Mag een museum oude computervirussen tentoon stellen?

| AE 8412 | Beveiliging | 17 reacties

oud-virus-drop-charactesHet Internetarchief heeft een collectie van virussen en andere ‘schadelijke’ software gepubliceerd die in 1980 en 1990 werd verspreid, meldde Nu.nl vorige week. Sommige van die virussen herinner ik me ook nog wel – ja, ik word oud. Vooral die ene waarbij ineens letters verticaal omlaag vielen, maar die zie ik er dan net weer niet tussen. Maar goed, juridische blog: mag dat?

Het is natuurlijk strafbaar om gegevens zoals software te verspreiden die “zijn bestemd om schade aan te richten in een geautomatiseerd werk” (art. 350a Strafrecht), en vrijwel elk virus, worm of Trojan valt daaronder. Vroegâh stond er bij dat wetsartikel nog “door zichzelf te vermenigvuldigen”, zodat Trojans er niet onder vielen en je zelfs bij gewone virussen vraagtekens kon hebben (moet de schade komen door het vermenigvuldigen, hoe dan). Maar goed, dat is gefixt.

Er is een uitzondering op dit verspreidingsverbod, lid 4:

Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken.

Deze uitzondering is toegevoegd om ervoor te zorgen dat virusonderzoekers legaal hun bevindingen met elkaar kunnen delen. Soms moet je daarvoor ook immers viruscode aan elkaar geven, en dat zou toch niet strafbaar moeten zijn. Een museum heeft echter niet het oogmerk om “schade te beperken”, dat wil gewoon laten zien hoe die virussen eruit zagen.

Het “Malware Museum” heeft een andere oplossing gevonden – de code is gedeeltelijk onschadelijk gemaakt, ongeveer zoals je zou doen met een oud geweer voordat je het tentoon stelt. Zo’n aangepaste versie zou dan niet meer zijn “bestemd” om schade aan te richten, zodat je in principe niet meer strafbaar bent. Maar het zou er voor mij wel vanaf hangen hoe eenvoudig die aanpassing ongedaan te maken is. Hoewel? Iedere virusscanner is toch in staat om dit oud grut tegen te houden?

Arnoud

Deel dit artikel

  1. Ik ben heel benieuwd of virusscanners van tegenwoordig deze virussen nog herkennen. De meeste worden geoptimaliseerd om een zo klein mogelijk lijst met signaturen te hebben. Je wil niet dat je computer yeah is omdat ie op dertig jaar ouder virussen staat te checken constant…

    Maar ik vermoed dat vooral de daadwerkelijke schade erg zal meevallen. Besturingssystemen zijn nogal veranderd, dus de vraag is of ze nog werken.

    • De performance van een enorme signature database zou best wel eens mee kunnen vallen. Je zou dat met een “lookup tree” kunnen doen (variant van de lookup table): je neemt twee naast elkaar liggende bytes in het te scannen bestand, en gebruikt ze als lookup in een tabel van 64k elementen. De tabel verwijst naar een tweede tabel voor de volgende twee bytes, enzovoort, totdat je uit komt bij ofwel de mededeling dat het geen virus betreft, ofwel een korte lijst van virusdefinities. Per virus-definitie eventueel nog een stukje virus-specifieke checks uitvoeren, en klaar is Kees.

      Het aantal lookups dat je per byte moet doen schaalt volgens mij logaritmisch met het aantal virussen in de database. Aannemende dat er minder dan 4 miljard virussen zijn, ben je sowieso meestal al na twee lookups klaar. De “level 1” lookup-tabel wordt zo vaak gebruikt dat ‘ie wel in de processor cache zal blijven staan; voor de “level 2” tabellen kan je een slimme volgorde van scannen verzinnen zodat ze zo vaak mogelijk hergebruikt worden voordat ze uit de cache worden geswapt.

      Ik denk dus dat je niet om performance-redenen oude virussen uit de database hoeft te halen.

      Edit: ik lees hier dat het aantal signatures (veel hoger dan het aantal virussen) ongeveer 17 miljoen is. Bij een bestand dat willekeurige data bevat zal je dan bijna altijd na 2 lookups per byte kunnen concluderen dat er geen virus signature staat.

  2. Als een virus van 25-35 jaar oud (ofwel, prehistorisch) ook nog maar iets doet op hedendaagse computers dan heeft die virus schrijver iets gedaan wat de meeste software schrijvers bij lange na niet kunnen en dat verdient het dan best om ten toon gesteld te worden als het wonder dat het is. 🙂

    Die kans is nihil, denk ik zo.

  3. Ik heb het Yankee Doodle virus altijd wel leuk gevonden. Die speelde namelijk altijd om 17:00 op de computer van mijn collega zodat we wisten dat het tijd was om naar huis te gaan. En al die tijd dachten we dat ze gewoon een applicatie gebruikte die ze bewust had geinstalleerd totdat we een keer besloten om een virusscanner te installeren bij iedereen.

    En dat was nodig ook, toen in 1994, omdat ze niet alleen besmet was met Yankee Doodle maar ook met een drietal anderen. En de baas van dit kleine bedrijfje had ook diverse besmettingen op zijn PC. Gelukkig waren die virussen niet in staat om zich via het netwerk te verspreiden anders was iedereen besmet geweest.

    Maar dit museum heeft wel een ander probleem: copyright! Kunnen de oorspronkelijke auteurs van deze software niet gewoon schade claimen omdat hun software is gemodificeerd door het museum om deze onschadelijk te maken? Immers, het museum heeft geen bewerkers-licentie, toch? Herpublicatie is niet aan de orde, want de virussen zijn bestemd om massaal gepubliceerd te worden. Maar het aanpassen van de code is een ander verhaal, lijkt mij. 😀

    • Daar zeg je wat. Als uit de aard van het virus duidelijk wordt dat het de intentie van de maker moet zijn geweest om het virus onbeperkt op een zo groot mogelijk aantal computers te installeren, dan lijkt mij een verdere verspreiding / tentoonstelling van het virus geen openbaarmaking aan een nieuw publiek, en het leidt niet tot gemiste inkomsten, in ieder geval niet tot gemiste legitieme inkomsten.

      Maar is het bewerken van een werk ook beperkt door het auteursrecht, of gaat het alleen om het verspreiden van (eventueel bewerkte) versies? Misschien gebaseerd op het idee van de “morele rechten” binnen het auteursrecht (die ik overigens verwerp)? Zou de reputatie van een virusmaker geschaad kunnen worden door het vertonen van verminkte versies van zijn/haar virussen? Ik dacht dat het, zeker in de beginjaren van de PC (waar we het nu over hebben), reputatie binnen hun underground scene een belangrijke motivatie was voor virusmakers. Overheden en andere criminele organisaties zijn later pas begonnen met het maken van virussen, voor sabotage, spionage, ransomware, botnets en andere ongein.

  4. Een programmeur van een virus kan (in theorie althans) best een gerechtvaardigd beroep doen op zijn auteursrecht (die de giecheltoets afhankelijk van de omstandigheden zou kunnen doorstaan) en een claim indienen wegens ongeautoriseerde publicatie van zijn auteursrechtelijk beschermde broncode. Dat het virus ooit verspreid werd, betekent immers niet dat de auteursrechthebbende ooit voor de publicatie van het virus zijn toestemming gaf. Vanwege het schadeveroorzakende karakter van een virus lijkt mij de vraag uiteindelijk of de auteursrechthebbende overtuigend kan ontkennen dat hij de kans ooit aanvaarde dat het betreffende virus in omloop zou raken. Als hij bijvoorbeeld kan aantonen dat hij het virus alleen maar een keer aan een vriend heeft gestuurd voor onderzoeksdoeleinden (met het verzoek om het niet te verspreiden) en die vriend heeft het destijds tóch verspreid (of de diskette werd gestolen etc.), dan kan de auteur zich nu best verzetten tegen nieuwe openbaarmakingen van zijn werk. Of hem veel schadevergoeding toegekend zal worden is echter een andere vraag.

    De juridisch te maken afwegingen lijken mij niet anders dan bij (online) publicatie van een muziekstuk. De vraag is vooral of de auteursrechthebbende zelf ooit de kans heeft aanvaard dat het werk in omloop zou komen. Als je je muziekwerk op je eigen website zet met de tekst ‘download en verspreid dit s.v.p. zo veel mogelijk en je mag er alles mee doen want ik wil beroemd worden’, dan heb je feitelijk een CC0-achtige licentie gegeven aan de hele wereld. Bij elke moedwillige of door schuld veroorzaakte virusverspreiding kan dezelfde redeneertrant gehanteerd worden. Zowel voor virussen als voor muziek waar publicatie door derden nooit de bedoeling of door de auteursrechthebbende te voorzien gevolg was, dient een andere juridische logica gevolgd te worden, lijkt mij.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS