Mag ik mensen software verkopen waarmee ze onopvallend kunnen valsspelen?

Een lezer vroeg me:

Als freelance programmeur krijg ik allerhande vragen, maar dit is toch wel de gekste: een man wil graag dat ik software maak om bij een niet nader te noemen spel onopvallend vals te spelen. Hij had gelezen dat ik bepaalde kennis heb waarmee dat inderdaad een heel eind moet kunnen, en hij is bereid daar goed voor te betalen. Maar, afgezien van het ethische aspect hieraan, mag dit überhaupt wel? De EULA van het spel vermeldt natuurlijk in koeienletters dat valsspelen verboden is. Ben ik strafbaar als ik hem help?
Je bent niet strafbaar in de zin dat de politie je komt arresteren en je een boete of celstraf kunt krijgen. Dat is een verschil met bijvoorbeeld iemand uitleggen hoe bommen te maken of scripts voor computervredebreuk aan te leveren. Dat is strafbaar, zodat jij als maker van precursors als medeplichtige (verschaffen van gelegenheid, middelen, inlichtingen etc) aangemerkt wordt. Valsspelen in een game is niet strafbaar, dus behulpzaam daarbij zijn ook niet.

Omdat jij de EULA niet hebt geaccepteerd, kan de spelaanbieder je ook geen boete opleggen die in de EULA staat, of je van het spel verbannen – je zit ook niet in het spel, dus de regels van het spel raken jou niet.

Mogelijk dat je in auteursrechtelijke problemen komt als voor het maken van jouw valsspelsoftware het nodig is om de bestaande software aan te passen. Je mag een protocol reverse engineeren en daar dan je eigen client of server voor schrijven, maar niet de client reverse engineeren en klonen in aangepaste vorm.

Mijn gevoel zou zijn hier niet op in te gaan. Niet zozeer vanwege de kans op claims, maar vooral vanwege dat ethische aspect. En de heisa die er omheen komt. Iemand die expliciet wil valsspelen, gaat die ook echt betalen? Is die eerlijk over jouw aandeel als er problemen komen? Ik zou zo’n klant niet willen hebben.

Arnoud

Mag je voor je afstudeeropdracht 17.000 mensen typosquatten?

shell-script-hacker-go-awayEen Duitse student is erin geslaagd zo’n 17.000 mensen zijn eigen script te laten draaien middels typosquatting, meldde Ars Technica onlangs. Hij had het script geïnstalleerd op de bekende sites PyPI, RubyGems en NPM met als naam een spelfout op de 214 populairste scripts daar. “It’s not clear if the experiment broke ethical or even legal boundaries, since it relied on confusion if not outright deceit to trick people into installing something other than what they intended to install,” zegt Ars dan netjes. Nou, ik durf wel een juridisch balletje op te gooien.

De truc van de student was eigenlijk te simpel voor woorden. Steeds meer software maakt gebruik van via internet beschikbare standaardbibliotheken via bekende sites (repositories), en deze worden volautomatisch gedownload bij het gebruik. Natuurlijk typen mensen wel ooit in welk pakket moet worden gebruikt, en daar zit dan de truc: mensen maken spelfouten, en dat levert hier dan een pakket van de slimme student op. Want die had dus eigen software geüpload naar die sites met namen die typefouten van die bekende bibliotheken zijn. Die software deed hetzelfde, maar met een klein stukje tracking dat hem vertelde waar de software gebruikt werd.

Is dit nieuw? Heel algemeen gesproken niet. Typosquatten kennen we al sinds de begintijden van domeinnamen bijvoorbeeld. Binnen software kende ik het echter nog niet. Heel gek is dat ook niet: het is vrij normaal dat als je een bibliotheek wilt gebruiken, dat je die even ophaalt van de bron, er snel doorheen loopt en hem dan in gebruik neemt. Of je software-omgeving zorgt daarvoor, via eerder geïnstalleerde standaardbibliotheken. Recent is echter die trend van “pak het even dynamisch van internet” opgekomen en daar ontstaan nu dus dit soort problemen.

Is het juridisch toegestaan? Nou ja, er is natuurlijk geen harde wet tegen. Typosquatten bij websites was altijd relatief eenvoudig aan te pakken, omdat je dan andermans merk of handelsnaam schond. Maar merknamen op package names, die zijn er niet veel. En dat kán ook niet altijd: veel pakketnamen zijn functioneel en daarmee beschrijvend voor wat ze doen, en dergelijke namen kunnen niet voor merkbescherming in aanmerking komen.

De sites in kwestie kunnen het natuurlijk wel oplossen met eigen regels, zoals we in maart zagen, waar de repository NPM zelf verzon dat de bekendste naam de meeste rechten had. Daar zou dus vrij makkelijk een regel “Geen dingen die typos lijken van andermans namen, hoe functioneel ook” bij kunnen. Niet dat je daar bij echte criminelen veel aan hebt, maar het is iets.

Je zou het met enige fantasie een poging tot binnendringen (computervredebreuk) kunnen noemen. Dan zeg je, hij gebruikte een valse hoedanigheid (de vermomming als de echte bibliotheek) om zijn code naar binnen te smokkelen, met de downloadende ontwikkelaar als willoos werktuig. En die code hoorde niet op die computer te zijn, dus wederrechtelijk.

Het kan, maar dan gaat hier het aspect van de afstudeerscriptie (het afstudeerscript?) spelen. Want criminele activiteiten kúnnen per ongeluk legaal zijn als blijkt dat sprake is van ethisch handelen. Harde regels daarvoor zijn er niet, maar in de cybercontext lijkt me dat wel opgaan voor iemand die een nieuw punt te maken heeft dat van algemeen belang is en dat niet op andere manier dan de criminele aan te tonen is, en bovendien geen schade aanricht. Dus ja, deze ene jongen mocht dit, maar vanaf nu mogen mensen dit niet meer.

Arnoud