Verantwoord hacken van beveiligingen is legaal

Tweakers in de bocht: het testteam van Tweakers haalt de biometrische USB-stick BioSlimDisk Signature volledig uit elkaar, en ontdekt hoe men de beveiliging voor de gek kan houden. Ze deden dat al eens eerder trouwens. Maar het gaat me deze keer om hoe men omging met de bevindingen:

De lezer zal begrijpen dat we wederom verrukt waren met het resultaat; weer een stick bezweken. Zoals de regels van responsible disclosure vereisen, hebben we uiteraard voor publicatie contact opgenomen met de leverancier. De Nederlandse importeur verwees ons direct door naar de fabrikant. Deze nam vanuit het hoofdkantoor in Singapore contact op.

De fabrikant wilde de hack wel erkennen, maar gaf direct aan dat Tweakers.net een prototype getest had, een prototype dat niet op de markt zal verschijnen. In de definitieve stick zouden extra beveiligingen zijn aangebracht die de door ons uitgevoerde hack zouden moeten voorkomen.

En zo hoort het. Het is in Nederland toegestaan om de beveiliging te testen van je eigen apparatuur. Er zijn uitzonderingen, zoals het aanpassen van regio-restricties of het omzeilen of uitschakelen van kopieerbeveiligingen. En andermans systeem hacken “om de beveiliging te testen” mag natuurlijk niet zonder toestemming.

De interessante vraag is natuurlijk, wat mag je met het resultaat? Je hebt natuurlijk recht op vrije meningsuiting, ook (juist!) voor maatschappelijk relevante zaken als een onveilig systeem. Vandaar dat zo vaak gepleit wordt voor full disclosure: publiceer alle details over beveiligingsfouten, zodat iedereen er rekening mee kan houden.

Een nadeel van full disclosure is dat ook kwaadwillenden meteen leren van de fouten, en er gebruik van kunnen maken terwijl de fabrikant nog bezig is met de reparatie. Dat pleit dan weer voor geheimhouding. Alleen, ervaringen uit het verleden leren dat niet alle leveranciers even snel aan de slag gaan met gemelde beveiligingsfouten. Full disclosure is voor een deel dan ook een reactie op deze praktijk: publicatie dwingt de leverancier zo snel mogelijk aan de slag te gaan en met een reparatie (bug fix) te komen.

Een tussenvorm is responsible disclosure: geef de leverancier of fabrikant een redelijke tijd om de fout te repareren, en houd de fout geheim zolang er uitzicht is op een snelle reparatie. Blijkt de leverancier onwillig of duurt het onredelijk lang om tot een oplossing te komen, dan publiceer je de fout zodat mensen in ieder geval weten dat het probleem bestaat, en ze een lapmiddel kunnen verzinnen.

Hoe dan ook, publicatie van zulke resultaten mag. Een dergelijke publicatie moet wel duidelijk gericht zijn op een wetenschappelijk of journalistiek doel, en rekening houden met de redelijke belangen van de fabrikant. De publicatie mag niet ontaarden in een recept of instructies om het systeem te kraken, want dat dient geen legitiem doel en is er vooral op gericht de fabrikant schade toe te brengen. En dat mag niet.

Kortom, doe het zoals Tweakers

Wat overigens helaas niet uitsluit dat je toch juridische problemen tegen kunt komen. Dat ondervond Fox-IT bij het testen van een serie beveiligde USB-sticks. De bedrijven wier producten slecht uit de tests kwamen, begonnen over “smaad” en “reputatieschade”, en dreigden met advocaten. De bedrijven in kwestie hadden het rapport trouwens nog niet gezien toen een van de wel succesvolle firma’s al met een juichend persbericht naar buiten kwam. Dat was inderdaad niet zo netjes. De bedrijven allemaal op de hoogte houden is dus wel belangrijk.

Arnoud

Hergebruik van andermans idee, mag dat?

Een lezersvraag over de mogelijkheid andermans idee te hergebruiken:

In een Amerikaans boek kwam ik iets interessants tegen. Een bekende designer heeft een systeem ontworpen waarmee hij alle vrouwen in kan delen in 48 types (wel zo gemakkelijk toch?). Helaas doet hij hier verder weinig mee (hij heeft dus alleen dat boek geschreven). Ik vind dat zijn ideeën ook in Nederland verspreid moeten worden. De inhoud, titel, vormgeving moet dan echter wel drastisch worden veranderd (te Amerikaans). De opzet van het boek is verder prima. In hoeverre schend ik zijn auteursrecht wanneer ik “zijn theorie en ideeën” als uitgangspunt neem voor een eigen boek?

Een idee is vrij. Je mag dus je eigen boek schrijven over 48 types vrouwen. Wat niet mag, is de uitwerking uit dat boek vertalen en in je eigen boek overnemen. De namen en beschrijvingen van die 48 types zul je dus zelf moeten invullen. Maar ik denk dat Nederlandse vrouwen onvergelijkbaar zijn met Amerikaanse, dus dat zou geen probleem moeten zijn. (Toch? Dames, laat van u horen, tot nu toe is deze blog men only gebleken)

Vermeld je zijn theorie, dan mag je stukken citeren uit zijn boek (ook in vertaling), mits je dat maar zo kort mogelijk houdt en uiteraard de bronvermelding noemt.

Geheel los van het auteursrecht en andere juridische zaken denk ik dat het wel zo netjes is om te noemen op wiens werk je je baseert. Het kan worden gezien als plagiaat om zonder bronvermelding je eigen uitwerking van andermans idee te presenteren. Ook als er geen sprake is van inbreuk op het auteursrecht.

Arnoud

“Het bekijken van onze HTML-code is verboden”

Weer eentje in de categorie maffe algemene voorwaarden: de User Agreement/Privacy Policy van Dozier Internet Law.

As you may know, you can view the HTML code with a standard browser. We do not permit you to view such code since we consider it to be our intellectual property protected by the copyright laws. You are therefore not authorized to do so.

Grapjassen. Moet ik nog citaatrecht zeggen?

U kent Dozier misschien nog van hun auteursrechtelijk beschermde blafbrief.

Via Techdirt.

Arnoud

AT&T respecteert vrije meningsuiting in algemene voorwaarden

Begin oktober werd bekend dat AT&T in haar algemene voorwaarden een verbod had opgenomen op het leveren van kritiek op het bedrijf. Wie dat toch deed, kon per direct worden afgesloten.

Dat gaf nogal wat herrie in de tent, vandaar dat AT&T nu bijgedraaid is. In haar terms of service staat over dit onderwerp nu:

5.1 Suspension/Termination. AT&T respects freedom of expression and believes it is a foundation of our free society to express differing points of view. AT&T will not terminate, disconnect or suspend service because of the views you or we express on public policy matters, political issues or political campaigns. …

Via Slashdot.

Arnoud

De auteursrechtelijk beschermde blafbrief

Blafbrieven zijn boos klinkende brieven van advocatenkantoren waarin in dure juridische taal iets met de strekking van “u doet iets en wij willen dat u daarmee ophoudt” wordt geroepen, liefst met de nodige algemene dreigementen zoals “wij behouden ons alle opties voor, inclusief de gang naar de rechter”. Natuurlijk mag een advocaat wel dreigen, maar dan moet er wel iets aan de hand zijn. Een blafbrief is puur bedoeld als intimidatie naar een juridische leek.

Als tegenreactie op dat soort acties hebben veel internetters tegenwoordig de hobby om blafbrieven integraal op internet te zetten. Tussen je lezers zit vast wel iemand met juridische kennis die er dan een paar mooie gaten in kan schieten. En als die brief naar meerdere mensen is gestuurd, valt dat nu op en dan kan er misschien een collectieve tegenactie worden gestart.

Zo ook de Amerikaanse club Public Citizen. Deze had wat onaardigs gezegd over de infomercials van DirectBuy, waarop de huisadvocaat reageerde met, inderdaad, een blafbrief. En wat staat daar nu onderaan:

Please be aware that this letter is copyrighted by our law firm, and you are not authorized to republish this in any manner. Use of this letter in a posting, in full or in part, will subject you to further legal causes of action.

Dit komt wel vaker voor, meldt Techdirt. Door te roepen dat er auteursrecht op de brief rust, hoopt men te voorkomen dat de ontvanger deze publiceert, zodat de zaak geen ongewenste aandacht krijgt.

Nu kan een mooi geschreven stuk juridisch proza best beschermd zijn door het auteursrecht, maar dit is toch niet bepaald waar auteursrecht voor bedoeld is. Verkoopt de advocaat normaal licenties op deze teksten? Welke Cedar-afdeling moet ik hebben voor de rechten van juridische tekstschrijvers?

Nog even afgezien van het Amerikaanse recht op fair use, het mogen hergebruiken van een werk voor een legitiem doel zoals kritiek. Dat gaat hier zeker op, meldt William Patry, Google’s Copyright Counsel. De advocaat heeft dus geen poot om op te staan.

Via Slashdot en Ars Technica.

Arnoud

Nederlandse ISP’s voor Indiase rechter wegens smaad?

De internetproviders XS4ALL en Antenna zijn in India voor de rechter gedaagd, meldt o.a. Planet. De uitlatingen in kwestie zijn gedaan door de actiegroepen Schone Kleren Kampagne (SKK) en de Landelijke India Werkgroep. Antenna is een internetprovider voor maatschappelijke organisaties, en maakt gebruik van het netwerk van XS4All.

In Nederland maakt zo’n zaak geen kans; providers zijn niet aansprakelijk voor smadelijke uitlatingen gedaan door gebruikers. Ook niet strafrechtelijk. Tenminste, als de uitlating evident smaad is en de provider die weghaalt bij klachten. Kennelijk heeft India deze vrijwaring nooit in haar wet opgenomen.

ISPam wijst nog op een aanverwant punt:

XS4ALL weet niet zo goed wat ze met de situatie aanmoeten en maakt zich vooral zorgen over de vraag of de rechtszaak gevolgen kan hebben voor haar directie. Door het Indiase Metropolitan Magistrate Court of Bangalore is namelijk een arrestatiebevel uitgevaardigd tegen alle gedaagden, dat mogelijk gisteren is omgezet in een internationaal opsporingsbevel.

Smaad is een strafbaar feit, en voor strafbare feiten begaan in het buitenland kun je onder omstandigheden worden uitgeleverd. Alleen zijn de eisen daarvoor (in de Uitleveringswet) wel streng.

Ten eerste moet er een uitleveringsverdrag zijn met het land in kwestie. Dat is er volgens Uitlevering.nl met India, al heeft de Verdragenbank daar geen gegevens over.

Ten tweede moet het feit zowel hier als in India strafbaar zijn, en met meer dan een jaar cel als mogelijke straf ook nog. Nu is smaad bij ons ook strafbaar, maar de maximumstraf is zes maanden (art. 261 Wetboek van Strafrecht). Dus daar houdt het al meteen op.

Verder zijn er nog eisen als: de persoon mag niet al in Nederland voor hetzelfde feit veroordeeld zijn geweest en het feit mag niet in Nederland al verjaard zijn. En als laatste mogen Nederlanders alleen worden uitgeleverd als het land belooft dat hij zijn eventuele straf in Nederland mag uitzitten.

Al met al een rare kwestie, waar ook al Kamervragen over gesteld zijn.

Arnoud

Inbeslagname van foto’s van agenten door diezelfde agenten

Portretrecht voor de politie, een vaak terugkomend onderwerp. De politie maakt zich vaak druk om haar portretrecht. In het Dagblad van het Noorden wordt een politiewoordvoerder geciteerd naar aanleiding van de inbeslagname van foto’s van een medewerkster van 112Drenthe.com:

Politiewoordvoerder Bert Peters meldt echter, dat de genomen foto’s in strijd zijn met het portretrecht van de agenten. ”Op die foto’s staan agenten individueel afgebeeld. Kijk, bij een politieoptreden bestaat natuurlijk altijd de kans dat er een persfoto van de algemene situatie wordt gepubliceerd. Dat is ook geen probleem. Maar nu gaat het puur om de agenten zelf, die eventueel op een nieuwssite kunnen worden getoond. We hebben overigens van het openbaar ministerie begrepen dat we op een goede manier hebben gehandeld. Maar het is uiteindelijk de rechter die beslist of we terecht of onterecht hebben gehandeld.”

Een portret mag niet worden gepubliceerd als de geportretteerde daar een redelijk belang tegen heeft. Privacy is voor een agent een duidelijk belang, zeker bij impopulaire activiteiten als het flitsen van snelheidsovertreders. Mensen moeten hun frustraties over geflitst worden niet gaan verhalen op de individuele agent die de foto heeft gemaakt.

Aan de andere kant vervult een agent een openbare taak, en die kunnen fotograferen is in het algemeen belang. Zo kunnen wij controleren of die taak wel goed vervuld wordt.

Voor zo’n belangenafweging hebben we inderdaad de rechter. Die kan beslissen dat de foto niet mag worden gepubliceerd, al zal hij dat niet snel doen: hij kan bijvoorbeeld ook eisen dat de gezichten van de agenten onherkenbaar gemaakt worden.

Het duurt alleen soms lang voor je bij de rechter staat, en als in de tussentijd die foto vrolijk op internet staat, is het kwaad al geschied. Een schadevergoeding en verder verbod is dan een schrale troost. Een inbeslagname meteen na het maken van de foto lijkt dan logisch. Blijkt bij de rechter dat de foto geen kwaad kan, of dat b.v. onherkenbaar maken geen probleem is, dan kan deze worden gepubliceerd. Vandaar dat die agenten meteen de geheugenkaart opeisen en in beslag nemen.

De journalisten onder u zijn nu al aan het scrollen naar de comments-gleuf om “CENSUUR!!1!” te typen. Want dit riekt wel naar voorafgaande vergunning om iets te mogen publiceren. En die heb je in Nederland niet nodig.

Nou, ongeveer. Een publicatieverbod vooraf kan op zich wel, maar dat verbod moet dan wel de enige manier zijn om de privacy of wat dan ook van de persoon in kwestie te beschermen. (Ja, Indymedia heeft ongelijk). Bij een gewone burger ’s nachts met een telelens een foto in de slaapkamer nemen om die op Nu.nl te zetten, zal een rechter geen moeite hebben met een voorafgaand verbod.

In het geval van politieagenten ligt dat anders, vanwege dus dat algemeen belang en het toezicht op de openbare taak. Het lijkt mij dan ook dat een agent wel een hele bijzondere reden moet hebben om een geheugenkaart op te eisen om zo publicatie van een foto van zichzelf te verbieden.

Tegelijkertijd hebben mensen die agenten fotograferen wel een grote verantwoordelijkheid: als de agent schade lijdt door de publicatie, kan dat al snel flink in de papieren lopen. En dat komt dan voor rekening van de fotograaf/publicist, waarbij de rechter weinig medelijden zal hebben.

Om nog maar niet te spreken van alle bekeuringen de komende tien jaar voor 2km/u te hard rijden, een ontbrekend achterlicht op de fiets, toeteren zonder noodzaak, vergeten hand uit te steken of het trekken van een aanstootgevend gezicht.

Via Volledig bericht, pardon Boek 9.

Arnoud

Account afsluiten wegens kritiek op provider?

Weer eentje in de categorie maffe algemene voorwaarden: artikel 5.1 van de AT&T Legal Policy.

5.1 Suspension/Termination. … AT&T may immediately terminate or suspend all or a portion of your Service, any Member ID, electronic mail address, IP address, Universal Resource Locator or domain name used by you, without notice, for conduct that AT&T believes … tends to damage the name or reputation of AT&T, or its parents, affiliates and subsidiaries.

Het is dus verboden om kritiek op AT&T te leveren vanaf je AT&T account, aldus Slashdot.

In de praktijk zal dat echter wel meevallen. Ars Technica meldt al terecht dat deze bepaling inzetten tegen critici zo’n storm van protest zal oproepen dat AT&T dat nooit zal durven.

Maar stel nu even dat ze zo dom zijn dat toch te doen. Wat dan, juridisch gezien?

Zowel in de VS als in Europa is de vrije meningsuiting een grondrecht. De Amerikanen hebben hun beroemde First Amendment, en wij artikel 10 van het EVRM. Daarin staat dat een beperking op de vrije meningsuiting alleen mag als deze bij wet voorzien is en bovendien in een democratische samenleving noodzakelijk is voor bijvoorbeeld de nationale veiligheid of de bescherming van de goede naam van anderen. De reputatie van een bedrijf bewaken zal niet snel “noodzakelijk” zijn in de zin van dit artikel.

Bovendien zijn dit algemene voorwaarden en voor zulke afspraken geldt een strenger regime dan voor ‘gewone’ contractuele afspraken. Een algemene voorwaarde die onredelijk bezwarend is, kan door de rechter worden vernietigd. Een voorwaarde die het grondrecht op de vrije meningsuiting inperkt, lijkt mij evident onredelijk bezwarend.

Via Tweakers.

Arnoud

Hack uw concurrent – mag dat?

Voor bedrijven die hun concurrenten online te pakken willen nemen zijn er dan ook genoeg mogelijkheden, meldt Security.NL.

Wat te denken van het spammen van de concurrent z’n blog, zodat zoekmachines het blog slecht indexeren. Ervoor zorgen dat “sociale media” de URL van de concurrent bannen. Het kopiëren van RSS content en dan snel zelf online plaatsen, het gebruik van 301 redirects, DoS-aanvallen, clickfraude, AdSense misbruik en het manipuleren van de rating binnen zoekmachines.

In de VS is wetgeving om misbruik tegen te gaan, aldus het artikel. En in Nederland? Sommige voorbeelden zijn evident computercriminaliteit, dus daar ga ik niet op in. De moeilijke gevallen:

Spammen namens de concurrent<BR/> Al langer bekend in e-mail (de joe job) maar kennelijk nu ook op websites. Spam alle mogelijke forums vol, zogenaamd uit naam van je concurrent en met links naar diens site. Zo maak je een hoop mensen boos – op die concurrent. En met een beetje geluk ziet Google zijn site nu ineens voor een spamvertised site aan en gaat ‘ie lager in de index.

Een aanverwante truc is de site van de concurrent te spammen op sociale sites als Digg, Reddit of NUjij. Als dat te vaak gebeurt, wordt deze door de site geblokkeerd en kan niemand meer artikelen van die site nomineren.

Dit is waarschijnlijk te zien als valsheid in geschrifte (art. 225 Wetboek van Strafrecht):

het valselijk opmaken of vervalsen van een geschrift dat bestemd is om tot bewijs van enig feit te dienen, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken

Een elektronisch document is ook een “geschrift”. Andermans naam invullen is “valselijk opmaken” van het geschrift. En de bedoeling daarvan is de hele wereld te laten denken dat die ander het heeft geschreven.

Je zou ook kunnen denken aan oplichting (art. 326 Wetboek van Strafrecht):

met het oogmerk om zich of een ander wederrechtelijk te bevoordelen,
– hetzij door het aannemen van een valse naam of van een valse hoedanigheid,
– hetzij door listige kunstgrepen,
– hetzij door een samenweefsel van verdichtsels,
iemand beweegt tot de afgifte van enig goed, tot het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer, tot het aangaan van een schuld of tot het teniet doen van een inschuld

Alleen is dan de vraag wie er wordt aangezet tot het afgeven van die goederen of dat geld. En wat wordt er afgegeven?

De site-beheerder (of de stemmende gebruikers) kunnen misschien nog betogen dat ze bedrogen zijn (art. 3:44 Burgerlijk Wetboek):

het iemand aanzetten tot een rechtshandeling door enige opzettelijk daartoe gedane onjuiste mededeling, door het opzettelijk daartoe verzwijgen van enig feit dat de verzwijger verplicht was mede te delen, of door een andere kunstgreep.

Maar dat is geen strafbaar feit! Het is een reden om een overeenkomst (contract) te kunnen vernietigen. Hiermee kan de site bijvoorbeeld een gebruikersaccount opheffen als blijkt dat de gebruiker een valse naam heeft ingevuld. Jezelf registreren bij een site is tenslotte een overeenkomst, inclusief gebruiksvoorwaardenf waar je mee akkoord moet gaan.

Als bij zo’n actie de merknaam van het bedrijf wordt gebruikt, is dat soms te zien als merkinbreuk: afbreuk doen aan de reputatie van het merk.

Duplicaat content
Zoekmachines zijn allergisch voor gedupliceerde content. Met allerlei algoritmes worden pagina’s herkend die te veel op elkaar lijken, zodat alleen het ‘origineel’ getoond wordt bij de zoekresultaten. Maar ja, wat is het origineel? Precies, en daar kun je misbruik van maken: kopieer de site van je concurrent een paar keer, zorg dat de kopie aandacht krijgt, en daar gaat het origineel.

Inbreuk op auteursrecht. Duh.

Adsense sabotage
Google’s Adsense programma is berucht hypergevoelig als het gaat om klikfraude. Klik te vaak op de advertenties op je eigen site, en hop je ligt er uit. De mogelijkheden voor misbruik bij de site van de concurrent laat zich raden. Vooral omdat Google niet in discussie gaat over uitsluiting wegens fraude.

Dit is de lastigste. In principe is er niets mis met veel klikken op een advertentie. Maar hier is het doel natuurlijk niet netjes: je wilt een inkomstenbron van je concurrent saboteren. Dat lijkt me juridisch niet in de haak, al zou ik zo gauw geen wetsartikel weten. Gelukkig hebben we in Nederland dan altijd nog het grote kapstokartikel: strijd met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt (6:162 BW).

Arnoud

Ask.com niet aansprakelijk voor samenvatting bij zoekresultaat

De korte samenvattingen bij zoekmachine-resultaatpagina’s kunnen soms pijnlijk zijn. In de VS probeerde ene Bill Murawski gouverneur van New York te worden, wat niet lukte. Volgens hem gedeeltelijk omdat de site Politics1.com met zoekmachine Ask.com samenzwoer om hem te presenteren als een communist. Want Politics1 toonde dit lijstje kandidaten:

Maura DeLuca (SWP)-Garment Worker & Communist Political Organizer

& Ben O’Shaughnessy (SWP)-College Student & Communist Political Organizer

Bill Murawski (Write-In)-Journalist, Public Access TV Show Producer & Frequent Candidate

& Donald Winkfield (Write-In)-Journalist

En wat kreeg je dan in de resultaten te zien als je op Ask.com zoekt naar “Bill Murawski”:
Communist Political Organizer Bill Murawski

De zaak werd afgewezen omdat zoekmachines niet aansprakelijk zijn voor de inhoud van de webpagina’s die ze indexeren. En het lijstje bij Politics1 was niet zodanig verwarrend dat een redelijk mens er de verkeerde dingen van zou denken.

Via Technology & Marketing Law Blog, dat zal opkijken van de Nederlandstalige trackback.

Arnoud