11 de março de 2010

'Guia de espionagem' da Microsoft: o que você precisa saber

Publicado em 03 e 10/03/2010


Documento vazado pelo site Cryptome orienta agentes da lei sobre as informações de usuário que a Microsoft guarda, e como obtê-las.

Desde 1996, o site Cryptome tem divulgado documentos que governos e empresas gostariam que permanecessem secretos. Agora o Cryptome estende seu olhar à web com a liberação do Microsoft Online Services Global Criminal Compliance Handbook, um “guia de espionagem” para agentes da lei e que traz detalhes sobre os dados que a Microsoft obtém, guarda e pode fornecer.

Como a maioria de nós é usuária da Microsoft, há algumas informações que você precisa saber antes de comprar pontos do Xbox Live, se conectar ao Office Live, ou enviar um e-mail no Hotmail.

O que é o “guia de espionagem”?

O Global Criminal Compliance Handbook é um documento explicativo semiabrangente concebido para investigadores, policiais e outros agentes da lei que querem acessar as informações armazenadas pela Microsoft. Ele também oferece amostras de texto para uso em intimações e diagramas que ajudam a entender os registros dos servidores.

O termo “semiabrangente” se justifica aqui porque, com apenas 22 páginas, ele não explora os bits e bytes dos sistemas da Microsoft; é mais como um guia de caça à informação, feito para leigos.

Quais serviços da Microsoft são abordados?

Todos. A Microsoft mantém as informações dos usuários relacionadas aos serviços online. Os dados abrangem de e-mails antigos a números de cartão de crédito. A informação é mantida por um certo período de tempo – às vezes, para sempre.

Alguns desses serviços da Microsoft podem não se aplicar a um grande número de pessoas. Quem usa o MSN Groups, afinal? Mas o acesso a informações pessoais das contas Xbox Live, por exemplo, pode ser um problema para seus 23 milhões de assinantes, especialmente porque o Xbox Live guarda mais dados do que a maioria dos outros serviços da empresa.

Que informações a Microsoft tem?

Depende do serviço. Segue uma lista dos principais.

::Windows Live ID

A Windows Live ID é um dos principais canais de retenção de dados de usuários. Ela é usada em diversos sites, para limitar a criação de diferentes nomes de usuário e senha. Por seu amplo alcance, o Windows Live ID poderia dar às autoridades legais o acesso a toneladas de informações pessoais sobre a navegação na web. A Microsoft mantém “as 10 últimas combinações de conexão IP e site visitado” dentro do portal da empresa, “e não as últimas dez conexões IP consecutivas”.

No fim da contas, isso não é lá tão ruim. Mas pode ficar pior.

::Hotmail

“Os dados de registros de contas de e-mail são retidos por toda a existência da conta. O histórico de conexões IP é retido por 60 dias”, de acordo com o documento. Mas se você, como muitos, migrou para o Gmail e abandonou o Hotmail, todo o conteúdo da conta é “geralmente apagado depois de 60 dias de inatividade. Se o usuário não reativar sua conta, os serviços gratuitos MSN Hotmail e Windows Live Hotmail se tornarão inativos depois de um período de tempo”.

O conteúdo de e-mail mais antigo que 180 dias pode ser aberto “desde que a entidade governamental siga as instruções de notificação do consumidor” da legislação norte-americana. Se o conteúdo for mais novo do que 181 dias, você precisará de um mandado de busca.

::Xbox Live

O Xbox Live armazena vários tipos de informação:

Gamertag

Número do cartão de crédito

Telefone

Primeiro e último nome, com CEP

Número de série (mas apenas se o console tiver sido registrado online)

Número de solicitação de serviço da Xbox Hotline

Conta de e-mail (como @msn.com, @hotmail.com ou qualquer outra conta Windows Live ID)

Histórico de IP pelo tempo de vida da gamertag (apenas uma gamertag por vez)

Essas informações são colhidas e mantidas para propósitos bem intencionados, por isso não fique completamente paranóico. Por exemplo, se seu console Xbox 360 for roubado, a Microsoft poderá caçá-lo usando seu grande banco de registros com dados sobre você e sua máquina.

::Office Online e Windows Live SkyDrive

A parte mais assustadora do manual aparece agora. O Office Online e o Windows Live SkyDrive são serviços que armazenam documentos e arquivos na nuvem. As duas páginas dedicadas a estes serviços descrevem somente o que os produtos são e não o acesso que a Microsoft tem à informação. O que a Microsoft pode obter daí? Por quanto tempo os arquivos são mantidos? Quais são os parâmetros legais? Tudo isso é incerto, o que provoca um certo frio na espinha.

A cloud computing (computação em nuvem) é a nova tendência em tecnologia. Empresas podem armazenar documentos financeiros e de negociação sigilosos em uma das nuvens da Microsoft. Se solicitado pelo governo, a Microsoft poderia (ou não?) mergulhar suas mãos em suas planilhas e extrair de lá o que quiser.

O jargão jurídico

A última parte do documento detalha os procedimentos legais necessários para obter informações da Microsoft. Mas com as escutas sem mandado virando moda ultimamente – como evidenciado pelo obscuro acordo do Google com a NSA – ninguém sabe ao certo quantos lacres o governo precisa quebrar para conseguir o que quer.

Uma história breve

Não se sabe como John Young, dono do Cryptome, obteve o Global Criminal Compliance Handbook; o certo é que sua ação mereceu a atenção da Microsoft. A empresa entrou rapidamente com uma ação na Justiça, baseando-se na Digital Millenium Copyright Act (DMCA), alegando violação de direito de autor.

Em 1998, a DMCA tornou crime a produção e a divulgação de métodos tecnológicos capazes de burlar proteções como a DRM, que visam controlar o acesso a produção protegida por direitos autorais. Ela também criminaliza a ação de contornar um controle de acesso, tenha ou não a intenção de infringir um direito de autor.

Algumas organizações têm um problema com o uso da DMCA nesse caso. A Electronic Frontier Foundation “vê problemas na invocação do direito de autor aqui. A Microsoft não vende este manual. Não há mercado para esta obra. Não é um assunto de direito de autor. A cópia de John é para uso justo. Isso é uma questão para a lei de expressão”, disse Cindy Cohn, da Electronic Frontier Foundation, ao ReadWriteWeb. Cohn afirmou que em casos que envolvem ofensas ou segredos comerciais há um procedimento de ir à corte, abrir um caso, e obter uma injunção – preencher uma queixa DMCA, como foi feito, “torna a censura fácil”.

De qualquer modo, a vontade da Microsoft prevaleceu. O hospedeiro do Cryptome, a Network Solutions, tirou o site do ar. Na quarta-feira (24/2), Young solicitou um recurso à Justiça. (Nesta sexta-feira, 26/2, o site voltou ao ar, depois que a Microsoft retirou sua queixa com base na DMCA. A Microsoft, por sua vez, divulgou uma nota sobre o caso, em que afirma que "não pedimos que o site fosse tirado do ar, apenas que o conteúdo da Microsoft fosse retirado do ar. Estamos pedindo que o site seja restaurado e não exigimos mais que o documento seja removido", afirmou a empresa.)

Pessoalmente, penso que The Global Criminal Compliance Handbook não é tão perigoso como alguns podem pensar (exceto pela parte da cloud computing). A Microsoft precisa de medidas para colaborar com o governo em caso de perigo, simples assim. Mas com tanta informação lá fora, boa parte sob “domínio” da Microsoft, não posso ter senão um sentimento de vulnerabilidade e exposição.

E pelo bem da liberdade da internet, é crucial que o Cryptome permaneça no ar. O site serve a um propósito claro e importante; sua mais recente – e talvez a última – divulgação é prova disso.