Heb ik recht op een nieuwe laptop als de processor een Meltdown of Spectre heeft?

Beveiligingsexperts vonden twee grote bugs in processors, die vrijwel in elke computer ter wereld worden gebruikt. Dat meldde Nu.nl vorige week. De zogeheten Meltdown en Spectre bugs zijn bugs die er voor kunnen zorgen dat hackers toegang krijgen tot het kernelgeheugen van computers, waarmee onder meer wachtwoorden eenvoudig te achterhalen zijn (nou ja, “eenvoudig“). De kwetsbaarheden zitten in de processorchips die het hart vormen van veel moderne laptops, en het maakt dus niet uit of je Windows, Linux of MacOS draait. Aan oplossingen wordt gewerkt, maar ondertussen rijst dan de vraag: wie gaat opdraaien voor de kosten?

In zakelijke verkoopcontracten is het in principe volledig vrij onderhandelbaar wie welke kosten of schade voor zijn rekening neemt. Ik zou dus verwachten dat in een zakelijk leveringscontract voor die processorchips gewoon een uitsluiting voor aansprakelijkheid staat voor bugs als deze, zodat de koper daarvan met de gebakken peren zit nu en zelf op zoek moet gaan naar software-workarounds of nieuwe chips met alle kosten van vervanging van dien.

Bij consumenten kan dat anders liggen. Een consument heeft gewoon recht op een product conform de verwachtingen, en deze “wettelijke garantie” kan niet met kleine lettertjes worden ingeperkt. Als het product niet conform is, dan moet de winkelier (dus niet Intel of AMD maar de MediaMarkt of waar je de laptop maar kocht) het probleem herstellen of je een nieuwe laptop geven.

De vraag bij consumenten is dus, werd hier de verwachtingen geschonden? Of iets preciezer, de tekst uit artikel 7:17 BW:

Een zaak beantwoordt niet aan de overeenkomst indien zij, mede gelet op de aard van de zaak en de mededelingen die de verkoper over de zaak heeft gedaan, niet de eigenschappen bezit die de koper op grond van de overeenkomst mocht verwachten. De koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.

Ik verwacht niet dat bij de aanschaf van een laptop iets gezegd is over de aan- of afwezigheid van dit soort diepe bugs in de processoren. Je mag al blij zijn als erbij staat welk processortype erin zit. We zullen het dus moeten hebben van het “eigenschappen voor normaal gebruik” criterium. Is het voor normaal consumentengebruik vereist dat de processor deze bugs niet vertoont? Zo ja, dan maakt de bug de laptop nonconform en moet de verkoper er dus nieuwe chips zónder de bug maar mét dezelfde performance in prikken.

De bug kan worden gebruikt om gevoelige informatie zoals persoonsgegevens of wachtwoorden te stelen. Hij vereist wel dat de stelende software al op je computer staat, en dat is een breder probleem dat bekend is bij consumenten. Daarvan weet (of moet weten) de consument dat hij maatregelen moet nemen, zoals antivirussoftware of een firewall – die ook vandaag de dag vaak standaard op laptops aanwezig is. Mét die maatregelen lijkt de impact van deze bugs voor consumenten me zeer beperkt. Daarom denk ik niet dat je een conformiteitsclaim kunt indienen.

De bug heeft meer impact bij clouddienstverleners, en consumenten maken daar ook vaak gebruik van. Daar is het dus een verhoogd risico: er kunnen nu gegevens worden gestolen of ontoegankelijk gemaakt – datalekken – en dat kan de consument raken. De conformiteitsregel geldt daarbij echter niet, omdat een dienst geen product is. Maar het is wel een wanprestatie van de dienstverlener, zodat je je schade hierdoor kunt verhalen. Mits je deze hard kunt maken natuurlijk.

Arnoud

Chipleverancier FTDI saboteert namaakchips met firmwareupdates, mag dat?

ftdi-chip-brick-fakeChipmaker FTDI heeft een geupdate Windowsdriver uitgebracht die klonen van hun chips brickt, oftewel onbruikbaar maakt. Als de driver concludeert dat de chip nep is, verandert hij een fabrieksinstelling in de chip waardoor deze niet meer te lezen is. Dat is best wel vervelend omdat deze chip een van de meest gekloonde ter wereld is in consumentenelektronica en het uitschakelen dus vele onschuldige consumenten treft.

De update aan de Windowsdriver zorgt ervoor dat de productidentifier op nul wordt gezet, waardoor besturingssystemen deze niet meer herkennen nu dat op basis van deze identifier gaat. Deze aanpassing is erg moeilijk te resetten door gewone gebruikers, en als de chip in een apparaatje zoals een router zit dan houdt het vrijwel altijd op voor eindgebruikers.

FTDI zal stellen dat dit pech gehad is, omdat het nu eenmaal niet toegestaan is om chips na te maken. Waarom deze chips nu precies ‘counterfeit’ zijn, is me niet duidelijk. Het meest voor de hand ligt dat er ten onrechte de merknaam van FTDI op staat. En op zich hebben ze dan een punt: het is niet toegestaan te handelen in namaakmerkproducten of deze te gebruiken voor commerciële doeleinden. (Maar als consument zonder winstoogmerk zo’n namaakproduct gebruiken valt buiten de merkenwet.)

Een van de rechten die een merkhouder heeft, is het opeisen van inbreukmakende artikelen zodat hij deze zou kunnen vernietigen of wat hij maar wil (art. 2.21 lid 3 BVIE). Je zou in theorie kunnen zeggen dat bricken van zulke artikelen effectief hetzelfde is als het opeisen en onder een stoomwals gooien. Alleen zit je dan nog met het punt dat hier wel een rechter tussen moet zitten:

De rechter kan bij wijze van schadevergoeding op vordering van de merkhouder bevelen tot de afgifte aan de merkhouder, van de goederen die een inbreuk maken op een merkrecht, alsmede, in passende gevallen, van de materialen en werktuigen die voornamelijk bij de productie van die goederen zijn gebruikt. De rechter kan gelasten dat de afgifte niet plaatsvindt dan tegen een door hem vast te stellen, door de eiser te betalen vergoeding.

Zelfstandig inbreukmakende producten opeisen kan dus niet, dit moet door de rechter goedgekeurd worden. En evenzo mag het bricken van zulke producten niet (als je zegt bricken==opeisen) zonder tussenkomst van de rechter.

Omgekeerd, is het verboden wat FTDI doet? Het voelt als iets onwenselijks, maar een specifiek wetsartikel hiertegen kan ik zo niet bedenken. Je zou van vernieling van computersysteen (art. 161sexies Strafrecht) kunnen spreken maar dat voelt wel wat gezocht. Wellicht dat de cookiewet hier een optie biedt: het is verboden om software via een netwerk te laten installeren zonder toestemming en zonder informatie over wat de software gaat doen. En het lijkt me best relevant te weten dat deze software namaakchips gaat uitschakelen.

Nu staat er natuurlijk iets in de EULA van de driver hiervoor:

Use of the Software as a driver for, or installation of the Software onto, a component that is not a Genuine FTDI Component, including without limitation counterfeit components, MAY IRRETRIEVABLY DAMAGE THAT COMPONENT

maar zoals bij Ars Technica al opgemerkt, niemand die dat zal lezen. En dat is dan een wettelijk probleem: dergelijke informatie moet duidelijk worden aangereikt, en mag niet zijn verstopt in een EULA, privacyverklaring of ander juridisch document.

Ik ben zelf altijd geneigd pas kwade opzet te vermoeden als incompetentie uitgesloten kan worden. Het is denkbaar dat de update dit bricken als een onbedoeld bijeffect heeft, omdat men bij het programmeren alleen rekening hield met het gedrag van de eigen chips. Maar gezien de breed gevoelde woede twijfel ik daar nu toch aan.

Arnoud

Nieuwste OV-chipkraak maakt zwartrijder onzichtbaar

ov-chipkaart-kraak-perfecte-misdaad.jpgHet is mogelijk te frauderen met de OV-chipkaart zonder gebruik te maken van de poortjes. Daardoor valt het misbruik niet meer te detecteren in de centrale systemen. Dat meldde Webwereld gisteren op basis van Brenno de Winter’s geweldige onderzoeksjournalistiek over de OV-faalkaart. Bij het NOS-journaal mocht ik zeggen dat dit “de perfecte misdaad” is: wel strafbaar maar niets aan te doen.

Hopelijk is dit het laatste hoofdstuk in de langlopende soap rond de OV-chipkaart. Al jaren is bekend dat de kaart grote technische zwakheden vertoont, maar tot nu toe werden die steeds afgedaan als “theoretisch” of “alleen voor übernerds”. Nu is er een Windowsapplicatie waarmee ook mijn vader gratis zou kunnen reizen.

Niet dat hij dat moet gaan doen, want het is en blijft strafbaar. In december werd nog een man veroordeeld wegens computervredebreuk (wtf?) omdat hij zijn OV-chipkaart illegaal had opgewaardeerd en daarmee was gaan reizen. Een kaart faken of zelf opladen valt onder het “valselijk opmaken van een betaalkaart” (art. 232 Strafrecht).

Op zich snap ik dus dat TLS na bekend worden van deze hack aangifte heeft gedaan. Alleen: ik mag hopen dat het OM die allemaal in het halfronde archief stopt, pardon via politiesepot afdoet zodra de woordvoerder weer naar buiten is. De strafwet is bedoeld voor die gevallen waarin je goed beveiligde kaart ondanks al je inspanningen toch vervalst werd. Niet als compensatie voor implementatiefalen van de leverancier.

Wie zijn huis totaal niet beveiligt, mag niet verwachten dat de politie veel doet om diefstal van zijn spullen op te lossen. Evenzo zie ik niet waarom TLS nu mag verwachten dat de politie het probleem van hun rammelende beveiliging gaat oplossen.

En nee, ik reis niet zwart maar keurig met (papieren) kaartjes.

Arnoud

Hacken OV-chipkaart is computervredebreuk (wtf?)

Een 30-jarige hacker is in Utrecht veroordeeld voor het vervalsen van 20 ov-chipkaarten, las ik bij Webwereld. Hij krijgt 60 uur werkstraf voor dit vervalsen, dat door de rechter “computervredebreuk” wordt genoemd. Hoogst merkwaardig. Wel terecht is de veroordeling wegens vervalsen van een betaalkaart.

De rechter spreekt van “binnendringen in de chip” van de OV-kaart. Omdat deze eigendom is van Trans Link Systems, wordt daarmee in andermans computersysteem binnengedrongen en dat is strafbaar. Ik vind dat een hoogst merkwaardige uitleg. Zo is dit wetsartikel niet bedoeld. En het zou betekenen dat simlocks verwijderen óók illegaal is, wanneer de telecomboer je de SIM maar in bruikleen geeft in plaats van verkoopt. De rechter had in 2002 al geoordeeld dat dat niet opgaat.

Wel terecht is de beschuldiging van het valselijk opmaken van een betaalkaart (art. 232 Strafrecht). Met de OV-chipkaart kun je immers betalen voor een dienst, en het namaken van zulke betaalmiddelen is (terecht) strafbaar.

Het verweer van de man dat hij alleen de zwakheden wilde blootleggen in de kaart gaat niet op.

Uit niets blijkt dat verdachte contact heeft gezocht met de media of met [bedrijf 1] om zijn standpunt met betrekking tot de beveiliging van de OV-chipkaart weer te geven. Verdachte heeft weliswaar verklaard dat zijn onderzoek nog niet was afgerond, maar op het moment van zijn aanhouding had hij al 26 OV-chipkaarten vervalst en uit niets blijkt dat verdachte van plan was hiermee op korte termijn te stoppen. De rechtbank is dan ook van oordeel dat onder deze omstandigheden het beroep van verdachte op artikel 10 van het EVRM niet kan slagen.

Op zich kan het legaal zijn om dingen te kraken om daarmee te laten zien dat we een probleem hebben, maar dan moet je het wel houden bij het kraken en daarna het bedrijf inlichten en/of naar de pers stappen (responsible disclosure). Maar deze man is gewoon gaan reizen met de kaart, en dat is zeer zeker niet de bedoeling bij responsible disclosure.

Arnoud

Juridische stappen met de OV-chipkaart

Het kraken van de OV-chipkaart is een fluitje van een cent, meldde PC-Active een tijdje terug. Op OV-chipkaart.org is te lezen hoe men de kaart kan uitlezen en de inhoud kan backuppen. TLS, het bedrijf achter de veelgeplaagde kaart, stuurde daarop een blafbrief waarin wordt gemeld dat men de site nauwlettend in de gaten zal houden en “juridische stappen” zal ondernemen. Ik moest lachen: het bedrijf houdt immers de gangen van iedere OV-gebruiker al nauwlettend in de gaten met die kaart.

Het uitlezen van een kaart en het vastleggen van de data die je dan krijgt, kan ik met geen mogelijkheid als strafbaar zien. Ook niet als je het omineus getitelde Mifare Classic Offline Cracker daarvoor gebruikt (maar het kan altijd hernoemd worden naar Mifare Security Verifier of zo natuurlijk). Ga je de kaart manipuleren, dan kom je in een grijs gebied. En ga je reizen met een gemanipuleerde kaart, dan pleeg je zeker een strafbaar feit: het valselijk opmaken van betaalkaarten (art. 232 Strafrecht).

Dat weet TLS ook maar al te goed, want er wordt niets gesommeerd of geëist. De brief komt neer op “we houden je in de gaten mannetje” en dat is een beetje merkwaardige manier van blaffen. Net zo merkwaardig vind ik de reactie van TLS dat dit “oud nieuws” zou zijn, want “tot nu toe is er nauwelijks fraude gepleegd”. Het lijkt mij toch nieuws dat je nu voor een paar tientjes je kaart kunt manipuleren, precies zoals TNO in 2008 voorspelde in 2008.

In een vonnis uit 2008 werd onderzoek naar het kraken van de OV-chipkaart overigens legaal verklaard omdat dit evident in het algemeen belang is, en er geen sprake was van het actief maken van nepkaarten of promoten van reizen met een nepkaart.

Zucht. Waarom is de reactie van dit soort clubs toch altijd om eerst te gaan blaffen en te dreigen met juridische stappen en pas daarna om eens na te denken dat het misschien ook wel ligt aan je eigen product? Dat had die rechter uit 2008 ze nota bene met zo veel woorden verteld.

Arnoud

Het idee van een paspoort met een chip

chip-paspoort.jpgRegelmatig krijg ik mails van mensen die hun idee willen beschermen, of zich afvragen wat het ze oplevert om het idee vast te laten leggen bij bv. het Benelux-Bureau voor de IE, de Belastingdienst of een commerciële instantie. Niet zo heel veel, antwoord ik dan: een idee of concept is in abstracto niet beschermd. Octrooi- en auteurswetten eisen een behoorlijke mate van uitwerking of concretisering voordat een concept beschermd kan worden.

Het idee opschrijven en ergens deponeren (‘vastleggen’) biedt maar zeer weinig bescherming. Het bewijst dat het idee bestond op die tijd, en daarmee sta je iets sterker als er ruzie komt over wie het als eerste bedacht heeft. Maar als het opgeschreven idee niet meer is dan een tekst als “Een first person-paardrijspel op de computer”, dan verlies je het nog steeds als iemand je gedeponeerde idee steelt.

In een vonnis van een tijdje terug speelde iets vergelijkbaars. Een uitvinder had in 1997 de Nederlandse Staat een idee gepresenteerd van een paspoort met een chip erin. Daar bleek na enig onderzoek geen interesse voor, maar in 2003 verschenen er toch ineens paspoorten met chips. Mijn idee is gestolen, zo concludeerde deze uitvinder(*), en stapte naar de rechter.

De Staat meldde dat er al diverse systemen bestonden die werkten met chips in paspoorten. Zo bleek er een rapport met de voor ambtenaren gebruikelijke humoristische titel “Een haalbare card” uit 1996 te zijn. Maar dat argument is op zich niet genoeg: van het algemene idee “paspoort met chip ter identificatie” is het wel degelijk mogelijk een eigen uitwerking te doen die voor octrooi of auteursrecht in aanmerking komt.

Echter, dan moet je wel een octrooiaanvraag indienen of een creatieve tekst geven die ook als zodanig wordt overgenomen. En dat was hier niet het geval. De uitvinder had niet veel meer dan zakelijke teksten en enkele technische uitwerkingen en specificaties. Daar zit geen auteursrecht op. Een dergelijke uitwerking moet via een octrooi beschermd worden, en dat was er niet.

Daar komt bij dat als je al een auteursrechtelijk beschermde methode zou hebben, de wederpartij wel jouw creatieve elementen uit die methode moet hebben gebruikt. En ook daar was hier geen sprake van:

Weliswaar maakt de Staat ook gebruik van een op een chip opgeslagen foto in het paspoort, maar die enkele overeenkomst is onvoldoende om ontlening aan te nemen. De door de Staat gebruikte methode voor beveiliging en fraudepreventie van paspoorten is voor het overige immers geheel verschillend van de door [“] bedachte methode. De essentiële verschillen tussen de methode van [“] en het systeem van de Staat overheersen naar het oordeel van de rechtbank. (“)

Ik begin steeds meer te neigen naar het standpunt: registreren van een idee is praktisch waardeloos. Vraag octrooi aan (als dat kan) of regel iets met een geheimhoudingsovereenkomst, maar vertrouw niet op dat papiertje bij een registrerende instantie. Alle opmerkingen over ‘claim uw intellectueel eigendom’ of ‘bescherm uw rechten’ ten spijt.

Arnoud<br/> (*) Iets heel anders: vanwaar de neiging van journalisten om in elk artikel over uitvinders de naam “Willie Wortel” te noemen? Als ik elke journalist “Kuifje” of “razende reporter” zou noemen, zou men daar vrij snel genoeg van krijgen.