Nieuws

Fabrikant noemt hack van oscilloscoop copyrightschending

woensdag 6 augustus 2014, 16:58 door Redactie, 11 reacties

Een fabrikant van oscilloscopen heeft de uitleg hoe standaard aanwezige maar uitgeschakelde functies kunnen worden ingeschakeld van een website laten verwijderen omdat er sprake van copyrightschending zou zijn. Een oscilloscoop is een apparaat dat wordt gebruikt om elektrische signalen te meten.

Fabrikant Tektronix biedt oscilloscopen aan, waaronder de MSO2000-serie. Via speciale modules die los moeten worden aangeschaft kunnen eigenaren van de oscilloscoop nieuwe eigenschappen inschakelen die standaard al op het apparaat aanwezig zijn maar staan uitgeschakeld. Hackers hadden met een EEPROM, een connector en reeks karakters die op de website van de fabrikant zijn te vinden een manier gevonden om deze eigenschappen zelf in te schakelen.

Website Hack a Day publiceerde deze uitleg eind juli, maar kreeg gisteren het verzoek om het artikel te verwijderen. "Het bericht bevat instructies om onze modules te hacken en schenden daarbij het copyright van Tektronix. Tektronix is van mening dat er geen juridische basis voor dit individu is om dit soort instructies aan iemand te geven, laat staan op een publiek forum", aldus het bedrijf.

Auteursrecht

De fabrikant gebruikte de Amerikaanse Digital Millennium Copyright Act (DMCA), de uit 1998 stammende auteursrechtwetgeving, als basis voor het verzoek om het bericht te laten verwijderen. Volgens Hack a Day laat de beveiliging van de modules ernstig te wensen over, aangezien elke hardware-sleutel hetzelfde is en slechts een tekststring gebruikt die op de website van het bedrijf te vinden is. Daarnaast vraagt het bedrijf 500 dollar voor de modules.

Hack a Day ziet dan ook een belangrijke les voor toekomstige ontwikkelaars. "Het echte verhaal hier is dat Tektronix een zeer zwak systeem heeft ontworpen voor het ontgrendelen van deze modules. Leer hier van. Als je ooit een hardwaresleutel ontwerpt, doe het dan niet zo!" De website besloot het artikel niet te verwijderen, maar gedeeltelijk aan te passen.

Sms-worm besmet 500.000 Android-toestellen in China

Veel populaire gratis Android apps volgen locatie gebruikers

Reacties (11)

06-08-2014, 17:45 door Anoniem

Tjsa. Noem het een hack en ze komen met de advocaatgele hoed met rode linten op aandraven.

06-08-2014, 18:15 door Briolet

[Als die opties er al op staan, dan heb je ze toch gekocht lijkt mij? Tenzij je bij de aankoop expliciet toestemt om ze niet te gebruiken.

06-08-2014, 19:07 door mcb

Door Briolet:
Als die opties er al op staan, dan heb je ze toch gekocht lijkt mij? Tenzij je bij de aankoop expliciet toestemt om ze niet te gebruiken.

Ja en nee.

Aan de ene kant kan je het vergelijken met een software licentie.
1 install cd of download. Afhankelijk van de licentie (-nummer) wordt bepaald wat wel en niet mag.
Vergelijk het maar met een windows dvd.
De licentiecode bepaald of het een home, proff, of enterprise editie is.

Aan de andere kant, gaat het om hardware. Al dan niet door software geactiveerd.

Ik weet niet wat in de gebruiksvoorwaarden staan, maar ik kan me voorstellen dat de hardware van jou is en je ermee kan doen wat je wilt, maar dat de software onder een gebruikslicentie valt.

Het argument van de fabrikant is dat je betaalt voor de functionalitieit en niet voor de hardware.
Of anderen dit ook zo zien.....

06-08-2014, 19:17 door vimes

Vroegah, toen er nog windows xp was ;) kon je bij de home versie met eenvoudige tweaks de beschikking krijgen over diverse functies van de pro versie.
Ik kan mij niet heugen dat daar ooit iemand voor bestraft is.

06-08-2014, 21:48 door Anoniem

Als je iets koopt kun JIJ er mee doen wat je wilt. Ook hacken. Alleen het openbaar maken van de hack is het openbaar maken van een auteursrechtelijk beschermt werk. Dat was het probleem waar de heren hackers uiteindelijk tegenaan liepen.

Volgens mij kunnen ze wel al openbaar,-en zeker door de fabrikant openbaar gemaakte-, informatie publiceren. Zoals de op de site van fabrikant staande karakters. En volgens mij kunnen ze hun werkwijze om tot de hack te komen ook gewoon openbaar maken. Dat is weer hun intellectuele eigendom.

06-08-2014, 22:51 door Anoniem

Doet me denken aan een apparaat, lang geleden, met 1 Kbyte RAM, dat toen nog loeiduur was. Voor 2500 Euri's kon je er 1 Kbyte bij laten plaatsen door een monteur, die dan langskwam. Idem voor de 3e en 4e Kbyte.

Later, toen RAM goedkoper werd, zat er gewoon een 4 Kbyte RAM op de print. Met een jumper werd de extra 3K onzichtbaar gemaakt voor de gebruiker. Die wist dus van niet, bestelde een 'upgrade' voor 2500 Euri's, dan kwam er een monteur langs die dan één jumper dan verwijderde.

Uiteraard kwam een klant hier achter, en die was dus nogal zeer 'pissed' over het bedrag en de daaraan gekoppelde actie. Gegeven nu zowat hetzelfde met de scoop (de software zit er immers al in) zou je het niet toestaan dat een klant zelf een jumper verwijderd? Ook gegeven het feit dat de leverancier het nooit kan ontdekken?

Net zoals met bepaalde merken auto's, waar de motor meer kan met speciale software, die je dan voor 1 maand kan 'huren' bij de garage zodat de caravan makkelijker te trkken is door de bergen? Het gaat hier dus niet om iets extra's, maar iets wat speciaal uitgezet is. Hoe zijn de meningen hierover?

07-08-2014, 08:58 door dutchfish

Door Briolet: [Als die opties er al op staan, dan heb je ze toch gekocht lijkt mij? Tenzij je bij de aankoop expliciet toestemt om ze niet te gebruiken.

Dat hoeft niet persé het geval te zijn. Tek en ook enkele fabrikanten zoals rigol, agilent, siglent leveren bij een nieuwe scoop 'trial versies' uit van diverse modules. Die werken dan bijvoorbeeld 30 dagen of X uren, voordat ze je subtiel opmerkzaam maken dat je de desbetreffende module mag gaan kopen.

Op sommige scopes is dit proces erg doorzichtig en super eenvoudig te omzeilen met een hack. Bijvoorbeeld door meteen na aankoop de firmware uit te lezen en/of de sdram of flash (afhankelijk van de scoop), dit kan meestal al via een seriële aansluiting, een JTAG interface of anders of firmwaredump. Een verschil-bestand (nadat de 'grace period' is verlopen) geeft dan de aanwijzing. Bij sommige scopes is dat slechts een hashtable, dugh....

Vraag blijft echter, of ondanks de eenvoud waarmee dit is te doen, dit ook zou willen doen? Denk hierbij aan support/warranty en 'return to support for calibration'. Voor hobby toepassingen misschien wel, voor meer professionele toepassingen is het niet lonend 'top notch equipment' te hacken.

Firmware hacken voor educatieve doelen blijft natuurlijk wel altijd leuk en leerzaam, vooral als je als hobbyist een EOL doosje kan bemachtigen en weet te repareren.

07-08-2014, 10:28 door Anoniem

Door Anoniem 22:51:
Het gaat hier niet om iets extra's, maar iets wat speciaal uitgezet is. Hoe zijn de meningen hierover?

Dank voor deze vraag.
Vind zoiets een vorm van volksverlakkerij. De extra functionaliteit is immers al compleet aanwezig in het apparaat.
Je moet het a.h.w. alleen nog even "aan" zetten door middel van de juiste "sleutel".

Bij oscilloscopen is het apparaat blijkbaar eerst bewust "gedowngrade" zodat hij standaard onder zijn kunnen presteert.
Vervolgens bieden ze een "upgrade" van vele honderden euri aan, terwijl deze zogenaamde "upgrade" meestal neerkomt
op een bitje omzetten in de configuratie o.i.d. En dat staat bij lange na niet in verhouding tot de werkelijke kosten die de fabrikant maakt voor deze upgrade. Want wat kost nou een bitje omzetten in de configuratie?...
Shame on you! Dit soort "bewuste downgrades" zou verboden moeten worden.

En dan vervolgens verontwaardigd reageren dat mensen dit "oneerlijk" op eigen houtje zonder te betalen gaan doen?
Kom op zeg! Kijk nou eerst eens waar je als fabrikant zélf mee bezig bent.
Je kunt beter ontwikkelingskosten besparen door zulke onzin er niet in te bouwen, en het apparaat direct met "full functionality" in de markt te zetten tegen misschien nog wel lagere kosten dan wat nu de "gedowngrade" versie kost...

11-08-2014, 11:09 door Anoniem

Door Anoniem:
Vind zoiets een vorm van volksverlakkerij. De extra functionaliteit is immers al compleet aanwezig in het apparaat.
Je moet het a.h.w. alleen nog even "aan" zetten door middel van de juiste "sleutel".

Bij oscilloscopen is het apparaat blijkbaar eerst bewust "gedowngrade" zodat hij standaard onder zijn kunnen presteert.
...
Dit soort "bewuste downgrades" zou verboden moeten worden.
...
...en het apparaat direct met "full functionality" in de markt te zetten tegen misschien nog wel lagere kosten dan wat nu de "gedowngrade" versie kost...

Focus niet op deze ene fabrikant, nagenoeg _alle_ hardware fabrikanten doen het vandaag: auto's (via het motor management software) beperken het vermogen van de motor, zoals hierboven bijvoorbeeld al aangehaald ivm het trekken van een sleurhut), tv's en monitoren, dvd-recorders en mediaplayers, en wat al niet meer. 't Zou me niet verbazen dat er mobieltjes in de winkel liggen die 'gedowngrade'-versies zijn van de grote broertjes, gewoon om de goedkope onderkant van de markt ook binnen te halen.

De apparaten direct met 'full functionality' in de markt zetten: bekijk het eens van de andere kant. Niet iedereen heeff 'full functionality' nodig, en wil dan niet voor de niet-nodige functionaliteit betalen! Dus die is dan weer wat blij als hij/zij een goedkoper model kan kopen waarbij die nutteloze dingen dan misschien gewoon 'af' staan, maar hij/zij betaald er dan ook niet voor. Komt er een nood voor die functionaliteit, dan kan die meestal later gewoon 'aan' gezet worden, inderdaad tegen een meerkost, maar dan is ie nog altijd goedkoper gesteld dan een 'full functionality' prijs.

13-08-2014, 12:53 door Anoniem

Focus niet op deze ene fabrikant, nagenoeg _alle_ hardware fabrikanten doen het vandaag etc.

Doe ik ook niet. Het was mijn algemeen standpunt.
En het is gewoon geen fatsoenlijke eerlijke handel. Ook niet als bijna iedereen het doet.

Niet iedereen heeff 'full functionality' nodig, en wil dan niet voor de niet-nodige functionaliteit betalen! etc.

Dat mag dan zo zijn, maar dan moet de kostprijs wel in verhouding staan met de meerkosten van de upgrade.
En een paar bitjes omzetten kost geen honderden euro's.
Verder moet het niet zo zijn dat iemand die wél graag alle functionaliteit wil, stiekem gaat meebetalen om het mogelijk
te maken dat de "uitgeklede versie" zodoende extra goedkoop in de markt neergezet kan worden.
Dan is degene die wél graag alle opties wil (en die het geld ook niet op de rug groeit) onevenredig duur uit.

Iedereen hoort gewoon te betalen voor wat iets werkelijk heeft gekost.
Zonder onredelijk hoge woekerwinsten of grove marktmanipulatie. Klaar.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer