EO

Mag je een backdoor inbouwen (of een foute update pushen) om (embedded) software te laten crashen bij wanbetalende klanten?

26 september 2017 om 14:55 uur

Mag je een backdoor inbouwen (of een foute update pushen) om (embedded) software te laten crashen bij wanbetalende klanten?

De eerste keer dat ik softwareprogrammeur Fons tegenkwam, was op ons gratis juridisch spreekuur IE-ICT-Techniek. Deze DGA en tevens hoofdprogrammeur van een klein maar vooruitstrevend engineeringbedrijf zag er vermoeid uit na nachtenlang hardcore programmeren voor een nieuwe klant. Dat was echter niet de enige reden voor zijn vermoeidheid.

 

***Namen van personen en software zijn gewijzigd om herkenning te voorkomen***

 

Zoals dat wel vaker gaat, had hij een nieuwe klant alle vertrouwen gegeven en geen vooruitbetaling gevraagd. Nadat alles, op wat cosmetische dingen na, klaar was - het draaide al bij de klant - , ontstonden er geruchten in de wandelgangen over betalingsachterstanden bij de klant: die leek het businessmodel te hebben om geen enkele leverancier te betalen, met uitzondering van die ene die er dan een procedure aan waagde.

 

U kent ze vast ook uit uw debiteurenbak: alles is eerst prima in orde, na levering deugt er ineens niks meer en ziet men de factuur als uitnodiging tot onderhandeling. 

 

Alleen een kill-switch

Fons had daarom het plan opgevat om een ‘feature' in te bouwen, zodat hij bij wanbetaling de software kon laten crashen. Een soort ransomware dus eigenlijk, maar dan vanuit het gerechtvaardigd belang betaald te worden voor overeengekomen diensten. Het was nadrukkelijk geen backdoor zei Fons: met een backdoor heb je volledige toegang (Wet Meldplicht Datalekken?!), dit was alleen een kill-switch zonder dat je mee kon kijken. Met Fons' feature waren er slechts drie opties: de software stuurde bij elke opstart een request naar Fons' server, als er was betaald, stuurde de software een OK terug en verwijderde uit zichzelf de feature, was de betaaltermijn nog niet verlopen, kwam er ook een OK terug, kwam er een NOK terug omdat er al diverse malen was aangemaand: crash.

 

Werken zal het vast. De klant zal - zonder broncode - niet een-twee-drie kunnen bewijzen dat er opzettelijk een bepaalde feature in zit; hij zal klagen over een bug. Als de programmeur dan roept "Dit is een kleinigheid, ik garandeer dat ik ‘t vandaag voor je oplos, wil je nog wel ff die factuur betalen zo meteen", zal de klant ongetwijfeld nattigheid voelen, maar een gevoel is geen bewijs. Er wordt dus betaald.

 

Hoe zit het juridisch?

Maar hoe zit het juridisch (ethiek laat ik even bij de lezer)? Strafrechtelijk denk ik dan aan computervredebreuk, maar dat is mijn specialisme niet. En civielrechtelijk? Het idee deed me denken aan een zaak waarin een websitebouwer de rechter vroeg of hij (op grond van zijn auteursrecht) de stekker uit een website mocht trekken, omdat er niet betaald was. De klant had in zijn mails aan de webbouwer de facturen bestreden en de websitebouwer had niet gevraagd aan de rechter om een oordeel te geven over de juistheid van de facturen. De websitebouwer kreeg de gevraagde toestemming niet van de rechter. Je moet als klant immers wel de mogelijkheid hebben om je argumenten voor niet-betaling aan de rechter voor te kunnen leggen. Soms heeft een onbetaalde factuur immers te maken met het leveren van crapware, in plaats van met een slechte betalingsmoraal. De rechter oordeelde verder dat er sprake is van een "onvoorwaardelijke impliciete licentie", als je toestemming geeft om het aangeleverde te gaan gebruiken. Wil je dat anders, dan zal je dat van te voren moeten vastleggen. Dus ook om die reden kon de websitebouwer de site niet uit de lucht halen.

   

Dus, nee, Fons

In dit geval: beter niet doen. Voor het vervolg (als je dit al zou willen): zet in je opdrachtovereenkomst dat er een kill-switch in zit. Die wordt geactiveerd bij meer dan x dagen betalingsachterstand en meer dan x alerts. De schade is dan voor opdrachtgever. Degenen die daardoor niet willen ondertekenen, waren toch al niet van plan te betalen. Strafrechtelijk (hoewel niet mijn specialisme) zal dit ook wel goed komen, nu het computervredebreukartikel aangeeft dat het binnendringen ‘wederrechtelijk' moet zijn. In de overeenkomst heb je echter afgesproken dat je dit màg. Op zich niet veel anders dan de virusscanner op je computer, die geeft ook om de zoveel tijd aan dat het tijd is je jaarlicentie te vernieuwen.

 

Lees-verder-tips:

• 31 mei 2017: The 3D Print Copyshop and Copyright . Column (Engels) van Hub Dohmen.
• 8 mei 2017: Onlangs was Hub Dohmen namens Dohmen advocaten present bij Virtual (R)evolution 2017, dé vakbeurs rondom virtual reality (VR) en augmented reality (AR). Wat doet een advocaat daar nou ? Valt daar dan juridisch iets over te zeggen? Ja, dat valt er. Column van Hub Dohmen.
• 5 mei 2017: 3D print service providers and copyright (B2B) . Column (Engels) van Hub Dohmen.
• 24 april 2017: Jurassic Park, Westworld en het Europees Parlement. Of: de risico's van robotisering zonder regelgeving . Column van Hub Dohmen.
• 27 februari 2017: 3D Printing and Intellectual Property . Column (Engels) van Hub Dohmen.

 

mr. Hub Dohmen,
Dohmen advocaten - in techniek
e: h.dohmen@dohmenadvocaten.nl
twitter: http://twitter.com/hdohmen
LinkedIn: http://nl.linkedin.com/in/hubdohmen

 

Laatste nieuws

Jurkje valt 'belagers' aan

Jurkje valt 'belagers' aan (video)

Een jurk die aanvalt als iemand te dichtbij komt. En een hoedje dat meet hoe het met je stresslevels staat. Dat zijn zo wat voorbeelden uit de modecollectie van FashionTech ontwerpster Anouk Wipprecht.

Robot vindt mens maar lastig

Robots vinden mensen maar lastig - en dat moet anders

Robots die lekker bezig zijn de hele dag dezelfde taak uit te voeren, vinden het vaak maar lastig als de mens hun daarbij stoort met aanwijzingen over hoe het beter kan. Zodra de mens de bot de rug toekeert, gaat die…

Controle over spin-richting in grafeen

Controle over spin-richting in grafeen

Onderzoekers aan de Rijksuniversiteit Groningen zijn erin geslaagd om de elektronenspin in grafeen te manipuleren. Ze gebruiken hiervoor molybdeen diselenide.

Meer nieuws »

Gratis nieuwsbrief

EOL

 

Gratis nieuwsbrief

safety update
 

Product van de maand

RSS
Veiligheidsfotocellen van de serie SLB 240/440

De kleinste veiligheidsfotocel ter wereld met geïntegreerde veiligheidsmodule

Agenda

12 december 2017, Amsterdam, Beurs van Berlage

International Micro Nano Conference

International conferentie over micro- en nanotechnologie

13 december 2017, 's Hertogenbosch, Brabanthallen

Agrifoodtech 2017

Agrifoodtech de toekomst voor Nederland, alle High Tech & ICT oplossingen onder één dak

13 december 2017, Breda

Avnet Technical Seminar

Meer agendapunten »