Kutakodhatnak-e a hatóságok számítógépünkön?

Nemrég végzett el egy kutatást a Cnet, melyben 13, az iparban közismert, antispyware termékeket és szolgáltatásokat fejlesztő vállalatot (AVG/Grisoft, CA, Check Point, eEye, IBM, Kaspersky, McAfee, Microsoft, Sana Sec., Sophos, Symantec, Trend Micro, Websense) kerestek fel. Az újságírók arra próbáltak választ kapni, hogy amennyiben egy bírósági döntés elrendeli, akkor vajon szabad bebocsáttatást nyújtanak-e egy hatóságilag támogatott digitális kártevőnek. Röviden: egy rendőrségi akcióval feltelepítendő malware bejutását megakadályozzák-e a cégek vagy sem.

Saját bevallása szerint egyetlen cég sem tenne eleget egy ilyen bejuttatásra irányuló kérésnek. Némelyik azonban megjegyezte, hogy nem figyelmeztetné külön a felhasználót egy hatóságilag telepített ártalmas programra, ha a bíróság elrendelné a hallgatást. Legtöbbjük azonban úgy nyilatkozott, hogy még sosem kaptak ilyen bírósági végzést (az Egyesült Államokban) – csupán a McAfee és a Microsoft utasította vissza ebben a kérdésben a válaszadást.

Márpedig a hatóságok kihasználják például a billentyű-leütést figyelő, úgynevezett keylogger alkalmazásokban rejlő lehetőségeket – ezt maguk az ilyen szoftvert fejlesztő cégek erősítették meg. Az első ezzel kapcsolatos, nyilvánosságra került eset még 2001 végén okozott felháborodást: akkor derült ki, hogy a Magic Lantern névre hallgató trójai programot az FBI már egy ideje használja adatszerzésre a bűnözőnek tartott internetezőkkel szemben. Ez ráadásul csak egy kisebb része (volt) a szövetségi nyomozóiroda elektronikus eszköztárának: a Carnivore névre keresztelt projekt évekig futott az ügynökségnél – később azonban lecserélték a saját maguk által kifejlesztett alkalmazásokat kereskedelmi forgalomban is hozzáférhető programokra (ez utóbbiak ugyanis hatékonyabbak és olcsóbbak voltak, mint az FBI saját fejlesztései).

Visszatérve a kutatásra: némely válaszadó cég igen vehemensen reagált a megkeresésre. „Ügyfeleink fizetnek azért a szolgáltatásért, hogy megvédjük őket az ártalmas kódok minden fajtájától. Nem nekünk kell elvégeznünk a rendőrségi munkát az ügynökségek részére, ezért nem is tesszük és nem is fogjuk megtenni.” – mondta Marc Maiffret, az eEye Digital Security társalapítója és vezetője. Más vállalatok ugyanakkor sokkal inkább hajlandónak mutatkoztak az együttműködésre: a Check Point (amely 2004-ben szerezte meg a ZoneAlarm biztonsági eszközt) például úgy nyilatkozott, hogy egy ilyen megkeresés esetén hasonló udvariassággal terjesztené ki fehérlistáját a szövetségi rendőrökre, mint azoknál a (legitim) cégeknél, amelyek erre már korábban megkérték. Ugyanakkor a Check Point leszögezte azt is, hogy eddig még nem kapott ilyen felkérést.