8:11
10/4/2018

Jeden z naszych Czytelników – Grzegorz – odebrał w firmie telefon dotyczący kontroli legalności oprogramowania prowadzonej przez Microsoft. Podał konsultantce w rozmowie swój adres e-mail, a krótko później otrzymał wiadomość ze szczegółowymi informacjami o kontroli. E-mail wyglądał tak jak poniżej. Załączono do niego plik XLSM, którego wypełnienie miało ułatwiać przekazanie Microsoftowi informacji o stosowanych produktach. Brzmi podejrzanie? No właśnie… Ale to nie koniec znaków zapytania, jakie pojawiły się Grzegorzowi w tej sprawie. Popatrzcie zresztą sami i doczytajcie ten artykuł do końca, bo zakończenie Was zaskoczy, gwarantujemy.

Kontrola legalności oprogramowania — wezewanie rzekomo od Microsoftu

Zrzut ekranu

Mail od Microsoftu, czy od jakiegoś Webhelp?

Grzegorz, zupełnie słusznie, jak widzicie, dopatrzył się w tym podstępu. W stopce był e-mail w domenie microsoft.com, ale sama wiadomość przyszła z adresu w domenie cz.webhelp.com.

Zawsze powtarzamy na naszych szkoleniach dla pracowników polskich firm, że linki czy telefony umieszczone w stopce, niezależnie od tego na kogo wskazują, o niczym nie świadczą. W przypadku tego e-maila mamy jeszcze jeden powód do zmartwień: dorzucony w załączniku dokument XSLM naładowany makrami mógł albo służyć do wyłudzenia danych, albo mógł zawierać złośliwy kod. Wielokrotnie o takich atakach pisaliśmy i dobrą praktyką jest od razu kasować e-maile z takimi plikami.

Grzegorz mimo tylu przesłanek, że całość sprawy jest osztustwem, zachował profesjonalizm i odpisał na tę wiadomość:

Prosiłbym jeszcze o jakiekolwiek potwierdzenie Pani współpracy z Microsoft. Wystarczyłaby np. wiadomość e-mail z adresu w Pani stopce (v-trolo@microsoft.com) bądź wykazanie związku pomiędzy webhelp.com, a firmą Microsoft.

Odpowiedzi nie dostał, co utwierdziło go w podejrzeniach, że padł ofiarą — na szczęście nieudanego — ataku. Ucieszył się Grzegorz, bo z rozmowy telefonicznej z “oszustką” wynikało, że w ramach kontroli trzeba będzie przesyłać niektóre klucze licencyjne do weryfikacji oraz zdjęcia plakietek. Ależ to byłaby dla firmy wpadka, gdyby ktoś na takie wyłudzenie dał się nabrać!

Microsoft długo nie odpowiadał na nasze pytania

Przed publikacją tego artykułu, zadzwoniliśmy do rzeczniczki Microsoftu aby dowiedzieć się, czy firma dostawała już sygnały o takich próbach wyłudzeń skierowanych w polskich przedsiębiorców i czy przed nimi ostrzega. Okazało się, że numer rzeczniczki podany na stronie jest numerem ogólnym, pod którym czekaliśmy na zgłoszenie kogoś z recepcji. Próbowaliśmy dwa razy i… nikt się nie zgłosił. Czasami tak bywa z dużymi firmami IT, że dodzwonić się do nich jest naprawdę trudno.

Wysłaliśmy maila i na odpowiedź czekaliśmy… niemal miesiąc.

Nagły zwrot akcji: TO NIE BYŁ ATAK

Ostatecznie pani Joanna Frąckowiak z Microsoftu przesłała nam poniższe oświadczenie:

W odpowiedzi na Pana pytania potwierdzamy, że firma WebHelp prowadzi na zlecenie Microsoft proces o nazwie TeleSAM – Software Asset Management (Zarządzanie Zasobami Oprogramowania), który jest praktyką biznesową zgodną ze standardami ISO/IEC 19770-1:2006. Celem tego procesu jest potwierdzenie zgodności licencyjnej u naszych klientów, żeby w rezultacie ograniczyć ryzyka biznesowe oraz prawne związanego z posiadaniem i użytkowaniem nielegalnego oprogramowania.

Jednocześnie, żeby proces był utożsamiany z firmą Microsoft i nie budził wątpliwości u naszych klientów, upewniliśmy się z dostawcą tej usługi, firmą WebHelp, że wszelka korespondencja będzie wysyłana z adresu w domenie microsoft.com.

A więc kontrola wyglądająca jak typowy atak była jednak autentyczna. Wow.

Potwiedzenie autentyczności nam (a może samemu Microsoftowi?) zajęło aż miesiąc. Nie wróży to chyba dobrze wiarygodności tego typu działań.

Ale przynajmniej już nie straszą!

Kontrole legalności oprogramowania nie są nowością i nie od dziś budzą wątpliwości. Przykładowo w roku 2013 współpracująca z Microsoftem organizacja BSA rozsyłała “wezwania”, w których przytaczano przepisy kodeksu karnego i sugerowano, że BSA ma coś wspólnego z policją. To też była kontrola legalności, ale przedsiębiorcy mieli wrażenie zastraszania i wprowadzania w błąd.

Gwoli ciekawostki zacytujemy fragment jednego z “wezwań” z roku 2013.

W związku z powyższym do BSA i do naszych członków często zwracają się organy państwowe (tj. Policja, urzędy celne, urzędy kontroli skarbowej) z prośbą o informacje dotyczące legalności oprogramowania w związku z prowadzonymi postępowaniami. W celu zapewnienia im wiarygodnych informacji zwracamy się do Państwa z prośbą o potwierdzenie posiadania wyłącznie legalnego oprogramowania (…)
Niewiele także osób zdaje sobie sprawę, że w świetle polskiego Kodeksu karnego jedną z form tzw. piractwa komputerowego jest – zgodnie z art. 278 § 2 – uzyskanie programu komputerowego w celu osiągnięcia korzyści majątkowej bez zgody podmiotu uprawnionego…

Policja nie miała z tym nic wspólnego, ale BSA niemal wprost sugerowała, że stanowi istotne zaplecze dla służb. Do wezwań BSA dołączone było oświadczenie z miejscem na wpisanie różnych danych. Trzeba było je odesłać w ciągu 14 dni. Dopiero później rzecznik BSA tłumaczył, że to “prośba” a nie “żądanie”.

Takie kontrole nie są obowiązkowe

Nie musimy chyba tłumaczyć, że firmy generalnie nie mają prawa kontrolować innych firm. Owszem, każdy może was grzecznie poprosić o sporządzenie wykazu oprogramowania i przesłanie go, ale z waszej strony będzie to tylko grzeczność, na którą możecie się godzić lub nie.

Oszuści już dawno temu wpadli na pomysł, aby podszyć się pod “kontrole legalności”. Przykładowo w roku 2007 w Częstochowie na jednym z bloków zawisła kartka z informacją, że przedstawiciele policji będą chodzić po domach i kontrolować software. Warto to przypomnieć, bo stare numery od czasu do czasu są odgrzewane, a skoro oszustwa na wnuczka ciągle działają to “kontrole legalności” także mogą wrócić w formie oszustw.

Naszym zdaniem jeśli Microsoft lub ktokolwiek inny chce przeprowadzać takie kontrole, powinien szczególnie zadbać o przejrzystość działań i na każdym kroku podkreślać, że udział w akcji jest w 100% dobrowolny. Sugerujemy również, aby całego procesu nie nazywać “kontrolą” ale badaniem lub sondażem.

A Wam radzimy ignorować wszelkie kontrole. Nawet tę, opisaną w niniejszym artykule. Niech im spadnie efektywność. Może dzięki temu ktoś znajdzie chwilę na refleksję i przemyśli proces kontroli tak, aby zarówno firmy realizujące i zlecające kontrole realizowały ją fachowo, wiarygodnie i bez cienia podejrzenia, w sposób nie przypominający typowych ataków komputerowych, scamów i wyłudzeń.

Przeczytaj także:

62 komentarzy

Dodaj komentarz
  1. “W celu zapewnienia im wiarygodnych informacji zwracamy się do Państwa z prośbą o potwierdzenie posiadania wyłącznie legalnego oprogramowania” Na takie coś odpisałbym tylko: “Potwierdzam posiadanie wyłącznie legalnego oprogramowania. Pozdrawiam”.

    • Ja bym w ogole nie odpisal. Jak maja jakies watpliwosci to niech sie zglosza z tym do prokuratury.

  2. Jeśli się BSA do was zgłasza, to sugeruję posprzątanie swoich komputerów. Kolejna taka “prośba” może już być uzasadniona prawnie.

    • Czyli coś na zasadzie, po dobroci dziadu nie chciałeś, to uprzejmie donoszę?

    • Jesteś w stanie przybliżyć na jakiej podstawie kolejna “prośba” miałaby być uzasadniona prawnie? Bo tak im się wydaje?

    • A Ty co,też z BSA?

    • No to na prośbę umocowaną prawnie się odpowie. Zgodnie z prawem. A na prośbę nieumocowaną się nie odpowie. Proste.

    • Nieprawda. Jeden z podmiotów GK w której pracuję dostał “prośbę” z BSA w 2010 roku. Trafiło to do mnie. U mnie do szuflady. I koniec historii. Objaśnię – kontroli z służbami nie było.

    • vinnie, dokładnie tak samo zrobiłem w 2012. Do dzisiaj nic.

  3. Gdy pracowałem w firmach mających dużo softu od MS to regularnie raz do roku, a czasem nawet częściej ludzie z MS wysyłali arkusze do wypełnienia. Co kuriozalne, jedną z kolumn arkusza był klucz do aktywacji oprogramowania OEM lub OLP. Oczywiście odmówiliśmy podania (mimo pewności, że to MS pyta) argumentując, że MS już ma dostęp do swoich kluczy OLP, a co do OEM, to zapraszamy pracownika do przeglądu komputerów. Co roku był ten sam problem i co roku odpisywaliśmy to samo; próba kontaktu z kimś i ustalenia dlaczego pytają o klucze nie powiodła się, ślad wiódł do jakiegoś mitycznego dyrektora w USA…

  4. i jeszcze te “Konice procesu”

  5. Mimo iż “kontrola” – badanie jest teoretycznie dobrowolne zawsze z tył głowy człowiek spodziewa się czegoś w rodzaju:
    1. Nie wezmę udziału w dobrowolnej kontroli
    2. Po jakimś czasie będę miał wizytę BSA.

    Niestety w mojej ocenie Microsoft wprowadza niepotrzebny ferment i furtki dla potencjalnych oszustów. Powinni skończyć z tą praktyką “badań” legalności

  6. Co w sytuacji gdyby takie pismo o kontroli oprogramowania zostało wysłane do jednostki publicznej np. Urzędu, też wtedy urząd ma dobrowolność w zgodzie na taką kontrolę przez firmę prywatną tj. webhelp czy inną?

    • Gdyby trafiło do mnie (urząd państwowy) to dostaliby delikatne GTFO

    • A jaka to różnica?

    • Co wówczas? Nie trzeba teoretyzować – ESRI, koncern ściśle współpracujący z Microsoftem (branża GIS) rozsyłał takie duperele do instytutów badawczych. Taka śmieszna sytuacja – jesteś kierownikiem projektu w którego kosztorysie było ich oprogramowanie. Wszystko jest drobiazgowo rozliczane na wielu etapach – instytucji macierzystej, instytucji przydzielającej grant itd. Jakość samego oprogramowania i supportu okazała się nieadekwatna do ceny. Ale kijowy support nie przeszkadza “zaprosić” do badania legalności. I zostali odesłani na drzewo. Bez konsekwencji. Poza ogólnym zażenowaniem i decyzją o nieprzedłużaniu licencji tylko przesiadce na oprogramowanie open source, gdy tylko skończy się terminarz projektu.

  7. Drogi Niebezpieczniku. Akapitem “Takie kontrole nie są obowiązkowe” wprowadzacie czytelników w błąd. Zdecydowana większość dostawców oprogramowania zapewnia sobie możliwość takiej kontroli/audytu zgodności licencyjnej poprzez odpowiednie zapisy w umowach ze swoimi Klientami. Zawierając taką umowę z dostawcą godzimy się na to, że może do nas zapukać ktoś w celu przeprowadzenia takiej kontroli.

    • Na kilometr śmierdzi mi to zapisem niedozwolonym, może jakiś prawnik się wypowie?

    • Dlaczego? Taki dostawca jak Microsoft/IBM/Oracle czy inny SAP chce chronić swoje prawa autorskie do swoich produktów. Na całym świecie są przeprowadzane audyty formalne różnych dostawców w oparciu o takie właśnie zapisy.

    • Również jestem ciekawy co na ten temat miałby do powiedzenia prawnik.

    • Czym innym jest zapukać w celu kontroli, czyli wysłać fizycznego przedstawiciela, a czym innym jest oczekiwać przesłania e-mailem (!!! nawet nie poprzez formularz online, który można zabezpieczyć) kluczy licencyjnych firmie o niewyjaśnionych powiązaniach z producentem.
      Ani to żadna weryfikacja legalności (serio wpisanie kluczy do excela ma coś udowadniać?), ani to bezpieczne rozwiązanie. Aż dziwne że firma wzięła pieniądze za taką amatorszczyznę.

    • “Dlaczego? Taki dostawca jak Microsoft/IBM/Oracle czy inny SAP chce chronić swoje prawa autorskie do swoich produktów. Na całym świecie są przeprowadzane audyty formalne różnych dostawców w oparciu o takie właśnie zapisy.”

      Zapisy licencyjne nie mogą być sprzeczne z prawem stanowionym w danym kraju i jeżeli są to staja się automatycznie nieważne. Jeżeli jakaś firma ma wątpliwości co do legalności oprogramowania w innej to powinna to zgłosić na policję bo tylko policja ma prawo do przeszukań. A później ewentualnie ponieść konsekwencje fałszywego pomówienia. Ale jak ktoś nie zna swoich praw to już nic na to nie poradzę.

    • Owszem mogą, mają prawo, ale osobiście… jak to było w jakiejś reklamie… niepewnym, niezaszyfrowanych połączeniem, nawet ksera własnego tylko nie prześlę, co dopiera dane, które można uznać za dość cenne, jeśli nie wrażliwe.

    • Przyznaję, sposób poinformowania klienta o takiej kontroli w tym przypadku był niedopuszczalny, ale bardzo często takie kontrole są przeprowadzane przez strony trzecie. Oczywiście po wcześniejszym kontakcie ze strony dostawcy i wskazaniu podmiotu wykonującego taką kontrolę.

      Co do prawa stanowionego to w Polsce nie ma przepisów uniemożlwiających takie kontrole dostawcom oprogramowania. Są kancelarie prawnicze specjalizujące się w asystowaniu przy takich kontrolach. Co więcej takie przeglądy mają miejsce w przypadku największych dostawców (Microsoft, IBM, Oracle, SAP, itp.).

      A jeżeli chodzi o powód takiej kontroli, to żaden dostawca nie pomawia swoich klientów, że korzystają nielegalnie z jego produktów i on chce sobie to sprawdzić (wizerunkowo źle by to wyglądało), tylko chce sprawdzić czy korzystają z tych produktów zgodnie z warunkami licencyjnymi – nie zakładają na starcie, że klient korzysta niezgodnie z prawem/warunkami licencyjnymi.

    • Kontrole/audyty oprogramowania są przeprowadzane dla potrzeb wewnętrznych firmy ze względów bezpieczeństwa – własnego. Wymaganie od użytkownika końcowego przeprowadzenia takiego audytu jest bezcelowe, bo prawnie nie jest narzędziem kontroli. Firma prywatna nie ma prawa kontrolować innego podmiotu. Jeśli M$ posiada wiedzę o nielegalnym wykorzystaniu swojego produktu (a ma możliwości techniczne ustalenia takiego faktu i nie potrzebuje do tego “audytu”) może zgłosić się do instytucji, które mają prawo do przeprowadzenia takiej kontroli (na miejscu). Już sam sposób przeprowadzania kontroli (korespondencyjnie) przez M$ wydaje się niedorzeczny.

    • “Zdecydowana większość dostawców oprogramowania zapewnia sobie możliwość takiej kontroli”

      Wymień jedną taką firmę.

      Jako inżynier dorobiłem się ładnej kolekcji licencji i nie trafiłem na taki zapis. Gdyby jakaś firma postanowiła grzebać w moich komputerach i zajmować mój czas pierdołami, znacząco by to obniżyło moją sympatię do nich. Delikatnie mówiąc.
      I miałoby to wpływ na opłacenie przeze mnie kolejnej jakiejś tam subskrypcji.

    • Po pierwsze – nie ma praktycznie czegoś takiego, jak klauzula abuzywna, w przypadku umów pomiędzy firmami. Umowa między profesjonalnymi uczestnikami rynku może być kształtowana niemal dowolnie. Co do samej zaś zgody na tego typu działania – cóż, wystarczy nie mieć żadnej umowy z członkami BSA.

    • @Piotr
      Zacznijmy od początku.

      Korzystam z Linuksa albo kupiłem komputer z preinstalowanym Windowsem w sklepie typu x-kom.pl. Zatem nie podpisywałem żadnej umowy z Microsoftem i Microsoft nie zna mojego adresu ani imienia / nazwiska/ nazwy firmy.

      Zakładając, że mamy w Polsce domniemanie niewinności, dlaczego jakaś firma ma przyjść i mnie skontrolować, skoro mogę w ogóle nie używać oprogramowania tej firmy?

      Tylko poproszę konkretny przepis.

      I czy jeżeli ja właśnie opublikowałbym w internecie program, choćby Hello Word, to mógłbym obejść każdą firmę w kraju w celu sprawdzenia “na siłę”, że korzysta legalnie z mojego programu? Przecież jak ktoś przychodzi, to nie muszę ani go wpuszczać do domu / firmy, ani tym bardziej nie muszę obciążać sam siebie. Ani tym bardziej pokazywać zawartości komputera – choćby ze względów bezpieczeństwa, bo np. prowadzę przychodnię lekarską i mam na komputerze dane pacjentów.

      Przed wszelkiego rodzaju sprytnymi prawnikami polecam szyfrowanie całego dysku.

      @Piotr Konieczny / @redakcja Niebezpiecznik.pl – swego czasu na Niebezpieczniku pojawiały się w artykułach objaśnienia prawnika. Czy jest szansa na aktualizację tego artykułu, aby głos w sprawie kontroli legalności “na siłę” w sposób opisywany w artykule i w komentarzach zabrał prawnik?

    • A fakturę na MS mogę wystawić za wykonaną pracę? Chcą kontrolować osobiście, o jak mi przykro -wejście na teren przetwarzania danych jest ściśle ograniczony…

    • Widzę, że wywołałem burzę. @adam9870 i @Jarek jako klienci indywidualni raczej nie macie się czego obawiać. Sytuacja opisana w artykule dotyczy firmy, przynajmniej tak zakładam. Średnie i duże przedsiębiorstwa nie kupują produktów Microsoft, Oracle czy innych z supermarketu tylko podpisują umowy z dostawcą (dla Microsoftu jest to MBSA, Select, MPSA czy Enterprise Agreement, dla IBM to Passport Advantage, itd.) i to w ramach tych umów dostawcy zapewniają sobie możliwość przeprowadzenia takiej kontroli/przeglądu – czepianie się nomenklatury, że kontrolę to mogą robić instytucje państwowe nie ma sensu – podpisałeś taką umowę, to się zgodziłeś na jej warunki. Jak nie zgodzisz się na taką kontrolę to łamiesz postanowienia umowy biznesowej i w skrajnym wypadku dostawca wypowiada Ci umowę i nie masz prawa wykorzystywać jego softu – a wtedy na pewno jesteś nielegalny.

      @Jarek – wymienić jednego dostawcę, który robi takie przeglądy na rynku polskim? Microsoft, IBM, SAP, Oracle, VMware. Podkreślę raz jeszcze, nie zapuka ani Microsoft, ani inny IBM do osoby prywatnej, albo do przedsiębiorstwa z 10 pracownikami, ale do firmy gdzie jest kilkaset osób pewnie już tak.

    • “Zdecydowana większość dostawców oprogramowania zapewnia sobie możliwość takiej kontroli/audytu zgodności licencyjnej poprzez odpowiednie zapisy w umowach ze swoimi Klientami.” – Przecież to nie ma najmniejszego sensu. To tak jak zakazać ustawowo ubóstwa. Skoro ktoś podpisał umowę to chyba oczywiste że dotyczyła ona legalnego oprogramowania. Ktoś kto ma pirata nie akceptował żadnej umowy.

    • Zgadzam się z Piotrem. W skrócie można powiedzieć, że jeśli licencja/umowa na to zezwala, to MS może kontrolować firmę, z którą podpisała taką umowę. Co za tym idzie, jeśli ktoś używa pirata, to nie wiąże go żadna umowa z MS, a zatem pozostaje im tylko wykorzystanie policji.

    • *oczywiście zakres i sposób takiej “kontroli” powinien wynikać z umowy, bo przecież nikt o zdrowych zmysłach nie udostępni sprzętu z danymi wrażliwymi, aby MS mógł sobie w nim dowolnie grzebać.

  8. A choćby dlatego ze niesłusznie zakładają iż w mojej firmie jest jakiekolwiek ich oprogramowanie. Nie ma wiec mogą sobie kontrolować swoje komputery.

    BTW – pracowałem w amerykańskich firmach przy rozwoju softu… wszystkie jadą na rożnych ,trialach’, przestawiają daty na serwerach dev i tst i takie tam…

  9. Słabe….
    Co powiecie na to:
    {.. W związku z koniecznością przeprowadzenia weryfikacji licencji, prosimy o przesłanie dostępu do obu serwerów w postaci adresu IP, port oraz hasła Administratora. ..]

    I nie to nie podpucha, Microsoft potwierdził że Ernst&Young audytuje nasze licencje. Skończyło się na tym że ich skrypty odpalaliśmy sami i po ocenzurowaniu przesyłaliśmy pliki wynikowe. A w ramach sprawdzania licencji E&Y zbierał bowiem wszystko co tylko dało się wyrwać włączenie z logami serwera.

    • Powiem, że to żart.
      Że to nie może być prawda.

    • Chciałbym ;) ale trzeba oddać im sprawiedliwość że męczyli do skutku. Podobnie jak kolega Lucjan na szczegółowe pytania odpowiedzi od M$ otrzymałem dość mętne choć stanęli murem z E&Y.

      Żeby było śmieszniej pliki były do pobrania z zacnego adresu:
      https://eysam-my.sharepoint.com/personal/keith_halloran_eysam_onmicrosoft_com/_layouts/15/guestaccess.aspx?guestaccesstoken=XXX

      I tak na koniec, zastanawiam się jak w nowej rzeczywistości RODO będzie miało się to do wyciągania np danych użytkowników na serwerze: imię, nazwisko i adres email.

    • eee, żarty sobie robisz. Wiele audytów mieliśmy różnych firm (był w tym IBM i MS) i nigdy nie chcieli się osobiście logować na serwer ani nie chcieli danych logowania.
      Czasami chcieli odpalać jakieś tandetne oprogramowanie do zbierania licencji które zwykle he he nie działało ale aby się sami logowali to nie widziałem.

    • Treść maila którą dostałem niemodyfikowana, nie ukrywam że też mi koparka trochę opadła ;)

      Po zapytaniu M$ o co chodzi grzeczni potwierdzili że to ich audytor ponaglając takimi oto słowy: Please respond to this email immediately to avoid further escalation from Microsoft.

      Po grzecznej odpowiedzi że dostępu do serwerów nie dostaną (dane wrażliwe do kwadratu), wyrazili zgodę żeby odpalić ich skrypty które leżały sobie tu: https://eysam-my.sharepoint.com/personal/keith_halloran_eysam_onmicrosoft_com/_layouts/15/guestaccess.aspx?guestaccesstoken=XYZ

      Po otrzymaniu ocenzurowych wyników, bo skrypty wyciągały co tylko się dało łącznie z błędami(aż dziw że nie kopiowało baz danych), pomarudzili i poprosili o potwierdzenie zakupu jednej licencji której nie mogli się doszukać. Dostali skan umowy + faktury i poszli w diabły.

  10. Ehm… do kontroli czegokolwiek uprawnione są odpowiednie służby państwowe (celno skarbowa kontrola np, chore uprawnienia ale jednak ma wynikające z ustawy napisanej przez skończonego idiotę ale nadal obowiązujące). prywatna firma nie ważne jak duża, może naskoczyć i co najwyżej uprzejmie donieść odpowiednim służbom. Na takie maile się nie odpowiada, tylko dodaje do czarnej listy (przeglądanej raz na jakiś czas). Firma mikrosracz i jej pociotki nawet nie dostaną pozwolenia na pocałowanie klamki.

  11. Jeśli ktoś uważa, że MS ma prawo wejść do firmy wbrew jej woli i zrobić audyt to tym samym zgadza się by firma “Kazio sp. z o. o. usługi wszelakie” też taki audyt zrobiła… bo firma Kazio też chce sprawdzić czy nie korzystacie z jej oprogramowania…

  12. Dziwne, przysyłają plik XLSM, czyli z makrami – i nie boją się, że ktoś odeśle własną wersję tego pliku w celu zrobienia rekonesansu po ich wewnętrznych systemach ? :D

  13. Działania takie są zwykłą bandytką i niczym więcej. To że MS to finansuje jest poniżej wszelkiej krytyki. Działania BSA były co najmniej podejrzane.
    Najśmieszniejsze jest to że MS kompletnie nic sobie nie robi z wysypu lewych licencji na “popularnym portalu aukcyjnym” pomimo że dostaje od branży zgłoszenia dotyczące tego softu.
    Co więcej ma poważne problemy w odpowiedzi czy dany produkt jest ich produktem czy podróbka. Odnosi się wrażenie że mają to głęboko w poważaniu.
    Dodatkowo smaczku dodaje to że mają w nosie klientów i nie mają w naszym kraju sensownej pomocy dotyczącej ich licencji.
    A na dodatek migają się od zajęcia stanowiska w sprawie ich słynnych OEMów i wyroków jakie w unii zapadły.
    Tworzy to trochę obraz niepoważnej firmy która do tego podpisuje się pod działaniami które śmierdzą brakiem legalności.
    Ale wcale bym się nie zdziwił jak by się okazało że to jednak było oszustwo a informacja o tym że nie wypłynęła bo mają taki bajzel że nie wie jeden co mówi drugi.
    Dzwoniąc do MS w tej samej sprawie pięć razy można uzyskać spokojnie 6 różnych odpowiedzi. Był taki okres że po rozmowie z konsultantem ten przesyłał to co powiedział mailem… Teraz już nie chcą.
    Wesoła firma….

  14. W lutym też otrzymałem taką wiadomość. Zignorowałem, ale ponowili „prośbę”. Zacytują moją odpowiedź choć jet dość długa:

    ———
    Zanim ustosunkujemy się do propozycji zawartej w wiadomości proszę o następujące informacje.
    1. Na jakiej podstawie zostaliśmy „wybrani” do „kontroli”?
    2. Kto konkretnie przeprowadza ten przegląd? Czy jest pan pracownikiem Microsoftu (tj. osobą zatrudnioną na podstawie umowy o pracę w firmie Microsoft)? Jeżeli nie to proszę przesłać upoważnienia do prowadzenia takiej weryfikacji.
    3. Czy są jakieś podstawy prawne (jeżeli tak to jakie), które wskazywały by na obowiązek poddania się tej „kontroli”?
    4. Jak wygląda i co potwierdza „certyfikat potwierdzający zgodność licencyjną”?
    5. Czy powyższy certyfikat jest równoważny pełnemu audytowi legalności oprogramowania (przynajmniej w zakresie oprogramowania firmy Microsoft)?
    6. Jakie konkretnie „darmowe konsultacje dotyczące rozwiązań i produktów Microsoft” otrzymamy w zamian za udział w „kontroli”. Proszę przesłać szczegółowy wykaz konsultacji wraz z określeniem przysługującej ich ilości w godzinach?
    7. Odnosząc się do stwierdzenia „Proces, którego celem jest poznanie statusu licencji na programy Microsoft w Państwa firmie” proszę o informację jak ma się to do faktu, że licencje są aktywowane na serwerach firmy Microsoft więc informacja o posiadanych licencjach jest już w dyspozycji firmy Microsoft?
    8. O jakiej konkretnie „certyfikowanej ochronie” mówi Pań w części dotyczącej „cyberbezpieczeństwa”? Proszę podać szczegółowe informacje (specyfikację) o rozwiązaniu, które Państwo proponują.
    9. Odnosząc się do zarzutu iż nie posiadamy i nie prowadzimy „spisu i weryfikacji swoich licencji” informuję, ze nie jest to prawdą i spis licencji posiadamy a ich weryfikację na systematycznie przeprowadzamy. Proszę więc o podanie skąd posiadają Państwo informacje o braku takowych?

    W celu przyśpieszenia odpowiedzi proszę o przesłanie WYCZERPUJĄCYCH
    odpowiedzi, lub odnośników do informacji opublikowanych na oficjalnych
    stronach firmy Microsoft w języku polskim i odnoszących się do polskiego
    rynku.
    ———

    Odpowiedzi jak się można domyśleć pisemnej nie było był za to telefon w którym konsultant próbował zaciemnić sytuację. Moje wnioski z rozmowy (oraz podobnego wątku https://forums.whirlpool.net.au/archive/1699258):
    1. To nie jest kontrola ani audyt tylko próba „wciśnięcia” majkrosoftowego rozwiązania o nazwie SAM (lub TeleSAM) do zarządzania licencjami.
    2. Microsoft tak naprawdę nie wie Ile na przykład mamy licencji OEM na ich oprogramowanie więc próbuje wyciągnąć te dane inną drogą.
    3. Zadaniem konsultanta jest namówienie do zakupu licencji typu „subskrypcja” (co oczywiście jest może i tańsze w perspektywie 3 lat ale nie pięciu).

    Jeżeli komuś się nie chce czytać całego wątku z powyższego linku to cytuje fragmenty trzech wypowiedzi. Ostatnia podobno od pracownika MS – stwierdził, że prawnie z samy audytem MS nie ma nic wspólnego (jest to umowa między między firmą audytorską a kontrolowaną). A tak poza tym to jest to dla naszego dobra :)

    – „we had an audit, 10,000 plus license. we said go away or we will go to google docs. it worked.”

    – „Be a bit wary of these. We are currently doing one right now, and it is an absolute hoax. (But then again, Microsoft licencsing in general is a massive hoax and a huge mess). They asked me what licences I have, so I told them in the initial spreadsheet. Later they sent me another spreadsheet asking for comments on various licences (eg how come you have Windows 2008 enterprise with 25 cals?) Apparently they are unable to match up OEM licences (eg the win2k8 ent oem from dell) and assume you are using it without a valid licence. I made these points very clear to the person I have been dealing with. I
    have not heard back from this person for a month or so. The proposed benefits (eg optimize/streamine your licencing) are far outweighed by the time expense. Espiecally when you know you are compliant.”

    – „The basicis that a SAM review is between your company and an independent 3rd. party. We (Microsoft) don’t get to see the results of that review. I’m a database specialist. The point at which I usually get involved is where the SAM review turns up a situation that the customer didn’t expect (ie, wrong version installed, too many machines deployed), and I
    help the customer to work out ways of reducing that licence exposure. I’m involved in three SAM reviews right now, in all of them my job is to reduce the customer’s bill.”

    • Jeszcze dodatkowy komentarz:
      Problemem jest niekompetencja osób obsługujących ze strony Microsoftu. Gdybym w wiadomości dostał informację, że ten pseudoaudyt wynika w jakikolwiek sposób z zapisów licencji jaką zakupiliśmy nie byłoby problemu. Niestety ani w mejlach ani w rozmowach telefonicznych na taki zapis (współ)pracownik MS się nie powołał. Musiałem poświęcić trochę czasu na sprawdzenie o co chodzi w tym „phishingu”.

  15. Nie napisaliście nic o makrach z załącznika…

  16. To może oznaczać tylko jedno Microsoft w Polsce ma bardzo słabą sprzedaż, że muszą takie coś robić. Nie zdziwił bym się jak za jakiś czas będą robić to z użytkownikami komputerów osobistych.

  17. Dziwne, bo w ubiegłym roku te maile wychodziły z domeny Microsoftu.

  18. To sam Microsoft nie może prześwietlić automatycznie Windowsa? Myślałem że sami mogą to zrobić na każdym komputerze podłączonym do internetu..

  19. A ja dostałem podobnego maila pod koniec 2016 przy czym osoba go pisząca była pracownikiem Microsoftu. Powiedziano mi, że licencja Open, z której korzystam, obliguje mnie do poddania się takiemu audytowi nie częściej niż raz w roku ale mogę odmówić wzięcia udziału w audycie. Nie polemizowałem, bo wiecie jak to jest z treściami licencji MS. Ciężko je znaleźć a potem ciężko przeczytać i zrozumieć. Po wypełnieniu arkusza poproszono mnie o uzupełnienie skanów faktur obejmujących licencje OEM (bo takie też mam). Większość miałem, kilku starych nie udało mi się już znaleźć. Mimo to dostałem od MS certyfikat legalności posiadanego oprogramowania.
    Odnośnie innych dostawców oprogramowania – wiem, że podobne audyty przeprowadza Autodesk

  20. Czytam artykuł i komentarze czytelników, oczom nie wieżę. Po raz kolejny cieszę się, że korzystam z Ubuntu/MacOS. Co za nieudolna firma…

  21. A te firmy działając na polskim rynku mają obowiązek przestrzegać polskiego prawa.

    Od kontroli są odpowiednie służby.
    Skąd mam wiedzieć że Pan Jan Kowalski z M$ pracuje w M$.
    Niech wypowiadają, chętnie potem spotkam się z takimi budyniami w sądzie.

  22. Zgodnie podzielam pogląd, ze takie maile należy ignorować . Jeśli komuś istotnie zależy na zdobyciu takich informacji powinien zorganizować to w sposób taki, aby :
    a)nie wzbudzac żadnych podejrzeń wątpliwymi koneksjami z firmami 3cimi, b)nie obarczać nas wykonaniem pracy za którą ktos inny weźmie pieniądze (wykon audytu SAM to często 1-2dni dłubaniny),

  23. “niemal wprost sugerowała” – to sugerowała, czy mówiła wprost?

  24. “Aż dziwne że firma wzięła pieniądze za taką amatorszczyznę”. @stukot Chyba spadłeś z księżyca. Wszystkie firmy biorą pieniądze za amatorszczyznę. To czasami, niektóre firmy nie dają pieniędzy na amatorszczyznę :)

  25. Hmm, czyżby microsoft szukał prawdziwych danych, bo chce je opublikować na konsoli XBOX? Czy może teraz opublikuje już w internecie na jakiejś stronie? Ta firma powinna upaść i miejmy nadzieję że się tak stanie po 25 maja.

  26. Piotr 2018.04.11 10:32 | # | Reply
    “Czytam artykuł i komentarze czytelników, oczom nie wieżę. Po raz kolejny cieszę się, że korzystam z Ubuntu/MacOS. Co za nieudolna firma…”

    Czy na tym twoim ubuntu/macos nie ma słownika ortograficznego? bo nie wierzę w to.

  27. W związku z faktem, że do mnie i firm ze mną współpracujących często zwracają się organy kontroli skarbowej (tj. urzędy kontroli skarbowej, GUS, urzędy celne) z prośbą o informacje dotyczące legalności przepływów finansowych w związku z prowadzonymi postępowaniami a zakup Państwa oprogramowania był ich częścią. W celu zapewnienia im wiarygodnych informacji zwracam się do Państwa z prośbą o przesłanie informacji na temat przychodów poszczególnych udziałów MS w Polsce, sumarycznych przychodów i opłaconych podatków w rozliczeniu miesięcznym w UE oraz w rozliczeniu rocznym z ostatnich 4 lat w skali globalnej. Rozumieją Państwo, że odmowa przesłania wymaganych informacji może wzbudzić podejrzenia wyżej wspomnianych służb i wszczęcie postępowań weryfikacyjnych lub (w zależności od wyników) karnych.

  28. nie ma czegoś takiego jak kontrola oprogramowania. Jest przeszukanie przez odpowiednie służby – z nakazem, lub bez (ale musi potek prok. zatwierdzić). Nie wiem jak teraz jest z KAS ale pewnie policji łatwiej się działało pod płaszczem, przy okazji działań UC. BSA (poprzez swoją kancelarię i podmioty trzecie) składa zawiadomienie o możliwości popełnienia przestępstwa i oficjalnie maszyna rusza zgodnie z KPK, ale nie w ramach żadnej “kontroli”…

  29. I po co wymazaliście ich adres mailowy? Chciałem im wysłać goatse, tubgirl i hai2u

  30. Odniosę się do kilku tematów:
    1. Sytuacja opisana w artykule
    2. BSA
    3. Oprogramowanie w firmie
    4. Oprogramowanie używane prywatnie

    1. Sytuacja opisana w artykule

    Jest to dość popularna praktyka, szczególnie w Microsoft, która wykorzystuje strach firm przed audytem. W kręgu SAM (Software Asset Manangement) nawet nie kwalifikuje się jako “przyjazny audyt”, ponieważ jest niczym więcej niż próbą zmaksymalizowania zysku pod pretekstem pomocy z licencjonowaniem ich produktów. Jednak nieraz jest przesłanką, że właściwy audyt może nadejść – prowadzony przez zespół Microsoft we współpracy lub za pośrednictwem firm jak KPMG, EY etc.
    Porada na koniec artykułu jest miła, ale jeżeli ma się faktycznie umowę z Microsoftem, więc również konkretnego Account Manangera lub kupuje się licencje przez pośrednika to warto najpierw skontaktować się z nimi i ewentualnie odsyłać takie prośby do nich (cuda niewidy potrafią zrobić opiekunowie i sprzedawcy tylko po to, żeby nie zepsuć współpracy i dalszych zakupów z Waszej strony).

    2. BSA

    Nadal od czasu do czasu wysyłają listy z “prośbą” o podanie swojego statusu zgodności licencyjnej (po angielsku łatwiej to określić, po prostu “compliance”). Przez to, że BSA nie jest organizacją tak rozbudowaną i komercyjną jak np. KPMG i nie współpracują z Microsoft, Oracle i innymi na tych samych zasadach co firmy konsultingowe obsługujące audyty to nie mają narzędzi do audytowania firm. Niektórzy powyżej już o tym wspomnieli, BSA może polegać tylko na współpracy z policją itp. Ciekawostka: potrafią wypłacić nagrodę za konkretne informacje, które pozwolą wszcząć postępowanie itp. Itd.

    3. Oprogramowanie w firmie

    Jestem trochę zaskoczony po przeczytaniu niektórych komentarzy, bo wskazują na to, że dużo ludzi nadal nie czyta umów licencyjnych na dane oprogramowanie.
    W przypadku firm, szczególnie większych, umowy są negocjowane i dostosowywane, ale standardem dla takich producentów jak IBM, Oracle, SAP, Microsoft, Micro Focus (old Attachmate) jest nie tylko posiadanie w umowach licencyjnych zasad audytowania, ale również całych zespołów audytowych, które generują całkiem niezły zysk. Czemu zysk? Ponieważ warunki licencyjne oraz interpretacja bywają bardzo skomplikowane i bywają “szare strefy”, jak w przypadku SAP i “indirect usage”.
    Nawet firma mająca zaledwie parę licencji może zostać wyznaczona do audytu. Najczęściej zaczyna się i kończy na “przyjaznym audycie”, czyli takim gdzie ustala się jego warunki, przeprowadza się go i kończy uściskiem ręki lub zakupem brakujących licencji bez dodatkowych kar.
    Ktoś zauważył, że nie musi się na nic zgadzać dopóki nie zobaczy nakazu itd. Oczywiście tylko trzeba się liczyć z tym, że jeżeli firma jak Oracle ma powody podejrzewać, że mamy dużą niezgodność licencyjną i to im się opłaci to bez problemu zaangażują prawników i do audytu i tak dojdzie (zapisy w umowie), jednak wtedy trzeba się liczyć z o wiele większymi kosztami operacyjnymi audytu, mniejszą chęcią do współpracy takiej firmy oraz maksymalizacji kar.
    Ciekawostka: często-gęsto, jeżeli zostanie wykazana niezgodność licencyjna np. powyżej iluś tam procent to koszty audytu ponosi klient, czyli my.

    4. Oprogramowanie prywatne

    Ile osób tak naprawdę czyta umowy licencyjne, nawet jak musi kupić na coś licencję? Niewiele, bo są często długie i skomplikowane lub wręcz niejasne. Warto też dodać, że producent, który nastawia się na sprzedaż oprogramowania dla klienta indywidualnego nie będzie raczej zawierał w umowach punktów dotyczących możliwości audytowania, ponieważ jest to najzwyczajniej w świecie nieopłacalne. Łatwiej jest wprowadzić model subskrypcji albo w ogóle odpuścić sobie ściganie przypadków piractwa. Co do samego piractwa to warto zauważyć, że to też ma swoje korzyści dla producenta. Na czym będziecie chętniej pracować w firmie? Na tym na czym pracowaliście przez kilka lat, nawet na nielegalnej licencji czy na zupełnie nowym narzędziu, którego od podstaw musicie się nauczyć? Należy pamiętać, że ogrom przychodów dużych producentów oprogramowania pochodzi ze sprzedaży dla firm, a nie klienta indywidualnego.

    Dla ciekawskich: Firmy takie jak Microsoft zawierają umowy przez spółki obecne w konkretnych krajach właśnie w celu dostosowania się do lokalnych wymogów prawnych, więc i umowy potrafią się różnić. Negocjując kontrakty / licencje globalne jednym z punktów jest to, którego kraju sądy będą rozstrzygały ewentualne spory – ma to znaczenie nie tylko ze względu na wygodę i koszty, ale również na to, że możemy mieć o wiele korzystniejszą interpretację prawną.

    Można by jeszcze wiele napisać w tym temacie, ale mam nadzieję, że chociaż trochę rozjaśni to sytuację.

  31. Ja miałem podobną “przyjemność” kilka lat temu. Przyszedł mail z Microsoftu do osoby zajmującej się PR. Został przekazany do mnie ponieważ mowa była o oprogramowaniu i własności intelektualnej. Zignorować go nie mogłem, ale dlaczego do PR a nie do mnie skoro jestem w bazie Microsoftu jako osoba zarządzająca licencjami? Wymieniłem kilka maili z bardzo stanowczą osobą powołującą się na prawa firmy do kontroli co jest prawdą, są odpowiednie zapisy w umowach, których dobrowolnie nikt nie chce czytać ale ja w ramach obowiązków muszę. Rzekomą korzyścią dla mnie chyba miało być doradztwo, które do niczego mi nie było potrzebne, a roczny certyfikat legalności to też żadna atrakcja. Sam to wiem, przy setce maszyn jeszcze ogarniam wszystko zwłaszcza, że mam monitoring po SNMP i lekką nadwyżkę licencji. Ale przy 3 tysiącach pewnie miałbym już problem. I chyba na to liczą Ci co na takie “audyty” namawiają, ludzie boją się, że coś wymknęło się spod kontroli, ktoś zainstalował za dużo kopii jakiegoś softu, albo przekroczył ilość dostępów na które ma licencję itd. Jak odmówi współpracy i przyjdzie kontrola, to dodatkowo dojdzie koszt zrobienia audytu o ile będą nieprawidłowości (tak jest w umowach). Jeśli podejdzie do sprawy ugodowo to często kończy się to na konieczności wykupienia używanych licencji, a nie 3-krotnej ich wartości, której mogliby dochodzić na drodze sądowej. Ale jeżeli ma się pewność, że wszystko jest OK to można zaryzykować podejście bez zakładania z góry pójścia na ugodę. “Audytor” prawdopodobnie chce mieć szybki efekt, formalne podejście wydłuża wszystko, więc jest zniechęcajace, do tego jestem klientem płacącym spore pieniądze, więc też nie może przesadzać. A więc skoro nie zwrócili się do mnie bezpośrednio, to znaczy, że nie mają dostępu do baz z licencjami, więc jt marketing a nie działanie prawne chociaż pozornie na to wyglądało. Żądanie danych o licencjach, które są w ich bazie to potwierdza. Żeby zarządzić kontrolę na podstawie umowy trzeba przywołać konkretną umowę, zawartą określonego dnia, trzeba powołać się na konkretny zapis w tej umowie, wreszcie trzeba wykazać, że jest się osobą uprawnioną do przedstawienia takiego żądania, czyli trzeba mieć odpowiednie pełnomocnictwo. Standard prawa cywilnego. W takiej sytuacji ja jako szef IT nie mogę zdecydować o poważnej dezorganizacji pracy, to ewidentnie kompetencja dyrektora, więc poprosiłem mojego “audytora” o zwrócenie się na piśmie z uwzględnieniem aspektów o których pisałem do dyrekcji, która skorzysta z analizy prawnej dokonanej przez radcę prawnego i jeśli okaże się, że żądanie ma podstawy prawne to oczywiście wypełnimy nasze zobowiązania wynikające z umowy bo przecież dotrzymujemy zawartych umów. Otrzymałem odpowiedź, że mój rozmówca kieruje sprawę wyżej i na tym się skończyło. Przypuszczam, że albo nie mieli upoważnienia do kontroli licencji albo rzut oka na stan naszego posiadania w bazie danych nie rokował korzyści z audytu. Oczywiście to co napisałem dotyczy normalnych stosunków prawa cywilnego. Nielegalny soft to zwykle inna bajka, np donos do BSA, policja, prokurator, wtedy wchodzą smutni panowie z nakazem – nikt nie pisze maili i nie telefonuje za to firma zostaje bez dysków w komputerach. Druga strona tego wszystkiego wygląda tak, że ja jako klient zamiast audytu zrobiłem analizę w jakim stopniu mogę się wycofać z oprogramowania z którego miałem się tłumaczyć, wyszło mi, że możliwa jest redukcja ok. 30% ale to osobny skomplikowany temat.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.