Ir para o conteúdo
  • Revista PROGRAMAR: Já está disponível a edição #60 da revista programar. Faz já o download aqui!

herakty

Leaked Microsoft intelligence Here's what Microsoft will reveal to police

Mensagens Recomendadas

herakty

Afinal certos mitos até são reais... o documento é público e pode ser consultado... o que mais me chocou foi o envio de dados de cartões de crédito, caso usem algum num serviço M$

eu já sabia que a M$ recolhia todo o tipo de info pessoal, por isso é preciso uma firewall de perímetro... se colocarem uma firewall de SO podem ver constantemente serem enviados dados para a M$, como sites visitados, contactos de emails, contas de emails vossas, que serviços usam, que programas estão instalados, que tipo de coisas fazem, como programas que abrem, que documentos leiam...  etc... mas cartões de crédito...

não sei que tratamento dão a esses dados... para lá do óbvio CRM, provavelmente serão para ficar guardados para caso algo aconteça e vocês ao pensarem que se formatarem o PC ficam limpos... se calhar até não  👎

“I've got my hands on a copy of the leaked, confidential Microsoft "Global Criminal Compliance Handbook," which details for police and intelligence services exactly what information Microsoft collects about users of its online services, and how they can be accessed. What is gathered and available about you is quite comprehensive, including your emails, detailed information about when you sign in and use the services, credit card information, and so on.

The handbook was first leaked by the whistleblowing site Cryptome. Microsoft asked that the document be removed from the site, under the Digital Millennium Copyright Act. The site was instead shut down, and as I write this, it is in the process of being restored.

The handbook is available at the Wikileaks site. That's where I got it, after unsuccessfully trying to get it via BitTorrent networks. In a statement, Microsoft said that it is no longer trying to have the document removed, so it may soon be available elsewhere.”

VER MAIS EM:

http://blogs.computerworld.com/15655/leaked_microsoft_intelligence_document_heres_what_microsoft_will_reveal_to_police_about_you?source=CTWNLE_nlt_security_2010-02-25

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
M6

Huummm...

Não dou grande credibilidade a esse artigo...


10 REM Generation 48K!
20 INPUT "URL:", A$
30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50
40 PRINT "404 Not Found"
50 PRINT "./M6 @ Portugal a Programar."

 

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
merlin3000

Não sei percebi bem qual foi a surpresa com isto tudo. Tudo o que diz nesse documento é o que por lei, por lá (não sei ao certo como andam as leis que permitem às autoridades forçar as empresas), qualquer empresa têm que revelar.

Já agora, não sei se foi ou não intencional, mas a mim o post original dava a entender que informação derivada do uso do sistema operativo (como usar o cartão de crédito para qualquer operação naquele computador) era guardada pela Microsoft e depois revelada. Isso não é o que diz no artigo nem no documento. Eles revelam o número de cartão quando este está relacionado com alguma compra efectuada em serviços microsoft (ex: Xbox Live). Nada que não aconteça caso as autoridades necessitassem dos meus registos na Fnac, Worten, Zon, EDP, etc... lol provavelmente até o meu saldo nos cartões do modelo devem poder aceder se taçl for provado relevante para a investigação. Aliás todo o documento refere-se aos dados divulgados sobre os serviços online.


Criar é Divertido

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
Já agora, não sei se foi ou não intencional, mas a mim o post original dava a entender que informação derivada do uso do sistema operativo (como usar o cartão de crédito para qualquer operação naquele computador) era guardada pela Microsoft e depois revelada. Isso não  é o que diz no artigo nem no documento. Eles revelam o número de cartão quando este está relacionado com alguma compra efectuada em serviços microsoft (ex: Xbox Live). Nada que não aconteça caso as autoridades necessitassem dos meus registos na Fnac, Worten, Zon, EDP, etc... lol provavelmente até o meu saldo nos cartões do modelo devem poder aceder se taçl for provado relevante para a investigação. Aliás todo o documento refere-se aos dados divulgados sobre os serviços online.

o ppl não lê os post e depois é isto... eu disse que era quando se usavam serviços

eu escrevi claramente isto:

o que mais me chocou foi o envio de dados de cartões de crédito, caso usem algum num serviço M$

qual é a duvida entre usar serviços e ter no PC?

e não entendo porque se há de dar cartões de credito à policia... quem usa cartões de credito de forma fraudulenta não se identifica correctamente nesses serviços... por tantos não é para apanhar criminosos... porque será então? porque é que a policia precisa saber dos dados do teu cartão? e se isso é da máxima confidencialidade e revelar isso quebra o contrato com a emissora desse cartão...

Huummm...

Não dou grande credibilidade a esse artigo...

nunca tive duvidas que a M$ usava dados de uso para CRM e para estatísticas de negócios, tipo, que tipo de areas e programas devemos apostar mais e tal... até aqui + ou - ok... apesar de violar a privacidade, mas como todas as empresas fazem isso...

viste o documento? eu já sabia que as empresas eram obrigadas a dar dados à policia... eu estava no BCP quando houve a RUSGA DA PJ e tive de dar montes de info... mas nunca dados de acesso a dinheiro... dados de movimentos entendo... agora dados de acesso a dinheiro? porque?

e lanço um desafio a todos... coloquem uma IDS de perímetro... e passado uma semana vejam os logs com uma tool de análise e identifiquem as comunicações enviadas para a M$

e depois digam qualquer coisa... foi assim que eu vi PELOS MEUS OLHOS muita da info que é enviada.... mas como eu não sou credível vejam pelos VOSSOS próprios olhos

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
M6

[...]

nunca tive duvidas que a M$ usava dados de uso para CRM e para estatísticas de negócios, tipo, que tipo de areas e programas devemos apostar mais e tal... até aqui + ou - ok... apesar de violar a privacidade, mas como todas as empresas fazem isso...

[...]

Fazem porque o podem fazer. De certo que a lei o permite e/ou há uma clausulazinha que diz isso expressamente quando usas ao serviço.

Conhecendo os americanos e a MS, sinceramente não acredito que a MS use os dados de forma ilegal.

[...]

viste o documento? eu já sabia que as empresas eram obrigadas a dar dados à policia... eu estava no BCP quando houve a RUSGA DA PJ e tive de dar montes de info... mas nunca dados de acesso a dinheiro... dados de movimentos entendo... agora dados de acesso a dinheiro? porque?

Eh pá, há décadas que em Portugal quando fazes o check-in num hotel este tem de entregar essa informação à polícia...

E se a lei permitir isso, que remédio tens senão dar essa informação, quer gostes ou não. Se calhar essa informação até foi dada e pode até não ter passado por ti.

Por exemplo, um dos casos que veio a lume recentemente nos EUA tem a ver com a malta que tinha depósitos num banco suiço para fugir aos impostos e esses clientes tratavam sempre das coisas ao balcão e de forma pessoal, o próprio banco não queria que os clientes usassem home bancking... Porque será?...


10 REM Generation 48K!
20 INPUT "URL:", A$
30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50
40 PRINT "404 Not Found"
50 PRINT "./M6 @ Portugal a Programar."

 

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
merlin3000
o ppl não lê os post e depois é isto... eu disse que era quando se usavam serviços

eu disse que dava a entender, não que tinhas dito explicitamente isso, a maneira como o 2º parágrafo estava escrito parecia querer relacionar as duas situações. Mas adiante, parece que foi só problema de interpretação de minha parte  :thumbsup:

qual é a duvida entre usar serviços e ter no PC?

e não entendo porque se há de dar cartões de credito à policia... quem usa cartões de credito de forma fraudulenta não se identifica correctamente nesses serviços... por tantos não é para apanhar criminosos... porque será então? porque é que a policia precisa saber dos dados do teu cartão? e se isso é da máxima confidencialidade e revelar isso quebra o contrato com a emissora desse cartão...

a diferença entre os dois, no que eu quis dizer é, se eu usar o meu computador para ir ao banco e fazer pagamentos, ou outra coisa qualquer, a Microsoft não tem o direito legal de me guardar informações sobre essas transacções. No caso de eu usar um serviço online da Microsoft em que tenha que usar o cartão de crédito, por exemplo Xbox Live, algures pelo caminho eu aceitei as condições da Microsoft e uma delas é que os dados fornecidos por mim, incluindo o número do meu cartão de crédito, podem ser fornecidos às autoridades se existir o pedido para tal.

Quanto ao mérito e utilidade desses dados em termos de processo judicial é outra história.

viste o documento? eu já sabia que as empresas eram obrigadas a dar dados à policia... eu estava no BCP quando houve a RUSGA DA PJ e tive de dar montes de info... mas nunca dados de acesso a dinheiro... dados de movimentos entendo... agora dados de acesso a dinheiro? porque?

Eu não estou bem a perceber aqui o que assumes por dados de acesso a dinheiro. Mas o que as empresas revelam é o número de cartão, conta etc.. associado a um pagamento. Não os dados de acesso a dinheiro (que eu assumo como pins ou códigos privados de acesso) até porque não o sabem, um cliente não os dá quando faz um pagamento. Quanto mais não seja também porque as autoridades não necessitam deles, se houver uma investigação em que estejas envolvido, os bancos dão-lhes acesso aos teus movimentos, pagamentos, saldos, etc. Mas não aos teus códigos de acesso, que, novamente, não precisam.


Criar é Divertido

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
Eu não estou bem a perceber aqui o que assumes por dados de acesso a dinheiro. Mas o que as empresas revelam é o número de cartão, conta etc.. associado a um pagamento. Não os dados de acesso a dinheiro (que eu assumo como pins ou códigos privados de acesso) até porque não o sabem, um cliente não os dá quando faz um pagamento. Quanto mais não seja também porque as autoridades não necessitam deles, se houver uma investigação em que estejas envolvido, os bancos dão-lhes acesso aos teus movimentos, pagamentos, saldos, etc. Mas não aos teus códigos de acesso, que, novamente, não precisam.

com os dados do cartão tens acesso ao dinheiro... peço desculpa mas essa dúvida até me deixou perplexo... mas sem sair do que é importante...

porque é que se vendem e compram listas de dados de cartões de crédito?

até digo que isto evolui a um ponto onde organizações criam negócios falsos, com contas com dados falsos, para simularem que têm um negócio e usam esses dados de cartão para emitir ao banco os movimentos, como se alguém tivesse mesmo a comprar algo numa loja

tb ainda funciona o velho método de usares em compras e serviços on-line... lembro-me de um evento underground onde um dos desafios era que todos chegassem ao local (viagens internacionais para muitos), se alojassem, comessem... isto é... fizessem tudo com cracking, sem gastarem um tusto...

sei que muitas cenas foram por cracking directo aos serviços. acedes ao ERP de um serviço e colocas lá a compra e emites logo o pagamento (até podes nem pagar, mas tb podes usar os dados de CC aqui). Para viagens por exemplo...

é que hoje tudo se passa em sistemas informáticos e na maioria das situações não há um controle humano devido ao facto de serem tantas acções...

sei que já houve quem chegasse ao ponto de entrar num ERP de uma empresa, criou um registo de empregado, com um ordenado e uma conta bancária e chegou a receber ordenados sem trabalhar lá...

há tanta coisa a acontecer neste novo mundo onde tudo assenta em TI´s... e as TI´s são um mundo tão complexo que nunca se pode garantir nada... suponho que a maioria aqui esteja por dentro desde mundo e já viram muita coisa acontecer, até sem querer... há exploits e técnicas de intrusão que surgiram num outro contexto, como por exemplo um programador ao programar um site e ter um bug que ao analisar detectou que em certas condições o programa tinha um certo comportamento que podia ser explorado para outras coisas...

quero com isto dizer que estamos numa fase da humanidade em que grandes conhecimentos de TI (especialmente cracking) são um grande poder

a máfia já viu isto e está a usar extensivamente crackers, como governos, exércitos, empresas, etc... viram isso no tópico da espionagem industrial...

hoje é possível viver apenas com cracking e não apenas vendendo serviços, mas burlando serviços, como pagamentos de rendas da casa, carro, viagens de borla, alojamento em hotéis (se podemos pré-pagar o alojamento... entrando no ERP... e não digo mais nada)

e excluo os tais odiados SCAMERS, SPAMERS, todas as burlas ao comum cidadão...

tevkV

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
merlin3000

Estás a levar as coisas para uma questão de segurança, que não é o que se aplica aqui e não vou discutir. As informações não estão a ser vendidas nem estão a ser roubadas para uso por parte da Microsoft. Tudo o que eles têm foi fornecido pelo utilizador conscientemente (ou não, mas a culpa aí é do utilizador). Os dados dos cartões de crédito fornecidos pela Microsoft é apenas o número do mesmo, este número já está de qualquer modo associado ao pagamento, não o fornecer era apenas obstrução e não impedimento, pois facilmente as autoridades obtêm esse número dos bancos. Não foram fornecidos nenhuns códigos de acesso a contas bancárias ou outros códigos de validação. Podes agora dizer, como já o fizes-te, "ahh e tal mas com o número do cartão já se faz muita coisa", é verdade e deves ainda saber isso melhor do que eu, mas não é disso que se está a falar, porque se formos por aí com o meu nome e morada também já se faz muita coisa, junta-lhe a isso data de nascimento e nome de solteira da mãe e, nos estados unidos por exemplo, em muitos serviços já nem precisas de mais nada para seres essa pessoa.

Mais uma vez, há muitos pontos que podem ser falados neste tema, segurança, as fronteiras da "liberdade" a encolherem, etc. Mas não é disso que a notícia se refere. A ideia que dá é que é alguma coisa errada e maléfica por parte da Microsoft, e o comentário que fizes-te que ficas-te chocado por eles darem o número de cartão usado parece dizer o mesmo. Eu comentei pois achei curiosa essa opinião sendo que todos esses dados têm que ser guardados por lei pelas empresas e no caso de uma investigação fornecidos às mesmas. Eles não estão a divulgar nenhum dado ilegal, nem que esteja protegido por algum acordo de sigilo e que esteja a ser quebrado.

Nunca foi um mito, pelo menos para mim, eu sempre assumi que o número de cartão de crédito fosse divulgado. Quando uma autoridade investiga movimentos, sabem porque cartão foi feito, senão pela empresa do serviço sabem pelo banco. É assim que conseguem saber onde e o que fez uma pessoa. Quanto ao resto das informações são completamente padrão e de conhecimento público a obrigatoriedade da entrega das mesmas às autoridades. O Google já há muito tempo que se sabe que fornece por exemplo os emails transferidos. Isto às vezes até pode não ser do interesse das empresas, pois embora a informação seja útil para estatísticas e análise de mercado existem limites mínimos legais para a retenção das mesmas, o que muitas vezes faz com que as próprias tenham custos elevados só para as manter, lembro-me de ver notícias de que o FBI até quer aumentar esse prazo.

Na minha opinião pessoal acho muito mais errado que sejam revelados os conteúdos das minhas comunicações do que o número do meu cartão de crédito (e neste caso em portugal questiono se isto será sequer legal), pois existem outros métodos legais em parceria com os bancos de saberem essas informações relacionadas com as minhas acções bancárias.


Criar é Divertido

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty

todos temos opiniões e temos de as aceitar... tens a tua eu tenho a minha...

eu acho muita má fé a M$ enviar dados de uso do seu sistema operativo sem conhecimento do user.

mas acho que todos marcamos a posição e todas as posições são "enquadráveis" na experiência de vida de cada um.

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
M6

herakty, parece-me que estás a falar sem algum conhecimento de causa.

Sabes por acaso se no "license agreement" isso não está lá?

Ou se tão simplesmente as leis americanas a isso obrigam?

Confesso que já lá vão uns anos desde que li um "license agreement" de um SO da MS, por isso não sei como é.

Mais, não sei se isso não se aplica apenas aos EUA...

Era interessante saber o porquê de a MS poder fazer isso. É que, como disse anteriormente, não acredito que a MS esteja a violar a lei.


10 REM Generation 48K!
20 INPUT "URL:", A$
30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50
40 PRINT "404 Not Found"
50 PRINT "./M6 @ Portugal a Programar."

 

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
Era interessante saber o porquê de a MS poder fazer isso. É que, como disse anteriormente, não acredito que a MS esteja a violar a lei.

eu não disse isso... e até disse que respeitava as várias opiniões

não posso achar mal que envie certos dados de uso? mesmo que isso esteja escrito seja onde for...

e acho uma tarefa titânica ler os acordos de licença da M$... têm tanta palha que para encontrar o que interessa é...

isto é uma questão de opinião pessoal, nada mais

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
merlin3000

Não estou a perceber, mas onde é que diz que enviam informação sobre o uso do SO?

Aliás

Citação

o ppl não lê os post e depois é isto... eu disse que era quando se usavam serviços

eu escrevi claramente isto:

Citação
o que mais me chocou foi o envio de dados de cartões de crédito, caso usem algum num serviço M$

perdi algum ponto na conversa em que dizia que eram dados do uso do SO?

No caso de eles realmente divulgarem informação de uso dos SO's e que possam ser relacionados com o utilizador acho muito errado, já para não dizer ilegal (e mesmo que não possa ser relacionado, é no mínimo de carácter duvidoso). Mas pelo que vi na notícia e se tinha falado anteriormente isso nunca foi posto em causa (como tu próprio disses-te no post acimacitado ).

Quanto às licenças, agreed lol a maior parte delas é uma tarefa de tamanho considerável. Nãs só as MS como da maior parte dos serviços. Mas também temos que ter em atenção que uma licença não é lei, pelo menos cá em Portugal.


Criar é Divertido

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
Não estou a perceber, mas onde é que diz que enviam informação sobre o uso do SO?

ora pois... não está dito em lado nenhum... mas quando colocas uma IDS de perimetro vês essas comunicações registadas, logo, o windows envia dados de uso para servidores da M$

isto só vendo nos logs de comunicações... eu já vi... já tive essa curiosidade  🤔

e sobre o cartões de crédito... 1º não é obrigatória registar os movimentos... fiz um projecto para o governos nacional em que foi explicitamente pedido para não fazer registo algum de dados de C/C

outra coisa...que usa dados de C/C de forma fraudulenta fa-lo sem se idenficar, com dados de identidade falsos... logo que utilidade têm esses registos?

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
M6

eu não disse isso... e até disse que respeitava as várias opiniões

não posso achar mal que envie certos dados de uso? mesmo que isso esteja escrito seja onde for...

Claro que podes. Eu concordo contigo nesse ponto, mas tinha curiosidade em saber sobre a legalidade da coisa.

e acho uma tarefa titânica ler os acordos de licença da M$... têm tanta palha que para encontrar o que interessa é...

isto é uma questão de opinião pessoal, nada mais

teckV

Palha? :)

É de propósito, os advogados querem aborrecer um tipo até à morte, tipo, és vencido pelo cansaço, deixas de ler a "assinas" :)


10 REM Generation 48K!
20 INPUT "URL:", A$
30 IF A$(1 TO 4) = "HTTP" THEN PRINT "400 Bad Request": GOTO 50
40 PRINT "404 Not Found"
50 PRINT "./M6 @ Portugal a Programar."

 

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
herakty
É de propósito, os advogados querem aborrecer um tipo até à morte, tipo, és vencido pelo cansaço, deixas de ler a "assinas"

concordo... o que nos leva à origem deste tópico... um acto de má fé da M$...

mas uma coisa é certa... só usamos windows se quisermos e até podemos (como eu faço) impedir que essa info saia da minha maquina...

tenho regras especificas para isso na minha appliance de perímetro.. todos os destinos que eu reconheço como M$ são bloqueados na saída... e até agora a M$ não se queixou  :) :) :cheesygrin: :cheesygrin:

updates faço-os manualmente... nada de actualizações automáticas... mas tá sempre actualizado... é das principais medidas de segurança nos nossos dias

teckV

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.