DATUM RAPPORTNUMMER 2005-04-08 PTS-ER-2005:15 Spionprogram och andra närliggande företeelser SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN Innehåll Sammanfattning ................................................................................ 3 1 Bakgrund - PTS arbete inom integritetsområdet......................... 5 1.1 Rapportens syfte och PTS roll............................................. 5 2 Integritetskränkande kod – begrepp i rapporten ......................... 7 3 Spionprogram och närliggande företeelser ................................. 9 3.1 Vad är spionprogram? ........................................................ 9 3.2 Program vars funktion är reklam och marknadsföring ....... 10 3.3 Program vars funktion är informationsinsamling............... 11 3.4 Program vars funktion är fjärrstyrning och övervakning..... 13 3.5 Allmänt om syftet med olika former av spionprogram ....... 14 4 Installationsmetoder, hur drabbas användaren?........................ 17 4.1 Medföljande program ....................................................... 17 4.2 Insticksprogram i webbläsaren ......................................... 17 4.3 Trojaner ........................................................................... 17 4.4 ActiveX............................................................................. 18 5 Hur påverkar spionprogrammen användaren? ........................... 19 5.1 Spionprogram – koppling till virus och annan illasinnad kod .................................................................................. 19 6 Hur kan användaren skydda sig?............................................... 21 6.1 Antivirusprogram.............................................................. 21 6.2 Brandvägg........................................................................ 21 6.3 Antispionprogram............................................................. 21 6.4 Allmän försiktighet på Internet ......................................... 21 7 Vad gäller rättsligt? .................................................................. 23 7.1 Inledning.......................................................................... 23 7.2 EkomL bestämmelser om cookies m.m............................. 23 7.3 Närmare om bestämmelsen om cookies m.m. och dess tillämplighet på spionprogram? ................................ 26 7.4 Förbud mot avlyssning ..................................................... 29 7.5 Straffrättsliga bestämmelser ............................................ 31 7.6 Annan integritetsrelaterad lagstiftning .............................. 32 7.7 Några problem (informationsgivning m.m.)....................... 34 Bilagor Bilaga 1 - Fallstudier ........................................................................ 37 Post- och telestyrelsen 1 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN Sammanfattning I takt med att samhället allt mer utvecklas till ett informationssamhälle, där stora delar av såväl näringsliv som staten i olika utsträckningar är beroende av datorer och kommunikationsnätverk, så uppstår ett allt större beroende av att dessa datorer och nätverk fungerar och är säkra. Virus och annan skadlig kod har länge utgjort ett uppmärksammat hot mot sådana funktioner. Det finns dock även program och tekniska system som på andra sätt än genom ren förstörelse kan utgöra hot mot såväl kommunikationsnätens funktionalitet som förtroendet och tilliten till användningen av dessa. Denna rapport tar sikte på en grupp av sådana program som på olika sätt kan utgöra hot i form av integritetskränkande funktioner, allt ifrån mer harmlösa lagringar av menyval i cookie-filer till formliga kidnappningar av hela nätverk av datorer. Programmen och deras funktioner kan i det individuella fallet medföra allvarliga integritetskränkningar mot den enskilda användaren men kan också i ett större perspektiv utgöra ett hot mot den allmänna tilliten och viljan att använda sig av elektroniska kommunikationstjänster. Ett ytterligare problem är också att vissa av dessa program möjliggör för illvilliga aktörer att via fjärrstyrda datorer skapa plattformar för vidare angrepp helt ovetandes för användaren. Syftet med rapporten är i första hand att beskriva förekomsten av och funktionerna hos de program som med ett samlingsnamn kan kallas spionprogram. Rapporten innehåller dels enklare beskrivningar av de olika typer av spionprogram som förekommer dels en översikt över på vilka sätt användare kan drabbas av dessa. Här återfinns även avsnitt av analyserande karaktär om särskilda problem med att identifiera vad som egentligen är spionprogram som är kränkande mot användares integritet respektive program som mycket väl kan ha nyttiga syften och användningsområden. Förutom dessa beskrivningar finns även en rättslig analys av den lagstiftning PTS har att tillämpa och dess tillämpning på spionprogram samt även en mer översiktlig beskrivning av annan lagstiftning som kan vara av betydelse på området. Syftet med den rättsliga översikten är att dels uttrycka PTS uppfattning om vilka bestämmelser i EkomL som kan användas för att motverka det potentiella integritetshot som finns samt att även föra ett resonemang kring problem med faktiska möjligheter att utöva tillsyn. Avsnittet avseende spionprogram i allmänhet är riktat till alla som har ett intresse av att känna till dessa företeelser och som på ett mindre tekniskt orienterat plan önskar få en översiktlig kunskap om dessas förekomst, potentiella hot samt möjligheterna att skydda sig. Avsnittet angående rättsliga frågeställningar är främst riktat till jurister eller andra som är intresserade av de rättsliga frågeställningar som, främst med utgångspunkt i EkomL, uppstår i samband med förekomsten av spionprogram. Slutligen har också en bilaga satts samman med några exempel på spionprogram och hur de i autentiska testsituationer installeras på nätverksanslutna datorer och påverkar dessas funktioner. Post- och telestyrelsen 3 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 1 Bakgrund - PTS arbete inom integritetsområdet PTS utövar tillsyn enligt lagen om elektronisk kommunikation (EkomL). Lagstiftaren har valt att lyfta fram integritetsfrågor i EkomL genom att införa ett särskilt integritetskapitel (kapitel 6) i lagen. I 6 kap 18 § i lagen om elektronisk kommunikation (EkomL) stadgas att: ”Elektroniska kommunikationsnät får användas för att lagra eller få tillgång till information som är lagrad i en abonnents eller användares terminalutrustning endast om abonnenten eller användaren av den personuppgiftsansvarige får information om ändamålet med behandlingen och ges tillfälle att hindra sådan behandling. Detta hindrar inte sådan lagring eller åtkomst som behövs för att utföra eller underlätta att överföra elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändigt för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen har begärt.” Vid införandet av lagen i juli 2003 fick bestämmelsen stor uppmärksamhet eftersom den bland annat berör användningen av s.k. cookies som utnyttjas på många webbplatser. PTS fick flera anmälningar om webbplatser som använde cookies på fel sätt eller inte informerade om användningen. Idag är antalet anmälningar få och det allmänna intresset för den s.k. cookie-bestämmelsen har avtagit något. Paragrafen reglerar dock inte enbart användningen av cookies utan även andra typer av programvaror som används för att ”lagra eller få tillgång till information som är lagrad i en abonnents eller användares terminalutrustning”, exempelvis spionprogram. Spionprogram kan samla mer information om användaren och därigenom vara betydligt mer integritetskränkande än användningen av cookies. Kunskapen om hur utbredd användningen av spionprogram är idag begränsad. PTS bedömer därför att det finns ett stort behov av att belysa användningen av spionprogram och närliggande företeelser samt vilka konsekvenser dessa kan få för användarnas integritet vid utnyttjande av elektroniska kommunikationsnät. 1.1 Rapportens syfte och PTS roll Målet med denna rapport är att ge en övergripande beskrivning av tekniska och rättliga aspekter på spionprogram och närliggande företeelser. Det är viktigt att framhålla att fokus för rapporten ligger enbart inom vad man med allmänna ordalag kan beskriva som olika former av funktioner som kan anses vara av integritetskränkande natur. Andra former av illvillig eller destruktiv programvara med spridningsmekanismer såsom t.ex. virus och liknande berörs därmed inte. För enkelhetens skull har dessa funktioner av potentiellt integritetskränkande natur med ett samlingsbegrepp kallats spionprogram. Det är dock på sin plats att påpeka att syftet inte är att försöka (om)definiera vad som allmänt menas med detta begrepp eller att rapporten skall ses som en uttömmande förteckning av vad som kan anses utgöra funktioner av integritetskränkande natur. Som framhålls i rapporten är ingalunda alltid syftet med dessa spionprogram ett illvilligt syfte, de flesta former av program har sin grund i funktioner som kan användas för att hjälpa användaren och öka funktionaliteten. Post- och telestyrelsen 5 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN Rapporten inkluderar inte enbart företeelser som ligger inom PTS arbetsområde. Användningen av spionprogram och närliggande företeelser utgör ett hot mot tilliten till elektroniska kommunikationer och regleras i vissa fall av 6 kap 18§ lagen om elektronisk kommunikation (se kapitlet ””). I dessa delar ligger problemet inom PTS arbetsområde. Det finns dock andra aspekter på företeelsen, exempelvis otillåten eller oetisk marknadsföring, brottsbekämpning och hantering av personuppgifter, som ligger inom andra myndigheters arbetsområde. Exempel på andra myndigheter som, förutom PTS, har en roll i arbetet med spionprogram och närliggande företeelser är Konsumentverket, Polisen och Datainspektionen. PTS ser denna rapport som en inledande nulägesbeskrivning och anser att det är viktigt att alla myndigheter som har ett ansvar inom området samarbetar i det fortsatta arbetet. Post- och telestyrelsen 6 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 2 Integritetskränkande kod – begrepp i rapporten Datoranvändares personliga integritet kan kränkas på ett antal sätt. Med personlig integritet avses här att personlig och privat information inte skall behandlas eller delges andra utan individens vetskap eller samtycke.1 Program o. dyl. som kan kränka den personliga integriteten kan beskrivas ur flera perspektiv. En utgångspunkt för att beskriva integritetskränkande program är på vilket sätt den som är drabbad påverkas, en annan är på vilket sätt programmen kommer in i systemet. Med begreppet funktion avses i denna rapport vad programmen gör ur ett användarperspektiv, vilken effekt programmen har. Vissa program kan samla information om vilka webbsidor som besöks och därigenom presentera reklam som kan antas intressera användare. Andra program kan påverka användares resurser för egna syften, t.ex. kan en webbläsare styras att visa viss information. En annan funktion kan vara att program installerar ytterligare program utan användarens vetskap. Med begreppet installationsmetoder avses i rapporten det sätt på vilket ett program installeras på en dator. Det finns ett antal installationsmetoder för integritetskränkande program, t.ex. kan de spridas med virus, maskar och trojaner. Begreppen virus, mask och trojan beskriver spridningsmekanismer hos illasinnad kod. Virus är illasinnad kod som kopierar sig till befintliga programfiler eller startsektorer på disketter och hårddiskar. Maskar är illasinnad kod som sprider sig mellan datorer i nätverk. Trojaner, eg. trojanska hästar, är illasinnad kod som, utöver skenbara eller reella önskade operationer dessutom utför oönskade sådana. Gränsdragningen mellan dessa kategorier illasinnad kod är inte entydig. Till exempel kan en trojan tänkas medföra en mask som nyttolast och en mask kan tänkas medföra virus. Ytterligare en installationsmetod är att användaren aktivt installerar programmen på samma vis som med andra vanliga program. Med begreppet tekniska plattformar avses i rapporten eventuella tekniska system som särskilt nyttjas av ett program för att uppnå vissa funktioner 1 SIS Handbok 550, Terminologi för informationssäkerhet, SIS Förlag AB. 2003 Post- och telestyrelsen 7 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 3 Spionprogram och närliggande företeelser 3.1 Vad är spionprogram? Vanligtvis används begreppet spionprogram när integritetskränkande program nämns, dock saknar begreppet en entydig definition. I denna rapport avser begreppet spionprogram program som i det fördolda bevakar dator- eller nätverksanvändares aktiviteter alternativt påverkar systemet på ett för användaren oönskat sätt, t.ex. webbläsarkapning. Inte alla företeelser är dock program, även cookies kan användas så att användarens personliga integritet kränks. Spionprogram torde vara att betrakta som illasinnad kod, d.v.s. kod som vid exekvering orsakar avsiktlig störning eller skada. Dock är inte alla integritetskränkande program illasinnade program. Även program som har legitima användningsområden, t.ex. fjärrstyrningsprogram, kan missbrukas och kränka den personliga integriteten. Spionprogram (eng. spyware) i denna rapport avser därmed program som utan användares vetskap installerar eller exekveras på användarens dator och på olika sätt samlar eller sprider personlig information om användaren. Var gränsen går för att användaren ska ha vetskap om att programmet installerats och vad som är personlig information diskuteras i kapitlet ”Vad gäller rättsligt”. Program som gör intrång i användarens integritet kan kategoriseras baserat på hur de används, sprids och utnyttjar IT-systemet eller datorn de angriper. I denna rapport delas spionprogrammen in i tre kategorier baserat på programmens användningsområde, dels program som används för reklam och marknadsföring (eng. advertising spyware) dels program som används för informationssamling och dels program som används för att fjärrstyra och övervaka den drabbade användarens dator (eng. surveillance spyware). Den första och andra typen av spionprogram är ofta kombinerade och samlar information om en grupp individer i marknadsföringssyfte och befordra sedan utvald marknadsföring till dessa medan den tredje typen av program snarare bevakar specifikt utvalda personer, exempelvis familjemedlemmar eller anställda i företag. I rapporten delas de olika programmen och företeelserna upp utifrån vilken funktion dessa program i huvudsak har. Det är förvisso på sin plats att påpeka att enskilda program ofta har flera funktioner och att en sådan uppdelning därmed inte alltid blir helt korrekt. I huvudsak kan dock de skilda programmen sägas ha en funktion som till övervägande del beskriver dem. Uppdelningen ska främst ses som ett sätt att göra en logisk och följbar beskrivning för läsaren av rapporten och inte såsom ett definitivt eller uttömmande avgörande av vad enskilda företeelser innebär. Nedan beskrivs olika typer av spionprogram för marknadsföring, fjärrstyrning och övervakning samt närliggande företeelser. Post- och telestyrelsen 9 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 3.2 Program vars funktion är reklam och marknadsföring Syftet med program som används för reklam och marknadsföring kan dels vara att sprida reklam dels att förändra den reklam som redan sprids. För att rikta sådan reklam används ofta även olika former av informationssamlande (se avsnitt nedan om program vars funktion är informationsinsamling) för att rikta reklam som anses passa en viss profil av användare. I detta avsnitt presenteras program som med eller utan användarens vetskap används i marknadsföringssyfte. En av de drivande krafterna bakom spionprogrammens spridning är programvarutillverkare. De erbjuder ofta flera versioner av sin applikation; gratisversioner (gratisprogram2 och spridprogram3) och fullständiga versioner som inte är gratis. För att tjäna pengar på gratisversionerna erbjuder programvarutillverkarna andra företag att göra reklam i anslutning till gratisprogrammen. Reklamen visade sig dock initialt ha för liten effekt, och för att öka effekten krävdes effektivare metoder för att kunna följa användarnas beteenden och på så sätt kunna skapa riktad reklam. Den information som spionprogram vars funktion är informationsinsamling (se avsnitt nedan) samlar in används ofta för kunna skapa riktad reklam t ex via spionprogram vars funktion är marknadsföring. 3.2.1 Annonsprogram Annonsprogram (eng. Adware) är programvara som visar pop-up reklam så snart programmet körs. Annonsprogramvarans installation sker ofta genom att den inkluderas med annan programvara som är kostnadsfri. Till exempel kan gratisprogram som laddas ned via Internet innehålla annonsprogram för att finansiera tillverkningen och spridningen av programmet. Många av dessa program finns även i en utgåva som kostar pengar men som då inte innehåller någon annonsprogramvara. Annonsprogrammens funktion är att de på olika vis utsätter användaren för marknadsföring, t.ex. genom popupfönster eller att en viss del av gränssnittet i ett program innehåller marknadsföring. Annonsprogram kan naturligtvis även vara fristående från andra program och till exempel automatiskt generera pop-up fönster med viss bestämd reklam varje gång användaren öppnar sin webbläsare. 3.2.2 Webbläsarkapning Ett annat exempel på program som används i marknadsföringssyfte är program som på olika sätt ändrar den lokala webbläsarens inställningar för att omdirigera trafiken till andra webbsidor. Programmet kan exempelvis byta ut de start- och söksidor som användaren valt eller lägga till länkar i listan med favoriter utan att användaren särskilt begärt det. Denna företeelse kallas ibland för webbläsarkapning (eng. browser/page hijacking). Själva företeelsen webbläsarkapning kan närmast var att anse som en teknik, dvs. den mjukvara som webbläsaren innehåller utgör grunden för programmet. Funktionen av företeelsen är att på olika sätt manipulera Gratisprogram (Freeware) program som får spridas fritt och användas utan kostnad. Spridprogram (Shareware) är program som får spridas fritt men som användaren förväntas betala en avgift för vid upprepad användning eller efter en viss begränsad tid. 2 3 Post- och telestyrelsen 10 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN webbläsaren för att styra om den trafik som sker via webbläsaren, dvs. att på olika sätt påverka vilka webbplatser användaren besöker eller vilka webbplatser det ser ut som användaren har besökt. Syftet med den här typen av program är ofta att dirigera fler besökare till webbsidorna som trafiken styrs till och att på detta sätt sprida reklam. Syftet kan även vara att få det att se ut som om trafiken kommer från en annan webbplats. Som exempel kan nämnas att om en webbplats har avtal om viss ersättning för alla besökare som går från den webbplatsen till en annan så har den ett intresse av att få det att se ut som om alla besökare som når den utomstående webbplatsen kommer från den egna. Denna funktion kan uppnås genom någon form av webbläsarkapning. Webbläsarkapningsprogram kan även omdirigera användarens sökningar via en annan, för användaren osynlig, webbplats som samlar information om användarens aktiviteter (en aspekt som snarare gör dessa webbläsarkapningars funktion till informationsinsamling, se avsnitt 3.3 nedan). För användaren är omdirigeringen omärkbar, förutom att surfningen kan bli långsammare. 3.2.3 Webbläsarstöd Webbläsarstöd (eng. Browser Helper Object, BHO) är program som aktiveras varje gång webbläsaren startas. Webbläsarstöd kan närmast beskrivas som en teknik dvs. en mjukvara som på olika sätt kan påverka hur en webbläsare visar webbplatser som användaren besöker. En funktion som webbläsarstöd kan ha är att webbläsarstödet söker igenom sidorna som användaren öppnar i webbläsaren och byter ut banners så att alla banners t.ex. innehåller en viss i förväg angiven reklam. 3.3 Program vars funktion är informationsinsamling I detta avsnitt presenteras program som samlar information om användaren utan användarens vetskap. Syftet med program som används för informationsinsamling är ofta att samla data om Internetanvändares beteende. Detta kan vara deras beteende på en viss webbplats eller deras allmänna beteende på Internet. Programmen kan t.ex. samla information om vilka webbsidor som användaren besökt på Internet, inloggningsuppgifter som angetts för att ladda hem program (t.ex. namn, e-postadress, kön, ålder och land), användarens IP-adress och vilket operativsystem och webbläsare som används. Det vidare syftet med informationen är ofta marknadsföring (se ovan om program vars funktion är marknadsföring) och för att rikta reklam som anses passa den profil som skapats av användaren. I många fall är därmed syftet med informationsinsamlingen inte direkt illvilligt utan att öka användarens nytta av tjänsten. Exempelvis kan en kund i en Internetbokhandel få boktips baserat på vilka böcker kunden beställt tidigare. Problemet ur ett integritetsperspektiv är att användaren mycket väl kan vara ovetande om informationsinsamlingen och vad informationen utnyttjas till. Som nämnts i avsnitt tidigare var en av de drivande krafterna bakom spionprogrammens spridning programvarutillverkare som sökt alternativa vägar för finansiering t.ex. genom riktad reklam. Den information som spionprogram Post- och telestyrelsen 11 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN för informationsinsamling samlar in används ofta för att kunna skapa just riktad reklam. Det förtjänar att påpekas att spionprogram ofta utför flera olika funktioner. Såväl marknadsföringsprogram, webbläsarstöd och webbläsarkapare som beskrivits ovan kan därmed innehålla funktioner som samlar information. 3.3.1 Keyloggers Programvara för att logga tangenttryckningar har funnits länge, men moderna versioner av keyloggers kan logga mycket mer än bara tangenttryckningar. De kan spara skärmdumpar baserat på valda nyckelord som skrivs på tangentbordet eller visas på skärmen eller vara särskilt utformade för att hitta och spara lösenord. Den här typen av programvara kan enkelt laddas ner från webbplatser och säljs kommersiellt för övervakning av anställda och till föräldrar för att kontrollera barnens surfande. 3.3.2 Webbflugor Webbflugor (eng. Web bugs) är ytterligare en företeelse som närmast kan beskrivas som en teknik dvs. en metod för att samla in information om användaren och dennes Internetaktiviteter. Webbflugor är dock inte att kategorisera som program eftersom de inte består av någon kod som exekveras. Webbflugor utgör istället mindre grafiska bilder som placeras på webbplatser eller i e-postmeddelanden och som när de öppnas laddas ned från en annan server än den webbplats som besöks. En typisk webbfluga har storleken 1x1 pixel, vilket innebär att den är osynlig för blotta ögat. När användaren tittar på en webbsida eller ett e-postmeddelande som innehåller en webbfluga, begärs denna bild från en server tillhörande webbflugans ägare och på detta sätt kan ägaren spåra den enskilde användaren och se om denne har sett en annons eller öppnat ett e-postmeddelande som innehåller webbflugan. 3.3.3 Cookies En annan företeelse som ibland uppfattas som spionprogram är cookies. Cookies är textfiler som sparas på användarens dator och som webbplatser kan utnyttja för att samla information om användaren och dennes beteende. Det kan vara så enkelt som en markering av vad användaren redan har tittat på webbplatsen, vanligtvis genom att ändra färgen på en länk användaren klickat på, eller att komma ihåg användarens inställningar eller användarnamn. Dessa cookies är avsedda endast för användaren och vidarebefordrar inte information till någon extern webbserver. Det finns dock företag som utnyttjar cookies för att följa vilka webbsidor användaren besökt och vad användaren gjort där. Cookies är ursprungligen inte designade för att utnyttjas på detta sätt utan tanken är att informationen endast ska vara tillgänglig för den webbplats som satte cookien. Ingen utomstående ska kunna använda och läsa cookies som är avsedda för en annan webbplats. Cookies kan dock utnyttjas på andra sätt än som ursprungligen var avsett. Ett företag kan exempelvis inkludera cookies i reklam som visas på någon annans webbsida. Denna typ av cookies kallas ibland för tredjeparts cookies, eftersom informationen skickas till en tredje part och inte till den som tillhandahåller Post- och telestyrelsen 12 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN webbsidan användaren valt att besöka. Genom att visa reklam och sätta cookies på ett mycket stort antal olika webbsidor kan företaget följa vilka av dessa webbsidor användaren besökt och vad användaren gjort där och därmed få en detaljerad bild av användarens rörelsemönster på Internet. 3.4 Program vars funktion är fjärrstyrning och övervakning I kategorin med program för fjärrstyrning och övervakning inkluderas olika typer av intrångsverktyg och övervakningsprodukter som ofta riktas mot en specifik dator eller användare. Många av dessa produkter är ursprungligen framtagna som säkerhetsverktyg för företag och privatpersoner och är avsedda att exempelvis användas för att kontrollera de egna barnens eller de anställdas surfvanor. Program för fjärrstyrning har användningsområden såsom när till exempel ett supportföretag ska hjälpa en kund utan att personligen vara hos kunden. Det kan under de förutsättningarna vara mycket effektivt att på avstånd helt kunna ta kontrollen över kundens dator. I fel händer kan dessa applikationer dock utnyttjas för helt andra syften och användas för intrång och illasinnat nyttjande av ovetande användares datorer. Eftersom skyddet inom ett nätverk ofta är riktat mot utomstående attacker är det särskilt känsligt för nätverkets säkerhet om en av datorerna i nätverket utifrån kan kontrolleras och därmed vidta åtgärder inom nätverket såsom om det var en användare vid den terminalen som gjorde det. 3.4.1 Övervakningsprogram Övervakningsprogram kan fånga i stort sett allt en användare gör på sin dator, inklusive alla tangenttryckningar, e-post, chat-konversation, besökta webbsidor och vilka program som används. I princip alla aktiviteter som görs med datorn kan loggas. Programmet körs ofta i bakgrunden och användaren är inte medveten om att han/hon är övervakad. Informationen som samlas av programmet skickas antingen löpande till en tredje part eller lagras på datorn i en loggfil som senare förmedlas till en tredje part. I vissa fall är loggfilen krypterad vilket gör det mycket svårt för användaren att veta vad loggfilen innehåller. Vissa program skickar även sådana loggfiler med e-post till en förbestämd destination. Den stora skillnaden mellan övervakningsprogram jämfört med kategorin keyloggers som beskrivits tidigare är att generella övervakningsprogram har ett betydligt vidare bevakningsområde och inte är renodlade att bevaka någon särskild funktion. 3.4.2 Fjärrstyrningsverktyg Fjärrstyrningsverktyg (eng. Remote Access Tools eller Remote Administration Tools, RAT) används för att fjärrstyra, övervaka och spela in information från den dator där programmet är installerat. Vissa fjärrstyrningsverktyg kan även styra datorns webbkamera och mikrofon och på detta sätt fånga både bild och ljud. Många fjärrstyrningsverktyg härmar funktionaliteten i tillåtna fjärrstyrningsprogram men är designade specifikt för att installeras och användas utan att upptäckas. Användaren märker inte att programmet installerats förrän inkräktaren via programmet tar över maskinen och exempelvis flyttar muspekaren eller öppnar filer. En stor fara med fjärrstyrningsverktyg är att de helt kontrollerar den styrda datorn. Det innebär att alla de rättigheter som den fjärrstyrda datorn Post- och telestyrelsen 13 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN har, t.ex. åtkomst inom interna nätverk etc., tillfaller även den som fjärrstyr datorn. Det kan vidare vara mycket svårt att i efterhand spåra huruvida det är användaren själv som vidtagit åtgärder via datorn eller om dessa åtgärder skett på distans via ett fjärrstyrningsverktyg. Fjärrstyrningsverktyg kan också användas för s.k. systemkapning. Systemkapning innebär att ett program utnyttjar den infekterade terminalens resurser och kapacitet. Olika typer av program utnyttjar kapacitet på olika sätt, t.ex. kan ett stort antal infekterade datorer samlade processorkraft nyttjas för krävande beräkningar, det finns även fall där ett stort antal infekterade datorer koordinerat använder sin Internetanslutning för att utföra överbelastningsattacker mot specificerade mål. Sådana stora grupper av infekterade datorer som koordinerat kan utnyttjas kallas ofta botnets. Spam skickas ofta från kapade datorer som utan användarens vetskap utnyttjar Internetanslutningen för att skicka stora mängder epost. 3.4.3 Modemkapning Modemkapning innebär att användaren laddar ned ett program i sin dator, ofta utan att vara medveten om det, som avslutar den ursprungliga modemuppkopplingen till Internet och kopplar upp användaren till en annan anslutning via ett annat telefonnummer. Detta telefonnummer är ofta ett nummer till vilket en betydligt högre samtalskostnad än normalt är knuten. Användaren faktureras sedan för de uppringda samtalen. Modemkapning är en funktion som i praktiken förändrar det nummer som anges i datorns fjärranslutning och därmed förändrar det nummer användarens vanligen ringer upp för att koppla upp sig mot sin Internetleverantör. Funktionen består därmed av att användaren ansluter till en annan Internetleverantör. Modemkapningen innebär därmed i sig inte direkt någon fjärrstyrning eller annan kontroll av användarens dator, däremot kan det innebära att användaren ovetande genererar mycket höga telefonräkningar eftersom det nya numret som lagts in oftast har en mycket hög tidsperiodsavgift. 3.5 Allmänt om syftet med olika former av spionprogram Något som komplicerar beskrivningen av spionprogram i deras egenskap av illvillig kod är att flertalet av funktionerna även finns och i många fall också har sin grund i fullt legitima programfunktioner som också har ett viktigt användningsområde. Exempelvis har flertalet övervakningsprogram och metoder för systemkapning och fjärrstyrningsverktyg sitt ursprung i olika verktyg för att kontrollera ett nätverk eller för systemadministratörer att från distans hjälpa enskilda användare när de har problem med sina system. Program för reklam och marknadsföring har i många fall ett fullt legitimt syfte att erhålla finansiering av programvara eller andra produkter genom att riktad marknadsföring integreras i produkten. Det är således mycket svårt att på ett generellt sätt dra en skarp linje mellan vad som är direkt illvilligt och vad som är accepterat. Denna situation kan jämföras med t.ex. virus och liknande program som uteslutande har funktioner av destruktiv karaktär eller spridningskaraktär och som genreellt kan sägas utgöra program vars enda syfte är förstörelse och som det därför saknas ett legitimt användningsområde för. Post- och telestyrelsen 14 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN När det gäller spionprogram nyttjas dessa funktioner i många fall av programvaruföretag som användbara och effektiva metoder att t.ex. automatiskt analysera och uppdatera mjukvara (som t.ex. Microsoft Update). Många program överför information för att analysera och tillföra funktioner till de program som körs på datorn (t.ex. flertalet musikspelare som skickar ut information om vilken musik som spelas till en annan server och på så sätt kan återge information om vilken musikgrupp det är, sångtexter, albumbilder m.m.). Många av funktionerna utnyttjas också affärsmässigt för att kunna ge en inkomst för programvara som delas ut ”gratis” över Internet (t.ex. gratisprogram som automatiskt laddar ned reklam och marknadsföring vilket visas samtidigt som programmet körs). Det är därmed inte möjligt att säga att en viss typ av program eller funktion allmänt sett kan sägas vara illvillig eller utföras otillåtet syfte. Detta faktum har också bidragit till att antivirusprogram och liknande säkerhetsfunktioner haft vissa juridiska svårigheter när det gäller angripande av spionprogram. Om ett antivirusprogram automatiskt förhindrar funktioner från legitima spionprogram är det mycket möjligt att upphovsmakaren till det legitima spionprogrammet med framgång skulle kunna föra skadeståndstalan mot upphovsmakaren till det antivirusprogram som förhindrar dess möjligheter till intäkter, t.ex. antivirusprogram som förhindrar marknadsföring som intäktsmedel.4 Från en integritetsaspekt torde det viktigaste vara att användaren är medveten om på vilket sätt information om användaren lagras eller sprids. Att spionprogrammen installeras och vilken typ av information de samlar beskrivs ofta i de licensvillkor5 som användaren ska läsa igenom innan nedladdning av programmet. I många fall är dock dessa licensvillkor mycket omfattande och ibland direkt missledande. Detta gör det svårt för användaren att tillgodogöra sig informationen. Inte särskilt sällan innehåller avtalen också långtgående möjligheter för programvarutillverkaren att automatiskt installera ny programvara, vilket gör det i princip omöjligt för användaren att uppfatta vidden av det samtycke som ges. Juridiska aspekter på sådana samtycken berörs mer nedan i avsnitt 7.7.1. De spionprogram och dess funktioner som beskrivs i denna rapport avser sådana som inte har ett legitimt syfte, dvs. de som i det enskilda fallet används av illvilliga personer eller organisationer för att på olika sätt infiltrera eller kränka användares integritet. Det är dock viktigt att vara medveten om att bedömningen i det enskilda fallet inte är svart eller vitt, det finns en stor gråzon över vad som kan anses vara legitimt eller inte. Det förtjänar också att uppmärksammas att många av de spionprogram vars syfte är i den mer grå zonen ofta innehåller avtalsklausuler som är mer eller mindre gömda eller kryptiskt utformade för att säkerställa att Företaget Gator (numera under namnet Claria) har t.ex. riktat stämningsansökningar mot antispionprogram som angivit Gators programvara som varandes spionprogram. Se http://news.com.com/2100-1032_3-5095051.html Även andra exempel finns på spionprogram med marknadsföringsfunktioner vars upphovsmakare stämt andra liknande program eftersom dessa program på olika sätt motverkar funktionerna i det förstnämnda programmet. Se http://arstechnica.com/news.ars/post/20041208-4447.html 4 5 Även benämnda som EULA (End User Licence Agreement). Post- och telestyrelsen 15 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN upphovsmakaren i efterhand i vart fall inte skall anses ha gjort något otillåtet utan att användaren får anses ha accepterat eller samtyckt till den funktion som utförs. Detta gör det ytterligare mer problematiskt att från juridiskt håll reglera vad som kan anses vara en tillåten eller direkt olaglig verksamhet. Post- och telestyrelsen 16 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 4 Installationsmetoder, hur drabbas användaren? 4.1 Medföljande program Många gratisprogram och spridprogram som går att ladda ner från Internet idag innehåller spionprogram. När användaren installerar det nedladdade programmet, t.ex. fildelningsprogram, spel, chatprogram, mediaspelare och nedladdningshanterare, installeras spionprogrammen samtidigt. I vissa fall godkänner användaren mer eller mindre omedvetet att spionprogrammet installeras genom att acceptera de villkor som följer med gratis- eller spridprogrammet (se mer om detta i avsnitt 7.7.1). Fildelningsprogram utpekas ofta som en stor spridningskälla. Metoden att ett spionprogram installeras i samband med ett annat program kallas ibland ”piggybacking” (ungefärlig översättning; snålskjuts) och kan vara svårt att upptäcka för en vanlig användare. Eftersom användaren själv tillåter programmet att installeras upptäcks inte heller denna installationsform särskilt lätt av antivirusprogram. 4.2 Insticksprogram i webbläsaren Spionprogram kan även vara gömda i html-länkar i e-postmeddelanden eller på webbplatser. När användaren klickar på länken startas automatiskt nedladdning av spionprogrammet som är ett insticks- eller tilläggsprogram till webbläsaren. Oftast blir förvisso användaren tillfrågad om denne verkligen vill installera detta instickseller tilläggsprogram men denna information kan i flertalet fall vara formulerad på ett försåtligt eller otydligt sätt vilket gör det svårt för användaren att veta vad som egentligen kan komma att installeras. 4.3 Trojaner Trojaner är program som körs på användarens dator men som, utan användarens vetskap, är utformade för att installera eller köra andra program på användarens dator. En trojan är alltså ett program som utger sig för att vara en viss typ av program men som själva verket döljer något annat. Till skillnad från virus och maskar är trojaner inte självspridande, d.v.s. de gör inte kopior av sig själva. Trojaner sprids ofta som i bilagor till e-postbrev eller tillsammans med andra programvaror. Det finns flera olika typer av trojaner varav några av de vanligaste beskrivs nedan. I princip kan en trojan innehålla vilken slags övrig programvara som helst. Trojanen behöver inte heller direkt innehålla den ytterligare programvaran utan trojanens funktion kan vara att öppna en väg in till den drabbade datorn för att på distans installera ytterligare program eller på annat sätt ta kontroll. Dessa typer av trojaner kallas ofta backdoor-trojaner, eftersom de öppnar en bakdörr in i datorn. Med hjälp av en sådan trojan kan en inkräktare exempelvis söka igenom datorn efter lösenord och andra hemliga uppgifter. Inkräktaren kan även placera filer på datorn, exempelvis för att sprida virus eller placera olika former av spionprogram såsom fjärrstyrningsprogram etc. Post- och telestyrelsen 17 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 4.4 ActiveX ActiveX är en del av operativsystemet Windows och kan utnyttjas för att få full tillgång till en användares operativsystem. På detta sätt kan ActiveX genom s.k. ActiveX-kontroller användas för att ta bort eller lägga till filer på användarens dator. Windows-update är ett exempel på en ActiveX-kontroll som söker efter relevanta filer på en dator och uppdaterar dem med nya. Syftet med tekniken ActiveX är naturligtvis inte att spionprogram och liknande ska installeras eller att själva tekniken ActiveX ska nyttjas på ett spionprogramliknande sätt, men eftersom tekniken ger en så pass långtgående kontroll av användarens dator kan den också utnyttjas för sådana syften. En webbplats kan hämta information från en användares dator via ActiveX-kontroller. Även JavaScript och VBscript är tekniska plattformar som kan användas för att hämta uppgifter från en användares webbläsare på liknande sätt som ActiveX, men det senare är betydligt kraftfullare. För att förhindra att ActiveX missbrukas kan ActiveX-kontroller signeras av upphovsmannen. Om ActiveX-kontrollen signerats kan utvecklaren spåras under förutsättning att certifikatutfärdaren är tillförlitlig. Post- och telestyrelsen 18 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 5 Hur påverkar spionprogrammen användaren? Det är svårt att generellt beskriva hur spionprogram påverkar användaren då olika typer av program har olika funktioner. I de fall spionprogrammen består av informationsinsamling skickas ofta den insamlade informationen antingen direkt eller efter en tid till upphovsmannens server där informationen kan lagras och bearbetas. I de fall spionprogram består av fjärrstyrning eller övervakning är antingen programmen aktiverade från början vilket medför att en ansenlig trafikmängd skickas över användarens kommunikationstjänst. I andra fall kan spionprogrammet helt enkelt kort meddela upphovsmannen att det är installerat och invänta dennes kommando att sätta igång fjärrstyrningen. Oavsett funktion utnyttjar spionprogrammen användarens datorkapacitet (processor och minne) när de är aktiverade och användarens Internetanslutning för att förmedla den information som samlas in eller den kapacitet som krävs för att fjärrstyra datorn, dvs. det är användaren som får stå för kostnaderna för driften av programmen. En användare som drabbats av ett flertal spionprogram kan märka att kapaciteten i dator och Internetanslutningen försämras avsevärt. Problemen blir särskilt tydliga om spionprogramvaran inte lyckas kontakta sin server och gör flera upprepade försök efter varandra. I nätverk kan försämringen av överföringskapacitet bli ännu tydligare eftersom problemet multipliceras med antalet datorer som smittats av programvaran. Spionprogram kan även mer eller mindre avsiktligt skapa säkerhetshål i datorn och/eller nätverket som programmet är installerat på. Många spionprogram innehåller funktioner för att kunna uppdatera sig självt automatiskt och kan därigenom skapa säkerhetshål som kan nyttjas av andra illvilliga program för att installera sig på datorn. Förutom ovan nämnda generella effekter kan spionprogrammen innebära en rad negativa effekter för användaren i varje enskilt fall beroende på vad programmet i praktiken utför för funktion. Som exempel kan nämnas att personlig och känslig information sprids till andra utan användarens vetskap, att bankcertifikat, lösenord och liknande stjäls, att användarens terminal och Internetanslutning används som plattform för brottslig verksamhet. 5.1 Spionprogram – koppling till virus och annan illasinnad kod Spionprogram kan och ska inte ses som enskilda företeelser. Spionprogram sprids via andra former av illasinnad kod som t.ex. via maskar och kan illasinnad genom andra program t.ex. trojaner eller i samband med att andra, i användarens ögon, legitima program installeras (s.k. piggybacking). De typer av spionprogram som samlar information kan användas för att samla information om användare som t.ex. deras egna och deras kontakters epostadresser. E-postadresser kan i sin tur användas för att skicka oönskade massutskick via e-post, så kallad spam. Vidare används spionprogram som kan fjärrstyra datorer för att nyttja ovetande användares datorer och anslutningar som plattformar för vidare attacker som t.ex. riktade överbelastningsattacker mot ett visst mål eller som bas för att skicka ut spam. Post- och telestyrelsen 19 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN Det är således svårt att säga var den ena typen av program eller företeelse slutar och var den andra börjar och vilken som beror av vilken. Dessa företeelser frodas ofta i ett intrikat samband. Post- och telestyrelsen 20 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 6 Hur kan användaren skydda sig? Grunden till användarens säkerhet på Internet är ett säkert beteende i kombination med ett uppdaterat antivirusprogram och en uppdaterad brandvägg. För att särskilt skydda sig mot spionprogram bör användaren även använda ett antispionprogram. 6.1 Antivirusprogram Ett antivirusprogram letar efter virus i de filer som kommer till en användares dator. Programmet bör även vara inställt så att det automatiskt och med jämna mellanrum kontrollerar hela hårddisken. Vanliga antivirusprogram spårar ofta inte spionprogram och de som gör det fångar inte alla former av spionprogram. I vissa fall inkluderas skydd mot spionprogram, men skyddet måste aktiveras vid installation för att även omfatta s.k. utökade hot. En förklaring till detta är de skäl som redogjorts för ovan i avsnitt 3.5, allmänt om syftet med spionprogram, att det helt enkelt inte är så enkelt att generellt avgöra vilka spionprogram som har ett legitimt syfte och vilka som saknar det. Denna omständighet gör det komplicerat att utveckla generella skyddsmetoder mot vissa former av funktioner. I vissa fall är det enda som skiljer ett legitimt spionprogram jämfört med ett illvilligt det sätt som användaren informeras och samtycker till programmets funktioner. En annan anledning till att tillverkare av antivirusprogram inte inriktat sig på spionprogram är att spionprogram i sig inte har någon självspridande funktion som t.ex. virus. Det kan dock noteras att virusprogram i allt högre omfattning även inkluderar olika former av säkerhetshantering avseende såväl spionprogram och brandväggsfunktioner. 6.2 Brandvägg En brandvägg granskar all elektronisk trafik till och från användarens dator och informerar användaren om något verkar misstänkt. En brandvägg kan ge ett visst skydd mot spionprogram, men eftersom programmen ofta förpackas tillsammans med filer som är tillåtna att ladda ner kan det vara svårt att undvika att programmen passerar genom brandväggar utan att stoppas. Brandväggar kan dock varna användaren för oväntad utgående trafik, vilket kan vara ett tecken på att ett spionprogram skickar information till en extern server. 6.3 Antispionprogram Spionprogram är oftast särskilt utformade för att hållas hemliga vilket gör det svårt att upptäcka dem. Det finns dock ett flertal produkter, s.k. antispionprogram, som riktar in sig på att hindra installation eller att hitta och ta bort spionprogram, t.ex. gratisversionerna Ad-Aware och Spybot Search and Destroy. Användaren bör köra antispionprogrammet regelbundet och uppdatera det kontinuerligt. 6.4 Allmän försiktighet på Internet Förutom uppdaterat antivirusprogram, brandvägg och antispionprogram finns det andra saker användaren bör tänka på för att vara säkrare på Internet. Post- och telestyrelsen 21 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN De program på användarens dator som använder sig av och kommunicerar med Internet, t.ex. webbläsaren, bör uppdateras regelbundet även de. Programmen har ibland svagheter, så kallade säkerhetshål, som kan utnyttjas för intrång eller installation av oönskade program. När dessa svagheter identifieras rättas de till av programtillverkaren. För att täppa till säkerhetshål på användarens dator är det därför mycket viktigt att programmen regelbundet uppdateras. Detsamma gäller även datorns operativsystem eftersom även det kan innehålla säkerhetshål som nya uppdateringar täpper till. Användaren bör även vara försiktig då filer laddas ner från Internet eftersom filerna kan innehålla skadlig kod eller spionprogram. Det är viktigt att användaren funderar på om källan verkar trovärdig eller om filen verkar ofarlig innan en eventuell nedladdning görs. Även okända bifogade filer som kommer med e-post bör användaren vara försiktig med. Klicka aldrig på en sådan fil om innehållet är okänt eller om avsändaren inte är känd. När en användare är ansluten till Internet bör filer på datorn inte delas ut till vem som helst i onödan. Det gäller även om ett fildelningsprogram installeras på datorn. Användaren bör ställa in vilken eller vilka mappar som ska vara tillgängliga för andra användare på Internet och inte dela ut mer än nödvändigt för att undvika oönskade intrång. Det går också att ställa in datorn så att användaren bara hämtar och inte delar ut filer. Vidare bör man som användare vara försiktig med vilka ActiveX-komponenter man accepterar. Det kan vara en säkrare metod att ställa in webbläsaren så att användaren informeras när en ActiveX-komponent aktiveras eller alternativt helt stänga av ActiveX. Det bör dock nämnas att många webbplatser använder sig av olika typer av ActiveX-komponenter för att fungera varför användaren kan få problem att tillgodogöra sig dessa webbplatser om ActiveX är avslaget. Användare bör också vara mycket försiktiga när de utnyttjar publikt tillgängliga datorer, exempelvis på Internetcaféer. Man bör utgå ifrån att dessa har keyloggers eller andra spionprogram installerade och därför inte utföra känsliga transaktioner därifrån såsom t.ex. banktransaktioner. Mer information om hur användaren kan skydda sig på Internet finns på http://www.pts.se/internetsakerhet . Post- och telestyrelsen 22 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 7 Vad gäller rättsligt? 7.1 Inledning Det finns ett antal olika utgångspunkter vid en rättslig bedömning av i vilken utsträckning olika former av spionprogram kan anses vara i enlighet med föreliggande lagstiftning eller inte. Det finns civilrättsliga regler som reglerar kriterier för ingående av giltiga avtal, skadeståndsrättens bestämmelser om ersättningsgrundande skador, brottsbalkens bestämmelser om olika former av intrångs- eller bedrägeribrott samt den speciallagstiftning som förekommer på området. Detta kapitel har inte för avsikt att vara en heltäckande analys av hela det rättsliga läget utan främst en redogörelse för den lagstiftning PTS har att tillämpa, dvs. den speciallagstiftning som återfinns på området. För att uppnå någon slags mer heltäckande beskrivning kommer även en kortare redogörelse att ges av den straffrättsliga lagstiftning som kan vara tillämplig. Redogörelsen bör dock läsas med vetskapen om att andra juridiska frågeställningar, såsom i vilken utsträckning skadeståndstalan med framgång skulle kunna föras avseende uppkommen skada, medvetet inte berörs. 7.2 EkomL bestämmelser om cookies m.m. Genom EkomL infördes en bestämmelse i (6 kap 18 §) EkomL som villkorar lagrande av och användande av lagrad information på en användares dator. Bestämmelsen saknar motsvarighet i tidigare lagstiftning. Bestämmelsen innebär att ett elektroniskt kommunikationsnät får användas för att lagra information, eller för att få tillgång till information som är lagrad i en abonnents eller användares terminalutrustning endast om abonnenten eller användaren av den personuppgiftsansvarige får information om ändamålet med behandlingen och ges tillfälle att hindra sådan behandling. När bestämmelsen infördes hamnade mycket fokus på att bestämmelsen enligt sin ordalydelse omfattade hanteringen av cookies och att denna typ av teknik som är mycket vanlig vid uppbyggnad av webbplatser därmed plötsligt fick ett lagstadgat informationskrav. Vad som däremot inte uppmärksammades i någon större utsträckning var att bestämmelsen är tillämplig på alla former av hantering som innebär att information sparas eller lagras på en användares terminalutrustning och därmed omfattar vissa typer av program och tekniker såsom t.ex. spionprogram. Nedan kommer kortfattat redogöras för bestämmelsen i allmänna drag, ett antal potentiellt särskilt problematiska aspekter kommer att belysas och slutligen kommer de typer av spionprogram ovan redogjorts för kommenteras i ljuset av bestämmelsen.6 7.2.1 Vad innebär bestämmelsen? Bestämmelsen innebär att elektroniska kommunikationsnät endast får utnyttjas för att hämta eller lagra information på en användarens terminalutrustning om användaren informeras om vad syftet är och ges tillfälle att hindra användningen. Bestämmelsen utgör alltså inte förbud mot att utföra hämtning eller lagring av För en mer grundlig genomgång av bestämmelsen och undantag från bestämmelsen se rapporten ”Internet och lagen om elektronisk kommunikation”, 1 oktober 2003, PTS-ER-2003:36 6 Post- och telestyrelsen 23 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN information eller något krav om att samtycke måste föreligga, däremot utgör den ett krav på att informera användaren om aktiviteten. Informationen måste inte nödvändigtvis ske före utan kan i vissa fall ske i anslutning till aktiviteten. Bestämmelsen är straffsanktionerad enligt 7 kap 15 § andra stycket vari anges att uppsåtligt eller oaktsamt brott mot bestämmelsen kan medföra böter under förutsättning att brottet inte kan anses vara av ringa grad. Nedan följer en schematisk bild av bestämmelsens olika rekvisit. Vad omfattar bestämmelsen? Vilka överföringar omfattas? När information lagras eller hämtas – dvs. överföringar av information till eller från terminalutrustningen. Vilken skyldighet innebär bestämmelsen? Alla som sker över elektroniska Informationskrav – inget förbud kommunikationsnät Måste ske till en abonnent eller Vad innefattar informationskravet? användare – I definitionen abonnent och Att tekniken används användare ingår att det ska Vad ändamålet med vara allmänna nät – därmed användningen är omfattas ej intranät och andra privata nät. Tillfälle för användare att hindra behandlingen • • • 6 kap. 18 § EkomL Elektroniska kommunikationsnät får användas för att lagra eller få tillgång till information som är lagrad i en abonnents eller användares terminalutrustning endast om abonnenten eller användaren av den personuppgiftsansvarige får information om ändamålet med behandlingen och ges tillfälle att hindra sådan behandling. Detta hindrar inte sådan lagring eller åtkomst som behövs för att utföra eller underlätta att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla en tjänst som användaren eller abonnenten uttryckligen begärt. Undantagen Tekniskt undantag Lagring eller åtkomst som behövs för att utföra eller underlätta att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät; t.ex. cachning Begärd tjänst Aktiv handling, i vart fall torde inte enbart att anlända till en viss webbplats vara tillräckligt Nödvändighet, tekniken måste vara nödvändig för att tillhandahålla tjänsten 7.2.2 Vem är ansvarig? • • Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen I förarbeten anges att vem som är ansvarig får bedömas från fall till fall Hur ska informationen lämnas Hur informationen om lagring eller åtkomst ska ges till användaren är inte i detalj reglerat. Det sägs i förarbetena att informationen inte nödvändigtvis behöver ges innan en session påbörjats utan att det räcker med att information och möjlighet att förvägra användningen ges under sessionen.7 Detta under förutsättning att ”normala rutiner” används så att användaren kan ställa in sin webbläsare för att förhindra sådan användning. Det torde vara en rimlig slutsats att lagstiftaren med detta menar endast om den vanliga teknik som kallas cookie -som en webbläsare kan känna igen och om den är korrekt inställd varna för- används så krävs inte att användaren först godkänt åtgärden. Det är istället tillräckligt att information om cookies och möjligheter att hindra dess användning kan ges någon gång under besöket av webbplatsen. Detta skulle i så fall leda till slutsatsen att om det inte handlar om sådan teknik som webbläsaren kan ställas in att automatiskt undvika eller varna för så är det inte tillräckligt att ge informationen någon gång under sessionen utan den måste ges innan lagringen eller åtkomsten utförts. 7 Prop.: 2002/03:110, sid. 396 Post- och telestyrelsen 24 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN Slutsatsen ter sig inte särskilt långsökt, det torde vara naturligt att mer vanliga och integrerade tekniska lösningar inte ska ha informationskrav som är riktigt lika långtgående som andra former att potentiellt integritetskränkande program eller tekniker. Det ter sig dock direkt olämpligt att denna skillnad endast framgår i lagstiftarens kommentarer till bestämmelsen i förarbetena och inte framgår direkt av bestämmelsen. Den information som ska ges måste rimligen framträda klart och tydligt och inte vara gömd på ett sådant sätt att användaren i praktiken inte ges informationen. Det är inte tillräckligt att en viss terminal endast en gång har givits den stadgade informationen (t.ex. genom en pop-up ruta som en gång ger informationen och sedan aldrig mer dyker upp oavsett att information lagras eller hämtas). Information om användningen av t.ex. cookies eller andra tekniker såsom spionprogram som hämtar information och deras syfte samt om hur en användare kan gå tillväga för att förvägra användningen ska nämligen alltid finnas tillgänglig på en webbplats. Anledningen till detta är att det är den enskilde användaren som är skyddsobjektet och inte terminalen. En terminalutrustning kan i flertalet fall ha flera olika användare och det är därmed inte tillräckligt att endast en av dem blivit informerad. Detta torde innebära att mjukvaruprogram som installeras i en terminal inte endast en gång (när installation sker) kan informera om att information hämtas eller lagras på användarens dator. Bestämmelsen ger ingen direkt vägledning om hur detaljerad den information som ges till användaren behöver vara. I vart fall måste det rimligen framgå vilken information som avses lagras eller hämtas från användarens terminal och för vilket syfte denna åtkomst/lagring sker. Avseende möjligheten för användaren att hindra användningen torde det krävas i vart fall en grundläggande beskrivning av vilka åtgärder en användare kan vidta för att hindra lagringen eller åtkomsten. Det får ankomma på rättstillämpningen att mer i detalj avgöra detta, ett förhållande som får anses olyckligt vid beaktande av att bestämmelsen är straffbelagd. 7.2.3 Tillsyn och straff PTS utövar tillsyn över EkomL inklusive denna bestämmelse. Brott mot bestämmelsen kan leda till tillsynsåtgärder från myndighetens sida vilket kan innefatta föreläggande vid vite om att upphöra med verksamheten. Sådant vite kan alltså endast utfalla om den ansvarige inte först hörsammar ett föreläggande från myndigheten. Förutom dessa tillsynsåtgärder är bestämmelsen även straffbelagd enligt 7 kap 15 § EkomL där det stadgas att uppsåtligt eller oaktsamt brott som inte är ringa kan leda till böter. Här anges också att ansvar för sådant brott endast ska ådömas om ansvar för brottet inte är stadgat i brottsbalken. Brott mot bestämmelsen om cookie m.m. är alltså subsidiär till brott i brottsbalken, vilket innebär att en handling som utgör ett brott enligt brottsbalken konsumerar brottet enligt EkomL. Det är polis och åklagare som ansvarar för den rättsskipande verksamheten, varför PTS inte har något ansvar avseende straffstadgandet. En stor skillnad mellan ett åtal om en brottslig handling och tillsynsåtgärder avseende brott mot EkomL är att PTS tillsyn aldrig innebär några straff för begångna handlingar utan endast innefattar olika påtryckningsmedel för att se till att den ansvarige inte fortsätter att bryta mot bestämmelsen. Rättskipande myndigheter däremot åtalar en ansvarig för det begångna brottet. Post- och telestyrelsen 25 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN Det är i dessa sammanhang i princip ointressant huruvida den ansvarige upphört med verksamheten eller inte. Detta innebär i sin tur också att det ena inte utesluter det andra, tillsynsåtgärder från en tillsynsmyndighet kan bedrivas parallellt med en brottutredning hos polis och åklagare. 7.3 Närmare om bestämmelsen om cookies m.m. och dess tillämplighet på spionprogram? I direktivet om integritet och elektronisk kommunikation8 som ligger till grund för bestämmelsen om cookies m.m. anges i preambeln att all information som finns lagrad i en användares terminal är en del av användarens privatliv och att den som sådan kräver skydd enligt Europeiska konventionen om skydd för de mänskliga rättigheter och de grundläggande friheterna. Sådana anordningar som används för att ge tillträde till användarnas terminaler, eller information lagrad däri kan allvarligt inkräkta på dessa friheter och bör därför tillåtas endast för legitima syften med de berörda användarnas kännedom. Som exempel på sådana anordningar anges ”spionprogram” och ”webbugs”. Direktivets artikel 5 p 3 har mer eller mindre ordagrant införts i svensk lagstiftning varför preambelns syfte och bakgrund torde vara applicerbar även på den svenska bestämmelsen. Det är därmed uppenbart att i vart fall ett av syftena med bestämmelsen -som i praktiken mest kommit att handla om tekniken cookies- varit att angripa mer komplicerade program och tekniker än cookies. Frågan är dock i vilken utsträckning bestämmelsen verkligen är applicerbar på dessa program och system. Såsom beskrivits ovan så krävs att ett antal kriterier är uppfyllda för att bestämmelsen ska kunna tillämpas. Det viktigaste och mest grundläggande av dessa är att det rörs sig om en hämtning eller lagring av information från en användares eller abonnents terminalutrustning. Det kan därmed inte röra sig endast om att information som skickas från en användare till en annan snappas upp under transporten. Detta skulle förvisso kunna utgöra någon form av avlyssning (som också kan vara otillåten eller rent av brottslig, se avsnitt om dataintrång m.m. nedan) men eftersom ingen hämtning eller lagring sker från en terminalutrustning utan signalerna plockas upp på vägen är i vart fall bestämmelsen om cookies m.m. inte tillämplig. Vidare ter det sig inte rimligt att all lagring av information omfattas. När en användare surfar till en webbsida så lagras ju en hel mängd information på dennes terminalutrustning. Dels information av teknisk karaktär (själva html-koden eller motsvarande) dels den information som användaren ser, dvs. text, bild och annat mediainnehåll som återfinns på webbplatsen. Omfattas all denna information av bestämmelsen och måste då den ansvarige informera användaren om syftet med denna lagring? Det ter sig inte rimligt att så skulle vara fallet, det kan dock inte sägas klart framgå av bestämmelsen att lagringen inte omfattas. Till den del lagringen är av teknisk karaktär så undantas den förvisso, lagring i cache-utrymme och lagring av html-kod eller motsvarande torde därmed vara undantaget. Vad gäller den media som användaren faktiskt ser och tar del av är ju denna lagring ganska uppenbar för användaren. Det borde vara skillnad mellan sådana Punkt 24 preambeln till Europaparlamentets och Rådets direktiv 2002/58/EG av den 12 juli 2002 8 Post- och telestyrelsen 26 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN uppenbara informationslagringar och informationslagringar som inte är synliga för användaren såsom t.ex. cookies eller spionprogram. Det kan dock inte sägas klart framgå av bestämmelsens formulering att denna skillnad görs, snarare ger bestämmelsen ett intryck av att vara väldigt bred och omfatta alla hämtningar och lagringar förutom ren cachning. Möjligen skulle kunna argumenteras att den ansvarige knappast behöver informera över uppenbara fakta, vad återstår egentligen att informera om en reklambanner som dyker upp på en webbsida eller i en ruta på ett program? Vid tolkning av bestämmelsen kan det vara lämpligt att reflektera över det övergripande syftet med den; användarens terminalutrustning och den information som finns där är användarens personliga egendom och ska inte ovetandes kränkas. Nedan beskrivs i vilken utsträckning spionprogram eller närliggande företeelser skulle kunna anses falla under 6 kap 18 § EkomL bestämmelse om cookies m.m. Det bör påpekas att denna redogörelse endast utgår från den aktuella bestämmelsen om cookies m.m. I flera fall kan användandet av programmet omfattas av annan lagstiftning såsom personuppgiftslagen eller olika typer av bestämmelser avseende brott i brottsbalken. 7.3.1 Annonsprogram (Adware) I den utsträckning annonsprogram endast tillhandahåller banners eller annan annonsering till användaren kan det ifrågasättas huruvida programmet omfattas av bestämmelsen. Förvisso torde en banner som laddas ned till användarens dator omfattas av begreppet information som lagras på användarens terminal. Men det gör ju även allt innehåll på t.ex. en webbsida (inklusive där förekommande banners) som användaren surfar till, vad är skillnaden mellan en banner på en webbsida (vilket vissa annonsprogram gör, dvs. integrerar ”sina” banners på de webbsidor användaren besöker) och en banner som dyker upp i en ruta på ett program? Såsom argumenterats ovan borde det göras skillnad mellan uppenbara informationslagringar, såsom banners som återfinns på en webbsida eller en ruta i ett program, och informationslagringar som inte är synliga för användaren såsom t.ex. cookies eller spionprogram. Det kan dock inte sägas klart framgå av bestämmelsens formulering att denna skillnad görs. Möjligen kan argumenteras att den ansvarige knappast behöver informera över uppenbara fakta, som tidigare nämnts vad återstår t.ex. att informera om en reklambanner som dyker upp på en webbsida eller i en ruta på ett program? I den utsträckningen annonsprogram i ett första skede skickar information från användarens dator till en tredje part för att där t ex analyseras för att skräddarsy marknadsföring mot användaren torde denna överföring dock omfattas av informationsplikten. I den utsträckning annonsprogram loggar knapptryckningar eller i övrigt vidarebefordrar information från terminalutrustningen så omfattas däremot denna programfunktion av bestämmelsen och användaren måste därmed informeras om dessa överföringar. Post- och telestyrelsen 27 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 7.3.2 Webbläsarkapning I den utsträckning program för webbläsarkapning skriver över användarens länkar eller på annat sätt manipulerar information på användarens terminalutrustning omfattas de av bestämmelsen. I den utsträckning programmet manipulerar överföringen, ser till att ett anrop inte sker till punkt a direkt utan till punkt a via punkt b (för att t.ex. logga informationen som skickades till punkt a) är det mer tveksamt i vilken utsträckning bestämmelsen blir tillämplig. Det är inte självklart att den typen av manipulering kan anses utgöra en hämtning eller lagring av information eftersom användaren själv skickat iväg informationen. Det har snarare likheter med avlyssning av information under dess transport. 7.3.3 Webbläsarstöd (Browser Helper Object, BHO) I den utsträckning program för webbläsarstöd loggar användning av terminalutrustningen och sedan skickar vidare denna logg omfattas det av bestämmelsen. I den utsträckning programmet skickar marknadsföring, såsom t.ex. att banners byts ut på webbsidor, kan samma frågeställning som under Annonsprogram ovan beaktas. 7.3.4 Webbflugor (Web bugs) Webbflugor innebär att en bild, låt vara en för användaren knappt synlig bild, begärs från webbflugans server där bilden finns lagrad och laddas ned till användarens dator. Tillhandahållaren av bilden kan då dra slutsatser om att användaren besökt en viss webbplats, öppnat ett visst e-postmeddelande etc. beroende på var webbflugan placerat. Tekniken innebär att information laddar ned och lagras på användarens terminalutrustning, bestämmelsen om cookies kan därmed vara tillämplig. Ett liknande resonemang som ovan under annonsprogram bör dock föras. Informationsplikten torde t. ex, knappast gälla för en webbplats avseende de bilder som finns och visas på webbplatsen. Skillnaden mellan dessa och en webbfluga är endast att webbflugan är så liten att den inte syns. Det återfinns dock inga rekvisit i bestämmelsen som direkt berör huruvida lagringen/hämtningen är synlig för användaren eller inte. 7.3.5 Program för fjärrstyrning och övervakning Keyloggers som installerats på en terminalutrustning och loggar knapptryckningar etc. samt skickar dessa vidare över ett elektroniskt kommunikationsnät omfattas av bestämmelsen och därmed måste information ges om vad programmet gör och syftet med informationshämtningen. Övriga system som på olika sätt i hemlighet tar över delar av terminalen eller låter utomstående fjärrstyra den torde alla omfattas av bestämmelsen eftersom det i samtliga fall är ett program som installeras på den infekterade datorn och därmed utgör information som lagras på en terminalutrustning. Det kan dock i likhet med avsnittet om Annonsprogram ovan ifrågasättas om sådan, för användaren uppenbar information, som lagras såsom ett program som installeras efter användarens aktiva val verkligen i någon större utsträckning behöver informera ytterligare om Post- och telestyrelsen 28 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN vad som installeras. Däremot då informationen lagras i lönndom, t.ex. i form av gömda program som i hemlighet installeras, torde denna installation (dvs. lagring av information) inte vara i enlighet med bestämmelsen om inte närmare information om dess syfte ges. Kriteriet är dock även att lagringen av informationen ska ske över ett elektroniskt kommunikationsnät varför det skulle krävas att programmet installeras via Internet eller något annat kommunikationsnät. Det bör här särskilt uppmärksammas att andra bestämmelser, framförallt brott i brottsbalken också kan bli tillämpliga såsom dataintrång m.m. 7.3.6 Cookies Användningen av tekniken kallad cookies omfattas av bestämmelsen eftersom det utgör en lagring av information på användarens terminalutrustning. För ett mer ingående resonemang kring cookies se PTS rapport om Internet och lagen om elektronisk kommunikation.9 7.3.7 Modemkapning I den utsträckning modemkapning består av ett program som laddas ned och installeras på en terminal torde det kunna omfattas av bestämmelsen. Om modemkapningen består av att föreliggande telefonnummer till en viss modempool på terminalen ändras till ett annat är slutsatsen inte lika självklar. Frågan är här om förändring av föreliggande information såsom ett sparat nummer till en modempool innebär en lagring av information i den mening som följer av bestämmelsen. Med tanke på hur bred bestämmelsen gjorts i sin formulering och att inget i förarbetena till bestämmelsen anges om några begränsningar av dess tillämpningsområde torde det vara möjligt att se detta som en lagring av information. För det fall användaren själv begärt förändringen, t.ex. för att han vill utnyttja en viss tjänst, torde lagringen dock omfattas av undantaget i bestämmelsen förutsatt att lagringen är nödvändig för tjänsten. 7.3.8 ActiveX ActiveX är en teknisk plattform som ingår i vissa operativsystem. Det kan innehålla säkerhetsluckor som kan utnyttjas. Själva programmet eller verktyget ActiveX kan inte i sig anses omfattas av bestämmelsen. Däremot kan hanteringen av information, dvs. att genom att utnyttja ett säkerhetshål i ActiveX komma åt information lagrad i en terminalutrustning via Internet eller ett annat elektroniskt kommunikationsnät, anses omfattas av bestämmelsen. 7.4 Förbud mot avlyssning I 6 kap 17 § EkomL återfinns bestämmelser om förbud mot avlyssning. I princip innebär bestämmelsen ett totalt förbud mot att ta del av, eller på annat sätt behandla uppgifter i ett elektroniskt meddelande som överförs i ett allmänt kommunikationsnät eller med en allmänt tillgänglig elektronisk kommunikationstjänst, eller trafikuppgifter som hör till meddelandet om inte minst en av de berörda användarna samtyckt till behandlingen. Begreppet samtyckt innebär att om en av deltagarna i den elektroniska utväxlingen spelar in 9 ”Internet och lagen om elektronisk kommunikation”, PTS ER-2003:36 Post- och telestyrelsen 29 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN eller på annat sätt sparar det elektroniska meddelandet utgör detta inte något brott mot bestämmelsen oavsett om övriga deltagare samtyckt till detta eller inte.10 Förbudet omfattar endast allmänna tjänst och nät, därigenom omfattas inte privata nät, t.ex. begränsade intranät. Från huvudregeln finns ett antal uttryckliga undantag avseende vissa typer av handlingar som behandlas nedan. Från bestämmelsen undantas också vad som stadgas i andra bestämmelser om behandling av trafikuppgifter (5 – 7 §§) och sådana uppgifter som omfattas av tystnadsplikt enligt 20 §. 7.4.1 Undantag Det framgår av förarbetena att bestämmelsen inte är avsedd att hindra automatisk, mellanliggande och tillfällig lagring av information under förutsättningen att informationen inte lagras längre än vad som är nödvändigt för överföringen och att konfidentialiteten förblir garanterad under lagringsperioden.11 Mot bakgrund av detta omfattar de två första undantagen olika former av information som för att effektivisera kommunikationen sparas, s.k. cachning. Den tredje undantagspunkten avser att genom radiomottagare avlyssna ett radiobefordrat elektroniskt meddelande som inte är avsett för den som avlyssnar eller allmänheten. Detta undantag motiveras av att det är vars och ens rättighet att inneha en radiomottagare och att det inte vore tillrådligt att sanktionera själva avlyssnandet. Det har i förarbeten till tidigare lagstiftning ansetts att etern skall anses vara fri och att var och en därmed kan avlyssna vad som transporteras radiobefordrat. Det bör tilläggas att vidarebefordring av avlyssnat meddelande däremot är förbjudet enligt bestämmelse i 6 kap 23 §. Det innebär att även om det är tillåtet att avlyssna ett radiobefordrat meddelande är det förbjudet att obehörigen föra ett sådant meddelande vidare. Undantaget innebär att en användare av ett trådlöst nätverk, s.k. W-LAN, inte kan anses otillåtet avlyssna ett annat trådlöst nätverk han automatiskt ges tillgång till. Det bör i anslutning till detta dock noteras att användaren, om avlyssnaren aktivt bereder sig tillträde till någon annans nätverk kan göra sig skyldig till brott mot andra bestämmelser exempelvis i brottsbalken. För det fall nätverket är helt öppet torde det dock från en straffrättslig syn finnas problem att påvisa att ett intrång i nätverket är olovligt. 7.4.2 Avlyssningsförbudets tillämplighet på spionprogram Förbudet mot avlyssning innebär att användandet av spionprogram som på olika sätt avlyssnar en pågående kommunikation är förbjudna. Däremot kan spionprogram som innebär att den som nyttjar spionprogrammet själv deltar i kommunikationen knappast anses omfattas av förbudet. Om t.ex. en keylogger skickar information vidare om vilka knapptryckningar användaren gör på sin dator så utgör detta inte ett brott mot avlyssningsförbudet eftersom informationen som skickas vidare inte är någon information som fångats upp under kommunikation, upphovsmannen till keyloggern deltar snarare i kommunikationen. Däremot skulle användningen av ett övervakningsprogram som kopierar och skickar vidare alla epostbrev som användaren skickar utgöra ett brott mot bestämmelsen eftersom det i detta fall är information som fångats upp under pågående kommunikation. 10 11 Prop. 2002/2003, sid. 255 Prop. 2002/2003:110, sid. 253 Post- och telestyrelsen 30 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 7.5 Straffrättsliga bestämmelser Förutom de specialrättsliga bestämmelser som finns i lagen om elektronisk kommunikation kan även annan lagstiftning bli tillämplig vid hanteringen av spionprogram och närliggande företeelser. I detta avsnitt följer en kort beskrivning av de straffrättsliga bestämmelser som kan bli aktuella. 7.5.1 Brytande av post- eller telehemlighet 4 kap 8 § BrB samt dataintrång 4 kap 9c § BrB När det gäller skyddet mot att annan olovligen bereder sig tillgång till information i digital form som lagrats eller är under transport är det först och främst bestämmelserna i 4 kap 8 § BrB om förbud mot brytande av post- och telehemlighet och bestämmelsen om dataintrång i 4 kap 9c § BrB som är av intresse. Brytande av post- eller telehemlighet är tillämpligt på telemeddelande som förmedlas av ett telebefordringsföretag. Med telebefordringsföretag avses i detta sammanhang ett företag som på affärsmässiga grunder huvudsakligen förmedlar olika former av telemeddelanden som anda lämnar till dem för distribution.12 Skyddet gäller endast under själva förmedlingen och därmed inte längre när meddelandet kommit fram till sin slutdestination. Den brottsliga gärningen består av själva brytandet dvs. att gärningsmannen bereder sig tillgång till meddelandet. Det finns inget krav att gärningsmannen också faktiskt tar del av innehållet i meddelandet. Ett vidare skydd mot obehörig åtkomst av datalagrad information ger bestämmelsen om dataintrång i 4 kap 9c § BrB. Bestämmelsen innebär att en person som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar, utplånar eller i register för in sådan upptagning kan dömas för dataintrång till böter eller fängelse i högst två år. Skyddsobjektet i bestämmelsen är upptagning för ADB varmed avses själva informationsinnehållet.13 Någon som olovligen bereder sig tillgång till information lagrad på en dator gör sig därmed skyldig till brottet. Med upptagning avses enligt bestämmelsen också uppgifter som är under befordran via elektroniskt eller annat liknande hjälpmedel för att användas för automatisk databehandling. Vad som menas med detta är att även sådana handlingar som innebär att någon genom olika metoder avlyssnar vad som kommuniceras i datanät, s.k. ”wiretapping”, är straffbart.14 Eftersom brott därmed föreligger både om angreppet sker mot information som är lagrad och information som är under befordran täcker bestämmelsen således in många fall av spridande av datavirus. Bestämmelsen är sekundär till förbudet mot brytande av post- eller telehemlighet vilket innebär att en handling som endast utgör ett sådant brytande inte även innebär dataintrång. Se prop 1992/93:200, s 161 f Prop 1973:33 med förslag till ändringar i tryckfrihetsförordningen m.m., s 74 f 14 Se prop 1985/86:65 s 39 ff., det bör påpekas att detta endast omfattar wiretapping av fasta eller uppringda förbindelser 12 13 Post- och telestyrelsen 31 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN Förutom förbudet mot att olovligen bereda sig tillgång innehåller bestämmelsen också ett förbud mot att olovligen ändra eller utplåna eller föra in något i ett register för automatisk databehandling. Detta innebär att inte bara beredandet av tillgång till information i en dator utan även en olovlig förändring (vare sig den består av radering, ändring eller tillförande) av innehållet är förbjudet. Med information avses endast strukturerad information i motsats till löpande text. Med ändring avses såväl en temporär som en mer permanent förändring. När ett innehåll raderas eller på annat sätt förändras så det förstörs kan handlingen även bli att betrakta som skadegörelse (se avsnitt 7.5.2 nedan). Som en kort sammanfattning kan konstateras att en person som otillåten bereder sig tillgång till data som kommuniceras såväl som data som är sparad gör sig skyldig till en straffbar gärning. Spridande av illasinnade virus är därmed i regel brottsligt enligt BrB 4 kap 9 c § (själva spridandet är inte otillåtet med däremot den otillåtna ändring eller utplåning av information som sker när viruset exekveras). Eftersom det rör sig om straffbestämmelser måste den aktuella handlingen dock även omfattas av ett uppsåt. Det innebär att gärningsmannen måste ha en vilja och en plan att utföra den brottsliga gärningen. Det kan i praktiken vara mycket svårt såväl att hitta den person som ursprungligen skapat ett illasinnat virus såväl som bevisa att den person som släppt löst viruset också haft uppsåt till en brottslig gärning. Ett ytterligare problem är att avgöra hur långt gärningsmannens ansvar sträcker sig. Upphovsmannen till ett virus infekterar antagligen själv endast ett fåtal datorer, sedan sker spridningen utanför upphovsmannens kontroll. Det är oklart hur långt gärningsmannens ansvar kan anses sträcka sig avseende det, för honom (förvisso medvetet) okontrollerade, händelseförlopp som sker i senare led. 7.5.2 Skadegörelse enligt BrB 12 kap 1§ Skyddet mot skadegörelse avser angrepp mot egendom. Denna begränsning innebär att objektet för åtgärden måste vara en sak. Någon fysisk skada sker dock sällan på bäraren av data vid ett virusangrepp dvs. datorns hårdvara förstörs sällan vid ett virusangrepp. Förstörelsen av information kan dock i praktiken leda till att även reell skada uppkommer, som att system och nätverk inte längre fungerar. Om det kan bevisas att ett spridande av datavirus leder till en mer omfattande utplåning som att stora och bestående skador uppkommer på datorn eller nätverket för de som drabbas, är det därför möjligt, men inte självklart, att förfarandet betraktas som en form av skadegörelse. Om däremot förändringen endast är tillfällig eller snabbt övergående, som när angripen data kan återställas i ursprungligt skick med hjälp av en backup-kopia, anses inte skada eller förstörelse ha uppkommit. För ansvar krävs uppsåt för spridandet av viruset men i och för sig inte uppsåt till att brottet skett av förstörelselusta eller i ett direkt skadesyfte.15 Oaktsamhet är inte straffbelagt. Straffskalan är böter eller fängelse i högst sex månader. 7.6 Annan integritetsrelaterad lagstiftning När det gäller integritet är naturligtvis personuppgiftslagen en central lagstiftning för att skydda personer mot kränkningar och ge dem möjlighet att känna till och 15 Holmberg m.fl., Kommentar till Brottsbalken, 6:e upplagan, s 633 Post- och telestyrelsen 32 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN påverka de register de återfinns i. Detta avsnitt kommer mycket kortfattat att beskriva personuppgiftslagen och hur denna lagstiftning kan appliceras på spionprogram och närliggande företeelser. 7.6.1 Personuppgiftslagen I personuppgiftslagen PUL finns restriktioner på hur aktörer får behandla personuppgifter. Mycket enkelt beskrivet kan anges att om personuppgifter ska behandlas så krävs det samtycke från den person vars uppgifter avses. Med personuppgifter menas samtliga uppgifter som kan härleda till en fysisk person. Uppgifterna behöver inte vara direkt härledande till personen utan det räcker med att uppgifterna i kombination med andra uppgifter (t.ex. personnummer i kombination med befolkningsregister eller telefonnummer i kombination med telefonkatalog) kan härledas till personen. Uttrycket behandling av personuppgifter är mycket brett och innefattar i princip alla ADB-relaterade åtgärder man kan tänka sig Huvudregeln för behandling av personuppgifter är alltså att den registrerades samtycke krävs. Det finns dock situationer som undantas och då samtycke inte krävs. Som exempel kan nämnas att samtycke inte krävs om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras. Ett mer allmänt undantag finns också som anger att samtycke inte krävs bl.a. om behandlingen är nödvändig för ett ändamål som rör ett berättigat intresse, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkningen av den personliga integriteten. Här kan alltså en intresseavvägning göras. Det finns inget formellt krav på att samtycket ska vara skriftligen. Men det måste vara aktivt. Det räcker alltså inte med ett passivt samtycke, dvs. att personen har informerats om behandlingen och inte opponerat sig. Samtycke kan dock anses ges genom konkludent handlande. Om någon informeras om att uppgiften ska registreras och sedan bifogar uppgiften torde detta alltså vara ett konkludent handlande som innebär ett samtycke.16 Däremot är inte ett tyst samtycke tillräckligt, dvs. när den registrerade informeras om att uppgifter ska registreras och ges en viss tid på sig att protestera mot det. 7.6.2 Gränsdragning mellan EkomL och PUL Det kan för den oinsatte te sig komplicerat att få en uppfattning när PUL är tillämplig och när EkomL istället är det eftersom de två lagstiftningarna i vissa fall är tillämpliga på samma förhållanden. Mycket förenklat kan sägas att EkomL reglerar olika former av kommunikation men inte vad som kommuniceras. Så länge meddelanden är under transport kan därmed EkomL bli tillämpligt avseende förbud mot avlyssning, reglering om cookies m.m. medan PUL blir tillämpligt när kommunikationens innehåll på olika sätt hanteras, t.ex. lagring av meddelanden. Vidare kan sägas att EkomL är en speciallagstiftning medan PUL är en allmän lagstiftning. Det innebär att för det fall ett förfarande är särskilt reglerat i EkomL gäller denna lagstiftning. Om förfarandet inte kan anses omfattas av EkomL gäller däremot PUL. 16 Kommentaren till personuppgiftslagen, Öhman/Lindblom, s 37 Post- och telestyrelsen 33 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN 7.7 Några problem (informationsgivning m.m.) 7.7.1 Hur informationen utformas, kringgående av bestämmelsen om cookies m.m. genom gömd information Som nämnts tidigare innebär bestämmelsen om cookies m.m. inte något förbud mot att använda en teknik som hämtar eller lagrar information utan endast ett krav att informera om den hämtning eller lagring som sker samt att ge användaren möjlighet att hindra detta. Informationen som sådan bör vara klar och tydlig, men någon närmare beskrivning av hur informationen ska utformas eller hur informationen ska delges användaren finns inte. De illasinnade program vars själva syfte är att utföra saker i det fördolda torde inte utgöra något problem eftersom dessa program eller tekniker aldrig skyltar med eller informerar om vad deras egentliga syfte är. Vad som däremot är mer komplicerat är de program som till viss del lagrar eller hämtar information från användarens terminal. Detta kan vara allt från förhållandevis ofarliga funktioner som att programmet kontrollerar om någon nyare version existerar för nedladdning till de mer förfinade marknadsföringsprogram som finns för att logga och analysera potentiella kunders Internetvanor. Merparten av dessa program redovisar säkerligen de sätt de hämtar eller lagrar information på, problemet är bara att informationen ibland kan återfinnas i en avtalstext tillsammans med hundratals andra friskrivningar eller information. Det är en viss skillnad jämfört med det system med samtycke som återfinns i personuppgiftslagen (PUL) och annan lagstiftning. Ett samtycke måste enligt PUL alltid vara informerat och entydigt. Det räcker i sådant fall inte med att bara lämna information gömd bland en massa annan information och sedan anse att användaren genom att han använder produkten anses ha samtyckt till behandlingen. Det är den personuppgiftsansvarige som också är ansvarig att kunna visa att varje enskild användare aktivt samtyckt. När det är fråga om ett informationskrav som det som återfinns i bestämmelsen om cookies m.m. kan kravet på att informationen verkligen kommit användaren tillhanda knappast sättas lika högt som vid samtycke enligt PUL. Förvisso ställer bestämmelsen ett krav på att den ansvarige ska informera, i motsats till att endast tillhandahålla information, och det finns naturligtvis en gräns någonstans för hur svårtillgänglig informationen får vara för att den ansvarige kan anses ha informerat användaren. Det kan dock inte sägas vara särskilt klart vart denna gräns går och risken är överhängande att informationen om de eventuella integritetskränkande handlingar som programmet vidtar bara blir ytterligare en punkt i det 15-sidiga informationsbrev/avtal som ploppar upp i förbigående då programmet installeras på terminalen. Å andra sidan skulle ett system med samtycke eller ett alltför hårt tolkat informationskrav göra det till en betydligt större administrativ börda för de företag som producerar och nyttjar sig av dessa program/tekniker. Syftet med bestämmelsen är inte att förbjuda dessa tekniker, som naturligtvis också kan Post- och telestyrelsen 34 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN användas för att underlätta för användaren17, utan endast att göra användarna medvetna om det integritetshot som potentiellt föreligger. 7.7.2 Tillsyn över bestämmelsen om cookies m.m., internationella aspekter Ett praktiskt problem med bestämmelsen är att den per definition berör företeelser som sker över kommunikationsnät. I flertalet fall av de företeelser som beskrivs i denna rapport sker själva lagringen eller hämtningen av information över Internet och den ansvarige befinner sig i de flesta fall i något hela annat land. Detta gör det naturligtvis mycket svårt att på något effektivt sätt bedriva en tillsyn över att bestämmelsen efterlevs. EkomL gäller inom Sverige, sådan hantering som sker av information på en svensk användares terminalutrustning torde omfattas av bestämmelsen oavsett om den ansvarige inte befinner sig i Sverige. Att lagen i och för sig är tillämplig och att den är praktiskt tillämplig är dock två helt skilda saker, det är synnerligen svårt för en nationell tillsynsmyndighet att med framgång rikta några krav mot utländska aktörer om de utländska aktörerna inte har någon vilja att efterfölja lagstiftningen (vilket de troligen skulle ha om de bedrev seriös verksamhet som riktade sig mot Sverige, men knappast har om de bedriver en ljusskygg verksamhet och inte har något intresse av att vara en aktiv marknadspart på den svenska marknaden). Det ska också återigen påpekas att det inte är utvecklingen av program som används som spionprogram som omfattas av bestämmelsen utan själva hanteringen av information. I vissa fall följer denna hantering redan av att programmet används (t.ex. när spionprogram utan användarens vetskap installeras på dennes terminal) i vissa andra fall inträffar hanteringen först när information lämnar användarens terminal (t.ex. när säkerhetshål i föreliggande mjukvara används för att hämta information eller mjukvara som installerats med användarens godkännande men mjukvaran hämtar information från terminalen på ett sätt som inte informerats om). Det kan tänkas att det i många fall är svårt att lokalisera vem det faktiskt är som utnyttjar programvaran, även om man känner till vem som tillverkat densamma. Däremot torde bestämmelsen kunna vara användbar när hämtningen eller lagringen sker i stor skala av en seriös eller i vart fall inte helt oseriös aktör. Ett exempel på en seriös användning kan vara vid marknadsföringsverksamhet som nyttjar olika programvaror för att kartlägga individers surfvanor för att sedan kunna nyttja denna information i marknadsföringssyften. Exempelvis sådana funktioner som håller reda på vilka typer av sökningar eller produkter en användare varit intresserad av tidigare och baserat på detta kan rekommendera liknande produkter eller tjänster. 17 Post- och telestyrelsen 35 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Bilaga 1 - Fallstudier PTS har låtit undersöka hur ett antal integritetskränkande programvaror påverkar användares datorer. Ett urval av dessa programvaror presenteras i denna bilaga. Sammanfattning Fallstudierna tyder på att illasinnade program installeras i faser. Med det menas att det första program som installeras även möjliggör att andra program automatiskt installeras, dessa andra program kan i sin tur möjliggöra att ytterligare program installerat automatiskt o.s.v. Programmen som installeras tenderar till ha mer suspekta syften och beteenden ju senare de ligger i kedjan. I en första fas installeras ofta aktivt ett program av användaren vilket, i många fall ovetande för användaren, fungerar som en bärare för ytterligare program. En bidragande orsak till att programmen tenderar att vara mer suspekta i senare faser kan vara att graden av kontroll över den totala installationen minskar med antalet installationsfaser, vilket gör det möjligt att verkligt farliga program inkluderas i sekundär eller ännu senare fas. De faktiska beteendena hos de testade programmen har i de allra flesta fall varit betydligt beskedligare än vad som är tekniskt möjligt. Gissningsvis beror detta på att det bakomliggande syftet i de flesta fall är reklam och marknadsföring snarare än stöld eller vandalism. Ett fenomen som har observerats i många av fallstudierna är att dataströmmar i kommunikationen mellan de illasinnade programmen och deras servrar ofta är svåra att tyda. Mycket tyder på att den senaste tidens allt mer riktade uppmärksamhet mot företagen bakom dessa program har gjort dem allt mer försiktiga, och krypteringen av data ett led i denna utveckling. Post- och telestyrelsen 37 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Avgränsningar och testmiljö Undersökningen har syftat till att visa hur enskilda användare - personer som använder en dator hemma eller på jobbet drabbas. Därför har en förhållandevis typisk datorkonfiguration skapats. Systemet som testerna genomfördes i var utrustat med operativsystemet Microsoft XP Professional med Service Pack 2 samt alla övriga av Microsoft rekommenderade säkerhetsuppdateringar. I Studien av IFrame användes dock ej Service Pack 2 då IFrame-svagheten endast påverkar Windows XP utan denna. Antivirusprogrammet Norton Antivirus 2004 användes i samtliga tester. Antivirusprogram är speciellt utvecklade för att identifiera och avlägsna virus, maskar och trojaner. Brandväggen Kerio Personal Firewall användes i samtliga tester. Kerio ger tydlig notifikation och information varje gång en process försöker starta en annan process eller kommunicera via nätverk. Cookies avsedda för spårning av internetaktivitet har detekterats med verktygen Ad-Aware och SpyBot. Övervakning av processer har genomförts genom operativsystemkommandot tasklist.exe. Detta kommando genererar en lista över alla processer som vid tillfället kör på datorn. Dessa listor har sparats för varje fallstudie och sedan jämförts mot en lista vilken representerar de processer som kör i den rena grundkonfigurationen. Verktygen Ad-Aware och SpyBot har också använts i syftet att identifiera och analysera processer, dessa är speciellt utvecklade för att känna igen ett stort antal processer hos kända illasinnade program. All nättrafik från testsystemet har övervakats och loggats. Därmed har det varit möjligt att kontrollera exakt vilken information som kommuniceras under installation och användning av de testade programmen. Analysen av nättrafiken har utförts med verktyget Ethereal. Bland urvalskriterierna för vilka företeelser som skulle studeras kan främst nämnas att de skulle vara bland de mest spridda illasinnade programmen idag och tillsammans visa på bredden av fenomenet. Post- och telestyrelsen 38 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Fallstudie 1 – Grokster Grokster är ett fildelningsprogram som vid installationen av programmet låter användaren välja om man vill betala för programmet och därmed slippa reklam och annonsprogram, eller om man vill använda gratisversionen. Detta test avser gratisversionen. I testet laddades Grokster 2.6 ner från www.download.com. Filen grokstersetup.exe sparades och exekverades. Det första installationsfönstret talade om för användaren att det finns en version att köpa som inte innehåller reklam eller annonsprogram, se Figur 1. Figur 1 – Installationsfönster nummer 1 från Grokster Därefter visades ytterligare ett fönster som erbjöd användaren att få en version utan annonser eller annonsprogram gratis genom att köpa något via ett av flera erbjudanden som fanns presenterade på en webbsida. Här valdes återigen att installera gratisversionen, dvs. att ignorera dessa erbjudanden. Nästa fönster visar ett licensavtal för GAIN Publishing, se Figur 2. Post- och telestyrelsen 39 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Figur 2 – Information om GAIN vid installation av Grokster Avtalet från GAIN var på 6652 ord, vilket torde motsvara ungefär 10 A4-sidor text. Avtalet måste accepteras för att installationen skulle kunna fortskrida, och detta gjordes. Därefter måste användaren acceptera licensavtal för Grokster, se Figur 3. Detta avtal var markerat Grokster 2.6.2.0 License Agreement. Figur 3 – Licensavtal för Grokster Post- och telestyrelsen 40 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Här kan påpekas att detta fönster var implementerat på ett sådant sätt att texten inte kunde kopieras. Om en användare vill ta del av hela licensavtalet separat måste utskriftsalternativet väljas. Dock var Print-knappen förmodligen inte korrekt implementerad eftersom det inte gick att skriva ut licensavtalet, ingenting hände när denna knapp valdes. Det gick inte heller att göra fönstret större för att t.ex. ta skärmdumpar av större textsegment. På hemsidan fanns en version av licensavtalet att ta del av, denna version skilde sig dock från den i installationsfönstret. Avtalet är mycket långt, en uppskattning är att det omfattar ca 10 000 ord. Några särskilt intressanta utdrag från detta avtal presenteras nedan. Till att börja med deklareras att användaren godkänner att tre stycken explicit uttryckta program installeras samt även andra program från tredje part om dessa inkluderas i licensavtalet. Legal Notice and Terms of Service for Grokster By Clicking “I Agree” below and installing Grokster, you are agreeing to also install the following applications a) Cydoor b) MySearch c) Qtech and d) other third party software subject to the terms and conditions contained in the End User License Agreements appended below. Återigen deklarerar avtalet att användaren godkänner att ladda ner mjukvara från tredje part om denna finns inkluderad licensavtalet. 12. Third Party Software During the process of installing Grokster, i) you are agreeing to install third party software as per the various End User License Agreements contained herein and ii) you may also be offered the possibility to download or install software from third party software vendors pursuant to license agreements or other arrangements between such vendors and yourself (“Third Party Software”). Grokster may provide the information that it receives from you to vendors whose THIRD PARTY SOFTWARE you have accepted. Use of this information would be restricted to that which is described in the applicable THIRD PARTY SOFTWARE End User License Agreement. In the event that you do not want this THIRD PARTY SOFTWARE, please do not accept this Agreement. Please note that the THIRD PARTY SOFTWARE is subject to different license agreements or other arrangements, which you should read carefully, compared to the Terms of Service of Grokster. By downloading and using this THIRD PARTY SOFTWARE you accept these THIRD PARTY SOFTWARE license agreements or other arrangements and acknowledge that you have read them and understand them. Grokster does not sell, resell, or license any of this THIRD PARTY SOFTWARE, and Grokster disclaims to the maximum extent permitted by applicable law, any responsibility for or liability related to the THIRD PARTY SOFTWARE. Any questions, complaints or claims related to the THIRD PARTY SOFTWARE should be directed to the appropriate vendor. ---- I avtalet följer sedan separata avtal för Altnet, QTech, My Search Bar, BroadcastPC, Delfin, Cydoor (The Coupons Bar Software) ochTotal Velocity (TV Media). Post- och telestyrelsen 41 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Avtalet från Grokster måste accepteras för att installationen ska kunna fortskrida, och detta gjordes. En mängd program installerades i samband med installationen av Grokster. Några av dessa program utgör egna testinstanser vilka kommer att beskrivas vidare i denna fallstudie. De installerade programmen var: • Gator/GAIN/Claria • VX2 Transponder • MyWay Speedbar och 411 Ferret/Active Search • FlashenhancerBHO / FlashTrack • BroadcastPC och DelFin • Brilliant Digital • TopMoxie / Web_CPR • TVMedia Display, se kap • Webrebates / Toprebates • Altnet/BDE Konstellationen av illasinnade programmen som installerades på datorn under dessa tester hade en stor påverkar på systemet. De nya programmen gjorde anspråk på interminne och processorkraft vilket medförde att systemet upplevdes som långsamt. Flera webbläsarstöd (eng. Browser Helper Object, BHO), d.v.s. program som tillför funktionalitet till en webbläsare, gjorde också att Internet Explorer upplevdes som mycket långsam, ibland hängde sig webbläsaren helt och kunde bara stängas ner genom att döda processen i aktivitetshanteraren. Vidare hängde sig operativsystemet ett par gånger, speciellt då antispionprogrammet AdAware kördes, se nedan. När programmet Ad-Aware startades för att identifiera vilka illasinnade program som installerats under testerna observerades att processen webcpr1 startade processen webcpr0. Dessa tillhör programmet TopMoxie18. Vid körning av AdAware stoppade operativsystemet (Windows XP, SP2) processen Windows Explorer från att fortsätta köra, se Figur 4. 18 http://www.spynet.com/spyware/spyware-TopMoxie.aspx, 2004-12-09 Post- och telestyrelsen 42 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Figur 4 – Exempel på meddelande om dataexekveringsskydd i Windows XP SP2 Detta utfördes av den inbyggda mekanismen för dataexekveringsskydd, vilken är en säkerhetsfunktion inbyggd i Windows XP SP2. Dataexekveringsskydd är en processorfunktion som förhindrar körning av kod i minnesområden som är markerade som datalagringsområden. Funktionen kallas också körningsskydd. Vid ett försök att köra kod från en markerad datasida inträffar omedelbart ett undantag som förhindrar körning av koden. På så vis hindras angripare från att överskrida en databuffert med kod och sedan köra koden. Operativsystemet hindrade alltså illasinnad kod från att exekvera i samband med att Ad-Aware kördes. Värt att notera här är att programmet körde felfritt innan installationen av Grokster. Efter att ha stängt ner detta meddelande hängde sig operativsystemet, och datorn startades om. Det gick dock att slutföra körningen av Ad-Aware genom att inte stänga ner detta fönster. Vidare kunde inte programmet SpyBot, som har liknande funktionalitet som AdAware, genomföra en hel sökning då det drabbas av ett fel, ursprunget till detta fel var svårt att identifiera utifrån den information programmet gav. Händelserna tyder på att ett eller flera av programmen som installerades av Grokster aktivt försökte hindra antispionprogrammen Ad-Aware och Spybot från att söka efter illasinnade program. Claria/Gator/GAIN Gator Advertising Information Network (GAIN) är ett nätverk av företag som ger ut reklam genom Gators annonsprogram. För ett år sedan bytte Gator namn till Claria. GAIN uppger att deras annonsprogram är permission-based19 vilket betyder att i samband med nerladdning av gratis program har användaren har gett tillstånd till att ta emot periodisk reklam. Namnet Gator används ofta som ett samlingsnamn för ett antal program som kommer från företaget, det intressanta ur denna rapports perspektiv är annonsprogrammet. Gator erbjuder ett antal nyttoprogram på sin hemsida, exempel är Precision Time och Weatherscope. Annonsprogrammet Gator installeras tillsammans med dessa nyttoprogram, men än vanligare är att programmet installeras genom ActiveX-komponenter på 19 http://www.claria.com/advertise/audience/, 2005-03-17 Post- och telestyrelsen 43 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 webbsidor eller genom snålskjuts på fildelningsprogram som Grokster, vilket också var fallet i de utförda testerna. Annonsprogrammet samlar och in och skickar iväg information om användaren beteende på Internet. Denna information sammanställs till en profil som sedan utnyttjas för att visa riktade annonser. Under testerna installerades Gator på två sätt; tillsammans med programmet Precision Time Tool som laddades ner på webbsidan www.gainpublishing.com, och med fildelningsprogrammet Grokster. I det första fallet installerades huvudkomponenten genom en ActiveX-komponent. Vid denna installation fanns möjlighet att ta del av ett licensavtal, nedan visas ett utdrag ur detta avtal, GAIN deklarerar vilken typ av information som samlas in om användare. Here's what we do know... While we don't know the identity of Subscribers, the GAIN AdServer and GP collect the following kinds of anonymous information: - Some of the Web pages viewed - The amount of time spent at some Web sites - Some click history, including responses to some online ads - Standard web log information and system settings (except that IP addresses are not stored) - What software is on the personal computer (but no information from those programs) - First name, country, city, and five digit ZIP code/postal code - Non-personally identifiable information on Web pages and forms - Software usage characteristics and preferences - For Gator(r) eWallet users, your master password, if you choose to create one Värt att notera är att GAIN förbjuder användaren att lyssna på nätverkstrafik som innehåller kommunikation mellan mjukvara från företaget och företagets servrar. You acknowledge and agree that any and all communications between GP and the Licensed Materials and the content stored on GP's computer servers and in its software includes confidential information of GP and you may not access, publish, transmit, display, create derivative works of, store, or otherwise exploit any such confidential information except as such functions are performed by the Licensed Materials in the ordinary course of operation. Any use of a packet sniffer or other device to intercept or access communications between GP and the Licensed Materials is strictly prohibited. Gator visar kontinuerligt reklam i form av pop-up-annonser när användaren surfar på Internet. Dessa annonser är baserade på användarens beteende såsom vilka webbsidor som har besökt, vilka sökord som har angetts i sökmotorer, etc. Under testerna visades annonser ca 5 gånger på en period av 30 minuter. Figur 5 visar ett exempel på hur dessa pop-up-annonser ser ut. Post- och telestyrelsen 44 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Figur 5 – Exempel på pop-up reklam från GAIN Gator övervakar ord som fylls i av användaren i formulär på webbsidor. Om en användare gör en sökning i en sökmotor, t.ex. Altavista, öppnar programmet en ny resultatsida med träffar. I Figur 6 nedan visas ett exempel på en sida från Search Scout, denna sida öppnades i samband med att en sökning på ”designer clothes” gjordes i sökmotorn Altavista. Post- och telestyrelsen 45 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Figur 6 – Exempel på Gator Search Scout Gator kommunicerar kontinuerligt med sina servrar. Tidigare versioner av programmet var implementerade på ett sådant sätt att informationen som skickades mellan klienten och dess server enkelt kunde tydas. Utdraget nedan visar hur ett HTTP POST anrop kunde se ut20. POST /bannerserver/bannerserver.dll?GetBannerList MachineID=RTJCNzI4QjktRkU4MS00RjIzLUE2REQtNzZEM0M2MThG OTA4&MachineInt=103900267&Banner-Version=3%2e0&Product Version=4%2e1%2e2%2e6&OEMID=0&Locale=0409&ZipCode=2&Us erID=OTNBMEFDNDMxOUE5NDJDM0E0REFBQTA3M0JFQUY1RDk%3d%3d %3d&UserInt=146699728&LocalTime=04%2f19%2f2003+01%3a26 %3a18+%2d0500&GMTTime=04%2f19%2f2003+05%3a26%3a18+%2b0 000&BnrTypes=7df&AIC-0=gator%5faic&Site=yale%2eedu&Def Browser=1&InstDate=04%2f18%2f2003+09%3a00%3a18+%2d0500 &GTRGF=0%2c0&PA=0& Utdraget nedan visar en TCP-ström fångad med Ethereal. Här kan ses hur Gator skickar information i Field1 (fetstil) till servern gi.gator.com/emachine.asp, dock är informationen svår att direkt tyda. POST /emachine.asp HTTP/1.1 Accept: */* Content-Type: application/x-www-form-urlencoded X-UA: WinInet 6.0.2900.2518, 1.1, 1.0 User-Agent: Gator/5.0 RequestMachineInt Host: gi.gator.com Content-Length: 86 Connection: Keep-Alive Cache-Control: no-cache Field1=Q0RvJ3TaJAAAAP2lUv2cqGa80C4P6eL5fq56oaiTL4%2bzVYSNv1vcrx8vu7D0VkesBn8 %3d%3d%3d& HTTP/1.1 100 Continue Server: Microsoft-IIS/5.0 Date: Tue, 30 Nov 2004 15:10:39 GMT VX2 Transponder VX2 Transponder är ett webbläsarstöd och annonsprogram. Programmet övervakar och loggar användarbeteende såsom besökta webbsidor och information angiven i sökformulär på webbsidor. Denna information skickas sedan till en server, förmodligen i syfte att visa pop-up-annonser när användaren 20 http://www.benedelman.org/spyware/ftc-031904.pdf, 2004-12-08 Post- och telestyrelsen 46 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 surfar. Programmets algoritm för annonsval är uppbyggd så att annonser väljs beroende på vilken webbsida användaren för tillfället besöker21. Algoritmen anpassar intensiteten av visade annonser beroende på användarens aktivitet, om inga nya webbsidor besöks visas inte heller några nya annonser. I Figur 7 nedan visas ett exempel på en pop-up-annons som erbjuder användaren gratis smileys. Figur 7 – Pop-up annons från VX2 Transponder Första gången programmet exekveras letar det efter filen oeminfo.ini på användarens dator. Om denna fil finns innehåller den information om datorn såsom vem den köptes från, serienummer, processor och konfiguration, och kanske även användarens namn. Det är denna information som ses om man i Windows XP väljer Start Æ Inställningar Æ Kontrollpanelen Æ System, första fliken. Programmet samlar information om besökta webbsidor och information angiven i formulär, denna kommuniceras sedan till tredje part. Långlivade tredje-partscookies lagras också på datorn i syftet att identifiera användaren över flera sessioner. VX2 Transponder söker även igenom användaren dator efter filer använda av epostprogrammet Microsoft Outlook, detta för att hitta ett fullt namn och epostadress. Denna typ av beteende observerade dock inte under testerna, här kan anledningen vara att testsystemet inte hade detta e-postprogram installerat. Programmet har också en uppdateringsfunktion vilken det kan utnyttja för att uppdatera sig självt eller ladda ner nya illasinnade program från tredje part. Programmet kontaktar då en server som kan peka på ny programvara från tredje part som ska hämtas och installeras. BroadcastPC och DelFin Media Viewer BroadcastPC är ett annonsprogram som visar multimediareklam på användarens dator. Programmet övervakar användarens beteende på Internet och levererar annonser utifrån detta. Reklamen består av stora videoklipp som laddas ner till användarens dator i bakgrunden. 21 http://www.spynet.com/spyware/spyware-VX2.Transponder.aspx, 2004-12-08 Post- och telestyrelsen 47 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 BroadcastPC använder sig av DelFin Media Viewer, även kallad PromulGate, vilket är en mediaspelare och annonsprogram. Enligt skaparnas hemsida ger produkten marknadsförare möjlighet att skicka riktade annonser till miljoner användare dagligen genom Internet. DelFin Media Viewer använder unika identifikationsnummer för varje användare22. Programmet registrerar information om användaren och kommunicerar denna tillsammans med det unika id-numret och postnummer till sina marknadsföringskunder. I det testade fallet laddades ett stort videoklipp ner av BroadcastPC. Efter ett tag startades automatiskt Windows Media Player och visade i fullskärmsläge en trailer för Buffy the Vampire Slayer. Efter att videoklippet hade spelats klart startade DelFin Media Viewer, se Figur 8. Denna innehöll reklam, och länkade till en webbsida där inköp kunde göras. Figur 8 – DelFin Media Viewer med reklam för Buffy the Vampire Slayer 22 http://www.spynet.com/spyware/spyware-DelFin-Media-Viewer.aspx, 2004-12-08 Post- och telestyrelsen 48 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Fallstudie 2 – Kazaa och PerfectNav Huvudprogrammet i denna fallstudie är programmet Kazaa. Detta program installerade också ett antal illasinnade program, och av dessa utgör programmet PerfectNav en testinstans i denna fallstudie. Kazaa är sannolikt ett av världens mest spridda fildelningsprogram. Precis som fildelningsprogrammet Grokster, se Fallstudie 1 – Grokster, är Kazaa ett annonsprogram och även känt för att inkludera illasinnade program. Även här har konstellationen ändrats över tiden, med det rör sig oftast om annonsprogram och webbläsarstöd23. Användaren accepterar ofta att dessa program installeras på sin dator genom att acceptera långa och komplicerade licensavtal där detta är deklarerat. I testfallet installerades ett antal program tillsammans med Kazaa, dessa presenteras nedan. Ett av dessa program, Perfect Nav, utgör en egen testinstans vilken beskrivas nedan. I testfallet installerades Kazaa genom nerladdningen och exekvering av en installationsfil vilken hämtades på webbsidan www.kazaa.com. Installationsprocessen av Kazaa var lik den för Grokster. Kazaa var dock något tydligare med det faktum att flera program från tredje part installeras samtidigt då det tidigt i installationen presenteras ett antal program som följer med produkten; BullGard Virus Protection, Altnet Topsearch, PerfectNav, Cydoor, GAIN, Altnet Peer Points Components, My Search Toolbar, och Joltid P2P Networking. Därefter måste användaren godkänna ett antal licensavtal för att installationen måste fortsätta. I dessa avtal fanns information om programmen från tredje part. PerfectNav PerfectNav är skapad av företaget eUniverse och är ett webbläsarstöd som manipulerar sidan för sökfel i webbläsaren. Programmet styr om felslagna adresser till sin egen startsida. Detta beteende återfinns även hos programmet NaviSearch som bl.a. installeras tillsammans med annonsprogrammet BargainBuddy. I Figur 9 nedan ses ett exempel på hur PerfectNav påverkar webbläsaren då den felaktiga adressen www.aftonnbladet.se slagits in för Aftonbladets hemsida. 23 http://www.cs.washington.edu/homes/gribble/papers/spyware.pdf, 2005-03-17 Post- och telestyrelsen 49 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Figur 9 – Startsida för PerfectNav vilken visas vid felslagna adresser Post- och telestyrelsen 50 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Fallstudie 3 – IFrame IFrame är inte ett spionprogram utan en funktion i sidbeskrivningsspråket HTML. Under oktober månad 2004 upptäcktes en svaghet i webbläsaren Internet Explorer 6.0. Alla versioner av operativsystemet Windows förutom Windows XP med Service Pack 2 löper risk att drabbas genom att denna svaghet utnyttjas. Genom buffertöversvämning kan godtycklig kod exekveras med samma privilegier på datorn som Internet Explorer. Svagheten beror på hur Internet Explorer hanterar SRC och NAME attribut tillhörande HTML-element såsom <FRAME> och <IFRAME>. Många kända säkerhetsföretag har funnit kod cirkulera på Internet vilken använder sig av JavaScript för att allokera ett minnesutrymme (buffert) där angriparen bl.a. placerar maskinkod. Genom att föra in mycket långa SRC och NAME attribut i ett IFRAME element på en HTML-sida kan Internet Explorer styras om till att peka på det nya minnesutrymmet, och på så sätt styras om till att exekvera den nya koden. Det finns även andra tekniker som kan användas för att allokera det minnesutrymme som den farliga koden placeras i. Genom att klicka på annonser på välbesökta webbsidor har användare under den senaste tiden styrts till webbsidor som utnyttjar svagheten och installerar godtycklig kod på användarens dator. De vanligaste sätten att drabbas ur ett användarperspektiv är att användaren klickar på en annons på en webbsida (stora välkända och välbesökta webbsajter har varit drabbade24) eller att användaren klickar på en länk i ett e-post meddelande han/hon fått från en person de känner (eftersom maskarna ofta skickar e-post till alla poster i adressboken på den infekterade datorn). Eftersom Windows XP med Service Pack 2 är skyddat från denna svaghet användes Windows XP med Service Pack 1 i detta testfall. I testfallet testades en kod som är skriven för att utnyttja svaghet. Denna återfinns på sidan http://singe/rucus.net/exploit/11337. På samma sida återfinns även den faktiska koden, se det andra utdraget nedan. Denna kod, vilken är kommenterad av skaparen, öppnar ett kommandofönster (cmd shell) på port 28876 när en länk klickas. Genom att öppna kommandofönstret kan en förövare få total kontroll över datorn. I ett första fall testades länken med brandvägg och antivirusprogram avstängda, och efter detta med båda påslagna. I det senare fallet upptäckte Norton Antivirus real-time protection att svagheten i IFRAME utnyttjades och varnade användaren. Norton kallar hotet för ett virus med namnet Bloodhound.Exploit.18. Genom att utnyttja denna svaghet kan förövaren installera godtycklig kod på användarens dator, och således finns det godtyckligt många beteenden som användaren kan råka ut för. De som under den senaste månaden har varit 24 http://news.netcraft.com/archives/2004/11/21/iframe_exploit_spreading_through_banner_ads. html, 2004-12-13 Post- och telestyrelsen 51 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 vanligast inkluderar installation av maskar som sprider sig själva via massutskick av e-post, installation av program för fjärrstyrning och övervakning, samt installation av annonsvisningsprogram. Post- och telestyrelsen 52 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Fallstudie 4 – TrueActive TrueActive är ett program för övervakning. Programmet är en vidareutveckling av programmet WinWhatWhere och kan sägas representera den nya generationens övervakningsverktyg. Till skillnad från de enklare varianterna, t.ex. Keylogger Pro som endast registrerar tangenttryckningar kan TrueActive även övervaka saker som t.ex. Internettrafik i form av besökta webbadresser; filhantering i termer av flyttning, modifikation, omdöpning, borttagning; information angiven i formulär på webbsidor; hela konversationer i många kända program för e-post och chat; vad som visas på skärmen och spelas in med webbkamera; lösenord av olika typer och innehåll i operativsystemets urklippshanterare25. I testfallet laddades en provversion ner från företagets hemsida. Denna aktiverades genom en licensnyckel som skickades från företaget efter information angivits om nerladdaren. Loggarna av övervakningen kan skickas via e-post. Programmet kan ställas in så att det helt agerar i bakgrunden; ikonen i verktygsfältet kan tas bort och rapportringen via e-post kan ske via s.k. stealth e-mail vilket betyder att programmet använder sin egen e-postserver. Figur 10 och Figur 11 nedan visar exempel på hur en rapport kan se ut. I detta fall var övervakningen i gång när webbläsaren användes för att söka efter ”alfa romeo 147” på www.google.com och sedan gå in på den översta träffen. Rapporten visar i vänsterkanten fångade skärmdumpar av de webbsidor som besökt, under kolumnen Formatted kan ses vad som har skrivits in med hjälp av tangentbordet. Figur 10 – Rapport av övervakning i TrueActive 25 http://www.trueactive.com/features/features.asp, 2004-12-13 Post- och telestyrelsen 53 SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1 Figur 11 – Rapport av övervakning i TrueActive Post- och telestyrelsen 54