I CD della Sony infettano Windows

I CD Sony infettano gli utenti legittimi


Questo articolo vi arriva grazie alle gentili donazioni di "lorenza.c", "bea" e "asfodelo_nero".

Lo so, arrivo tardi sulla scena: si parla già da qualche tempo di questo scandaloso sistema anticopia usato da Sony, che infetta i PC Windows con un rootkit, rendendoli vulnerabili ad attacchi opportunisti e danneggiando il funzionamento del masterizzatore. Cerco di farmi perdonare facendo un succoso riepilogo della vicenda e dei suoi ultimi aggiornamenti.

Tutto comincia il 31 ottobre 2005, quando Mark Russinovich di Sysinternals.com annuncia di aver scoperto con sorpresa sul proprio PC Windows un rootkit: un programma nascosto, contenuto in una directory nascosta e invisibile ai normali comandi di Windows e accompagnato da vari device driver anch'essi nascosti. Russinovich li scopre soltanto perché sta testando proprio un programma anti-rootkit.

Analizzando il rootkit, Russinovich scopre ancora più sorprendentemente che il rootkit è stato installato quando ha suonato sul proprio PC un disco pubblicato dalla Sony, Get Right with the Man dei Van Zant. Il disco, infatti, ha una protezione anticopia, denominata XCP e prodotta dall'inglese First 4 Internet, che si installa permanentemente nel PC senza avvisare che non è rimovibile e che altera il funzionamento di Windows rendendolo più vulnerabile.

Il sistema anticopia, infatti, non ha un programma di disinstallazione, e si occulta usando una tecnica estremamente rozza: altera Windows in modo che non veda qualsiasi file il cui nome inizi con "$sys$". Sony ha usato questo metodo per impedire agli utenti di accorgersi della presenza del sistema anticopia.

C'è un problema: il metodo, ovviamente, comporta che qualsiasi virus o altro software ostile che si imbatte in un Windows alterato da Sony in questo modo si ritrova con un nascondiglio perfetto: basta che usi un nome che inizia con "$sys$", e diventerà invisibile sia a Windows, sia agli antivirus.

Fra le altre chicche scoperte da Russinovich c'è anche il fatto che il sistema anticopia è sempre attivo come processo nascosto e utilizza il processore, rallentandolo, anche quando non si sta suonando il disco protetto. Basta insomma installare l'anticopia Sony per errore una sola volta per trovarsi con un computer permanentemente rallentato.

Così Russinovich tenta di fare quello che chiunque farebbe se trovasse un rootkit sul proprio PC: rimuoverlo. Sony, come dicevo, non ha fornito un sistema di disinstallazione, per cui l'unico modo è rimuoverlo manualmente intervenendo sulla configurazione intima di Windows. Come risultato, gli scompare l'icona del lettore CD. Solo dopo aver speso altro tempo per ripristinare ulteriormente Windows e togliere altri elementi nascosti del sistema anticopia Sony, Russinovich riesce a riportare Windows al funzionamento normale. E chi lo ripagherà del tempo perso per riparare il proprio computer a causa del sistema Sony?

L'annuncio di Russinovich non passa inosservato. La prima reazione è l'indignazione contro Sony per aver usato metodi degni di un pirata informatico: metodi fra l'altro assolutamente inutili, perché il disco è perfettamente copiabile usando un Mac o un PC Linux (e anche con alcuni programmi di ripping per Windows). In altre parole, siamo alle solite: le case discografiche insistono a usare sistemi anticopia che i pirati sanno scavalcare senza alcun problema ma che puniscono gli acquirenti legittimi dei dischi.

Ma non mancano reazioni più sofisticate. La prima è stata quella dei giocatori poco onesti di World of Warcraft, che hanno approfittato della funzione di occultamento del rootkit Sony in un modo molto astuto: la Blizzard Entertainment, che produce World of Warcraft, ha creato un programma, Warden, che sorveglia il gioco ispezionando i PC dei giocatori alla ricerca di particolari programmi usati per barare. Ma basta installare questi programmi su un PC infettato dal sistema anticopia Sony e aggiungere al nome dei file del programma il prefisso "$sys$", e Warden non riesce a vederlo. Così i bari continuano indisturbati, grazie a Sony.

A fronte delle prime proteste, Sony rilascia una patch il 3 novembre 2005, che però non disinstalla il sistema anticopia: si limita a renderne visibili i file (e li aggiorna installandone una nuova versione).

Sempre il 3 novembre, Interlex.it pubblica una vivace e dettagliata analisi della tattica Sony, e giustamente si chiede perché Sony dovrebbe usare un sistema simile e nascondersi all'utente:

"A chi serve un rootkit? Ovviamente a chi ha qualcosa da nascondere! O, più precisamente: a chi vuole nascondere ad un legittimo utente il fatto di aver installato, a sua insaputa, un software sul suo sistema. E il fatto di volerne nascondere a tutti i costi l’esistenza già la dice lunga sia sulla legittimità dell’installazione che sulla liceità delle funzioni svolte dal software surrettiziamente installato!"

Il giorno dopo (4 novembre 2005), Russinovich analizza la patch offerta da Sony, che richiede una solfa interminabile di richieste via e-mail a Sony per ottenerla, e scopre che è così rozza e brutale che può far crashare il PC (Russinovich offre un metodo molto più semplice e sicuro per disabilitare il sistema anticopia).

La seconda analisi di Russinovich rivela inoltre che il sistema anticopia trasmette a Sony dati utilizzabili per sorvegliare le abitudini musicali dell'utente: infatti contatta automaticamente (e senza informarne l'utente) un sito della Sony per richiedere eventuali aggiornamenti alle immagini delle copertine dei dischi Sony protetti dal sistema anticopia. Dice Russinovich:

"Con questo tipo di connessione... non citato nella EULA, negato da Sony e non configurabile in alcun modo... i loro server potrebbero tenere traccia di ogni volta che viene suonato un disco protetto e l'indirizzo IP del computer che lo sta suonando".

E' a questo punto che entrano in gioco le società che producono antivirus: F-Secure dichiara che il sistema anticopia Sony verrà identificato dai suoi antivirus e che "le tecniche di occultamento usate sono esattamente le stesse usate dal software ostile noto come rootkit" e che "è pertanto molto scorretto che il software commerciale utilizzi queste tecniche".

Computer Associates è ancora più pesante e definisce il sistema anticopia Sony senza mezzi termini un "trojan" e lo cataloga nello spyware. L'analisi di CA, inoltre, dimostra che Sony sta facendo di tutto per rendere difficile la disinstallazione.

La protesta assume anche una connotazione legale: viene annunciato che l'1 novembre 2005 è stata iniziata dall'avvocato Alan Himmelfarb una class action in California contro Sony, chiedendo risarcimenti per tutti i consumatori danneggiati e l'inibizione della vendita dei dischi protetti da questo sistema anticopia.

Nel contempo, l'italiana ALCEI (Associazione per la Libertà nella Comunicazione Elettronica Interattiva) presenta un documentatissimo esposto alla Guardia di Finanza, ipotizzando fra le altre la violazione dell'articolo 392 c.p., che punisce "...colui che, al fine di esercitare un preteso diritto, si fa arbitrariamente ragione da sé medesimo 'alterando, modificando, o cancellando in tutto o in parte un programma informatico', ovvero 'impedendo o turbando il funzionamento di un sistema informatico o telematico'” e chiedendo di sapere, fra le altre cose, se il sistema anticopia è presente nei dischi Sony in vendita in Italia.

Il 9/11 la Electronic Frontier Foundation pubblica un elenco dei dischi protetti dal sistema anticopia contestato: una ventina di titoli, che includono nomi come Celine Dion, Ricky Martin e Neil Diamond, e spiega come riconoscere i dischi infetti.

Il 10 novembre 2005 viene rilevato il primo virus che sfrutta la falla di sicurezza creata da Sony: una variante del virus Breplibot. Sony ora non può più argomentare che si tratta di una falla ipotetica. Anche Kasperski definisce "spyware" l'anticopia Sony, mentre McAfee aggiorna il proprio antivirus per "rilevare, rimuovere e impedire la reinstallazione" dell'XCP. Zone Labs (quella di Zone Alarm) segue a ruota insieme a Sophos.

L'11 novembre arrivano altri virus che sfruttano la falla Sony, e le cause contro Sony salgono a sei. Lo stesso giorno, entra in scena il peso massimo: si scomoda addirittura il Department of Homeland Security (il Dipartimento per la Sicurezza Nazionale statunitense, quello che si occupa di antiterrorismo). Parlando dei sistemi anticopia ma senza fare il nome di Sony, un suo funzionario ammonisce, di fronte al presidente della RIAA (associazione dei discografici USA), che

"è molto importante ricordare che la proprietà intellettuale è vostra: ma il computer no, e nella ricerca della tutela della proprietà intellettuale, è importante non disabilitare o minare le misure di sicurezza che la gente oggigiorno ha bisogno di usare... se si verifica un'epidemia di influenza aviaria... dipenderemo moltissimo sulla capacità di fornire accesso a distanza per moltissime persone, e mantenere funzionante l'infrastruttura sarà questione di vita o di morte".

In altre parole: Sony, hai passato il segno. La legge non ti conferisce il diritto di danneggiare i computer altrui, neppure se lo fai per difendere il tuo diritto d'autore. E se il tuo sistema anticopia rende vulnerabili i computer proprio quando ne abbiamo più bisogno, sei responsabile anche tu delle gravissime conseguenze.

L'11 novembre, poco dopo queste parole di fuoco dell'amministrazione Bush, Sony dichiara che sospenderà "come misura precauzionale" la fabbricazione di CD che usano il sistema anticopia XCP (in altre parole, non ritirerà dal mercato quelli già in circolazione e si riserva il diritto di riprendere a usare XCP quando le pare). E' disponibile in Rete il testo del comunicato Sony, ed è abbastanza ironico che il comunicato parli di "facilità d'uso" del sistema anticopia, visto che si installa senza informare l'utente di cosa fa, mentre per rimuoverlo bisogna chiedere il permesso a Sony.

Questo, in estrema sintesi, è quello che è successo fin qui. Mi resta un'ultima cosa: spiegare come riconoscere un'eventuale infezione da parte di questo sistema e come prevenirla. Il rischio è relativamente basso, dato che pare che i CD protetti con XCP non siano ancora in circolazione in Europa, ma una controllatina non fa mai male.

  • Prendete un file qualsiasi, duplicatelo e cambiatene il nome prefissandolo con "$sys$": se scompare (cioè se Esplora Risorse non lo vede più), siete infetti; se rimane visibile, siete a posto.
  • Per evitare infezioni, disabilitate temporaneamente l'Autorun di Windows, premendo il tasto Shift durante l'inserimento del disco, ed evitate in generale di installare qualsiasi software presente sui CD musicali Usate un Mac o un PC Linux, entrambi immuni all'anticopia Sony; o più semplicemente ed efficacemente, non comperate dischi infetti.
Ciao da Paolo.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: scomodo, ma necessario per mantenere la qualità dei commenti.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni su regole e utilizzo dei commenti sono reperibili nella sezione apposita.
Commenti
Commenti (33)
Quando arrivare tardi vuol dire una spiegazione eccellente ed una capacita' di sintesi ottima, ben venga. Come sempre sei il miglior divulgatore informatico, miri al sodo con un linguaggio semplice che anche gli "utonti" capiscono. Per difendersi dalla Sony basta non comprare i loro dischi "infetti", se hanno un calo di vendite impareranno la lezione; hanno fatto un'enorme cazzata questa volta.
Mi associo in pieno: leggendo le spiegazioni di chi arriva per primo si capisce solo la prima facciata del problema, con questo post invece abbiamo avuto una panoramica parecchio istruttiva, che ci aggiorna sui concetti di fondo che dobbiamo conoscere per preservare il più possibile il funzionamento dei nostri PC.
stesso commento anche da parte mia... articolo di chiarezza ineccepibile e ben scritto


-PepeCarvalho
Quando qualche giovincello per divertirsi ha "evidenziato" qualche falla di Windows si è giustamente gridato al lupo! al lupo!
Poi sono stati richiesti danni di grandi quantità di $
E adesso?? La Sony dovrà pagare qualcosa o tra lupi (quelli veri) non si mordono?
Se una corte "con le palle" infliggesse una multa multimilionaria (in € o in $) ogni volta che le major fanno una stronzata tipo questa, usando lo stesso metro che vorrebbero usare con chi "ruba" le loro "proprietà intellettuali" probabilmente col tempo si accorgerebbero che guadagnano meno :)
Complimenti per l'articolo, Paolo.
Sei sempre il migliore!
Ah, poi la considerazione di Gacattos è interessante: e se ad uno gli vengono distrutti i dati sul p.c. per colpa di Sony, chi lo risarcisce?
da paolo.

Grande articolo paolo, come al solito sei il migliore!
grazie
Il rootkit Sony c'è anche per Mac:
http://www.downloadblog.it/post/799/sony-drm-anche-per-mac
Ci siamo dimenticati di ringraziare Sony per l'eccellente base didattica fornita a chi gioca con virus, spyware e compagnia..
Non mi meraviglierei se stesse già circolando per email un virus che si basa sullo stesso principio di occultamento dei files.
Bravi!
Hai giustamente citato la reazione al rootkit di alcune grandi aziende che offrono programmi contro lo spyware. Ne manca all'appello pero' una molto grossa, che (nei giorni scorsi almeno) nicchiava a "mettersi contro la Sony": la Microsoft...
Voi che ne pensate di questo articolo

http://punto-informatico.it/p.asp?i=56151&p=2&r=PI
>Il rootkit Sony c'è anche per Mac:

in realtà sul mac vengono installate due kernel extension (non nascoste) e solo dopo l'inserimento del nome e della password di amministratore

la prima regola su unix è usare un utente semplice e stare in guardia quando un programma chiede la password, soprattutto quando sono dei "semplici" cd audio
Mi associo ai complimenti già fatti da altri. Vorrei sottolineare inoltre che l'articolo, oltre ad essere ben scritto, è molto ben documentato, e non esprime opinioni ma fatti: ogni lettore tragga le sue conclusioni!

Grazie Paolo!
Non vorrei essere tacciato di eccessiva 'partigianeria', ma tutta questa storia è l'ennesima conferma che se vogliamo mandarli tutti a c****e (DRM, tcpa-Palladium, Sony e compagnia bella) c'è una soluzione comoda, efficace e gratuita: Linux.

Ciao a tutti.
un'ulteriore "istigazione" all'uso di programmi P2P.
un applauso alla sony.
E' l'ennesima prova, se ce n'era ancora bisogno, che le case discografiche sembrano fare di tutto per danneggiare chi acquista musica "regolare" nei negozi. Sempre piu' spesso, i CD originali NON sono riproducibili sui PC (in ufficio non tutti hanno lo stereo...), NON sono trasferibili su iPod & C. e non sono duplicabili per tenersene una copia in auto (non solo perche' non voglio tenerci i CD originali, ma anche perche' alcuni lettori per auto dotati di sistemi di correzione di errore hanno problemi a leggere i CD anticopia). In conclusione, visto che non posso ascoltare i CD originali in ufficio, per strada o in auto, quale incentivo ho per comprare musica originale invece che rivolgermi a venditori ambulanti o circuiti p2p ???
Mi auto ringrazio per non essere un'amante della musica, ma ciò non toglie che la cosa è gravissima!!!
Mi chiedo se anche il nuovo sistema anticopia dei DVD Sony crea gli stessi (o simili) problemi. So che nel DVD è inserita una parte apparentemente danneggiata che impedisce al programma di decrptazione di decriptare appunto. In realtà i files sono solo apparentemente danneggiati. Il DVD si vede bene eccetera eccetera. Non vorrei che invece ci fosse una magagna simile sotto... Paolo ne sai qualcosa?
Mi associo alla domanda di Nan: io martedì mi compro Born to Run 30th anniversary, con il dvd del concerto di Bruce Springsteen a Londra nel 75. E mi guarderò il dvd sul pc...
rischierò qualcosa????
bel sito, complimenti!
Per Nan e associati: non so nulla del DVD specifico, ma vi consiglio di rifiutare l'installazione di qualsiasi software presente sui CD/DVD che comprate. Senza una maggiore trasparenza da parte delle case discografiche, visti i precedenti direi che è lecito pensare sempre al peggio.

Ciao da Paolo.
Ok grazie per la risposta, adesso speriamo bene che non chieda di installare niente...
rinnovo i complimenti per il sito e per tutte le informazioni utili!
Un consiglio che vi posso dare e' quello di usare windows (2k o XP) come utenti e NON come amministratori. Io ho fatto in questo modo e da quel momento non c'e' stato niente che potesse installarsi o girare in automatico senza la mia autorizzazzione ne' rootkit ne' tanto meno virus per cui uso windows xp senza sp1, sp2 ne' antivirus senza problemi.
Grazie mille Paolo per le tue informazioni!
Ciao da Umberto,
mi domando quanto la Sony abbia pagato il GENIO o i genii che hanno realizzato quel sistema...poi ci lamentiamo che i cd costano tanto...di certo la Sony non deve guadagnarne, ma perderne! Si rifarà con le playstation...
Articolo chiarissimo e con molti riferimenti che permettono di inoltrarci negli aspetti puramente tecnici(l'articolodi Russinovich è eccellente!).
Il tuo blog è davvero molto interessante, ti chiederei solo di evitare di installarci dei cookies quando lo consultiamo o navighiamo nel sito.
Se il creatore del virus melissa e' stato condannato a 20 anni di carcere negli USA
e il creatore del virus Pathogen a 18 anni,
a quanti anni di carcere dovrebbero essere condannati i manager sony che hanno
approvato l'inserimento dentro i CD che vendevano di un software che installa sui computer di chi ascolta un CD un rootkit senza
avvertire l'ignaro utente?
Anche il tool Anti-Malware di Microsoft (Windows Defender) tratterà il rootkit XPC di Sony come un virus e permetterà di rimuoverlo.

http://blogs.technet.com/antimalware/archive/2005/11/12/414299.aspx
Per Pietro:

che fastidio ti danno i cookies?
Il cookie in se non comporta nessun problema né di sicurezza né di privacy né di nient'altro. Di contro consentono di mantenere informazioni sulla sessione di navigazione utili per semplificare il programma e quindi anche di navigare più velocemente e/o meglio.
Non esageriamo con le paure.

Flavio Visentin
Mi associo ai complimenti e, ribadendo in sintesi quanto già espresso da un commentatore anonimo:
le case discografiche ci portano in questo modo a preferire i p2p. Ma che bravi, ora si danno la zappa sui piedi.
Per Pietro: Mi dispiace per i cookie, ma non dipendono da me: è Blogger.com che li invia. Puoi sempre rifiutarli, basta dire al tuo browser di non accettarli. Ciao da Paolo.
Sarà retorico ma un complimento in più non fa mai male
grazie ancora Paolo sei sempre un grande.
ps sarebbe interessante conoscere gli sviluppi della class action californiana contro Sony.
Saluti a tutti
Walter.
siamo al colmo, il disinstaller del rootkit della sony installa un programma che permette a qualsiasi sito web di scaricare quel che vuole sul computer

http://blogs.washingtonpost.com/securityfix/2005/11/sony_uninstall_.html
Signori... Palladium/DRM/TCPA stanno andando avanti...
Ed è il momento di Agire!
Leggete qui e collegate...

L'avete seguita la vicenda del rootkit(Spyware) che si Autoinstalla su Windows quando inserisci i suoi CD AUDIO... ecco un interessante riepilogo:

http://attivissimo.blogspot.com/2005/11/ixt-i-cd-della-sony-infettano-windows.html

è SINTOMATICO di quello che le Major VOGLIONO FARE:

- Controllare le nostre abitudini,
- Impedirci di condividere la nostra conoscenza, -- Impedire di sapere quello che LORO fanno sui nostri PC e sulla Rete.

Oggi grazie ad un programmatore "Indipendente" si è potuto Denunciare... ma domani? quando i sistemi di criptografia non permetteranno di accedere ad alcune parti del proprio PC "Controllate da Altri"? Che cosa potrebbe succedere?


1) Non si potrà più programmare perchè i computer saranno bloccati da Palladium/TCPA, e ciò che è Nascosto Rimmarra NASCOSTO per sempre...

2)Potrebbero Vedere quello che fate e non ne saprete mai nulla?

3) Potrebbero Fare qualunque cosa con i vosti PC... e voi NON NE SAPRETE NULLA!

4) DECIDERANNO Sul Nostro FUTURO

Riflettete ed iniziate con un Boicottamento dei prodotti Sony... Sarà un segnale Forte. E quando lo fate dite anche al Rivenditore:

"Lo comprerei Volentieri ma è della Sony... Questa ditta non si fida di me... Perchè io mi dovrei fidare di Lei? Sta appoggiando un progetto che lede la mia liberta... Il TCPA/PALLADIUM, Lo sa che ha messo un programmino su alcuni suoi CD Audio che installandosi su Windows la avvisava ogni volta che utilizzavo i suoi CD...?"

DEVONO SAPERE IL PERCHE'!!!
Non mi intendo affatto di virus, trojan ed altro, pur usando il pc molte ore al giorno per lavoro. Ma, accidenti, quest'articolo (di cui ho avuto notizia dalla newsletter di CRITICAMENTE) é stato per me come seguire una lezione su questi argomenti in un "master" d'informatica. Ho testato il mio pc, come suggerito da Te e parrebbe che non abbia beccato il rootkit. Bravo Paolo e bravi tutti.
Questo commento è stato eliminato da un amministratore del blog.