DATUM
RAPPORTNUMMER
2005-04-08
PTS-ER-2005:15
Spionprogram och andra
närliggande företeelser
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
Innehåll
Sammanfattning ................................................................................ 3
1
Bakgrund - PTS arbete inom integritetsområdet......................... 5
1.1 Rapportens syfte och PTS roll............................................. 5
2
Integritetskränkande kod – begrepp i rapporten ......................... 7
3
Spionprogram och närliggande företeelser ................................. 9
3.1 Vad är spionprogram? ........................................................ 9
3.2 Program vars funktion är reklam och marknadsföring ....... 10
3.3 Program vars funktion är informationsinsamling............... 11
3.4 Program vars funktion är fjärrstyrning och övervakning..... 13
3.5 Allmänt om syftet med olika former av spionprogram ....... 14
4
Installationsmetoder, hur drabbas användaren?........................ 17
4.1 Medföljande program ....................................................... 17
4.2 Insticksprogram i webbläsaren ......................................... 17
4.3 Trojaner ........................................................................... 17
4.4 ActiveX............................................................................. 18
5
Hur påverkar spionprogrammen användaren? ........................... 19
5.1 Spionprogram – koppling till virus och annan illasinnad
kod .................................................................................. 19
6
Hur kan användaren skydda sig?............................................... 21
6.1 Antivirusprogram.............................................................. 21
6.2 Brandvägg........................................................................ 21
6.3 Antispionprogram............................................................. 21
6.4 Allmän försiktighet på Internet ......................................... 21
7
Vad gäller rättsligt? .................................................................. 23
7.1 Inledning.......................................................................... 23
7.2 EkomL bestämmelser om cookies m.m............................. 23
7.3 Närmare om bestämmelsen om cookies m.m. och
dess tillämplighet på spionprogram? ................................ 26
7.4 Förbud mot avlyssning ..................................................... 29
7.5 Straffrättsliga bestämmelser ............................................ 31
7.6 Annan integritetsrelaterad lagstiftning .............................. 32
7.7 Några problem (informationsgivning m.m.)....................... 34
Bilagor
Bilaga 1 - Fallstudier ........................................................................ 37
Post- och telestyrelsen
1
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
Sammanfattning
I takt med att samhället allt mer utvecklas till ett informationssamhälle, där stora
delar av såväl näringsliv som staten i olika utsträckningar är beroende av datorer
och kommunikationsnätverk, så uppstår ett allt större beroende av att dessa
datorer och nätverk fungerar och är säkra. Virus och annan skadlig kod har länge
utgjort ett uppmärksammat hot mot sådana funktioner. Det finns dock även
program och tekniska system som på andra sätt än genom ren förstörelse kan
utgöra hot mot såväl kommunikationsnätens funktionalitet som förtroendet och
tilliten till användningen av dessa. Denna rapport tar sikte på en grupp av sådana
program som på olika sätt kan utgöra hot i form av integritetskränkande
funktioner, allt ifrån mer harmlösa lagringar av menyval i cookie-filer till formliga
kidnappningar av hela nätverk av datorer. Programmen och deras funktioner kan i
det individuella fallet medföra allvarliga integritetskränkningar mot den enskilda
användaren men kan också i ett större perspektiv utgöra ett hot mot den allmänna
tilliten och viljan att använda sig av elektroniska kommunikationstjänster. Ett
ytterligare problem är också att vissa av dessa program möjliggör för illvilliga
aktörer att via fjärrstyrda datorer skapa plattformar för vidare angrepp helt
ovetandes för användaren.
Syftet med rapporten är i första hand att beskriva förekomsten av och
funktionerna hos de program som med ett samlingsnamn kan kallas
spionprogram. Rapporten innehåller dels enklare beskrivningar av de olika typer
av spionprogram som förekommer dels en översikt över på vilka sätt användare
kan drabbas av dessa. Här återfinns även avsnitt av analyserande karaktär om
särskilda problem med att identifiera vad som egentligen är spionprogram som är
kränkande mot användares integritet respektive program som mycket väl kan ha
nyttiga syften och användningsområden. Förutom dessa beskrivningar finns även
en rättslig analys av den lagstiftning PTS har att tillämpa och dess tillämpning på
spionprogram samt även en mer översiktlig beskrivning av annan lagstiftning som
kan vara av betydelse på området. Syftet med den rättsliga översikten är att dels
uttrycka PTS uppfattning om vilka bestämmelser i EkomL som kan användas för
att motverka det potentiella integritetshot som finns samt att även föra ett
resonemang kring problem med faktiska möjligheter att utöva tillsyn.
Avsnittet avseende spionprogram i allmänhet är riktat till alla som har ett intresse
av att känna till dessa företeelser och som på ett mindre tekniskt orienterat plan
önskar få en översiktlig kunskap om dessas förekomst, potentiella hot samt
möjligheterna att skydda sig. Avsnittet angående rättsliga frågeställningar är främst
riktat till jurister eller andra som är intresserade av de rättsliga frågeställningar
som, främst med utgångspunkt i EkomL, uppstår i samband med förekomsten av
spionprogram.
Slutligen har också en bilaga satts samman med några exempel på spionprogram
och hur de i autentiska testsituationer installeras på nätverksanslutna datorer och
påverkar dessas funktioner.
Post- och telestyrelsen
3
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
1 Bakgrund - PTS arbete inom integritetsområdet
PTS utövar tillsyn enligt lagen om elektronisk kommunikation (EkomL).
Lagstiftaren har valt att lyfta fram integritetsfrågor i EkomL genom att införa ett
särskilt integritetskapitel (kapitel 6) i lagen. I 6 kap 18 § i lagen om elektronisk
kommunikation (EkomL) stadgas att:
”Elektroniska kommunikationsnät får användas för att lagra eller få tillgång till information
som är lagrad i en abonnents eller användares terminalutrustning endast om abonnenten eller
användaren av den personuppgiftsansvarige får information om ändamålet med behandlingen och
ges tillfälle att hindra sådan behandling. Detta hindrar inte sådan lagring eller åtkomst som
behövs för att utföra eller underlätta att överföra elektroniskt meddelande via ett elektroniskt
kommunikationsnät eller som är nödvändigt för att tillhandahålla en tjänst som användaren
eller abonnenten uttryckligen har begärt.”
Vid införandet av lagen i juli 2003 fick bestämmelsen stor uppmärksamhet
eftersom den bland annat berör användningen av s.k. cookies som utnyttjas på
många webbplatser. PTS fick flera anmälningar om webbplatser som använde
cookies på fel sätt eller inte informerade om användningen. Idag är antalet
anmälningar få och det allmänna intresset för den s.k. cookie-bestämmelsen har
avtagit något. Paragrafen reglerar dock inte enbart användningen av cookies utan
även andra typer av programvaror som används för att ”lagra eller få tillgång till
information som är lagrad i en abonnents eller användares terminalutrustning”,
exempelvis spionprogram. Spionprogram kan samla mer information om
användaren och därigenom vara betydligt mer integritetskränkande än
användningen av cookies.
Kunskapen om hur utbredd användningen av spionprogram är idag begränsad.
PTS bedömer därför att det finns ett stort behov av att belysa användningen av
spionprogram och närliggande företeelser samt vilka konsekvenser dessa kan få
för användarnas integritet vid utnyttjande av elektroniska kommunikationsnät.
1.1 Rapportens syfte och PTS roll
Målet med denna rapport är att ge en övergripande beskrivning av tekniska och
rättliga aspekter på spionprogram och närliggande företeelser. Det är viktigt att
framhålla att fokus för rapporten ligger enbart inom vad man med allmänna
ordalag kan beskriva som olika former av funktioner som kan anses vara av
integritetskränkande natur. Andra former av illvillig eller destruktiv programvara
med spridningsmekanismer såsom t.ex. virus och liknande berörs därmed inte.
För enkelhetens skull har dessa funktioner av potentiellt integritetskränkande
natur med ett samlingsbegrepp kallats spionprogram. Det är dock på sin plats att
påpeka att syftet inte är att försöka (om)definiera vad som allmänt menas med
detta begrepp eller att rapporten skall ses som en uttömmande förteckning av vad
som kan anses utgöra funktioner av integritetskränkande natur. Som framhålls i
rapporten är ingalunda alltid syftet med dessa spionprogram ett illvilligt syfte, de
flesta former av program har sin grund i funktioner som kan användas för att
hjälpa användaren och öka funktionaliteten.
Post- och telestyrelsen
5
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
Rapporten inkluderar inte enbart företeelser som ligger inom PTS arbetsområde.
Användningen av spionprogram och närliggande företeelser utgör ett hot mot
tilliten till elektroniska kommunikationer och regleras i vissa fall av 6 kap 18§
lagen om elektronisk kommunikation (se kapitlet ””). I dessa delar ligger
problemet inom PTS arbetsområde. Det finns dock andra aspekter på företeelsen,
exempelvis otillåten eller oetisk marknadsföring, brottsbekämpning och hantering
av personuppgifter, som ligger inom andra myndigheters arbetsområde. Exempel
på andra myndigheter som, förutom PTS, har en roll i arbetet med spionprogram
och närliggande företeelser är Konsumentverket, Polisen och Datainspektionen.
PTS ser denna rapport som en inledande nulägesbeskrivning och anser att det är
viktigt att alla myndigheter som har ett ansvar inom området samarbetar i det
fortsatta arbetet.
Post- och telestyrelsen
6
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
2 Integritetskränkande kod – begrepp i rapporten
Datoranvändares personliga integritet kan kränkas på ett antal sätt. Med personlig
integritet avses här att personlig och privat information inte skall behandlas eller
delges andra utan individens vetskap eller samtycke.1 Program o. dyl. som kan
kränka den personliga integriteten kan beskrivas ur flera perspektiv. En
utgångspunkt för att beskriva integritetskränkande program är på vilket sätt den
som är drabbad påverkas, en annan är på vilket sätt programmen kommer in i
systemet.
Med begreppet funktion avses i denna rapport vad programmen gör ur ett
användarperspektiv, vilken effekt programmen har. Vissa program kan samla
information om vilka webbsidor som besöks och därigenom presentera reklam
som kan antas intressera användare. Andra program kan påverka användares
resurser för egna syften, t.ex. kan en webbläsare styras att visa viss information.
En annan funktion kan vara att program installerar ytterligare program utan
användarens vetskap.
Med begreppet installationsmetoder avses i rapporten det sätt på vilket ett program
installeras på en dator. Det finns ett antal installationsmetoder för
integritetskränkande program, t.ex. kan de spridas med virus, maskar och trojaner.
Begreppen virus, mask och trojan beskriver spridningsmekanismer hos illasinnad
kod. Virus är illasinnad kod som kopierar sig till befintliga programfiler eller
startsektorer på disketter och hårddiskar. Maskar är illasinnad kod som sprider sig
mellan datorer i nätverk. Trojaner, eg. trojanska hästar, är illasinnad kod som,
utöver skenbara eller reella önskade operationer dessutom utför oönskade sådana.
Gränsdragningen mellan dessa kategorier illasinnad kod är inte entydig. Till
exempel kan en trojan tänkas medföra en mask som nyttolast och en mask kan
tänkas medföra virus. Ytterligare en installationsmetod är att användaren aktivt
installerar programmen på samma vis som med andra vanliga program.
Med begreppet tekniska plattformar avses i rapporten eventuella tekniska system
som särskilt nyttjas av ett program för att uppnå vissa funktioner
1
SIS Handbok 550, Terminologi för informationssäkerhet, SIS Förlag AB. 2003
Post- och telestyrelsen
7
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
3 Spionprogram och närliggande företeelser
3.1 Vad är spionprogram?
Vanligtvis används begreppet spionprogram när integritetskränkande program
nämns, dock saknar begreppet en entydig definition. I denna rapport avser
begreppet spionprogram program som i det fördolda bevakar dator- eller
nätverksanvändares aktiviteter alternativt påverkar systemet på ett för användaren
oönskat sätt, t.ex. webbläsarkapning. Inte alla företeelser är dock program, även
cookies kan användas så att användarens personliga integritet kränks.
Spionprogram torde vara att betrakta som illasinnad kod, d.v.s. kod som vid
exekvering orsakar avsiktlig störning eller skada. Dock är inte alla
integritetskränkande program illasinnade program. Även program som har
legitima användningsområden, t.ex. fjärrstyrningsprogram, kan missbrukas och
kränka den personliga integriteten.
Spionprogram (eng. spyware) i denna rapport avser därmed program som utan
användares vetskap installerar eller exekveras på användarens dator och på olika
sätt samlar eller sprider personlig information om användaren. Var gränsen går för
att användaren ska ha vetskap om att programmet installerats och vad som är
personlig information diskuteras i kapitlet ”Vad gäller rättsligt”.
Program som gör intrång i användarens integritet kan kategoriseras baserat på hur
de används, sprids och utnyttjar IT-systemet eller datorn de angriper. I denna
rapport delas spionprogrammen in i tre kategorier baserat på programmens
användningsområde, dels program som används för reklam och marknadsföring (eng.
advertising spyware) dels program som används för informationssamling och dels
program som används för att fjärrstyra och övervaka den drabbade användarens
dator (eng. surveillance spyware). Den första och andra typen av spionprogram är
ofta kombinerade och samlar information om en grupp individer i
marknadsföringssyfte och befordra sedan utvald marknadsföring till dessa medan
den tredje typen av program snarare bevakar specifikt utvalda personer,
exempelvis familjemedlemmar eller anställda i företag.
I rapporten delas de olika programmen och företeelserna upp utifrån vilken
funktion dessa program i huvudsak har. Det är förvisso på sin plats att påpeka att
enskilda program ofta har flera funktioner och att en sådan uppdelning därmed
inte alltid blir helt korrekt. I huvudsak kan dock de skilda programmen sägas ha
en funktion som till övervägande del beskriver dem. Uppdelningen ska främst ses
som ett sätt att göra en logisk och följbar beskrivning för läsaren av rapporten och
inte såsom ett definitivt eller uttömmande avgörande av vad enskilda företeelser
innebär.
Nedan beskrivs olika typer av spionprogram för marknadsföring, fjärrstyrning och
övervakning samt närliggande företeelser.
Post- och telestyrelsen
9
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
3.2 Program vars funktion är reklam och marknadsföring
Syftet med program som används för reklam och marknadsföring kan dels vara att
sprida reklam dels att förändra den reklam som redan sprids. För att rikta sådan
reklam används ofta även olika former av informationssamlande (se avsnitt nedan
om program vars funktion är informationsinsamling) för att rikta reklam som
anses passa en viss profil av användare.
I detta avsnitt presenteras program som med eller utan användarens vetskap
används i marknadsföringssyfte.
En av de drivande krafterna bakom spionprogrammens spridning är
programvarutillverkare. De erbjuder ofta flera versioner av sin applikation;
gratisversioner (gratisprogram2 och spridprogram3) och fullständiga versioner som
inte är gratis. För att tjäna pengar på gratisversionerna erbjuder
programvarutillverkarna andra företag att göra reklam i anslutning till
gratisprogrammen. Reklamen visade sig dock initialt ha för liten effekt, och för att
öka effekten krävdes effektivare metoder för att kunna följa användarnas
beteenden och på så sätt kunna skapa riktad reklam. Den information som
spionprogram vars funktion är informationsinsamling (se avsnitt nedan) samlar in
används ofta för kunna skapa riktad reklam t ex via spionprogram vars funktion är
marknadsföring.
3.2.1
Annonsprogram
Annonsprogram (eng. Adware) är programvara som visar pop-up reklam så snart
programmet körs. Annonsprogramvarans installation sker ofta genom att den
inkluderas med annan programvara som är kostnadsfri. Till exempel kan
gratisprogram som laddas ned via Internet innehålla annonsprogram för att
finansiera tillverkningen och spridningen av programmet. Många av dessa
program finns även i en utgåva som kostar pengar men som då inte innehåller
någon annonsprogramvara. Annonsprogrammens funktion är att de på olika vis
utsätter användaren för marknadsföring, t.ex. genom popupfönster eller att en viss
del av gränssnittet i ett program innehåller marknadsföring. Annonsprogram kan
naturligtvis även vara fristående från andra program och till exempel automatiskt
generera pop-up fönster med viss bestämd reklam varje gång användaren öppnar
sin webbläsare.
3.2.2
Webbläsarkapning
Ett annat exempel på program som används i marknadsföringssyfte är program
som på olika sätt ändrar den lokala webbläsarens inställningar för att omdirigera
trafiken till andra webbsidor. Programmet kan exempelvis byta ut de start- och
söksidor som användaren valt eller lägga till länkar i listan med favoriter utan att
användaren särskilt begärt det. Denna företeelse kallas ibland för webbläsarkapning
(eng. browser/page hijacking). Själva företeelsen webbläsarkapning kan närmast
var att anse som en teknik, dvs. den mjukvara som webbläsaren innehåller utgör
grunden för programmet. Funktionen av företeelsen är att på olika sätt manipulera
Gratisprogram (Freeware) program som får spridas fritt och användas utan kostnad.
Spridprogram (Shareware) är program som får spridas fritt men som användaren förväntas betala
en avgift för vid upprepad användning eller efter en viss begränsad tid.
2
3
Post- och telestyrelsen
10
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
webbläsaren för att styra om den trafik som sker via webbläsaren, dvs. att på olika
sätt påverka vilka webbplatser användaren besöker eller vilka webbplatser det ser
ut som användaren har besökt.
Syftet med den här typen av program är ofta att dirigera fler besökare till
webbsidorna som trafiken styrs till och att på detta sätt sprida reklam. Syftet kan
även vara att få det att se ut som om trafiken kommer från en annan webbplats.
Som exempel kan nämnas att om en webbplats har avtal om viss ersättning för
alla besökare som går från den webbplatsen till en annan så har den ett intresse av
att få det att se ut som om alla besökare som når den utomstående webbplatsen
kommer från den egna. Denna funktion kan uppnås genom någon form av
webbläsarkapning.
Webbläsarkapningsprogram kan även omdirigera användarens sökningar via en
annan, för användaren osynlig, webbplats som samlar information om
användarens aktiviteter (en aspekt som snarare gör dessa webbläsarkapningars
funktion till informationsinsamling, se avsnitt 3.3 nedan). För användaren är
omdirigeringen omärkbar, förutom att surfningen kan bli långsammare.
3.2.3
Webbläsarstöd
Webbläsarstöd (eng. Browser Helper Object, BHO) är program som aktiveras varje
gång webbläsaren startas. Webbläsarstöd kan närmast beskrivas som en teknik
dvs. en mjukvara som på olika sätt kan påverka hur en webbläsare visar
webbplatser som användaren besöker. En funktion som webbläsarstöd kan ha är
att webbläsarstödet söker igenom sidorna som användaren öppnar i webbläsaren
och byter ut banners så att alla banners t.ex. innehåller en viss i förväg angiven
reklam.
3.3 Program vars funktion är informationsinsamling
I detta avsnitt presenteras program som samlar information om användaren utan
användarens vetskap. Syftet med program som används för informationsinsamling
är ofta att samla data om Internetanvändares beteende. Detta kan vara deras
beteende på en viss webbplats eller deras allmänna beteende på Internet.
Programmen kan t.ex. samla information om vilka webbsidor som användaren
besökt på Internet, inloggningsuppgifter som angetts för att ladda hem program
(t.ex. namn, e-postadress, kön, ålder och land), användarens IP-adress och vilket
operativsystem och webbläsare som används. Det vidare syftet med
informationen är ofta marknadsföring (se ovan om program vars funktion är
marknadsföring) och för att rikta reklam som anses passa den profil som skapats
av användaren. I många fall är därmed syftet med informationsinsamlingen inte
direkt illvilligt utan att öka användarens nytta av tjänsten. Exempelvis kan en kund
i en Internetbokhandel få boktips baserat på vilka böcker kunden beställt tidigare.
Problemet ur ett integritetsperspektiv är att användaren mycket väl kan vara
ovetande om informationsinsamlingen och vad informationen utnyttjas till.
Som nämnts i avsnitt tidigare var en av de drivande krafterna bakom
spionprogrammens spridning programvarutillverkare som sökt alternativa vägar
för finansiering t.ex. genom riktad reklam. Den information som spionprogram
Post- och telestyrelsen
11
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
för informationsinsamling samlar in används ofta för att kunna skapa just riktad
reklam.
Det förtjänar att påpekas att spionprogram ofta utför flera olika funktioner. Såväl
marknadsföringsprogram, webbläsarstöd och webbläsarkapare som beskrivits
ovan kan därmed innehålla funktioner som samlar information.
3.3.1
Keyloggers
Programvara för att logga tangenttryckningar har funnits länge, men moderna
versioner av keyloggers kan logga mycket mer än bara tangenttryckningar. De kan
spara skärmdumpar baserat på valda nyckelord som skrivs på tangentbordet eller
visas på skärmen eller vara särskilt utformade för att hitta och spara lösenord. Den
här typen av programvara kan enkelt laddas ner från webbplatser och säljs
kommersiellt för övervakning av anställda och till föräldrar för att kontrollera
barnens surfande.
3.3.2
Webbflugor
Webbflugor (eng. Web bugs) är ytterligare en företeelse som närmast kan beskrivas
som en teknik dvs. en metod för att samla in information om användaren och
dennes Internetaktiviteter. Webbflugor är dock inte att kategorisera som program
eftersom de inte består av någon kod som exekveras. Webbflugor utgör istället
mindre grafiska bilder som placeras på webbplatser eller i e-postmeddelanden och
som när de öppnas laddas ned från en annan server än den webbplats som besöks.
En typisk webbfluga har storleken 1x1 pixel, vilket innebär att den är osynlig för
blotta ögat. När användaren tittar på en webbsida eller ett e-postmeddelande som
innehåller en webbfluga, begärs denna bild från en server tillhörande webbflugans
ägare och på detta sätt kan ägaren spåra den enskilde användaren och se om
denne har sett en annons eller öppnat ett e-postmeddelande som innehåller
webbflugan.
3.3.3
Cookies
En annan företeelse som ibland uppfattas som spionprogram är cookies. Cookies
är textfiler som sparas på användarens dator och som webbplatser kan utnyttja för
att samla information om användaren och dennes beteende. Det kan vara så
enkelt som en markering av vad användaren redan har tittat på webbplatsen,
vanligtvis genom att ändra färgen på en länk användaren klickat på, eller att
komma ihåg användarens inställningar eller användarnamn. Dessa cookies är
avsedda endast för användaren och vidarebefordrar inte information till någon
extern webbserver.
Det finns dock företag som utnyttjar cookies för att följa vilka webbsidor
användaren besökt och vad användaren gjort där. Cookies är ursprungligen inte
designade för att utnyttjas på detta sätt utan tanken är att informationen endast
ska vara tillgänglig för den webbplats som satte cookien. Ingen utomstående ska
kunna använda och läsa cookies som är avsedda för en annan webbplats. Cookies
kan dock utnyttjas på andra sätt än som ursprungligen var avsett. Ett företag kan
exempelvis inkludera cookies i reklam som visas på någon annans webbsida.
Denna typ av cookies kallas ibland för tredjeparts cookies, eftersom
informationen skickas till en tredje part och inte till den som tillhandahåller
Post- och telestyrelsen
12
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
webbsidan användaren valt att besöka. Genom att visa reklam och sätta cookies
på ett mycket stort antal olika webbsidor kan företaget följa vilka av dessa
webbsidor användaren besökt och vad användaren gjort där och därmed få en
detaljerad bild av användarens rörelsemönster på Internet.
3.4 Program vars funktion är fjärrstyrning och övervakning
I kategorin med program för fjärrstyrning och övervakning inkluderas olika typer
av intrångsverktyg och övervakningsprodukter som ofta riktas mot en specifik
dator eller användare. Många av dessa produkter är ursprungligen framtagna som
säkerhetsverktyg för företag och privatpersoner och är avsedda att exempelvis
användas för att kontrollera de egna barnens eller de anställdas surfvanor.
Program för fjärrstyrning har användningsområden såsom när till exempel ett
supportföretag ska hjälpa en kund utan att personligen vara hos kunden. Det kan
under de förutsättningarna vara mycket effektivt att på avstånd helt kunna ta
kontrollen över kundens dator. I fel händer kan dessa applikationer dock utnyttjas
för helt andra syften och användas för intrång och illasinnat nyttjande av ovetande
användares datorer. Eftersom skyddet inom ett nätverk ofta är riktat mot
utomstående attacker är det särskilt känsligt för nätverkets säkerhet om en av
datorerna i nätverket utifrån kan kontrolleras och därmed vidta åtgärder inom
nätverket såsom om det var en användare vid den terminalen som gjorde det.
3.4.1
Övervakningsprogram
Övervakningsprogram kan fånga i stort sett allt en användare gör på sin dator,
inklusive alla tangenttryckningar, e-post, chat-konversation, besökta webbsidor
och vilka program som används. I princip alla aktiviteter som görs med datorn
kan loggas. Programmet körs ofta i bakgrunden och användaren är inte medveten
om att han/hon är övervakad. Informationen som samlas av programmet skickas
antingen löpande till en tredje part eller lagras på datorn i en loggfil som senare
förmedlas till en tredje part. I vissa fall är loggfilen krypterad vilket gör det mycket
svårt för användaren att veta vad loggfilen innehåller. Vissa program skickar även
sådana loggfiler med e-post till en förbestämd destination.
Den stora skillnaden mellan övervakningsprogram jämfört med kategorin
keyloggers som beskrivits tidigare är att generella övervakningsprogram har ett
betydligt vidare bevakningsområde och inte är renodlade att bevaka någon särskild
funktion.
3.4.2
Fjärrstyrningsverktyg
Fjärrstyrningsverktyg (eng. Remote Access Tools eller Remote Administration Tools,
RAT) används för att fjärrstyra, övervaka och spela in information från den dator
där programmet är installerat. Vissa fjärrstyrningsverktyg kan även styra datorns
webbkamera och mikrofon och på detta sätt fånga både bild och ljud.
Många fjärrstyrningsverktyg härmar funktionaliteten i tillåtna
fjärrstyrningsprogram men är designade specifikt för att installeras och användas
utan att upptäckas. Användaren märker inte att programmet installerats förrän
inkräktaren via programmet tar över maskinen och exempelvis flyttar muspekaren
eller öppnar filer. En stor fara med fjärrstyrningsverktyg är att de helt kontrollerar
den styrda datorn. Det innebär att alla de rättigheter som den fjärrstyrda datorn
Post- och telestyrelsen
13
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
har, t.ex. åtkomst inom interna nätverk etc., tillfaller även den som fjärrstyr
datorn. Det kan vidare vara mycket svårt att i efterhand spåra huruvida det är
användaren själv som vidtagit åtgärder via datorn eller om dessa åtgärder skett på
distans via ett fjärrstyrningsverktyg.
Fjärrstyrningsverktyg kan också användas för s.k. systemkapning. Systemkapning
innebär att ett program utnyttjar den infekterade terminalens resurser och
kapacitet. Olika typer av program utnyttjar kapacitet på olika sätt, t.ex. kan ett
stort antal infekterade datorer samlade processorkraft nyttjas för krävande
beräkningar, det finns även fall där ett stort antal infekterade datorer koordinerat
använder sin Internetanslutning för att utföra överbelastningsattacker mot
specificerade mål. Sådana stora grupper av infekterade datorer som koordinerat
kan utnyttjas kallas ofta botnets. Spam skickas ofta från kapade datorer som utan
användarens vetskap utnyttjar Internetanslutningen för att skicka stora mängder epost.
3.4.3
Modemkapning
Modemkapning innebär att användaren laddar ned ett program i sin dator, ofta
utan att vara medveten om det, som avslutar den ursprungliga
modemuppkopplingen till Internet och kopplar upp användaren till en annan
anslutning via ett annat telefonnummer. Detta telefonnummer är ofta ett nummer
till vilket en betydligt högre samtalskostnad än normalt är knuten. Användaren
faktureras sedan för de uppringda samtalen.
Modemkapning är en funktion som i praktiken förändrar det nummer som anges i
datorns fjärranslutning och därmed förändrar det nummer användarens vanligen
ringer upp för att koppla upp sig mot sin Internetleverantör. Funktionen består
därmed av att användaren ansluter till en annan Internetleverantör.
Modemkapningen innebär därmed i sig inte direkt någon fjärrstyrning eller annan
kontroll av användarens dator, däremot kan det innebära att användaren ovetande
genererar mycket höga telefonräkningar eftersom det nya numret som lagts in
oftast har en mycket hög tidsperiodsavgift.
3.5 Allmänt om syftet med olika former av spionprogram
Något som komplicerar beskrivningen av spionprogram i deras egenskap av
illvillig kod är att flertalet av funktionerna även finns och i många fall också har
sin grund i fullt legitima programfunktioner som också har ett viktigt
användningsområde. Exempelvis har flertalet övervakningsprogram och metoder
för systemkapning och fjärrstyrningsverktyg sitt ursprung i olika verktyg för att
kontrollera ett nätverk eller för systemadministratörer att från distans hjälpa
enskilda användare när de har problem med sina system. Program för reklam och
marknadsföring har i många fall ett fullt legitimt syfte att erhålla finansiering av
programvara eller andra produkter genom att riktad marknadsföring integreras i
produkten. Det är således mycket svårt att på ett generellt sätt dra en skarp linje
mellan vad som är direkt illvilligt och vad som är accepterat. Denna situation kan
jämföras med t.ex. virus och liknande program som uteslutande har funktioner av
destruktiv karaktär eller spridningskaraktär och som genreellt kan sägas utgöra
program vars enda syfte är förstörelse och som det därför saknas ett legitimt
användningsområde för.
Post- och telestyrelsen
14
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
När det gäller spionprogram nyttjas dessa funktioner i många fall av
programvaruföretag som användbara och effektiva metoder att t.ex. automatiskt
analysera och uppdatera mjukvara (som t.ex. Microsoft Update). Många program
överför information för att analysera och tillföra funktioner till de program som
körs på datorn (t.ex. flertalet musikspelare som skickar ut information om vilken
musik som spelas till en annan server och på så sätt kan återge information om
vilken musikgrupp det är, sångtexter, albumbilder m.m.). Många av funktionerna
utnyttjas också affärsmässigt för att kunna ge en inkomst för programvara som
delas ut ”gratis” över Internet (t.ex. gratisprogram som automatiskt laddar ned
reklam och marknadsföring vilket visas samtidigt som programmet körs). Det är
därmed inte möjligt att säga att en viss typ av program eller funktion allmänt sett
kan sägas vara illvillig eller utföras otillåtet syfte.
Detta faktum har också bidragit till att antivirusprogram och liknande
säkerhetsfunktioner haft vissa juridiska svårigheter när det gäller angripande av
spionprogram. Om ett antivirusprogram automatiskt förhindrar funktioner från
legitima spionprogram är det mycket möjligt att upphovsmakaren till det legitima
spionprogrammet med framgång skulle kunna föra skadeståndstalan mot
upphovsmakaren till det antivirusprogram som förhindrar dess möjligheter till
intäkter, t.ex. antivirusprogram som förhindrar marknadsföring som
intäktsmedel.4
Från en integritetsaspekt torde det viktigaste vara att användaren är medveten om
på vilket sätt information om användaren lagras eller sprids. Att
spionprogrammen installeras och vilken typ av information de samlar beskrivs
ofta i de licensvillkor5 som användaren ska läsa igenom innan nedladdning av
programmet. I många fall är dock dessa licensvillkor mycket omfattande och
ibland direkt missledande. Detta gör det svårt för användaren att tillgodogöra sig
informationen. Inte särskilt sällan innehåller avtalen också långtgående möjligheter
för programvarutillverkaren att automatiskt installera ny programvara, vilket gör
det i princip omöjligt för användaren att uppfatta vidden av det samtycke som ges.
Juridiska aspekter på sådana samtycken berörs mer nedan i avsnitt 7.7.1.
De spionprogram och dess funktioner som beskrivs i denna rapport avser sådana
som inte har ett legitimt syfte, dvs. de som i det enskilda fallet används av illvilliga
personer eller organisationer för att på olika sätt infiltrera eller kränka användares
integritet. Det är dock viktigt att vara medveten om att bedömningen i det
enskilda fallet inte är svart eller vitt, det finns en stor gråzon över vad som kan
anses vara legitimt eller inte. Det förtjänar också att uppmärksammas att många av
de spionprogram vars syfte är i den mer grå zonen ofta innehåller avtalsklausuler
som är mer eller mindre gömda eller kryptiskt utformade för att säkerställa att
Företaget Gator (numera under namnet Claria) har t.ex. riktat stämningsansökningar mot antispionprogram som angivit Gators programvara som varandes spionprogram. Se
http://news.com.com/2100-1032_3-5095051.html Även andra exempel finns på spionprogram
med marknadsföringsfunktioner vars upphovsmakare stämt andra liknande program eftersom
dessa program på olika sätt motverkar funktionerna i det förstnämnda programmet. Se
http://arstechnica.com/news.ars/post/20041208-4447.html
4
5
Även benämnda som EULA (End User Licence Agreement).
Post- och telestyrelsen
15
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
upphovsmakaren i efterhand i vart fall inte skall anses ha gjort något otillåtet utan
att användaren får anses ha accepterat eller samtyckt till den funktion som utförs.
Detta gör det ytterligare mer problematiskt att från juridiskt håll reglera vad som
kan anses vara en tillåten eller direkt olaglig verksamhet.
Post- och telestyrelsen
16
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
4 Installationsmetoder, hur drabbas användaren?
4.1 Medföljande program
Många gratisprogram och spridprogram som går att ladda ner från Internet idag
innehåller spionprogram. När användaren installerar det nedladdade programmet,
t.ex. fildelningsprogram, spel, chatprogram, mediaspelare och
nedladdningshanterare, installeras spionprogrammen samtidigt. I vissa fall
godkänner användaren mer eller mindre omedvetet att spionprogrammet
installeras genom att acceptera de villkor som följer med gratis- eller
spridprogrammet (se mer om detta i avsnitt 7.7.1). Fildelningsprogram utpekas
ofta som en stor spridningskälla. Metoden att ett spionprogram installeras i
samband med ett annat program kallas ibland ”piggybacking” (ungefärlig
översättning; snålskjuts) och kan vara svårt att upptäcka för en vanlig användare.
Eftersom användaren själv tillåter programmet att installeras upptäcks inte heller
denna installationsform särskilt lätt av antivirusprogram.
4.2 Insticksprogram i webbläsaren
Spionprogram kan även vara gömda i html-länkar i e-postmeddelanden eller på
webbplatser. När användaren klickar på länken startas automatiskt nedladdning av
spionprogrammet som är ett insticks- eller tilläggsprogram till webbläsaren. Oftast
blir förvisso användaren tillfrågad om denne verkligen vill installera detta instickseller tilläggsprogram men denna information kan i flertalet fall vara formulerad på
ett försåtligt eller otydligt sätt vilket gör det svårt för användaren att veta vad som
egentligen kan komma att installeras.
4.3 Trojaner
Trojaner är program som körs på användarens dator men som, utan användarens
vetskap, är utformade för att installera eller köra andra program på användarens
dator. En trojan är alltså ett program som utger sig för att vara en viss typ av
program men som själva verket döljer något annat. Till skillnad från virus och
maskar är trojaner inte självspridande, d.v.s. de gör inte kopior av sig själva.
Trojaner sprids ofta som i bilagor till e-postbrev eller tillsammans med andra
programvaror. Det finns flera olika typer av trojaner varav några av de vanligaste
beskrivs nedan.
I princip kan en trojan innehålla vilken slags övrig programvara som helst.
Trojanen behöver inte heller direkt innehålla den ytterligare programvaran utan
trojanens funktion kan vara att öppna en väg in till den drabbade datorn för att på
distans installera ytterligare program eller på annat sätt ta kontroll. Dessa typer av
trojaner kallas ofta backdoor-trojaner, eftersom de öppnar en bakdörr in i datorn.
Med hjälp av en sådan trojan kan en inkräktare exempelvis söka igenom datorn
efter lösenord och andra hemliga uppgifter. Inkräktaren kan även placera filer på
datorn, exempelvis för att sprida virus eller placera olika former av spionprogram
såsom fjärrstyrningsprogram etc.
Post- och telestyrelsen
17
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
4.4 ActiveX
ActiveX är en del av operativsystemet Windows och kan utnyttjas för att få full
tillgång till en användares operativsystem. På detta sätt kan ActiveX genom s.k.
ActiveX-kontroller användas för att ta bort eller lägga till filer på användarens
dator. Windows-update är ett exempel på en ActiveX-kontroll som söker efter
relevanta filer på en dator och uppdaterar dem med nya. Syftet med tekniken
ActiveX är naturligtvis inte att spionprogram och liknande ska installeras eller att
själva tekniken ActiveX ska nyttjas på ett spionprogramliknande sätt, men
eftersom tekniken ger en så pass långtgående kontroll av användarens dator kan
den också utnyttjas för sådana syften. En webbplats kan hämta information från
en användares dator via ActiveX-kontroller. Även JavaScript och VBscript är
tekniska plattformar som kan användas för att hämta uppgifter från en användares
webbläsare på liknande sätt som ActiveX, men det senare är betydligt kraftfullare.
För att förhindra att ActiveX missbrukas kan ActiveX-kontroller signeras av
upphovsmannen. Om ActiveX-kontrollen signerats kan utvecklaren spåras under
förutsättning att certifikatutfärdaren är tillförlitlig.
Post- och telestyrelsen
18
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
5 Hur påverkar spionprogrammen användaren?
Det är svårt att generellt beskriva hur spionprogram påverkar användaren då olika
typer av program har olika funktioner. I de fall spionprogrammen består av
informationsinsamling skickas ofta den insamlade informationen antingen direkt
eller efter en tid till upphovsmannens server där informationen kan lagras och
bearbetas. I de fall spionprogram består av fjärrstyrning eller övervakning är
antingen programmen aktiverade från början vilket medför att en ansenlig
trafikmängd skickas över användarens kommunikationstjänst. I andra fall kan
spionprogrammet helt enkelt kort meddela upphovsmannen att det är installerat
och invänta dennes kommando att sätta igång fjärrstyrningen. Oavsett funktion
utnyttjar spionprogrammen användarens datorkapacitet (processor och minne)
när de är aktiverade och användarens Internetanslutning för att förmedla den
information som samlas in eller den kapacitet som krävs för att fjärrstyra datorn,
dvs. det är användaren som får stå för kostnaderna för driften av programmen.
En användare som drabbats av ett flertal spionprogram kan märka att kapaciteten
i dator och Internetanslutningen försämras avsevärt. Problemen blir särskilt
tydliga om spionprogramvaran inte lyckas kontakta sin server och gör flera
upprepade försök efter varandra. I nätverk kan försämringen av
överföringskapacitet bli ännu tydligare eftersom problemet multipliceras med
antalet datorer som smittats av programvaran.
Spionprogram kan även mer eller mindre avsiktligt skapa säkerhetshål i datorn
och/eller nätverket som programmet är installerat på. Många spionprogram
innehåller funktioner för att kunna uppdatera sig självt automatiskt och kan
därigenom skapa säkerhetshål som kan nyttjas av andra illvilliga program för att
installera sig på datorn.
Förutom ovan nämnda generella effekter kan spionprogrammen innebära en rad
negativa effekter för användaren i varje enskilt fall beroende på vad programmet i
praktiken utför för funktion. Som exempel kan nämnas att personlig och känslig
information sprids till andra utan användarens vetskap, att bankcertifikat, lösenord
och liknande stjäls, att användarens terminal och Internetanslutning används som
plattform för brottslig verksamhet.
5.1 Spionprogram – koppling till virus och annan illasinnad kod
Spionprogram kan och ska inte ses som enskilda företeelser. Spionprogram sprids
via andra former av illasinnad kod som t.ex. via maskar och kan illasinnad genom
andra program t.ex. trojaner eller i samband med att andra, i användarens ögon,
legitima program installeras (s.k. piggybacking).
De typer av spionprogram som samlar information kan användas för att samla
information om användare som t.ex. deras egna och deras kontakters epostadresser. E-postadresser kan i sin tur användas för att skicka oönskade
massutskick via e-post, så kallad spam. Vidare används spionprogram som kan
fjärrstyra datorer för att nyttja ovetande användares datorer och anslutningar som
plattformar för vidare attacker som t.ex. riktade överbelastningsattacker mot ett
visst mål eller som bas för att skicka ut spam.
Post- och telestyrelsen
19
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
Det är således svårt att säga var den ena typen av program eller företeelse slutar
och var den andra börjar och vilken som beror av vilken. Dessa företeelser frodas
ofta i ett intrikat samband.
Post- och telestyrelsen
20
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
6 Hur kan användaren skydda sig?
Grunden till användarens säkerhet på Internet är ett säkert beteende i
kombination med ett uppdaterat antivirusprogram och en uppdaterad brandvägg.
För att särskilt skydda sig mot spionprogram bör användaren även använda ett
antispionprogram.
6.1 Antivirusprogram
Ett antivirusprogram letar efter virus i de filer som kommer till en användares
dator. Programmet bör även vara inställt så att det automatiskt och med jämna
mellanrum kontrollerar hela hårddisken.
Vanliga antivirusprogram spårar ofta inte spionprogram och de som gör det
fångar inte alla former av spionprogram. I vissa fall inkluderas skydd mot
spionprogram, men skyddet måste aktiveras vid installation för att även omfatta
s.k. utökade hot. En förklaring till detta är de skäl som redogjorts för ovan i
avsnitt 3.5, allmänt om syftet med spionprogram, att det helt enkelt inte är så
enkelt att generellt avgöra vilka spionprogram som har ett legitimt syfte och vilka
som saknar det. Denna omständighet gör det komplicerat att utveckla generella
skyddsmetoder mot vissa former av funktioner. I vissa fall är det enda som skiljer
ett legitimt spionprogram jämfört med ett illvilligt det sätt som användaren
informeras och samtycker till programmets funktioner. En annan anledning till att
tillverkare av antivirusprogram inte inriktat sig på spionprogram är att
spionprogram i sig inte har någon självspridande funktion som t.ex. virus. Det kan
dock noteras att virusprogram i allt högre omfattning även inkluderar olika former
av säkerhetshantering avseende såväl spionprogram och brandväggsfunktioner.
6.2 Brandvägg
En brandvägg granskar all elektronisk trafik till och från användarens dator och
informerar användaren om något verkar misstänkt.
En brandvägg kan ge ett visst skydd mot spionprogram, men eftersom
programmen ofta förpackas tillsammans med filer som är tillåtna att ladda ner kan
det vara svårt att undvika att programmen passerar genom brandväggar utan att
stoppas. Brandväggar kan dock varna användaren för oväntad utgående trafik,
vilket kan vara ett tecken på att ett spionprogram skickar information till en extern
server.
6.3 Antispionprogram
Spionprogram är oftast särskilt utformade för att hållas hemliga vilket gör det
svårt att upptäcka dem. Det finns dock ett flertal produkter, s.k.
antispionprogram, som riktar in sig på att hindra installation eller att hitta och ta
bort spionprogram, t.ex. gratisversionerna Ad-Aware och Spybot Search and
Destroy. Användaren bör köra antispionprogrammet regelbundet och uppdatera
det kontinuerligt.
6.4 Allmän försiktighet på Internet
Förutom uppdaterat antivirusprogram, brandvägg och antispionprogram finns det
andra saker användaren bör tänka på för att vara säkrare på Internet.
Post- och telestyrelsen
21
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
De program på användarens dator som använder sig av och kommunicerar med
Internet, t.ex. webbläsaren, bör uppdateras regelbundet även de. Programmen har
ibland svagheter, så kallade säkerhetshål, som kan utnyttjas för intrång eller
installation av oönskade program. När dessa svagheter identifieras rättas de till av
programtillverkaren. För att täppa till säkerhetshål på användarens dator är det
därför mycket viktigt att programmen regelbundet uppdateras. Detsamma gäller
även datorns operativsystem eftersom även det kan innehålla säkerhetshål som
nya uppdateringar täpper till.
Användaren bör även vara försiktig då filer laddas ner från Internet eftersom
filerna kan innehålla skadlig kod eller spionprogram. Det är viktigt att användaren
funderar på om källan verkar trovärdig eller om filen verkar ofarlig innan en
eventuell nedladdning görs. Även okända bifogade filer som kommer med e-post
bör användaren vara försiktig med. Klicka aldrig på en sådan fil om innehållet är
okänt eller om avsändaren inte är känd.
När en användare är ansluten till Internet bör filer på datorn inte delas ut till vem
som helst i onödan. Det gäller även om ett fildelningsprogram installeras på
datorn. Användaren bör ställa in vilken eller vilka mappar som ska vara tillgängliga
för andra användare på Internet och inte dela ut mer än nödvändigt för att
undvika oönskade intrång. Det går också att ställa in datorn så att användaren bara
hämtar och inte delar ut filer.
Vidare bör man som användare vara försiktig med vilka ActiveX-komponenter
man accepterar. Det kan vara en säkrare metod att ställa in webbläsaren så att
användaren informeras när en ActiveX-komponent aktiveras eller alternativt helt
stänga av ActiveX. Det bör dock nämnas att många webbplatser använder sig av
olika typer av ActiveX-komponenter för att fungera varför användaren kan få
problem att tillgodogöra sig dessa webbplatser om ActiveX är avslaget.
Användare bör också vara mycket försiktiga när de utnyttjar publikt tillgängliga
datorer, exempelvis på Internetcaféer. Man bör utgå ifrån att dessa har keyloggers
eller andra spionprogram installerade och därför inte utföra känsliga transaktioner
därifrån såsom t.ex. banktransaktioner.
Mer information om hur användaren kan skydda sig på Internet finns på
http://www.pts.se/internetsakerhet .
Post- och telestyrelsen
22
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
7 Vad gäller rättsligt?
7.1 Inledning
Det finns ett antal olika utgångspunkter vid en rättslig bedömning av i vilken
utsträckning olika former av spionprogram kan anses vara i enlighet med
föreliggande lagstiftning eller inte. Det finns civilrättsliga regler som reglerar
kriterier för ingående av giltiga avtal, skadeståndsrättens bestämmelser om
ersättningsgrundande skador, brottsbalkens bestämmelser om olika former av
intrångs- eller bedrägeribrott samt den speciallagstiftning som förekommer på
området. Detta kapitel har inte för avsikt att vara en heltäckande analys av hela det
rättsliga läget utan främst en redogörelse för den lagstiftning PTS har att tillämpa,
dvs. den speciallagstiftning som återfinns på området. För att uppnå någon slags
mer heltäckande beskrivning kommer även en kortare redogörelse att ges av den
straffrättsliga lagstiftning som kan vara tillämplig. Redogörelsen bör dock läsas
med vetskapen om att andra juridiska frågeställningar, såsom i vilken utsträckning
skadeståndstalan med framgång skulle kunna föras avseende uppkommen skada,
medvetet inte berörs.
7.2 EkomL bestämmelser om cookies m.m.
Genom EkomL infördes en bestämmelse i (6 kap 18 §) EkomL som villkorar
lagrande av och användande av lagrad information på en användares dator.
Bestämmelsen saknar motsvarighet i tidigare lagstiftning. Bestämmelsen innebär
att ett elektroniskt kommunikationsnät får användas för att lagra information, eller
för att få tillgång till information som är lagrad i en abonnents eller användares
terminalutrustning endast om abonnenten eller användaren av den
personuppgiftsansvarige får information om ändamålet med behandlingen och ges
tillfälle att hindra sådan behandling. När bestämmelsen infördes hamnade mycket
fokus på att bestämmelsen enligt sin ordalydelse omfattade hanteringen av cookies
och att denna typ av teknik som är mycket vanlig vid uppbyggnad av webbplatser
därmed plötsligt fick ett lagstadgat informationskrav.
Vad som däremot inte uppmärksammades i någon större utsträckning var att
bestämmelsen är tillämplig på alla former av hantering som innebär att
information sparas eller lagras på en användares terminalutrustning och därmed
omfattar vissa typer av program och tekniker såsom t.ex. spionprogram.
Nedan kommer kortfattat redogöras för bestämmelsen i allmänna drag, ett antal
potentiellt särskilt problematiska aspekter kommer att belysas och slutligen
kommer de typer av spionprogram ovan redogjorts för kommenteras i ljuset av
bestämmelsen.6
7.2.1
Vad innebär bestämmelsen?
Bestämmelsen innebär att elektroniska kommunikationsnät endast får utnyttjas för
att hämta eller lagra information på en användarens terminalutrustning om
användaren informeras om vad syftet är och ges tillfälle att hindra användningen.
Bestämmelsen utgör alltså inte förbud mot att utföra hämtning eller lagring av
För en mer grundlig genomgång av bestämmelsen och undantag från bestämmelsen se rapporten
”Internet och lagen om elektronisk kommunikation”, 1 oktober 2003, PTS-ER-2003:36
6
Post- och telestyrelsen
23
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
information eller något krav om att samtycke måste föreligga, däremot utgör den
ett krav på att informera användaren om aktiviteten. Informationen måste inte
nödvändigtvis ske före utan kan i vissa fall ske i anslutning till aktiviteten.
Bestämmelsen är straffsanktionerad enligt 7 kap 15 § andra stycket vari anges att
uppsåtligt eller oaktsamt brott mot bestämmelsen kan medföra böter under
förutsättning att brottet inte kan anses vara av ringa grad. Nedan följer en
schematisk bild av bestämmelsens olika rekvisit.
Vad omfattar bestämmelsen?
Vilka överföringar omfattas?
När information lagras eller
hämtas – dvs. överföringar av
information till eller från
terminalutrustningen.
Vilken skyldighet innebär bestämmelsen?
Alla som sker över elektroniska
Informationskrav – inget förbud
kommunikationsnät
Måste ske till en abonnent eller
Vad innefattar informationskravet?
användare –
I definitionen abonnent och
Att tekniken används
användare ingår att det ska
Vad ändamålet med
vara allmänna nät – därmed
användningen är
omfattas ej intranät och andra
privata nät.
Tillfälle för användare att
hindra behandlingen
•
•
•
6 kap. 18 § EkomL
Elektroniska kommunikationsnät får användas för att lagra eller få tillgång till
information som är lagrad i en abonnents eller användares terminalutrustning
endast om abonnenten eller användaren av den personuppgiftsansvarige får
information om ändamålet med behandlingen och ges tillfälle att hindra sådan
behandling. Detta hindrar inte sådan lagring eller åtkomst som behövs för att
utföra eller underlätta att överföra ett elektroniskt meddelande via ett
elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahålla
en tjänst som användaren eller abonnenten uttryckligen begärt.
Undantagen
Tekniskt undantag
Lagring eller åtkomst som behövs för att
utföra eller underlätta att överföra ett
elektroniskt meddelande via ett elektroniskt
kommunikationsnät; t.ex. cachning
Begärd tjänst
Aktiv handling, i vart fall torde inte enbart att
anlända till en viss webbplats vara tillräckligt
Nödvändighet, tekniken måste vara nödvändig
för att tillhandahålla tjänsten
7.2.2
Vem är ansvarig?
•
•
Personuppgiftsansvarig
Den som ensam eller tillsammans med
andra bestämmer ändamålen med och
medlen för behandlingen
I förarbeten anges att vem som är
ansvarig får bedömas från fall till fall
Hur ska informationen lämnas
Hur informationen om lagring eller åtkomst ska ges till användaren är inte i detalj
reglerat. Det sägs i förarbetena att informationen inte nödvändigtvis behöver ges
innan en session påbörjats utan att det räcker med att information och möjlighet
att förvägra användningen ges under sessionen.7 Detta under förutsättning att
”normala rutiner” används så att användaren kan ställa in sin webbläsare för att
förhindra sådan användning. Det torde vara en rimlig slutsats att lagstiftaren med
detta menar endast om den vanliga teknik som kallas cookie -som en webbläsare
kan känna igen och om den är korrekt inställd varna för- används så krävs inte att
användaren först godkänt åtgärden. Det är istället tillräckligt att information om
cookies och möjligheter att hindra dess användning kan ges någon gång under
besöket av webbplatsen. Detta skulle i så fall leda till slutsatsen att om det inte
handlar om sådan teknik som webbläsaren kan ställas in att automatiskt undvika
eller varna för så är det inte tillräckligt att ge informationen någon gång under
sessionen utan den måste ges innan lagringen eller åtkomsten utförts.
7
Prop.: 2002/03:110, sid. 396
Post- och telestyrelsen
24
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
Slutsatsen ter sig inte särskilt långsökt, det torde vara naturligt att mer vanliga och
integrerade tekniska lösningar inte ska ha informationskrav som är riktigt lika
långtgående som andra former att potentiellt integritetskränkande program eller
tekniker. Det ter sig dock direkt olämpligt att denna skillnad endast framgår i
lagstiftarens kommentarer till bestämmelsen i förarbetena och inte framgår direkt
av bestämmelsen.
Den information som ska ges måste rimligen framträda klart och tydligt och inte
vara gömd på ett sådant sätt att användaren i praktiken inte ges informationen.
Det är inte tillräckligt att en viss terminal endast en gång har givits den stadgade
informationen (t.ex. genom en pop-up ruta som en gång ger informationen och
sedan aldrig mer dyker upp oavsett att information lagras eller hämtas).
Information om användningen av t.ex. cookies eller andra tekniker såsom
spionprogram som hämtar information och deras syfte samt om hur en användare
kan gå tillväga för att förvägra användningen ska nämligen alltid finnas tillgänglig
på en webbplats. Anledningen till detta är att det är den enskilde användaren som
är skyddsobjektet och inte terminalen. En terminalutrustning kan i flertalet fall ha
flera olika användare och det är därmed inte tillräckligt att endast en av dem blivit
informerad. Detta torde innebära att mjukvaruprogram som installeras i en
terminal inte endast en gång (när installation sker) kan informera om att
information hämtas eller lagras på användarens dator.
Bestämmelsen ger ingen direkt vägledning om hur detaljerad den information som
ges till användaren behöver vara. I vart fall måste det rimligen framgå vilken
information som avses lagras eller hämtas från användarens terminal och för
vilket syfte denna åtkomst/lagring sker. Avseende möjligheten för användaren att
hindra användningen torde det krävas i vart fall en grundläggande beskrivning av
vilka åtgärder en användare kan vidta för att hindra lagringen eller åtkomsten. Det
får ankomma på rättstillämpningen att mer i detalj avgöra detta, ett förhållande
som får anses olyckligt vid beaktande av att bestämmelsen är straffbelagd.
7.2.3
Tillsyn och straff
PTS utövar tillsyn över EkomL inklusive denna bestämmelse. Brott mot
bestämmelsen kan leda till tillsynsåtgärder från myndighetens sida vilket kan
innefatta föreläggande vid vite om att upphöra med verksamheten. Sådant vite
kan alltså endast utfalla om den ansvarige inte först hörsammar ett föreläggande
från myndigheten. Förutom dessa tillsynsåtgärder är bestämmelsen även
straffbelagd enligt 7 kap 15 § EkomL där det stadgas att uppsåtligt eller oaktsamt
brott som inte är ringa kan leda till böter. Här anges också att ansvar för sådant
brott endast ska ådömas om ansvar för brottet inte är stadgat i brottsbalken. Brott
mot bestämmelsen om cookie m.m. är alltså subsidiär till brott i brottsbalken,
vilket innebär att en handling som utgör ett brott enligt brottsbalken konsumerar
brottet enligt EkomL. Det är polis och åklagare som ansvarar för den
rättsskipande verksamheten, varför PTS inte har något ansvar avseende
straffstadgandet. En stor skillnad mellan ett åtal om en brottslig handling och
tillsynsåtgärder avseende brott mot EkomL är att PTS tillsyn aldrig innebär några
straff för begångna handlingar utan endast innefattar olika påtryckningsmedel för
att se till att den ansvarige inte fortsätter att bryta mot bestämmelsen.
Rättskipande myndigheter däremot åtalar en ansvarig för det begångna brottet.
Post- och telestyrelsen
25
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
Det är i dessa sammanhang i princip ointressant huruvida den ansvarige upphört
med verksamheten eller inte. Detta innebär i sin tur också att det ena inte utesluter
det andra, tillsynsåtgärder från en tillsynsmyndighet kan bedrivas parallellt med en
brottutredning hos polis och åklagare.
7.3 Närmare om bestämmelsen om cookies m.m. och dess
tillämplighet på spionprogram?
I direktivet om integritet och elektronisk kommunikation8 som ligger till grund för
bestämmelsen om cookies m.m. anges i preambeln att all information som finns
lagrad i en användares terminal är en del av användarens privatliv och att den som
sådan kräver skydd enligt Europeiska konventionen om skydd för de mänskliga
rättigheter och de grundläggande friheterna. Sådana anordningar som används för
att ge tillträde till användarnas terminaler, eller information lagrad däri kan
allvarligt inkräkta på dessa friheter och bör därför tillåtas endast för legitima syften
med de berörda användarnas kännedom. Som exempel på sådana anordningar
anges ”spionprogram” och ”webbugs”. Direktivets artikel 5 p 3 har mer eller
mindre ordagrant införts i svensk lagstiftning varför preambelns syfte och
bakgrund torde vara applicerbar även på den svenska bestämmelsen. Det är
därmed uppenbart att i vart fall ett av syftena med bestämmelsen -som i praktiken
mest kommit att handla om tekniken cookies- varit att angripa mer komplicerade
program och tekniker än cookies.
Frågan är dock i vilken utsträckning bestämmelsen verkligen är applicerbar på
dessa program och system. Såsom beskrivits ovan så krävs att ett antal kriterier är
uppfyllda för att bestämmelsen ska kunna tillämpas. Det viktigaste och mest
grundläggande av dessa är att det rörs sig om en hämtning eller lagring av
information från en användares eller abonnents terminalutrustning. Det kan därmed inte
röra sig endast om att information som skickas från en användare till en annan
snappas upp under transporten. Detta skulle förvisso kunna utgöra någon form av
avlyssning (som också kan vara otillåten eller rent av brottslig, se avsnitt om
dataintrång m.m. nedan) men eftersom ingen hämtning eller lagring sker från en
terminalutrustning utan signalerna plockas upp på vägen är i vart fall
bestämmelsen om cookies m.m. inte tillämplig.
Vidare ter det sig inte rimligt att all lagring av information omfattas. När en
användare surfar till en webbsida så lagras ju en hel mängd information på dennes
terminalutrustning. Dels information av teknisk karaktär (själva html-koden eller
motsvarande) dels den information som användaren ser, dvs. text, bild och annat
mediainnehåll som återfinns på webbplatsen. Omfattas all denna information av
bestämmelsen och måste då den ansvarige informera användaren om syftet med
denna lagring? Det ter sig inte rimligt att så skulle vara fallet, det kan dock inte
sägas klart framgå av bestämmelsen att lagringen inte omfattas. Till den del
lagringen är av teknisk karaktär så undantas den förvisso, lagring i cache-utrymme
och lagring av html-kod eller motsvarande torde därmed vara undantaget. Vad
gäller den media som användaren faktiskt ser och tar del av är ju denna lagring
ganska uppenbar för användaren. Det borde vara skillnad mellan sådana
Punkt 24 preambeln till Europaparlamentets och Rådets direktiv 2002/58/EG av den 12 juli
2002
8
Post- och telestyrelsen
26
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
uppenbara informationslagringar och informationslagringar som inte är synliga för
användaren såsom t.ex. cookies eller spionprogram. Det kan dock inte sägas klart
framgå av bestämmelsens formulering att denna skillnad görs, snarare ger
bestämmelsen ett intryck av att vara väldigt bred och omfatta alla hämtningar och
lagringar förutom ren cachning. Möjligen skulle kunna argumenteras att den
ansvarige knappast behöver informera över uppenbara fakta, vad återstår
egentligen att informera om en reklambanner som dyker upp på en webbsida eller
i en ruta på ett program?
Vid tolkning av bestämmelsen kan det vara lämpligt att reflektera över det
övergripande syftet med den; användarens terminalutrustning och den
information som finns där är användarens personliga egendom och ska inte
ovetandes kränkas. Nedan beskrivs i vilken utsträckning spionprogram eller
närliggande företeelser skulle kunna anses falla under 6 kap 18 § EkomL
bestämmelse om cookies m.m.
Det bör påpekas att denna redogörelse endast utgår från den aktuella
bestämmelsen om cookies m.m. I flera fall kan användandet av programmet
omfattas av annan lagstiftning såsom personuppgiftslagen eller olika typer av
bestämmelser avseende brott i brottsbalken.
7.3.1
Annonsprogram (Adware)
I den utsträckning annonsprogram endast tillhandahåller banners eller annan
annonsering till användaren kan det ifrågasättas huruvida programmet omfattas av
bestämmelsen. Förvisso torde en banner som laddas ned till användarens dator
omfattas av begreppet information som lagras på användarens terminal. Men det
gör ju även allt innehåll på t.ex. en webbsida (inklusive där förekommande
banners) som användaren surfar till, vad är skillnaden mellan en banner på en
webbsida (vilket vissa annonsprogram gör, dvs. integrerar ”sina” banners på de
webbsidor användaren besöker) och en banner som dyker upp i en ruta på ett
program? Såsom argumenterats ovan borde det göras skillnad mellan uppenbara
informationslagringar, såsom banners som återfinns på en webbsida eller en ruta i
ett program, och informationslagringar som inte är synliga för användaren såsom
t.ex. cookies eller spionprogram. Det kan dock inte sägas klart framgå av
bestämmelsens formulering att denna skillnad görs. Möjligen kan argumenteras att
den ansvarige knappast behöver informera över uppenbara fakta, som tidigare
nämnts vad återstår t.ex. att informera om en reklambanner som dyker upp på en
webbsida eller i en ruta på ett program? I den utsträckningen annonsprogram i ett
första skede skickar information från användarens dator till en tredje part för att
där t ex analyseras för att skräddarsy marknadsföring mot användaren torde denna
överföring dock omfattas av informationsplikten.
I den utsträckning annonsprogram loggar knapptryckningar eller i övrigt
vidarebefordrar information från terminalutrustningen så omfattas däremot denna
programfunktion av bestämmelsen och användaren måste därmed informeras om
dessa överföringar.
Post- och telestyrelsen
27
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
7.3.2
Webbläsarkapning
I den utsträckning program för webbläsarkapning skriver över användarens länkar
eller på annat sätt manipulerar information på användarens terminalutrustning
omfattas de av bestämmelsen.
I den utsträckning programmet manipulerar överföringen, ser till att ett anrop inte
sker till punkt a direkt utan till punkt a via punkt b (för att t.ex. logga
informationen som skickades till punkt a) är det mer tveksamt i vilken
utsträckning bestämmelsen blir tillämplig. Det är inte självklart att den typen av
manipulering kan anses utgöra en hämtning eller lagring av information eftersom
användaren själv skickat iväg informationen. Det har snarare likheter med
avlyssning av information under dess transport.
7.3.3
Webbläsarstöd (Browser Helper Object, BHO)
I den utsträckning program för webbläsarstöd loggar användning av
terminalutrustningen och sedan skickar vidare denna logg omfattas det av
bestämmelsen.
I den utsträckning programmet skickar marknadsföring, såsom t.ex. att banners
byts ut på webbsidor, kan samma frågeställning som under Annonsprogram ovan
beaktas.
7.3.4
Webbflugor (Web bugs)
Webbflugor innebär att en bild, låt vara en för användaren knappt synlig bild,
begärs från webbflugans server där bilden finns lagrad och laddas ned till
användarens dator. Tillhandahållaren av bilden kan då dra slutsatser om att
användaren besökt en viss webbplats, öppnat ett visst e-postmeddelande etc.
beroende på var webbflugan placerat. Tekniken innebär att information laddar
ned och lagras på användarens terminalutrustning, bestämmelsen om cookies kan
därmed vara tillämplig. Ett liknande resonemang som ovan under annonsprogram
bör dock föras. Informationsplikten torde t. ex, knappast gälla för en webbplats
avseende de bilder som finns och visas på webbplatsen. Skillnaden mellan dessa
och en webbfluga är endast att webbflugan är så liten att den inte syns. Det
återfinns dock inga rekvisit i bestämmelsen som direkt berör huruvida
lagringen/hämtningen är synlig för användaren eller inte.
7.3.5
Program för fjärrstyrning och övervakning
Keyloggers som installerats på en terminalutrustning och loggar knapptryckningar
etc. samt skickar dessa vidare över ett elektroniskt kommunikationsnät omfattas
av bestämmelsen och därmed måste information ges om vad programmet gör och
syftet med informationshämtningen.
Övriga system som på olika sätt i hemlighet tar över delar av terminalen eller låter
utomstående fjärrstyra den torde alla omfattas av bestämmelsen eftersom det i
samtliga fall är ett program som installeras på den infekterade datorn och därmed
utgör information som lagras på en terminalutrustning. Det kan dock i likhet med
avsnittet om Annonsprogram ovan ifrågasättas om sådan, för användaren uppenbar
information, som lagras såsom ett program som installeras efter användarens
aktiva val verkligen i någon större utsträckning behöver informera ytterligare om
Post- och telestyrelsen
28
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
vad som installeras. Däremot då informationen lagras i lönndom, t.ex. i form av
gömda program som i hemlighet installeras, torde denna installation (dvs. lagring
av information) inte vara i enlighet med bestämmelsen om inte närmare
information om dess syfte ges. Kriteriet är dock även att lagringen av
informationen ska ske över ett elektroniskt kommunikationsnät varför det skulle
krävas att programmet installeras via Internet eller något annat
kommunikationsnät. Det bör här särskilt uppmärksammas att andra
bestämmelser, framförallt brott i brottsbalken också kan bli tillämpliga såsom
dataintrång m.m.
7.3.6
Cookies
Användningen av tekniken kallad cookies omfattas av bestämmelsen eftersom det
utgör en lagring av information på användarens terminalutrustning. För ett mer
ingående resonemang kring cookies se PTS rapport om Internet och lagen om
elektronisk kommunikation.9
7.3.7
Modemkapning
I den utsträckning modemkapning består av ett program som laddas ned och
installeras på en terminal torde det kunna omfattas av bestämmelsen. Om
modemkapningen består av att föreliggande telefonnummer till en viss
modempool på terminalen ändras till ett annat är slutsatsen inte lika självklar.
Frågan är här om förändring av föreliggande information såsom ett sparat
nummer till en modempool innebär en lagring av information i den mening som
följer av bestämmelsen. Med tanke på hur bred bestämmelsen gjorts i sin
formulering och att inget i förarbetena till bestämmelsen anges om några
begränsningar av dess tillämpningsområde torde det vara möjligt att se detta som
en lagring av information. För det fall användaren själv begärt förändringen, t.ex.
för att han vill utnyttja en viss tjänst, torde lagringen dock omfattas av undantaget
i bestämmelsen förutsatt att lagringen är nödvändig för tjänsten.
7.3.8
ActiveX
ActiveX är en teknisk plattform som ingår i vissa operativsystem. Det kan
innehålla säkerhetsluckor som kan utnyttjas. Själva programmet eller verktyget
ActiveX kan inte i sig anses omfattas av bestämmelsen. Däremot kan hanteringen
av information, dvs. att genom att utnyttja ett säkerhetshål i ActiveX komma åt
information lagrad i en terminalutrustning via Internet eller ett annat elektroniskt
kommunikationsnät, anses omfattas av bestämmelsen.
7.4 Förbud mot avlyssning
I 6 kap 17 § EkomL återfinns bestämmelser om förbud mot avlyssning. I princip
innebär bestämmelsen ett totalt förbud mot att ta del av, eller på annat sätt
behandla uppgifter i ett elektroniskt meddelande som överförs i ett allmänt
kommunikationsnät eller med en allmänt tillgänglig elektronisk
kommunikationstjänst, eller trafikuppgifter som hör till meddelandet om inte
minst en av de berörda användarna samtyckt till behandlingen. Begreppet
samtyckt innebär att om en av deltagarna i den elektroniska utväxlingen spelar in
9
”Internet och lagen om elektronisk kommunikation”, PTS ER-2003:36
Post- och telestyrelsen
29
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
eller på annat sätt sparar det elektroniska meddelandet utgör detta inte något brott
mot bestämmelsen oavsett om övriga deltagare samtyckt till detta eller inte.10
Förbudet omfattar endast allmänna tjänst och nät, därigenom omfattas inte
privata nät, t.ex. begränsade intranät. Från huvudregeln finns ett antal uttryckliga
undantag avseende vissa typer av handlingar som behandlas nedan. Från
bestämmelsen undantas också vad som stadgas i andra bestämmelser om
behandling av trafikuppgifter (5 – 7 §§) och sådana uppgifter som omfattas av
tystnadsplikt enligt 20 §.
7.4.1
Undantag
Det framgår av förarbetena att bestämmelsen inte är avsedd att hindra automatisk,
mellanliggande och tillfällig lagring av information under förutsättningen att
informationen inte lagras längre än vad som är nödvändigt för överföringen och
att konfidentialiteten förblir garanterad under lagringsperioden.11 Mot bakgrund av
detta omfattar de två första undantagen olika former av information som för att
effektivisera kommunikationen sparas, s.k. cachning.
Den tredje undantagspunkten avser att genom radiomottagare avlyssna ett
radiobefordrat elektroniskt meddelande som inte är avsett för den som avlyssnar
eller allmänheten. Detta undantag motiveras av att det är vars och ens rättighet att
inneha en radiomottagare och att det inte vore tillrådligt att sanktionera själva
avlyssnandet. Det har i förarbeten till tidigare lagstiftning ansetts att etern skall
anses vara fri och att var och en därmed kan avlyssna vad som transporteras
radiobefordrat. Det bör tilläggas att vidarebefordring av avlyssnat meddelande
däremot är förbjudet enligt bestämmelse i 6 kap 23 §. Det innebär att även om det
är tillåtet att avlyssna ett radiobefordrat meddelande är det förbjudet att
obehörigen föra ett sådant meddelande vidare. Undantaget innebär att en
användare av ett trådlöst nätverk, s.k. W-LAN, inte kan anses otillåtet avlyssna ett
annat trådlöst nätverk han automatiskt ges tillgång till. Det bör i anslutning till
detta dock noteras att användaren, om avlyssnaren aktivt bereder sig tillträde till
någon annans nätverk kan göra sig skyldig till brott mot andra bestämmelser
exempelvis i brottsbalken. För det fall nätverket är helt öppet torde det dock från
en straffrättslig syn finnas problem att påvisa att ett intrång i nätverket är olovligt.
7.4.2
Avlyssningsförbudets tillämplighet på spionprogram
Förbudet mot avlyssning innebär att användandet av spionprogram som på olika
sätt avlyssnar en pågående kommunikation är förbjudna. Däremot kan
spionprogram som innebär att den som nyttjar spionprogrammet själv deltar i
kommunikationen knappast anses omfattas av förbudet. Om t.ex. en keylogger
skickar information vidare om vilka knapptryckningar användaren gör på sin dator
så utgör detta inte ett brott mot avlyssningsförbudet eftersom informationen som
skickas vidare inte är någon information som fångats upp under kommunikation,
upphovsmannen till keyloggern deltar snarare i kommunikationen. Däremot skulle
användningen av ett övervakningsprogram som kopierar och skickar vidare alla epostbrev som användaren skickar utgöra ett brott mot bestämmelsen eftersom det
i detta fall är information som fångats upp under pågående kommunikation.
10
11
Prop. 2002/2003, sid. 255
Prop. 2002/2003:110, sid. 253
Post- och telestyrelsen
30
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
7.5 Straffrättsliga bestämmelser
Förutom de specialrättsliga bestämmelser som finns i lagen om elektronisk
kommunikation kan även annan lagstiftning bli tillämplig vid hanteringen av
spionprogram och närliggande företeelser. I detta avsnitt följer en kort
beskrivning av de straffrättsliga bestämmelser som kan bli aktuella.
7.5.1
Brytande av post- eller telehemlighet 4 kap 8 § BrB samt dataintrång 4
kap 9c § BrB
När det gäller skyddet mot att annan olovligen bereder sig tillgång till information
i digital form som lagrats eller är under transport är det först och främst
bestämmelserna i 4 kap 8 § BrB om förbud mot brytande av post- och
telehemlighet och bestämmelsen om dataintrång i 4 kap 9c § BrB som är av
intresse.
Brytande av post- eller telehemlighet är tillämpligt på telemeddelande som
förmedlas av ett telebefordringsföretag. Med telebefordringsföretag avses i detta
sammanhang ett företag som på affärsmässiga grunder huvudsakligen förmedlar
olika former av telemeddelanden som anda lämnar till dem för distribution.12
Skyddet gäller endast under själva förmedlingen och därmed inte längre när
meddelandet kommit fram till sin slutdestination. Den brottsliga gärningen består
av själva brytandet dvs. att gärningsmannen bereder sig tillgång till meddelandet.
Det finns inget krav att gärningsmannen också faktiskt tar del av innehållet i
meddelandet.
Ett vidare skydd mot obehörig åtkomst av datalagrad information ger
bestämmelsen om dataintrång i 4 kap 9c § BrB. Bestämmelsen innebär att en
person som olovligen bereder sig tillgång till upptagning för automatisk
databehandling eller olovligen ändrar, utplånar eller i register för in sådan
upptagning kan dömas för dataintrång till böter eller fängelse i högst två år.
Skyddsobjektet i bestämmelsen är upptagning för ADB varmed avses själva
informationsinnehållet.13 Någon som olovligen bereder sig tillgång till information
lagrad på en dator gör sig därmed skyldig till brottet.
Med upptagning avses enligt bestämmelsen också uppgifter som är under
befordran via elektroniskt eller annat liknande hjälpmedel för att användas för
automatisk databehandling. Vad som menas med detta är att även sådana
handlingar som innebär att någon genom olika metoder avlyssnar vad som
kommuniceras i datanät, s.k. ”wiretapping”, är straffbart.14 Eftersom brott därmed
föreligger både om angreppet sker mot information som är lagrad och
information som är under befordran täcker bestämmelsen således in många fall av
spridande av datavirus. Bestämmelsen är sekundär till förbudet mot brytande av
post- eller telehemlighet vilket innebär att en handling som endast utgör ett sådant
brytande inte även innebär dataintrång.
Se prop 1992/93:200, s 161 f
Prop 1973:33 med förslag till ändringar i tryckfrihetsförordningen m.m., s 74 f
14 Se prop 1985/86:65 s 39 ff., det bör påpekas att detta endast omfattar wiretapping av fasta eller
uppringda förbindelser
12
13
Post- och telestyrelsen
31
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
Förutom förbudet mot att olovligen bereda sig tillgång innehåller bestämmelsen
också ett förbud mot att olovligen ändra eller utplåna eller föra in något i ett
register för automatisk databehandling. Detta innebär att inte bara beredandet av
tillgång till information i en dator utan även en olovlig förändring (vare sig den
består av radering, ändring eller tillförande) av innehållet är förbjudet. Med
information avses endast strukturerad information i motsats till löpande text. Med
ändring avses såväl en temporär som en mer permanent förändring. När ett
innehåll raderas eller på annat sätt förändras så det förstörs kan handlingen även
bli att betrakta som skadegörelse (se avsnitt 7.5.2 nedan).
Som en kort sammanfattning kan konstateras att en person som otillåten bereder
sig tillgång till data som kommuniceras såväl som data som är sparad gör sig
skyldig till en straffbar gärning. Spridande av illasinnade virus är därmed i regel
brottsligt enligt BrB 4 kap 9 c § (själva spridandet är inte otillåtet med däremot
den otillåtna ändring eller utplåning av information som sker när viruset
exekveras). Eftersom det rör sig om straffbestämmelser måste den aktuella
handlingen dock även omfattas av ett uppsåt. Det innebär att gärningsmannen
måste ha en vilja och en plan att utföra den brottsliga gärningen. Det kan i
praktiken vara mycket svårt såväl att hitta den person som ursprungligen skapat
ett illasinnat virus såväl som bevisa att den person som släppt löst viruset också
haft uppsåt till en brottslig gärning. Ett ytterligare problem är att avgöra hur långt
gärningsmannens ansvar sträcker sig. Upphovsmannen till ett virus infekterar
antagligen själv endast ett fåtal datorer, sedan sker spridningen utanför
upphovsmannens kontroll. Det är oklart hur långt gärningsmannens ansvar kan
anses sträcka sig avseende det, för honom (förvisso medvetet) okontrollerade,
händelseförlopp som sker i senare led.
7.5.2
Skadegörelse enligt BrB 12 kap 1§
Skyddet mot skadegörelse avser angrepp mot egendom. Denna begränsning
innebär att objektet för åtgärden måste vara en sak. Någon fysisk skada sker dock
sällan på bäraren av data vid ett virusangrepp dvs. datorns hårdvara förstörs sällan
vid ett virusangrepp. Förstörelsen av information kan dock i praktiken leda till att
även reell skada uppkommer, som att system och nätverk inte längre fungerar.
Om det kan bevisas att ett spridande av datavirus leder till en mer omfattande
utplåning som att stora och bestående skador uppkommer på datorn eller
nätverket för de som drabbas, är det därför möjligt, men inte självklart, att
förfarandet betraktas som en form av skadegörelse. Om däremot förändringen
endast är tillfällig eller snabbt övergående, som när angripen data kan återställas i
ursprungligt skick med hjälp av en backup-kopia, anses inte skada eller förstörelse
ha uppkommit. För ansvar krävs uppsåt för spridandet av viruset men i och för
sig inte uppsåt till att brottet skett av förstörelselusta eller i ett direkt skadesyfte.15
Oaktsamhet är inte straffbelagt. Straffskalan är böter eller fängelse i högst sex
månader.
7.6 Annan integritetsrelaterad lagstiftning
När det gäller integritet är naturligtvis personuppgiftslagen en central lagstiftning
för att skydda personer mot kränkningar och ge dem möjlighet att känna till och
15
Holmberg m.fl., Kommentar till Brottsbalken, 6:e upplagan, s 633
Post- och telestyrelsen
32
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
påverka de register de återfinns i. Detta avsnitt kommer mycket kortfattat att
beskriva personuppgiftslagen och hur denna lagstiftning kan appliceras på
spionprogram och närliggande företeelser.
7.6.1
Personuppgiftslagen
I personuppgiftslagen PUL finns restriktioner på hur aktörer får behandla
personuppgifter. Mycket enkelt beskrivet kan anges att om personuppgifter ska
behandlas så krävs det samtycke från den person vars uppgifter avses. Med
personuppgifter menas samtliga uppgifter som kan härleda till en fysisk person.
Uppgifterna behöver inte vara direkt härledande till personen utan det räcker med
att uppgifterna i kombination med andra uppgifter (t.ex. personnummer i
kombination med befolkningsregister eller telefonnummer i kombination med
telefonkatalog) kan härledas till personen. Uttrycket behandling av personuppgifter
är mycket brett och innefattar i princip alla ADB-relaterade åtgärder man kan
tänka sig
Huvudregeln för behandling av personuppgifter är alltså att den registrerades
samtycke krävs. Det finns dock situationer som undantas och då samtycke inte
krävs. Som exempel kan nämnas att samtycke inte krävs om behandlingen är
nödvändig för att ett avtal med den registrerade ska kunna fullgöras. Ett mer
allmänt undantag finns också som anger att samtycke inte krävs bl.a. om
behandlingen är nödvändig för ett ändamål som rör ett berättigat intresse, om
detta intresse väger tyngre än den registrerades intresse av skydd mot kränkningen
av den personliga integriteten. Här kan alltså en intresseavvägning göras.
Det finns inget formellt krav på att samtycket ska vara skriftligen. Men det måste
vara aktivt. Det räcker alltså inte med ett passivt samtycke, dvs. att personen har
informerats om behandlingen och inte opponerat sig. Samtycke kan dock anses
ges genom konkludent handlande. Om någon informeras om att uppgiften ska
registreras och sedan bifogar uppgiften torde detta alltså vara ett konkludent
handlande som innebär ett samtycke.16 Däremot är inte ett tyst samtycke
tillräckligt, dvs. när den registrerade informeras om att uppgifter ska registreras
och ges en viss tid på sig att protestera mot det.
7.6.2
Gränsdragning mellan EkomL och PUL
Det kan för den oinsatte te sig komplicerat att få en uppfattning när PUL är
tillämplig och när EkomL istället är det eftersom de två lagstiftningarna i vissa fall
är tillämpliga på samma förhållanden. Mycket förenklat kan sägas att EkomL
reglerar olika former av kommunikation men inte vad som kommuniceras. Så
länge meddelanden är under transport kan därmed EkomL bli tillämpligt avseende
förbud mot avlyssning, reglering om cookies m.m. medan PUL blir tillämpligt när
kommunikationens innehåll på olika sätt hanteras, t.ex. lagring av meddelanden.
Vidare kan sägas att EkomL är en speciallagstiftning medan PUL är en allmän
lagstiftning. Det innebär att för det fall ett förfarande är särskilt reglerat i EkomL
gäller denna lagstiftning. Om förfarandet inte kan anses omfattas av EkomL gäller
däremot PUL.
16
Kommentaren till personuppgiftslagen, Öhman/Lindblom, s 37
Post- och telestyrelsen
33
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
7.7 Några problem (informationsgivning m.m.)
7.7.1
Hur informationen utformas, kringgående av bestämmelsen om cookies
m.m. genom gömd information
Som nämnts tidigare innebär bestämmelsen om cookies m.m. inte något förbud
mot att använda en teknik som hämtar eller lagrar information utan endast ett
krav att informera om den hämtning eller lagring som sker samt att ge användaren
möjlighet att hindra detta. Informationen som sådan bör vara klar och tydlig, men
någon närmare beskrivning av hur informationen ska utformas eller hur
informationen ska delges användaren finns inte.
De illasinnade program vars själva syfte är att utföra saker i det fördolda torde inte
utgöra något problem eftersom dessa program eller tekniker aldrig skyltar med
eller informerar om vad deras egentliga syfte är. Vad som däremot är mer
komplicerat är de program som till viss del lagrar eller hämtar information från
användarens terminal. Detta kan vara allt från förhållandevis ofarliga funktioner
som att programmet kontrollerar om någon nyare version existerar för
nedladdning till de mer förfinade marknadsföringsprogram som finns för att logga
och analysera potentiella kunders Internetvanor. Merparten av dessa program
redovisar säkerligen de sätt de hämtar eller lagrar information på, problemet är
bara att informationen ibland kan återfinnas i en avtalstext tillsammans med
hundratals andra friskrivningar eller information.
Det är en viss skillnad jämfört med det system med samtycke som återfinns i
personuppgiftslagen (PUL) och annan lagstiftning. Ett samtycke måste enligt PUL
alltid vara informerat och entydigt. Det räcker i sådant fall inte med att bara lämna
information gömd bland en massa annan information och sedan anse att
användaren genom att han använder produkten anses ha samtyckt till
behandlingen. Det är den personuppgiftsansvarige som också är ansvarig att
kunna visa att varje enskild användare aktivt samtyckt. När det är fråga om ett
informationskrav som det som återfinns i bestämmelsen om cookies m.m. kan
kravet på att informationen verkligen kommit användaren tillhanda knappast
sättas lika högt som vid samtycke enligt PUL. Förvisso ställer bestämmelsen ett
krav på att den ansvarige ska informera, i motsats till att endast tillhandahålla
information, och det finns naturligtvis en gräns någonstans för hur svårtillgänglig
informationen får vara för att den ansvarige kan anses ha informerat användaren.
Det kan dock inte sägas vara särskilt klart vart denna gräns går och risken är
överhängande att informationen om de eventuella integritetskränkande handlingar
som programmet vidtar bara blir ytterligare en punkt i det 15-sidiga
informationsbrev/avtal som ploppar upp i förbigående då programmet installeras
på terminalen.
Å andra sidan skulle ett system med samtycke eller ett alltför hårt tolkat
informationskrav göra det till en betydligt större administrativ börda för de
företag som producerar och nyttjar sig av dessa program/tekniker. Syftet med
bestämmelsen är inte att förbjuda dessa tekniker, som naturligtvis också kan
Post- och telestyrelsen
34
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN
användas för att underlätta för användaren17, utan endast att göra användarna
medvetna om det integritetshot som potentiellt föreligger.
7.7.2
Tillsyn över bestämmelsen om cookies m.m., internationella aspekter
Ett praktiskt problem med bestämmelsen är att den per definition berör
företeelser som sker över kommunikationsnät. I flertalet fall av de företeelser som
beskrivs i denna rapport sker själva lagringen eller hämtningen av information
över Internet och den ansvarige befinner sig i de flesta fall i något hela annat land.
Detta gör det naturligtvis mycket svårt att på något effektivt sätt bedriva en tillsyn
över att bestämmelsen efterlevs. EkomL gäller inom Sverige, sådan hantering som
sker av information på en svensk användares terminalutrustning torde omfattas av
bestämmelsen oavsett om den ansvarige inte befinner sig i Sverige. Att lagen i och
för sig är tillämplig och att den är praktiskt tillämplig är dock två helt skilda saker,
det är synnerligen svårt för en nationell tillsynsmyndighet att med framgång rikta
några krav mot utländska aktörer om de utländska aktörerna inte har någon vilja
att efterfölja lagstiftningen (vilket de troligen skulle ha om de bedrev seriös
verksamhet som riktade sig mot Sverige, men knappast har om de bedriver en
ljusskygg verksamhet och inte har något intresse av att vara en aktiv marknadspart
på den svenska marknaden).
Det ska också återigen påpekas att det inte är utvecklingen av program som
används som spionprogram som omfattas av bestämmelsen utan själva
hanteringen av information. I vissa fall följer denna hantering redan av att
programmet används (t.ex. när spionprogram utan användarens vetskap installeras
på dennes terminal) i vissa andra fall inträffar hanteringen först när information
lämnar användarens terminal (t.ex. när säkerhetshål i föreliggande mjukvara
används för att hämta information eller mjukvara som installerats med
användarens godkännande men mjukvaran hämtar information från terminalen på
ett sätt som inte informerats om). Det kan tänkas att det i många fall är svårt att
lokalisera vem det faktiskt är som utnyttjar programvaran, även om man känner
till vem som tillverkat densamma.
Däremot torde bestämmelsen kunna vara användbar när hämtningen eller
lagringen sker i stor skala av en seriös eller i vart fall inte helt oseriös aktör. Ett
exempel på en seriös användning kan vara vid marknadsföringsverksamhet som
nyttjar olika programvaror för att kartlägga individers surfvanor för att sedan
kunna nyttja denna information i marknadsföringssyften.
Exempelvis sådana funktioner som håller reda på vilka typer av sökningar eller produkter en
användare varit intresserad av tidigare och baserat på detta kan rekommendera liknande produkter
eller tjänster.
17
Post- och telestyrelsen
35
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Bilaga 1 - Fallstudier
PTS har låtit undersöka hur ett antal integritetskränkande programvaror påverkar
användares datorer. Ett urval av dessa programvaror presenteras i denna bilaga.
Sammanfattning
Fallstudierna tyder på att illasinnade program installeras i faser. Med det menas att
det första program som installeras även möjliggör att andra program automatiskt
installeras, dessa andra program kan i sin tur möjliggöra att ytterligare program
installerat automatiskt o.s.v. Programmen som installeras tenderar till ha mer
suspekta syften och beteenden ju senare de ligger i kedjan. I en första fas
installeras ofta aktivt ett program av användaren vilket, i många fall ovetande för
användaren, fungerar som en bärare för ytterligare program.
En bidragande orsak till att programmen tenderar att vara mer suspekta i senare
faser kan vara att graden av kontroll över den totala installationen minskar med
antalet installationsfaser, vilket gör det möjligt att verkligt farliga program
inkluderas i sekundär eller ännu senare fas.
De faktiska beteendena hos de testade programmen har i de allra flesta fall varit
betydligt beskedligare än vad som är tekniskt möjligt. Gissningsvis beror detta på
att det bakomliggande syftet i de flesta fall är reklam och marknadsföring snarare
än stöld eller vandalism.
Ett fenomen som har observerats i många av fallstudierna är att dataströmmar i
kommunikationen mellan de illasinnade programmen och deras servrar ofta är
svåra att tyda. Mycket tyder på att den senaste tidens allt mer riktade
uppmärksamhet mot företagen bakom dessa program har gjort dem allt mer
försiktiga, och krypteringen av data ett led i denna utveckling.
Post- och telestyrelsen
37
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Avgränsningar och testmiljö
Undersökningen har syftat till att visa hur enskilda användare - personer som
använder en dator hemma eller på jobbet drabbas. Därför har en förhållandevis
typisk datorkonfiguration skapats. Systemet som testerna genomfördes i var
utrustat med operativsystemet Microsoft XP Professional med Service Pack 2
samt alla övriga av Microsoft rekommenderade säkerhetsuppdateringar. I Studien
av IFrame användes dock ej Service Pack 2 då IFrame-svagheten endast påverkar
Windows XP utan denna.
Antivirusprogrammet Norton Antivirus 2004 användes i samtliga tester.
Antivirusprogram är speciellt utvecklade för att identifiera och avlägsna virus,
maskar och trojaner. Brandväggen Kerio Personal Firewall användes i samtliga
tester. Kerio ger tydlig notifikation och information varje gång en process
försöker starta en annan process eller kommunicera via nätverk. Cookies avsedda
för spårning av internetaktivitet har detekterats med verktygen Ad-Aware och
SpyBot. Övervakning av processer har genomförts genom
operativsystemkommandot tasklist.exe. Detta kommando genererar en lista över
alla processer som vid tillfället kör på datorn. Dessa listor har sparats för varje
fallstudie och sedan jämförts mot en lista vilken representerar de processer som
kör i den rena grundkonfigurationen. Verktygen Ad-Aware och SpyBot har också
använts i syftet att identifiera och analysera processer, dessa är speciellt utvecklade
för att känna igen ett stort antal processer hos kända illasinnade program. All
nättrafik från testsystemet har övervakats och loggats. Därmed har det varit
möjligt att kontrollera exakt vilken information som kommuniceras under
installation och användning av de testade programmen. Analysen av nättrafiken
har utförts med verktyget Ethereal.
Bland urvalskriterierna för vilka företeelser som skulle studeras kan främst
nämnas att de skulle vara bland de mest spridda illasinnade programmen idag och
tillsammans visa på bredden av fenomenet.
Post- och telestyrelsen
38
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Fallstudie 1 – Grokster
Grokster är ett fildelningsprogram som vid installationen av programmet låter
användaren välja om man vill betala för programmet och därmed slippa reklam
och annonsprogram, eller om man vill använda gratisversionen. Detta test avser
gratisversionen.
I testet laddades Grokster 2.6 ner från www.download.com. Filen
grokstersetup.exe sparades och exekverades. Det första installationsfönstret talade
om för användaren att det finns en version att köpa som inte innehåller reklam
eller annonsprogram, se Figur 1.
Figur 1 – Installationsfönster nummer 1 från Grokster
Därefter visades ytterligare ett fönster som erbjöd användaren att få en version
utan annonser eller annonsprogram gratis genom att köpa något via ett av flera
erbjudanden som fanns presenterade på en webbsida. Här valdes återigen att
installera gratisversionen, dvs. att ignorera dessa erbjudanden.
Nästa fönster visar ett licensavtal för GAIN Publishing, se Figur 2.
Post- och telestyrelsen
39
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Figur 2 – Information om GAIN vid installation av Grokster
Avtalet från GAIN var på 6652 ord, vilket torde motsvara ungefär 10 A4-sidor
text. Avtalet måste accepteras för att installationen skulle kunna fortskrida, och
detta gjordes.
Därefter måste användaren acceptera licensavtal för Grokster, se Figur 3. Detta
avtal var markerat Grokster 2.6.2.0 License Agreement.
Figur 3 – Licensavtal för Grokster
Post- och telestyrelsen
40
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Här kan påpekas att detta fönster var implementerat på ett sådant sätt att texten
inte kunde kopieras. Om en användare vill ta del av hela licensavtalet separat
måste utskriftsalternativet väljas. Dock var Print-knappen förmodligen inte
korrekt implementerad eftersom det inte gick att skriva ut licensavtalet, ingenting
hände när denna knapp valdes. Det gick inte heller att göra fönstret större för att
t.ex. ta skärmdumpar av större textsegment. På hemsidan fanns en version av
licensavtalet att ta del av, denna version skilde sig dock från den i
installationsfönstret. Avtalet är mycket långt, en uppskattning är att det omfattar
ca 10 000 ord. Några särskilt intressanta utdrag från detta avtal presenteras nedan.
Till att börja med deklareras att användaren godkänner att tre stycken explicit
uttryckta program installeras samt även andra program från tredje part om dessa
inkluderas i licensavtalet.
Legal Notice and Terms of Service for Grokster
By Clicking “I Agree” below and installing Grokster, you are agreeing to also install the
following applications a) Cydoor b) MySearch c) Qtech and d) other third party software
subject to the terms and conditions contained in the End User License Agreements
appended below.
Återigen deklarerar avtalet att användaren godkänner att ladda ner mjukvara från
tredje part om denna finns inkluderad licensavtalet.
12. Third Party Software
During the process of installing Grokster, i) you are agreeing to install third party software
as per the various End User License Agreements contained herein and ii) you may also be
offered the possibility to download or install software from third party software vendors
pursuant to license agreements or other arrangements between such vendors and yourself
(“Third Party Software”). Grokster may provide the information that it receives from you to
vendors whose THIRD PARTY SOFTWARE you have accepted. Use of this information would
be restricted to that which is described in the applicable THIRD PARTY SOFTWARE End User
License Agreement. In the event that you do not want this THIRD PARTY SOFTWARE, please
do not accept this Agreement. Please note that the THIRD PARTY SOFTWARE is subject to
different license agreements or other arrangements, which you should read carefully,
compared to the Terms of Service of Grokster. By downloading and using this THIRD PARTY
SOFTWARE you accept these THIRD PARTY SOFTWARE license agreements or other
arrangements and acknowledge that you have read them and understand them. Grokster
does not sell, resell, or license any of this THIRD PARTY SOFTWARE, and Grokster disclaims
to the maximum extent permitted by applicable law, any responsibility for or liability
related to the THIRD PARTY SOFTWARE. Any questions, complaints or claims related to the
THIRD PARTY SOFTWARE should be directed to the appropriate vendor.
----
I avtalet följer sedan separata avtal för Altnet, QTech, My Search Bar,
BroadcastPC, Delfin, Cydoor (The Coupons Bar Software) ochTotal Velocity (TV
Media).
Post- och telestyrelsen
41
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Avtalet från Grokster måste accepteras för att installationen ska kunna fortskrida,
och detta gjordes.
En mängd program installerades i samband med installationen av Grokster. Några
av dessa program utgör egna testinstanser vilka kommer att beskrivas vidare i
denna fallstudie. De installerade programmen var:
• Gator/GAIN/Claria
•
VX2 Transponder
•
MyWay Speedbar och 411 Ferret/Active Search
•
FlashenhancerBHO / FlashTrack
•
BroadcastPC och DelFin
•
Brilliant Digital
•
TopMoxie / Web_CPR
•
TVMedia Display, se kap
•
Webrebates / Toprebates
•
Altnet/BDE
Konstellationen av illasinnade programmen som installerades på datorn under
dessa tester hade en stor påverkar på systemet. De nya programmen gjorde
anspråk på interminne och processorkraft vilket medförde att systemet upplevdes
som långsamt. Flera webbläsarstöd (eng. Browser Helper Object, BHO), d.v.s.
program som tillför funktionalitet till en webbläsare, gjorde också att Internet
Explorer upplevdes som mycket långsam, ibland hängde sig webbläsaren helt och
kunde bara stängas ner genom att döda processen i aktivitetshanteraren. Vidare
hängde sig operativsystemet ett par gånger, speciellt då antispionprogrammet AdAware kördes, se nedan.
När programmet Ad-Aware startades för att identifiera vilka illasinnade program
som installerats under testerna observerades att processen webcpr1 startade
processen webcpr0. Dessa tillhör programmet TopMoxie18. Vid körning av AdAware stoppade operativsystemet (Windows XP, SP2) processen Windows
Explorer från att fortsätta köra, se Figur 4.
18
http://www.spynet.com/spyware/spyware-TopMoxie.aspx, 2004-12-09
Post- och telestyrelsen
42
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Figur 4 – Exempel på meddelande om dataexekveringsskydd i Windows XP SP2
Detta utfördes av den inbyggda mekanismen för dataexekveringsskydd, vilken är
en säkerhetsfunktion inbyggd i Windows XP SP2. Dataexekveringsskydd är en
processorfunktion som förhindrar körning av kod i minnesområden som är
markerade som datalagringsområden. Funktionen kallas också körningsskydd. Vid
ett försök att köra kod från en markerad datasida inträffar omedelbart ett
undantag som förhindrar körning av koden. På så vis hindras angripare från att
överskrida en databuffert med kod och sedan köra koden. Operativsystemet
hindrade alltså illasinnad kod från att exekvera i samband med att Ad-Aware
kördes. Värt att notera här är att programmet körde felfritt innan installationen av
Grokster.
Efter att ha stängt ner detta meddelande hängde sig operativsystemet, och datorn
startades om. Det gick dock att slutföra körningen av Ad-Aware genom att inte
stänga ner detta fönster.
Vidare kunde inte programmet SpyBot, som har liknande funktionalitet som AdAware, genomföra en hel sökning då det drabbas av ett fel, ursprunget till detta fel
var svårt att identifiera utifrån den information programmet gav.
Händelserna tyder på att ett eller flera av programmen som installerades av
Grokster aktivt försökte hindra antispionprogrammen Ad-Aware och Spybot från
att söka efter illasinnade program.
Claria/Gator/GAIN
Gator Advertising Information Network (GAIN) är ett nätverk av företag som
ger ut reklam genom Gators annonsprogram. För ett år sedan bytte Gator namn
till Claria. GAIN uppger att deras annonsprogram är permission-based19 vilket
betyder att i samband med nerladdning av gratis program har användaren har gett
tillstånd till att ta emot periodisk reklam. Namnet Gator används ofta som ett
samlingsnamn för ett antal program som kommer från företaget, det intressanta
ur denna rapports perspektiv är annonsprogrammet. Gator erbjuder ett antal
nyttoprogram på sin hemsida, exempel är Precision Time och Weatherscope.
Annonsprogrammet Gator installeras tillsammans med dessa nyttoprogram, men
än vanligare är att programmet installeras genom ActiveX-komponenter på
19
http://www.claria.com/advertise/audience/, 2005-03-17
Post- och telestyrelsen
43
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
webbsidor eller genom snålskjuts på fildelningsprogram som Grokster, vilket
också var fallet i de utförda testerna. Annonsprogrammet samlar och in och
skickar iväg information om användaren beteende på Internet. Denna information
sammanställs till en profil som sedan utnyttjas för att visa riktade annonser.
Under testerna installerades Gator på två sätt; tillsammans med programmet
Precision Time Tool som laddades ner på webbsidan www.gainpublishing.com,
och med fildelningsprogrammet Grokster. I det första fallet installerades
huvudkomponenten genom en ActiveX-komponent. Vid denna installation fanns
möjlighet att ta del av ett licensavtal, nedan visas ett utdrag ur detta avtal, GAIN
deklarerar vilken typ av information som samlas in om användare.
Here's what we do know...
While we don't know the identity of Subscribers, the GAIN AdServer and GP collect the
following kinds of anonymous information:
- Some of the Web pages viewed
- The amount of time spent at some Web sites
- Some click history, including responses to some online ads
- Standard web log information and system settings (except that IP addresses are not
stored)
- What software is on the personal computer (but no information from those programs)
- First name, country, city, and five digit ZIP code/postal code
- Non-personally identifiable information on Web pages and forms
- Software usage characteristics and preferences
- For Gator(r) eWallet users, your master password, if you choose to create one
Värt att notera är att GAIN förbjuder användaren att lyssna på nätverkstrafik som
innehåller kommunikation mellan mjukvara från företaget och företagets servrar.
You acknowledge and agree that any and all communications between GP and the Licensed
Materials and the content stored on GP's computer servers and in its software includes
confidential information of GP and you may not access, publish, transmit, display, create
derivative works of, store, or otherwise exploit any such confidential information except as
such functions are performed by the Licensed Materials in the ordinary course of operation.
Any use of a packet sniffer or other device to intercept or access communications between
GP and the Licensed Materials is strictly prohibited.
Gator visar kontinuerligt reklam i form av pop-up-annonser när användaren
surfar på Internet. Dessa annonser är baserade på användarens beteende såsom
vilka webbsidor som har besökt, vilka sökord som har angetts i sökmotorer, etc.
Under testerna visades annonser ca 5 gånger på en period av 30 minuter. Figur 5
visar ett exempel på hur dessa pop-up-annonser ser ut.
Post- och telestyrelsen
44
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Figur 5 – Exempel på pop-up reklam från GAIN
Gator övervakar ord som fylls i av användaren i formulär på webbsidor. Om en
användare gör en sökning i en sökmotor, t.ex. Altavista, öppnar programmet en
ny resultatsida med träffar. I Figur 6 nedan visas ett exempel på en sida från
Search Scout, denna sida öppnades i samband med att en sökning på ”designer
clothes” gjordes i sökmotorn Altavista.
Post- och telestyrelsen
45
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Figur 6 – Exempel på Gator Search Scout
Gator kommunicerar kontinuerligt med sina servrar. Tidigare versioner av
programmet var implementerade på ett sådant sätt att informationen som
skickades mellan klienten och dess server enkelt kunde tydas. Utdraget nedan
visar hur ett HTTP POST anrop kunde se ut20.
POST /bannerserver/bannerserver.dll?GetBannerList
MachineID=RTJCNzI4QjktRkU4MS00RjIzLUE2REQtNzZEM0M2MThG
OTA4&MachineInt=103900267&Banner-Version=3%2e0&Product
Version=4%2e1%2e2%2e6&OEMID=0&Locale=0409&ZipCode=2&Us
erID=OTNBMEFDNDMxOUE5NDJDM0E0REFBQTA3M0JFQUY1RDk%3d%3d
%3d&UserInt=146699728&LocalTime=04%2f19%2f2003+01%3a26
%3a18+%2d0500&GMTTime=04%2f19%2f2003+05%3a26%3a18+%2b0
000&BnrTypes=7df&AIC-0=gator%5faic&Site=yale%2eedu&Def
Browser=1&InstDate=04%2f18%2f2003+09%3a00%3a18+%2d0500
&GTRGF=0%2c0&PA=0&
Utdraget nedan visar en TCP-ström fångad med Ethereal. Här kan ses hur Gator
skickar information i Field1 (fetstil) till servern gi.gator.com/emachine.asp, dock
är informationen svår att direkt tyda.
POST /emachine.asp HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
X-UA: WinInet 6.0.2900.2518, 1.1, 1.0
User-Agent: Gator/5.0 RequestMachineInt
Host: gi.gator.com
Content-Length: 86
Connection: Keep-Alive
Cache-Control: no-cache
Field1=Q0RvJ3TaJAAAAP2lUv2cqGa80C4P6eL5fq56oaiTL4%2bzVYSNv1vcrx8vu7D0VkesBn8
%3d%3d%3d&
HTTP/1.1 100 Continue
Server: Microsoft-IIS/5.0
Date: Tue, 30 Nov 2004 15:10:39 GMT
VX2 Transponder
VX2 Transponder är ett webbläsarstöd och annonsprogram. Programmet
övervakar och loggar användarbeteende såsom besökta webbsidor och
information angiven i sökformulär på webbsidor. Denna information skickas
sedan till en server, förmodligen i syfte att visa pop-up-annonser när användaren
20
http://www.benedelman.org/spyware/ftc-031904.pdf, 2004-12-08
Post- och telestyrelsen
46
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
surfar. Programmets algoritm för annonsval är uppbyggd så att annonser väljs
beroende på vilken webbsida användaren för tillfället besöker21. Algoritmen
anpassar intensiteten av visade annonser beroende på användarens aktivitet, om
inga nya webbsidor besöks visas inte heller några nya annonser.
I Figur 7 nedan visas ett exempel på en pop-up-annons som erbjuder användaren
gratis smileys.
Figur 7 – Pop-up annons från VX2 Transponder
Första gången programmet exekveras letar det efter filen oeminfo.ini på
användarens dator. Om denna fil finns innehåller den information om datorn
såsom vem den köptes från, serienummer, processor och konfiguration, och
kanske även användarens namn. Det är denna information som ses om man i
Windows XP väljer Start Æ Inställningar Æ Kontrollpanelen Æ System, första
fliken.
Programmet samlar information om besökta webbsidor och information angiven i
formulär, denna kommuniceras sedan till tredje part. Långlivade tredje-partscookies lagras också på datorn i syftet att identifiera användaren över flera
sessioner.
VX2 Transponder söker även igenom användaren dator efter filer använda av epostprogrammet Microsoft Outlook, detta för att hitta ett fullt namn och epostadress. Denna typ av beteende observerade dock inte under testerna, här kan
anledningen vara att testsystemet inte hade detta e-postprogram installerat.
Programmet har också en uppdateringsfunktion vilken det kan utnyttja för att
uppdatera sig självt eller ladda ner nya illasinnade program från tredje part.
Programmet kontaktar då en server som kan peka på ny programvara från tredje
part som ska hämtas och installeras.
BroadcastPC och DelFin Media Viewer
BroadcastPC är ett annonsprogram som visar multimediareklam på användarens
dator. Programmet övervakar användarens beteende på Internet och levererar
annonser utifrån detta. Reklamen består av stora videoklipp som laddas ner till
användarens dator i bakgrunden.
21
http://www.spynet.com/spyware/spyware-VX2.Transponder.aspx, 2004-12-08
Post- och telestyrelsen
47
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
BroadcastPC använder sig av DelFin Media Viewer, även kallad PromulGate,
vilket är en mediaspelare och annonsprogram. Enligt skaparnas hemsida ger
produkten marknadsförare möjlighet att skicka riktade annonser till miljoner
användare dagligen genom Internet.
DelFin Media Viewer använder unika identifikationsnummer för varje
användare22. Programmet registrerar information om användaren och
kommunicerar denna tillsammans med det unika id-numret och postnummer till
sina marknadsföringskunder.
I det testade fallet laddades ett stort videoklipp ner av BroadcastPC. Efter ett tag
startades automatiskt Windows Media Player och visade i fullskärmsläge en trailer
för Buffy the Vampire Slayer. Efter att videoklippet hade spelats klart startade
DelFin Media Viewer, se Figur 8. Denna innehöll reklam, och länkade till en
webbsida där inköp kunde göras.
Figur 8 – DelFin Media Viewer med reklam för Buffy the Vampire Slayer
22
http://www.spynet.com/spyware/spyware-DelFin-Media-Viewer.aspx, 2004-12-08
Post- och telestyrelsen
48
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Fallstudie 2 – Kazaa och PerfectNav
Huvudprogrammet i denna fallstudie är programmet Kazaa. Detta program
installerade också ett antal illasinnade program, och av dessa utgör programmet
PerfectNav en testinstans i denna fallstudie.
Kazaa är sannolikt ett av världens mest spridda fildelningsprogram. Precis som
fildelningsprogrammet Grokster, se Fallstudie 1 – Grokster, är Kazaa ett
annonsprogram och även känt för att inkludera illasinnade program. Även här har
konstellationen ändrats över tiden, med det rör sig oftast om annonsprogram och
webbläsarstöd23. Användaren accepterar ofta att dessa program installeras på sin
dator genom att acceptera långa och komplicerade licensavtal där detta är
deklarerat. I testfallet installerades ett antal program tillsammans med Kazaa,
dessa presenteras nedan. Ett av dessa program, Perfect Nav, utgör en egen
testinstans vilken beskrivas nedan.
I testfallet installerades Kazaa genom nerladdningen och exekvering av en
installationsfil vilken hämtades på webbsidan www.kazaa.com.
Installationsprocessen av Kazaa var lik den för Grokster. Kazaa var dock något
tydligare med det faktum att flera program från tredje part installeras samtidigt då
det tidigt i installationen presenteras ett antal program som följer med produkten;
BullGard Virus Protection, Altnet Topsearch, PerfectNav, Cydoor, GAIN, Altnet
Peer Points Components, My Search Toolbar, och Joltid P2P Networking.
Därefter måste användaren godkänna ett antal licensavtal för att installationen
måste fortsätta. I dessa avtal fanns information om programmen från tredje part.
PerfectNav
PerfectNav är skapad av företaget eUniverse och är ett webbläsarstöd som
manipulerar sidan för sökfel i webbläsaren. Programmet styr om felslagna adresser
till sin egen startsida.
Detta beteende återfinns även hos programmet NaviSearch som bl.a. installeras
tillsammans med annonsprogrammet BargainBuddy.
I Figur 9 nedan ses ett exempel på hur PerfectNav påverkar webbläsaren då den
felaktiga adressen www.aftonnbladet.se slagits in för Aftonbladets hemsida.
23
http://www.cs.washington.edu/homes/gribble/papers/spyware.pdf, 2005-03-17
Post- och telestyrelsen
49
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Figur 9 – Startsida för PerfectNav vilken visas vid felslagna adresser
Post- och telestyrelsen
50
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Fallstudie 3 – IFrame
IFrame är inte ett spionprogram utan en funktion i sidbeskrivningsspråket
HTML. Under oktober månad 2004 upptäcktes en svaghet i webbläsaren Internet
Explorer 6.0. Alla versioner av operativsystemet Windows förutom Windows XP
med Service Pack 2 löper risk att drabbas genom att denna svaghet utnyttjas.
Genom buffertöversvämning kan godtycklig kod exekveras med samma
privilegier på datorn som Internet Explorer.
Svagheten beror på hur Internet Explorer hanterar SRC och NAME attribut
tillhörande HTML-element såsom <FRAME> och <IFRAME>. Många kända
säkerhetsföretag har funnit kod cirkulera på Internet vilken använder sig av
JavaScript för att allokera ett minnesutrymme (buffert) där angriparen bl.a.
placerar maskinkod. Genom att föra in mycket långa SRC och NAME attribut i
ett IFRAME element på en HTML-sida kan Internet Explorer styras om till att
peka på det nya minnesutrymmet, och på så sätt styras om till att exekvera den nya
koden. Det finns även andra tekniker som kan användas för att allokera det
minnesutrymme som den farliga koden placeras i.
Genom att klicka på annonser på välbesökta webbsidor har användare under den
senaste tiden styrts till webbsidor som utnyttjar svagheten och installerar
godtycklig kod på användarens dator.
De vanligaste sätten att drabbas ur ett användarperspektiv är att användaren
klickar på en annons på en webbsida (stora välkända och välbesökta webbsajter
har varit drabbade24) eller att användaren klickar på en länk i ett e-post
meddelande han/hon fått från en person de känner (eftersom maskarna ofta
skickar e-post till alla poster i adressboken på den infekterade datorn).
Eftersom Windows XP med Service Pack 2 är skyddat från denna svaghet
användes Windows XP med Service Pack 1 i detta testfall.
I testfallet testades en kod som är skriven för att utnyttja svaghet. Denna återfinns
på sidan http://singe/rucus.net/exploit/11337. På samma sida återfinns även den
faktiska koden, se det andra utdraget nedan. Denna kod, vilken är kommenterad
av skaparen, öppnar ett kommandofönster (cmd shell) på port 28876 när en länk
klickas. Genom att öppna kommandofönstret kan en förövare få total kontroll
över datorn.
I ett första fall testades länken med brandvägg och antivirusprogram avstängda,
och efter detta med båda påslagna. I det senare fallet upptäckte Norton Antivirus
real-time protection att svagheten i IFRAME utnyttjades och varnade användaren.
Norton kallar hotet för ett virus med namnet Bloodhound.Exploit.18.
Genom att utnyttja denna svaghet kan förövaren installera godtycklig kod på
användarens dator, och således finns det godtyckligt många beteenden som
användaren kan råka ut för. De som under den senaste månaden har varit
24
http://news.netcraft.com/archives/2004/11/21/iframe_exploit_spreading_through_banner_ads.
html, 2004-12-13
Post- och telestyrelsen
51
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
vanligast inkluderar installation av maskar som sprider sig själva via massutskick
av e-post, installation av program för fjärrstyrning och övervakning, samt
installation av annonsvisningsprogram.
Post- och telestyrelsen
52
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Fallstudie 4 – TrueActive
TrueActive är ett program för övervakning. Programmet är en vidareutveckling av
programmet WinWhatWhere och kan sägas representera den nya generationens
övervakningsverktyg. Till skillnad från de enklare varianterna, t.ex. Keylogger Pro
som endast registrerar tangenttryckningar kan TrueActive även övervaka saker
som t.ex. Internettrafik i form av besökta webbadresser; filhantering i termer av
flyttning, modifikation, omdöpning, borttagning; information angiven i formulär
på webbsidor; hela konversationer i många kända program för e-post och chat;
vad som visas på skärmen och spelas in med webbkamera; lösenord av olika typer
och innehåll i operativsystemets urklippshanterare25.
I testfallet laddades en provversion ner från företagets hemsida. Denna
aktiverades genom en licensnyckel som skickades från företaget efter information
angivits om nerladdaren.
Loggarna av övervakningen kan skickas via e-post. Programmet kan ställas in så
att det helt agerar i bakgrunden; ikonen i verktygsfältet kan tas bort och
rapportringen via e-post kan ske via s.k. stealth e-mail vilket betyder att
programmet använder sin egen e-postserver.
Figur 10 och Figur 11 nedan visar exempel på hur en rapport kan se ut. I detta fall
var övervakningen i gång när webbläsaren användes för att söka efter ”alfa romeo
147” på www.google.com och sedan gå in på den översta träffen. Rapporten visar
i vänsterkanten fångade skärmdumpar av de webbsidor som besökt, under
kolumnen Formatted kan ses vad som har skrivits in med hjälp av tangentbordet.
Figur 10 – Rapport av övervakning i TrueActive
25
http://www.trueactive.com/features/features.asp, 2004-12-13
Post- och telestyrelsen
53
SPIONPROGRAM OCH ANDRA NÄRLIGGANDE FENOMEN - BILAGA 1
Figur 11 – Rapport av övervakning i TrueActive
Post- och telestyrelsen
54
