EO

Mag je een backdoor inbouwen (of een foute update pushen) om (embedded) software te laten crashen bij wanbetalende klanten?

26 september 2017 om 14:55 uur

Mag je een backdoor inbouwen (of een foute update pushen) om (embedded) software te laten crashen bij wanbetalende klanten?

De eerste keer dat ik softwareprogrammeur Fons tegenkwam, was op ons gratis juridisch spreekuur IE-ICT-Techniek. Deze DGA en tevens hoofdprogrammeur van een klein maar vooruitstrevend engineeringbedrijf zag er vermoeid uit na nachtenlang hardcore programmeren voor een nieuwe klant. Dat was echter niet de enige reden voor zijn vermoeidheid.

 

***Namen van personen en software zijn gewijzigd om herkenning te voorkomen***

 

Zoals dat wel vaker gaat, had hij een nieuwe klant alle vertrouwen gegeven en geen vooruitbetaling gevraagd. Nadat alles, op wat cosmetische dingen na, klaar was - het draaide al bij de klant - , ontstonden er geruchten in de wandelgangen over betalingsachterstanden bij de klant: die leek het businessmodel te hebben om geen enkele leverancier te betalen, met uitzondering van die ene die er dan een procedure aan waagde.

 

U kent ze vast ook uit uw debiteurenbak: alles is eerst prima in orde, na levering deugt er ineens niks meer en ziet men de factuur als uitnodiging tot onderhandeling. 

 

Alleen een kill-switch

Fons had daarom het plan opgevat om een ‘feature' in te bouwen, zodat hij bij wanbetaling de software kon laten crashen. Een soort ransomware dus eigenlijk, maar dan vanuit het gerechtvaardigd belang betaald te worden voor overeengekomen diensten. Het was nadrukkelijk geen backdoor zei Fons: met een backdoor heb je volledige toegang (Wet Meldplicht Datalekken?!), dit was alleen een kill-switch zonder dat je mee kon kijken. Met Fons' feature waren er slechts drie opties: de software stuurde bij elke opstart een request naar Fons' server, als er was betaald, stuurde de software een OK terug en verwijderde uit zichzelf de feature, was de betaaltermijn nog niet verlopen, kwam er ook een OK terug, kwam er een NOK terug omdat er al diverse malen was aangemaand: crash.

 

Werken zal het vast. De klant zal - zonder broncode - niet een-twee-drie kunnen bewijzen dat er opzettelijk een bepaalde feature in zit; hij zal klagen over een bug. Als de programmeur dan roept "Dit is een kleinigheid, ik garandeer dat ik ‘t vandaag voor je oplos, wil je nog wel ff die factuur betalen zo meteen", zal de klant ongetwijfeld nattigheid voelen, maar een gevoel is geen bewijs. Er wordt dus betaald.

 

Hoe zit het juridisch?

Maar hoe zit het juridisch (ethiek laat ik even bij de lezer)? Strafrechtelijk denk ik dan aan computervredebreuk, maar dat is mijn specialisme niet. En civielrechtelijk? Het idee deed me denken aan een zaak waarin een websitebouwer de rechter vroeg of hij (op grond van zijn auteursrecht) de stekker uit een website mocht trekken, omdat er niet betaald was. De klant had in zijn mails aan de webbouwer de facturen bestreden en de websitebouwer had niet gevraagd aan de rechter om een oordeel te geven over de juistheid van de facturen. De websitebouwer kreeg de gevraagde toestemming niet van de rechter. Je moet als klant immers wel de mogelijkheid hebben om je argumenten voor niet-betaling aan de rechter voor te kunnen leggen. Soms heeft een onbetaalde factuur immers te maken met het leveren van crapware, in plaats van met een slechte betalingsmoraal. De rechter oordeelde verder dat er sprake is van een "onvoorwaardelijke impliciete licentie", als je toestemming geeft om het aangeleverde te gaan gebruiken. Wil je dat anders, dan zal je dat van te voren moeten vastleggen. Dus ook om die reden kon de websitebouwer de site niet uit de lucht halen.

   

Dus, nee, Fons

In dit geval: beter niet doen. Voor het vervolg (als je dit al zou willen): zet in je opdrachtovereenkomst dat er een kill-switch in zit. Die wordt geactiveerd bij meer dan x dagen betalingsachterstand en meer dan x alerts. De schade is dan voor opdrachtgever. Degenen die daardoor niet willen ondertekenen, waren toch al niet van plan te betalen. Strafrechtelijk (hoewel niet mijn specialisme) zal dit ook wel goed komen, nu het computervredebreukartikel aangeeft dat het binnendringen ‘wederrechtelijk' moet zijn. In de overeenkomst heb je echter afgesproken dat je dit màg. Op zich niet veel anders dan de virusscanner op je computer, die geeft ook om de zoveel tijd aan dat het tijd is je jaarlicentie te vernieuwen.

 

Lees-verder-tips:

• 31 mei 2017: The 3D Print Copyshop and Copyright . Column (Engels) van Hub Dohmen.
• 8 mei 2017: Onlangs was Hub Dohmen namens Dohmen advocaten present bij Virtual (R)evolution 2017, dé vakbeurs rondom virtual reality (VR) en augmented reality (AR). Wat doet een advocaat daar nou ? Valt daar dan juridisch iets over te zeggen? Ja, dat valt er. Column van Hub Dohmen.
• 5 mei 2017: 3D print service providers and copyright (B2B) . Column (Engels) van Hub Dohmen.
• 24 april 2017: Jurassic Park, Westworld en het Europees Parlement. Of: de risico's van robotisering zonder regelgeving . Column van Hub Dohmen.
• 27 februari 2017: 3D Printing and Intellectual Property . Column (Engels) van Hub Dohmen.

 

mr. Hub Dohmen,
Dohmen advocaten - in techniek
e: h.dohmen@dohmenadvocaten.nl
twitter: http://twitter.com/hdohmen
LinkedIn: http://nl.linkedin.com/in/hubdohmen

 

Video's

Spintronicafilm wordt hit door populaire wetenschapsblogger

Spintronicafilm wordt hit door populaire wetenschapsblogger

Een filmpje over het spintronica-onderzoek van de Groningse natuurkundige Bart van Wees is…

Programmeren op een silicium kwantum chip

Programmeren op een silicium kwantum chip

Wetenschappers van QuTech in Delft hebben twee kwantum algoritmes uitgevoerd op hun nieuwe…

Een vlucht van 1218 drones

Een vlucht van 1218 drones

Bij de openingsceremonie van de Winterspelen in Peyongchang voerde Intel een lichtshow op met maar…

wandel

Nieuwe kunststof gaat aan de wandel als er licht op schijnt

Wetenschappers van TU Eindhoven en Kent State University hebben een materiaal ontwikkeld dat onder…

superogen

Super ogen voor mobiele robots

Het Venlose bedrijf Accerion heeft een sensor ontwikkeld waarmee mobiele robots zich kunnen…

kleerhanger

Kleerhanger verwijdert geuren

Panasonic introduceert een kleerhanger die geuren uit de kleding verwijdert. De hanger bestrijdt…

roboracer

Devbot racet zonder bestuurder

Heb jij je handen al van het stuur durven halen in je nieuwe Tesla? Zo nee, dan kan je hier ervaren…

mit vliegende auto

MIT heeft je vliegende auto al - in miniatuurvorm

Er zijn autonome toestellen die kunnen vliegen en er zijn er die kunnen rijden. Als ze het alle twee…

Meer videos »

Laatste nieuws

Kwantumcomputer nu al te beleven

Kwantumcomputer nu al te beleven

IBM heeft een pagina in het leven geroepen voor mensen die niet langer kunnen wachten om de kwantumcomputer te beleven.

De Vergelijkingen van Suiker voorkomen dat 3D-geprinte muren inzakken of omtuimelen

Vergelijkingen van Suiker voorkomen dat 3D-geprinte muren inzakken of omvallen

3D-geprinte materialen zijn tijdens het printen vaak nog zacht en flexibel, waardoor geprinte muurtjes soms in elkaar zakken of omvallen. Akke Suiker, hoogleraar mechanica aan de TU Eindhoven, zag een oplossing. Hij…

UT en Clear Flight Solutions winnen ‘anti-drone-competitie’ DroneClash

Drone UT sterkst in luchtgevecht

De Universiteit Twente en UT-start-up Clear Flight Solutions hebben de eerste editie van DroneClash gewonnen. In deze wedstrijd moesten teams anti-drone-maatregelen bedenken en in een gevecht de drones van de…

Meer nieuws »

Gratis nieuwsbrief

EOL

 

Gratis nieuwsbrief

safety update
 

Product van de maand

RSS
Veilig heksysteem PSENmlock

Het heksysteem PSENmlock biedt een veilige vergrendeling en veilige sluiting in slechts één product. De PSENmlock...

Agenda

21 februari 2018, Vianen

Workshop werken met ISO 13849-1 (PL) praktijkdag

Training bij Pilz

26 februari 2018, Markelo (NL)

Altium Advanced Training (Altium Designer 17)

27 februari 2018, Neurenberg

Embedded World 2018

It's a smarter world: Tentoonstelling en conferentie

Meer agendapunten »