Festen er ved at være ovre

IT branchen har været en stor fest siden det hele startede for 50 år siden.

Talrige er de saga'er der er fortalt om høj cigarføring og fantastiske hacks, men fremtiden er ved at have indhentet fest-aberne og tømmermændene indfinder sig.

Indtil nu har IT branchen følt sig højt hævet over lov og retspleje, nærmest med en "Wonse the rockets are up, who cares where zey come down" holdning til deres produkter.

Andre brancher har man produktansvar, som f.eks VW for tiden må bukke sig i støvet for, men religion og software har været undetaget og derfor har enhver elektronikproducent kunnet sælge ligeså mange æsker med skrammel som de kunne lokke kunderne til, og derefter, ustraffet, skide højt og flot på den indlejrede software og de sikkerhedshuller, ofte ladeporte, den led af.

Men nu falder klokken i slag:

ASUS har lige indgået et forlig med USAs FTC som medfører at de rent faktisk skal have en kompetent håndtering af software og sikkerhedsproblemer i de næste 20 år.

Apple-FBI slagsmålet er i samme hjørne: FBI er ikke tilfredse med at Apples produkter kommer på tværs af retsplejens principper.

Det er en god og sund udvikling: Lad bare et WLAN access-point koste det dobbelte eller tredobbelte, hvis det til gengæld ikke er hullet som en si.

Og vores ret til elektronisk privatliv skal ikke sikres ved at vi stoler på Apple, men lovfæstes, så den også gælder alle de andre devices vi ejer og services vi bruger.

Jeg kan varmt anbefale at man genser Dan Geer's keynote: "Cybersecurity as Realpolitik".

Og ja, jeg mener 100% at vi skal have produktansvar for al software.

phk

Poul-Henning Kamps billede
Poul-Henning er selvstændig systemprogrammør, kernekoder, Varnish-forfatter, data-arkæolog og brokkehoved uden særlig portefølje.

Kommentarer (19)

Troels Henriksen

Jeg synes faktisk ASUS-forliget er interessant, og meget lovende. Det handler nemlig ikke bare om at ASUS har lavet programmel med fejl i (omend de vitterligt har sløset), men om at de ikke har fulgt ordentligt op på det, og taget ansvar.

Vi må erkende at datalogien slet ikke er på et niveau hvor vi kan lave reelt "beviseligt korrekte" programmer, og nok ikke kommer det foreløbigt, hvis nogensinde. (Lovende som CompCert måske er.) Det næstbedste må så være at leverandører står til rimeligt ansvar for deres fejl.

Ivo Santos

Ansvar:
Jeg er da helt enig at produktansvar også burde gælde både software-, og hardware produkter, og forhåbentlig ændres det sig i fremtiden.
Derudover burde produkter som er over en hvis alder gøres 100 procent åben for allesammen i samme stil med at for eksempel en bog er frit tilgængelig forfatteren har været død i en hvis periode, men det kommer sikkert heller aldrig til at ske.

Bagdøre eller ej?
Bagdøre eller ej er en svær ting at forholde sig til for når det kommer til fysiske ting som for eksempel bankbokse, så er der altid en mulighed for at man kan bore et hul i døren og derfra finde en måde at få åbnet døren, eller også kan man bore låsen ud og åbne døren.
Når det kommer til mindre bokse, så kan man nogen gange nøjes med tabe dem fra en hvis højde. Sidst nævnte har jeg set i fjernsynet så jeg ved at det kan lade sig gøre.

Jeg er temmelig sikker på at Apple ved hvordan man, så at sige, bore låsen ud på en 'i' enhed og når det kommer til stykket er det vel heller ikke så svært. Nu er jeg ikke hardware hacker eller lignende så jeg kender ikke til tilgængelige muligheder men det burde vel være muligt på den ene eller anden måde.

Troels Henriksen

Derudover burde produkter som er over en hvis alder gøres 100 procent åben for allesammen i samme stil med at for eksempel en bog er frit tilgængelig forfatteren har været død i en hvis periode, men det kommer sikkert heller aldrig til at ske.

Hvordan skulle det fungere i praksis? Hvis leverandøren er død, så er kildekoden måske ikke længere tilgængelig (og så er der ting som oversættelsesmiljøer osv). Jeg tror ikke det er teknisk eller bureaukratisk realistisk, udover at få endnu-levende virksomheder til at frigive kildekode for gamle produkter, men udover at det ville være sjovt, så ved jeg ikke hvad man ville opnå.

Man kunne muligvis lave regler om at enten bliver man ved med at udgive sikkerhedsopdateringer til ens produkt, eller også giver man brugeren mulighed for selv at gøre det (i praksis ved at frigive kildekoden). Jeg ved ikke om det er praktisk muligt, men det lyder da sympatisk.

Ivo Santos

aner det ikke, dog vil jeg mene at man tage det pågældende problematik til diskussion, og så er der vel sikkert en eller flere kloge hoveder som har en god ide, for jeg må da selv tilstå at jeg ikke aner for kildekoden til for eksempel Amiga'ens operativ system findes eller om det er gået tabt for evigt.
Og så er der Microsoft, eksistere kildekoden til DOS og 16 bit Windows stadig eller er det blevet slettet for længst, det ved Microsoft kun selv.
Men som sagt!, hele problematikken burde vel diskuteres på en offentlige måde.

Mit forslag er ikke andet end et alternativt forslag.

Poul-Henning Kamp Blogger

Hvordan skulle det fungere i praksis? Hvis leverandøren er død, så er kildekoden måske ikke længere tilgængelig

Når man shipper serienummer 1000 eller derover deponerer man source og hvad der skal til at bygge softwaren hos en uafhængig 3part.

Hvis firmaet dropper support for produktet eller ophører med at existerer, frigiver denne 3part pakken på github, så kunderne selv kan beskytte sig.

3part kunne f.eks være virksomhedens revisor.

Se også sidste link i mit blogindlæg.

Ivo Santos

i danmark har vi i øvrigt rigsarkivet for for eksempel alle udgivet bøger findes, så i danmark kunne man udvide rigsarkivet til også at gælde for software og evt. hardware, men ellers giver jeg så syntes jeg at forslaget fra Poul-Henning Kamp lyder som en god en.

René Nielsen

FBI er ikke tilfredse med at Apples produkter kommer på tværs af retsplejens principper.

Jeg kan godt se lighederne og er sikker på at Apple nok på et tidspunkt kommer ud for seriøs modgang, men sagen imellem Apple og FBI er mere politisk end som så. Nogle ville påstå at FBI vil opnå noget i retssalen som man ikke kunne opnå i den lovgivende kongres og dermed bryder forfatningen.

Obama er på amerikansk slang en ”lame Duck” dvs. en præsident uden reel politisk indflydelse. Han kan ikke komme igennem kongressen fordi den er ledet af hans politiske modstandere og der han forgæves forsøgt at komme igennem med love om bagdøre.

Han ville at myndighederne med en dommerkendelse altid kan ”lukke en telefon/pc/tablet op” – den lovgivning kunne han ikke få vedtaget i kongressen og nu forsøger han så at opnå det i retssalen som han ikke kunne komme igennem med i kongressen.

Det er en taktik han brugt på mange områder, så når han ikke kan få den lovgivning han vil, så forsøger han via forordninger og retssager som f.eks. Obamacare og mange andre områder. Det er blevet påtalt af ledende dommere i USA at FBI udenom de lovgivende myndigheder – forsøger at opnå det som – ikke er blevet vedtaget i kongressen. F.eks. her https://theintercept.com/2016/02/23/new-court-filing-reveals-apple-faces...

Poul-Henning Kamp Blogger

Jeg kan godt se lighederne og er sikker på at Apple nok på et tidspunkt kommer ud for seriøs modgang, men sagen imellem Apple og FBI er mere politisk end som så.

Nej, det er den faktisk ikke.

Vi har ikke formået at sikre en politisk/lovgivet ret til privatliv.

Dermed beskytter Apples produkter ikke en lovfæstet menneskeret.

QED: De kan uden videre gøres livet surt for.

Apple risikerer f.eks at deres næste iPhone ryger på Wasenaars Control list under den notorisk kryptiske "Note 3 Cryptography Note":

http://www.wassenaar.org/wp-content/uploads/2015/06/Criteria_as_updated_...

René Nielsen

Vi har ikke formået at sikre en politisk/lovgivet ret til privatliv.


Nu er det her en amerikansk retssag og derover indeholder forfatningen en række rettigheder som vi ikke kender. Et par af dem er retten til privatliv og forsvaret at individdet. Så på den måde kæmper Apple for min ret til privatliv - og det kunne andre lære noget af!

Så jo det er politisk slagsmål som Apple er blevet rodet ind i. Obamas regering har ikke kunnet få gennemført en lov om ”bagdøre” og nu forsøger præsident Obama udenom kongressen at ”lovgive via domstolene”. Det gør han med udvalgte emner hvor hans spindoktore vurder at han har folkestemningen med sig.

Det har skabt en voldsom politisk debat om i USA fordi modstanderne mener at præsident Obama saboterer det politiske system når han i praksis gå udenom den lovgivende forsamling. Delstater og privatpersoner har derfor sagsøgt den amerikanske stat med henblik via domstolene at få annuleret præsident Obamas excutive orders – herunder den såkaldte Obamacare.

De siger at meningen med forfatningen er at lovene skal vedtages i kongressen (deres folketing) og at excusive orders aldrig har været tænkt som et redskab til at lovgive om indenrigspoltiske emner udenom kongressen.

Det er slagsmål som Apple er blevet blandet ind i og nej - jeg tror ikke på den med våbenlisten!

Gud forbyde det - men hvis ham Trump vinder, så er det meget sandsynligt at alle præsident Obama excusive orders bliver annulleret og så ville det til den tid måske havde været bedre med rigtige love!

Mark Jørgensen

Republikanere i USA græder kun fordi det er en demokratisk præsident der underskriver "executive orders". Da Bush svingede den samme taktstok stod de bare med stiv dolk. Det er iøvrigt samme dobbelmoral de udviser når de nu græder over at Obama nu, ved et tilfælde, skal nominere en ny højesteretsdommer.

Udover det har SCOTUS allerede kendt Affordable Care Act ikke-grundlovstridig i modstrid med hvad de republikanske tosser ellers håbede SCOTUS ville give dem ret i.

Michael Cederberg

Når man shipper serienummer 1000 eller derover deponerer man source og hvad der skal til at bygge softwaren hos en uafhængig 3part.

Jeg er helt enig med dig i problemstilligen, men men jeg tror ikke løsningen er som du skriver. Du får ikke den brede befolkning til at gå på nettet og lede efter software opdateringer og derefter installere dem på deres device. Jeg har set for mange routere som aldrig er opdateret siden de blev pakket ud.

En mere drastisk løsning kunne være at tvinge producenten til at love support i X år (skrevet på kassen med store bogstaver) og at gøre det ansvarspådragende hvis kendte fejl ikke fikses i rimelig tid. Når produktet ikke har modtaget opdateringer i X dage så lukker det ned. Hvis jeg som kunde vil override ovenstående funktion, så tager jeg ansvaret for produktet uden opdateringer og producentens ansvar forsvinder.

Martin Bøgelund

Hvordan skulle det fungere i praksis? Hvis leverandøren er død, så er kildekoden måske ikke længere tilgængelig (og så er der ting som oversættelsesmiljøer osv).

2 ting:
1) Ophavsretten gælder også for software, på samme led som den gør det for bøger. For bøger gælder dog, at "kildekoden" er fuldt indehold i produktet til slutbrugeren, så her er det ikke det store problem at hapse "kildekoden", hvorimod du i tilfældet med software oftest har at kildekoden ikke er en del af produktet til slutbrugeren, fordi produktet er kompileret. Men ophavsrettens udløb giver dig visse nye muligheder.
2) Når ophavsretten udløber, får man mulighed for at bruge softwaren på en anden måde, end man måtte da den var dækket af ophavsret. F.eks. behøver man ikke acceptere softwarelicensen længere, og kan derfor ikke længere hindres i at dekompilere og reverse engineer'e softwaren, som typisk båndlægger den slags aktiviteter i licensen. Så den vej rundt er der måske en åbning mht adgang til kildekode.

Ophavsretten udløber dog først omkring 70-75 år efter forfatterens død, så jeg ser ikke den store relevans ved bog-analogien. Men udover det, så er der altså teoretisk set en lille smule at hente der.

Martin Bøgelund

Vi har ikke formået at sikre en politisk/lovgivet ret til privatliv.

Det betragter jeg som en ikke-diskussion, fordi det vil være decideret spild af tid at tage den.

Jeg er meget enig i dine betragtninger omkring privatlivsbeskyttelse og produktansvar, men så snart du taler om lovgivning, så er der et kardinalpunkt vi aldrig kommer udenom:
Lovgivning skal kunne håndhæves

Hvis Tiger Woods' lumre SMS'er dukker op til offentlig læsning, på en server der står udenfor USA's juridiske rækkevidde, og han iøvrigt har sendt den så dens indhold kunne opsnappes fra et teleselskab der ikke driver forretning i USA, så vil han have svært ved at få håndhævet sin ret til privatliv ved at sagsøge internetudbydere og teleselskaber som opererer under en anden lovgivning end den der beskytter ham i USA. (Tænkt eksempel med tråde til virkeligheden).

Så hvis lille danske mig tropper op hos politiet, og siger at mit privatliv vistnok hænger til offentligt spot og spe, opslået på et stykke papir ved en kaffemaskine hos Apple, hvad forventer folk så at politet gør?
- Ringer til Obama, og siger "Hold op"?
- Pakker maskinpistolerne, rejser til USA, truer og skyder sig ind i Apples kontormiljø, og hiver papirarket ned fra opslagstavlen, mens de råber "Hold op!" til de måbende Apple-ansatte?
- Fortæller Justits- og udenrigsministrene, at de skal indkalde til topmøde i NATO, Interpol , og WTO, hvor de skal indtage talerstolen og sige "Hold op" til USA?

Vi - om nogen - burde vide at det er kropumuligt at sikre digital information 100% hele tiden, i hele forbrugs- og transportkædens længde, og for alle de digitale kopier der måtte ligge og flyde rundt omkring i forskellige juridiske landskaber.

Vi burde også vide, at de selvsamme teknologier vi kan bringe i spil for at sikre vores anonymitet og privatliv, også kan bringes i spil af dem der misbruger vores privatlivsinformationer, og de derved kan hindre en opklaring af misbruget.

At håndhæve love for privatliv, er med digitaliseringen blevet så kompleks og omfattende en opgave, at indsatsen i mange tilfælde ikke vil stå mål med resultatet, hvis den da overhovedet giver et resultat.

Ivo Santos

Ophavsretten udløber dog først omkring 70-75 år efter forfatterens død, så jeg ser ikke den store relevans ved bog-analogien. Men udover det, så er der altså teoretisk set en lille smule at hente der.

Eftersom at levetiden for it-produkter er en hel del kortere end for eksempel til bøger og lignende, kunne man sagtens have en kortere periode, det kunne for eksempel være 5 år efter produktet ikke længere er understøttet af producenten, hvilket burde betyde at de relevante data omkring det pågældende produkt burde være offentlig tilgængelig på en eller anden måde.

Finn Thøgersen

Det letteste er nok at lægge Escrow ind som en standardklausul i produktansvarsforsikringer.

Escrow skal selvfølgelig inkludere design dokumenter, diagrammer, toolchains etc

Hvis Escrow ikke opdateres ved nye produkter / versioner bortfalder forsikringen.

Log ind eller opret en konto for at skrive kommentarer