211service.com
Inuti spionprogramskandalen
John Guarino är ägare till TecAngels, ett datorkonsultföretag för två personer på Manhattan. Ge Guarino din sjuka Windows-dator, och om två eller tre timmar kommer han att lämna tillbaka den till dig med perfekt hälsa. Ofta kan han lösa sina kunders problem via telefon.
Men förra sommaren stötte Guarino på ett problem som han inte kunde fixa. I processen att spola bort spionprogram och virus som infekterade hans kunders datorer, började han hitta samma mystiska inkräktare i maskin efter maskin. De var konstigt namngivna filer som lurar djupt inne i registret där Windows lagrar inställningar och instruktioner som kontrollerar all dators hårdvara och mjukvara.
För Guarino såg filerna ut som ett rootkit – programvara som lurar ett operativsystem att förbise maskar, virus och alla andra filer som en hackare kanske vill dölja inuti en användares dator. Filerna verkade inte orsaka skada, och Guarinos antivirusprogram identifierade dem inte som hot. Men de hade dykt upp på människors hårddiskar oinbjudna – den konventionella definitionen av skadlig programvara – så Guarino tog bort dem.
Men filerna gick inte tyst. Efter att Guarino tagit bort dem slutade cd-enheterna på hans kunders datorer att fungera. Den vanliga lösningen – att installera om programvaran som driver skivspelarna – löste inte problemet. Guarino kunde inte förklara denna udda effekt, och hans kunder betalade honom inte för att spendera timmar på att undersöka den; de ville bara ha tillbaka sina datorer. Så han skulle vanligtvis ta till det nukleära alternativet: installera om operativsystemet från början.
Efter sex eller sju av dessa möten började Guarino tröttna. Sedan, den 30 september, upptäckte han de mystiska filerna på sin egen dator. Det var det som gjorde mig riktigt förbannad, säger Guarino. Jag tänkte: 'Jag kan inte tro det. Jag har den senaste brandväggen, det senaste antivirusprogrammet, tre eller fyra antispionprogram. Hur hamnade det här?
Som vilken bra utredare som helst, backade Guarino. Han visste att filerna inte hade funnits där senast han skannade sin dator. Han försökte rekonstruera allt han gjort med sin maskin under de senaste dagarna – vilka program han hade installerat, vilka e-postmeddelanden han hade fått, vilka webbplatser han hade besökt.
Sedan kom han ihåg att han hade köpt en musik-CD dagen innan och spelat upp den på datorn. Det var ett album från Sony BMG Music Entertainment som hette Rör , av rhythm-and-blues-sångerskan Amerie. Till skillnad från de flesta CD-skivor kunde denna skiva inte spelas med vanliga mediaspelare som iTunes, RealPlayer eller Windows Media Player. För att lyssna på CD:n var köpare tvungna att installera den anpassade Sony BMG-spelaren som fanns på skivan. Guarino hade gjort detta.
Nu tog han en närmare titt på cd:ns juvelskrin. En fras dök upp för honom: innehåll förbättrat och skyddat. Uppenbarligen innehöll skivan någon form av programvara för digital rights management (DRM) – ett program utformat för att kontrollera kopiering och därmed motverka piratkopiering.
Till slut kom bitarna ihop. Mysteriefilerna liknade ett rootkit; det vanliga syftet med ett rootkit är att dölja något; ett kopieringsskyddsprogram var något som dess skapare skulle vilja dölja för användare; och att ta bort just detta rootkit inaktiverade CD-enheten. Guarino kunde bara dra slutsatsen att källan till skadlig programvara var Sony BMG själv.
Det var då jag gav upp, säger Guarino. Han kunde bekämpa skadlig programvara en maskin i taget. Men om världens näst största skivbolag ville installera hemlig programvara på sina kunders datorer skulle han aldrig vinna.
Innan han lade problemet åt sidan gjorde Guarino en mycket viktig sak. Han e-postade sina loggar till F-Secure, ett datasäkerhetsföretag i Helsingfors, Finland, vars programvara han hade använt för att upptäcka filerna. Även om F-Secures övervakare av skadlig programvara inte tidigare har stött på rootkit, kunde de snabbt bekräfta Guarinos misstankar. Under de kommande två veckorna kom de till en annan, mycket mer oroande insikt: rootkitet kunde dölja andra filer lika enkelt som det gömde Sony BMG:s kopieringsskyddsprogram. Varje dator som någonsin använts för att spela en kopieringsskyddad Sony BMG-skiva var nu i praktiken en öppen behållare för maskar, virus och annan skadlig kod.
Den 17 oktober kontaktade F-Secure Sony. Två veckor senare hittade den respekterade säkerhetsexperten Mark Russinovich rootkitet på sin egen dator och publicerade sina resultat på sin mycket lästa blogg. Han upptäckte också att annan programvara installerad tillsammans med kopieringsskyddsprogrammet i hemlighet kontaktade Sony BMG via Internet varje gång en PC-användare spelade upp en kopieringsskyddad skiva. Och under de kommande månaderna eskalerade det som hade börjat som en kuriosa i Guarinos lilla butik till en fullskalig skandal, komplett med bakrumsförhandlingar, offentliga avslöjanden, hetsiga förnekelser, arga bojkotter, hämndlystna stämningar och bedrövliga ursäkter.
Även om dess ursprungliga syfte var att dölja programvara som hindrade lyssnare från att göra mer än tre kopior av sin musik, blev Sony BMG:s rootkit den mest offentliga symbolen hittills för de upplevda överdrifterna av DRM-teknik – och för den växande misstänksamheten medieföretag verkar för att hamn mot sina egna kunder. Skandalen får fortfarande återverkningar. Det har återuppstått en tvist i den offentliga sfären om hur konsumenter bör tillåtas att använda upphovsrättsskyddad digital information och, omvänt, hur långt upphovsrättsinnehavare kan gå för att skydda sin immateriella egendom mot piratkopiering. (Se Vem kommer att äga idéer?, ett specialpaket för TR som publicerades i juni 2005.)
Experter säger att hanteringen av digitala rättigheter inte bara inskränker människors rätt att göra rättvis användning av upphovsrättsskyddat material, vilket garanteras av amerikansk upphovsrättslagstiftning, utan kan till och med skapa nya tekniska faror. När du bygger datorsystem där du inte skyddar användaren, utan något från användaren, har du väldigt dålig säkerhet, säger Bruce Schneier, en kändis inom området datorsäkerhet och teknisk chef för Counterpane Internet Security i Mountain View, CA. Det är min största rädsla – den här föreställningen att användaren är fienden.
Historien om Sony BMG rootkit fiasko handlar om mer än dåligt företags omdöme eller den pågående kampen om konsumenternas rätt att göra vad de vill med de saker de äger. Det handlar också om rädsla och de överdrifter den kan väcka. När medieföretag använder så kraftfulla, hemliga verktyg för innehållsskydd, tyder det på att deras nervositet över piratkopiering har övergått i panik. Även om Sony BMG insisterar på att rootkitet distribuerades oavsiktligt, övertalade episoden många observatörer att musikindustrin hade kommit att se bedrägeri som en oumbärlig komponent i hanteringen av digitala rättigheter. Det borde inte vara någon överraskning när kunder som känner att de blir behandlade som tjuvar slutar köpa saker. Om det finns ett budskap i Sony BMG:s erfarenhet till andra företag som går in i den digitala världen, så är det att misstro skapar misstro.
Skolgårdspirateri
Efterfrågan på digitalt innehåll (ett svagt men bekvämt jargongord för allt från poesi till podcaster) är större än någonsin. Försäljningen av nedladdningsbar musik världen över nästan tredubblades mellan 2004 och 2005, från 380 miljoner dollar till 1,1 miljarder dollar, och står nu för cirka 6 procent av all musikförsäljning. I mars 2004 sålde Apples iTunes-musikbutik låtar i en takt av cirka 2,5 miljoner per vecka. Enligt den brittiska versionen av Macworld tidningen säljer den nu tre miljoner låtar varje dag.
Man kan förvänta sig att innehållsproducenter och distributörer ska bli glada över digitaliseringens start. Men i verkligheten är de ofta upptagna av det ständigt närvarande hotet om skenande kopiering. Och av goda skäl: under en månadsperiod 2005 laddade 3,8 miljoner amerikanska hushåll ner musik med hjälp av de kostnadsfria peer-to-peer fildelningstjänsterna WinMX och Limewire, medan endast 1,7 miljoner hushåll köpte filer från iTunes, enligt marknadsundersökningar företaget NPD Group. Recording Industry Association of America uppskattar de förlorade detaljhandelsintäkterna från piratkopiering av digital musik till 4,2 miljarder dollar per år, och de har bekämpat illegala nedladdningar aggressivt: i februari tillkännagav de att de hade inlett 750 nya stämningar mot användare av peer-to-peer-filer -delningsnätverk, vilket har gjort det totala antalet sedan 2003 till mer än 18 000.
Före nästan varje olaglig nedladdning är dock en mycket mer oskyldig handling: rippa komprimerade datorfiler, såsom MP3-filer, från en lagligt köpt CD. Att rippa och bränna CD-skivor för personligt bruk är helt lagligt i USA. Men Thomas Hesse, president för global digital business för Sony BMG, säger att det står för två tredjedelar av all piratkopiering. Den tillfälliga piratkopieringen, skolgårdspiraten, är en enorm fråga för oss, sa han till nyhetstjänsten Reuters förra året.
Så skivbolag som Sony BMG lockas naturligtvis till teknik som lovar att omintetgöra egensinniga fans. Gå in i digital rights management, en industri som växte fram i slutet av 1990-talet för att hjälpa utgivare och studior att behålla kontrollen över innehållet på DVD-skivor, programvara och liknande. För DRM-företag och deras kunder innebär kontroll att hindra kunder från att öppna digitala filer om de inte har betalat för att göra det. Det innebär att förhindra kopiering, utskrift, säkerhetskopiering eller replikering av ett verk utom när det uttryckligen tillåts av verkets licensavtal.
I flera år behövde inte skivindustrin den här nivån av kontroll, eftersom CD-spelare av konsumentklass (introducerades 1982 av Philips och Sony) var designade uteslutande för att spela musik, inte för att exportera den i digital form. Men 1996, när PC-tillverkarna började inkludera CD-ROM-enheter som en standardfunktion i hemdatorer, hade hotet om tillfällig piratkopiering uppstått; och när det debuterade 1999, klarade Napster, det första populära Internet-musikdelningssystemet, det hotet. Inspelningsbolag började lobba i Washington för att få strängare rättsliga påföljder mot de som ertappades med att dela filer – och började också leta efter sätt att göra kopiering och delning mer skrämmande för den genomsnittliga användaren.
Detta är inte en enkel sak. Skyddade skivor måste innehålla DRM-programvara för att begränsa kopiering; men samtidigt måste de kunna spelas på vanliga CD-spelare. Ett sätt att tillgodose båda behoven är att göra CD-skivor mer som CD-ROM-skivor, som ofta innehåller flera sessioner som liknar klippen på gamla vinyl-LP-skivor. Den första sessionen på en CD med flera sessioner, som börjar i mitten av skivan, innehåller musik, och de yttre sessionerna innehåller programvara. Normala CD-spelare läser bara den första sessionen och ignorerar resten, medan en Windows-dator med sin autorun-funktion påslagen först letar efter program i de yttre sessionerna som den kan köra. (Lyckligtvis för DRM-utvecklare är autorun aktiverat som standard i Windows XP, och de flesta användare ändrar aldrig denna inställning.)
När Sony BMG genomförde branschens första stora lansering av kopieringsskyddade CD-skivor 2005 använde man multisessionsmetoden. På 52 Sony BMG-album som släpptes mellan januari och november inkluderade de yttre sessionerna ett Windows kopieringsskyddsprogram som heter XCP (eXtended Copy Protection), som Sony licensierade från ett brittiskt företag som heter First 4 Internet, och ett dubbelt Macintosh/Windows-program som heter MediaMax, från Phoenix, AZ-baserade SunnComm. Detta var inte första gången ett märke försökte sälja CD-skivor med antikopieringsmjukvara; Arista Records, ett dotterbolag till Sony BMG, marknadsförde en skiva med MediaMax i slutet av 2003, och rivaliserande Macrovisions DRM-programvara dök upp på tusentals CD-skivor från andra bolag med början 2002. Vad var ovanligt med de nya Sony BMG-skivorna var dock den teknik som First 4 Internet hade valt för att göra XCP osynlig.
Cloaking-enhet
När Sony ursprungligen anställde First 4 Internet, var det inte för att bygga ett DRM-system för konsument-CD-skivor. Enligt pressintervjuer med First 4 Internet-chefer månader innan rootkit-skandalen bröt, var det för att avskräcka kopiering av pre-release-musik av etikettens egna anställda och entreprenörer, och andra mottagare. Företagets första DRM-produkt, XCP1, gjorde musiksessionen på multisession CD-R, den typ av inspelningsbar CD som används i musikstudior, ospelbar av datorer. Den förmågan var attraktiv inte bara för Sony BMG utan också för dess tre stora rivaler, Universal, EMI och Warner Music Group, som alla hade licensierat XCP1 2002.
Men den här metoden skulle inte fungera för konsument-CD-skivor, som behövde vara spelbara i alla typer av enheter, inklusive datorer, DVD-spelare, video-CD-spelare och vanliga spelare. Så First 4 Internet utvecklade ett nytt program, XCP2, som använder en smartare, lite mer tillåtande metod som kallas steril bränning. Denna oaptitliga term betyder helt enkelt att köpare av en skyddad CD kan rippa den till sina datorer och sedan bränna tillbaka kopior till tomma CD-R-skivor, men dessa kopior kan inte användas för att göra fler kopior. (XCP2 kom att kallas helt enkelt XCP.)
Enligt Princeton Universitys datavetare Ed Felten och J. Alex Halderman, som omvänd konstruktion av XCP som en del av en akademisk undersökning, har programvaran flera distinkta funktioner som åberopas separat. Första gången en XCP-skyddad skiva laddas i en dator, ber den användaren att samtycka till Sony BMG:s slutanvändarlicensavtal (EULA). Den kopierar sedan ett antal program och drivrutiner till hårddisken och startar ett proprietärt mediespelarprogram. När de väl installerats, enligt en vitbok -Halderman och Felten publicerad i februari, lyssnar de nya drivrutinerna efter försök från andra mediespelare som iTunes att läsa ljudspår på CD:n; om de upptäcker en, ersätter de data som returneras av CD-enheten med slumpmässigt brus. Samtidigt låter en bakdörr i XCP den proprietära mediaspelaren läsa skivans rådata utan förvrängning.
Inbyggt i mediaspelaren är ett brännande program som låter ägaren av CD:n rippa upp till tre kopior av den och bränna dem till CD-R-skivor. Dessa kopior kommer att innehålla allt på originalskivan, inklusive ljudspåren, mediaspelaren och kopieringsskyddsprogrammet. Men de kommer att vara sterila: applikationen för bränning kommer att inaktiveras, vilket innebär att kopiorna bara kan spelas upp, inte rippas och brännas igen. Alternativt kan användare rippa enskilda spår eller hela album till sina hårddiskar och sedan bränna upp till tre kopior till CD-R-skivor i Windows Media Audio-format.
Om det var lätt för användare att kringgå eller inaktivera alla dessa komplexa funktioner skulle kopieringsskyddssystemet vara värdelöst. Och här är kärnan i kontroversen om XCP och Sony BMG-skivorna: First 4 Internets utvecklare beslutade att ett antal av programmets filer och operationer skulle döljas för genomsnittliga användare. Drivrutinerna som stör andra mediaspelares försök att läsa en skyddad CD behövde till exempel lagras på en hemlig plats där användarna inte kunde hitta och ta bort dem. Sedan fanns det filen XCP använder för att räkna antalet kopior av CD:n som användaren fortfarande har tillåtelse att göra. Bränningsapplikationen avaktiveras endast när räknaren når noll. Om avancerade användare kunde hitta den här filen kan de eventuellt ändra räknarens värde tillbaka till tre efter varje kopia de bränner.
Sekretess i sig är rutin i mjukvarubranschen, men det här var annorlunda. De fyra första Internet uppnådde sekretess använder ett rootkit , sedan försummade Sony BMG att berätta för sina kunder om programmets närvaro eller att tillhandahålla ett enkelt sätt att avinstallera det. Termen rootkit härrör från datornätverk som använder Unix-operativsystem, där systemadministratören – personen med alla rättigheter och privilegier att ändra systemet – sägs ha root-åtkomst. De första root-kiten, skrivna i mitten av 1990-talet, var samlingar av mjukvaruverktyg som användes av Unix-hackare för att skaffa root-åtkomst och sätta in falsk kod utan att lämna ett spår. Windows rootkits uppstod 1999 och blev så vanliga att de kunde laddas ner gratis från hackerkollektiv som den som producerar onlinetidningen Rootkit ( www.rootkit.com ). Mer sofistikerade versioner kan köpas på Internet för några hundra dollar.
De fyra första Internetcheferna, med hänvisning till pågående rättsliga åtgärder, ville inte svara Teknikgranskning frågor. Därför vet vi inte om företagets utvecklare visste att de skapade ett rootkit eller om de modellerade XCP efter ett av de öppna eller kommersiella rootkiten. Men utomstående som undersökte XCP:s kod fann att den innehöll några komponenter med öppen källkod, inklusive kod från ett program som kodar musik i MP3-format och ett annat som krypterar och dekrypterar musik som laddats ner från Apples iTunes. (Det senare var tydligen en del av en aldrig implementerad plan för att göra XCP kompatibel med iTunes, enligt Halderman.)
Ett annat okänt är om XCP:s utvecklare var medvetna om att ett rootkit, när det väl installerats på en kunds dator, kunde öppna en passage för andra virus och trojanska hästprogram. Men Princetons Halderman säger att programmerare på First 4 Internet måste ha varit medvetna om att cloaking-metoden de använde var välkänd för författare av skadlig programvara. De var tvungna att lära sig om den här tekniken från andra källor, säger Halderman. Och under loppet av att undersöka hur man använder den här tekniken är det nästan otänkbart att de inte skulle ha upptäckt att [dölja annan skadlig kod] är något som rootkits gör.
Hur som helst var företagets döljningsteknik mycket effektiv – så mycket att ingen säkerhetsexpert lade märke till rootkit under minst sex månader efter utgivningen av de första kopieringsskyddade skivorna. Men strax efter att Russinovich publicerade sin rapport upptäckte skadlig programvara att de kunde använda rootkit för att hålla allt från virus till spionprogram borta från operativsystemet. Faktum är att mindre än två veckor efter att Sony BMG-rootkit kom fram, hade det första skadliga programmet utformat för att utnyttja det dykt upp. Det var en bakdörrstrojan som heter Troj/Stinx-E utformad för att gömma sig inuti rootkit och tillåta andra program att ta över användarnas datorer via anslutningar till ett snabbmeddelandesystem som kallas Internet Relay Chat.
Den finska förbindelsen
F-Secure har sitt huvudkontor i en rutig glas- och aluminiumbyggnad i Helsingfors utkanter, bara ett kvarter från fabriken där Nokia – långt innan det blev ett mobiltelefonföretag – tillverkade tusentals kilometer stålkabel som en del av Finlands massiva krig skadestånd till Sovjetunionen.
Tre stora videoskärmar dominerar F-Secures kommandocenter på andra våningen. Den ena skildrar arkitekturen hos ett välkänt datavirus som om det vore en gigantisk, snurrande rymdstation. En annan visar en realtidskarta över skadlig programvara över hela världen. Mika Stahlberg, forskningschef på F-Secure, använder den tredje skärmen för att illustrera XCP:s smygfunktioner.
Jag kan demonstrera med Van Zant-albumet, säger Stahlberg. Han sätter in Gör rätt med mannen , ett countryalbum av veteranrockarna Johnny och Donnie Van Zant, till en dator under kommandocentralens trekantiga konferensbord. Vi beställde detta från Amazon i oktober förra året. Okej, jag lägger in det här och det startar som standard. Här är EULA. Självklart vill jag lyssna på musiken, så jag klickar på 'Godkänn'.
Spelaren installerar sig själv och startar automatiskt. Nu väljer Stahlberg ett marsvin för cloaking-demonstrationen: Windows-kalkylatortillbehöret. Han startar räknaren, öppnar sedan Windows Task Manager och väljer fliken Processer, där en användare kan se en lista över alla program som för närvarande körs på maskinen. Okej, vi kan se att det finns där i processlistan – det heter 'calc.exe.' Låt oss nu byta namn på det.
Stahlberg stänger räknaren, hittar själva programfilen på hårddisken och ger den ett mycket specifikt namn: $sys$calc.exe. Han startar om räknaren. Titta nu på processlistan igen. Kalkylatorn har försvunnit.
Stahlberg har precis avslöjat huvudfunktionen hos Sony BMG rootkit: att göra vilken fil som helst som börjar med prefixet $sys$ omöjlig att upptäcka. Bland filerna som XCP håller dolda på det här sättet: aries, huvudprogrammet som leder meddelanden mellan applikationer och operativsystemet; krater, filterdrivrutinen som hindrar andra program från att läsa CD-ROM-skivan; och $sys$parkering, som räknar hur många gånger den brännande applikationen har använts.
Vad nästan alla rootkits gör...är att filtrera utdata som applikationer får från vissa operativsystemfunktioner, förklarar Stahlberg. XCP filtrerar bort alla utdata som är markerade med prefixet $sys$, så i Stahlbergs demonstration, när Aktivitetshanteraren bad Windows om en lista över program som körs, fick den tillbaka allt utom kalkylatorn. Ett program med prefixet $sys$ i sitt namn kan vara igång – det kan faktiskt ta upp en stor del av systemets minne och CPU-tid – men för processlistan och andra applikationer som Windows Explorer finns det inte .
Naturligtvis förstod inte Stahlberg och hans kollegor på F-Secure något av detta första gången de undersökte en kopieringsskyddad Sony BMG-skiva, Switchfoot's Ingenting är ljud . Omedelbart efter att de mottagit John Guarinos loggfil beställde de CD:n och installerade den på en PC i karantän och använde sedan F-Secures eget rootkit-detekteringsprogram, kallat Blacklight, för att se hur skivans programvara hade förändrat maskinens operativsystem. Blacklight fann att det fanns fler filer i systemet än vad Windows Explorer angav – ett omisskännligt tecken på ett rootkit.
Till en början var F-Secure-forskarna ovilliga att kalla Sony BMG-rootkit som ett säkerhetshot, eftersom det uppenbarligen användes för kopieringsskydd, inte för att sprida virus eller skapa popup-annonser. DRM som sådant är inte dåligt, säger -Santeri Kangas, F-Secures forskningschef. Men när vi analyserade vad detta kunde göra som en fordon för skadlig programvara tog vi ställning och sa: 'Ja, det här är farligt.'
F-Secure kontaktade Sony om rootkit-sårbarheten den 17 oktober. Men förhållandet fick en dålig start, enligt Kangas. Utan att veta vem de skulle vända sig till tog F-Secure först problemet till Sony DACD, ett österrikiskt dotterbolag som tillverkar CD-skivor. De sa: 'Tack, men det här är från Sony BMG', berättar Kangas. När han och hans kollegor äntligen nådde Sony BMG:s huvudkontor i Los Angeles, var den första reaktionen vi fick, varför pratade vi om deras kopieringsskyddsprogram med en konkurrerande enhet från Sony? De var ganska arga.
När anklagelserna passerade bad Sony BMG DRM-chefer Kangas och hans personal att arbeta med First 4 Internet på ett sätt att skydda ägarna till de skyddade CD-skivorna. Ur vår synvinkel var den enda lösningen med denna första version av XCP att sluta distribuera den, säger Kangas. Men det var något de uppenbarligen inte ville göra. Enligt Kangas var First 4 Internets plan helt enkelt att släppa en ny version av XCP 2006 utan rootkit – inte att ersätta de miljontals skivor som redan hade köpts – och erbjuda ett avinstallationsverktyg till kunder som bad om det.
Kangas och hans team läste en offentlig rapport om rootkit men väntade på First 4 Internets avinstallationsprogram innan de släppte det, som artighet inom Internetsäkerhetsbranschen kräver. Det var då de blev slagen av en texan vid namn Mark Russinovich.
Russinovich och kollegan Bryce Cogswell är författarna till Sysinternals.com, en av de ledande amerikanska bloggarna om datorsäkerhet. Russinovich är också den främsta mjukvaruarkitekten på Austin-baserade Winternals Software och, av en slump, uppfinnaren av några av de mycket cloaking-tekniker som används av XCP. Han och Cogswell hade tillbringat en del av 2005 med att arbeta på Rootkit Revealer, ett detektionsprogram som liknar F-Secures Blacklight. En dag i slutet av oktober körde Russinovich Rootkit Revealer på sin egen dator som en del av ett test för att säkerställa att programmet inte genererade falska positiva resultat. Russinovich säger att han medvetet undviker de mer smutsiga områdena på Internet för att hålla sin maskin ren från skadlig programvara – så han blev förvånad när Rootkit Revealer hittade faktiska rootkit-filer.
Precis som Guarino upptäckte Russinovich att radering av filerna inaktiverade hans CD-ROM-enhet. Till och med en sofistikerad hemanvändare, om de försökte avinstallera rootkit genom att ta bort filerna, skulle sluta med att deras maskin förlamades, säger Russinovich. Men eftersom han själv hade kommit på de flesta knep som Windows rootkits använder för att lura operativsystemet och andra applikationer, blev han inte förkyld. Russinovich kunde kringgå rootkittets cloaking-funktion och – efter att ha kommit ihåg att han nyligen hade spelat den kopieringsskyddade Sony BMG-skivan Gör rätt med mannen på sin dator – spåra filerna som den hade gömt till First 4 Internet och Sony BMG.
Det var störande för mig att den här saken hade installerat rootkit-programvara på min dator, säger Russinovich. Den hade installerat sig själv utan att berätta för mig. Det verkade inte finnas något avinstallationsprogram. Men det som var mest överraskande av allt var att stöta på ett rootkit som var en del av ett välkänt företags DRM.
Russinovich kontaktade inte Sony BMG om hans upptäckt; snarare hällde han sina resultat i ett argt blogginlägg som publicerades på Halloween. Inom några timmar plockades Russinovichs inlägg upp av Slashdot, det berömda hemmet för News for Nerds. Och därifrån rasade rootkit-berättelsen över bloggvärlden och till och med in i vanliga tidningar. F-Secure – även om det hade tagits fram av Russinovich – kom snabbt tillbaka in i spelet och publicerade sin egen analys av rootkit den 1 november.
Bland musikfans och teknikbevakare var reaktionen på rootkitnyheterna explosiv. Inom några dagar lanserade anti-DRM-aktivister flera bojkotter mot Sony BMG. Sony siktar på pirater – och träffar användare, skrällde en rubrik den 9 november i Christian Science Monitor . Antivirus- och säkerhetsföretag utfärdade varningar och rådde konsumenter att undvika eller lämna tillbaka Sony BMG-skivorna. Bloggare tände lågorna; ordet rootkit förekom i bloggar 150 till 750 gånger varje dag under hela november, enligt bloggsökmotorn Technorati.
Humöret blossade upp ytterligare efter den 4 november, när Russinovich meddelade i sin blogg att annan programvara som medföljer XCP på Sony BMG-skivorna ringde hem och kontaktade Sony BMG över Internet varje gång en användare spelade upp en skyddad CD. Efter ett tips från en finsk hackare och datavetenskapsstudent vid namn Matti Nikki använde Russinovich ett nätverksspårningsprogram för att analysera trafik som flödar in i och ut ur hans dator. Han upptäckte att de skyddade CD-skivorna under uppstart kontrollerade med en server hos Sony BMG efter nytt material för en roterande bannerannons som visades med spelaren. Detta utbyte var ofarligt nog; men för Russinovich och läsare av hans blogg var förolämpningen att Sony BMG inte hade avslöjat i CD-skivans licensavtal att programvaran skulle skicka data till företaget eller preciserat hur dessa data skulle användas. Jag tvivlar på att Sony gör något med datan, skrev Russinovich, men med den här typen av anslutning kunde deras servrar spela in varje gång en kopieringsskyddad CD spelas och IP-adressen [platsen på Internet] för den dator som spelar den.
Säkerhetspersonal, bloggare och musikfans var inte de enda som var bestörta. U.S.A. Department of Homeland Security kritiserade Sony BMG för att ha släppt produkter som undergrävde antivirusprogram och exponerade både statliga och privatägda datorer för hackare. Vid en handelskonferens om piratkopiering den 10 november, tukade Stewart Baker, avdelningens biträdande sekreterare för policy, stora medier för dess besatthet av DRM. Det är väldigt viktigt att komma ihåg att det är din immateriella egendom, [men] det är inte din dator, sa Baker.
Om och om igen uttryckte människor som stötte på rootkitet en känsla av kränkning. John Guarino, datakonsulten, erbjuder denna analogi: Säg att du vill installera kabel-TV i din lägenhet. Du ringer kabelbolaget. De säger att någon ska komma och installera den. Kabelkillen får dig att skriva på något innan han kommer in i lägenheten. Sedan får du reda på att han faktiskt inte lämnade lägenheten när han var klar. Han gömmer sig fortfarande. Och du ringer företaget och säger, 'Den här killen är fortfarande här', och de säger: 'Men du skrev under dokumentet.' Och du säger, 'Ja, men han borde fortfarande inte vara här. Var är han?’ och de säger: ’Det ska vi inte berätta för dig.’
Och den här killen gömmer sig inte bara i din lägenhet – han äter faktiskt från ditt kylskåp, dricker ditt vatten, använder badrummet och du kan inte stoppa honom. Han skulle kunna bjuda in andra vänner och släppa in dem. Och om du försöker hitta honom och ta ut honom själv kommer han att kasta bomber, och du måste ringa byggkillarna för att bygga om hela din lägenhet.
Det är vad Sony gör. Rootkitet använder din processor, det använder ditt minne, din hårddisk. Du kan inte ta ut det lätt, eftersom de inte kommer att berätta för dig hur. Om du försöker ta ut den, förstör det faktiskt din dator. Den enda lösningen är att installera om hela operativsystemet. Det är total laglöshet och det är oacceptabelt.
Inför musiken
Trots varningarna från F-Secure i slutet av oktober blev Sony BMG förvånad över kontroversen. Faktum är att i flera dagar efter att Russinovichs analys kom på nyheterna, visade företagsledare liten förståelse för den ilska den väckte i många av sina kunders hjärtan. De flesta människor, tror jag, vet inte ens vad ett rootkit är, så varför skulle de bry sig om det? Sony BMGs Hesse sa i en intervju med National Public Radio den 4 november.
Men för ägarna till de mer än två miljoner XCP-skyddade skivor som sålts av Sony BMG mellan januari och november kom rapporterna som en chock. Säkerhetsbrister i kommersiell programvara är vanliga; Microsofts produkter är till exempel så flitigt använda att även den minsta bugg så småningom kommer att upptäckas och utnyttjas av en skadlig kodförfattare, så mjukvarujätten publicerar uppdateringar och patchar varje månad. Men inget mjukvaru- eller medieföretag av Sony BMG-staturen hade någonsin distribuerat ett program som, enligt säkerhetsexperternas bedömning, medvetet utformats för att efterlikna skadlig programvara.
Sony BMG bad inte omedelbart om ursäkt utan försökte lösa problemet. Dess första steg, i början av november, var att publicera ett webbaserat program som kunderna kunde använda för att ta bort XCP från sina system. Flytten hjälpte inte saken. Matti Nikki i Finland upptäckte att en fil som avinstallationsprogrammet placerade på en användares dator för att underlätta kommunikationen med Sony BMG:s servrar senare kunde utnyttjas av vilken webbplats som helst som ville skicka och exekvera skadlig kod. Avinstallationsprogrammet utgjorde en mycket större säkerhetsrisk än till och med Sonys ursprungliga rootkit, enligt Felten och Halderman, som verifierade Nikkis upptäckt den 15 november i deras brett följda blogg, Freedom to Tinker.
Några dagar senare ersatte Sony BMG det webbaserade avinstallationsprogrammet med ett säkrare, nedladdningsbart. Och så småningom verkade företaget inse omfattningen av den PR-katastrof det stod inför. Den 11 november meddelade Sony BMG att de skulle sluta tillverka musik-cd-skivor med XCP. Den 14 november sa företaget att det ångrade det besvär det hade orsakat sina kunder och tillkännagav ett utbytesprogram för att ersätta XCP-skyddade skivor med nya utan rootkit.
Enligt medierapporter hade konsumenterna köpt 2,1 miljoner av de kopieringsskyddade CD-skivorna. Hur många av dessa kunder som faktiskt spelade upp CD-skivorna på sina datorer, och därmed omedvetet installerade rootkitet, är inte klart. Men Dan Kaminsky, en oberoende säkerhetsforskare i Seattle, upptäckte bevis som länkade Sonys rootkit till hundratusentals, om inte miljoner, system i 131 länder. Han kallar den siffran enorm, särskilt om man jämför med siffror för spridningen av internetmaskar och virus. Kaminsky publicerade statistiken på sin hemsida, -doxpara.com, tillsammans med världskartor som visar var de drabbade nätverken finns.
Sony BMG försökte under tiden svara på de specifika farhågor som Russinovich, Kaminsky och andra tog upp. I ett brev den 18 november till Electronic Frontier Foundation, som tidigare hade publicerat ett eget öppet brev som kritiserade Sony BMG:s hantering av XCP-avsnittet, sa Sonys rådgivare Jeffrey Cunard att företaget aldrig skulle avslöja de internetadresser som samlades in när XCP ringde hem och att, i alla fall var dessa adresser aldrig associerade med personligt identifierbar information. Han sa också att Sony BMG skulle vara mer försiktiga i framtiden med att utvärdera kopieringsskyddsprogram och de licensavtal som följer med den. All nuvarande och framtida kopieringsskyddsteknik som används av Sony BMG kommer att testas, verifieras och avslöjas för konsumenterna, skrev Cunard.
Sony BMG-representanter kontaktade av Teknikgranskning i mars och april ville inte namnge de chefer som är ansvariga för att licensiera XCP från First 4 Internet eller släppa de kopieringsskyddade skivorna, och de avböjde att göra chefer tillgängliga för intervjuer. Cory Shields, chef för företagets kommunikationskontor, sa dock att det aldrig var Sony BMG:s avsikt att inkludera programvara som orsakar säkerhetsproblem på sina cd-skivor. Företagets avsikt var att leverera en teknik som var konsumentvänlig, som skulle låta människor utöva den funktionalitet de ville ha, sa Shields. Det var verkligen inte företagets avsikt att skapa ett problem.
Frihetszon
Återkallelserna, utbytena och ursäkterna från november 2005 satte inte frågan i vila. New York justitieminister Eliot Spitzer kritiserade Sony i slutet av november, efter att utredare fann att skivor med XCP ännu inte hade tagits bort från butikerna. Federal Trade Commission inledde en undersökning och Texas justitieminister Greg Abbott stämde Sony BMG för att ha brutit mot statens antispywarelagar. Kärande i minst fem delstater väckte talan och krävde skadestånd mot Sony BMG för att ha skadat deras datorer.
Sony hanterade dessa kostymer snabbt. Innan december var ute hade företaget nått en preliminär uppgörelse med advokater, som hade konsoliderat stämningarna till ett enda klagomål i den amerikanska distriktsdomstolen i södra New York. Förlikningen ger alla som äger en skiva med XCP en ersättningsskiva, en kontantbetalning på $7,50 och (ironiskt nog) gratis digitala nedladdningar av musiken på CD:n och upp till tre andra. Vid presstillfället hade domstolen ännu inte godkänt hela uppgörelsen, men ersättningsprogrammet hade börjat.
Men ilskan över rootkitet i media och bloggosfären bestod även efter nyheterna om den föreslagna uppgörelsen. Det som verkligen störde konsumenterna, verkade det, var inte skadorna på deras datorer: Troj/Stinx-E trojanska hästen hade inte spridit sig långt, och det fanns inte tid för en allvarlig epidemi av annan skadlig programvara som utnyttjade XCP rootkit att dyka upp. Snarare blev CD-köpare upprörda över att programvaran medvetet dolde sin närvaro och kontaktade Sony BMG utan deras tillåtelse. De ansåg att XCP hade gjort intrång mot grundläggande skydd – rätten till privatliv och privat ägande samt yttrandefrihet och tillgång till information.
Jag är ett musikfan, och jag har med bestörtning tittat på hela DRM-marschen, till den grad att man praktiskt taget måste skriva på ett kontrakt för att öppna en CD-box, säger Tim Jarrett, en Framingham, MA, webbutvecklare och teknikbloggare. Så när jag såg att Sony inte bara inkluderade denna DRM utan gjorde det på ett sådant sätt att det öppnade upp människors datorer för att bli utnyttjad, tror jag att något inom mig bara gick av. Jarrett bestämde sig för att starta Sony Boycott Blog, som fungerade i tre månader som ett av de viktigaste clearinghusen för information om rootkit-sagan. Att döma av kommentarerna de lämnade var Jarretts läsare – som var upp till 5 000 per dag – lika upprörda. Du har en zon av personlig frihet – ett personligt utrymme där du till exempel kan bestämma dig för att läsa en bok bakifrån, eller läsa den 20 gånger, göra marginalanteckningar, eller läsa den i badkaret, eller göra en sketch spelar ut boken för en vän, säger juridikprofessor Julie Cohen, som studerar immaterialrätt och dataskyddslagstiftning vid Georgetown University Law Center. Och att ha en automatisk polis eller till och med bara ett rent arkitektoniskt förbud som tillägnar sig det personliga utrymmet är något som människor upplever som väldigt påträngande.
Jag tror att vi är i den här perioden där innehållsleverantörerna försöker tänja på gränserna, säger Mark Russinovich. De vill se hur långt de kan gå för att skydda sitt innehåll, och var den fina gränsen går mellan att skydda sitt innehåll från tillfällig piratkopiering och att irritera konsumenten.
Bra DRM
Frågorna som ställs av Sony BMG rootkit-sagan är huruvida skydd av innehåll nödvändigtvis innebär att kränka konsumenternas rätt att kontrollera sin privata egendom, äventyra datorns roll som ett instrument för kultur och kreativitet och att offra principen om rättvis användning (en bestämmelse i amerikansk upphovsrätt). lag som tillåter reproduktion av upphovsrättsskyddade verk för kritik, rapportering, forskning och arkivering).
De första tecknen är inte bra. Sony BMG:s blunder – hur oavsiktlig den än må ha varit – var en indikation för många observatörer på att upphovsrättsinnehavare faktiskt eskalerar teknikkriget och väljer att blanda sig mer och djupare i hur kundernas datorer fungerar i ett hastigt och slarvigt försök att begränsa friladdning.
Om Sony inte stannade och tog sig tid att fråga First 4 Internet vad XCP faktiskt gjorde, är det deras fel, säger Schneier från Counterpane Internet Security. Jag tycker att First 4 Internet är mindre skyldigt, eftersom Sony ville köpa någon sorts magisk kula, och de sa bara, 'Här, använd vår.'
Sony BMG har aldrig helt accepterat skulden; även i decemberförlikningsavtalet förnekade företaget att det bar något juridiskt ansvar eller att någon hade skadats av något felaktigt beteende. Ändå, med de flesta mått på företagsansvar, har Sony BMG gått anmärkningsvärt långt för att kompensera för rootkit-fiaskot. Företaget verkar nu vara försiktigt med att korsa Russinovichs fina gräns. Det måste finnas en balans mellan skydd av innehåll och näring och skydd av teknik, erkänner Sony BMG talesman Cory Shields.
Faktum är att Sony BMG:s misstag i rootkit-fallet ger några insikter om hur bra hantering av digitala rättigheter däremot skulle se ut.
För det första, säger datorsäkerhetsproffs, bör bra DRM vara transparent . För dessa proffs bar rootkit-avsnittet sekretessen för långt. Om ett rootkit ger ett gömställe för virus, maskar och trojaner, gör det jobbet för datorernas virussökningsprogram mycket svårare. Och om mer legitima företag börjar designa sin programvara för att efterlikna skadlig programvara, blir det jobbet nästan omöjligt. Nu måste all din säkerhetsprogramvara skilja mellan 'bra' skadlig kod och 'dålig' skadlig kod, säger Schneier.
För att vara konsumentvänlig måste DRM-programvara därför vara datorvänlig. Det bör inte gömma sig från datorns operativsystem och inte heller ta upp mer än sin del av bearbetning eller minne. Och användarvillkoren och funktionerna för programvaran bör preciseras på ett sätt som är tydligt för användaren, inte begravt i ett 20-sidigt slutanvändningsavtal. Människor bör förstå de köp de gör och de restriktioner de kan bli föremål för, säger David Sohn, en personaljurist som specialiserat sig på immaterialrätt vid Center for Democracy and Technology i Washington, DC.
För det andra bör DRM-teknik respektera användarnas integritet och säkerhet . Den bör endast samla in den personliga information som behövs för autentisering, och endast efter att ha erhållit användarens samtycke. Och innehållsskyddsåtgärder kan inte implementeras på bekostnad av ett datorsystems säkerhet mot verklig skadlig programvara.
För det tredje borde bra DRM vara användarvänlig . Om ett DRM-system går sönder bör konsumenterna fortfarande kunna komma åt innehållet de köpt, och om det blir ett säkerhetshot ska de kunna stänga av det. Ändå är det enligt US Digital Millennium Copyright Act (DMCA) från 1998 olagligt att kringgå tekniken som skyddar digitalt innehåll. Det finns inget undantag för fall som Sony BMG rootkit, där själva DRM-tekniken kan orsaka skada. Denna bisarra situation kan åtgärdas om vissa lagstiftares försök att ändra DMCA lyckas. Den 14 december, för tredje kongressmötet i rad, presenterade rep. Zoe Lofgren, en demokrat från Silicon Valley, ett lagförslag som skulle göra det lagligt att kringgå DRM-teknik om det oskyddade innehållet sedan används för icke-intrångsändamål, såsom arkivering . Lofgrens lagförslag har remitterats till kammarkollegiet för rättsväsendet, där det väntar på granskning.
Den fjärde, och kanske viktigaste, bra DRM-teknik borde vara flexibel . Förslaget Sony BMG gjorde till kunder med XCP var ganska snålt: köp denna CD för 13,98 USD så kan du göra tre kopior, endast i Windows Media Audio-format. Kopiorna kan inte kopieras – och de kommer inte att spelas på andras datorer. Rimlig DRM skulle däremot ge konsumenterna friheten att använda innehållet de har köpt på sätt som inte gör intrång, som att rippa det till sina datorer och ladda upp det till sina mobila spelare, eller kanske låta dem välja exakt hur de vill använda innehållet och debitera därefter. Tidsförskjutning (spela in liveljud för konsumtion senare), platsförskjutning (strömmande musik över Internet från en hemdator till en avlägsen plats), eller till och med sampling och remixning kan alla komma med olika prislappar. Marknadsplatsen bör belöna eller straffa produkter baserat på om de ger den flexibilitet som människor vill ha, säger Sohn.
Vissa DRM-tekniker erbjuder ökad flexibilitet. Sohn pekar på FairPlay, DRM-systemet bakom Apples iTunes, som ett exempel som andra innehållsdistributörer kan göra klokt i att imitera: kunder kan lyssna på FairPlay-skyddade låtar på en dator, skapa spellistor, bränna dessa spellistor till CD-skivor och flytta låtarna till bärbara enheter. (Sohn är dock inte ett fan av FairPlays oförmåga att arbeta med icke-Apple-produkter.) Framgången för iTunes-musikbutiken, säger Sohn, tyder på att denna kombination av funktioner möter konsumenternas efterfrågan. TiVo to Go är ett annat exempel: ägare av TiVo digitala videobandspelare kan överföra inspelade program till DVD-skivor, stationära datorer, bärbara datorer och mobila enheter som video-iPod och Sonys PlayStation Portable.
Men för varje iTunes och TiVo finns det fortfarande många exempel på restriktiva DRM-system som behandlar kunder som brottslingar. Tills det finns konsensus om vilka rättigheter konsumenter förtjänar och vilka begränsningar som är nödvändiga för att skydda artisternas och deras studios inkomster, kommer köp av digitalt innehåll troligen att fortsätta att vara en svår affär.
Det finns absolut en rättighet för innehavare av immateriella rättigheter att skydda den egendomen, säger Stephen -Toulouse, säkerhetsprogramansvarig på Microsoft Security Response Center, där forskare tillbringade veckor i höstas med att hjälpa Windows-användare att reagera på rootkit-epidemin. Men som konsument själv skulle jag vilja se programvaruleverantörer och studior få feedback från konsumenter och skapa teknologier som återspeglar det.
I slutändan kan alltså skivbolagens bästa svar på fallande musikintäkter vara att utöva mer fantasi, inte mer kontroll.
Wade Roush är senior redaktör på Technology Review.