Achterdeurtje in (web)applicaties legaal?

zodra jij een webapp verkoopt (dus code en al) is de eigenaar de persoon die het gekocht heeft. Als jij dan dmv een backdoor naar binnen komt (dus niet zozeer het maken van een backdoor, maar het er doorheen gaan) ben je volgens mij strafbaar.

zeker als je de persoon genoeg reden hebt gegeven om hem te doen denken dat het veilig zou zijn

Volgens mij is dit idd niet legaal. De normale route is het inrichten van een administrator account waarmee je - in overleg met de klant - ook gebruik van kan maken als ontwikkelaar. Daarnaast is het inbouwen van een backdoor een veiligheidsrisico, dat bewust in het systeem van de klant is gebouwd. Dus los van het gebruik van de backdoor lijkt mij ook het inbouwen an sich niet legaal.

Waarom wordt ik dan geen eigenaar van de muziek op een cd als ik die koop?

En of het legaal is ligt natuurlijk aan de voorwaardes waaronder de software verkocht wordt.

[ Voor 40% gewijzigd door Verwijderd op 27-03-2006 17:55 ]

Verwijderd schreef op maandag 27 maart 2006 @ 17:50:
Waarom wordt ik dan geen eigenaar van de muziek op een cd als ik die koop?

Jij koopt helemaal geen muziek feitelijk.
Je koopt het recht om die muziek te mogen luisteren.
IIG, zoiets vaags was het dacht ik.

Maar om de TS te beantwoorden:
Ik vind dat jij gelijk hebt.
Zonder toestemming mag hij helemaal niets.
Een autofabrikant waar je digitaal de auto met zo een pasje in kan komen mag toch ook geen code gebruiken zodat ze iedere auto in kunnen komen? Mooie boel zou dat zijn.

BasieP schreef op maandag 27 maart 2006 @ 17:46:
zodra jij een webapp verkoopt (dus code en al) is de eigenaar de persoon die het gekocht heeft. Als jij dan dmv een backdoor naar binnen komt (dus niet zozeer het maken van een backdoor, maar het er doorheen gaan) ben je volgens mij strafbaar.

zeker als je de persoon genoeg reden hebt gegeven om hem te doen denken dat het veilig zou zijn

Als jij je app. verkoopt is de koper NIET per definitie eigenaar... zo simpel ligt dat helemaal niet bij de wet.

MAAR je mag in de NL wetgeving niet zomaar backdoors opzettelijk inbouwen. Tenzij dit een feature is en de afnemer hiervan op de hoogte is.

Als hij een keer door de mand valt, krijgt hij een flink duur proces aan zijn broek en al die bedrijven hebben meer geld voor een goede advocaat dan jouw vriend zal hebben. Daarnaast zal een goede "hacker" ook misbruik kunnen maken van deze backdoors.

[ Voor 17% gewijzigd door n00bs op 27-03-2006 18:02 ]

Nakebod schreef op maandag 27 maart 2006 @ 17:58:
[...]


Jij koopt helemaal geen muziek feitelijk.
Je koopt het recht om die muziek te mogen luisteren.
IIG, zoiets vaags was het dacht ik.

Dan koop ik ook recht om de software te gebruiken

Verwijderd schreef op maandag 27 maart 2006 @ 18:01:
[...]


Dan koop ik ook recht om de software te gebruiken

Correct, tenzij je met behulp van een auteursrechtoverdracht alles overheveld, dan zou je dat in feite niet mogen doen.

Verwijderd schreef op maandag 27 maart 2006 @ 18:01:
[...]


Dan koop ik ook recht om de software te gebruiken

Zoals Thiaz ook al vermeld, correct.
Windows koop je ook niet, je koopt een licentie die je het recht geeft Windows op één* computer te installeren en te gebruiken.
Verder blijft MS nog de volledige eigenaar van Windows.
_{* Ok, VLK licenties enzo zijn er ook nog, maar normaal gesproken maar 1 pc.}

Nakebod schreef op maandag 27 maart 2006 @ 17:58:
Een autofabrikant waar je digitaal de auto met zo een pasje in kan komen mag toch ook geen code gebruiken zodat ze iedere auto in kunnen komen? Mooie boel zou dat zijn.

Dat noemt men een "loper" in slotenmakerstermen. http://nl.wikipedia.org/wiki/Loper_(sleutel)

Achterpoortjes zijn erg handig om dingen aanpassen als er iets misgaat. Zeer gebruikelijk in systeem/netwerkbeheerderswereld, ff de muis/toetsenbord van iemand afpakken via extern bureaublad en het boeltje aanpassen. Illegaal zal het niet zijn, aangezien het dagdagelijks overal probleemloos toegepast word.

Dan eindigen we bij de "admin-powers" discussie: Om "admin of all admins" te worden kan je gaan werken bij Belnet, daar heb je de macht om glasvezels van ISP's eruit te trekken, ff KPN bannen? Alle overheidsnetwerken en staatsgeheimen gaan ook over hun netwerk. Is zo'n admin nog te vertrouwen? Of kan hij/zij "the darkside" (black hat?) niet weerstaan: spioneren voor een ander land? machtsmisbruik? ...

Ik vind dat de klant op de hoogte moet zijn van wat er wel en niet kan, dus ook de aanwezigheid en invloed van backdoors.

[ Voor 13% gewijzigd door rapture op 27-03-2006 18:10 ]

Thiaz schreef op maandag 27 maart 2006 @ 18:04:
[...]


Correct, tenzij je met behulp van een auteursrechtoverdracht alles overheveld, dan zou je dat in feite niet mogen doen.

niet per definitie, vaak (vooral bij websites) wil je echt de code kopen. anders blijf je vast zitten aan de originele maker, en kan je dus bijna niks 'zomaar' aanpassen

Zeker niet legaal.

Stel dat Microsoft in haar sourcecode ook een ingangetje bouwt. Zodat ze je harddisk kunnen doorsnuffelen.

Hoewel de discussie ongetwijfeld erg interessant is, blijkt in de praktijk dat het er vrijwel nooit van komt het hier over te hebben met de klant(en). Want als jij geen achteringang hebt gemaakt, dan kun je vaak alsnog wel bij de broncode (en dus uiteindelijk in de applicatie) komen, bijvoorbeeld via FTP-gegevens etc. Kortom, het is voor een ontwikkelaar haast onmogelijk om niet bij een middel van gebruik van de applicatie te kunnen komen.

Terug naar de discussie: mág dit? Zoals al vaker gezegd hier mag dit naar alle waarschijnlijkheid niet. Maar daarentegen, zoals ik eerder zei in deze reply, is het voor de ontwikkelaar haast lastig te noemen om er voor te zorgen dat hij/zij er uiteindelijk, al dan niet via omwegen, niet bij kan komen. Ik ben er van overtuigd dat een merendeel van de ontwikkelaars uiteindelijk bij de (live) broncodes van zijn applicaties kan komen.

De vraag moet dus eigenlijk zijn, mág een ontwikkelaar na afleveirng de applicatie benaderen, al dan niet via een backdoor? Ik denk dat de klant op zijn minste te weten moet komen - vooraf! - dat de ontwikkelaar in de applicatie kan komen waarbij de nadruk gelegd moet worden op het feit dat hij/zij dit alleen zal doen als dit technisch noodzakelijk blijkt.

Dat dit uiteindelijk in de praktijk ook gebeurd voor niet-technische doeleinden, zal altijd zo blijven. Wát er vervolgens met die informatie gebeurd (hoeveel producten heeft de klant verkocht vorige maand, hoeveel omzet heeft een klant gedraaid, wat stond er in privéboodschappen die verzonden zijn met een backoffice, etc.) is uiteindelijk van belang. Als er namelijk gevoelige informatie naar buiten wordt gebracht en de klant krijgt dáár problemen mee, tja, dan had je als ontwikkelaar toch even beter na moeten denken toen je die informatie bekeek en uiteindelijk naar buiten bracht.

Software ontwikkelaars blijven mensen die vertrouwd moeten worden in hun werk. En vertrouwen zal altijd een vaag gebied blijven, zeker bij commerciele producten/applicaties.

_{Een klein voorbeeldje is het feit dat ik bij een bepaald freelance project cijfers en informatie heb gezien over een groot deel van al het SMS-verkeer in Nederland en daarbij kwam ik ongemerkt te weten hoeveel berichten er verzonden worden bij grote commericele projecten in Nederland, waarbij jullie ongetwijfeld zelf kunnen invullen welke projecten dat waren. Positief punt in deze is dat ik die informatie gewoon voor mezelf houdt - hoe moeilijk dit soms ook is - waarbij zelfs mijn naasten als vrienden en vriendin - dergelijke informatie niet te horen krijgen. Dit vindt ik niet meer dan normaal - de klant zou me vervolgen als blijkt dat er morgen in de Privé en Story staat hoeveel berichtjes er verzonden zijn toentertijd naar aanleiding van mijn `lekken`. Kortom, je moet als ontwikkelaar met privacygevoelige informatie om kúnnen gaan, dat is een facet van je vaardigheid naar mijn mening. Een plaatselijke dokter gaat op een verjaardag ook niet trots vertellen dat zijn buurvrouw van vijf huizen verderop een infectie op haar schaamlip heeft, ook al heeft zij die dag daarvoor zijn vrouw uitgescholden omdat hun kinderen bij haar de ruiten ingegooid hadden...}

Het inbouwen is strafrechtelijk niets mis mee (uitgezonderd kwade opzet in welk geval er sprake kan zijn van voorbereidingshandelingen van een misdrijf). Indien er echter gebruik van wordt gemaakt zonder toestemming dan kan het tot strafrechtelijke vervolging leiden op grond van de wet op computercriminaliteit en dan met name het artikel waarin het zich ongeauthoriseerd toegang verschaffen tot een computersysteem strafbaar gesteld is. Overigens is er ook een civielrechtelijk risico, namelijk de aansprakelijkheid in het geval iemand het achterdeurtje ontdekt en er misbruik van maakt.

[ Voor 10% gewijzigd door Rukapul op 27-03-2006 18:35 ]

Rukapul schreef op maandag 27 maart 2006 @ 18:34:
Het inbouwen is strafrechtelijk niets mis mee (uitgezonderd kwade opzet in welk geval er sprake kan zijn van voorbereidingshandelingen van een misdrijf). Indien er echter gebruik van wordt gemaakt zonder toestemming dan kan het tot strafrechtelijke vervolging leiden op grond van de wet op computercriminaliteit en dan met name het artikel waarin het zich ongeauthoriseerd toegang verschaffen tot een computersysteem strafbaar gesteld is. Overigens is er ook een civielrechtelijk risico, namelijk de aansprakelijkheid in het geval iemand het achterdeurtje ontdekt en er misbruik van maakt.

Kun je natuurlijk wel leuk zeggen zo. Maar als iemand code koopt met een backdoor erin, dan lijkt het me dat de koper eerst moet aan kunnen tonen dat hij die "feature" niet wilde/kende. Anders lijkt het me dat iemand "gewoon" de koper zn websoftware loopt te gebruiken.

</devil's advocate>

Ik denk dat het ervan afhangt of het puur om de verkoop van software gaat, of dat de persoon in kwestie ook (al dan niet gedeeltelijk) het beheer op zich neemt of dat er afgesproken wordt dat de verkoper zelf bijspringt bij problemen.

In dat geval is de klant op de hoogte van het feit dat de verkoper bij de admin-functionaliteit van de software kan en moet deze natuurlijk wel de tools hebben om zijn werk uit te kunnen voeren.

Spike_wolf schreef op maandag 27 maart 2006 @ 19:18:
Dus zoals ik het begrijp, is het eventueel inbouwen van een achterdeurtje niet strafbaar... maar het eventueel gebruik maken ervan wel?

Het is niet zo dat dit achterdeurtje makkelijk te vinden is ofzo, hij zet bij de inlog code gewoon dat hij desbetreffende progsel de ingeveorde gebruikersnaam en wachtwoord moet checken in de database, tenzij de ingeveorde gebruikersnaam en wachtwoord gelijk zijn aan zijn algemene gebruikersnaam en wachtwoord... een normaal persoon komt er hierdoor dus ook niet binnen. (meestal ).

En ik weet ook wel dat hij gevoelige informatie _nooit_ zou laten lekken ofzo, maar meer het feit dat hij de eigenaren van de software, wat dus zijn klanten zijn, want hij doet de software echt aan hun af, kan later wel aanpassingen voor ze maken, maar hij verkoopt ze echt de software (website) en geen licentie om deze te gebruiken... dus in mijn ogen had hij idd het recht niet om er op in te loggen...

En daar lijk ik dus ook wel gelijk in te hebben

Ik zal hem morgen dit topic eens laten lezen, kijken wat ie er op te zeggen heeft

Nee dat is niet correct, een backdoor mag simpelweg niet. Zeker niet bij maatwerk waar dit niet in de opdrachtsomschrijving aangeduid staat. Ook wanneer nergens in de overeenkomst iets vermeld wordt over een backdoor (ook al is het met andere woorden) dan is het niet toegestaan.

Gebruik ervan is al helemaal strafbaar wanneer dit zonder toestemming van de klant is.

En hoe weet je nou dat hij NOOIT gevoelige info zal laten lekken... misschien ziet hij een keer iets grappigs, misschien krijgt hij een keer een miljoen geboden van een concurrent... je weet niet hoe het gaat verlopen in de toekomst en ik vind het zelf behoorlijk smerig.

Wat je het beste kunt doen, is een backdoor inbouwen, waar de klant eerst toestemming moet geven (inloggen als admin en aangeven dat er 'tijdelijk' toegang gegeven mag worden). Maar dat is dan ook het uiterste...

het blijft illegaal, maar wat ik iig zou doen is het eventjes onder vier ogen met de hoofdopdrachtgever bespreken. dan kan die in geval van nood even wat toelichting geven (misschien, als je toch bezig bent, een supersuperadminfunctie inbouwen die de superadmin uit kan schakelen?)

n00bs schreef op maandag 27 maart 2006 @ 19:24:
Nee dat is niet correct, een backdoor mag simpelweg niet. Zeker niet bij maatwerk waar dit niet in de opdrachtsomschrijving aangeduid staat. Ook wanneer nergens in de overeenkomst iets vermeld wordt over een backdoor (ook al is het met andere woorden) dan is het niet toegestaan.

Natuurlijk mag je wel een backdoor inbouwen, ook vermelden is niet verplicht. Maatwerk of niet, maakt niks uit. En behalve als er een overeenkomst is _geen_ backdoor te maken is het gewoon toegestaan. Althans, ook al is er een overeenkomst om het niet te doen en je doet het toch, dan is dat een zaak tussen jou en je klant, jij houdt je immers niet aan de afspraak, maar dan nog is het niet illegaal of niet toegestaan.
Het enige punt is dat jij al je klanten en je gezicht kan verliezen als het bekend wordt plus wellicht een leuke schadevergoeding

Erkens schreef op maandag 27 maart 2006 @ 22:01:
[...]

Natuurlijk mag je wel een backdoor inbouwen, ook vermelden is niet verplicht. Maatwerk of niet, maakt niks uit. En behalve als er een overeenkomst is _geen_ backdoor te maken is het gewoon toegestaan. Althans, ook al is er een overeenkomst om het niet te doen en je doet het toch, dan is dat een zaak tussen jou en je klant, jij houdt je immers niet aan de afspraak, maar dan nog is het niet illegaal of niet toegestaan.
Het enige punt is dat jij al je klanten en je gezicht kan verliezen als het bekend wordt plus wellicht een leuke schadevergoeding

En de politie op de stoep voor computervredebreuk.

Erkens>

Dan doe jij dat toch wel, ik weet 99.99999999% zeker dat het illegaal is.

n00bs schreef op maandag 27 maart 2006 @ 23:57:
Erkens>

Dan doe jij dat toch wel, ik weet 99.99999999% zeker dat het illegaal is.

het gebruiken om toegang te krijgen zonder toestemming, _dat_ is illegaal, maar het inbouwen zonder te melden niet

Spike_wolf schreef op dinsdag 28 maart 2006 @ 00:02:
Maar het is een feature waar de klant helemaal niet om gevraagd heeft, dit is dus een feature die je er alleen in zou bouwen om het jezelf 'om wat voor een reden dan ook' gemakkelijk te kunnen maken.
Als de klant er niet om vraagt moet/mag je het er imo niet in bouwen...

Dat is een ander punt dat jij meer bouwt dan wat de klant wilt, maar dat maakt het niet illegaal of verboden. Het gebeurd immers heel vaak dat er extra features worden gebouwd waar de klant niet om vraagt, maar dat de klant het niet merkt omdat er toch nooit gebruik gemaakt van wordt (en dus ook niet voor betaald ).

Uiteraard vind ik het niet kunnen om een backdoor zonder toestemming in te bouwen, sowieso al omdat het de veiligheid van het product aantast, hoe sterk het wachtwoord ook is, zodra die eenmaal bekend is heb je een groot probleem...

Je mag meer bouwen dan je klant vraagt, maar de klant hoort wel op de hoogte te zijn van de volledige functionaliteit.

Daarnaast vormt dit een potentieel gevaar voor een bedrijf en is het een inbreuk op de privacy en dus: illegaal

Erkens schreef op dinsdag 28 maart 2006 @ 00:08:
[...]Uiteraard vind ik het niet kunnen om een backdoor zonder toestemming in te bouwen, sowieso al omdat het de veiligheid van het product aantast, hoe sterk het wachtwoord ook is, zodra die eenmaal bekend is heb je een groot probleem...

Inderdaad. Vooral omdat het waarschijnlijk simpel uit de sourcecode te vissen is. Als je dan dezelfde backdoor op andere sites gebruikt, heb je de poppen aan het dansen!

Ik snap ook weinig van het hele nut... Wij hebben in overleg met de eigenaars gewoon een admin account op de meeste software die we leveren. Willen ze niet dat wij ze direct hulp kunnen bieden, of ze zijn bang dat wij data stelen, dan kunnen ze die gewoon blokkeren.

Zelfde geldt voor de FTP passwords, die kunnen ze best veranderen, dan duurt het alleen iets langer als wij support moeten leveren.

In de praktijk disablen ze onze admin passwords niet, en ftp gegevens al helemaal niet... Maar het kan wel

n00bs schreef op dinsdag 28 maart 2006 @ 00:19:
Je mag meer bouwen dan je klant vraagt, maar de klant hoort wel op de hoogte te zijn van de volledige functionaliteit.

onzin, een klant hoeft dat helemaal niet. Een klant wil een zo goedkoop mogelijk product met alleen de features die hij wil. Als jij bijvoorbeeld een standaard product hebt en je verkoopt die ga je toch ook niet alle "overbodige" features er eerst uitslopen

Daarnaast vormt dit een potentieel gevaar voor een bedrijf en is het een inbreuk op de privacy en dus: illegaal

vreemde defenitie van illegaal heb jij
inbreuk op de privacy is het niet, pas zodra je het zonder medeweten gaat gebruiken, alleen dan kan het inbreuk op de privacy zijn!

Dit blijft een eindeloos getouwtrek. Als je me niet gelooft: stap eens een advocatenkantoor binnen, dan praten we daarna weer verder.

Spike_wolf schreef op maandag 27 maart 2006 @ 19:18:
Dus zoals ik het begrijp, is het eventueel inbouwen van een achterdeurtje niet strafbaar... maar het eventueel gebruik maken ervan wel?

Moeilijk te vinden of niet maakt niet uit, de vraag is of de opdrachtgever weet dat je klasgenoot nog toegang heeft tot de software. Dat hoeft niet expliciet vermeld te worden, zolang is afgesproken dat je klasgenoot zich in welke mate dan ook met het beheer van de applicatie bezig gaat houden, weet de klant logischerwijs dat je klasgenoot er toegang toe heeft en gaat de klant hier accoord mee.

[edit] even los van het feit dat ik een hardcoded backdoor vrij stom vind. Wat nou als het password uitlekt? Ga je dan snel even weet-ik-hoeveel live draaiende applicaties updaten? Als vangnet voor het verwijderen van alle accounts door onbenullige klanten is het wel begrijpelijk, maar kan het ook op een andere manier aangepakt worden. Zeg bijv. dat de admin account altijd ID 1 heeft en hardcode dat deze niet verwijderd kan worden. Zo kan iig het wachtwoord aangepast worden en mocht je dat kwijtraken, dan heb je vast nog wel DB toegang.

[ Voor 30% gewijzigd door Not Pingu op 28-03-2006 10:05 ]

ik vind het zowiezo een stom idee op zich!

waarom lever je support "in het duister"... Neem dan gewoon in het contract op dat er support na verkoop voorzien is door middel van een admin-account die ook tussen de andere gebruikers terecht komt. Als zij genoeg hebben van je, dan wissen ze je uit die tabel, maar dan kunnen ze ook fluiten naar support (jij hebt je geld dan immers toch al)
Je kunt hierbij evt zelfs nog extra geld vragen voor de support (evt na verloop van x jaar)

Wat hij nu doet kan em enkel z'n kop kosten als het uitkomt.

Als er iets vreemds gebeurt in de (webshop?) applicatie van de klant, en iemand vind uit dat er een backdoor in zit (of die nou gebruikt is of niet) dat is die maat van je dus wellicht wel verantwoordelijk te houden. Even afgezien of die werkelijk de oorzaak vanm het probleem is gaat men op zo'n moment wellicht heel vervelend doen.

Op een gegeven moment komt men achter het feit van de aanweizheid van de backdoor achter: doordat dit maat idd onderhoud doet zonder het root wachtwoord te kennen, of omdat iemand heel goed naar wat logs zit te kijken, wellicht de logs van een firewall ofzo waar je maat neit eens invloed op heeft. of door reverse engineering van de software(veel software is meer te decompilen dan je leuk vind)

HIGHGuY schreef op dinsdag 28 maart 2006 @ 10:08:
Als zij genoeg hebben van je, dan wissen ze je uit die tabel, maar dan kunnen ze ook fluiten naar support (jij hebt je geld dan immers toch al)

Zo werkt het niet. Een supportcontract wordt niet ontbonden met het weghalen van een account.
Ik kan me opzich goed voorstellen dat de maker een safeguard achter de hand wil hebben om snel bij de applicatie te kunnen als de klant iets upfuckt, maar er zijn betere manieren om dat op te lossen.

Sowieso maakt het juridisch / zakelijk gezien weinig verschil of de maker een hard-coded toegang heeft, of een speciale admin account tussen alle andere useraccounts. Als de klant ooit vraagt om iets aan de site aan te passen en de developer voert dat uit, dan weet de klant al dat diegene er nog toegang toe heeft. Dat hoeft echt niet meer expliciet vermeld te worden.

Maar technisch gezien is een hardcoded account een slecht idee. Een beveiligde useraccount die tussen alle andere useraccounts wordt getoond, is beter beheerbaar voor de developer en transparanter voor de klant (maar dat laatste is niet verplicht).

Verwijderd schreef op maandag 27 maart 2006 @ 18:26:
Want als jij geen achteringang hebt gemaakt, dan kun je vaak alsnog wel bij de broncode (en dus uiteindelijk in de applicatie) komen, bijvoorbeeld via FTP-gegevens etc.

Dat geldt natuurlijk maar in die paar gevallen waar je de broncode nodig hebt om de applicatie uit te voeren (zoals bijv. een PHP webapp). Aan een gecompileerde applicatie doe je vrij weinig (en dus gaat de rest van je relaas dan ook niet op)

n00bs schreef op dinsdag 28 maart 2006 @ 00:54:
Dit blijft een eindeloos getouwtrek. Als je me niet gelooft: stap eens een advocatenkantoor binnen, dan praten we daarna weer verder.

Je bent niet illegaal bezig als je niet doet wat de klant wenst. Je bent illegaal bezig als je iets doet wat volgens de wet niet mag (en er bestaat geen wet die zegt dat je moet doen wat de klant zegt). Het is hoogstens contractbreuk, maar ook dat is niet illegaal maar gewoon iets tussen jou en de klant. Er hangt dus geen gevangenisstraf boven je hoofd en ook hoef je de staat niet te spekken met een boete. Een klant kan natuurlijk wel een schadeclaim indienen maar dat heeft niets met illegaliteit te maken; het blijft iets tussen jou en de klant.

---

Ik vind een dergelijke constructie ook maar onhandig. En ik durf er geld op in te zetten dat ie stom genoeg is dezelfde user/pass combinatie te gebruiken voor elk stukje software dat ie maakt. Ergo, een bedrijf kan door in de broncode te kijken makkelijk gegevens over dat "account" achterhalen en zo bij een andere klant inloggen. En als die gegevens ineens op straat liggen (bijvoorbeeld bij een webserver upgrade waarbij de PHP module ineens niet meer werkt en de broncode dus gewoon wordt geserveerd, shit happens) ben je al helemaal de lul en moet er een aanpassing aan de software aan te pas komen om het te repareren.

[ Voor 68% gewijzigd door .oisyn op 28-03-2006 12:06 ]