Antwoorden Plasterk roepen weer vragen op

Baas over je eigen apparaat

Security and safety, plain and simple

Vroeger kocht je een apparaat en wist je precies wat je er wel of niet mee kon doen en, wat je kon verwachten. Maar nu apparaten meestal ‘slim’ zijn en onderdeel uitmaken van het Internet of Things, is er een machtsverschuiving gaande. De producent probeert grip op jouw apparaat te houden na de verkoop, via de meegeleverde besturingssoftware. En daaraan kleven grote bezwaren.

Stel, je koopt een apparaat met besturingssoftware (firmware) van de producent. Omdat de producent de besturingssoftware beheert, kan deze via de gebruiksvoorwaarden eisen stellen aan het gebruik van het apparaat. Jij moet met de gebruiksvoorwaarden van de besturingssoftware instemmen, want als je dat niet doet kun je je eigen apparaat niet gebruiken.

Afhankelijk van je producent
De producent krijgt zo via de besturingssoftware met de bijbehorende gebruiksvoorwaarden steeds meer grip op onze apparaten, waarvan we altijd dachten dat die volledig van onszelf waren. Een producent kan bijvoorbeeld bepalen dat je alleen zijn bedrijf mag inschakelen als het apparaat een storing geeft. Daarmee koop je als het ware een dienst in plaats van alleen een product, want zonder de dienst heb je een niet-werkend apparaat, een lege huls. Je bent afhankelijk van je producent geworden. Deze machtsverschuiving zorgt er bijvoorbeeld voor dat je niet zelf kunt beslissen door wie je je apparatuur laat repareren omdat je wordt gedwongen dat bij één partij te doen. Die krijgt hierdoor een monopolie.

Zo kwam tractorfabrikant John Deere eind maart negatief in het nieuws omdat Amerikaanse boeren de John Deere-software van hun tractor noodgedwongen omzeilden via illegale Oekraïense software. Alleen op die manier konden ze hun tractor zelf herstarten na eigen reparatie. Volgens de voorwaarden hadden ze op de John Deere-servicemonteur moeten wachten. Maar je kunt geen dag wachten als de oogst naar binnen moet.

Je zou er nooit toe gedwongen moeten worden om je eigen ‘slimme’ apparaat als het ware terug te hacken om er controle over te krijgen of te houden. Bijvoorbeeld om je oogst op tijd binnen te halen. Je moet ermee kunnen doen wat je wilt, zoals het uitvoeren van reparaties, zonder allerlei technische trucs te moeten uithalen. De onmogelijkheid van boeren om hun eigen tractors te kunnen repareren als gevolg van vrijheidsbeperkende gebruiksvoorwaarden, is dan ook een van de redenen waarom er rechtszaken zijn over the right to repair in de Verenigde Staten.

Er zijn veel meer voorbeelden waarbij de producent je via hun besturingssoftware afhankelijk wil maken. Bijvoorbeeld printerfabrikanten die alleen hun eigen merk inkt/toner in de verkochte printers willen en dat softwarematig proberen af te dwingen. Helaas zien we ook vaak dat producenten beveiligingsupdates voor je apparaat maar vrij kort (of niet) leveren en dus de levensduur van een veilig apparaat verkorten. De Consumentenbond is eind vorig jaar daarom een procedure gestart tegen Samsung om het bedrijf te verplichten beveiligingsupdates voor de telefoons nog ten minste vier jaar na aankoop ervan te distribueren. Beveiligingsupdates zijn immers essentieel voor een veilig gebruik van je apparaat.

Zorg voor alternatieven
Het kan ook anders: om zelf de baas te kunnen blijven over je apparatuur, kunnen bedrijven bijvoorbeeld opensource-firmware installeren. Daarmee geven ze hun klanten alle vrijheid om zelf te bepalen hoe ze hun apparaat willen gebruiken. Een andere optie is de fabrikanten te verplichten dat hun firmware aan bepaalde eisen voldoet, bijvoorbeeld:

  • dat het goed samenwerkt met allerlei programma’s (dus onafhankelijk van het besturingssysteem)
  • dat er voor een minimale duur updates worden geleverd.

Aan welke eisen moeten fabrikanten volgens jou voldoen? Heb jij meer ideeën over hoe je als eigenaar de baas over je apparaat kunt blijven, laat het ons weten en reageer!

  1. Paul Tap (@armorica)

    Niet kopen en voor een Open alternatief gaan is het beste dat je kunt doen. Ook als de gebruiksvoorwaarden geen probleem zijn is het natuurlijk nog uitkijken geblazen voor wat betreft de veiligheid. Zo heb ik een domotica systeem in huis, maar is er geen haar op m’n hoofd dat er over denkt dat vrij aan het internet te hangen (zoals de leverancier promoot om het via hun servers te kunnen bedienen).

    Criminelen laten op dit moment vrij lomp zien hoe eenvoudig het is om individuen en bedrijven te gijzelen met ransomware; hoeveel subtieler zal het gaan wanneer een land via kleine manipulaties van de IoT de oogst van een ander land zodanig slecht kan laten zijn dat het in een kwetsbare positie komt (denk aan de kleine fluctuaties in de nucleaire centrifuges van Iran door stuxnet). Bijvoorbeeld omdat een fabrikant geen updates levert.

    We gaan boeiende tijden tegemoet; zorgelijke ook helaas.

    • Helma de Boer

      Eens. Boeiend, maar zorgelijk. Het is zaak dat we onze kop erbij houden en input blijven geven om de privacy te waarborgen.

    • Adrie

      Heel begrijpelijk dat je je domoticasysteem niet aan internet wilt (durft) koppelen. Tegelijkertijd is het in- en intriest dat in deze tijd van (soms overdreven) consumentenbescherming dit soort zaken nog op geen enkele manier geregeld zijn.

  2. Simon

    Momnteel de beste optie? Linux mainline kernel support via open source drivers.
    – Linux: spreekt voor zich, is vrije software waar zeer actief aan ontwikkeld wordt door veel partijen. Security fixes, en nieuwe features gedurende een zeer lange periode.
    – Mainline kernel support: gewoon de standaard-versie van de kernel, geen rare fratsen zoals eigen kernel drivers en andere standaardbilbliotheken.
    – open source: zodat de drivers onderhouden en gecompileerd kunnen worden voor toekomstige Linux kernels.

    Voorbeelden hiervan zijn Linux distributies voor op de normale x86 PC, en distributies voor bijv de RaspberryPi. Daar is de onafhankelijk van de fabrikant inmiddels zeer groot: installeer het en al je hardware werkt. (uitzonderingen voor exotische hardware daargelaten.

    Voorbeeld van hoe het niet moet: Android. Google en de hardwarefabrikanten houden daar alle touwtjes in handen. Google bouwt te pas en te onpas alternatieven voor standaard onderdelen, waardoor je normale Linux software niet zonder meer op Android kunt gebruiken. (BIONIC, SurfaceFlinger, Binder) Hardwarefabrikanten (Qualcomm, Samsung) geven de drivers simpelweg niet vrij, waardoor je als gebruiker vast zit aan de Android kernel, en dan ook nog één specifieke versie. Security fixes en feature updates kun je dus vergeten.

    Zelfs voor telefoonfabrikanten die wel willen (Jolla, bijvoorbeeld) kunnen niet tegen de macht van Android op. Zij zijn gedwongen om de Android kernel met gesloten drivers te gebruiken, om via een tussenlaag (libhybris) er weer een normale Linux-interface van te maken.

    • Helma de Boer

      Eens. Linux! Of de klant misschien een keuze geven voor een besturingssysteem (maar dat is niet voor iedereen even gemakkelijk kiezen).

    • gs1966

      Android is inderdaad prut, maar dat Google heeft dan ook geen commitment tav. vrije software (als steunen ze hier en daar wel wat).
      Vrije software ruineert immers hun business model.

      Ik vind de situatie mbt. embedded apparaten (bv. smartphones) dan ook zeer zorgwekkend. Ik denk dat overheden hier best wel iets aan kunnen doen door vrije software initiatievente steunen, vrijheid is immers een burgerrecht.
      Het zou een recht moet zijn dat burgers zelf hun OS op een apparaat kunnen (laten) zetten, zoals dat op een PC eigenlijk heel goed mogelijk is.

      • Helma

        BMW-man (gok ik), daar stem ik hartgrondig mee in. Ook op je telefoon zou je om Google, Apple en Microsoft heen moeten kunnen. Ik las vandaag dat Ubuntu helaas is gestopt met de ontwikkeling van een OS voor mobiel. :-s

    • gs1966

      De opties die ik voor telefoons ken zijn (in afnemende volgorde van “privacy respecting”):
      1. Tinkerphones GTA04/Letux 2804 of Neo900. deze gebruiken naast
      vrije software ook vrije hardware. Helaas een niche “markt”
      2. replicant: geheel vrije (libre) Android. Werkt maar op 10-12
      devices, allen al vrij oud. Dit is 2e geranked omdat de hardware
      niet libre is.
      3. Lineage Os (voorheen Cyanagenmod). Niet perse ontwikkeld voor
      privacy, maar wel met redelijk veel controle (rooted phone, geen
      Google Apps). Werkt op behoorlijk wat (maar lang niet alle)
      smartphones.

  3. zomaa

    verzekeringen doen dit ook al een tijdje. Geen tracker in je auto? Geen verzekering. Maar dat apparaat registreert ook je rijgedrag en de plekken waar je geweest bent.

    Is straks via europese wetgeving voor elke nieuwe auto verplicht.

    Tesla doet het nog fraaier lees dit: https://www.autobahn.eu/3970/elon-musk-en-tesla-willen-zien-hoe-je-rijdt/

    • Helma de Boer

      Dank voor de aanvulling met de link naar Tesla’s aanpak. De ANWB werkt inderdaad ook met zo’n systeem. Het is te hopen dat het straks niet als voorwaarde wordt gesteld door álle maatschappijen.

  4. B@S

    Bravo. “Baas over je eigen apparaat” klinkt veel minder belangrijk dan het is. Naar dit artikel ga ik dus zeker verwijzen als iemand me weer eens glazig aankijkt bij de boodschap dat gesloten apparaten een ongewenste wereldwijde verschuiving van de machtsbalans veroorzaken (aldus de drammer, aansteller of complotdenker met veel te grote woorden 🙂 ).

    Aan welke eisen moeten fabrikanten voldoen? Helaas is dat ingewikkelder dan je zou hopen. Bijvoorbeeld: de eisen van de consumentenbond en de autonomie van de consument kunnen elkaar bijten. De leverancier wordt aangespoord dan wel verplicht om het apparaat veilig te houden met updates, maar doet dat in de praktijk door de controle erover te behouden. Als de consument zijn apparaat “bevrijdt”, dan wil de leverancier er het liefst zijn handen van aftrekken.

    Persoonlijk wil ik me helemaal niet hóeven verhouden tot een partij die me een keer iets verkocht heeft. Veiligheids-updates, die hoeven alleen maar beschikbaar te zijn, niet van buitenaf te worden doorgedouwd naar je apparaten (Simon noemt hierboven terecht Linux als correct voorbeeld). Ik kan me daarentegen voorstellen dat veel mensen voor 100% gemak gaan, dus blijvend volautomatische wijzigingen aan hun apparaten door diens makers prima vinden, ongeacht de aard van die wijzigingen. Afhankelijk van de implementatie word ik dus blij of juist erg ongelukkig van de inspanningen van de consumentenbond.

    Als het niet lukt om met wetgeving de soevereiniteit van eigenaar over eigendom af te dwingen (wat mij het allerbeste lijkt), dan zou ik me als plan B een soort scoringsmodel kunnen voorstellen: open source firmware is een plus, recht en mogelijkheid om die te vervangen ook; update-opties scoren positief, update-dwang negatief; oninzichtelijke communicatie vanuit het apparaat naar buiten toe: dikke min; de mogelijkheid om die hardwarematig te blokkeren: plus; disfunctioneren van het apparaat bij weggevallen of geblokkeerde connectiviteit: erg dikke min.

    We kunnen vervolgens een score aan het apparaat toekennen (keurmerk? aantal sterren?). Veel mensen luisteren nu eenmaal beter naar een vorm van autoriteit dan naar de achterliggende factoren en overwegingen. Zo kan men per product tenminste zelf vooraf afwegen of het gebodene in verhouding staat tot een beroerde score.

    Maar zoals gezegd: liever nog wetgeving die bepaalde factoren verplicht of verbiedt. In algemene voorwaarden is ook niet zomaar alles toegestaan wat de consument zou slikken.

    • Helma de Boer

      “Naar dit artikel ga ik dus zeker verwijzen als iemand me weer eens glazig aankijkt bij de boodschap dat gesloten apparaten een ongewenste wereldwijde verschuiving van de machtsbalans veroorzaken”

      Tof!

  5. Helma de Boer

    Blij met jullie reacties op mijn blog! 😀 Aanvullingen blijven van harte welkom, keep ‘m coming.

  6. Klaske

    ‘The Right to Repair”, daar zeg je me wat. Apple loopt niet bepaald voorop wat dat betreft. Mooie praatjes en mooie filmpjes over een tweede leven voor je laptop, je iphone. Maar intussen gaat alles bij Apple in de shredder. Hoe lang zijn wij nog genoodzaakt achter die Amerikaanse bedrijven aan te lopen die voor ons mooie dingen bedenken, maar intussen almaar op winstmaximisatie uit zijn? Milieu? Privacy? Democratie?

  7. Klaske

    ‘The Right to Repair”, daar zeg je me wat. Apple loopt niet bepaald voorop wat dat betreft. Mooie praatjes en mooie filmpjes over een tweede leven voor je laptop, je iphone. Maar intussen gaat alles bij Apple in de shredder. Hoe lang zijn wij nog genoodzaakt achter die Amerikaanse bedrijven aan te lopen die voor ons mooie dingen bedenken, maar intussen almaar op winstmaximalisatie uit zijn? Milieu? Privacy? Democratie?
    Wat ik zou willen: een apparaat dat ik zelf kan openen. Waarvan ik bv. de batterij kan vervangen. Het moet ook eerlijk geproduceerd zijn (zoals Fairphone) en het moet lang meegaan. Ik denk nu aan de Puzzlephone,die er nog niet is.
    Dan de software: natuurlijk wil ik niet gecontroleerd worden door een bedrijf of een overheid. Dus moet ik betalen voor de service die anderen bieden. Daar zit niets anders op, want voortdurend bestookt worden door adverteerders die zgn. ‘weten wat ik wil'(personalisatie), dat wil ik ook niet. Ads mogen, op een vaste plek en niet gepersonaliseerd.
    Die betaling, ook een probleem. Paypal is obscuur. We moeten dus ook een goed (Europees) systeem ontwikkelen om kleine betalingen te doen.
    Tja, wat ik wil bestaat nog niet, maar er kan wel aan worden gewerkt. Ik denk zelfs dat het hoog tijd is om alternatieven te steunen. Doen we dat niet, dan leveren we ons met huid en haar over aan de reuzen, dan hebben we op het laatst geen stem meer.

    • Adrie

      Betalingsverkeer is wat dat betreft ook een zorgenkindje.
      Contant geld lijkt in hoog tempo uit de samenleving te verdwijnen. De almaar stijgende tarieven (en vooral de surrealistische winstcijfers) van banken tonen aan dat er van realistische concurrentie geen sprake kan zijn.
      Paypal, bitcoin en andere alternatieven zullen voorlopig marginaal blijven door onbekendheid en twijfels aan de betrouwbaarheid. Maar hoe betrouwbaar is het gewone betalingsverkeer als bij de eerste de beste stroomstoring hele winkelstraten op slot gaan?

  8. Cor Rosielle

    Als ik met de gebruiksvoorwaarden akkoord ga, dan gelden ze niet voor mijn vrouw. Zij is immers niet akkoord gegaan. Dan kan zij een defect apparaat ter reparatie aanbieden bij de reparateur van haar keus. Dat wordt voor de fabrikant best lastig om aan te tonen dat er hier een overeenkomst is geschonden.

Laat een reactie achter op Cor Rosielle Reactie annuleren

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.