Heb ik recht op een nieuwe laptop als de processor een Meltdown of Spectre heeft?

| AE 10210 | Ondernemingsvrijheid, Security | 19 reacties

Beveiligingsexperts vonden twee grote bugs in processors, die vrijwel in elke computer ter wereld worden gebruikt. Dat meldde Nu.nl vorige week. De zogeheten Meltdown en Spectre bugs zijn bugs die er voor kunnen zorgen dat hackers toegang krijgen tot het kernelgeheugen van computers, waarmee onder meer wachtwoorden eenvoudig te achterhalen zijn (nou ja, “eenvoudig“). De kwetsbaarheden zitten in de processorchips die het hart vormen van veel moderne laptops, en het maakt dus niet uit of je Windows, Linux of MacOS draait. Aan oplossingen wordt gewerkt, maar ondertussen rijst dan de vraag: wie gaat opdraaien voor de kosten?

In zakelijke verkoopcontracten is het in principe volledig vrij onderhandelbaar wie welke kosten of schade voor zijn rekening neemt. Ik zou dus verwachten dat in een zakelijk leveringscontract voor die processorchips gewoon een uitsluiting voor aansprakelijkheid staat voor bugs als deze, zodat de koper daarvan met de gebakken peren zit nu en zelf op zoek moet gaan naar software-workarounds of nieuwe chips met alle kosten van vervanging van dien.

Bij consumenten kan dat anders liggen. Een consument heeft gewoon recht op een product conform de verwachtingen, en deze “wettelijke garantie” kan niet met kleine lettertjes worden ingeperkt. Als het product niet conform is, dan moet de winkelier (dus niet Intel of AMD maar de MediaMarkt of waar je de laptop maar kocht) het probleem herstellen of je een nieuwe laptop geven.

De vraag bij consumenten is dus, werd hier de verwachtingen geschonden? Of iets preciezer, de tekst uit artikel 7:17 BW:

Een zaak beantwoordt niet aan de overeenkomst indien zij, mede gelet op de aard van de zaak en de mededelingen die de verkoper over de zaak heeft gedaan, niet de eigenschappen bezit die de koper op grond van de overeenkomst mocht verwachten. De koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.

Ik verwacht niet dat bij de aanschaf van een laptop iets gezegd is over de aan- of afwezigheid van dit soort diepe bugs in de processoren. Je mag al blij zijn als erbij staat welk processortype erin zit. We zullen het dus moeten hebben van het “eigenschappen voor normaal gebruik” criterium. Is het voor normaal consumentengebruik vereist dat de processor deze bugs niet vertoont? Zo ja, dan maakt de bug de laptop nonconform en moet de verkoper er dus nieuwe chips zónder de bug maar mét dezelfde performance in prikken.

De bug kan worden gebruikt om gevoelige informatie zoals persoonsgegevens of wachtwoorden te stelen. Hij vereist wel dat de stelende software al op je computer staat, en dat is een breder probleem dat bekend is bij consumenten. Daarvan weet (of moet weten) de consument dat hij maatregelen moet nemen, zoals antivirussoftware of een firewall – die ook vandaag de dag vaak standaard op laptops aanwezig is. Mét die maatregelen lijkt de impact van deze bugs voor consumenten me zeer beperkt. Daarom denk ik niet dat je een conformiteitsclaim kunt indienen.

De bug heeft meer impact bij clouddienstverleners, en consumenten maken daar ook vaak gebruik van. Daar is het dus een verhoogd risico: er kunnen nu gegevens worden gestolen of ontoegankelijk gemaakt – datalekken – en dat kan de consument raken. De conformiteitsregel geldt daarbij echter niet, omdat een dienst geen product is. Maar het is wel een wanprestatie van de dienstverlener, zodat je je schade hierdoor kunt verhalen. Mits je deze hard kunt maken natuurlijk.

Arnoud

Chipleverancier FTDI saboteert namaakchips met firmwareupdates, mag dat?

| AE 7083 | Ondernemingsvrijheid, Security | 62 reacties

ftdi-chip-brick-fakeChipmaker FTDI heeft een geupdate Windowsdriver uitgebracht die klonen van hun chips brickt, oftewel onbruikbaar maakt. Als de driver concludeert dat de chip nep is, verandert hij een fabrieksinstelling in de chip waardoor deze niet meer te lezen is. Dat is best wel vervelend omdat deze chip een van de meest gekloonde ter wereld is in consumentenelektronica en het uitschakelen dus vele onschuldige consumenten treft.

De update aan de Windowsdriver zorgt ervoor dat de productidentifier op nul wordt gezet, waardoor besturingssystemen deze niet meer herkennen nu dat op basis van deze identifier gaat. Deze aanpassing is erg moeilijk te resetten door gewone gebruikers, en als de chip in een apparaatje zoals een router zit dan houdt het vrijwel altijd op voor eindgebruikers.

FTDI zal stellen dat dit pech gehad is, omdat het nu eenmaal niet toegestaan is om chips na te maken. Waarom deze chips nu precies ‘counterfeit’ zijn, is me niet duidelijk. Het meest voor de hand ligt dat er ten onrechte de merknaam van FTDI op staat. En op zich hebben ze dan een punt: het is niet toegestaan te handelen in namaakmerkproducten of deze te gebruiken voor commerciële doeleinden. (Maar als consument zonder winstoogmerk zo’n namaakproduct gebruiken valt buiten de merkenwet.)

Een van de rechten die een merkhouder heeft, is het opeisen van inbreukmakende artikelen zodat hij deze zou kunnen vernietigen of wat hij maar wil (art. 2.21 lid 3 BVIE). Je zou in theorie kunnen zeggen dat bricken van zulke artikelen effectief hetzelfde is als het opeisen en onder een stoomwals gooien. Alleen zit je dan nog met het punt dat hier wel een rechter tussen moet zitten:

De rechter kan bij wijze van schadevergoeding op vordering van de merkhouder bevelen tot de afgifte aan de merkhouder, van de goederen die een inbreuk maken op een merkrecht, alsmede, in passende gevallen, van de materialen en werktuigen die voornamelijk bij de productie van die goederen zijn gebruikt. De rechter kan gelasten dat de afgifte niet plaatsvindt dan tegen een door hem vast te stellen, door de eiser te betalen vergoeding.

Zelfstandig inbreukmakende producten opeisen kan dus niet, dit moet door de rechter goedgekeurd worden. En evenzo mag het bricken van zulke producten niet (als je zegt bricken==opeisen) zonder tussenkomst van de rechter.

Omgekeerd, is het verboden wat FTDI doet? Het voelt als iets onwenselijks, maar een specifiek wetsartikel hiertegen kan ik zo niet bedenken. Je zou van vernieling van computersysteen (art. 161sexies Strafrecht) kunnen spreken maar dat voelt wel wat gezocht. Wellicht dat de cookiewet hier een optie biedt: het is verboden om software via een netwerk te laten installeren zonder toestemming en zonder informatie over wat de software gaat doen. En het lijkt me best relevant te weten dat deze software namaakchips gaat uitschakelen.

Nu staat er natuurlijk iets in de EULA van de driver hiervoor:

Use of the Software as a driver for, or installation of the Software onto, a component that is not a Genuine FTDI Component, including without limitation counterfeit components, MAY IRRETRIEVABLY DAMAGE THAT COMPONENT

maar zoals bij Ars Technica al opgemerkt, niemand die dat zal lezen. En dat is dan een wettelijk probleem: dergelijke informatie moet duidelijk worden aangereikt, en mag niet zijn verstopt in een EULA, privacyverklaring of ander juridisch document.

Ik ben zelf altijd geneigd pas kwade opzet te vermoeden als incompetentie uitgesloten kan worden. Het is denkbaar dat de update dit bricken als een onbedoeld bijeffect heeft, omdat men bij het programmeren alleen rekening hield met het gedrag van de eigen chips. Maar gezien de breed gevoelde woede twijfel ik daar nu toch aan.

Arnoud

Nieuwste OV-chipkraak maakt zwartrijder onzichtbaar

| AE 2405 | Innovatie, Security | 44 reacties

ov-chipkaart-kraak-perfecte-misdaad.jpgHet is mogelijk te frauderen met de OV-chipkaart zonder gebruik te maken van de poortjes. Daardoor valt het misbruik niet meer te detecteren in de centrale systemen. Dat meldde Webwereld gisteren op basis van Brenno de Winter’s geweldige onderzoeksjournalistiek over de OV-faalkaart. Bij het NOS-journaal mocht ik zeggen dat dit “de perfecte misdaad” is: wel strafbaar maar niets aan te doen.

Hopelijk is dit het laatste hoofdstuk in de langlopende soap rond de OV-chipkaart. Al jaren is bekend dat de kaart grote technische zwakheden vertoont, maar tot nu toe werden die steeds afgedaan als “theoretisch” of “alleen voor übernerds”. Nu is er een Windowsapplicatie waarmee ook mijn vader gratis zou kunnen reizen.

Niet dat hij dat moet gaan doen, want het is en blijft strafbaar. In december werd nog een man veroordeeld wegens computervredebreuk (wtf?) omdat hij zijn OV-chipkaart illegaal had opgewaardeerd en daarmee was gaan reizen. Een kaart faken of zelf opladen valt onder het “valselijk opmaken van een betaalkaart” (art. 232 Strafrecht).

Op zich snap ik dus dat TLS na bekend worden van deze hack aangifte heeft gedaan. Alleen: ik mag hopen dat het OM die allemaal in het halfronde archief stopt, pardon via politiesepot afdoet zodra de woordvoerder weer naar buiten is. De strafwet is bedoeld voor die gevallen waarin je goed beveiligde kaart ondanks al je inspanningen toch vervalst werd. Niet als compensatie voor implementatiefalen van de leverancier.

Wie zijn huis totaal niet beveiligt, mag niet verwachten dat de politie veel doet om diefstal van zijn spullen op te lossen. Evenzo zie ik niet waarom TLS nu mag verwachten dat de politie het probleem van hun rammelende beveiliging gaat oplossen.

En nee, ik reis niet zwart maar keurig met (papieren) kaartjes.

Arnoud

Hacken OV-chipkaart is computervredebreuk (wtf?)

| AE 2347 | Security | 20 reacties

Een 30-jarige hacker is in Utrecht veroordeeld voor het vervalsen van 20 ov-chipkaarten, las ik bij Webwereld. Hij krijgt 60 uur werkstraf voor dit vervalsen, dat door de rechter “computervredebreuk” wordt genoemd. Hoogst merkwaardig. Wel terecht is de veroordeling wegens vervalsen van een betaalkaart. De rechter spreekt van “binnendringen in de chip” van de OV-kaart…. Lees verder