O escândalo do software espia

No ano passado, a SonyBMG introduziu um software de protecção nos seus CD. Ao fazê-lo, espiava os seus próprios clientes e dava armas aos piratas informáticos para entrar nos nossos computadores.

Texto original de Wade Roush in Technology Rreview (tradução e adaptação de Pedro Cruz)

John Guarino, proprietário da consultora informática TecAngels, de Manhatan, confrontou-se, no Verão passado, com um problema difícil. Eliminando software espia e vírus que infectavam os computadores dos seus clientes, começou a encontrar os mesmos intrusos misteriosos num computador atrás do outro. Tratavam-se de arquivos com nomes estranhos, escondidos nas profundezas da registry, zona onde o Windows armazena os ajustes e instruções que controlam todo o hardware e software de um computador.
Guarino suspeitou imediatamente tratar-se de um rootkit, programa que engana o sistema operativo para que os worms, vírus e outros ficheiros que um pirata informático queira esconder num computador sejam ignorados.
Aparentemente, os ficheiros em causa não causavam danos e os programas antivírus de Guarino não os acusavam como perigosos. No entanto, apareciam nos discos rígidos sem que alguém os tivesse instalado voluntariamente – definição de malware, software prejudicial ou indesejável – pelo que Guarino tratou de os eliminar.
No entanto, os ficheiros não desapareceram facilmente. Depois de os eliminar, os reprodutores de CD dos clientes deixavam de funcionar… A solução habitual, reinstalar os controladores dos reprodutores, não solucionava o problema. Guarino acabou por ter de reinstalar o sistema operativo nos computadores afectados.
Depois de confrontado com este problema por seis ou sete vezes. A 30 de Setembro, Guarino por encontrar os misteriosos ficheiros no seu próprio PC. «Foi a gota que fez transbordar o copo», disse, «Era o cúmulo. Nem queria acreditar. Tenho o firewall mais moderno, o melhor antivírus, três ou quatro programas anti spyware. Como é que isto pode ter acontecido?»
Como qualquer bom investigador, Guarino foi analisando todos os passos que havia dado. Na última vez que examinara o seu computador, os arquivos em questão não se encontravam lá. Tratou de reconstituir cada passo dado nos dias anteriores: os programas que instalara, as mensagens de correio electrónico que havia recebido, as páginas web que havia visitado… Recordou então que no dia anterior comprara um CD de música e o havia executado no computador. Tratava-se de um álbum da Sony BMG Myusic Entertainment intitulado Touch da cantora de rythm-and-blues Amerie. Ao contrário da maioria dos CDs, este disco não se podia ouvir com os programas habituais de reprodução de música, como o iTunes, o RealPlayer o Windows Media Player. Para escutar o CD, os compradores teriam que instalar o reprodutor específico da Sony BMG incluído no disco. Gaurino também o havia feito…

Olhou então mais atentamente para o CD. Uma frase chamou-lhe a atenção: “Content enhanced and protected”. Evidentemente, o disco continha algum tipo de software de gestão de direitos digitais (DRM), programas concebidos para controlar cópias e evitar a pirataria.

As peças iam-se encaixando… Os ficheiros misteriosos pareciam um rootkit; a finalidade habitual destes programas é a de ocultar algo; um programa de protecção anti-cópia é o tipo de coisa que os seus criadores poderiam querer ocultar aos seus utilizadores. Mais, a eliminação deste rootkit inutilizava a unidade de CD. Guarino concluiu que a origem do malware era mesmo a Sony BMG.
«Aqui dei-me por vencido», confessou Guarino. Podia combater o malware máquina a máquina, mas se a segunda maior empresa discográfica do mundo queria instalar programas secretos nos computadores dos seus clientes, nunca poderia ganhar a partida.
Antes de abandonar o assunto, Guarino fez algo de muito importante: Enviou os logs - registos de seguimento de actividades – para a F-Secure, a empresa finlandesa de segurança informática cujos programas havia utilizado para detectar os ficheiros.
Embora os observadores da F-Secure ainda não tivessem descoberto o rootkit, rapidamente confirmaram as suspeitas de Guarino.
Nas semanas seguintes descobriram outro problema, muito mais preocupante: o rootkit podia ocultar outros ficheiros com a mesma facilidade com que escondia o software de protecção anti-cópia da Sony BMG. Todos os computadores utilizados para reproduzir um CD com protecção anti-cópia da Sony BMG estavam desprotegidos face a worms, vírus e outros programas prejudiciais.
No dia 17 de Outubro a F-Secure entrou em contacto com a Sony BMG.
Duas semanas depois, o reputado especialista em segurança informática, Mark Russinovich, encontrou o rootkit no seu próprio computador e comentou a descoberta no seu conhecidíssimo blogue.
Também descobriu que outro programa instalado juntamente com o de protecção anti-cópia se ligava secretamente à Sony BMG de cada vez que alguém reproduzia nos PC afectados um CD com protecção anti-cópia.
Nos meses seguintes, o que começara como uma curiosidade na oficina de Guarino tornou-se num escândalo mundial, com negociações secretas, comunicações públicas, desmentidos, boicotes irados, lides e pedidos de desculpa compungidos.
Ainda que a sua finalidade original fosse a de ocultar o software que impedia os ouvintes de fazer mais de três cópias do original, o rootkit da Sony BMG converteu-se no símbolo mais conhecido dos excessos da tecnologia DRM e da consideração que as empresas de media têm pelos seus clientes.
Aliás, o escândalo teve a virtualidade de reavivar a discussão acerca da extensão dos direitos de utilização da informação digital submetida a copyright pelos consumidores e a dos titulares desses direitos para assegurar a sua propriedade intelectual contra a pirataria.
Segundo os especialistas, a gestão de direitos digitais levada ao extremo não só reduz o direito ao uso legítimo, garantido pelas lei do copyright dos Estados Unidos e pelas normas internacionais e nacionais de Direito de Autor aplicáveis, na parte que nos toca, como podem gerar riscos tecnológicos.
«Quando se constrói um sistema informático que não protege o utilizador, mas protege algo contra o utilizador, temos muito má segurança» diz Bruce Schneier, uma autoridde em segurança informática e director técnico da Counterpane Internet Security de Mountain View, Califórnia.
«Esse é o meu maior receio: a ideia de que o inimigo é o utilizador.»
A história do fiasco do rootkit da Sony BMG não redunda apenas num errado juízo empresarial, nem se fica apenas no terreno da actual discussão acerca do que podem ou não fazer os consumidores com as coisas que possuem.
Também tem relação com o medo e com os excessos que ele pode suscitar.
Quando as empresas discográficas e vieográficas utilizam ferramentas secretas tão poderosas para manter a protecção dos seus direitos de autor, dá a sensação que os nervos que lhes causa a pirataria se está a transformar em pânico.
Embora a Sony BMG insista que lançou o rootkit sem segundas intenções, o episódio convenceu muitos observadores de que a indústria musical começou a considerar o engano como uma componente indispensável na gestão de direitos digitais.
Não será surpreendente se os consumidores, sentindo-se tratados como ladrões, deixarem de comprar…
Se o sucedido com a Sony BMG encerra algum ensinamento para outras empresas no mundo digital, é a de que a desconfiança gera desconfiança.
Continua...