terça-feira, 16 de março de 2010

'Guia de espionagem' da Microsoft:

 O que você precisa saber

(http://idgnow.uol.com.br/seguranca/2010/02/26/guia-de-espionagem-da-microsoft-o-que-voce-precisa-saber)
Por PC World/EUA
Publicada em 26 de fevereiro de 2010 às 16h44
Atualizada em 26 de fevereiro de 2010 às 16h47
Documento vazado pelo site Cryptome orienta agentes da lei sobre as informações de usuário que a Microsoft guarda, e como obtê-las.
Desde 1996, o site Cryptome tem divulgado documentos que governos e empresas gostariam que permanecessem secretos. Agora o Cryptome estende seu olhar à web com a liberação do Microsoft Online Services Global Criminal Compliance Handbook, um “guia de espionagem” para agentes da lei e que traz detalhes sobre os dados que a Microsoft obtém, guarda e pode fornecer.

Como a maioria de nós é usuária da Microsoft, há algumas informações que você precisa saber antes de comprar pontos do Xbox Live, se conectar ao Office Live, ou enviar um e-mail no Hotmail.

O que é o “guia de espionagem”?
O Global Criminal Compliance Handbook é um documento explicativo semiabrangente concebido para investigadores, policiais e outros agentes da lei que querem acessar as informações armazenadas pela Microsoft. Ele também oferece amostras de texto para uso em intimações e diagramas que ajudam a entender os registros dos servidores.

O termo “semiabrangente” se justifica aqui porque, com apenas 22 páginas, ele não explora os bits e bytes dos sistemas da Microsoft; é mais como um guia de caça à informação, feito para leigos.

Quais serviços da Microsoft são abordados?
Todos. A Microsoft mantém as informações dos usuários relacionadas aos serviços online. Os dados abrangem de e-mails antigos a números de cartão de crédito. A informação é mantida por um certo período de tempo – às vezes, para sempre.

Os sites mencionados são:

Windows Live
Windows Live ID
Microsoft Office Live
Xbox Live
MSN
Windows Live Spaces
Windows Live Messenger
Hotmail
MSN Groups
Alguns desses serviços da Microsoft podem não se aplicar a um grande número de pessoas. Quem usa o MSN Groups, afinal? Mas o acesso a informações pessoais das contas Xbox Live, por exemplo, pode ser um problema para seus 23 milhões de assinantes, especialmente porque o Xbox Live guarda mais dados do que a maioria dos outros serviços da empresa.

Que informações a Microsoft tem?
Depende do serviço. Segue uma lista dos principais.

::Windows Live ID
A Windows Live ID é um dos principais canais de retenção de dados de usuários. Ela é usada em diversos sites, para limitar a criação de diferentes nomes de usuário e senha. Por seu amplo alcance, o Windows Live ID poderia dar às autoridades legais o acesso a toneladas de informações pessoais sobre a navegação na web. A Microsoft mantém “as 10 últimas combinações de conexão IP e site visitado” dentro do portal da empresa, “e não as últimas dez conexões IP consecutivas”.

No fim da contas, isso não é lá tão ruim. Mas pode ficar pior.

::Hotmail
“Os dados de registros de contas de e-mail são retidos por toda a existência da conta. O histórico de conexões IP é retido por 60 dias”, de acordo com o documento. Mas se você, como muitos, migrou para o Gmail e abandonou o Hotmail, todo o conteúdo da conta é “geralmente apagado depois de 60 dias de inatividade. Se o usuário não reativar sua conta, os serviços gratuitos MSN Hotmail e Windows Live Hotmail se tornarão inativos depois de um período de tempo”.

O conteúdo de e-mail mais antigo que 180 dias pode ser aberto “desde que a entidade governamental siga as instruções de notificação do consumidor” da legislação norte-americana. Se o conteúdo for mais novo do que 181 dias, você precisará de um mandado de busca.

::Xbox Live
O Xbox Live armazena vários tipos de informação:
Gamertag
Número do cartão de crédito
Telefone
Primeiro e último nome, com CEP
Número de série (mas apenas se o console tiver sido registrado online)
Número de solicitação de serviço da Xbox Hotline
Conta de e-mail (como @msn.com, @hotmail.com ou qualquer outra conta Windows Live ID)
Histórico de IP pelo tempo de vida da gamertag (apenas uma gamertag por vez)
Essas informações são colhidas e mantidas para propósitos bem intencionados, por isso não fique completamente paranóico. Por exemplo, se seu console Xbox 360 for roubado, a Microsoft poderá caçá-lo usando seu grande banco de registros com dados sobre você e sua máquina.

::Office Online e Windows Live SkyDrive
A parte mais assustadora do manual aparece agora. O Office Online e o Windows Live SkyDrive são serviços que armazenam documentos e arquivos na nuvem. As duas páginas dedicadas a estes serviços descrevem somente o que os produtos são e não o acesso que a Microsoft tem à informação. O que a Microsoft pode obter daí? Por quanto tempo os arquivos são mantidos? Quais são os parâmetros legais? Tudo isso é incerto, o que provoca um certo frio na espinha.

A cloud computing (computação em nuvem) é a nova tendência em tecnologia. Empresas podem armazenar documentos financeiros e de negociação sigilosos em uma das nuvens da Microsoft. Se solicitado pelo governo, a Microsoft poderia (ou não?) mergulhar suas mãos em suas planilhas e extrair de lá o que quiser.

O jargão jurídico
A última parte do documento detalha os procedimentos legais necessários para obter informações da Microsoft. Mas com as escutas sem mandado virando moda ultimamente – como evidenciado pelo obscuro acordo do Google com a NSA – ninguém sabe ao certo quantos lacres o governo precisa quebrar para conseguir o que quer.
Uma história breve
Não se sabe como John Young, dono do Cryptome, obteve o Global Criminal Compliance Handbook; o certo é que sua ação mereceu a atenção da Microsoft. A empresa entrou rapidamente com uma ação na Justiça, baseando-se na Digital Millenium Copyright Act (DMCA), alegando violação de direito de autor.

Em 1998, a DMCA tornou crime a produção e a divulgação de métodos tecnológicos capazes de burlar proteções como a DRM, que visam controlar o acesso a produção protegida por direitos autorais. Ela também criminaliza a ação de contornar um controle de acesso, tenha ou não a intenção de infringir um direito de autor.

Algumas organizações têm um problema com o uso da DMCA nesse caso. A Electronic Frontier Foundation “vê problemas na invocação do direito de autor aqui. A Microsoft não vende este manual. Não há mercado para esta obra. Não é um assunto de direito de autor. A cópia de John é para uso justo. Isso é uma questão para a lei de expressão”, disse Cindy Cohn, da Electronic Frontier Foundation, ao ReadWriteWeb. Cohn afirmou que em casos que envolvem ofensas ou segredos comerciais há um procedimento de ir à corte, abrir um caso, e obter uma injunção – preencher uma queixa DMCA, como foi feito, “torna a censura fácil”.

De qualquer modo, a vontade da Microsoft prevaleceu. O hospedeiro do Cryptome, a Network Solutions, tirou o site do ar. Na quarta-feira (24/2), Young solicitou um recurso à Justiça. (Nesta sexta-feira, 26/2, o site voltou ao ar, depois que a Microsoft retirou sua queixa com base na DMCA. A Microsoft, por sua vez, divulgou uma nota sobre o caso, em que afirma que "não pedimos que o site fosse tirado do ar, apenas que o conteúdo da Microsoft fosse retirado do ar. Estamos pedindo que o site seja restaurado e não exigimos mais que o documento seja removido", afirmou a empresa.)

Pessoalmente, penso que The Global Criminal Compliance Handbook não é tão perigoso como alguns podem pensar (exceto pela parte da cloud computing). A Microsoft precisa de medidas para colaborar com o governo em caso de perigo, simples assim. Mas com tanta informação lá fora, boa parte sob “domínio” da Microsoft, não posso ter senão um sentimento de vulnerabilidade e exposição.

E pelo bem da liberdade da internet, é crucial que o Cryptome permaneça no ar. O site serve a um propósito claro e importante; sua mais recente – e talvez a última – divulgação é prova disso.

(Brennon Slattery)
Reações:

0 comentários: