Ontdekker fouten virussoftware wellicht naar Franse cel

Op The Register lezen we een verhaal van een Fransman die wellicht in de gevangenis kan raken, omdat hij op het internet publiceerde dat een antivirusprogramma bugs bevatte. Guillaume Tena testte ruim drie jaar geleden het Franse programma Viguard en ontdekte zo een aantal bugs in het programma. In de zomer van 2001 publiceerde hij zijn bevindingen op een Franse nieuwsgroep, in maart het jaar daarop plaatste hij zijn onderzoek op een website. Als reactie stuurde Tegam, het bedrijf achter Viguard, zijn advocaten op de man af.

Tegam stelde dat Tena een illegale kopie van het programma had gebruikt voor de testen en zei dat Tena het programma ontmanteld had en een deel van de broncode had gepubliceerd. Om deze redenen werd de man aangeklaagd wegens het overtreden van de Franse copyrightwetgeving. Vier januari werd de rechtszaak tegen Tena geopend in een Parijse rechtbank, op acht maart zou de uitslag er moeten zijn. De Franse officier eiste vier maanden gevangenisstraf en zesduizend euro boete, in een civiele rechtszaak vraagt Tegam een schadevergoeding van negenhonderdduizend euro.

Justitie, Europa, Recht De zaak is vooral van belang om het signaal dat wordt uitgezonden: kunnen bedrijven mensen die hun producten uittesten en tot een negatief resultaat komen op deze manier de mond snoeren? Bovendien is de inzet van deze zaak het recht om broncodes te publiceren op het internet, bijvoorbeeld om aan te tonen dat het softwareproduct niet geheel bugloos is.

Lees meer

Reacties (73)

jp 12 januari 2005 15:44

Telt voot broncodes geen "quote"recht, wat je bv ook hebt uit boeken?

Pozo @jp • 12 januari 2005 15:52

Dat recht heb je in Nederland ja, misschien niet in Frankrijk

mjtdevries @Pozo • 12 januari 2005 16:11

Maar hij had geen broncode, maar een binary.

En aangezien reverse engineering verboden is, lijkt het me uitermate onwaarschijnlijk dat ie zelfs in Nederland op zo'n artikel beroep zou kunnen doen.

Verwijderd @mjtdevries • 12 januari 2005 16:26

Reverse engineering is NIET verboden in Nederland, sterker nog, onze auteurswet staat het zelfs expliciet toe:

Auteurswet 1912, artikel 45m

Als inbreuk op het auteursrecht op een werk als bedoeld in artikel 10, eerste lid, onder 12°, worden niet beschouwd het vervaardigen van een kopie van dat werk en het vertalen van de codevorm daarvan

...echter, het artikel gaat verder...

indien deze handelingen onmisbaar zijn om de informatie te verkrijgen die nodig is om de interoperabiliteit van een onafhankelijk vervaardigd computerprogramma met andere computerprogramma’s tot stand te brengen

...en...

Het is niet toegestaan de op grond van het eerste lid verkregen informatie te gebruiken voor een ander doel dan het tot stand brengen van de interoperabiliteit van het onafhankelijk vervaardigde computerprogramma;

Dus... reverse engineering is niet verboden, maar alleen om het programma compatibel te maken met andere programma's. Het uitpluizen van de gedisassemblede sourcecode van MS-Word omdat je aan de importfilter van OpenOffice mag, maar securityproblemen vinden niet. Desalniettemin zouden bedrijven blij moeten zijn dat er mensen zijn die ze helpen met het veiliger maken van hun producten...

TD-er

@mjtdevries • 12 januari 2005 16:24

reverse engineering is niet altijd verboden.
Het is verboden om door reverse engineering een beveiliging te kraken, maar dat is hier niet het geval.

Ik weet niet hoe dat zit in Frankrijk.

Verwijderd @mjtdevries • 12 januari 2005 16:54

Leuk die aanhalingen van de wet

Maar vergeten jullie niet allemaal het stukje waar je rechtmatige eigenaar moet zijn van de software om het recht te hebben op reverse engineering? Of het stukje dat de informatie niet aan derden mag doorgegeven (in zoverre het niet noodzakelijk is voor de compabiliteit)... of het stukje waar dat artikel niet mag toegepast worden als de informatie in het nadeel van de rechthebbende gebruikt wordt.

Of staat dit niet in de nederlandse wet ?

(Daarnaast gaat het hier ook over interoperabiliteit... het verbeteren van fouten is nog wat anders)

Remus @mjtdevries • 12 januari 2005 19:33

@unid
De enige rechtmatige eigenaar van de software is de maker. Die vlieger gaat dus niet op. Daarnaast mag je volgens de Nederlandse wetgeving een kopie maken voor studie en eigen gebruik. Dit valt wel onder 'studie'.

Brothar @mjtdevries • 12 januari 2005 22:26

...interoperabiliteit ...
Oftewel: slechts voor het maken van een interface toegestaan.

Gwaihir @mjtdevries • 12 januari 2005 22:32

- reactie op jeroenr -
Ehmm.. dus datzelfde doen om een virus te maken - moet immers compatibel zijn met het programma - zou wel mogen, maar het probleem aan het licht brengen niet? (Dit uiteraard even los van het strafbare feit "verspreiden van het virus".)

tweakerbee @mjtdevries • 13 januari 2005 01:20

Computersoftware is een uitzondering in de Nederlandse wet. Als de broncode of binary geprint was en in een boek had gestaan mocht het wel.

Confusion @mjtdevries • 12 januari 2005 16:32

En aangezien reverse engineering verboden is

Pardon?! Reverse engineering wordt juist expliciet toegestaan door de wet, zodat anderen compatibele produkten uit kunnen brengen. Dat is een essentieel deel van de anti-monopolie maatregelen.

Edit: Net te laat

Verwijderd @mjtdevries • 12 januari 2005 16:35

Auteursweg 1912 Artikel 45m:

1. Als inbreuk op het auteursrecht op een werk als bedoeld in artikel 10, eerste lid, onder 12°, worden niet beschouwd het vervaardigen van een kopie van dat werk en het vertalen van de codevorm daarvan, indien deze handelingen onmisbaar zijn om de informatie te verkrijgen die nodig is om de interoperabiliteit van een onafhankelijk vervaardigd computerprogramma met andere computerprogramma’s tot stand te brengen, mits: ...

Met dank aan dit XS4ALL document voor het vinden van het betreffende wets artikel dat "reverse enginering" in Nederland expliciet toe staat.

(edit: ok niet snel genoeg blijkbaar)

Verwijderd @mjtdevries • 14 januari 2005 08:18

Daarnaast mag je volgens de Nederlandse wetgeving een kopie maken voor studie en eigen gebruik

dit mag wel met muziek, maar niet met software hoor

Verwijderd @jp • 12 januari 2005 20:59

Bedenk wel dat het veel lastiger is om broncode te controleren op aanwezigheid van stukken van anderen. Je kan hun intellectueel eigendom stelen zonder het letterlijk te gebruiken. Bij een boek is dat veel makkelijker te zien.

Denk aan de loop die google gebruikt om te zoeken, je hoeft het algoritme niet te kopieren om de techniek te gebruiken.

Wel zonde overigens als hij hiervoor veroordeeld zou worden, dat zou betekenen dat je geen melding mag maken van bugs in software

Verwijderd 12 januari 2005 15:45

Broncodes zijn het intellectuele eigendom van een bedrijf en mogen niet in zijn geheel of gedeeltelijk gepubliceerd worden.

Kritiek op software moet je gewoon kunnen geven zonder een advocaat op je dak te krijgen.

mjtdevries @Verwijderd • 12 januari 2005 16:15

Je moet hier 2 dingen los van elkaar zien.

Kritiek op bugs in software moet je inderdaad kunnen geven zonder een advocaat aan op je dak te krijgen.

Maar voor reverse engineering en het publiceren van beschermde broncode moet je wel degelijk een advocaat op je dak krijgen.

Hij krijgt nu zijn verdiende loon.
Als ie het bedrijf netjes gewaarschuwd had, en de broncode niet gepubliceerd had (wat ook totaal overbodig was) dan was het een heel andere zaak geweest en was de actie van dat bedrijf zeer dubieus.

Zoals het er nu naar uit ziet heeft ie geen schijn van kans in een rechtzaak.

Remus @mjtdevries • 12 januari 2005 19:35

Reverse engineren mag, quoten uit broncode mag ook, zolang de quote niet overdreven veel is en voldoende is voor het onderbouwen van het punt dat je wil maken, maar tegelijkertijd niet zo veel is om de auteursrechtelijke(!) belangen van de oorspronkelijke auteur te schaden.

mjtdevries @Remus • 13 januari 2005 12:44

Als je even wat naar boven in de thread kijkt, dan zie je dat al vele uren voor jouw reactie vastgesteld is, dat reverse engineeren alleen maar mag worden gebruikt voor zeer specifieke doeleinden, en dat dit daar niet onder valt.

increddibelly @mjtdevries • 12 januari 2005 17:18

dank @ mjtdevries, fijn dat er tenminste 1 tweaker is die het artikel WEL goed heeft gelezen

Tegam stelde dat Tena een illegale kopie (1) van het programma had gebruikt voor de testen en zei dat Tena het programma ontmanteld had(2) en een deel van de broncode had gepubliceerd(3). Om deze redenen werd de man aangeklaagd

Verwijderd @Verwijderd • 12 januari 2005 15:52

Hoe komt een test-user (want dat is hij toch) eigenlijk in godsnaam aan de broncode van die virusscanner ?

sirono @Verwijderd • 12 januari 2005 15:59

reverse enginering (hoe schrijf je dat zeg

, niet zo goed in spelling

)

tenminste dat vermoed ik...

Verwijderd 12 januari 2005 16:56

Bedrijven zijn (volgens de meeste EULA) NIET verantwoordelijk voor eventuele schade die hun software zou kunnen veroorzaken. Maar als er dan iemand zijn tijd en moeite insteekt om toch fouten en bugs uit hun soft te halen en de resultaten hiervan publiceert, dan wordt hij aangeklaagd !?

Weliswaar met de broncode, dat wel, maar hoeveel percent van de broncode werd er gepubliceerd, een A4'tje ? Dit is gewoon belachelijk, maar het kan wel tot een gevaarlijk precedent leiden als de rechter in het voordeel van het bedrijf oordeeld.

Remus @Verwijderd • 12 januari 2005 19:39

In je EULA enige verantwoordelijkheid ontkennen kan weleens onwettelijk zijn in Europa. De Nederlandse wet stelt dat je deugdelijk waar moet leveren, doe je dan niet dan kan je in bepaalde situaties weldegelijk verantwoordelijke worden gesteld voor eventuele vervolgschade.

Verwijderd 12 januari 2005 16:01

Hoe stom imho. Als je mensen gaat aanklagen die bugs/flaws zoeken en publiek maken... Ja dan zulle ze binnekort gewoon gezocht worden maar niet publiek gemaakt en enkel misbruikt worden. Ipv die kerel aan te klagen zou Tegam die bug moeten oplossen en zo snel mogelijk een update uitbrengen.

sirono @Verwijderd • 12 januari 2005 16:07

en wat als het een fout betreft die niet zo snel opgelost kan worden?
en het is goed te misbruiken?

dan springen er gelijk virusmakers op in enz...

als je een fout vind moet je het naar de producent publiceren... niet publiekelijk..

Verwijderd @sirono • 12 januari 2005 16:11

Helaas is dat niet altijd even mogelijk. Hoe groter de producent hoe minder snel men luistert naar zo'n bug reports. Weet je nog ongeveer 1.5 jaar geleden dat er een fout in Hotmail zat waarmee je op bijna elke account zonder paswoord kon binnenraken? Dat was 2 keer gemeld, maar MS deed er niets aan. Pas NA dat deze informatie publiek werd heeft MS snel-snel de boel opgelost.

dan springen er gelijk virusmakers op in enz...

Dat ze dan de virusmakers opsporen en aanklagen. Een virus maken kan de kleinste scriptkiddie, zo'n bug vinden in ASM code is NIET simpel en mensen die daar HEEL goed in zijn, zijn niet veel te vinden.

HCMarX 12 januari 2005 16:07

Dat het een illegale kopie is die hij gebruikte staat gewoon buiten deze zaak. Dat kan in een rechtzaak nooit als bewijs aangevoerd worden in een pleidooi tegen de man.

SuperDre @HCMarX • 12 januari 2005 16:24

hoezo zou dat niet kunnen? Dat hij gebruik maakte van een illegale kopie staat helemaal niet buiten deze zaak.. Hij had gewoon een legale kopie kunnen vragen aan het bedrijf om het te kunnen testen, de meeste bedrijven werken wel mee als ze zien dat het om een serieuze test gaat..

mjtdevries @HCMarX • 12 januari 2005 16:20

Dat de broncode beschermd is echter wel.
En dat punt op zich is ruim voldoende in een rechtzaak.

J2pc 12 januari 2005 16:15

900.000 euro, wat een belachelijk bedrag...

wat voor schade hebben ze geleden?
Kunnen de gebruikers Tegam dan ook aanklagen omdat er bugs in de software zitten of zo?

Of komt de schade doordat ze nu mensen aan een bug moesten laten werken, die ze anders lekker hadden kunnen laten gaan onder 't mom 'wisten we niet'.

Doorgeven aan Tegam? In Amerika had iemand een keer de Nasa gehackt, niets gedaan, alleen naar binnen gekomen. Gaf precies door wat er aan de hand was, en hoe ze 't konden fixen. Hij werd aangeklaagd...

6.000 euro kan ik me wat bij voorstellen. Gewoon een schop onder je hol dat je die zooi niet zomaar op internet moet gooien. 4 maanden gevangenis... beetje overdreven.

mjtdevries @J2pc • 12 januari 2005 16:22

Wat voor schade? DAt lijkt me nogal voor de hand liggend, moet dat nou echt nog uitgelegd worden?

als je hoort dat een antivirus pakket zo'n bug bevat en de code op internet gepubliceerd is zodat het ook nog eens makkelijk misbruikt kan worden, dan koop je uiteraard dat pakket niet.
En als je het al hebt, dan deinstalleer je het waarschijnlijk.

Dus de schade is verlies aan klanten.

Verwijderd @mjtdevries • 12 januari 2005 18:39

Die klanten waren ze ook wel kwijtgeraakt zonder dat de broncode was gepubliceerd (je kan namelijk ook exploits maken zonder).
Enige vorm van compensatie lijkt mij hier wel op zn plaats :
-gebruik illegale versie
-publicatie broncode (omdat anderen hier nu gebruik kunnen maken van hun IP).

Het is dan aan de rechter om te beoordelen hoeveel die broncode waard is. Als het gewoon om een ultra-slecht geschreven user input functie gaat (dikke bufferoverflow) dan zal de waarde van dat stukje broncode wel ongeveer 0 zijn dus dan gaat die vlieger ook niet op.

Ik kan ook nergens vinden of hij ALLE broncode heeft gepubliceerd, of alleen een klein stukje assembly (uit de binary gehaald) waar precies de fout zit. 900.000 euro lijkt me in dat geval niet meer dan asociale graaierij en een tot mislukken gedoemd snel-rijk-plan

Verwijderd @J2pc • 13 januari 2005 04:02

Of komt de schade doordat ze nu mensen aan een bug moesten laten werken, die ze anders lekker hadden kunnen laten gaan onder 't mom 'wisten we niet'.

kijk als jij ziet dat een school een raam vergeten dicht is te doen en jij gaat dat aan iedereen lopen vertellen op straat zonder de politie of school directie in te lichten ben je fout en strafbaar bezig. Je lokt een inbraak uit.

Door iedereen over de foutenen bugs (de open-ramen)) in het programma te vertellen doe je dus hetzelfde .

Hoe is hij eigelijk aan de broncode gekomen???
(broncode is een een soort stijger bij de bouw van een huis, als het huis af is wordt de stijger ook weggehaald)

rapture 12 januari 2005 17:51

Ik denk dat die broncode en illegale versie niet het oorspronkelijk probleem is. Grote bedrijven hebben topadvocaten, deze zorgen ervoor dat gewone advocaten niet kunnen winnen door allerlei trucjes en foutjes te zoeken. Daarom de universiteit verloren in de rechtzaak tegen Toshiba (slechte kwaliteit van laptops), ook al kan de universiteit 100procent bewijzen dat ze gelijk hebben, maar een kantlijn die niet recht genoeg staat kan de rechtzaak al doen verliezen (procedurefouten).

Eigenlijk moet de rechtspraak "back to basics", het gaat om rechtvaardigheid en niet om de papiermolen & uitgebreide bureaucratie.

Het bedrijf vind niet leuk dat iemand onderbouwde kritiek (onveiligheid bewijzen met gevonden bugs) geeft over hun producten. Dus we klagen die aan tot zijn broek eraf valt, de topadvocaten zien allerlei extra dingen (broncode/illegale versie) om de bugvinder te doen verliezen.

Eigenlijk moeten we dankbaar zijn voor mensen die gevonden bugs publiceren, dan kunnen de admins direct hun computers & netwerken erop voorbereiden. Die bugvinders kunnen even goed een virus schrijven en miljoenen computers "opblazen".

we_are_borg 12 januari 2005 16:05

Het wordt tijd dat het gehele copyright gedoe wordt afgeschaft. Het was toen bedoelt dat andere bedrijven geen gebruik kon maken van de code van anderen, alleen het wordt nu momenteel erg misbruikt om allerlei mensen de mond te snoeien.

Bedrijven die geld hebben kunnen nu mometeel hun recht kopen zo lijkt het, als je maar genoeg heb kan je rechtzaken jaren rekken of zelfs rechtzaken schikken tegen zeer lage kosten. Momenteel maken bedrijven uit wie er vervolgt wordt en wie niet.

Verwijderd @we_are_borg • 12 januari 2005 16:07

Daar ben ik mee akkoord. Hetzelfde geldt voor al die patent-aanvragen tegenwoordig. Als je geld genoeg hebt, krijg je je patent, hoe onnozel de aanvraag ook is.

we_are_borg @SuperDre • 12 januari 2005 18:40

Laat ik het anders zeggen de copyright weer gaan gebruiken waar het voor bedoelt was. Namelijk tegen gaan dat de concurentie gebruik maakt wat een andere heeft geschreven of gemaakt.

Als ik als software maker code gebruikt van iemand anders dan is het een copyright schending, ik heb willens en wetens er gebruik van gemaakt, of dit nu trouwens commercial of in welke form dan ook gebeurd doet er niet toe. Als ik nu code gebruikt om een fout aan te kaarten dan gebruik ik de code zodanig dat ik een bedrijf dwingt het product beter te maken. De code op de website kan niet gebruikt worden door software makers aangezien er copyright op zit.

Je zou dus de copyright 3 delig moeten maken
1. Software programmeurs die niet elkaars code kunnen gebruiken.
2. Eind gebruikers van de software zodat deze de software dienen te betalen indien van toepassing.
3. Illigaal gebruik de zo genoemde warez scene e.d.

Verwijderd 12 januari 2005 16:09

Ik ken dat Tegram en Viguard niet. Ze hadden beter het geld wat ze nu uitgeven aan advocaten kunnen besteden aan het verbeteren van hun software.

DeTeraarist @Verwijderd • 12 januari 2005 19:06

Kijk, en NU ken je ze dus wel... en dat is hun misschien wel meer waard. Aangezien ze die vent aanklagen, past foute marketing ook wel in hun straatje...

Zwartoog @DeTeraarist • 12 januari 2005 20:59

Ze zeggen: negatieve reclame is ook reclame. Maar mooi dat ik minder gemotiveerd ben nu om voor hun antivirussoftware te kiezen. Niet vanwege de vermeende bugs (die in elk programma zitten), maar vanwege degelijke acties.

carlo @Verwijderd • 12 januari 2005 20:48

edit: dubbelpost

Verwijderd 12 januari 2005 15:53

Tegam stelde dat Tena een illegale kopie van het programma had gebruikt voor de testen en zei dat Tena het programma ontmanteld had en een deel van de broncode had gepubliceerd.

De illegale versie kwam met broncode?

Verwijderd @Verwijderd • 12 januari 2005 15:58

Ik gok dat hij een stukje had gedisassembled en dat bij zijn artikel had geplaatst.

Als dat klopt is die aanklacht natuurlijk extra idioot.

Verwijderd @Verwijderd • 12 januari 2005 16:16

Disassemblen geeft misschien code, maar geen broncode.

volgens vandale:

bron·co·de (de ~)
1 geheel van programma-instructies in hun oorspronkelijke hogere taal, bv. C of Pascal, zoals geschreven door de programmeur => sourcecode

Verwijderd @Verwijderd • 12 januari 2005 16:02

Het is mogelijk een binary executable om te zetten naar ASM code (disassembleren). Op deze manier kunnen buffer overflows en andere security flaws gevonden worden.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (73)

Sorteer op:

Weergave: