Acrylic
Registrado: 28 Oct 2005
Mensajes: 90
|
|
Según Microsoft, cuando el WGA se usa por primera vez, se configura para recopilar la clave de la copia de Windows XP, la versión del sistema, los datos del fabricante de la PC, sobre el BIOS y sobre la configuración de idioma. Nada, según Microsoft, que pueda identificar al usuario o a los programas que usa o cualquier cosa por el estilo.
Entre tanto, como se puede verificar en el propio site de la empresa, Microsoft recoje más que eso. En el momento en que la versión original de este artículo comenzaba a ser escrita (12 de junio de 2006), sobre WGA y el tipo de información recopilada, la empresa decía, en la página web que estaba en el link apuntado más arriba, lo siguiente:
Información recolectada durante la validación
P: ¿Qué información recopilan de mi computadora?
R: El proceso de validación genuina recogerá información sobre su sistema para determinar si su programa de Microsoft es original. Ese proceso no recoge ni envía información que pueda ser usada para identificarlo o contactarlo. La única información recogida en el proceso de validación es:
Windows product key
PC manufacturer
Operating System version
PID/SID
BIOS information (make, version, date)
BIOS MD5 Checksum
User locale (language setting for displaying Windows)
System locale (language version of the operating system)
Office product key (if validating Office)
Hard drive serial number
P: ¿Cuál es el uso que Microsoft hace de esa información?
R: Esa información sirve a tres propósitos:
Proveer el flujo de páginas web, adaptando las páginas que usted ve basándose en sus respuestas.
Aportar datos demográficos, que ayudan a Microsoft a entender las diferencias regionales en el uso de Windows y Office.
Confirmar los datos otorgados por el usuario. Los datos aportados por los usuarios son frecuentemente cruzados con datos obtenidos de su computadora para determinar si se debe o no atender un pedido de acceso adicional.
De los propósitos que podrían justificar la recopilación de datos tales como el número de serie del HD o la dirección IP, que son individuales, podemos descontar los tres citados. Microsoft no necesita esos datos para proveer el flujo de páginas web, tampoco para los datos demográficos de uso, ni para confirmar los datos provistos por el usuario. A menos que esté también husmeando en el contenido instalado en cada computadora, cosa que la empresa afirma que no está haciendo. Está claro que, una vez dentro de la computadora, no hay nada que pueda detenerla si estuviera dispuesta a hacerlo.
Se encendió, se conectó
Entonces, ¿por qué razón Microsoft recopila esas informaciones y qué está haciendo con ellas? Dentro de las posibilidades, ciertamente hay más de lo que alegan. Como ya dije, ellos no necesitan el número de serie de tu HD, el nombre de la compañía que fabricó su computadora, el lenguaje que usted usa, la configuración de su BIOS o desde dónde está usted localizad para hacer cualquiera de las tres cosas que dicen que están haciendo con sus datos. Obviamente ellos están intentando verificar si usted es un pirata, y deberían admitir eso.
Y aún cuando lo admitan, ¿será necesario tener el número de serie de su HD para saber si usted es o no un pirata de software? Si usted quisiera cambiar de HD, ¿qué tendría que ver Microsoft con eso? Tendrían que ser ellos, por si acaso, los que le provean el hardware? De ninguna forma la recolección de esos datos está mencionada en la licencia asociada a WGA, por lo que no hay forma de sostener que el licenciante ha dado su permiso al aceptar la licencia, para que Microsoft recolecte ese tipo de información individual de su computadora. Pero la situación es todavía más grave.
En el relato de su descubrimiento, Lauren Weinstein escribió en su blog, el 5 de junio:
"parece que también en esos sistemas (los genuinos), la herramienta WGA tratará de contactar a Microsoft a través de internet cada vez que el computador se conecta.... Estos intentos de conexión ocurren aún cuando usted tenga desinstalada la "actualización automática" de Windows.
No sé cuales de los datos se están enviando a MS o cuales se están recibiendo durante esas conexiones. No puedo encontrar, en las declaraciones de la empresa, ninguna información que indique que la herramienta WGA notificará a MS cada vez que yo encienda un sistema validado como genuino. No logro ver cual es la necesidad de que Microsoft tenga conocimiento de esos datos después de que el origen de un sistema se haya considerado genuino y, seguramente, habrán organizaciones preocupadas con su seguridad, en las que tendrá impactó la divulgación de las informaciones sobre el proceso de inicio de sus sistema.
Les dejo a los especialistas en spyware la tarea de determinar formalmente si ese tipo de comportamiento califica o no esta herramienta como dispositivo de espionaje.(spyware)"
Ninguna Información
Después de que Weinstein escribió en su blog sobre su descubrimiento, fue contactado por Microsoft y tuvo la opotunidad de hacer algunas preguntas directamente. Al día siguiente (6 de junio) escribió en su blog al respecto:
"Porqué la nueva versión de la herramienta de validación WGA trata de comunicarse con Microsoft cada vez que la computadora se enciende? Los empleados de la empresa me dicen que, en este momento, las conexiones se realizan para proveer un mecanismo de escape que le permita a MS desactivar la herramienta de validación si está funcionando mal...
Me dijeron que, en la modalidad actual de WGA, ninguna información se envía de la PC durante esas conexiones, aunque Microsoft esté recibiendo la dirección de IP y datos sobre la fecha y hora de inicio del sistema y de operaciones continuadas, datos que no estaría o no debería estar recibiendo sin WGA.
Aparentemente, estas transacciones ocurren una vez por día, cuando el sistema se mantiene encendido, aunque Microsoft afirma que pretende desfasar la frecuencia de esas conexiones (creo que una vez cada dos semanas), cuando WGA sea actualizado, en un futuro próximo. Incluso, esas conexiones se usarán para cruzar información del sistema contra una lista de revocación de licencias (por ejemplo, cada 90 días), aunque el usuario nunca haya ingresado directamente al Windows Update."
Entonces, después del descubrimiento, MS confirma que obtiene la dirección de IP, datos sobre la fecha y hora de inicio del sistema e de las operaciones continuadas, pero sigue afirmando que "nada que pueda identificar al usuario, o a los programas que él usa o cosas por el estilo" se están obteniendo. E incluso, que "ninguna información es enviada". En cualquier sentido en que el envío, disimuladamente, de este tipo de información no caracterice espionaje, ciertamente ignora la práctica de esa actividad.
Me acuerdo de lo que declaró un funcionario del departamenteo de Homeland Security cuando el rootkit espía de Sony-BMG, que se hacía pasar por herramienta de protección contra copias no autorizadas de CDs de música, fue revelado: "Si, la propiedad intelectual es de ellos, pero la computadora no lo es"(video). Como já fue dicho, no hay nada en la licencia de WGA que se pueda hacer passar honestamente por permiso del usuario para la obtención y el envío de este tipo de información individual. Y qué dice, y no dice, Microsoft?
Descripción aclaratoria
De acuerdo con el artículo de Berlind, entre los argumentos ofrecidos para justificar la afirmación de que WGA no es spyware, la empresa afirma:
"En términos generales, spyware es software engañoso que se instala en la computadora del usuario sin su permiso y que tiene propósito malicioso [malicious purpose]. WGA se instala con el permiso del usuario y tiene como propósito sólo notificar al usuario en el caso de que su sistema no esté operando con una licencia válida. WGA no es spyware."
Como ya vimos, Microsoft no le aclara, a quien instala WGa, que, según tuvo que admitir, este software se conecta diariamente con la empresa. Lo más cercano a una aclaración, por lo menos inicialmente, es una página de preguntas frecuantes (FAQ) en su sitio. Sobre las facilidades del proceso de validación de las licencias:
P: El proceso de validación "Windows genuino" es en una sola etapa?
R: Diseñamos la validación para que sea lo más fácil posible. La validación propiamente dicha dura sólo un momento. La parte más larga del proceso consiste en bajar el control ActiveX que ejecuta la validación. Ese control ActiveX es bajado para su computadora con la primera validación o cuando Microsoft disponibiliza una nueva versión de control. Así, aunque no sea un proceso de una sola etapa, es rápido e fácil.
P:Qué información es obtenida en la registración? Microsoft está obteniendo Información Personalmente Identificable?
R: Además de la información estandar de los logs de servidores, ninguna información es obtenida [en la registración diaria]. A diferencia de la validación, que envía información del sistema para Microsoft, esta operación se limita al envío del archivo de configuración actual. Ninguna información adicional se envía a Microsoft.
P: Por qué no les avisaron a los clientes que sus computadoras iban a ser periodicamente?? registrados/accesidos/ingresados?? por Microsoft?
R: Microsoft se esfuerza en mantener los más altos estándares en su conducta comercial y en atender las expectativas de sus clientes. Concentramos nuestra divulgación en la etapa crítica de validación a través de WGA. Haber dejado de informar específicamente sobre la registración periódica fue un descuido. Creemos que ser transparentes y francos con nuestros clientes es muy importante, y actualizamos nuestra página de preguntas frecuantes (FAQ) acorde a eso. Nos hemos desbordado documentando cada instancia en la que un producto Microsoft se conecta a un servidor de la empresa y continuaremos haciéndolo. Por ejemplo, en lo relativo a Windows XP SP2, publicamos un artículo sobre el tema.
Pasado el escalofrío que los especialistas en seguridad en informática (como el que suscribe) pueden sentir imaginando un control ActiveX andando permanentemente en los Windows XP conectados con el mundo, corresponde preguntar si esta sección "preguntas frecuentes" sería una descipción aclaratoria de cuándo ese control valida la licencia del sistema. Sería por lo menos un indicador? O sobre la frecuencia con que Microsoft disponibiliza una nueva "versión de la herramienta". Diariamente? Semanalmente? Mensualmente?
http://www.cic.unb.br/docentes/pedro/trabs/wga_es.html
|
|
