Samsung bakt er niets van met algemene voorwaarden voor hun nieuwe oven

| AE 10721 | Informatiemaatschappij | 15 reacties

“To use my oven I have to accept terms and conditions”, klaagde Morten Nielsen recent op Twitter. De hele discussie rond die oven is interessant. Zo blijkt de oven internet op te gaan ook als je dat uitschakelt, de bedienings-app wil toegang tot je contactenlijst en de voorwaarden beperken aansprakelijkheid voor schade nogal. Spannend, want de oven kan op afstand worden bediend namelijk, inclusief voorverwarmen. En natuurlijk zit er alleen stokoude software in. Het internet der dingen wordt zo steeds meer een synoniem voor krakkemikkige prutsapparaten.

Vroeger was het nog wel eens een grap, dat je oven of je auto algemene voorwaarden zou tonen voordat je kon wegrijden. Maar de werkelijkheid heeft dit allang ingehaald: het wegklikken van zulke voorwaarden is een bekend fenomeen bij nieuwere apparatuur. Hoewel ik het zelf bij ovens nog niet heb gezien.

De voorwaarden lijken de algemene cloudvoorwaarden van Samsung te zijn, dus strikt gesproken niet die voor de oven zelf maar voor de diensten die men eraan koppelt. Wie ze leest, zal concluderen dat ze vol staan met gebakken lucht zoals gebruikelijk bij generieke cloudvoorwaarden. Er is een dienst, deze kan wijzigen, er zijn geen garanties en geen aansprakelijkheid en een heleboel meer blabla die niets wezenlijks doet.

Op zich zie ik er niets in dat de werking van de oven betreft, noch dat aansprakelijkheid voor problemen met de oven zou beperken. Dat kan natuurlijk juridisch ook niet. Wel kun je je afvragen wat er zou gebeuren als door een slechte levering van deze dienst de oven oververhit en de keuken in de fik zet. Het lijkt me dat een beetje rechtbank dan de beperking van aansprakelijkheid opzij zet, alleen is hier een complicatie dat je niet naar de rechtbank mag maar private arbitrage moet doen.

Een praktisch probleem bij deze oven lijkt me (zo te zien) wel dat je niet verder kunt zonder de voorwaarden te accepteren. En dat is precies de ergernis die dit oproept: het klopt niet maar je moet wel.

Of het bindend is, die voorwaarden accepteren, is natuurlijk zeer de vraag. Het is rijkelijk laat na het aankoopmoment, en algemene voorwaarden moeten overal ter wereld bij de verkoop worden gemeld of genoemd. Daar staat tegenover dat het de voorwaarden zijn van een aanvullende dienst die je strikt gesproken optioneel afneemt, en ze worden geboden op het moment dat je die aanvullende dienst in gebruik neemt. Dus ik denk dat er vanuit die hoek weinig aan te doen is.

Arnoud

Mag je andermans brakke IoT-apparaten op afstand onschadelijk maken?

| AE 9404 | Innovatie, Security | 25 reacties

De brickerbot is terug, las ik bij Ars Technica. Het gaat om een initiatief van de mysterieuze “Janit0r”, een handige hacker die brakke apparaatjes met internetverbinding kaapt en gebruikt om hun broertjes en zusjes permanent stuk te maken (“bricken”, oftewel de enige resterende functionaliteit is die van een baksteen). Dit omdat dergelijke apparaten zó veel schade aanrichten dat het niet mooi meer is, en geen hond zin heeft daar wat aan te doen.

De frustratie is begrijpelijk. Aanvallen door gekaapte Internet-of-Things apparaten lopen aan alle kanten de spuigaten uit. Zo zette een denial-of-service aanval door gehackte videorecorders en webcams het wereldrecord voor grootste aanval ooit. En dat is belachelijk: hoe moeilijk is het nu werkelijk om een webcam of recorder te beveiligen tegen triviale kapingen?

Het probleem is, zoals security-expert Bruce Schneier recent mooi aangaf, dat niemand zich geroepen voelt er wat tegen te doen. Consumenten vinden het niet hun probleem dat een apparaat lek is. Leveranciers pakken de snelle winst en verwachten geen toename in de verkoop als er “Nu extra veilig tegen hacks” of “100% niet-kaapbaar garantie” op de doos staat. Internetproviders merken weinig van de aanvallen, omdat de data in één specifiek netwerk te klein is om overlast te geven. En voor toezichthouders is het probleem te diffuus om op te treden, nog los van ontbrekende wetgeving. Brakke apparaten aan internet hangen is volstrekt legaal.

De oplossing zit natuurlijk in dat laatste: verplicht leveranciers tot ICT-veilige apparatuur. Net zoals apparaten niet mogen ontploffen en niet giftig mogen zijn, mogen apparaten niet onveilig zijn in de zin van hackbaar of te kapen voor ddos-aanvallen. Dat is niet moeilijk, wel een hoop gedoe en natuurlijk kost het geld, maar als álle leveranciers dat moeten dan blijft het speelveld gelijk.

De tactiek van de Janit0r is slim. Door die apparaten fysiek onbruikbaar te maken, komt het probleem bij de consument te liggen. Die moet nu gaan klagen bij de winkel (waardoor het probleem verschuift) of hij heeft een nutteloos apparaat (waardoor het probleem weg is). En de winkel zou dan bij genoeg klachten zijn inkoopbeleid moeten gaan herzien.

Lastig is natuurlijk: dat mag eigenlijk niet, andermans apparaat permanent uitschakelen. Dat is binnendringen en schade aanrichten, en dat is een strafbaar feit.

Tenzij je zegt: het gaat hier om zaakwaarneming, de juridische figuur waarbij je je bemoeit met andermans zaken om verdere schade te voorkomen. Je mag bij de buren een ruitje intikken als je ziet dat er nog een spreekwoordelijk pannetje melk aan staat terwijl ze net op vakantie zijn gegaan. En als de tuinslang ’s nachts ineens op volle kracht sproeit, mag je die dichtdraaien. Dan mag je dus ook die datalekkende apparaten dichtdraaien, zou dan het argument zijn.

Wat vinden jullie? Terecht gepast ingrijpen of niet?

Arnoud

‘Europa vormt obstakel voor verbeteren veiligheid internet-of-things’

| AE 9298 | Ondernemingsvrijheid | 31 reacties

D66-kamerlid Kees Verhoeven vindt dat de EU veel te traag is met het maken van regels voor de veiligheid van internet-of-things-apparaten, las ik Bij Tweakers. Hierdoor zouden we dan zwaar achter de feiten aanlopen wat betreft toezicht op de veiligheid van iot-apparaten. Hear, hear. Want die dingen zijn zo ongeveer al in de doos gehackt en leveren anderen gigantische schade op. Maar omdat de wetgeving niets zegt over ICT-security, komen leveranciers en winkels ermee weg. Alleen: wat gaan we er aan doen?

Het blijft om te huilen, die brakke beveiliging van internet-enabled apparaten zoals camera’s, videorecorders, televisies, thermostaten en ga zo maar door. Slechts weinig fabrikanten leveren updates bij zulke apparaten, en vaak is het apparaat uit de doos zó achterhaald dat het binnen een kwartiertje gehackt is en als botnet-zombie kan worden gehuurd door wie maar een paar cent beschikbaar heeft.

Ik vind dat van de zotte. Je kunt van gewone consumenten niet verwachten dat ze hier wat tegen doen, al is het maar omdat zulke apparaten zelden te updaten zijn. Terwijl de fabrikant op zich prima een goed niveau van veiligheid kan inbouwen. De reden om het niet te doen, is eigenlijk heel simpel: dat kost geld en het levert niets extra’s op bij de klant. En dat is waarom we wetgeving nodig hebben.

Je kunt twee dingen doen. De gebruikelijke juridische manier is een open norm: een product moet adequate productsecurity hebben, anders boete. Het voordeel daarvan is dat je dan als fabrikant zelf kunt invullen wat je gaat doen (met een motivatie waarom dat “adequaat” is), en dat je ook bij veranderingen in de technologie nog steeds een maatstaf hebt. Nadeel is wel, als je geen fatsoenlijke invulling kunt geven dan heb je een groot risico, want op overtreding van die norm staat een boete. “Pas op of je moet een miljoen betalen”, wat moet je daarmee als bedrijf.

Een andere manier is dat je als wetgever concrete normen gaat stellen. Ik weet niet of die er zijn voor ICT-security bij iot-apparaten, wat gelijk al een stevige hobbel zou zijn. Maar zelfs als ze er zijn, dan moet je dus als wetgever elke maand je regels bijstellen omdat er weer iets nieuws bedacht is. En tot die tijd mogen bedrijven niet verder in een nieuwe richting. Dat geeft wel zekerheid, maar echt werkbaar voor de toekomst lijkt het me niet.

Ik denk dat ik zelf tóch voor open normen ben, gekoppeld aan de plicht voor de toezichthouder om richtsnoeren te maken en uitspraken te doen over best practices in de markt: als je dit doet, dan vinden we het prima. De praktijk laat alleen zien dat toezichthouders dat maar in beperkte mate doen. Voor een deel omdat er gewoon nog best weinig is bij ict-innovaties om een duidelijk richtsnoer voor te maken, en voor een deel omdat bedrijven gelijk het richtsnoer als algemeen geldende wettelijke regel opvatten: je zei op pagina 13 dat een sms-bericht geen algemene voorwaarden hoefde te bevatten, dus hoeft mijn app dat ook niet. Hoe dat op te lossen, daar ben ik nog niet over uit. Maar dat er iets moet gebeuren en snel ook, dat staat vast.

Arnoud

Mag Revolv gewoon apparaten bij mensen thuis uitzetten?

| AE 8700 | Innovatie, Intellectuele rechten | 61 reacties

Revolv, een smarthome-hub van Googles zusterbedrijf Nest, stopt ermee. Dat meldde Tweakers alweer een tijdje geleden. Gebruikers hebben dan ook niets meer aan de 300 dollar kostende hardware waarmee ze hun huis hadden geautomatiseerd. Zeg maar dat je stofzuiger niet meer zuigt omdat Philips haar afdeling Huishoudelijke Apparaten opheft. Kun je daar wat aan doen… Lees verder

Mag mijn smarttv worden ‘verbeterd’ door dingen uit te zetten?

| AE 8421 | Innovatie | 36 reacties

Een lezer vroeg me: Wij hebben een home cinema set met Smart TV. Daarmee kun je met apps van de leverancier televisie kijken, bijvoorbeeld Uitzending Gemist. Op zeker moment werkte dat niet meer, en navraag bij de fabrikant leerde me dat men had “besloten SmartTV niet langer te ondersteunen in het kader van verbetering van… Lees verder

De brakke spullen uit het Internet der Dingen

| AE 8395 | Ondernemingsvrijheid, Security | 26 reacties

De kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en… Lees verder