Кейлоггеры и закон: на чужих ошибках

В связи с очередной новостью об уголовном преследовании за использование кейлоггеров в очередной раз хотелось бы поднять тему о законности их применения.

shutterstock_154122851

А ещё рассказать об одном важном нововведении в интерфейсе наших программ, призванном уберечь пользователей от неумышленного нарушения закона.

personal-monitor-setup-1

На прошлой неделе к четырём месяцам заключения приговорили британского студента Бирмингемского университета по имени Имран Уддин (Imran Uddin). Его привлекли по статье «Неправомерное использование компьютерных технологий» за то, что он установил на публичных университетских компьютерах четыре аппаратных кейлоггера, похитил с их помощью пароли преподавателей и «улучшил» свои оценки по пяти предметам в университетской системе учёта успеваемости студентов.

Устройства обнаружили при обновлении аппаратной начинки одного из компьютеров, в логах системы учёта успеваемости нашли следы деятельности конкретного студента, а уже потом полиция обнаружила на его личном компьютере в истории браузера страницы покупки кейлоггеров на eBay и авторизации в университетской системе. Для суда этого оказалось достаточно.

Журналисты, которые пишут статьи об этом инциденте, упирают на то, что студент был наказан за использование кейлоггеров. На самом деле это как минимум не совсем так.

Приобретение аппаратных устройств (как и программных продуктов) для перехвата нажатых клавиш не является нарушением закона.

Установка их на собственный компьютер, на компьютеры своих детей или своих подчинённых (с соблюдением ряда условий) тоже не является нарушением закона.

Основное нарушение закона в данной истории — это именно проникновение в учётную систему университета с использованием похищенного пароля другого человека и изменение данных в этой системе.

В Уголовном Кодексе Российской Федерации, например, это описано так:

Статья 272 УК РФ. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к … компьютерной информации…, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети.

Вчитайтесь в это определение и старайтесь по возможности избегать подобных ситуаций, так как наказание по этой статье уголовное и достаточно серьёзное.

Нам часто звонят и пишут пользователи с вопросом о том, как перехватить пароль от социальной сети, или почему программа не перехватывает номера банковских карт. Ответ на эти вопросы лежит на поверхности: мы не рекомендуем использовать наши программы в незаконных целях.

Мы затачиваем наши программы под «мирные» и законные цели.

Personal Monitor реализован для родителей, желающих наблюдать за своими детьми, обезопасить их от опасностей сети. В программе, например, есть функция «Сигнальные слова», которая моментально уведомляет родителей, если ребёнок использовал в переписке одно из заранее указанных стоп-слов (персональные данные, домашний адрес или что-то такое, что в интернете упоминать не рекомендуется).

Employee Monitor реализован для руководителей организаций, желающих знать, чем занимаются их сотрудники в рабочее время. Программа создаёт отчёты о том, какими программами пользовался сотрудник, какое время, какие сайты посещал, вовремя ли приходил на работу и т.д.

Как вы видите, сценарий «перехватить пароль от социальной сети» не попадает в задачи пользователей ни первой ни второй программы. Не говоря уже о номерах кредитных карт, счетов, онлайн-кошельков и прочей финансовой информации.

Чтобы убедиться, что пользователь понимает, для чего наши программы, и что он имеет право на их использование на конкретном компьютере, мы применили несколько решений, которые не затрагивают законопослушных пользователей.

1) Варианты установки

В самом начале установки программы пользователю нужно выбрать, для чего он собирается использовать программу:

  • для наблюдения за своим собственным компьютером,
  • для наблюдения за компьютером своего ребёнка,
  • для наблюдения за компьютером своего подчиненного,
  • другие цели.

personal-monitor-setup-1

В случае, если пользователь выберет «другие цели» — программа отключит настройки невидимости, скрыть её будет невозможно. В остальных случаях режим невидимости будет доступен.

2) Требования для установки

При установке программа запрашивает пароль пользователя с правами администратора. Она нигде его не сохраняет и никак не использует — просто проверяет, что он подходит.

personal-monitor-setup-2

Это позволяет исключить вариант, что программу устанавливают на компьютер без ведома его владельца (например, если он забыл выключить компьютер).

3) Исключения перехвата

Как мы уже писали выше, некоторые вещи программа принципиально не перехватывает. Мы надеемся, что наши пользователи понимают, что это сделано в первую очередь для их же безопасности.

Закон суров, сложен, не очевиден, а его применение порой несоизмеримо с масштабами нарушений. Поэтому программа в некоторых случаях «закрывает глаза», если считает, что пользователь стоит на пороге нарушения закона.