 |
| Figura |
Há exatamente uma semana, em 30 de dezembro passado, Mark Russinovich anunciou em seu blog (em < www.sysinternals.com/Blog/ >) que, finalmente, a Sony havia firmado uma proposta de acordo para finalizar a ação movida contra ela pelo advogado Scott Kamber referente ao sistema de proteção contra cópia adotado pela empresa que criava uma vulnerabilidade nos micros onde era instalado.
O caso já foi fartamente comentado, rolou na Internet e nas conversas de esquina, portanto não é novidade. Mas para quem não tomou conhecimento dele, aqui vai um breve resumo:
Em outubro passado Mark, um especialista em segurança, detectou a presença de um “rootkit” em sua máquina. Um “rootkit” é um programa, quase sempre mal intencionado, que se incorpora ao cerne (“kernel”) do sistema operacional sem deixar traços e é geralmente usado para instalar as chamadas “portas dos fundos” (“backdoors”) que, quando exploradas, permitem a terceiros assumir o controle da máquina através da Internet. Uma investigação do interior de sua própria máquina revelou a Mark que o rootkit havia sido instalado por uma certa empresa “First 4 Internet”, especializada em proteção contra cópia de meios digitais, que havia desenvolvido a tecnologia denominada XCP (eXtended Copy Protection), integrante do sistema de proteção contra cópia DRM utilizado pela Sony. Em suma: o rootkit havia sido instalado por um CD de áudio da Sony executado no computador de Mark.
A divulgação deste fato causou uma confusão dos diabos. Não é admissível que uma empresa do porte da Sony, no afã de proteger seus discos contra cópia, chegue ao ponto instalar um programa que cria uma vulnerabilidade no micro de seus clientes, vulnerabilidade esta que pode ser aproveitada por terceiros e causar sérios prejuízos aos usuários. E, segundo o próprio Mark em seu blog, a Sony chegou a distribuir entre dois e cinco milhões de CDs de 52 títulos, todos infectados pelo seu “sistema de proteção”.
No início a reação da indústria foi cautelosa. Afinal, a Sony não é nenhuma empresa de fundo de quintal e a acusação era séria. Mas logo as evidências demonstraram que o inacreditável havia realmente ocorrido e as principais desenvolvedoras de software antivírus começaram a tratar o rootkit da Sony como uma ameaça. A Symantec, por exemplo, destacou que “este rootkit foi concebido para ocultar um aplicativo legítimo mas pode ser usado para esconder outros objetos, inclusive programas mal intencionados” e criou uma ferramenta para remoção disponível em
< www.symantec.com/avcenter/venc/data/securityrisk.aries.html >.
A Computer Associates, em
< http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453096362 >,
classifica o software da Sony como “Trojan”, ou “Cavalo de Tróia”, e sugere desativar a execução automática de CDs para os discos que usam o XCP.
No final de novembro a própria Sony veio a público para anunciar o “XCP Exchange Program” através do qual ela se propunha a trocar todos os CDs com o sistema de proteção XCP por cópias idênticas sem o sistema, além de distribuir um software que, segundo ela, “resolvia as vulnerabilidades de segurança associadas ao programa XCP”. Na mesma nota, disponível em < http://cp.sonybmg.com/xcp/ >, ela garante haver interrompido a fabricação de CDs usando o programa XCP e informa que mantinha entendimentos com os revendedores para recolher os discos infectados.
O problema é que, analisando o software oferecido pela Sony, Mark Russinovich concluiu que não era seguro (poderia causar o travamento do sistema) nem eficaz. E que, apesar do anúncio da empresa, pouco ou nenhum esforço havia sido feito para recolher os discos, que podiam ser livremente encontrados em lojas de Austin, Filadélfia e Chicago duas semanas após o anúncio. E, pior, muitos dos vendedores sequer sabiam que o produto deveria ser recolhido.
Incidentalmente: segundo Mark, para verificar se a máquina está infectada com o XCP, basta acionar a entrada “Executar” do menu “Iniciar” e digitar o comando: “cmd /k sc query $sys$aries” (assim mesmo, respeitando os espaços, porém sem aspas). A resposta ao comando deve ser “O serviço especificado não existe como serviço instalado”. Se for “Executando” ou algo parecido, a máquina está infectada. Neste caso é preciso remover o driver Aries.Sys e seu registro em Windows, o que pode ser feito mediante o comando “cmd /k sc delete $sys$aries” seguido da reinicialização do sistema.
Naturalmente, diante da admissão de culpa da Sony e de tanta relutância em resolver o problema de forma efetiva, não faltou quem se dispusesse a recorrer ao judiciário. Como o advogado Scott Kamber, de Nova Iorque, que decidiu processar a empresa com base na lei de proteção ao consumidor. Mark Russinovich atuou no processo como consultor técnico.
Pois bem: embora o processo não tenha chegado ao final (o acordo ainda deve ser aprovado pelo tribunal), Sony e Kamber chegaram a termos que Mark Russinovich considera satisfatórios. Segundo o acordo, cujo texto completo pode ser obtido em um arquivo no formato PDF em < www.sysinternals.com/blog/images/sonysettles/sonysettlement.pdf > a Sony, além de se comprometer a substituir os CDs infectados por outros CDs a serem escolhidos em uma lista ou a devolver o dinheiro, permitirá uma auditoria independente de seus sistemas de proteção e EULAs (“End User Licence Agreement”, acordo de licença com o usuário final, aquele longo texto em letras pequenas que aparece quando se instala um programa e ninguém lê antes de clicar em “de acordo”). Além disso, a empresa se compromete a desistir da maioria dos termos das EULAs de seus sistemas atuais de proteção e a examinar as queixas de usuários de computadores que foram prejudicados pelo uso do XCP.
Não é muito, mas já é alguma coisa. Talvez o suficiente para que as grandes corporações aprendam que não podem meter o bedelho impunemente nos micros dos usuários de seus produtos.
Talvez não...
B.
Piropo
