Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie

| AE 6768 | Ondernemingsvrijheid, Security | 22 reacties

botnetMicrosoft heeft maandag ruim twintig domeinen van No-IP, een veelgebruikte ddns-provider, offline laten halen, meldde Tweakers. No-IP biedt dynamische domeinnamen die volgens Microsoft veel gebruikt worden door de Bladabindi- en Jenxcus botnets. Met een ex parte temporary restraining order (TRO) heeft Microsoft het voor elkaar gekregen beheerder van 23 domeinnamen in beheer bij No-IP te worden, om zo de controle over die botnets over te kunnen nemen. Maar wacht even, sinds wanneer kan een private partij domeinnamen afpakken?

Hoewel Microsoft zich beroept op strafwetgeving, is het bevel gebaseerd op het civiele recht. De strafwet overtreden is ook onrechtmatig, oftewel daar mag je een schadeclaim over indienen. Kort gezegd dus: Microsoft en haar klanten lijden schade door het nalatig handelen van No-IP, en de nalatigheid volgt uit die strafrechtartikelen zoals computervredebreuk. En wie schade veroorzaakt, moet daarmee stoppen (en de schade vergoeden). Op zich niet heel bijzonder. In Nederland zou Microsoft een kort geding tegen No-IP beginnen.

Een TRO lijkt een beetje op ons kort geding: er is spoed en er moet nú een maatregel komen om het probleem op te lossen. Ons kort geding is echter een ‘echte’ rechtszaak, met hoor en wederhoor. Een TRO aanvraag is makkelijker te krijgen en de procedure is korter. Zeker als je deze ex parte aanvraagt: dan wordt de wederpartij niet eens gehoord. Dat is in Amerika te rechtvaardigen als er echte bloedspoed is, en rechters zijn er niet happig op dat te erkennen.

In de Microsoft-TRO werd genoeg bloedspoed ontwaard om deze toe te staan, zelfs zonder No-IP te horen. No-IP is daar best boos om: Microsoft zou haar nooit zelfs maar gebeld hebben, en hadden ze dat gedaan dan zou No-IP’s abuseafdeling meteen in actie zijn gekomen. Microsoft zegt dat ze No-IP wél gecontacteerd hebben en dat het bedrijf niets heeft gedaan. Een lastige welles/nietes (lees ook de comments bij het Tweakersartikel met vele gezichtspunten) waarbij ik geen idee heb wie er gelijk zou hebben.

Is de maatregel op zich gepast? Tsja. Als No-IP werkelijk niet adequaat reageert op de botnets bij haar klanten, en Microsoft (en diens klanten) lijden daar werkelijk schade door, dan komt er een moment dat dit een gepaste maatregel is. Botnetschade is serieus en een botnet tegenhouden lijkt me dan ook een goede grond voor juridische acties.

Het alternatief is natuurlijk No-IP dwingen zélf de domeinnamen te blokkeren of verkeer daarheen te filteren (wat Microsoft zelf nu doet). Ik denk dat in Nederland dat eerder opgelegd zou worden bij een kort geding. Het voelt logischer om de schadebeperkende maatregelen op te leggen aan de eigenaar van het spul. Alleen: wie kán dit het beste, Microsoft of No-IP? En wat te denken van het argument dat de domeinnaamhoster zou profiteren van de malware. Dan wil je zeker niet dat zij de opdracht krijgen te gaan filteren.

Wat vinden jullie? Had No-IP gedwongen moeten worden dit zelf te doen? Hoe had dit wél opgelost moeten worden?

Arnoud

Amerikaanse rechter claimt rechtsmacht over data op Europese Microsoft-servers

| AE 6602 | Privacy, Regulering | 41 reacties

cloud-flag-usaEen Amerikaanse rechter heeft bepaald dat Microsoft data moet afgeven aan Justitie, ondanks het feit dat die data op een server in Ierland staat en onder beheer is van Microsofts Ierse dochter. Dat meldde Slashdot gisteren. Microsoft had de search warrant aangevochten met de stelling dat de Ierse dochter buiten Amerikaanse jurisdictie valt, maar de rechter bepaalt nu dat dit geen relevant argument is bij clouddatavorderingen.

Het gelinkte Reuters-artikel legt uit dat het ging om e-maildata van een klant die op servers in Ierland stond. Deze servers worden beheerd door Microsofts Ierse dochter. Toen het moederbedrijf het bevel kreeg deze data af te geven, stapte men naar de rechter – zoals het bedrijf al meerdere malen had gemeld te zullen doen, in een poging angst over wereldwijd Patriotactdatagraaien bij Europese bedrijven en instellingen weg te nemen.

Het argument van Microsoft was gestoeld in twee eeuwen jurisprudentie: de Amerikaanse Justitie kan geen bevel geven om een buitenlands huis (of kantoorgebouw) te doorzoeken, ook niet als dat huis van een Amerikaan is. Daar mag men simpelweg niet in zoeken. En wat is nu het verschil tussen een server en een kantoorgebouw?

De rechter ziet het echter anders: het gaat hier niet om fysiek bezoeken van een locatie maar om het opvragen van data. En het is óók twee eeuwen jurisprudentie dat een Amerikaan die iets heeft dat moet komen brengen als de rechter daarom vraagt. Ook al ligt het iets in kwestie in een ander land. En als je die doctrine loslaat op e-mail dan moet Microsoft Inc de data dus maar gaan halen in Ierland. Of haar dochter bevelen dit te doen, wat ze juridisch kan aangezien dochterbedrijven moeten doen wat hun moederbedrijven zeggen.

Microsoft gaat bezwaar maken tegen deze beslissing. Een goede zaak, want dan krijgen we eindelijk eens écht duidelijkheid over hoe ver Amerikaans clouddatagraaien nu mag gaan. (Overigens gaat het hier niet om de Patriot Act maar de Stored Communications Act, qua concept vergelijkbaar met ons Wetboek van Strafvordering. En nu vraag ik me dus af of onze wet ook zo te lezen zou zijn als toepasselijk op data op een in het buitenland gehoste server van een Nederlands bedrijf. Ik kan er alleen niets over vinden…

Arnoud

Gelden de EULA’s van Apple en Microsoft eigenlijk wel bij aanschaf van een nieuwe computer?

| AE 6458 | Informatiemaatschappij | 25 reacties

safari_license_agreement.jpgEen lezer vroeg me:

Als ik een MacBook van Apple koop (en die koop omvat de computer zelf inclusief het besturingssysteem), krijg ik de AV van Apple (hun EULA) pas te zien als ik de laptop aanzet. Is dat juridisch wel correct? Je moet toch algemene voorwaarden bij de aankoop ter hand stellen en niet pas na thuiskomst?

Een EULA valt in Nederland onder het regime van algemene voorwaarden. Dat houdt in dat ze al snel van toepassing zijn – meer dan melden en ter hand stellen van de tekst is niet nodig. Daar staat tegenover dat ze niet onredelijk bezwarend mogen zijn (bij consumenten). Dat een EULA in Nederland niet rechtsgeldig is, is dus een fabeltje.

De eis van ter hand stellen houdt in dat je voor of bij het sluiten van de overeenkomst de tekst van de EULA te zien moet krijgen. Slechts wanneer het praktisch gezien onmogelijk is om ze te overhandigen, mag je volstaan met melden dát ze er zijn en waar ze in te zien zijn. De Albert Heijn hoeft dus niet bij de kassa haar voorwaarden uit te delen, maar mag ze bij de servicedesk beschikbaar houden.

De vraag is dus of een computerwinkel vergelijkbaar is met Albert Heijn. Dan is het genoeg om te zeggen “Let op: EULA van toepassing op de software” en deze EULA aan de balie op voorraad te houden. Zijn ze ‘kleiner’, dan moet de EULA uitgeprint meegegeven bij elke aanschaf van een computer.

Gek genoeg is er bij mijn weten geen computerboer die bij aanschaf van een PC of Mac zelfs maar die opmerking plaatst dát er een EULA van toepassing is op de software die je koopt. Op dozen van sommige softwarepakketten (zoals Windows 7) staat het wel op de achterkant, dat lijkt me op zich wel genoeg. Maar bij voorgeïnstalleerde (OEM) software krijg je geen doos, dus ook geen achterkanttekst over de algemene voorwaarden.

Wie dus zwaar op de juridische hand wil zijn, mag nu concluderen dat EULA’s op dergelijke preinstalled software en masse niet bindend zijn.

Je vraagt je af waarom niemand daar ooit een punt van maakt. Omdat niemand wakker ligt van EULA’s? Omdat we gedresseerd zijn op “Accept” te klikken bij het installeren?

Arnoud

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

| AE 6300 | Security | 9 reacties

Om het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van… Lees verder

Mag je OpenOffice verkopen en daarbij aanhaken bij Microsoft’s bekendheid?

| AE 5621 | Intellectuele rechten, Ondernemingsvrijheid | 32 reacties

Tip via Twitter: mag je software proberen te verkopen door een ander softwarepakket te imiteren? Het blijkt te gaan om Officedownloadcenter.nl waar men “populaire office software direct [kan] digitaal downloaden”. En nee, dan val ik niet over de onmogelijkheid van analoog downloaden: bekijk die site en zeg me dat je geen seconde aan een Microsoft… Lees verder

Moet ik de Outlook-kalenders op kantoor openzetten?

| AE 2667 | Ondernemingsvrijheid, Privacy | 35 reacties

Een lezer vroeg me: Als systeembeheerder bij een MKB-bedrijf kreeg ik de instructie om alle Outlook-kalenders openbaar toegankelijk te maken voor alle mensen binnen het bedrijf, zonder de betrokkenen daarvoor apart toestemming voor te vragen. Het betreft hier niet alleen de beschikbaarheidsinformatie die standaard wordt getoond, maar ook de inhoud van de individuele afspraken. Als… Lees verder

Mogen wij illegale-Windowsgebruikers wel helpen?

| AE 1968 | Intellectuele rechten | 24 reacties

Een lezer vroeg me: Op ons forum helpen we computergebruikers met het verwijderen van virussen, spyware en dergelijke. Nu zegt een van onze leden dat wij mensen niet toe mogen laten die een illegale versie van Windows gebruiken, omdat we dan medeplichtig zijn aan het schenden van auteursrechten van Microsoft. Is dat zo? Juridisch zie… Lees verder

Microsoft moet browserkeuze bieden in Windows 7

| AE 1647 | Innovatie | 33 reacties

De Europese Commissie heeft sceptisch gereageerd op het besluit van Microsoft om Windows 7 in Europa zonder Internet Explorer te leveren, meldde Tweakers gisteren. Microsoft zou volgens de Commissie zijn dominante positie in de markt voor besturingssystemen misbruiken door de IE-webbrowser te bundelen (tying), iets dat verboden is onder de Europese mededingingswetgeving. Microsoft’s voorstel doet… Lees verder

TomTom aangeklaagd voor patentinbreuk, Linux ook?

| AE 1480 | Intellectuele rechten | 10 reacties

Nee, die kratjes vrij bier moeten nog even wachten. Microsoft heeft gisteren TomTom voor de rechter en de International Trade Commission gedaagd, omdat TomTom’s routeplanners inbreuk op vijf patenten van de marktleider zou maken. TomTom gebruikt Linux in die apparaten, dus dit is “het begin van de patentoorlog” aldus Slashdot. De rechtszaak is nieuws, maar… Lees verder