Het Amerikaanse Hof van Beroep (9th Circuit) heeft geoordeeld dat termen als “malicious” of “threat” in de context van virusbestrijding feitelijke uitspraken zijn, las ik bij The Register. Antimalwarebedrijf Malwarebytes had de software van haar concurrent Enigma een “potentially unwanted program” genoemd, inclusief dus die termen. Waarop Enigma naar de rechter stapte wegens smaad.
Malwarebytes heeft dit soort zaken vaker gehad; in 2020 wonnen ze nog een rechtszaak tegen softwarebedrijf Asurvio (PC Driver) met als argument dat het gewoon hun mening is dat bepaalde software kwaadaardig is. Maar in de Enigma-zaak oordeelde de rechter eerder anders: omdat Enigma een concurrent is, is het denkbaar dat de mening van Malwarebytes ingegeven is door commerciële motieven in plaats van gewoon hun mening, en dat is niet eerlijk naar de markt toe.
De zaak is nu door het Hof terugverwezen naar de rechtbank voor een hernieuwde feitelijke beoordeling. Maar let wel: het Hof heeft niet gezegd dat de terminologie smadelijk is of niet meer gebruikt mag worden. Het oordeel is alleen dat het denkbaar is dat deze termen als feitelijk opgevat worden in de context van een mededeling van antimalwaresoftware. En dat is een factor bij het beoordelen van commerciële uitingen als oneerlijke reclame of misleiding van de consument.
In Nederland kennen we niet zo’n hard onderscheid tussen feiten en meningen. In de VS is een mening gewoon te allen tijde beschermd, vandaar de discussie hoe je “kwaadaardig” of “bedreiging” moet opvatten. Bij ons is “ik vind” er voor zeggen niet genoeg. Eventuele feitelijke aspecten van je uiting moeten gewoon kloppen of onderbouwd zijn, bijvoorbeeld met een methodologie waarbij je van “vrijwel onschuldig” naar “het grootste kwaad sinds het Cascade-virus” (plaatje) gaat met criteria.
Dit vereiste wordt sterker naarmate je meer als een autoriteit wordt gezien. Dus een willekeurige securityresearcher die een stuk software “kwaadaardige rotzooi” noemt in een boze tweet, dat zal geen problemen geven, maar wanneer het gaat om een officiële security advisory van een toonaangevend antivirusbedrijf dan moet die term wel ergens op gebaseerd zijn.
Arnoud
Dan is het dus zaak dat je ergens goed en redelijk gedefinieerd hebt wat jij onder kwaadaardig vat en zorgt dat de software daar aan voldoet. Het is onmogelijk om een concensus te vinden over wat echt kwaadaardig is. Sommige mensen gebruiken met hun volle verstand software die ik zelf als kwaadaardig zou bestempelen vanwege anti consumenten gedrag in de werking.
Hele goeie, een definitie van wat jij onder het begrip verstaat helpt enorm. In 2000 wilde de Vereniging tegen de Kwakzalverij “een zo objectief mogelijke lijst presenteren van de kwakzalvers die [in de 20e eeuw] de hoofdrol vertolkten”. Een orthomanueel genezer maakte bezwaar tegen vermelding in de lijst, omdat hij naar eigen zeggen absoluut geen kwakzalver was. De Hoge Raad oordeelde dat de lijst legitiem was als vrije meningsuiting, met name omdat de Vereniging een eigen duidelijke definitie had geschreven waar de genezer aan voldeed. (De pers negeerde die volledig bij het overschrijven van wie kwakzalver was, maar dat is niet het probleem van de Vereniging.)
Maar “potentially unwanted program” is toch iets anders als “malicious program”? Als je twee virusscanners tegelijkertijd hebt draaien dan vind ik de gedachte dat een van die twee “potentially unwanted” is niet zo vreemd; het zou niet voor het eerst zijn dat twee virusscanners op hetzelfde systeem problemen geeft, en het is ook bekend dat “sommige” anti-virussoftware min of meer stiekem of in elk geval verborgen achter uitklapbalkjes mee-geinstalleerd wordt met andere software. Als virusscanner de gebruiker op de hoogte brengen van het feit dat er blijkbaar twee scanners tegelijkertijd actief zijn lijkt me daarom niet meer dan normaal, en “potentially unwanted” dekt de lading dan eigenlijk heel goed.
Ik kan met een heel groot deel van je redenatie meegaan, het probleem blijft dat de software een serieus negatief oordeel uitspreekt over de software van een concurrent. Als Malwarebytes duidelijk kan maken op welke feiten ze de “PUP” kwalificatie van Enigma baseert en dat die feiten een objectief redelijke conclusie “potentially unwanted” ondersteunen zie ik geen verdere problemen.
Twee virusscanners die allebei op hetzelfde systeem draaien lijkt mij genoeg onderbouwing. Ik denk niet dat je veel security-professionals kan vinden die zullen zeggen dat het een goed idee is om te doen. Het feit dat de gebruiker een scan heeft uitgevoerd met de scanner van Malwarebytes lijkt me dan voor Malwarebytes ook afdoende motivatie om de niet door de gebruiker gebruikte scanner als “mogelijk ongewenst” te bestempelen.
Uit de uitspraak haal ik dat Malwarebytes ook de term “malicious” gebruikte voor de classificatie van de Enigma software. Ik zie hoe twee scanners naast elkaar ongewenst is, maar om de andere dan “kwaadaardig” te noemen gaat me wat ver.
Dat gaat inderdaad wat ver. De combinatie van iets zowel “potentially unwanted” als ook “malicious” noemen is ook vreemd; als pakket voor gewone eindgebruikers geeft dat inderdaad verwarring,.
Het schijnt dat beide bedrijven (te lezen in het vonnis) een geschiedenis van wederzijds onvriendelijk gedrag hebben. Enigma schijnt zelfs een uninstaller voor Malwarebytes verspreid te hebben… Ik zie redenen om die verwijdersoftware kwaardaardig te noemen, daar het de bescherming van een systeem verzwakt.
Verder lees ik in het vonnis van het hof van beroep dat “Potentieel ongewenst” een zeer redelijke kwalificatie voor de Enigma software kan zijn.