Fabrikant noemt hack van oscilloscoop copyrightschending
Een fabrikant van oscilloscopen heeft de uitleg hoe standaard aanwezige maar uitgeschakelde functies kunnen worden ingeschakeld van een website laten verwijderen omdat er sprake van copyrightschending zou zijn. Een oscilloscoop is een apparaat dat wordt gebruikt om elektrische signalen te meten.
Fabrikant Tektronix biedt oscilloscopen aan, waaronder de MSO2000-serie. Via speciale modules die los moeten worden aangeschaft kunnen eigenaren van de oscilloscoop nieuwe eigenschappen inschakelen die standaard al op het apparaat aanwezig zijn maar staan uitgeschakeld. Hackers hadden met een EEPROM, een connector en reeks karakters die op de website van de fabrikant zijn te vinden een manier gevonden om deze eigenschappen zelf in te schakelen.
Website Hack a Day publiceerde deze uitleg eind juli, maar kreeg gisteren het verzoek om het artikel te verwijderen. "Het bericht bevat instructies om onze modules te hacken en schenden daarbij het copyright van Tektronix. Tektronix is van mening dat er geen juridische basis voor dit individu is om dit soort instructies aan iemand te geven, laat staan op een publiek forum", aldus het bedrijf.
Auteursrecht
De fabrikant gebruikte de Amerikaanse Digital Millennium Copyright Act (DMCA), de uit 1998 stammende auteursrechtwetgeving, als basis voor het verzoek om het bericht te laten verwijderen. Volgens Hack a Day laat de beveiliging van de modules ernstig te wensen over, aangezien elke hardware-sleutel hetzelfde is en slechts een tekststring gebruikt die op de website van het bedrijf te vinden is. Daarnaast vraagt het bedrijf 500 dollar voor de modules.
Hack a Day ziet dan ook een belangrijke les voor toekomstige ontwikkelaars. "Het echte verhaal hier is dat Tektronix een zeer zwak systeem heeft ontworpen voor het ontgrendelen van deze modules. Leer hier van. Als je ooit een hardwaresleutel ontwerpt, doe het dan niet zo!" De website besloot het artikel niet te verwijderen, maar gedeeltelijk aan te passen.
Als die opties er al op staan, dan heb je ze toch gekocht lijkt mij? Tenzij je bij de aankoop expliciet toestemt om ze niet te gebruiken.
Aan de ene kant kan je het vergelijken met een software licentie.
1 install cd of download. Afhankelijk van de licentie (-nummer) wordt bepaald wat wel en niet mag.
Vergelijk het maar met een windows dvd.
De licentiecode bepaald of het een home, proff, of enterprise editie is.
Aan de andere kant, gaat het om hardware. Al dan niet door software geactiveerd.
Ik weet niet wat in de gebruiksvoorwaarden staan, maar ik kan me voorstellen dat de hardware van jou is en je ermee kan doen wat je wilt, maar dat de software onder een gebruikslicentie valt.
Het argument van de fabrikant is dat je betaalt voor de functionalitieit en niet voor de hardware.
Of anderen dit ook zo zien.....
Ik kan mij niet heugen dat daar ooit iemand voor bestraft is.
Volgens mij kunnen ze wel al openbaar,-en zeker door de fabrikant openbaar gemaakte-, informatie publiceren. Zoals de op de site van fabrikant staande karakters. En volgens mij kunnen ze hun werkwijze om tot de hack te komen ook gewoon openbaar maken. Dat is weer hun intellectuele eigendom.
Later, toen RAM goedkoper werd, zat er gewoon een 4 Kbyte RAM op de print. Met een jumper werd de extra 3K onzichtbaar gemaakt voor de gebruiker. Die wist dus van niet, bestelde een 'upgrade' voor 2500 Euri's, dan kwam er een monteur langs die dan één jumper dan verwijderde.
Uiteraard kwam een klant hier achter, en die was dus nogal zeer 'pissed' over het bedrag en de daaraan gekoppelde actie. Gegeven nu zowat hetzelfde met de scoop (de software zit er immers al in) zou je het niet toestaan dat een klant zelf een jumper verwijderd? Ook gegeven het feit dat de leverancier het nooit kan ontdekken?
Net zoals met bepaalde merken auto's, waar de motor meer kan met speciale software, die je dan voor 1 maand kan 'huren' bij de garage zodat de caravan makkelijker te trkken is door de bergen? Het gaat hier dus niet om iets extra's, maar iets wat speciaal uitgezet is. Hoe zijn de meningen hierover?
Dat hoeft niet persé het geval te zijn. Tek en ook enkele fabrikanten zoals rigol, agilent, siglent leveren bij een nieuwe scoop 'trial versies' uit van diverse modules. Die werken dan bijvoorbeeld 30 dagen of X uren, voordat ze je subtiel opmerkzaam maken dat je de desbetreffende module mag gaan kopen.
Op sommige scopes is dit proces erg doorzichtig en super eenvoudig te omzeilen met een hack. Bijvoorbeeld door meteen na aankoop de firmware uit te lezen en/of de sdram of flash (afhankelijk van de scoop), dit kan meestal al via een seriële aansluiting, een JTAG interface of anders of firmwaredump. Een verschil-bestand (nadat de 'grace period' is verlopen) geeft dan de aanwijzing. Bij sommige scopes is dat slechts een hashtable, dugh....
Vraag blijft echter, of ondanks de eenvoud waarmee dit is te doen, dit ook zou willen doen? Denk hierbij aan support/warranty en 'return to support for calibration'. Voor hobby toepassingen misschien wel, voor meer professionele toepassingen is het niet lonend 'top notch equipment' te hacken.
Firmware hacken voor educatieve doelen blijft natuurlijk wel altijd leuk en leerzaam, vooral als je als hobbyist een EOL doosje kan bemachtigen en weet te repareren.
Het gaat hier niet om iets extra's, maar iets wat speciaal uitgezet is. Hoe zijn de meningen hierover?
Vind zoiets een vorm van volksverlakkerij. De extra functionaliteit is immers al compleet aanwezig in het apparaat.
Je moet het a.h.w. alleen nog even "aan" zetten door middel van de juiste "sleutel".
Bij oscilloscopen is het apparaat blijkbaar eerst bewust "gedowngrade" zodat hij standaard onder zijn kunnen presteert.
Vervolgens bieden ze een "upgrade" van vele honderden euri aan, terwijl deze zogenaamde "upgrade" meestal neerkomt
op een bitje omzetten in de configuratie o.i.d. En dat staat bij lange na niet in verhouding tot de werkelijke kosten die de fabrikant maakt voor deze upgrade. Want wat kost nou een bitje omzetten in de configuratie?...
Shame on you! Dit soort "bewuste downgrades" zou verboden moeten worden.
En dan vervolgens verontwaardigd reageren dat mensen dit "oneerlijk" op eigen houtje zonder te betalen gaan doen?
Kom op zeg! Kijk nou eerst eens waar je als fabrikant zélf mee bezig bent.
Je kunt beter ontwikkelingskosten besparen door zulke onzin er niet in te bouwen, en het apparaat direct met "full functionality" in de markt te zetten tegen misschien nog wel lagere kosten dan wat nu de "gedowngrade" versie kost...
Vind zoiets een vorm van volksverlakkerij. De extra functionaliteit is immers al compleet aanwezig in het apparaat.
Je moet het a.h.w. alleen nog even "aan" zetten door middel van de juiste "sleutel".
Bij oscilloscopen is het apparaat blijkbaar eerst bewust "gedowngrade" zodat hij standaard onder zijn kunnen presteert.
...
Dit soort "bewuste downgrades" zou verboden moeten worden.
...
...en het apparaat direct met "full functionality" in de markt te zetten tegen misschien nog wel lagere kosten dan wat nu de "gedowngrade" versie kost...
Focus niet op deze ene fabrikant, nagenoeg _alle_ hardware fabrikanten doen het vandaag: auto's (via het motor management software) beperken het vermogen van de motor, zoals hierboven bijvoorbeeld al aangehaald ivm het trekken van een sleurhut), tv's en monitoren, dvd-recorders en mediaplayers, en wat al niet meer. 't Zou me niet verbazen dat er mobieltjes in de winkel liggen die 'gedowngrade'-versies zijn van de grote broertjes, gewoon om de goedkope onderkant van de markt ook binnen te halen.
De apparaten direct met 'full functionality' in de markt zetten: bekijk het eens van de andere kant. Niet iedereen heeff 'full functionality' nodig, en wil dan niet voor de niet-nodige functionaliteit betalen! Dus die is dan weer wat blij als hij/zij een goedkoper model kan kopen waarbij die nutteloze dingen dan misschien gewoon 'af' staan, maar hij/zij betaald er dan ook niet voor. Komt er een nood voor die functionaliteit, dan kan die meestal later gewoon 'aan' gezet worden, inderdaad tegen een meerkost, maar dan is ie nog altijd goedkoper gesteld dan een 'full functionality' prijs.
En het is gewoon geen fatsoenlijke eerlijke handel. Ook niet als bijna iedereen het doet.
En een paar bitjes omzetten kost geen honderden euro's.
Verder moet het niet zo zijn dat iemand die wél graag alle functionaliteit wil, stiekem gaat meebetalen om het mogelijk
te maken dat de "uitgeklede versie" zodoende extra goedkoop in de markt neergezet kan worden.
Dan is degene die wél graag alle opties wil (en die het geld ook niet op de rug groeit) onevenredig duur uit.
Iedereen hoort gewoon te betalen voor wat iets werkelijk heeft gekost.
Zonder onredelijk hoge woekerwinsten of grove marktmanipulatie. Klaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
