🙂

            De jailbreak mag niet worden gepubliceerd, want dat is omzeilen van de beveiliging van de PS4, maar welke software beschermt deze beveiliging dan, want de Linux die erop draait is gewoon legaal.

            Met andere woorden de DRM voorkomt dat ik legale software kan draaien op een systeem dat mijn eigendom is en dat in principe gewoon geschikt is om die software te draaien. Uitschakelen van de beveiliging zou gewoon legaal moeten zijn, omdat het doel niet een auteursrechtelijk beschermd doel is.

    2. Afdwingbare updates lijken mij wel onredelijk. De fabrikant heeft het product verkocht, is er geen eigenaar meer van, en zou er dus ook geen enkele aanspraak meer op moeten maken / controle over moeten houden. Updates zouden nooit afdwingbaar moeten zijn.

      Daarnaast zijn updates die functionaliteit verminderen onredelijk, zelfs als ze niet afgedwongen worden, tenzij de gebruiker goed is geïnformeerd en er mee akkoord gaat. Dit geldt ook voor verlies aan hele kleine beetjes obscure functionaliteit: er zijn altijd wel een paar gebruikers voor wie dat kleine stukje functionaliteit essentieel is; die jouw product juist vanwege die functionaliteit hebben gekocht (ook al heb je die functionaliteit nooit in een advertentie beloofd).

  5. Verders geen juridische context, maar ik hoop dat dit opgelost word met marktwerking. Op een moment als iemand zijn producten minder bruikbaar maakt ontstaat er ruimte voor andere merken om erin te springen. Zoiets als “Senpleo koffie apparaten staat alle koffie toe!” of met de Pony Play Console zijn games weer van jou! (alleen is het erg lastig om een eco-systeem op te zetten, dus lastige instap…)

    Ik koop nooit meer digitale boeken doordat DRM geneuzel, heb nog een tijdje met de gedachte gespeeld een dienst op te zetten waarmee je kunt doneren aan rechthebbende. Dus als je een goed boek of film illegaal verkregen hebt, maar er wel van hebt genoten dat je dan makkelijk anoniem een bedrag kunt overmaken naar de auteur / rechtenhouder. Ik betaal met liefde voor o.a. Spotify / Netflix en daarmee geef ik meer geld uit dan ooit aan bijv. muziek.

    Het is de industrie die mij erg tegen staat.

    1. Mee eens. Het is de industrie die de boel verziekt. Ik vind Spotify een geweldige dienst! Totdat men onterecht geld ging afschrijven voor een abonnement dat ik nooit geconsumeerd heb. En dat is niet het ergste: Spotify is onbereikbaar, geen mailadres, geen telefoonnummer. Je kunt letterlijk NERGENS je beklag doen. Ik heb via PayPal moeten bewerkstelligen dat Spotify stopt met afschrijven. Ook NOOIT een excuus gehad. Op het hele PayPal dispuut hebben ze NOOIT gereageerd. Toen heb ik besloten GEEN zaken meer te doen met bedrijven die mij niet willen spreken.

        1. Uiteraard, en méér dan ééns. Het is een in het Nederlands opgesteld contact formulier, waar ik een Engelstalige ontvangstbevestiging krijg. Na een week géén reply nog 2x het formulier ingevuld, maar dan in het Engels (ondanks dat ik dat geen must zou moeten zijn!) en ook daar nooit enig teken van leven op ontvangen. Bovendien vind ik een contactformulier geen vorm van communicatie.

          “Als je geen oplossingen vindt binnen Help of de Community, en je wilt contact opnemen met de klantenservice van Spotify, dan kun je een vraag indienen via het contactformulier.”

          NEE! Ik vind dat ik als betalende klant (tegen wil en dank nog wel…) het RECHT heb om te woord te worden gestaan door mijn leverancier. Zo niet, dan gaat mijn goede geld er niet meer naartoe…

    1. Ook bij ons is het onrechtmatig (verboden) een DRM maatregel te slopen. Het is onduidelijk of dat ook zo is als je het doet voor een legale handeling, zoals het willen citeren uit een tekst of het maken van een legale thuiskopie. In de wet zit een noodmaatregel ingebouwd dat bij gebleken misbruik van de DRM-bevoegdheid de minister een expliciete regel kan maken dat dit legaal is. Dus het lijkt erop dat onze wet niet bedoeld is om legale toepassingen tegen te houden.

      1. Zelfs als dit niet zou gelden voor het citeren, dan loop je tegen een ander probleem met de EUCD aan. Het is verboden om tools te verspreiden waarmee je DRM kan omzeilen, ongeacht het doel. Mocht de het verbod dus niet gelden voor thuiskopie of citaat, dan moet je nog steeds zelf in staat zijn om zo’n tool te maken.

        Voor een beetje programmeur bij de CSS ‘beveiliging’ van DVDs nog wel te doen, maar AACS is een heel ander beest :X

        1. Het gaat me niet zo zeer om het maken van kopieën, maar om de apparaten zelf. Die vage claims die hierboven staan, zijn allemaal naar Amerikaans recht. Mag je in Nederland wel de firmware uit je apparaat aanpassen? Daar zit namelijk ook vaak bescherming voor. Ook dat is DRM. En ongeautoriseerde toegang tot het systeem lijkt me geen argument: als eigenaar heb je toch wel zelf te bepalen wie geautoriseerd is.

  6. Moet DRM niet gezien worden in de context van auteursrecht? Het genoemde koffiezetapparaat-DRM beschermt geen auteursrecht en het breken van de DRM maakt geen inbreuk op auteursrecht mogelijk. Noch het koffiezetapparaat noch een deel van de firmware is te kopiëren door de DRM te breken. Als leek vraag ik me dan af: hoezo is het illegaal deze DRM te omzeilen?

    1. Het standaard aluhoedje antwoord is dan: De wet is zo uitgebreid dat die dit alles mogelijk maakt, en dat is weer omdat de wetgever in de kontzak zit van de grote bedrijven die wel varen bij vendor lock-in en gaan kwijlen bij de mogelijkheid om het omzeilen van die lock-in strafbaar te maken.

      Ik vrees alleen dat de aluhoedjes in deze wel eens gelijk kunnen hebben.

  7. Hoe veranderen we dat?

    Is het te makkelijk om het hele concept botweg te verbieden?

    “het is verboden om in consumentenproducten (waaronder software) functionaliteit op te nemen die opzettelijk handelt tegen de wens van de eigenaar”. Ja, dat is vreselijk breed en gaat veel verder van DRM. Ja, daaronder vallen een heleboel bestaande min-of-meer-geaccepteerde systemen die ik allemaal als misdadig zou willen classificeren.

  8. “En dan krijg je te maken met een beetje vervelende bug uit het Amerikaanse recht: ook al denk je dat je gelijk hebt, het duurt zó lang en het is zó duur om je recht te halen dat het meestal niet de moeite waard is.”

    Geldt dit niet voor zo ongeveer alle justitiële stelsels in het Westen? (Waar tegenover staat dat het in de andere landen dan misschien sneller gaat, maar bepaald niet beter)

    1. Ligt ook aan het onderwerp, voor kleine zaken is er in sommige landen een small claims court. Dan is je gelijk halen opeens wel financieel haalbaar. Maar Auteursrechten zaken zijn als consument veelal te duur om te voeren. Met een groot voordeel voor auteurs!

      Auteurs kunnen een schade vergoeding eisen bij misbruik. Een rechtsgang loon sneller, omdat je bij winst de juridische kosten ook vergoed krijgt. Ook is inbreuk in de gevallen waarin het tot een rechtzaak komt vaak eenvoudig aan te tonen, je bent – zolang je redelijke schade eist – dus vrij zeker van je winst. De enige afweging is of je het de tijd waard vindt.

      De anti-circumventie bepaling wordt links en rechts misbruikt. Als consument een auteur aanklagen wegens misbruik van auteursrecht? Om te beginnen is zo’n zaak zeer onzeker, er zijn niet veel van dat soort zaken gevoerd. Dat is ook niet zo gek, want zo’n zaak kan je alleen voeren als je de middelen hebt om desnoods tot de hoge raad door te gaan, je weet namelijk dat auteursrechten organisaties niet stoppen voor ze dat stadium gehad hebben. Ze hebben geld genoeg en de belangen zijn groter dan de kosten van een rechtzaak.

      Daarom ben ik ook zo teleurgesteld in consumenten organisaties, de enigen met de middelen om deze strijd te voeren voor consumenten, die dit probleem totaal negeren.

      1. Ik heb om deze reden mijn lidmaatschap van een consumentenorganisatie opgezegd. Is volgens mij ruimte voor een onafhankelijke digitale consumentenorganisatie, maar veel mensen zien voorlopig denk ik het nut nog niet… en zonder de steun van veel mensen kun je geen vuist maken.

        1. Ik heb die rond 2000 eveneens opgezegd. Ik ben wel in voor initiatieven, maar kan daar slechts beperkt tijd in steken. Jij (en eventueel andere geïnteresseerden) kunnen reageren Contact is mogelijk via twitter @VictorOnrust of klik op mijn naam; na terugvolg is DM mogelijk. Kunt ook ergens hier een mailadres zetten waar ik of anderen naar toe kunnen mailen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.