Sony instala un troyano como medida anticopia

[Yenki]

Rootkit: es un conjunto de herramientoas frecuentemente usado por un intruso luego de crackear un sistema de computación. Estas herramientas tienen por objeto esconder procesos en ejecución y archivos o datos del sistema, lo que ayuda al intruso a mantener acceso a un sistema con propósitos maliciosos.

Traducido de la sorprendente wikipedia.



Mark Russinovich la tiene clara con Windows es programador y ha escrito un libro sobre el sistema operativo de Bill.
Revisaba un programa de seguridad que había escrito cuando vio que en su PC había algo funcionando bien oculto en su máquina.
Le dio trabajo (todo lo que hizo pueden verlo acá, si estudian informática puede interesarles, es bastante técnico y digno de un Sherlock Holmes de la programación).
Llegó a la conclusión de que lo corría oculto era consecuencia de haber escuchado en esa PC un disco de Van Sant, editado por Sony-BMG que había comprado en Amazon que era anunciado como protegido contra copia.
Investigando halló que tenía un directorio oculto, muchos controladores de dispositivos (drivers) y una aplicación escondida.
Había algo que le ocultaba cualquier archivo, directorio, clave del registro o proceso cuyo nombre empezara con “$sys$.

El disco venía con su propio reproductor incluído.

imagen.
Desde el CD se había instalado un rootkit.
Los rootkits son muy difíciles de desinstalar sin instrucciones detalladas ya que se meten en las entrañas del sistema operativo para evitar ser borrados.
La idea acá era proteger los archivos vinculados al DRM (Digital Right Management, el sistema anticopia del disco), para que no puedan ser alterados y hacer copias del disco.

El código permanece activo y ejecutándose en segundo plano, usando un poquito de memoria, incluso si el CD no se está escuchando.
Además los expertos dicen que puede ser usado gente que hace código malicioso para ocultarlo en la PC infectada
No tiene desinstalador alguno.

Rossovich enojado fue a leer la Licencia de Uso del Usuario Final, sí señores, ahora para escuchar un CD que uno compra hay que leer una licencia.
Ni siquiera allí había referencias a la desinstalación.
Al borrar los controladores le dejó de andar la lectora.
Tuvo que quitar un filtro que el código le aplicaba al dispositivo, editando el registro para recuperarla, algo que es muy elevado como para que inclusos usuarios avanzados lo sepan hacer.



Fuentes : slashdot.org, zdnet.co.uk, y el blog de Mark Russinovich


Una muestra más que los defensores de los derechos de copia, están dispuestos a violar los derechos de los usuarios, demostrando que poco les importan.
El tener que leer una licencia de uso para un CD de música es sen sa cio nal.
El que no te digan como desinstalar lo que instalan también..

[Yenki]

A partir de la polvadera que se armó sobre este tema.
En laflecha.net cuentan que esta tecnología usada por Sony se llama XCP (Extended Copy Protection), y que es empleada desde mayo de este año.
Básicamente deja hacer un número limitado de copias, pero no una copia de una copia.


Destacan de e la grave vulnerabilidad que afecta a los equipos con windows que ejecuten esta proteción ya que implica que todo lo que empiece con $SYS$ queda oculto, ya sea carpeta, archivo o recurso, y esto podría usarse para ocultar algún código malicioso por terceros.
Hecho que fue destacado por varias firmas de antivirus

Y que Sony ha sacado una herramienta para quitar la tecnología de ocultamiento, (ellos niegan que sea un peligro para los usuarios) .

Pero en Cnet dicen que no lo desinstala, para ello hay que acudir a que nos den instrucciones, llenando un formulario.
En kriptopilis aclaran que luego de eso alguien por teléfono dará una URL para bajar un control Active X que mira la PC y ve que versión del software tiene, manda los datos y por último mediante correo electrónico mandarán una URL para descargar el programa eliminador.

Fuente: laflecha.net, cnet.com, kriptópolis.org.

[Yenki]

Mark Russinovich cuenta todos los pasos que tuvo que dar para desinstalar el programa y las trabas que le puso Sony para acceder al desinstalador, así como la obligación de darles una casilla de correo a la que ellos luego pueden agregala a sus listas de correo publicitario.


Además comenta que es cierto lo que alguien le dijo, y él verificó, como si todo esto fuera poco, el software de Sony BMG, el programa reproductor del CD manda datos a servidores de Sony, una identificación del disco que se reproduce.

Por supuesto, así como en la licencia de uso, no decían nada del software de ocultamiento, ni de que no tenía desistalador, tampoco comentan que se mandan datos a sus servidores cuando se usa su disco.
Russinovich dice que con este tipo de conexión sería sencillo llevar registro de cada vez que se escucha su disco y la dirección IP desde donde se hace.

La nota original acá.


Fuente: kriptopolis.org.




Los tipos son unos garcas que redactan una licencia a medias donde no comentan todo lo que hace su aplicación.

Todo esto es consecuencia del uso de software de código cerrado, sería muy fácil de combatir con reproductores de código abierto, pero de hecho lo que la gente de Sony BMG buscan es que no sólo el código sea inaccesible sino que además esté oculto en Windows.


Miren lo que padecen los usuarios legales de Sony BMG con sus discos protegidos :
- instalación de programas ocultos
- esos estan mal hechos y originan una vulnerabilidad que podría permitir a un tercero ocultar código en la PC del cliente de Sony
- dificultades para desinstalarlo
- envío de datos cuando se usa el CD a espaldas de los clientes
- licencia de uso incompleta que no describe todo lo que hace el reproductor.

La forma de combatir la piratería que eligieron es jorobarle la vida a los usuarios legales que compran sus discos.

[math]

aparte imaginate, ofreces algun cd de sony y de paso mandas un troyano que se instala junto con ese programejo, eso es irse al joraca, usen reproductores de cd portatiles (discmans) que esos no instalan nada en ningun lado...


... o si???

[Yenki]

Yo creo que la esencia del problema es que para escuchar el CD bajo Windows hay que instalar el reproductor de Sony, o sea un software especial.
Claro, que no se instala solo, sino que viene acompañado.




En hispamp3.com reproducen una lista con los CDs editados con este troyano.
Que yo copio y ordeno alfabéticamente por primera letra del nombre del intérprete:
* Acceptance, Phantoms (Columbia)
* Amerie, Touch (Columbia)
* Celine Dion, On ne Change Pas (Epic)
* Chris Botti, To Love Again (Columbia)
* Dexter Gordon, Manhattan Symphonie (Columbia Legacy)
* Dion, The Essential Dion (Columbia Legacy)
* Gerry Mulligan, Jeru (Columbia Legacy)
* Horace Silver Quintet, Silver’s Blue (Epic Legacy)
* Life of Agony, Broken Valley (Epic)
* Natasha Bedingfield, Unwritten (Epic)
* Neil Diamond, 12 Songs (Columbia)
* Our Lady Peace, Healthy in Paranoid Times (Columbia)
* Ricky Martin, Life (Columbia).
* Susie Suh, Susie Suh (Epic)
* Switchfoot, Nothing is Sound (Columbia)
* The Bad Plus, Suspicious Activity (Columbia)
* The Coral, The Invisible Invasion (Columbia)
* The Dead 60s, The Dead 60s (Epic)
* Trey Anastasio, Shine (Columbia)
* Van Zant, Get Right with the Man (Columbia)

Fuente: hispamp3.com.

Me sorprendió ver a cantantes bien masivos como Celine Dion o Ricky Martin entre los "protegidos".

[Yenki]

Luego de que surgieran comentarios sobre posibles demandas contra Sony por su abuso con al instalar un rootkit, con los CDs de música protegidos.

La buena nueva es que Sony ha dicho que deajará de hacer los CDs con el rootkit (ellos lo llaman XCP) temporalmente.

Traduzco los dichos de los representantes de la segunda compañía de discos del mundo:

"Estamos enterado que un virus de computadora está circulando y puede afectar máquinas con el software de protección XCP.
Sostenemos que la tecnología de protección del contenido es una herramienta importante para proteger nuestros derechos de propiedad intelectual y los de nuestros artistas. Sin embargo, como una medida de precaución, Sony BMG está suspendiendo temporariamente la fabricación de CDs conteniendo la tecnología XCP".

Fuente: gamespot.com.

[Yenki]

Hay una variante del troyano Breplibot, que usa el rootkit de Sony BMG para ocultar un archivo :

....para los equipos infectados por la tecnología rootkit DRM de Sony, el archivo instalado por el troyano es totalmente invisible. No será encontrado en ningún tipo de listado de archivos o escaneo", advierte Ivan Macalintal, investigador de amenazas digitales de la compañía de seguridad informática Trend Micro.

El malware es enviado en un correo electrónico que simula ser de una importante revista de negocios, y que le solicita al empresario que verifique si su foto es la correcta, así la incluyen en la edición de diciembre.

Si el usuario abre el archivo adjunto, el troyano se instala en la PC, tomando control de un puerto que permitirá a un usuario malintencionado tener acceso total a la máquina infectada.

tomado de yahoo.




Ahora Microsoft ha identificado al XCP como un código maligno, en su Windows AntiSpyware beta, y parece que ofrecen además de la identificación, la remoción.
Esto también va a estar presente en Windows Defender, este va a ser el nuevo nombre de la aplicación de Microsoft para combatir el código malicioso.

Fuente: hispamp3.com, la bitácora del equipo anti-malware de Bill.

[Yenki]

No se acaban las olas que produjo este abuso de Sony BMG.


Un tal Bruce Schneider hace una observación interesante que se insinúa como cómplices o socios silenciosos a las empresas de seguridad informática, las que hacen antivirus y antispyware.

El asunto al que hay que prestar atención aquí es la connivencia entre las grandes empresas multimedia, que intentan controlar lo que hacemos en nuestros ordenadores, y las empresas de seguridad informática, que se supone deberían protegernos.

Las estimaciones iniciales son que más de medio millón de ordenadores en todo el mundo están infectados por el rootkit de Sony. Son cifras de infección llamativas, convirtiendo a ésta en una de las más serias epidemias en Internet de todos los tiempos, a la altura de gusanos como Blaster, Slammer, Code Red y Nimda.

¿Qué piensa usted de su empresa antivirus, que no advirtió el rootkit de Sony mientras infectaba a medio millón de ordenadores?. Y éste no es uno de esos gusanos de Internet que se propagan a la velocidad de la luz; éste se ha estado propagando desde mediados de 2004. ¿No se dieron cuenta porque se propagaba a través de CDs infectados, en lugar de por conexiones a Internet?. Éste es exactamente el tipo de cosas por las que pagamos a estas empresas para que las detecten, sobre todo porque el rootkit estaba llamando a casa.

Se dice que "llama a casa" cuando manda datos por internet sin que el usuario lo sepa.
Recuerden que de este tema se empezó a hablar a partir del informe de Russovich el 31 de octubre miren como se "tardaron" las empresas de antivirus.

McAfee no añadió código de detección hasta el 9 de Noviembre, y a día 15 no elimina el rootkit, sólo su ocultación.
...
La respuesta de Symantec al rootkit ha -por decirlo amablemente- evolucionado. Al principio la empresa no consideraba a XCP malware en absoluto. No fue hasta el 11 de Noviembre que Symantec publicó una herramienta para eliminar la ocultación. A 15 de Noviembre anda todavía dudando al respecto, explicando que "este rootkit fue diseñado para ocultar una aplicación legítima, pero puede ser utilizado para ocultar otros objetos, incluso software malicioso."
...
Pero no fue hasta el 13 de Noviembre, cuando la presión del público era demasiado grande como para ignorarla, que Microsoft anunció que actualizaría sus herramientas de seguridad para detectar y eliminar la parte de ocultación del rootkit.

Quizás la única empresa de seguridad que merece el elogio es F-Secure, la primera y más fuerte crítica de las acciones de Sony. Y Sysinternals, por supuesto, que alberga el blog de Russinovich y sacó esto a la luz.
...
Que todas las grandes empresas de seguridad, habiendo dispuesto de más de un año para ello, fallaran en notificar o hacer algo respecto al rootkit de Sony demuestra incompetencia en el mejor de los casos, y muy poca ética en el peor

Las citas son de este artículo que han traducido en kriptópolis.org.



Fuente: hispamp3.com.

[Yenki]

Sony tuvo que sacar un desinstalador completo para los CDs protegidos con el rootkit.
Eso sí, si se desinstala el software el CD no se puede escuchar más bajo Windows.

Son tan poco serios que habían hecho un desinstalador previo, pero si uno lo usaba dejaba agujeros de seguridad.
Este segundo desinstalador se consigue por acá.


Fuente: geeknewscentral.com.

[Yenki]

Sony pagará 1,5 millones en multas por el rootkit en sus discos de música

Podemos criticar muchas cosas a los yanquis, pero en otras son mucho más serios que nosotros y sus ciudadanos estan mejor protegidos contra el abuso de las grandes empresas.

Este es un caso.

Cuando ony BMG Music Entertainment instalaba el rootkit XCP para dejar escuchar sus discos de música en las computadoras, (mientras espiaba a los usuarios sin informarles de eso), les habría un agujero en la seguridad y cuando la gente quería quería quitarlo con metodología de Sony se dañaban los sistemas.

Como consecuencia de eso fue demandada por los estados de Texas y California y ha acordado pagarles 750 mil dólares a cada uno.
Además reembolsará entre 25 y 125 dólares a los que tratando de quitar el rootkit dañaron sus computadoras.

El fiscal general de California Bill Lockyer dijo "Las companías que quieran cargar sus CDs con software que limite la habilidad de copiar música deberán informar eso completamente a los consumidores, no ocultarlo, y asegurarse que no produzcan vulnerabilidades de seguridad en las computadoras".


Fuentes: theinquirer.net y myfoxny.com.