Wanneer is het hebben van een Remote Acces Tool en een Keylogger strafbaar?

| AE 11106 | Regulering, Security | 22 reacties

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te hebben? Er zijn zo veel tools voor remote access, hoe moet je nu weten wanneer dat wel of niet strafbaar is?

Het enkele feit dat software geschikt is voor remote access maakt deze natuurlijk niet meteen een hulpmiddel voor computervredebreuk. De wet spreekt van “ontworpen of geschikt gemaakt” voor het misdrijf (art. 139d lid 2 Strafrecht), en niet alle binnengaan of binnendringen in andermans computer is een misdrijf. Een ICT-bedrijf kan immers prima legaal bij de klant zijn computer binnengaan om onderhoud te plegen onder een contract, of op verzoek inloggen om een probleem te herstellen.

Dergelijke software kan ook door criminelen worden gebruikt om stiekem bij mensen binnen te dringen, en dan bijvoorbeeld data te gijzelen of te verkrijgen, of om de computer als springplank voor een aanval elders te gebruiken. Dat zijn misdrijven.

Hoe zie je dan het verschil? Zoals ik wel vaker zeg, dat zie je aan de intentie van hoe de software wordt vermarket en hoe deze in de markt bekend staat. De software Blackshades staat bekend als hackingtool:

Blackshades is the name of a malicious trojan horse used by hackers to control infected computers remotely. The malware targets the computers using Microsoft Windows -based operating systems. According to US officials, over 500,000 computer systems have been infected worldwide with the software. … Blackshades infects computer systems by downloading onto a victim’s computer when the victim accesses a malicious webpage (sometimes downloading onto the victim’s computer without the victim’s knowledge, known as a drive-by download) or through external storage devices, such as USB flash drives.

De rechtbank is dan ook van oordeel dat de Blackshades software hoofdzakelijk is ontworpen om het plegen van computervredebreuk mogelijk te maken. Daarmee is bezit van deze software dus strafbaar. Dat de software ook gebruikt kan worden voor legale activiteiten is dan niet relevant; het gaat erom of hij hoofdzakelijk bedoeld is voor illegale zaken. En gezien hoe deze software algemeen bekend staat, en het soort features dat aan boord is, is dat hier dus het geval.

De verdachte wilde zich aansluiten bij de reeds bestaande Blackshades organisatie, en kreeg dat op zeker moment ook voor elkaar. Bovendien had hij wetenschap van alle functionaliteiten en illegale mogelijkheden van deze software. Dat maakt hem ook strafbaar voor het voorhanden hebben van die software, én voor medeplichtigheid aan misdrijven zoals binnendringen en denial of service aanvallen.

Arnoud

Van wie is samen geschreven software eigenlijk?

| AE 10817 | Intellectuele rechten | 19 reacties

Een lezer vroeg me:

Samen met een kennis werk ik al geruime tijd aan een stuk software, dat we gebruiken voor een betaalde webdienst. Nu overweeg ik ermee te stoppen, want ik heb privé andere prioriteiten. Ik heb de bulk van het werk gedaan, maar mijn partner ook best aardig wat. Hoe moeten wij dit regelen, aan wie komen deze rechten toe?

Hoofdregel van de Auteurswet is dat de rechten liggen bij de partij die het creatieve werk heeft gedaan. Als twee mensen werk doen, dan ontstaan er dus twee auteursrechten naast elkaar. Ieder van de ontwikkelaars mag dan beslissen wat hij of zij daarmee doet.

Althans in principe, want je moet in alle redelijkheid wel rekening houden met de belangen van de ander. Dit is altijd een heel gedoe om achteraf recht te trekken, zeker als mensen met ruzie uit elkaar gaan. Het is dus veel beter dit vooraf te regelen, of zoals deze vraagsteller het netjes op het moment zelf te willen uitzoeken.

Iets ingewikkelder wordt het als het werk van de twee niet goed los te weven is. Er is dan namelijk sprake van een gemeenschappelijk auteursrecht, één recht dat aan beide ontwikkelaars toekomt. Dat kun je niet zomaar verdelen, je bent er samen eigenaar van. Hier moet dus worden afgesproken wie van de twee het recht meeneemt – en natuurlijk wat de ander er dan nog mee mag doen.

Als een van de twee ermee stopt, dan is het makkelijk. Je spreekt dan af (schriftelijk en met handtekening) dat alle rechten naar de voortzettende partner gaan, en waarschijnlijk zal de stoppende partner dan een afkoopsom ontvangen of een laatste winstuitkering. Je hoeft je dan denk ik geen zorgen te maken over licenties aan de stoppende partner, hij ging immers stoppen.

Willen beiden uit elkaar en apart hetzelfde gaan doen, dan wordt het ingewikkelder. Degene met de rechten staat net wat sterker dan degene die alleen een licentie krijgt om onder die rechten óók te opereren. Je kunt natuurlijk keiharde afspraken maken, maar wat doe je dan als er toch ruzie komt of de partij met rechten verkoopt die aan een derde? Om die reden kan het interessant zijn om in dat geval alle rechten gemeenschappelijk te verklaren, zodat je beiden van elkaar afhankelijk blijft.

Arnoud

Mag je onder de cookiewet bloatware vooraf installeren?

| AE 10750 | Privacy | 2 reacties

Een lezer vroeg me:

De cookiewet bepaalt dat cookies niet mogen worden geplaatst zonder expliciete toestemming van de gebruiker. Het juridische begrip cookies is veel ruimer dan het technische begrip cookies, ook scripts en programma’s vallen eronder. Wat betekent dit voor bloatware? Dat is ongewenste software die al op de computer staat bij aankoop. Waarom is dat geen ‘plaatsen van software’?

De cookiewet (artikel 11.7 Telecommunicatiewet) is inderdaad veel breder dan alleen cookies. Deze wet bepaalt dat er geen informatie mag worden gelezen of geplaatst op iemands randapparatuur (computer, telefoon, tablet) via een telecommunicatienetwerk zonder toestemming. Ongeacht of het met privacy te maken heeft. Dus ook een stiekeme update aan je software is niet toegestaan.

Dit wetsartikel kent ook het geval waarin “op een andere wijze dan door middel van een elektronisch communicatienetwerk” informatie wordt gelezen of geschreven. Ook dat is niet toegestaan. De memorie van toelichting noemt als voorbeelden usb-sticks, cd-roms of externe harde schijven. Maar wat ik mis, is de situatie “het stond al op het randapparaat toen dat op de markt kwam”. Ik denk dat er gewoon niet nagedacht is over deze situatie.

Afhankelijk van wat die bloatware/software precies doet op je computer, zou je misschien kunnen spreken van verboden uitlezen of versturen van informatie vanaf de randapparatuur. Denk aan software die rapporteert dat ie is geactiveerd, of zelfs gegevens van de computer uitleest en doorstuurt. Maar als die software bij het eerste gebruik een en ander meldt en toestemming vraagt, dan is er verder weinig aan te doen vanuit dit perspectief.

Misschien dat je kunt zeggen, de aanwezigheid van zulke software moet worden gemeld omdat het essentiële informatie is over het product. Wordt het niet gemeld, dan is het product nonconform en kun je je geld terugkrijgen bij de winkel. Dat is misschien nog een effectievere oplossing ook.

Arnoud

Mijn klanten eisen dat mijn ontwikkeltraject AVG proof software geeft, kan dat wel?

| AE 10656 | Ondernemingsvrijheid, Privacy | 17 reacties

Een lezer vroeg me: Als softwareontwikkelaar krijg ik steeds vaker vragen of mijn software wel AVG proof is. Ik begrijp die vraag en wil mensen ook best tegemoet komen, maar het voelt wel als een hellend vlak omdat ik dan ineens aansprakelijkheden op me neem. Stel ik bouw een exportfunctie van persoonsgegevens niet in, moet… Lees verder

Licentiecodes meenemen van je werk is geen diefstal

Een licentiecode meenemen van je werk als je ontslag neemt, is geen diefstal of heling. Dat vonniste de rechtbank Den Haag onlangs. De verdachte in deze strafzaak had ontslag genomen en wilde kennelijk met die licentiecode goede sier maken bij de nieuwe werkgever, iets dat de oude werkgever zó ernstig vond dat men aangifte deed,… Lees verder

Kun je Microsoft aansprakelijk stellen voor schade uit een ransomware-aanval?

| AE 9521 | Intellectuele rechten, Ondernemingsvrijheid | 25 reacties

De computersystemen zijn nog steeds niet bruikbaar, zo liggen beide containerterminals van APM in de Rotterdamse Haven nog steeds stil. Dat las ik bij Bright. De ransomware Petya wist vele computers te gijzelen in de IT-omgeving van de Haven, en dat is niet eenvoudig op te lossen. De reden blijkt een bug in Windows, die… Lees verder

Ministers stelt ontwikkelaars aansprakelijk voor softwarefouten

| AE 9502 | Intellectuele rechten, Ondernemingsvrijheid | 23 reacties

Demissionair staatssecretaris Klaas Dijkhoff heeft in een Kamerbrief gezegd zegt dat softwareontwikkelaars op verschillende manieren aansprakelijk zijn voor schade die als gevolg van hun product ontstaat. Dat las ik bij Tweakers. Juridisch gezien zegt hij weinig nieuws; de regels over conformiteit bij producten bevatten immers geen uitzondering voor de software-delen van producten. Nieuw is wel… Lees verder

Moeten we echt elk jaar de copyrightvermelding in onze broncode updaten?

| AE 9248 | Intellectuele rechten | 23 reacties

Een lezer vroeg me: Alle broncodes binnen ons bedrijf hebben een copyrightvermelding, als volgt: Copyright © 2016 $NAAM THIS SOURCE CODE IS THE UNPUBLISHED AND CONFIDENTIAL PROPERTY OF $NAAM< AND MAY NOT BE COPIED, MODIFIED OR DISTRIBUTED WITHOUT PRIOR WRITTEN AUTHORIZATION. (Iets ingekort in verband met leesbaarheid.) Nu moet ik al die notices aanpassen want... Lees verder

Mag Spotify mijn SSD-schijven tot prut reduceren?

| AE 9077 | Informatiemaatschappij | 15 reacties

Oeps. De afgelopen vijf maanden (zo niet langer) heeft de Spotify app zo hard staan schrijven naar de ssd-schijven in telefoons dat deze járen aan levensduur zijn kwijtgeraakt. Dat las ik bij Ars Technica. Frequent schrijven naar ssd schijven is serieus Niet Handig aangezien dat voor grote slijtage zorgt. En nee, het ging niet om… Lees verder

Ben ik nog aansprakelijk als ik het IE op mijn software overdraag?

| AE 9038 | Intellectuele rechten, Ondernemingsvrijheid | 8 reacties

Een lezer vroeg me: Voor een klant heb ik maatwerksoftware ontwikkeld. Zij willen nu het intellectueel eigendom daarop verkrijgen. Op zich prima, alleen wil ik dan geen aansprakelijkheid meer voor fouten. Ik heb er dan immers geen controle meer over. Daar reageerden ze heel verbaasd op. Maar dit is toch geen gekke vraag? Nee, een… Lees verder