Beveiliging is de sluitpost bij ontwikkeling van (software)producten. Dit zegt de Amsterdammer Niels Ferguson, die de videokopieerbeveiliging van Intel fluitend kraakte. Maar hij houdt zijn mond om het niet met de Amerikaanse justitie aan de stok te krijgen.
Ferguson is een cryptograaf, die sinds kort actief is als zelfstandig consultant. Daarvoor heeft hij bij kleine bedrijfjes gewerkt, alsook bij internationals (kijk op http://www.macfergus.com/niels/index.html voor een nadere kennismaking).
Uit puur beroepsmatige belangstelling had hij op internet gezocht naar de technologie die Intel heeft ontwikkeld om het kopiëren van digitale video te voorkomen. Hij vond daar een zestig bladzijden tellend pdf-bestand over de hdcp (high-bandwidth digital content protection) waarin de chipgigant de methodiek fijntjes uit de doeken doet. Verlekkerd nestelt Ferguson zich op de bank en begint te lezen. Sommige stukken herleest hij nog eens en nog eens. "Ik dacht: ‘Dat kan niet waar zijn; zo simpel kan het toch niet zijn’. Maar het stond er echt." Terwijl Ferguson het document doorneemt, verkruimelt de kopieerbeveiliging. De code kraken blijkt een fluitje van een cent.
Zoals te doen gebruikelijk in wetenschappelijke kringen beschrijft de Amsterdammer zijn bevindingen in een artikel. Met het uitdrukkelijke doel het feilen van hdcp bloot te leggen, opdat er een discussie kan ontstaan, die op haar beurt leidt tot een betere technologie. Maar zo ver is het niet gekomen. Publicatie van zijn bevindingen zal hem zeker problemen opleveren. Hij mag het artikel zelfs niet door een vakgenoot laten lezen om die te laten beoordelen of zijn bevindingen juist zijn. Sterker nog: hij mag het niet eens met Intel bespreken. "Ik heb contact gezocht met Intel. Ik heb ook met een paar technici gesproken, maar al snel werd duidelijk dat de Digital Millennium Copyright Act (Dmca) het mij onmogelijk maakt het artikel aan hen te overhandigen. Want dan zou ik me namelijk schuldig maken aan het verspreiden van een methode om een kopieerbeveiliging te omzeilen. En daar staan zware straffen op."
De Rus Dmitri Sklyarov, die de code van Adobes e-book-kopieerbeveiliging op een wetenschappelijk congres openbaarde, hangt een gevangenisstraf van maximaal 25 jaar boven het hoofd. Zijn rechtszaak is nu in volle gang.
Geheime wetten
Ferguson woont samen met een Amerikaanse en samen willen ze met de kerstdagen naar familie in de VS. Publicatie van zijn ontdekking brengt het grote risico met zich mee dat hij in de VS wordt gearresteerd. Na juridisch overleg heeft hij het artikel in de kluis gelegd. Dat is het hem namelijk allemaal niet waard.
Maar is hij nog steeds kwaad dat hij in Nederland niet mag publiceren, vanwege een slechte Amerikaanse wet. En wie weet wat er allemaal nog meer niet mag wegens wetgeving in een vreemd land. "Het is net of je in een land woont waar alle wetboeken geheim zijn. Hoe moet ik immers weten welke gevolgen wetten in Duitsland, Frankrijk of China voor mij kunnen hebben?"
Het gaat hem allang niet meer om de hdcp. Die is zo gammel dat het een kwestie van weinig tijd is tot een ander de aanval met succes afrondt. Hij zet zich nu met anderen in om de eenzijdige wetgeving, die ook in Nederland dreigt te worden ingevoerd (zie kader Dmca-neefje), van de baan te krijgen.
Slechte software
Dat de hdcp-code voor zijn ogen uit elkaar viel, komt door een belangrijk probleem waarmee Intel heeft te kampen: de kopieerbeveiliging mag niks kosten. Fabrikanten van dvd-apparatuur en producenten van de inhoud voor die dvd’s beknibbelen op beveiliging. Zij kunnen de kosten van de beveiliging immers niet doorrekenen naar de consument, die er eigenlijk alleen maar last van heeft.
En dat stoort hem in hoge mate. Als cryptoloog ziet hij het overal om zich heen: beveiliging is de sluitpost. "Er zijn bedrijven die naar me toe komen met een softwareprogramma en dan vragen het te beveiligen. En dat gebeurt twee weken voordat het programma de markt op moet. Alsof beveiliging een soort sausje is dat je er later overheen laat lopen. Nee, zij moet van begin af aan een intrinsiek onderdeel zijn van het ontwerpproces. Anders wordt het niks."
De digitale wereld hangt aan elkaar van slechte software, zo is zijn stellige mening. Die overigens wordt gedeeld door een groeiend leger cryptografen. "Microsoft neemt beveiliging niet serieus", zegt Ferguson. Om zich snel te hernemen: "Microsoft neemt beveiliging even serieus als zijn klanten dat doen."
Buffer-overflow
Dat wormen nog steeds hun vernietigend werk kunnen doen (Code Red heeft een geraamde schade van 2,6 miljard dollar veroorzaakt) is alleen maar te verklaren uit het feit dat beveiliging niet serieus wordt genomen door de softwaremakers. "Zo’n worm maakt gebruik van het bestaan van buffer-overflows in de programmatuur. We weten al dertig jaar dat je die niet in de software moet opnemen. Toch schrikt de wereld keer op keer op als een virus toeslaat. Ik kan een systeem redelijk goed beveiligen, maar ik ben er natuurlijk niet tegen opgewassen dat ergens diep in de besturingssoftware een buffer-overflow bestaat."
Eigenlijk zou geen enkel programma nog in C geschreven mogen worden, vindt Ferguson. Waarom het dan toch gebeurt? Omdat software duurder wordt als beveiliging echt deel uitmaakt van het ontwerpproces? "Ik zou het niet weten", antwoordt Ferguson, "Ik heb geen idee óf en hoe veel software duurder zou worden. Maar je kunt het ook omdraaien: wat kost het ons als we het n�et doen?"
Antikopieerwet leidt tot fel verzet
De vermaakindustrie (films, muziek, uitgeverijen) hebben hun lobbywerk uitstekend gedaan in Amerika. De Digital Millennium Copyright Act (Dmca) is een wet die vooral de industriële belangen beschermt, maar gebruikers en auteurs in de kou laat staan. De vraag is bovendien of de industriebelangen wel worden afgedekt. Tegenstanders betogen dat de regels juist nadelig uitpakken voor de fabrikanten.
De wet is bedoeld om te voorkomen dat digitale producten worden gekopieerd. Hollywood bijvoorbeeld wil niet dat film-dvd’s met een paar muisklikken en de juiste apparatuur zijn te vermenigvuldigden. In haar ijver is de industrie erg ver gegaan. Zo verbiedt de Dmca ook dat er gediscussieerd wordt over de technologieën die worden benut om kopiëren tegen te gaan. Iemand die een technologie beschrijft en publiceert welke fouten er in het systeem zitten, hangt juridische vervolging (strafrechtelijk, dan wel civielrechtelijk) boven het hoofd.
Het wetenschappelijke debat verstomt daardoor. Als de fouten niet mogen worden gepubliceerd, worden ze ook niet hersteld. En daarmee bijt de wet zichzelf in de staart. Het debat om tot betere kopieerbeveiligingstechnieken te komen is immers op zichzelf al illegaal.
Meer hierover op http://www.eff.org.
Europa krijgt Dmca-neefje
Europees commissaris Frits Bolkestein maakte een vreugdesprongetje toen in september 2000 het ‘voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij’ alle politieke handen op elkaar kreeg. In april van dit jaar is de richtlijn door de Raad van Ministers aanvaard en nu is het wachten nog slechts op de lokale implementatie. In elk land moet de richtlijn in de lokale wetgeving worden verankerd. Daarmee schrijft Europa de lidstaten een wet voor die erg veel lijkt op de Amerikaanse Dmca.
Prof. mr. P.B. Hugenholtz, hoogleraar auteursrecht aan de Universiteit van Amsterdam, heeft er geen goed woord voor over. Op http://www.ivir.nl/publicaties/hugenholtz/Auteursrechtrichtlijn-AMI.html valt te lezen dat hij de richtlijn op zijn minst overbodig vindt. Er is overigens ook al georganiseerd verzet tegen deze richtlijn, te vinden op http://www.eurorights.org.
