ארה"ב: המחוקקים מתלבטים בשאלה מהי תוכנת ריגול

יש לאפשר לגולשים להסיר תוכנות ריגול, אמרו אתמול (ג') חברי תת ועדת התקשורת בסנאט האמריקני. אחד מחברי הוועדה אף הצהיר כי יש להוציא את התוכנות הללו מחוץ לחוק בטרם יגרמו לגולשים לנטוש את האינטרנט.

הדיון בסנאט נערך בנושא הצעת חוק חדשה של קונראד ברנס, סנטור רפובליקני ממונטנה, הקוראת לחייב חברות לקבל רשות מהמשתמש בטרם יתקינו תוכנה על מחשבו, וכן לספק דרך קלה ופשוטה להסיר את התוכנה, במקרה הצורך. "זה המחשב שלי, זה רכושי הפרטי", אמר ברנס. "אני רכשתי אותו לצורך שימושי הפרטי, לא לצורך שימושם של טפילים".

כמה חברות העוסקות בפרסום מקוון ותוכנות שונות, מתקינים תוכנות שתפקידן לנטר את פעילות המשתמש או לעשות שימוש בכוח העיבוד של המחשב. תוכנות אחרות עוקבות בחשאי אחר הקשות המקלדת של משתמשים כדי לגנוב סיסמאות או מספרי כרטיס אשראי, או כדי למכור "תיקונים" לבעיות תוכנה שהם עצמם יוצרים.

תוכנות הריגול (Spyware, רוגלות בעברית) הן תוכנות מטרידות ומזיקות, המתקינות עצמן כחלק אינטגרלי מתוכנות אחרות, לגיטימיות, כגון תוכנת שיתוף הקבצים קאזה ואחרות. רוב תוכנות הריגול משמשות לצורכי פרסום. חברות רבות כמו WhenU, eZula.com, גייטור, אלקסה ואחרות. תוכנות אלה עוקבות אחר הרגלי הגלישה של המשתמש ושולחות לו פרסומות המבוססות על תחומי העניין שלו. לעיתים מדובר באין ספור פרסומות טורדניות הממלאות את המסך, והגולש אינו יודע כי המקור לכל הפרסומות הוא תוכנת ריגול המותקנת במחשבו.

מה הנזק?

במקרה הרע תוכנות הריגול יחליפו את דף הבית שלכם ולא יאפשרו לכם להחליפו בחזרה וישלחו החוצה מידע על הרגלי הגלישה שלכם, במקרה הגרוע ביותר הן יאטו את פעולת המחשב, יקפיצו עשרות חלונות פרסומת תוך מספר דקות, יחסמו גישה לאתרים פופולריים ויסיטו אתכם לאתרים אחרים בהם לא ביקשתם לבקר, ישתלטו על סמן העכבר, יוסיפו לדפדפן סרגל כלים שלא ביקשתם ועוד (סרגל החיפוש הפולשני Mysearch, שלכאורה מאפשר לגולש לחפש מידע במספר מנועי חיפוש, ידוע לשמצה בהקשר זה).

חלק מהתוכנות אף מקליטות את הקשות המקלדת ומעבירות צילומי מסך למחשב מרוחק. על פי הערכות, תוכנות ריגול כאלה מותקנות ב-תשעה מתוך 10 מחשבים, מבלי שהמשתמשים (ומדובר בעשרות מיליוני משתמשים אנוסים) מודעים לכך. חברת גרטנר צופה כי בעתיד תוכנות הריגול יהפכו זדוניות יותר וישמשו לצורך גניבת מספרי כרטיסי אשראי ופרטים אישיים אחרים של גולשים ואף לצורך ריגול מסחרי.

זה חוקי?

ההבדל בין תוכנות הריגול לתוכנות חינם לגיטימיות שמתפרנסות מפרסומות (Adware) טמון בידיעת המשתמש. אם הגולש מקבל את כל המידע אודות תוכנת הפרסום ופעולותיה במחשב והסכמתו המפורשת נדרשת כדי להתקינה, הרי שמדובר בתוכנת פרסומות כשרה, אך אם התוכנה מותקנת ללא ידיעתו, מדובר בתוכנת ריגול.

בעוד ארגוני פרטיות מכנים תוכנות פרסומות שמשולבות בתוכנות אחרות בשם Spyware (תוכנות ריגול), בשל נטייתן לעקוב אחר הרגלי השימוש של המשתמש בתוכנה ולהגיש לו פרסומות על פי טעמו (אם כי רובן ככולן אינן אוספות מידע אישי כמו שם פרטי, שם משפחה או כתובת הגולש), חברות הפרסום ויצרניות התוכנה מכנות אותן Adware (תוכנות פרסומות).

בפועל, הגבול שמפריד בין adware ל-spyware לא תמיד ברור. יצרניות תוכנות דורשות לרוב את הסכמת המשתמשים לתנאי הרישיון והשימוש לפני שהם מורידים את התוכנה, אך כידוע, גולשים רבים נוטים לפסוח על האותיות הקטנות בהסכמים אלה. כתוצאה מכך, הם אינם מודעים לעובדה כי תוכנה נוספת פועלת ברקע המחשב שלהם, אלא כאשר קופצת הפרסומת על המסך.

"Spyware היא כל תוכנה שמשתמשת בחיבור האינטרנט של המשתמש ברקע בלי ידיעתו או הסכמתו המפורשת", קובע יועץ האבטחה סטיב גיבסון במאמר באתר הבריטי SpyWare Watch, "על יצרן התוכנה לפרט באופן מלא את כל תכונות התוכנה ועל המשתמש לתת את הסכמתו המפורשת להפעלת התוכנה, כאשר ברור לחלוטין שהוא מודע לפעולותיה במחשב האישי שלו. כל תוכנה שאינה עונה על התנאים הללו היא Spyware".

רוב תוכנות הריגול אינן מפרות את החוק וכל הפעולות שהן מבצעות חוקיות, כולל ההשתלטות על משאבי המחשוב של המשתמשים. מי שיקרא את הסכם הרישוי של התוכנה יגלה כי בברוב המקרים יש תיאור מפורט של הפעולות שהיא מבצעת והמשתמשיו אישר - ברגע שהסכים להשתמש בתוכנה.

הצעת החוק

הצעת החוק שהעלו חברי הסנאט חייבת להגדיר בדיוק מהן תוכנות ריגול, על מנת למנוע הוצאה אל מחוץ לחוק של פרסומות קופצות ושאר טכנולוגיות מטרידות אך חוקיות, מזהירים גופים צרכניים ועסקיים שונים. "אנו חייבים להקדיש לך זמן. לקחת נשימה עמוקה ולהגדיר אחרי מה אנו רודפים", אמר ג'רי ברמן, נשיא המרכז לדמוקרטיה וטכנולוגיה, גוף צרכני אמריקני.

בדומה לוויכוח שהתרחש בקונגרס בנושא דואר הזבל בשנה שעברה, אחד המרכיבים החשובים ביותר בהצעת החוק נוגע להגדרת פעילות שיווקית הנחשבת ללגיטימית, לעומת פעילות שצריכה להפוך בלתי חוקית.

אבי נאידר, מנכ"ל חברת WhenU.com, המשלבת פרסומות קופצות אקראיות בתוכנות הניתנות ללא תשלום, טען בדיון כי התוכנה שלו פולשנית פחות משיטות פרסום מסורתיות, משום שהיא אינה מתבססת על מסדי נתונים בהם נצברים פרטיהם האישיים של הצרכנים. המשתמשים מקבלים התראה כאשר התוכנה מותקנת ויכולים להסירה בקלות - כפי שעשו 80% מהגולשים שהורידו אותה, לדבריו. ברנס, ששמע את עדותו של נאידר, נראה היה משוכנע, והציע שגופים עסקיים הם שיגדירו כיצד על תוכנות לנהוג כדי שלא יסווגו כתוכנות ריכול. "מר נאדר עוסק בפעילות עסקית לגיטימית", סבור ברנס.