ITEK og Dansk Industris antispywarevejledning

Transkript

1 ITEK og Dansk Industris antispywarevejledning

2 Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN:

3 Den korte version Spyware er ondsindede programmer, som alene eller i kombination med andre ondsindede programmer bl.a. kan bruges til: at stjæle fortrolige data fra virksomheden med henblik på at anvende dem til kommercielle formål at ændre i virksomhedens data med henblik på at stille den i dårligt lys i forhold til samarbejdspartnere og offentligheden at fratage virksomheden kontrollen med eget IT-system f.eks. ændre administratorpassword, sætte antivirus og firewall ud af drift eller angribe tredjeparter med virksomhedens computere at stjæle identiteter fra virksomhedens medarbejdere og give sig ud for at være dem at overvåge medarbejdernes adfærd på nettet med det formål at oversvømme medarbejderne med f.eks. pornografiske reklamer hvilket kan ske, mens de står overfor en kunde og præsenterer et produkt Spyware er et stort problem for alle danske virksomheder: Mindst danske computere overvåges i et eller andet omfang 90% af verdens computere overvåges i et eller andet omfang Der befinder sig ca. 28 stykker spyware på enhver computer forbundet til internet 1,25% af denne spyware er meget skadeligt, idet det kan føre til identitetstyveri, tyveri af data eller få systemer til at gå ned Spyware koster mere end 100 millioner kroner om året i Danmark alene i tabte lønudgifter. Spyware på en virksomheds netværk stammer typisk fra et hul, der bliver "boret" i virksomhedens sikkerhedssystemer indefra af uvidende medarbejdere der handler i god tro. Når der er boret bare et hul, ligger virksomheden blottet for alle, der via internettet vil skaffe sig adgang. Spyware kan ikke bekæmpes med en firewall. Spyware kan kun i meget begrænset omfang bekæmpes med eksisterende sikkerhedsforanstaltninger som f.eks. antivirusprogrammer. Både firewalls og antivirusprogrammer har yderst nyttige formål, og det kan bestemt anbefales, at virksomhederne har både firewall og antivirusprogrammer installeret. Men disse programmer løser ikke problemet med spyware. Der bør derfor erhverves særlige programmer for at håndtere spyware. Fra ledelsens side bør man håndtere spyware med den samme alvor som virus og hacking. Ledelsen bør tage højde for spyware ved sikre at: medarbejderne er uddannet med henblik på at øge opmærksomheden mod spyware og dermed gennem ændret adfærd at reducere sandsynligheden for, at der installeres et spywareprogram tage højde for spyware ved udformning af IT-sikkerhedspolitikken undersøge relevansen af at installere programmer, som forhindrer spyware i at blive installeret, programmer som løbende scanner harddiske for spyware, og programmer som forhindrer popup vinduer. Programmerne bør installeres, hvis det kan være en fordel i forhold til virksomhedens forretningsunderstøttende IT-sikkerhedsstrategi 3

4 være varsomme med anvendelse af cookies og andre programfunktionaliteter, der kan betragtes som spyware i virksomhedernes egne produkter herunder især virksomhedens hjemmeside at henlede virksomhedens it-sikkerhedsansvarlige på den fulde udgave af ITEK og DI s antispyware vejledning, der er at finde på Indholdsfortegnelse: Den korte version Formål med denne vejledning Hvad er spyware egentlig? Hvor stort er problemet? Hvorfor er spyware et problem? Hvordan kommer spyware ind på computeren? Hvordan kan man undgå spyware? Hvordan slipper man af med spyware? Hvordan ser lovgivningen ud? Opsummering Formål med denne vejledning Spyware og relaterede problemstillinger er et evigt aktuelt problem for danske virksomheder. Spyware anvendes bl.a. til at udspionere danske virksomheders elektroniske kommunikation ved at opfange det input, der gives til forskellige programmer via tastaturet. Spyware kan således anvendes til at aflure brugernavne, passwords, udfærdigelse af fortrolige dokumenter, mailkommunikation og surfvaner på internettet. Spyware kan også i kombination med andre former for ondsindet kode anvendes til at genere brugerne ved at slette dokumenter, ødelægge programmer eller gøre computere nærmest uanvendelige ved at drukne brugere i reklamer kort sagt fratage brugerne kontrollen over deres IT-system. Ofte er brugeren stort set uden skyld i disse problemer. Men det er typisk brugerne, der ubevidst får spyware installeret på computeren. Det er medarbejderen, der gennem sin handling borer et hul i virksomhedens IT-sikkerhed og dermed eksponerer alle virksomhedens fortrolige data via internettet. Det kan være meget vanskeligt at bekæmpe problemet, fordi spywaren er god til at gemme sig på computeren. Vi vil med denne vejledning forsøge at forklare, hvad spyware er, og give gode råd til dels at undgå at få det installeret og dels at give vejledning til, hvordan man kan identificere spyware og efterfølgende fjerne det. Endelig vil vi kortfattet redegøre for det retslige grundlag for spyware. Det skal bemærkes, at det ikke er hensigten med denne vejledning at give et fuldstændigt udtømmende teknisk billede af problemstillingen. For konkret hjælp til at slippe af med spyware vil vi henvise til: Denne absolut anbefalelsesværdige hjemmeside er lavet af frivillige antispyware entusiaster. På hjemmesiden kan man hente informationer om den nyeste teknologiske udvikling herunder hente en række af de programmer, der omtales i denne vejledning. ITEK og Dansk Industri har gennem flere år beskæftiget sig med mange forskellige aspekter af IT-sikkerhed. Vores formål med dette er at sikre, at danske virksomheder kan høste de forretningsmæssige gevinster, der ligger i at integrere IT i deres forretningsprocesser. Under anvendelse af IT kan virksomhederne øge effektiviteten og produktiviteten til fordel for både sig selv og det danske samfund. Betingelsen er 4

5 dog, at dette kan ske på et trygt grundlag, og at virksomhederne dermed har gjort sig relevante IT-sikkerhedsmæssige overvejelser og implementeret brugbare løsninger. Arbejdet med IT-sikkerhed er centreret omkring politisk indflydelse, påvirkning af international udvikling, brobygning mellem dybe IT-sikkerhedskompetencer hos IT-sikkerhedsleverandører og praktisk anvendelse af IT-sikkerhed hos brugervirksomheder, udgivelse af konkrete vejledninger og perspektiverende hæfter samt netværk og arrangementer. Spørgsmål om IT-sikkerhed kan rettes til Henning Mortensen, ITEK, tlf.: Hvad er spyware egentlig? Spyware er et program, som installeres på en computer typisk uden brugerens viden og uden brugerens bevidste tilsagn. Programmet sender så oplysninger fra brugerens computer videre til en tredjepart. Formålet for tredjeparten kan f.eks. være at udspionere brugeren med det formål at få informationer om brugerens surfingvaner med henblik på målrettet markedsføring. Et andet formål kan være at aflure brugerens password eller i kombination med andre former for ondsindet kode at ødelægge brugerens programmer og data eller ganske enkelt at få brugeren til at besøge bestemte hjemmesider typisk sider med porno. Programmet tager som regel kontrol over en del af brugerens computer. Det kan betyde at startsiden i browseren ændres at der popper reklamer op i tide og utide at internetforbindelsens hastighed reduceres, fordi dele af båndbredden går til at sende informationer ud fra computeren til en tredjepart at der bliver mindre diskplads, fordi dele af disken bruges til spywareprogrammer at computerens processorhastighed sløves, fordi der bruges ressourcer på at spionere og samle informationer ind om brugeren og brugerens system. Alt i alt får brugeren derfor ofte en langsommere computer og dermed en dårligere oplevelse af at bruge sin computer. Spyware dækker mange forskellige typer programmer, som kan have hver deres ondsindede formål. Vi vil i denne vejledning anlægge en meget bred fortolkning af, hvad vi forstår ved spyware: Spyware er i bredeste forstand programmer, der udspionerer brugeren på forskellig vis og sender informationer videre til en tredjepart. Adware er programmer, der giver forskellige pop-up vinduer med reklamer, som regel målrettet på baggrund af brugerens adfærd på nettet. Brugerens adfærd på nettet er så identificeret på baggrund af anvendelse af spyware. Konfigurationsændringer, som er ændringer i den måde programmerne virker på, af brugerens system kan forekomme i mange sammenhænge. En af de mere ondsindede muligheder er at ændre den internetudbyder, som brugeren ringer op til for at få adgang til internettet. Dette sker ved installation af de såkaldte webdialere. En mindre skadelig men stadig umådelig generende ændring er udskiftning af browserens startside eller ændring af browserens søgeside, hvilket sker gennem såkaldte browser hijackere. 5

6 Plugins til browsere, også kaldet "browser helper objekter", giver ofte browseren en ekstra funktionalitet, som kan være meget nyttig for brugeren. Imidlertid bruges disse også ofte til at afgive informationer om brugerens adfærd til tredjepart. Bevidst beskadigelse af brugerens computer under anvendelse af malware således, at data slettes eller nye sikkerhedshuller oprettes. Keyloggere fungerer således, at alt input til computeren via tastaturet opsamles i en fil, som så sendes ud til en tredjepart. Spyware bruges som keyloggere eller andre former for loggere således, at brugerens fortrolighed bliver brudt. På den måde kan tredjeparten få adgang til brugernavn, password og andre fortrolige data. Cookies er et lille stykke kode, som placeres på brugeres computer, og som kan give brugeren en række fordele. F.eks. kan cookies anvendes til at identificere brugerens interesseområder og dermed gøre det lettere for brugeren at finde netop den information, han har brug for. Imidlertid er dette også en slags udspionering af brugeren. Især i de tilfælde hvor mange forskellige hjemmesider bruger den samme cookie og så udveksler informationer. Denne type cookies kaldes tracking cookies eller globale identifikatorer. Programmer som kan resultere i tyveri af processorkraft, der kan bruges til uautoriserede aktiviteter som f.eks. DDoS angreb eller server for ulovligt indhold. Trojanske heste, også kendt som remote access trojans, RATS, er programmer, som kan åbne en bagdør i styresystemet og derved give mulighed for at tredjeparter får adgang til computeren. Det betyder, at de kan registrere, hvad der foretages på computeren, og har adgang til data, programmer, processorkraft m.v. Den mest kendte trojaner er Back Orifice fra Men også trojanere som Netbus, Netspy og SubSeven har nået en vis udbredelse. Generelle hjælpeværktøjer, som kan give en given funktionalitet, brugeren vurderer er nyttig, men som samtidig fungerer som spyware. Ovenstående kan sammenfattes under overskriften ondsindet kode. Det skal dog bemærkes, at der under denne overskrift også falder orme og vira. Disse former for ondsindet kode er ikke genstand for denne vejledning. I stedet henvises der til Rådet for IT-sikkerhed, som har udgivet en glimrende pjece om emnet. I denne forbindelse er det vigtigt at understrege, at virusscannere bekæmper virus men kun kan håndtere spyware i meget begrænset omfang. At tro, at virusprogrammet sikrer mod spyware, giver dermed falsk tryghed og der bør derfor installeres særlige programmer til at håndtere spyware. På længere sigt forventes det dog, at antivirusprogrammer vil inkludere moduler, der også vil kunne bekæmpe spyware. Det kan derfor være en god ide at holde sig orienteret hos sin antivirusleverandør. Spam og spyware er ikke det samme. Både via spyware og spam bliver brugeren ofte udsat for reklamer for forskellige produkter. Samtidig kan spyware bruges til at målrette reklamer, der siden sendes som spam. Men metoderne og teknologierne, der anvendes, er forskellige i de to tilfælde. Derfor er de to ting forskellige. For en beskrivelse af spam og vejledning til, hvordan dette problem kan bekæmpes, henvises der til ITEK og DI s antispamvejledning, som kan findes på 6

7 Spyware og spywarelignende funktionaliteter kan også bruges til noget fornuftigt. Fremvisning af reklamer med det formål at reducere brugernes omkostninger - f.eks. ved at vise eller afspille reklamer i forbindelse med gratis indhold eller i forbindelse med finansiering af freeware. Processorkraft som allokeres til velgørende formål - f.eks. SETI-projektet, hvor man kan stille processorkraft til rådighed for identifikation af liv i rummet. I dette tilfælde er der tale om den teknologi som kaldes grid computing. Forbedring af konfiguration - f.eks. fra systemadministrators side. Overvågning af brugeropførsel med henblik på personalisering af services - f.eks. oplysninger indenfor et givent område på en hjemmeside. Automatisk opdatering af programmer via internettet f.eks. automatisk opdatering af antivirus. Hvor stort er problemet? Det er meget vanskeligt at estimere problemets omfang. Dels fordi brugerne typisk ikke tester for, om de har spyware programmer, og dels fordi programmernes farlighed også bør vægtes i forhold til hvilken skade, de kan udrette. En vurdering af problemets omfang er derfor omgærdet med en vis usikkerhed 1. På baggrund af de forskellige undersøgelser der findes på området, kan vi dog konkludere at: Mindst danske computere overvåges i et eller andet omfang 90% af verdens computere overvåges i et eller andet omfang Der befinder sig ca. 28 stykker spyware på enhver computer forbundet til internet 1,25% af denne spyware er meget skadelig, idet det kan føre til identitetstyveri, tyveri af data eller få systemer til at gå ned Spyware er relateret til ca. en tredjedel af alle applikationsnedbrud på Microsoft platformen I virksomheder har ca. 29% af computerne indeholdt spyware Spyware koster 105 millioner kroner om året i Danmark alene i tabte lønudgifter. De forskellige kilder til disse konklusioner er gennemgået nedenfor. I Kontant på Danmarks Radio den 9. marts 2004 og med opfølgning den 16. marts 2004, blev emnet belyst. I programmet blev en af den danske IT-sikkerhedsvirksomhed Comendos, medarbejde bedt om at give sig ud for at være en dansker, der gerne ville købe en reklamekampagne hos den amerikanske virksomhed Claria. Claria - tidligere kaldet Gator - lever ifølge Kontant af at sælge reklamekampagner til andre mennesker. I Kontant blev det bl.a. belyst, at Claria i alt overvåger 38 millioner brugere verden over. Comendos medarbejder fik desuden at vide, at der i Danmark overvåges brugere, i Norge brugere og i Sverige brugere. Earthlink, som er en af USA's største internetudbydere, estimerer at spyware i dag har inficeret omkring 90% af alle de computere i verden, der er forbun- 1 En yderligere faktor, som er med til at komplicere problemet, er, at de forskellige undersøgelser, som citeres, ikke definerer spyware på samme måde. Dette har betydelige konsekvenser for måden, hvorpå målingerne opgøres. 7

8 det til internet, Internetudbyderen Earthlink samarbejder med virksomheden Webroot, som bl.a. producerer et program til overvågning af spyware. Sammen har de to virksomheder foretaget flere undersøgelser af problemets omfang. I Webroots whitepaper: Anti-Spyware: Augmenting Your Current IT Security Strategy påpeges det, at man i perioden 1. november 2003 til 31. januar 2004 foretog målinger på computere og i den forbindelse fandt mere end 20 millioner stykker spyware. I samme rapport citeres Gartner G2 for, at mere end 20 millioner brugeres computere er inficeret med spyware, og EIT citeres for, at mere end en tredjedel af alle europæiske virksomheder er inficeret med spyware, I en nyere undersøgelse som Earthlink og Webroot har lavet sammen i perioden 1. januar 2004 til 31. marts 2004 blev der foretaget scanninger. Dette resulterede i fundet af stykker spyware, hvilket svarer til 27,8 stykker spyware pr. computer, der blev scannet. De knapt 30 millioner stykker spyware fordeler sig på adware installationer, stykker adware cookies, system overvågningsværktøjer og trojanske heste, Det er især de sidste ca (eller 1,25% af den samlede mængde spyware) stykker spyware, der er skadeligt, fordi det er dem, der kan bruges til at stjæle identiteter og ødelægge systemer og data. På baggrund af de afrapporteringer som Microsoft modtager fra brugerne, har Microsoft vurderet, at spyware og andre former for uønsket software er skyld i mere end en tredjedel af de fejl, som fører til at programmer går ned, McAffee Security har på en spyware workshop afholdt af Federal Trade Commission vurderet, at over 80% af kunderne frem til og med første kvartal 2004 har rapporteret om, at de har været udsat for adware, Hertil kommer, at mange også har været udsat for spyware, keyloggere, dialere og andre exploits. Samtidig rapporterer McAfee, at antallet af uønskede programmer er vokset fra fra september 2003 til næsten i marts 2004, Websense, som bl.a. foretager målinger af, hvad man mener om dette og hint på arbejdspladserne, har i april 2004 foretaget en måling af, hvad de ansatte mener om spyware. Heri afsløres, det at 92% af de IT-sikkerhedsansvarlige mener, at de er besmittet af spyware. Samtidig udtaler de, at gennemsnitligt 29% af computerne i virksomhedens netværk har indeholdt spyware, Omkostningerne i forbindelse med Spyware er blevet estimeret af Mark Gibbs fra Network World, Han skriver: So what might spyware be costing you? We'll start by assuming a fully loaded user salary is $72,000 per year and there are 260 working days per year. If a spyware infection involves nothing more than getting rid of it when found, and that process takes the user and the support person she works with, say, two hours to fix, then we're looking at a cost per incident of: ($72,000/260 days)*((2 people * 2 hours)/(8 hours per day)) = $138 In a 1,000-person organization with a spyware infection rate of 5% per month 8

9 we would have some 600 cases per year for a total cost of around $83,000. And if a dialer goes into action that could be a low figure!. Hvis vi overfører disse beregninger på danske forhold, kan vi konkludere, at "lønudgiften" for spyware i Danmark årligt koster samfundet 105 millioner kroner. Beregningerne ser ud som følger: computere forbundet til internet i Danmark (tallet er et skøn bl.a. baseret på at 53% af befolkningen har adgang til internet via arbejdspladsen, mens 73% af befolkningen har adgang til internet via hjemmet, brug af internet 2. halvaar 2003&ancestor=Statistik&file=/upload/2haar2003.pdf.) - 1/3 time til at rense (installation af spyware program + evt. opdatering + køring af program (scanning) + gennemsyn af logfil med konsekvensvurdering + tid at rense. Dette må anses for at være et noget konservativt skøn i forhold til ovenstående estimat på 2 timer) - En bruger (vi regner i modsætning til ovenstående med at brugeren kan lave noget andet mens rensningen foretages) - Timeløn: 150 kroner arbejdsdage - 5% computere inficeres pr. måned Vi får så følgende beregning *0,05*12 = tilfælde pr. år. Dette tal er ikke urealistisk, da vi har set, at Claria alene overvåger danske computere *1*1/3 = 50 kr. pr. computer der skal renses. Det skal bemærkes at større virksomheder, som kan automatisere såvel installation som scanninger kan reducere lønomkostningerne betydeligt under 50 kroner. De private brugere og mindre virksomheder må imidlertid forventes at bruge mere end 20 minutter pr. PC og derfor antager vi at dette tal er ikke er urealistisk. Under alle omstændigheder er det væsentligt mere konservativt end citatet ovenfor. Samlet set får vi dermed, at spyware koster det danske samfund *50 = kroner pr. år. Det skal bemærkes, at vi ovenfor kun har inkluderet lønudgifter i forbindelse med rensning af spyware. Vi har ikke medtaget omkostninger til programlicenser, der skal bruges for at identificere og fjerne spyware. Tilsvarende har vi ikke medtaget omkostninger for den skade spywaren medfører i forbindelse med tyveri af fortrolige data (spionage), ødelæggelse af programmer, forøgede telefoniomkostninger som følge af webdialere og ekstra båndbredde samt tabt goodwill for eksponering af fortrolige oplysninger i forbindelse med spyware. Det er umuligt at regne på disse omkostninger, fordi de f.eks. er afhængige af, hvilke oplysninger der stjæles og det ved man af gode grunde ikke. Hvorfor er spyware et problem? Spyware er et problem, fordi brugeren mister kontrol med sit system, når han udsættes for spyware. Brugerens adfærd og indtastninger overvåges, og gennem denne overvågning vil en tredjepart kunne få adgang til computeren. Med andre værktøjer kan tredjeparten så foretage sig stort set alt - herunder at surfe via brugerens modem, deltage i peer2peer 2 netværk og downloade ulovligt materiale, tilføje reklamer og pop-up vinduer hos brugeren, få forskellige programmer til at gå ned o.s.v. F.eks. kan det være yderst uheldigt at stå som virksomhedsrepræsentant og holde et fore- 2 Peer2peer netværk er et netværk, som oprettes over internet, mellem to klienter. 9

10 drag understøttet af et slideshow på sin medbragte PC, hvor der så pludselig begynder at poppe vinduer med pornografisk materiale op på skærmen. Dette vil underminere troværdigheden for såvel foredragsholderen, som den virksomhed han repræsenterer. Desuden mister brugeren sin privacy, fordi han udspioneres således, at hans handlinger overvåges, indsamles og systematiseres. Yderligere bliver brugerens system mere usikkert, fordi tredjeparten typisk installerer trojanske heste eller reducerer brugerens rettigheder til sit eget system. Endelig vil brugeren ofte opleve, at hans system bliver langsommere, fordi processorkraften bruges på andre opgaver, eller at systemet oftere går ned. Spyware er altså et problem, fordi det koster penge at bekæmpe, virksomhederne kan miste fortrolige informationer eller forskningsresultater, som det måske har været meget dyrt at udvikle, virksomheden risikerer at sætte sin troværdighed over styr, og desuden er spyware til stor gene for brugerne. Et godt eksempel på, hvorfor spyware er et problem, kan illustreres gennem en virkelig hændelse fra en stor dansk virksomhed: En medarbejder er blevet udstyret med en PC med Windows XP-professional, der er opsat til, at han kun har nogle stærkt reducerede rettigheder (han kan bl.a. kun installere enkelte programmer, der ikke har adgang til privilligerede resourcer). Disse rettigheder er styret af en overordnet politik, og denne politik skulle kun (i teorien) kunne ændres / omgås af en superbruger godkendt på virksomhedens overordnede domæne. Medarbejderen arbejder fortrinsvis udenfor virksomhedens geografiske lokation og kobler op via VPN til firmaet for at være on-line med sin mail, men har desuden adgang til internettet det meste af tiden. Medarbejderen finder på et tidspunkt nogle tiltalende søgeservices, hvor der fortrinsvis søges i emner af relevans for brugeren. Endnu mere tiltalende for ham er, at denne service helt automatisk installerer sig selv som nogle ekstra søge-bjælker - først i browseren, men hurtigt kan han se, at de også dukker op i stifinderen og på skrivebordet. Efter et stykke tid studser han over, at søgninger, som han bevidst har dirigeret til specifikke søge-sites, "af sig selv" bliver sendt et helt tredje sted hen. Og til hans store forskrækkelse begynder der nu at poppe vinduer op med et indhold, der er mildest talt pinligt - især når han er ude til et møde / en kunde. At der af sig selv dukkede vinduer op, har han set før i forbindelse med søgninger, men da var det med "rimelig" relevant indhold, så det var han egentligt lidt imponeret over og tilfreds med. Men nu er problemet eskaleret. Derfor - og for ikke at blamere sig selv overfor IT-afdelingen - vælger han, at installere en pop-up blokker, samt selv at forsøge at doktorere en lille smule. Pop-up blokkeren han valgte var desværre en trojansk hest, og derefter gik det helt galt for ham. Han kunne nu næsten ikke bruge maskinen, og vinduer væltede frem på de mest uberegnelige tidspunkter. Klog af skade kontakter han nu IT-afdelingen, hvor der kan konstateres flg.: En lang række ad- / spy-ware produkter er installeret - både som OCX'er, DLL'er og EXE-filer. Der var i hundredevis af ændringer i registreringsbasen. Politikken er omgået på en måde, ingen i IT-afdelingen kan gennemskue. Flere politikindstillinger er blevet ændret, og kan nu ikke ændres af administratoren. Under forsøg på at rense computeren, kan personer med administrative rettigheder 10

11 ikke få lov at fjerne alle fremmede komponenter. Komponenter, der med sikkerhed kan sættes i forbindelse med disse problemer, er: BookedSpace, CleverIEHooker.Jeired, ClientMan, Commission Junction, DownloadWare, ezula HotText, Lycos.SideSearch, n-case, SecondThought, SeekSeek og VX2/f. Ud over denne liste havde andre produkter sat deres finger-aftryk i registreringsdatabasen - nogle steder hvor politikken ellers burde umuliggøre det. Enden på historien blev, at den pågældende person måtte have sin PC reinstalleret helt fra bunden. På det pågældende tidspunkt var han udstationeret i et østland, og det betød, at han måtte undvære sit vigtigste værktøj i næsten en uge. Han kan kun bebrejdes i mild grad, da han havde tillid til de eksisterende sikkerhedsforanstaltninger og troede, at han blot benyttede nogle fornuftige og seriøse værktøjer udbudt af - hvad han troede var - seriøse virksomheder på nettet. Hvordan kommer spyware ind på computeren? Spyware kommer ind på computeren på flere måder. I mange tilfælde kommer spyware ind på computeren uden brugerens vidende. Det helt typiske eksempel er tracking cookies, som downloades til brugerens computer, når han besøger en hjemmeside. I andre tilfælde kommer spyware ned på brugerens computer, fordi brugeren handler uagtsomt. Et typisk eksempel er, at brugeren ukritisk downloader et program med en funktionalitet, som umiddelbart er til gavn for brugeren 3. Dette program kan indeholde et spywareprogram, som sender informationer om brugerens gøren og laden til en tredjepart. I mange tilfælde er det nævnt i licensbetingelserne for det downloadede program, at der følger et spyware program med. Brugeren giver sig ofte ikke tid til at læse licensbetingelserne eller vælger bare at være ligeglad med, at spywareprogrammet installeres. I andre tilfælde installeres spywareprogrammet i forbindelse med et andet program, uden at brugeren gøres opmærksom på dette. Denne praksis er ulovlig i Danmark jf. afsnittet: Hvordan ser lovgivningen ud? nedenfor. Vi har nedenfor opsummeret nogle af de mest almindelige måder, hvorpå spyware bliver installeret på brugerens computer. Installationen kan foregå under anvendelse af: et andet program, med en funktionalitet, som er nyttig for brugeren - d.v.s. bundlet sammen med et andet program. Dette opleves f.eks. typisk i forbindelse med peer2peer programmer. Spyware kan give sig ud for at være et seriøst produkt, hvilket f.eks. kan bestyrkes af at producenten har fået udstedt et validt certifikat: 3 Et typisk eksempel, hvor et spyware program installeres med et andet program, er ved installation af den meget anvendte fildelingstjeneste Kazaa. I dette tilfælde er det meget klart nævnt i licensbetingelserne, at man ved at installere Kazaa også installerer et spywareprogram. 11

12 "drive by download", hvor det automatisk installeres uden at spørge brugeren - f.eks. ved at man besøger en hjemmeside. Dette kan også ske med andre typer af programmer f.eks. webdialere og tracking cookies. Brugeren kan også snydes til at acceptere at installere programmet ved f.eks. at klikke ja til noget andet, end det der bliver spurgt om vedhæftede filer til en , hvor brugeren dobbeltklikker på filen udnyttelse af en eksisterende sårbarhed (et hul) på den pågældende computer til at installere spywareprogrammet social engineering, hvor en tredjepart udgiver sig for at være f.eks. systemadministratoren og beder en medarbejder om at foretage bestemte handlinger - f.eks. at klikke på en vedhæftet fil undertrykkelse af advarsler - f.eks. ved at et vindue uden kant placeres over nej-muligheden, så det kun er ja-muligheden, der er synlig lokkende titler - som f.eks. "Vind en million, hvis du klikker her" et uendeligt loop af vinduer, som kræver, at man installerer, og ikke stopper førend man har klikket på ja automatisk installation, hvor programmet genforbinder sig selv til internettet, hver gang brugeren genstarter computeren. Dette sker især, hvis dele af spywareprogrammet ikke er blevet fjernet helt. ved anvendelse af arbejdscomputeren i hjemmet, hvor medarbejderen typisk betragter computeren mere som en personlig ting end som en virksomhedsejet ting, og dermed er mere uagtsom og beskæftiger sig med emner, der ikke er strengt i virksomhedens interesse. ved at snyde brugeren således, at når der klikkes på en knap, som ser ud til at give mulighed for at annullere eller lukke vinduet, så bekræftes installationen af spyware i virkeligheden. I nedenstående billede ser der ud til at være mulighed for at lukke vinduet og der ser ud til at være mulighed for at fortryde installationen - men i virkeligheden vil der blive installeret spyware uanset hvor på siden der bliver trykt: 12

13 Ophavsret 2004 Microsoft Corp. Alle rettigheder forbeholdes. Udover den måde spyware installeres på, er det også vigtigt at påpege, at man udmærket kan komme til afsløre fortrolige forhold om sig selv ved at anvende computere på internetcafeer, der måske allerede er inficeret med spyware. Det sker f.eks., hvis man vil på sin netbank eller sin virksomheds webmail på en sådan lokation. Hvordan kan man undgå spyware? Det er vanskeligt at undgå spyware netop fordi det ofte installeres uden brugerens vidende og bevidste tilsagn. Det er derfor mere typisk, at der anvendes bestemte programmer, som scanner for at finde spyware og efterfølgende fjerner det, der opdages. Dette er en metodik, der er meget i modsætning til vira, spam og adult verification, hvor det via programmer løbende forsøges at sikre, at det slet ikke kommer ind på computeren. Der findes dog programmer, som tilsvarende med antivirussoftware løbende overvåger, om der installeres spyware på computeren. Denne metodik vil også i stigende grad vinde frem i takt med, at antivirusprogrammerne formodentlig vil kunne bekæmpe spyware. En række tiltag kan i hvert fald reducere muligheden for at få spyware installeret: Ved installation af programmer bør brugeren altid læse licensbetingelser og vurdere, om programmet indeholder spyware programmer. Nogle af de mest kendte programmer anvender spyware, og det er op til brugeren at vurdere, om den anvendte spyware er acceptabel. F.eks. indeholder Kazaa spyware og andre programmer som f.eks. Windows Media Player sender gerne informationer om sig selv til producenten. Ved anvendelse af hjemmesider kan det også være nyttigt at læse, hvilke oplysninger hjemmesiden registrerer om brugerens færden på siden herunder især vurdere de cookies, som hjemmesiden evt. anvender. 13

14 Det bør undersøges, om de programmer, der installeres, indeholder spyware. Dette kan ske ved at slå op i diverse spywarefortegnelser på internettet f.eks. og Desuden kan man i søgemaskinen Google, skrive navnet på det program, man vil downloade og så skrive spyware bagefter f.eks. Kazaa +spyware i søgefeltet. Et program, som løbende overvåger, om der installeres spyware på computeren, kan installeres. Tilsvarende kan man også med fordel installere programmer, som forhindrer, at der kommer pop-up vinduer, når man surfer. Pop-up vinduer er ikke nødvendigvis relateret til spyware, men programmerne vil bl.a. kunne stoppe vinduer, der kører i loops. Det tilstrækkelige sikkerhedsniveau i allerede eksisterende programmer bør fastslås især i browsere og messenger programmer. F.eks. kan man stoppe for tracking cookies og klassificere en række hjemmesider, som typisk lægger spyware ind på computeren. Brugere bør, både af hensyn til spyware og af hensyn til andre former for ondsindet kode, lade være med at dobbeltklikke på vedhæftede filer i mails fra afsendere, som er ukendte, eller som ikke ser troværdige ud (f.eks. har ekstension.exe og.pif (en komplet liste over utroværdige ekstensions kan findes i ITEK og DI s hæfte: "Trusler mod virksomhedens IT-sikkerhed", s. 35)). Programmer bør altid være opdateret med de seneste sikkerhedsrettelser, så de ikke indeholder huller, der kan anvendes til at placere spyware. Dette vil også være en fordel i forhold til andre former for ondsindet kode. Man bør altid være på vagt overfor social engineering. Brugerne bør være skeptiske hvis de - via mail eller telefonisk - bliver bedt om f.eks. at udlevere deres password eller give oplysninger om det IT-system de arbejder på. Internettet bør bruges med skepsis. Især er det vigtigt at være opmærksom på, at muligheden for at vinde en million ved at klikke på en knap på internettet stort set ikke eksisterer. Derfor skal man ikke lade sig lokke af popup vinduer med tillokkende reklamer. Der er en tendens til, at flere og flere sikkerhedsløsninger smelter sammen. Det kan derfor være nyttigt, at virksomheden spørger sin leverandør af f.eks. firewalls og antivirusprodukter, om de også har lavet et programmodul, som kan bekæmpe spyware. Fra virksomheds side er det vigtigt, at der hos ledelsen er en forståelse af problematikken omkring spyware, og at der afsættes de nødvendige ressourcer til at uddanne brugerne i, hvordan de kan undgå spyware, når de arbejder på virksomhedens computerudstyr. Ledelsen bør således sikre, at de punkter, der her er nævnt, indgår i virksomhedens IT-sikkerhedspolitik. Hvordan slipper man af med spyware? Der er en række symptomer, der kan indikere, at man måske har fået spyware installeret. Disse indikatorer er f.eks. et stort antal popup vinduer, forøget opstartstid, at computeren pludselig bliver langsommere, eller at man får flere filer på harddisken. Imidlertid vil flere former for spyware ligge og gemme sig på computeren helt uden brugerens viden. Derfor bør man installere et program, der automatisk kan identificere og slette spyware. Mange programmer er gratis for private brugere, men koster 14

15 penge for virksomhederne. Når man beslutter sig for at installere et program, er det også vigtigt at sikre sig, at programmet ikke selv indeholder spyware. Der kan henvises til for en liste over relevante antispyware programmer, som det vurderes ikke selv indeholder spyware. Desuden kan man også indstille sin browsersikkerhed til at være højere, og man kan udforme politikker, som brugerne automatisk er underlagt, og som kan forhindre, at mange former for spyware kan installeres. Desuden skal man være opmærksom på antispyware programmets funktionalitet. Nogle programmer kan scanne harddisken for at identificere spyware. Andre programmer holder løbende øje med, om der installeres spyware. Andre programmer igen sørger for, at der ikke kommer popup vinduer. Det er afgørende, at virksomheden beslutter sig for, hvilke programmer den har brug for i hvilke sammenhænge. Programmerne skal indgå i virksomhedens samlede IT-sikkerhedsstrategi, som igen skal understøtte virksomhedens forretning. ITEK og Dansk Industri anbefaler, at virksomhederne undersøger relevansen af at få installeret et af hver af følgende programtyper. Som eksempel på et godt på program til at scanne harddiske findes Adaware fra Lavasoft, Som et eksempel på et godt program til at undgå, at der installeres spyware, mens man surfer findes Spywareblaster, Som eksempel på et godt program til at undgå popup vinduer findes Pop This, Desuden bør virksomhederne sørge for at uddanne deres medarbejdere i hensigtsmæssig adfærd jf. afsnittet: Hvordan kan man undgå spyware?, for at undgå at få spyware på virksomhedens computerudstyr. Hvordan ser lovgivningen ud? Forbrugerombudsmanden peger på, at spyware såvel som adware er forbudt ifølge Lov om markedsføring 1. I loven hedder det: Loven gælder i privat erhvervsvirksomhed og offentlig virksomhed, som kan sidestilles hermed. Der må i sådan virksomhed ikke foretages handlinger, som strider mod god markedsføringsskik. Loven skal dog ses i sammenhæng med de nordiske forbrugerombudsmænds standpunkt fra oktober 2002 om handel og markedsføring på internettet m.v. Heri omtales forbrugerombudsmændenes syn på, hvad der er god markedsføringsskik. Sammenholdes de to dokumenter, betyder det, at spyware er forbudt, fordi det ikke kan anses for at være i overensstemmelse med god markedsføringsskik, og dermed falder ind under Lov om markedsføring 1. I den danske Forbrugerombudsmands udlægning af spyware omtales imidlertid kun reklameelementerne af spyware. Spyware kan afhængigt af type også bruges til mange andre uheldige ting herunder at aflure data fra brugerne. Dette ekstra aspekt har Datatilsynet forholdt sig til ifølge: I persondatalovens 41, stk. 3 fremgår det, at: 15

16 Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere. Det betyder, at den dataansvarlige skal sikre virksomheden mod uvedkommende trafik og forhindre adgang til virksomhedens net udefra såfremt virksomheden er i besiddelse af data, der er omfattet af persondataloven. Det vil de fleste virksomheder være underlagt, idet lovens område ifølge 1 er: behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling. Imidlertid har Datatilsynet udtalt, at antispyware programmer må betragtes som yderligere sikkerhedsforanstaltninger, og derfor kun skal installeres efter en vurdering af den konkrete sikkerhedsrisiko. Foruden disse love er egentlig spionage mod virksomheder også forbudt i medfør af bl.a. straffeloven, hvor det i 263 og 263a hedder 4 : Med bøde, hæfte eller fængsel indtil 6 måneder straffes den, som uberettiget 1) bryder eller unddrager nogen et brev, telegram eller anden lukket meddelelse eller optegnelse eller gør sig bekendt med indholdet, 2) skaffer sig adgang til andres gemmer 3) ved hjælp af apparat hemmeligt aflytter eller optager udtalelser fremsat i enrum, telefonsamtaler eller anden samtale mellem andre eller forhandlinger i lukket møde, som han ikke selv deltager i, eller hvortil han uberettiget har skaffet sig adgang. Stk. 2. Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uberettiget skaffer sig adgang til andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem. Stk. 3. Begås de i stk. 1 eller 2 nævnte forhold med forsæt til at skaffe sig eller gøre sig bekendt med oplysninger om en virksomheds erhvervshemmeligheder eller under andre særlig skærpende omstændigheder, kan straffen stige til fængsel indtil 6 år. På samme måde straffes de i stk. 2 nævnte forhold, når der er tale om overtrædelser af mere systematisk eller organiseret karakter. 263 a. Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uretmæssigt erhvervsmæssigt sælger eller i en videre kreds udbreder en kode eller andet adgangsmiddel til et ikke offentligt tilgængeligt informationssystem, hvortil adgangen er beskyttet med kode eller anden særlig adgangsbegrænsning. Stk. 2. På samme måde straffes den, der uretmæssigt videregiver et større antal koder eller andre adgangsmidler som nævnt i stk. 1. Stk. 3. På samme måde straffes den, der uretmæssigt skaffer sig eller videregiver en kode eller andet adgangsmiddel som nævnt i stk. 1 til 1) et samfundsvigtigt informationssystem, jf. 193, eller 2) et informationssystem, der behandler følsomme oplysninger, som er omfattet af 7, stk. 1, eller 8, stk. 1, i lov om behandling af personoplysninger, om flere personers personlige forhold. Stk. 4. Sker den i stk. 1-3 nævnte videregivelse m.v. under særligt skærpende omstændigheder, er straffen fængsel indtil 6 år. Som særligt skærpende omstændighe- 4 Det skal bemærkes at straffeloven m.v. i den her citerede udgave er ændret til og med 11. maj 2004, hvor L55 blev vedtaget af Folketinget. 16

17 der anses navnlig tilfælde, hvor videregivelsen m.v. sker i særlig stort omfang eller indebærer særlig risiko for betydelig skade." Spyware må i de grovere tilfælde, hvor det anvende til industrispionage falde ind under straffelovens 263. Det skal bemærkes, at man desuden kan anvende straffeloven i to andre tilfælde nemlig hvis: 1. Der er tale om webdialere, som dermed giver anledning til tab. I det omfang nogle beriger sig ved dette, vil man kunne anvende straffelovens bestemmelser om berigelsesforbrydelser. 2. I tilfælde af at webdialere ikke giver et decideret udbytte til nogen, kan man anvende straffelovens hærværksbestemmelse, som dækker økonomisk hærværk. At udsætte brugerne for spyware er derfor ulovligt i Danmark. Virksomheder, som indkoopererer spyware i deres programmer, bryder dansk lovgivning. Når virksomheder får lavet deres hjemmesider eller produceret software, skal de derfor være meget opmærksomme på disse forhold. Især er det værd at nævne, at spyware ikke er forbudt i form af de mest almindelige cookies. Spyware som installeres med brugerens vidende hvis det f.eks. er omtalt i licensbetingelserne er ikke ulovligt. Lovgivningen i udlandet er anerledes end i Danmark. Det betyder, at spyware ikke er forbudt i en række lande. Danskere, som surfer på sider i disse lande, kan derfor risikere at blive udsat for spyware, uden at der kan gøres noget ved det. Opsummering Spyware er et problem for danske virksomheder fordi det koster mange penge det underminerer virksomhedernes troværdighed og mulighed for at drive forretning brugeren mister kontrol over sin computer brugeren kan risikere udnyttelse af personlige data, fordi han udspioneres således, at hans handlinger overvåges, indsamles og systematiseres tredjepart kan misbruge brugerens computer til f.eks. at surfe via brugerens modem, deltage i peer2peer netværk og downloade ulovligt materiale, tilføje reklamer og pop-up vinduer hos brugeren og få programmer til at gå ned brugerens system gøres mere usikkert, idet tredjeparten typisk installerer trojanske heste eller reducerer brugerens rettigheder til sit eget system brugeren ofte oplever at hans system bliver langsommere, idet processorkraften bruges på andre opgaver eller at systemet oftere går ned. Derfor er det vigtigt, at virksomhederne er opmærksomme på spyware og forebygger eventuelle problemer. Det kan de gøre ved at: uddanne medarbejderne med henblik at øge opmærksomheden mod spyware og dermed gennem ændret adfærd at reducere sandsynligheden for at installere et spywareprogram tage højde for spyware ved udformning af IT-sikkerhedspolitikken undersøge relevansen af at installere programmer, som forhindrer spyware i at blive installeret, programmer som løbende scanner harddiske for spyware og programmer som forhindrer popup vinduer. Programmerne bør installeres, 17

18 hvis det kan være en fordel i forhold til virksomhedens forretningsunderstøttende IT-sikkerhedsstrategi være varsomme med anvendelse af cookies og andre programfunktionaliteter, der kan betragtes som spyware i virksomhedernes egne produkter herunder især virksomhedens hjemmeside 18