Скандал из-за руткита в DRM от Sony

Скандал из-за руткита в DRM от Sony — скандал, произошедший в 2005 году из-за программного обеспечения DRM от компании Sony BMG. Более чем на 20 миллионах копий музыкальных дисков было обнаружено несколько программ, отвечающих за защиту интеллектуальной собственности. Однако вместе с этим, они могли модифицировать параметры операционных систем Windows и macOS, собирать пользовательские данные и в конечном итоге создавали серьезные уязвимости в безопасности. О наличии стороннего ПО не было упомянуто в лицензионном соглашении (EULA). Обе программы были классифицированы как rootkit. Убыток составил около 1.5 млн долларов США[1].

Предыстория

В августе 2000 года, вице-президент Sony Pictures Entertainment в США — Стив Хеклер, заявил о необходимости принять «агрессивные» меры против пиратства[2].

В 2001 году Sony BMG подверглась скандалу в Европе, когда выпустила второй альбом исполнительницы Натали Имбрульи на CD, без каких либо предупреждений или упоминаний о том, что они содержат DRM[3][4]. В конечном итоге диски пришлось заменить. Однако уже в 2002 году было заявлено, что все диски издаваемые Sony BMG на Европейском рынке будут содержать защиту[5].

Вредоносные программы

Два компонента по обеспечению защиты от копирования, из-за которых произошел скандал в 2005 году были включены в более чем 22 миллиона компакт-дисков проданных Sony BMG в 2004 году. Около двух миллионов копий содержали защиту именуемую как «Extended Copy Protection» (XCP). Она устанавливалась сразу, как только пользователь принимал соглашение в котором данное ПО не упоминалось[6].

В остальных же 20 миллионах копий, была обнаружена защита «MediaMax CD-3», компании SunnComm. Она попадала на ПК пользователей независимо от того, было ли принято лицензионное соглашение. macOS запрашивала у пользователя подтверждение, когда ПО пыталось внести изменения в работу ОС[7].

Обнаружение и исследование

Скандал начался 31 октября 2005 года[8]. Тогда исследователь из подразделения Winternals — Марк Руссинович, опубликовал в своем блоге детальный технический анализ программы «F4I XCP», которая была установлена на его компьютер через компакт-диск от Sony BMG. Он отметил, что программа не была упомянута в соглашении и что средства защиты авторских прав «зашли слишком далеко»[9].

Антивирусная компания F-Secure постановила, что сама программа не является напрямую вредоносной, однако использует техники маскировки, характерные для вредоносного ПО[10].

Руссинович выделил несколько наиболее главных проблем с безопасностью XCP в Windows:

  • Программа может внезапно запуститься в фоне и начать потреблять оперативную память, даже при отсутствии диска в приводе.
  • Использует небезопасные процедуры запуска и остановки, что может привести к системным вылетам.
  • Программа скрывает свои файлы в системе, у пользователя нет возможности ее удалить посредством деинсталятора.

Было замечено несколько случаев эксплуатации созданных дыр в безопасности[11].

Sony BMG выпустили патч для XCP[12], а также программу по удалению защиты от копирования, однако она сразу была раскритикована. Для ее использования необходимо было указать email адрес, а вскоре в ней был обнаружен бэкдор[13][14][15]. 18 ноября 2005, Sony BMG выпустили новую утилиту по удалению руткитов с Windows систем[16]. Пользователям предлагалось полностью удалить DRM вместе со всеми файлами и ключами реестра, либо устанавливать обновления, если они желали продолжать использовать CD с данной программой.

Последствия

Sony BMG отозвали практически все не проданные диски которые содержали защиту, разрешили покупателям заменить их на CD без DRM[17]. Во многих штатах против компании были поданы иски[18]. Пострадавшие от действий руткита получили денежную компенсацию в размере до 175 долларов. Sony создали вебсайт, посвященный решению проблем связанных с инцидентом[1][19].

Нарушения авторского права

Исследователи также обнаружили, что Sony BMG и разработчики защиты от копирования нарушили копилефт-лицензии на ПО, использовав код взятый из свободных программ. В их число входили: LAME MP3, mpglib, FAAC, id3lib, mpg123 а также VLC media player[20][21][22].

Примечания

  1. 1 2 Sony Pays $1.5M in Rootkit Lawsuits (англ.). CSO Online. Дата обращения: 16 августа 2024. Архивировано 16 августа 2024 года.
  2. New Yorkers for Protecting Fair Use of Copyrighted Material  (неопр.). web.archive.org (18 марта 2009). Дата обращения: 16 августа 2024. Архивировано 18 марта 2009 года.
  3. BMG to replace anti-rip Natalie Imbruglia CDs • The Register  (неопр.). web.archive.org (17 февраля 2010). Дата обращения: 16 августа 2024. Архивировано 17 февраля 2010 года.
  4. Customers put kibosh on anti-copy CD - CNET News  (неопр.). web.archive.org (17 июня 2011). Дата обращения: 16 августа 2024. Архивировано 17 июня 2011 года.
  5. theregister.com. No more music CDs without copy protection. // theregister. Архивировано 16 августа 2024 года.
  6. Sony BMG Litigation Info (англ.). Electronic Frontier Foundation (1 июля 2011). Дата обращения: 16 августа 2024. Архивировано 1 апреля 2013 года.
  7. BBC NEWS | Technology | Anti-piracy CD problems vex Sony  (неопр.). web.archive.org (21 июня 2006). Дата обращения: 16 августа 2024. Архивировано 21 июня 2006 года.
  8. Bruce Schneier. Real Story of the Rogue Rootkit (англ.) // Wired. — ISSN 1059-1028. Архивировано 16 августа 2024 года.
  9. Sony, Rootkits and Digital Rights Management Gone Too Far - Mark's Blog - Site Home - TechNet Blogs  (неопр.). web.archive.org (17 марта 2015). Дата обращения: 16 августа 2024. Архивировано 17 марта 2015 года.
  10. F-Secure Computer Rootkit Information Pages: XCP DRM Software  (неопр.). web.archive.org (14 января 2007). Дата обращения: 16 августа 2024. Архивировано 14 января 2007 года.
  11. BBC NEWS | Technology | Viruses use Sony anti-piracy CDs  (неопр.). web.archive.org (6 марта 2016). Дата обращения: 16 августа 2024. Архивировано 6 марта 2016 года.
  12. www.sonybmgcdtechsettlement.com  (неопр.). web.archive.org (7 апреля 2006). Дата обращения: 16 августа 2024. Архивировано 7 апреля 2006 года.
  13. Sony's XCP DRM  (неопр.). web.archive.org (24 ноября 2005). Дата обращения: 16 августа 2024. Архивировано 24 ноября 2005 года.
  14. Mark's Blog : More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home  (неопр.). web.archive.org (6 мая 2010). Дата обращения: 16 августа 2024. Архивировано 6 мая 2010 года.
  15. Mitchell, Dan (2005-11-19). "The Rootkit of All Evil". The New York Times (англ.). 0362-4331. Архивировано 16 августа 2024. Дата обращения: 16 августа 2024.
  16. SONY BMG MUSIC ENTERTAINMENT - cp.sonybmg.com/xcp  (неопр.). web.archive.org (8 апреля 2006). Дата обращения: 16 августа 2024. Архивировано 8 апреля 2006 года.
  17. Sony backs out of rootkit anti-piracy scheme - vnunet.com  (неопр.). web.archive.org (24 ноября 2005). Дата обращения: 16 августа 2024. Архивировано 24 ноября 2005 года.
  18. Press, The Associated (2005-12-30). "Sony BMG Tentatively Settles Suits on Spyware". The New York Times (англ.). 0362-4331. Архивировано 29 мая 2015. Дата обращения: 16 августа 2024.
  19. www.sonybmgcdtechsettlement.com  (неопр.). web.archive.org (21 февраля 2006). Дата обращения: 16 августа 2024. Архивировано 21 февраля 2006 года.
  20. Proof that F4I violates the GPL - Programming stuff  (неопр.). web.archive.org (17 октября 2013). Дата обращения: 16 августа 2024. Архивировано 17 октября 2013 года.
  21. Two new F4I license infringements found - Programming stuff  (неопр.). web.archive.org (17 октября 2013). Дата обращения: 16 августа 2024. Архивировано 17 октября 2013 года.
  22. Is Sony in violation of the LGPL? - Part II - Programming stuff  (неопр.). web.archive.org (2 июня 2013). Дата обращения: 16 августа 2024. Архивировано из оригинала 2 июня 2013 года.

Ссылки

  • Electronic Frontier Foundation