Ingenuidade
Quando se examinam as telas capturadas por David Berlind, pode-se notar algo que parace pouco, digamos, não-malicioso. Quando o WGA se instala, a mensagem mostrada descreve o que está sendo instalado como atualizações [updates], e não como software novo. O que leva o usuário a acreditar que já tem aquilo instalado, e que a atualização é para melhorá-lo. A componente de Notificação, que é nova, é rotulada como "atualizações de alta prioridade" [high priority updates], o que leva o usuário a acreditar que precisa mesmo dela para se sentir protegido. Estou falando do sentir do usuário, não da Microsoft. Sobre a função dessa componente, eis o que ela diz:
"A ferramenta de Notificação WGA notifica-o se sua cópia do Windos não for genuína. Se seu sistema for encontrado como não-genuíno, a ferramenta o ajudará a obter uma cópia licenciada do Windows."
["The Windows Genuine Advantage Notification tool notifies you if your copy of Windows is not genuine. If your system is found to be non-genuine, the tool will help you obtain a licensed copy of Windows."]
A tela que interrompe atualizações num sistema que ainda não tenha o WGA, capturada por David Berlind, não menciona o WGA pelo nome, nem suas componentes. O que ali parece estranho, quiçá não-malicioso, é que apenas um quase imperceptível, minúsculo link dá acesso a "detalhes". Se o usuário concordar em prosseguir, como parece razoável pela vaga descrição do que lhe falta para atualizar o sistema, só então é que aparece a primeira menção a uma componente do WGA, a ferramenta de Validação. Mas nesse ponto a ferramenta já está sendo baixada para ser automaticamente instalada. Se tal procedimento pretende se passar por consentimento, honestamente não pode sê-lo a título de permissão contratual esclarecida.
Prosseguindo, uma observação mais detalhada das mensagens de instalação revela que só depois da ferramenta de Validação ter sido "atualizada com sucesso" é que aparece, ao se clicar em "Continuar", numa mensagem rotulada de "atualizações de alta prioridade", menção à outra componente, a ferramenta de Notificação. Pelos termos da licença (EULA) que aí surge, percebe-se então que não se pode desinstalar a ferramenta, nem se pode testá-la em um ambiente de operação "a menos que a Microsoft o permita sob uma outra licença". O usuário é vagamente avisado de que está permitindo uma nova instalação ao clicar em "Concordo", mas a opção aparece só depois que a primeira ferramenta, a de Validação, já está instalada. O que levanta a questão: o que acontece com o computador de quem não concordar? David Berlind concordou, pelo que não pôde respondê-la, mas pôde nos mostrar o dispositivo da licença abaixo, referente a permissão:
"Consentimento para Serviços baseados na Internet. O recurso de software descrito abaixo conecta à Microsoft ou a sistemas computacionais de provedores de serviço através da Internet. Em alguns casos, você não receberá aviso em separado quando a conexão ocorrer. Você pode desligar esse recurso ou não usá-lo."
["Consent for Internet-Based Services. The software feature described below connects to Microsoft or service provider computer systems over the Internet. In some cases, you will not receive a separate notice when they connect. You may switch off this feature or not use it."]
O poder de monopólio
Nesse ponto, quem costuma ler contratos pode -- e deve -- ficar surpreso. De minha parte, não faço a menor idéia sobre com o quê o licenciado estaria concordando. Especificamente, sobre o que significa "esse recurso" [this feature], na última frase do dispositivo da licença citado acima. Estaria a frase dizendo que o usuário pode desligar as conexões? Ou que pode desligar o recurso de "aviso em alguns casos"? Ou o de não-aviso "noutros casos"? Como não se tem notícia de pessoas sendo notificadas de que seu computador está se conectando à Microsoft para enviar dados, de que "serviços" se está falando? Talvez o restante da licença possa esclarecer, o que seria útil se o fizesse sem levantar mais dúvidas.
Sobre a frequência das conexões, por exemplo. Será que a licença do usuário precisa mesmo ser checada todo santo dia? O que a Microsoft suspeita que possa acontecer em 24 horas, entre uma checagem válida e a seguinte? Por que ela precisa rechecar com essa frequência? Obviamente que não precisa, já que avisou, logo que foi divulgada a descoberta da discagem silenciosa e diária, que pretende defasá-las na próxima versão (para quinzenais ou mensais). Ao invés desses esclarecimentos, o que completa a cláusula "de consentimento" é um link para uma página web com "mais detalhes". Mas de que vale o link, se a Microsoft é notória por publicar em seu site na web documentos vagos, ambíguos, não datados, apócrifos e, o que é mais grave nesse caso, fugazes?
Estranhamente, ela explica ainda que poderá defasar mais as discagens depois que o teste da ferramenta estiver concluído. Essa explicação já levanta, de per se, a questão do possível abuso da boa fé do consumidor, ou do poder de monopólio da fornecedora: a Microsoft induzindo os clientes do seu sistema a, sob pretexto de o atualizarem com "alta prioridade", instalarem um software "Beta PreRelease", isto é, insuficientemente testado, que torna o sistema cobaia de algo que vem a ser, sem nenhum esclarecimento prévio, funcionalmente indistinguível de um programa espião. E ainda, com a instalação ocorrendo, no caso dos clientes que pagam pelo serviço de atualizações automáticas, "sem nenhuma ação do usuário", conforme alega um grupo de empresas e usuários de Washington, EUA, numa ação civil pública movida contra a Microsoft e sua licença, segundo noticia o jornal Seatle Times.
Boi-de-piranha
De acordo com a revista InformationWeek:
"Segundo seu porta-voz, a empresa planeja modificar a configuração da ferramenta na sua próxima versão, para que se conecte com a Microsoft a cada duas semanas. Esse recurso [de discagem automática] seria desabilitado permanentemente quando a ferramenta estiver disponível em todo o mundo, ao final do ano." (no final de junho a Microsoft anunciou que já atualizou a configuração da ferramenta, defasando as discagens automáticas de diárias para mensais)
["The company plans to change the settings of the application in its next release, so that it dials in to Microsoft every two weeks, the spokeswoman said. The call-in feature would be disabled permanently when the program is generally available worldwide later this year."]
Tal promessa é ainda mais preocupante. Por que esse recurso de discagem automática periódica é necessário agora, porém não mais quando o WGA estiver disponível em todo o mundo? Haverá algo ainda mais efetivo para substituir tal recurso? Como a InforationWeek publica uma promessa condicional [would be disabled later], talvez venham a dizer que, como a fase de testes passou, não há mais por que desligar o recurso.
Ou então, terão feito esse recurso cumprir o papel de boi-de-piranha. Pois é a ferramenta de Validação -- não a de Notificação -- a que envia informações mais detalhadas, individuais e aperiodicamente, e parece improvável que a Microsoft pretenda parar de validar suas licenças. Pelo contrário. As declarações da Mircosoft sobre as discagens automáticas parecem enganosas, se não velhacas, pois só mencionam envio de informações pela ferramenta de Notificação, aquela que admitidamente se conecta periodicamente, enquanto silenciam sobre a ferramenta de Validação, aquela que está sendo instalada antes do usuário ter a chance de escolher se aceita ou não "o pacote". Isto quando as declarações não são ambíguas, em relação a estar-se a falar de uma, de outra ou do "pacote".
Impossível desinstalar
O que nos leva a examinar com mais atenção a licença. Antes, porém, como alguns leitores podem estar, a esta altura do campeonato, talvez mais interessados em saber se é possível, e como, se livrar "do pacote", vejamos o que publicou a respeito o jornalista Rob Pegorado, no Washington Post:
"A ferramenta de Notificação também busca novas instruções nos servidores da Mircosoft todo dia. A empresa diz que essas conexões diárias (que ela planeja defasar para quinzenais) permitem-na ajustar o comportamento do programa se surgirem problemas. O que levanta um ponto alarmante: A ferramenta é software imaturo (pre-release), testado sem o consentimento do usuário.
Pior ainda, a ferramenta -- diferentemente de outras atualizações da Microsoft -- não pode ser desinstalada (Pode-se, entretanto, apagá-la restaurando seu computador para a condição em que se encontrava antes da instalação da ferramenta de Notificação (no menu "Iniciar", selecione "Todos os Programas", "Acessórios", "Ferramentas do Sistema", "Restaurar Sistema").
A Microsoft passou dos limites. A ferramenta de Notificação não é atualização crítica que deva ser instalada automaticamente, muito menos sem a possibilidade de desinstalação. Caso os usuários respondam a esse comportamento intrusivo desabilitando o recurso de atualização automática -- privando assim seus computadores do influxo de remendos (patches da Microsoft) de que precisam -- o estado precário da segurança do usuário do Windows só pode piorar."
Na verdade, já piorou. Pois mesmo que o usuário desligue a atualização automática, a ferramenta de Notificação continuará funcionando, insuficientemente testada e periodicamente conectada.
Cabem perguntas
Quanto à licença, comecemos por lembrar o que demonstrou David Berlind: ao usuário só é solicitado permissão durante a instalação da segunda ferramenta (de Notificação), depois que a primeira (de Validação) já foi instalada, sendo a primeira a que envia, segundo declaração da própria Microsoft, informações individuais do usuário (número de série do HD e endereço IP). Há aí uma falha no processo de permissão, pois o usuário nunca teria consentido o envio dessas ou doutras informações individuais, e o que quer que seja que ele tenha consentido, só o terá feito depois desse mecanismo automático de envio já ter sido instalado.
Porém, a situação se complica ainda mais quando se leva em conta o fato da licença, que vem sendo oferecida desde 24 de Abril de 2006 com a segunda ferramenta (a de Notificação), que é nova, descrever as ações da primeira ferramenta (a de Validação), que supostamenete já existia e que estaria sendo atualizada. Levando em conta o que a própria Microsoft está nos dizendo, cabem perguntas: como era a licença da primeira ferramenta (a de Validação) antes de Abril? Se o usuário recusar os termos da licença atual, e não instalar a segunda componente (a de Notificação), ele teria mesmo assim concordado com o que agora fará a primeira, aquela que se atualiza antes dele ter a chance de recusar? Em caso negativo, por que ele não pode desinstalar, visto que não concorda? E em caso afirmativo, com que termos contratuais estaria concordando?
Obscurantismo
Sobre a composição do WGA, eis o que declara a Microsoft:
"O programa WGA consiste de duas componentes principais, a WGA Validação e a WGA Notificações. Validação determina se a cópia do Windows XP instalada num computado é genuína e licenciada. WGA Notificações relembra aos usuários que tenham falhado na validação de que não estão rodando Windows genuíno e os direcionam para aprenderem mais sobre os benefícios de se usar software Windows genuíno."
["The WGA program consists of two major components, WGA Validation and WGA Notifications. Validation determines whether the copy of Windows XP installed on a PC is genuine and licensed. WGA Notifications reminds users who fail validation that they are not running genuine Windows and directs them to resources to learn more about the benefits of using genuine Windows software."]
Embora a licença peça o consentimento do usuário apenas no contexto de instalação da segunda componente (ferramenta de Notificação), parece que sua linguagem pretende cobrir ambas componentes. Se a licença pretende definir como seu objeto contratual as duas componentes, ela estaria, como já observado, pedindo o consentimento do usuário em relação à versão atual da primeira (a de Validação) depois desta já ter sido instalada, e sem a opão de desinstalá-la. Cumpre perguntar por que a licença é vaga e obscura na definição do seu objeto contratual. Seria proposital? Quando se busca esclarecimento sobre discagens automáticas silenciosas, eis o que a Microsoft tem a dizer em seu site, limitando-se à operação da segunda componente:
"Recentemente, discussões públicas sobre a WGA Notificações têm levantado questionamentos sobre sua operação. Logo depois do longon, o WGA Notificações verifica se um arquivo de configuração mais novo está disponível e o envia se estiver. O arquivo de configuração provê à Microsoft a habilidade de atualizar a frequência com que notificações serão mostradas, e de desabilitar o programa durante o período de testes, se necessário. Essa funcionalidade permite à Microsoft responder rapidamente ao feedback para melhorar a experiência do consumidor. Distintamente da validação, que envia à Microsoft informações sobre o sistema, esta operação [da ferramenta de notificação] se limita a enviar o novo arquivo de configuração. Nenhuma informação adicional é enviada à Microsoft. Tem havido questionamentos sobre esse assunto, e a Microsoft está trabalhando para mais efetivamente comunicar detalhes deste recurso ao público."
["Recent public discussions about WGA Notifications have raised questions about its operation. Shortly after logon, WGA Notifications checks whether a newer settings file is available and downloads the file if one is found. The settings file provides Microsoft with the ability to update how often reminders are displayed and to disable the program if necessary during the test period. This functionality enables Microsoft to respond quickly to feedback to improve the customer´s experience. Unlike validation, which sends system information to Microsoft, this operation is limited to the download of the new settings file. No additional information is sent to Microsoft. There have been some questions on this issue, and Microsoft is working to more effectively communicate details of this feature to the public."]
