Spyware a spol. postaven v USA mimo zákon

Po několika nepodařených krocích jde legislativa konečně k jádru věci.

Související odkazy

Slovník
červ
dialer
keystroke
mailbox
spam
virus

Databáze znalostí
Jak se bránit spamu?
Jak se bránit spyware?

Veřejností je velice často vnímán spam jako nejnepříjemnější věc na Internetu: spam otravuje, a spam rovněž zapleveluje počítač nejrůznějšími breberkami, jako jsou viry a červi, adware/malware, dialery a podobně. Legislativa se ve většině vyspělých zemí zaměřila nejdříve proti spamu – nutno říci, že s nevalným úspěchem – ale ponechala nedotčenou právě oblast tzv. škodlivého software. Ukázalo se, že to nebyl správný krok – naštěstí pozdě, ale přece přijala Sněmovna reprezentantů v USA drtivou převahou (399:1) zákon zvaný „Spy Act“, který tak může pokročit ke schválení Senátem a následnému podpisu presidentem.

Pokud použijeme lékařskou terminologii, nebylo ze začátku příliš jasné, na co se má léčba nejdříve zaměřit, zda na nemoc, nebo jejího nositele (přenašeče). V případě malárie byl vyhuben přenašeč (komár) a byl tím vyřešen problém s nemocí – rozumné opatření. V případě, řekněme, AIDS, je ovšem přenašečem člověk…

Je dnes zřejmé, že spam sám o sobě (tj. to, že do schránky přichází pošta, o kterou nežádáte), je v současné době už ten menší problém. Tvůrci různých filtrů a ochran odvedli slušnou práci a dnes není problém odvrátit naprostou většinu všech spamů od přistání ve vašem mailboxu. Současně přitom platí, že spam byl v poslední době využíván s převahou právě k šíření neplech, a nikoli k rozesílání různých „nevyžádaných obchodních nabídek“, jak tomu bylo v začátcích jeho existence. Tvůrci škodlivého software velmi rychle změnili taktiku, tak jako několikrát v minulosti a jistě i v budoucnosti: hledají jiné cesty, jak proniknout na vaše počítače, typicky přes webové stránky, přibalují jej k jiným programům, které jsou k dispozici zdarma a podobně. Zákon proti spamu měl učinit vás i váš počítač bezpečnějším, ale neučinil – útočníci, kteří z vás chtějí různými prostředky vytáhnout peníze (o nic jiného nejde), mají i nadále volnou ruku. (Není zde navíc potřeba rozebírat nepovedenost obou zákonů, které se nás týkají, českého i amerického: český je nepřiměřeně tvrdý a americký je zase proti spamu téměř neúčinný).

Zákon Spy Act obsahuje zejména následující opatření: 

  • jakýkoli software, který je schopen shromažďovat osobní informace, musí být typu opt-in, tj. instalovatelný s výslovným a jasným stvrzením od uživatele
  • zákon zakazuje phishing (matoucí a falešné maily a webové stránky, ve kterých je uživatel nucen zadat svoje osobní informace), keystroke logging (programy zaznamenávající, co zrovna píšete na klávesnici a odesílající tyto sekvence – slouží např. k odchytávání hesel), home page hijacking (přesměrování domovské stránky bez souhlasu uživatele) a reklamy, které nelze zavřít „jinak než vypnutím počítače“.

Výše uvedené praktiky dosud nebyly v USA zakázané samy o sobě: trestné pochopitelně bylo, pokud někomu způsobily škodu, ale to už se v praxi dokazovalo velice těžko – zločinci dovedli za sebou zametat stopy a včas najít únikové cesty poté, co z podvodu vytěžili, co chtěli. Nyní je navrhován trest za samotnou realizaci spyware (a spol.) až do výše tří milionů dolarů. Přidružený zákon, který se také blíží do Kongresu (I-Spy Prevention Act) postihuje několik dalších oblastí, jako je např. „získání kontroly nad cizím počítačem bez svolení jeho majitele“ a podobně; i zde jsou tresty drakonické, např. až pět let vězení. Kuriózní je, že v Senátu (druhé komoře) je v současně projednáván podobný zákon, nazvaný SPYBLOCK, který de facto řeší totéž. Vypadá to, jako kdyby levá ruka nevěděla, co dělá pravá, ale ve skutečnosti to není nic nenormálního – všechny zmíněné zákony přináší do zákonodárných orgánů jednotliví poslanci a senátoři, takže se stalo, že se jich na jedno téma sešlo více. Toto se pak v praxi řeší následně jejich sloučením a sjednocením do jednoho zákona (a počítá se s tím i v tomto případě).

Při srovnání tří předkládaných zákonů se zdá být už relativně nedůležité, jak budou výsledně sjednocovány a který „převládne“: všechny řeší citlivé problémy spojené se škodlivým softwarem, všechny se pokoušejí řešit problém už v zárodku.

Je samozřejmě na místě se ptát, zda navrhované zákony nepotlačují lidská práva, zejména svobodu slova (zejména u současné vládní garnitury to je silně na místě). Vždyť lze argumentovat, že psaní a šíření těchto programů slouží ke „studijním účelům“, pokusy o získání kontroly nad cizím počítačem pak k „poukázání na slabá místa jeho zabezpečení“ a podobně.

Domnívám se, že i internetoví uživatelé, zejména ze začátku navyklí na míru svobody naprosto neporovnatelnou s jinými médii nebo „reálným“ světem, si budou muset postupně zvyknout, že i zde postupně začnou platit některá pravidla, kterými se celkem bez nesnází řídíme desítky let v tom skutečném světě. Vloupání (tj. nepovolené vniknutí) je vloupáním, tedy trestným činem, bez ohledu na to, zdali je způsobena škoda nebo ne. Krádež auta je krádeží auta, i když s ním pachatel popojede o pár metrů a zase jej opustí.

V řadě případů je trestným činem nebo přestupkem i hrozba (např. vyhrožování vydíráním, fyzickým násilím). Argumentace „studijními účely“ je zcela bizarní: zbrojovky také netestují nové bomby tím, že je shodí na velkoměsto, aby mohli studovat, co to s nimi udělá. Pokud chce někdo skutečně situaci studovat, nechť jde do „studovny“: do laboratorního prostředí, do uzavřené sítě, kde bude dělat pokusy s vědomím a souhlasem těch, kterých se dotknou. (Jistě takto nelze simulovat realitu se vším všudy, ale to je holt nevýhoda studijního prostředí). Optimisticky předpokládejme, že zákony budou aplikovány především na záměrné páchání těchto činů a nebudou postihovat osoby, které se jich dopustí nezáměrně nebo i nevědomě (např. tím, že jejich počítač je napaden a chová se dál jako útočník).

Jak se může dotknout zmíněný zákon našich uživatelů? Na rozdíl od všech antispamových nepovedeností dosti podstatně. Pokud o spamu lze říci, že možná jedno procento je z domácích zdrojů, u škodlivého software si nejsem vědom snad ani jediného takovéhoto případu – vše jsou to produkty zahraniční provenience, které si nejčastěji zavlečete do počítače návštěvnou různých roztomilých webů s třípísmennou příponou. Pokud bude zákon účinný, počet těchto útoků se zmenší – jistě se jejich pachatelé budou snažit přesunout do zemí, kam americká legislativa nedosáhne, ale jejich činnost tím už bude ztížena. Dá se také předpokládat, že bude brzy následovat podobná direktiva v EU a následně i podobné zákony u nás (doufejme, že to Ministerstvo informatiky zase „nepřežene“).

Určitě si přečtěte

Články odjinud