Sítio do Piropo

B. Piropo

< Jornal Estado de Minas >
Volte
29/06/2006

< Windows e seu spyware >


WGA é a sigla de “Windows Genuine Advantage” (“Benefícios do Windows Genuíno”), um programa implementado pela MS em julho de 2005. Seu objetivo é “validar” (verificar se é legal, ou “genuína”) a cópia de Windows instalada no computador do usuário e somente permitir que ele usufrua certas facilidades oferecidas gratuitamente pela empresa (como a transferência de arquivos de seu “Download Center” e atualizações do sistema operacional) caso a validação resulte positiva.

Antes de sua implementação o programa era opcional. Nesta fase, foi testado por voluntários por quase dez meses nos quais efetuou a validação de cerca de cinqüenta milhões de cópias. Durante esta fase opcional, caso a validação falhasse, o usuário apenas recebia a informação de que a cópia era ilegal mas a transferência de arquivo ou atualização era permitida. Após a implantação definitiva, detectada uma cópia ilegal, a transferência é bloqueada.

A MS decidiu implementar o programa de validação de Windows após analisar o resultado de uma pesquisa da Business Software Alliance (encontrada em < www.pcworld.com/news/article/0,aid,120885,00.asp >) indicando que 35% do software usado em todo o mundo são constituídos por cópias “pirata” (nos EUA a porcentagem atinge a 22%), o que representa um prejuízo teórico de quase trinta bilhões de dólares para as desenvolvedoras.

O funcionamento do programa é relativamente simples. Quando o usuário efetua uma tentativa de obter produtos do Download Center da Microsoft ou atualizações (do Windows XP), o procedimento é interrompido por uma janela que informa ser necessário submeter o produto à validação para prosseguir a transferência.

Se o usuário optar por executar a validação, é transferido para sua máquina um controle ActiveX que que verifica se o sistema operacional é original ou “pirata”.

Controle ActiveX é um trecho de código executável que é transferido para o computador do usuário e nele executado. O que efetua o processo de validação faz uma varredura na máquina  verificando os seguintes pontos: chave do produto (Product Key) de Windows; marca e modelo do computador; versão do sistema operacional; informações do BIOS (desenvolvedor, versão e data); definições regionais e de idioma; número de série do disco rígido e outros dados. Segundo a MS, nenhum destes dados pode ser usado para identificar o usuário.

Feita a varredura, os dados (mais especificamente a chave do produto) são cotejados com um banco de dados administrado pela MS que armazena informações sobre características de cópias ilegais correntemente em uso. Se a validação for positiva (ou seja, se o procedimento não constatar que a cópia instalada é ilegal), uma “chave” criptografada é armazenada no disco rígido para indicar que a cópia é legal e o procedimento (atualização ou transferência de arquivo do Download Center) prossegue. Do contrário a transferência é bloqueada.

Segundo a Microsoft, há muita gente que usa cópias ilegais de Windows de boa fé. Na maioria dos casos são pessoas que adquiriram um computador já com Windows instalado na suposição que se tratava de uma cópia legal. Para estes será enviada uma licença de uso gratuita desde que o usuário comprove que de fato adquiriu o produto de boa fé apresentando o disco de instalação e uma prova da compra, com os dados do vendedor. Para os demais usuários de cópias ilegais que entrem em contato com o sítio do WGA será oferecida a oportunidade de adquirir eletronicamente uma licença de uso com desconto considerável (nos EUA a licença de Windows Home poderá ser adquirida por US$ 99 em vez dos US$ 199 de tabela e Windows XP Professional por US$ 149 em vez dos US$ 299 de tabela).

Incidentalmente: se você quer se certificar que sua cópia de Windows é legal pode efetuar voluntariamente a validação no sítio da Microsoft ( mais especificamente na página em português
< www.microsoft.com/resources/howtotell/pt-br/default.mspx >,
clicando no atalho “Windows Validation Assistant” do grupo “Valide agora”).

Mas os esforços da Microsoft para inibir o uso de cópias ilegais de seus produtos não pararam por aí. Em abril deste ano ela efetuou mais dois movimentos importantes.

O primeiro foi o lançamento, ainda em escala piloto, de um programa semelhante (OGA, de “Office Genuine Advantage”)   para validação dos produtos Office em sete idiomas, incluindo o Português do Brasil (os demais são Checo, Grego, Coreano, Chinês, Russo e Espanhol). Programa que, embora em fase embrionária, está em pleno andamento.

O segundo foi dar um passo à frente no programa WGA, incluindo as WGA Notifications.

Nesta nova fase do programa, caso o procedimento de validação venha a falhar, não apenas as transferências de arquivos e atualizações são bloqueadas (exceto no caso de atualizações críticas de segurança que, porém, somente continuarão a serem efetuadas caso o usuário habilite a atualização automática) como também o usuário é notificado, insistentemente, que sua cópia instalada é ilegal.

E o advérbio “insistentemente” nada tem de exagerado. Constatada que a cópia não é legal, a cada inicialização do sistema o usuário é informado disso e encaminhado ao sítio WGA para receber informações sobre como solucionar o problema através de uma mensagem cujo texto (traduzido do inglês) é o seguinte: “Você pode ter sido vítima de falsificação de software. Esta cópia de Windows não é genuína e não é qualificada para receber da Microsoft todas as atualizações e suporte do produto. Clique no atalho ‘obtenha cópia genuína agora’ para obter mais informações e resolver o problema”.

Se o usuário simplesmente ignorar a mensagem, será periodicamente “lembrado” que seu produto não é original seja através de novas mensagens que aparecem em “balões” junto à área de notificação (o trecho da direita da barra de tarefas), seja através de “banners” contendo o texto: “Esta cópia de Windows não é genuína. Você pode ter sido vítima de falsificação de software” e seguida das instruções sobre como resolver o problema. Estas mensagens continuarão a aparecer regularmente até que uma cópia original seja instalada.

E a coisa não pára por aí. Acontece que depois de instalado na máquina, cada vez que o computador é inicializado, quando a máquina se conectar à Internet, o controle ActiveX que executa a validação se conecta ao sítio da MS para onde envia um arquivo.

As notificações sucessivas e o fato de saber que um arquivo está sendo regularmente enviado da máquina para a MS já são suficientemente desagradáveis. Mas seria tolerável se afetasse apenas a quem tem instalada uma cópia pirata.

O problema é que Lauren Weinstein, um dos fundadores das instituições PFIR - People For Internet Responsibility, IOIC - International Open Internet Coalition, and EEPI - Electronic Entertainment Policy Initiative, descobriu que o envio do arquivo não ocorre apenas nos casos em que o procedimento de validação indica que a cópia é pirata. Pelo contrário, trata-se de um procedimento padrão do controle ActiveX após instalado, seja em micros com cópias legais ou ilegais. E, no dia 5 deste mês, Lauren botou a boca no trombone através de seu influente blog relatando a descoberta (veja em < http://lauren.vortex.com/archive/000178.html >). E, pior: acrescentou que, segundo seu modo de ver, de acordo com as definições correntes, a prática adotada pelo programa WGA Notifications poderia ser enquadrada como um procedimento típico de programas espiões (“spywares”).

Diz Lauren em seu artigo: “Eu não sei que dados estão sendo enviados à MS ou estão sendo recebidos durante estas conexões. Eu não encontrei qualquer informação nas descrições do procedimento divulgadas pela MS que indicassem que a ferramenta enviaria notificações cada vez que um sistema válido fosse inicializado. Eu não vejo porque a MS teria a ‘necessidade de saber’ estes dados depois que a validade de um sistema já tenha sido estabelecido”.

A reação da MS foi imediata. No mesmo dia em que a notícia foi postada no blog de Lauren o próprio diretor do programa WGA entrou em contado com ele para informar que a conexão com a MS a cada inicialização era estabelecida principalmente como um “mecanismo de escape” que permitiria desabilitar a ferramenta de validação caso ela passasse a funcionar mal (veja em < http://lauren.vortex.com/archive/000179.html >).

Lauren não se mostrou muito convencido e deixou claro que esta função levantava sérias preocupações sobre a privacidade dos usuários de Windows.

Pois bem: nesta terça-feira, 27 de junho, Lauren Weinstein publicou em seu blog um novo artigo, “Details From Microsoft Regarding Significant WGA Changes” (veja em < http://lauren.vortex.com/archive/000184.html >) onde informa que foi novamente procurado por representantes da Microsoft que informaram que a partir daquela data entravam no ar alterações no programa WGA, dentre as quais a principal consiste em uma mudança na comunicação entre a ferramenta e a empresa.

Segundo aqueles representantes, a partir de anteontem, a nova versão do WGA Notifications não mais será considerada piloto, mas definitiva. E caso a validação seja efetuada, ela apenas tentará se comunicar com a MS uma única vez durante a inicialização do sistema para informar que a cópia é válida. E somente continuará tentando caso não consiga o contato. Isto feito, não mais tentará qualquer comunicação.

As únicas tentativas de comunicação que continuarão a ser feitas serão aquelas relativas ao processo de validação (não ao de notificação) e somente quando os usuários efetuarem transferências de arquivos do Download Center ou das atualizações (não críticas) do sistema e solicitar que sua cópia seja validada.

E, de fato, desde 27/06 a página da MS com respostas a perguntas freqüentes sobre o assunto (em < www.microsoft.com/genuine/downloads/faq.aspx?displaylang=en >) inclui a pergunta “O que acontece quando o WGA Notifications se comunica com a Microsoft quando um PC é inicializado?” e sua resposta informando: “A versão piloto deste software se comunicava com a Microsoft periodicamente depois da validação. Esta função foi removida da versão final da WGA Notifications. O processo de validação WGA continuará a se comunicar periodicamente com a Microsoft”.

Ou seja: com seu blog, Lauren Weinstein conseguiu alterar a política de validação de produtos da Microsoft.

Uma prova que o usuário tem voz e vez mesmo quando enfrenta um gigante como a MS.

B. Piropo