Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 27. januar 2006.
Sikkerhedsfolk og advokater skelner mellem venligtsindet spyware til markedsføringsbrug og ondsindet spyware til kriminelle handlinger.
Hvor computervirus betragtes som et ubetinget onde, er holdningen til spyware mere nuanceret. Også i lovgivningsmæssig forstand.
Spyware, som anvendes til markedsføring, såkaldt adware, bør ikke sammenlignes med spyware, der anvendes til at opsnappe kreditkortoplysninger, mener danske sikkerhedsfolk og advokater.
- Man bør skelne mellem adware og spyware. Adware er i princippet ikke skadeligt for pc'en. Spyware er mere skadeligt, siger Jesper Thisted, sikkerhedskonsulent hos FortConsult.
Han suppleres af Hasse Olsson, sikkerhedsekspert hos CA:
- Der er forskellige niveauer af spyware. Nogle firmaer laver spyware drevet af kommercielle interesser. Her handler det om at få vist reklamer, der kan føre til salg. Andre forsøger at kortlægge dine forbrugervaner. Den kommercielle del af spyware er den mindst farlige, mens keyloggere, der registrerer alle tastetryk, anvendes af kriminelle til at opsnappe passwords og kreditkortoplysninger.
Hasse Olsson deler spywaren op i fire kategorier:
1. Cookies: Her indsamles oplysninger om internetbrugerens færden på nettet. Der er ikke tale om programkode, men blot passiv opsamling af information. Der er ofte aftaler på tværs af portaler eller med tredjepart om at dele informationen.
2. Pop-ups: Generer brugeren, men er ikke decideret farligt. De helt ufarlige er dem, man ser på websites, men nogle pop-ups er installeret på brugerens maskiner og aktiveres på alle mulige tidspunkter. Er ikke farligt, men reducerer pc'ens hastighed og er meget irriterende.
3. Kapring af browser-sessioner: Her går spywaren ind og bestemmer, hvilke websites man kan komme ind på. Kan også modificere indhold, så eksempelvis søgninger på Google giver et andet resultat, end hvad Google normalt ville finde.
4. Registrering af tastetryk, skærmbilleder, brugernavne og andet: Den alvorligste form for spyware som kan anvendes af kriminelle til opsnapning af kreditkort- og bankoplysninger.
Ifølge Martin von Haller Grønbæk fra advokatfirmaet Bender von Haller Dragsted kan anvendelsen af cookies være omfattet af persondataloven. Hvis de indsamlede oplysninger kan bruges til at identificere personer, kræver det samtykke fra personerne, om hvem oplysninger indsamles. Det kan også være nødvendigt at få tilladelse fra Datatilsynet, hvis der er tale om fortrolige eller personfølsomme opysninger.
Martin von Haller Grønbæk påpeger, at anvendelsen af cookies til at indsamle information om konkurrenter og forbrugere under visse omstændigheder formentlig vil være i strid med Markedsføringsloven.
- Den venligtsindede spyware er i en gråzone rent juridisk, Nogle gange vil anvendelse af spyware være i strid med persondataloven, markedsføringsloven og endda straffeloven. Men man kan ikke sige, at spyware per definition er ulovligt, oplyser Martin von Haller Grønbæk.
Anvendelsen af pop-up reklamer er som udgangspunkt ikke i strid med Markedsføringsloven, men hvis pop-up reklamernes indhold er anstødeligt eller generer brugerens anvendelse af computeren i væsentlig grad, kan det være i strid med loven. På samme vis vil kapring af browser-sessioner, der leder brugeren til bestemte sider, være i strid med Markedsføringsloven. Anvendelsen af spyware som keyloggers er ulovligt ifølge Straffeloven, hvis de anvendes til at aflure passwords til netbank og lignende.
På nettet findes en række firmaer, der fuldt lovligt sælger spyware.
Claria er eksempelvis et firma, der leverer spyware. Ifølge en antispyware-vejledning fra ITEK og Dansk Industri overvåger Claria 38 millioner brugere i verden, heraf over en halv million i Danmark. Firmaet kalder ikke sine produkter spyware, men taler om software til online behavioral marketing - online marketing baseret på internetbrugeres færden på internettet.
Claria registrerer, hvilke websites internetbrugere besøger, hvor lang tid de er der og forsøger at kortlægge brugsmønstre. Altsammen information der kan være værdifuld for annoncører.
Claria støtter også reklamefinansieret software. Ifølge Claria er de med til at hjælpe brugerne til at få gratis software blandt andet ved hjælp af Clarias GAIN-software. Det gør det muligt for udviklere at udvikle gratis programmer og samtidig få penge for det. Alt sammen via reklamer. Clarias software bundles nemlig sammen med det gratis program. Udvikleren får så penge for de reklamer, som vises, når brugeren anvender programmet.
Ifølge Hasse Olsson er de fleste brugere ikke opmærksomme på, at de installerer spyware, når de anvender visse gratis programmer.
- Der står faktisk i licensen, der følger med programmerne, at der installeres nogle kommercielle produkter på maskinen. Men der er ingen, som læser licensbetingelserne, så brugerne ved det oftest ikke, siger Hasse Olsson.
Selv den alvorlige kategori af spyware kan man finde til salg på firmaers websites. Eksempelvis tilbyder Crmsoftware produktet Second Sight. Second Sight tilbyder registrering af brugernavne, tastetryk, snapshots af skærmbilleder og meget andet. Det hele med muligheden for at sende alt det registrerede til en hvilken som helst e-mailadresse. "Lydløs afsendelse af logfiler og skærmbilleder..." som det er formuleret på Crmsoftwares website.
Computerworld har spurgt CrmSoftware, hvilket formål programmet har, og hvilken slags kunder der køber den slags. I en e-mail oplyser Crmsoftware, at man aldrig har solgt et eksemplar af programmet, så ifølge Crmsoftware er Second Sight ikke så populært.
Åbenbart har andre forhandlere haft mere succes med at sælge Second Sight. I hvert fald finder antispyware-programmer en del spyware-programmer kaldet Second Sight på pc'er verden over.
At dele af spyware-industrien befinder sig i en betændt kriminel gråzone illustreres af en ny dom fra USA. I starten af denne måned blev de to antispywarefirmaer Spyware Assasin og Trustsoft idømt bøder på 13 millioner kr. Ved hjælp af spam og pop-up reklamer blev internetbrugere lokket ind på virksomhedernes websites. Her kunne man få en gratis spyware-scanning. Selvom den scannede maskine ikke havde spyware, fortalte scanningen, at brugerens maskine havde spyware. Internetbrugeren blev derfor tilbudt et antispyware-program til omkring 250 kr.
Billedtekst:
cookies Anvendelse af cookies til indsamling af information om konkurrenter og forbrugere kan være ulovligt, fortæller Martin von Haller Grønbæk. Foto: Torben Klint
Boks:
Virus og Spyware
Virus: En computervirus er programkode der spreder en, eventuelt modificeret, kopi af sig selv.
Spyware: Software der overvåger en brugers adfærd eller indsamler information om brugeren.
En virus kan anvendes til at sprede spyware.
Kilde: Anti-spyware Coalition
Boks:
Vi har talt med:
• Hasse Olsson, it-sikkerhedsekspert, CA
• Annette B. Overgaard, sikkerhedskonsulent,
spyinfo og www.spywarefri.dk
• Jesper Thisted, sikkerhedskonsulent, Fort Consult
• Daniel Bahl, Webglobe
• Per Rasmussen, underdirektør,
TDC Totalløsninger
• Martin von Haller Grønbeck, advokat,
Bender von Haller Dragsted
• Lars Lambertsen, indehaver af Danmec
