Diálogo sobre WGA
Com o acadêmico do
Direito Henrique Fontes,
Prof. Pedro Antonio Dourado de Rezende
Ciência da Computação - Universidade de
Brasília
Agosto de 2007
Em agosto de 2007 Henrique Fontes e o autor
travaram o seguinte diálogo sobre o tema.
1.
Estou elaborando uma monografia para o curso de Direito, cujo tema
é em relação ao código de defesa do
consumidor e os métodos utilizados pelas empresas de softwares
para "fiscalizarem" nossos computadores, como o WGA, a licitude ou
ilicitude destes atos. Li sua matéria
no site do JusNavigandi sobre as dúvidas com o Windows WGA,
gostaria de saber se você tem mais informações
sobre o assunto.
Primeiramente, gostaria de cumprimentá-lo pela escolha do tema
da sua monografia. Importante mas largamente desprezado.
2. Se a Microsoft
ainda está instalando este software nos computadores com Windows
XP?
Sim, a empresa segue instalando o WGA nos computadores com
Windows XP.
De novidade após aquela publicação no
JusNavegandi, depois ela mesma publicou, em seu portal de notas
técnicas, instruções sobre como desinstalar
manualmente o WGA do XP, o que lhe permite refutar o que diz a respeito
na própria licença do WGA. Há notícias de
que teria também modificado a licença, ofuscando alguns
abusos gritantes da versão comentada, e que teria reprogramado
a
frequência com que o WGA se conecta para enviar dados da
máquina do usuário.
Entretanto ela segue, nas atualizações, tentando instalar
o WGA onde não esteja, e não permitindo
atualizações importantes sem a presença dele
instalado. Não só aquelas atualizações que
classifica como "de segurança", mas também de
funcionalidade, como por exemplo o navegador IE, para
a
versão 7.0.
3. Se o problema foi resolvido ou
disfarçado?
Não sei a qual problema se refere, pois existem
vários relacionados ao WGA. De qualquer forma, como já
comentado, alguns abusos na licença foram disfarçados, a
frenética espionagem diária foi defasada (ao que parece
para quizenal) mas ampliada no Vista (em escopo e meios).
**-[Atualização em 29/10/2007]
Para confirmar, basta ver como o relatório da Microsoft ao SEC
(Security & Exchange Comission, órgão regulador dos
negócios em bolsa com ações de empresas de capital
aberto nos EUA), referente ao tremestre
encerrado em 30/09/2007, contradiz diretamente o que diz a
liença do WGA:
"Improper
disclosure of personal data could result in liability and harm
our reputation. We store and process significant amounts of personally
identifiable information. It is possible that our security controls
over personal data, our training of employees and vendors on data
security, and other practices we follow may not prevent the improper
disclosure of personally identifiable information. Such disclosure
could harm our reputation and subject us to liability under laws that
protect personal data, resulting in increased costs or loss of revenue.
Our software products also enable our customers to store and process
personal data. Perceptions that our products do not adequately protect
the privacy of personal information could inhibit sales of our products"
[fim da atualização
29/10/2007]
Quanto aos problemas, outros surgiram ou se compuseram, como
agravantes. O mais recente, uma pane -- a segunda em 11 meses -- nos
servidoes responsáveis pelo registro de licenças, que
passaram a marcar
clientes legítimos como piratas, durante mais de 19 horas.
Dentes os mais graves, em minha opinião, além dos falsos
negativos, o problema dos bloqueios em missão crítica
por falsos
positivos na identificação de cópia pirata, ou
por identificação de origem insuspeita [1, 2,
3, 4],
e
o problema da exigência do ActiveScripting. Sem falar nas atualizações
sorrateiras, que podem
estar ocorrendo mesmo com o recurso desabilitado pelo
usuário.
Para automatizar a atualização de segurança de
instalações legítimas, via WGA, o usuário
do Windows é obrigado a habilitar o recurso "Active Scripting"
(VBScript) em modo de execução automática,
configuração responsável pelas mais populares e
massivas formas de invasão a essa plataforma.
A grande maioria dos ataques ainda é feita com programas
escritos em VBScript, que exploram, em mensagens de correio
eletrônico ou páginas web, falhas já conhecidas do
sistema Windows ou em aplicativos a ele "integrados". A
adaptação da linguagem Visual Basic para conteúdo
ativo na internet, como VBScript, foi uma decisão que deu margem
a
que conteúdos maliciosos externos controlem processos internos
dessa plataforma, mas que não foi revista no Vista.
4. Qual método
está sendo utilizado com o Windows Vista?
O Vista tem sua arquitetura baseada na desesperada
filosofia DRM,
que supõe serem os direitos de fornecedores de conteúdo
digital sobre seu computador mais importantes que os seus [1,
2].
Em consequência o WGA, que é uma ferramenta DRM do
fornecedor do Vista, faz parte de sua estrutura interna e não
pode ser removido, como no caso do XP.
Sendo assim, era de se esperar que o escopo
e
os meios
de espionagem controlados pelo WGA se expandissem no Vista, em
relação ao XP. Sua introdução da forma que
se deu no XP, servindo para acostumar consumidores, já rendidos
à marca, com a idéia de que serão, cada vez
mais, meros inquilinos de seus próprios computadores. A
análise mais abrangente desta expansão, de que tomei
conhecimento, foi publicada no portal softpedia.
**-[Atualização em
10/09/2009]
Depois tomei conhecimento de mas análises interessantes, uma
pesquisando as conexões da fornecedora com a National Security Agency dos EUA,
e outra onde o pesquisador afirma que a porta de fundo WMF
foi propositalmente introduzida pela fornecedora.
[fim da atualização
10/09/2009]
Doutro lado, entre os problemas que se compõem ou se agravam, o
Vista restringe
a capacidade
da indústria independente de softwares de
segurança. Com o Vista, para proteger-se o usuário
fica a mercê da mesma empresa cujas deficiências em seus
produtos impulsionaram essa indústria no passado,
indústria agora cooptada a coadjuvante na nova plataforma. E sem
concorrência,
a relação preço/performance nas
soluções de segurança disponíveis tende
a
deteriorar-se. Como também as possibilidades de defesa do
usuário contra abusos de poder do fornecedor,
até mesmo sob a perspectiva dos acionistas da própria
Microsoft
* -Em
troca de emails em 30-08-2007, o autor pediu e obteve
autorização para publicação deste debate
neste site nesses termos.
**-Atualizado em 29-10-2007, 10-09-2009