Cerca nel blog

2005/11/11

I CD della Sony infettano Windows

I CD Sony infettano gli utenti legittimi


Questo articolo vi arriva grazie alle gentili donazioni di "lorenza.c", "bea" e "asfodelo_nero".

Lo so, arrivo tardi sulla scena: si parla già da qualche tempo di questo scandaloso sistema anticopia usato da Sony, che infetta i PC Windows con un rootkit, rendendoli vulnerabili ad attacchi opportunisti e danneggiando il funzionamento del masterizzatore. Cerco di farmi perdonare facendo un succoso riepilogo della vicenda e dei suoi ultimi aggiornamenti.

Tutto comincia il 31 ottobre 2005, quando Mark Russinovich di Sysinternals.com annuncia di aver scoperto con sorpresa sul proprio PC Windows un rootkit: un programma nascosto, contenuto in una directory nascosta e invisibile ai normali comandi di Windows e accompagnato da vari device driver anch'essi nascosti. Russinovich li scopre soltanto perché sta testando proprio un programma anti-rootkit.

Analizzando il rootkit, Russinovich scopre ancora più sorprendentemente che il rootkit è stato installato quando ha suonato sul proprio PC un disco pubblicato dalla Sony, Get Right with the Man dei Van Zant. Il disco, infatti, ha una protezione anticopia, denominata XCP e prodotta dall'inglese First 4 Internet, che si installa permanentemente nel PC senza avvisare che non è rimovibile e che altera il funzionamento di Windows rendendolo più vulnerabile.

Il sistema anticopia, infatti, non ha un programma di disinstallazione, e si occulta usando una tecnica estremamente rozza: altera Windows in modo che non veda qualsiasi file il cui nome inizi con "$sys$". Sony ha usato questo metodo per impedire agli utenti di accorgersi della presenza del sistema anticopia.

C'è un problema: il metodo, ovviamente, comporta che qualsiasi virus o altro software ostile che si imbatte in un Windows alterato da Sony in questo modo si ritrova con un nascondiglio perfetto: basta che usi un nome che inizia con "$sys$", e diventerà invisibile sia a Windows, sia agli antivirus.

Fra le altre chicche scoperte da Russinovich c'è anche il fatto che il sistema anticopia è sempre attivo come processo nascosto e utilizza il processore, rallentandolo, anche quando non si sta suonando il disco protetto. Basta insomma installare l'anticopia Sony per errore una sola volta per trovarsi con un computer permanentemente rallentato.

Così Russinovich tenta di fare quello che chiunque farebbe se trovasse un rootkit sul proprio PC: rimuoverlo. Sony, come dicevo, non ha fornito un sistema di disinstallazione, per cui l'unico modo è rimuoverlo manualmente intervenendo sulla configurazione intima di Windows. Come risultato, gli scompare l'icona del lettore CD. Solo dopo aver speso altro tempo per ripristinare ulteriormente Windows e togliere altri elementi nascosti del sistema anticopia Sony, Russinovich riesce a riportare Windows al funzionamento normale. E chi lo ripagherà del tempo perso per riparare il proprio computer a causa del sistema Sony?

L'annuncio di Russinovich non passa inosservato. La prima reazione è l'indignazione contro Sony per aver usato metodi degni di un pirata informatico: metodi fra l'altro assolutamente inutili, perché il disco è perfettamente copiabile usando un Mac o un PC Linux (e anche con alcuni programmi di ripping per Windows). In altre parole, siamo alle solite: le case discografiche insistono a usare sistemi anticopia che i pirati sanno scavalcare senza alcun problema ma che puniscono gli acquirenti legittimi dei dischi.

Ma non mancano reazioni più sofisticate. La prima è stata quella dei giocatori poco onesti di World of Warcraft, che hanno approfittato della funzione di occultamento del rootkit Sony in un modo molto astuto: la Blizzard Entertainment, che produce World of Warcraft, ha creato un programma, Warden, che sorveglia il gioco ispezionando i PC dei giocatori alla ricerca di particolari programmi usati per barare. Ma basta installare questi programmi su un PC infettato dal sistema anticopia Sony e aggiungere al nome dei file del programma il prefisso "$sys$", e Warden non riesce a vederlo. Così i bari continuano indisturbati, grazie a Sony.

A fronte delle prime proteste, Sony rilascia una patch il 3 novembre 2005, che però non disinstalla il sistema anticopia: si limita a renderne visibili i file (e li aggiorna installandone una nuova versione).

Sempre il 3 novembre, Interlex.it pubblica una vivace e dettagliata analisi della tattica Sony, e giustamente si chiede perché Sony dovrebbe usare un sistema simile e nascondersi all'utente:

"A chi serve un rootkit? Ovviamente a chi ha qualcosa da nascondere! O, più precisamente: a chi vuole nascondere ad un legittimo utente il fatto di aver installato, a sua insaputa, un software sul suo sistema. E il fatto di volerne nascondere a tutti i costi l’esistenza già la dice lunga sia sulla legittimità dell’installazione che sulla liceità delle funzioni svolte dal software surrettiziamente installato!"

Il giorno dopo (4 novembre 2005), Russinovich analizza la patch offerta da Sony, che richiede una solfa interminabile di richieste via e-mail a Sony per ottenerla, e scopre che è così rozza e brutale che può far crashare il PC (Russinovich offre un metodo molto più semplice e sicuro per disabilitare il sistema anticopia).

La seconda analisi di Russinovich rivela inoltre che il sistema anticopia trasmette a Sony dati utilizzabili per sorvegliare le abitudini musicali dell'utente: infatti contatta automaticamente (e senza informarne l'utente) un sito della Sony per richiedere eventuali aggiornamenti alle immagini delle copertine dei dischi Sony protetti dal sistema anticopia. Dice Russinovich:

"Con questo tipo di connessione... non citato nella EULA, negato da Sony e non configurabile in alcun modo... i loro server potrebbero tenere traccia di ogni volta che viene suonato un disco protetto e l'indirizzo IP del computer che lo sta suonando".

E' a questo punto che entrano in gioco le società che producono antivirus: F-Secure dichiara che il sistema anticopia Sony verrà identificato dai suoi antivirus e che "le tecniche di occultamento usate sono esattamente le stesse usate dal software ostile noto come rootkit" e che "è pertanto molto scorretto che il software commerciale utilizzi queste tecniche".

Computer Associates è ancora più pesante e definisce il sistema anticopia Sony senza mezzi termini un "trojan" e lo cataloga nello spyware. L'analisi di CA, inoltre, dimostra che Sony sta facendo di tutto per rendere difficile la disinstallazione.

La protesta assume anche una connotazione legale: viene annunciato che l'1 novembre 2005 è stata iniziata dall'avvocato Alan Himmelfarb una class action in California contro Sony, chiedendo risarcimenti per tutti i consumatori danneggiati e l'inibizione della vendita dei dischi protetti da questo sistema anticopia.

Nel contempo, l'italiana ALCEI (Associazione per la Libertà nella Comunicazione Elettronica Interattiva) presenta un documentatissimo esposto alla Guardia di Finanza, ipotizzando fra le altre la violazione dell'articolo 392 c.p., che punisce "...colui che, al fine di esercitare un preteso diritto, si fa arbitrariamente ragione da sé medesimo 'alterando, modificando, o cancellando in tutto o in parte un programma informatico', ovvero 'impedendo o turbando il funzionamento di un sistema informatico o telematico'” e chiedendo di sapere, fra le altre cose, se il sistema anticopia è presente nei dischi Sony in vendita in Italia.

Il 9/11 la Electronic Frontier Foundation pubblica un elenco dei dischi protetti dal sistema anticopia contestato: una ventina di titoli, che includono nomi come Celine Dion, Ricky Martin e Neil Diamond, e spiega come riconoscere i dischi infetti.

Il 10 novembre 2005 viene rilevato il primo virus che sfrutta la falla di sicurezza creata da Sony: una variante del virus Breplibot. Sony ora non può più argomentare che si tratta di una falla ipotetica. Anche Kasperski definisce "spyware" l'anticopia Sony, mentre McAfee aggiorna il proprio antivirus per "rilevare, rimuovere e impedire la reinstallazione" dell'XCP. Zone Labs (quella di Zone Alarm) segue a ruota insieme a Sophos.

L'11 novembre arrivano altri virus che sfruttano la falla Sony, e le cause contro Sony salgono a sei. Lo stesso giorno, entra in scena il peso massimo: si scomoda addirittura il Department of Homeland Security (il Dipartimento per la Sicurezza Nazionale statunitense, quello che si occupa di antiterrorismo). Parlando dei sistemi anticopia ma senza fare il nome di Sony, un suo funzionario ammonisce, di fronte al presidente della RIAA (associazione dei discografici USA), che

"è molto importante ricordare che la proprietà intellettuale è vostra: ma il computer no, e nella ricerca della tutela della proprietà intellettuale, è importante non disabilitare o minare le misure di sicurezza che la gente oggigiorno ha bisogno di usare... se si verifica un'epidemia di influenza aviaria... dipenderemo moltissimo sulla capacità di fornire accesso a distanza per moltissime persone, e mantenere funzionante l'infrastruttura sarà questione di vita o di morte".

In altre parole: Sony, hai passato il segno. La legge non ti conferisce il diritto di danneggiare i computer altrui, neppure se lo fai per difendere il tuo diritto d'autore. E se il tuo sistema anticopia rende vulnerabili i computer proprio quando ne abbiamo più bisogno, sei responsabile anche tu delle gravissime conseguenze.

L'11 novembre, poco dopo queste parole di fuoco dell'amministrazione Bush, Sony dichiara che sospenderà "come misura precauzionale" la fabbricazione di CD che usano il sistema anticopia XCP (in altre parole, non ritirerà dal mercato quelli già in circolazione e si riserva il diritto di riprendere a usare XCP quando le pare). E' disponibile in Rete il testo del comunicato Sony, ed è abbastanza ironico che il comunicato parli di "facilità d'uso" del sistema anticopia, visto che si installa senza informare l'utente di cosa fa, mentre per rimuoverlo bisogna chiedere il permesso a Sony.

Questo, in estrema sintesi, è quello che è successo fin qui. Mi resta un'ultima cosa: spiegare come riconoscere un'eventuale infezione da parte di questo sistema e come prevenirla. Il rischio è relativamente basso, dato che pare che i CD protetti con XCP non siano ancora in circolazione in Europa, ma una controllatina non fa mai male.

  • Prendete un file qualsiasi, duplicatelo e cambiatene il nome prefissandolo con "$sys$": se scompare (cioè se Esplora Risorse non lo vede più), siete infetti; se rimane visibile, siete a posto.
  • Per evitare infezioni, disabilitate temporaneamente l'Autorun di Windows, premendo il tasto Shift durante l'inserimento del disco, ed evitate in generale di installare qualsiasi software presente sui CD musicali Usate un Mac o un PC Linux, entrambi immuni all'anticopia Sony; o più semplicemente ed efficacemente, non comperate dischi infetti.
Ciao da Paolo.

Nessun commento: