Sony, RootKit'ы и Digital Rights Management

[HATTIFNATTOR]

"На прошлой неделе, когда я тестировал последнюю версию Rootkit Revealer" - пишет в своем блоге небезызвестный Марк Руссинович, - "Я запустил сканирование одной из своих машин и был шокирован свидетельствами присутствия на ней RootKit'а."

Rootkit Revealer сообщил о наличие на диске скрытой директории, нескольких скрытых драйверов и приложений. Учитывая что я весьма осторожен в серфинге и устанавливаю программное обеспечение только из уважаемых источников я понятия не имел где мог "подцепить" реальный руткит, и если бы не подозрительные имена найденных файлов скорее склонен был заподозрить ошибку в собственной программе. Я немедленно запустил Process Explorer и Autoruns чтобы отследить код, активирующий руткит при запуске системы, но ничего не нашел. Тогда я обратился к LiveKd, утилите, позволяющей исследовать внутренности работающей системы используя Microsoft kernel debugger, чтобы отследить какой компонент был ответственен за сокрытие, и выяснил что этим компонентом является находящийся в скрытой директории \Windows\System32\$sys$filesystem драйвер Aries.sys. Дизассемблировав драйвер я обнаружил что он скрывает любой файл, директорию или ключ реестра, чьё имя начинается с $sys$. Чтобы проверить это я сделал копию файла Notepad.exe и переименовал ее в $sys$Notepad.exe, - файл немедленно "исчез".
После изучения драйвера я приступил к изучению остальных компонентов руткита. Запуская утилиту Sigcheck я сомневался что файлы имеют какие-либо копирайты или информацию о версии, но к моему удивлению это было не так: я опознал Dbghelp.dll и Unicows.dll как Microsoft Windows DLLs, остальные файлы утверждали что являются частью “Essential System Tools” от компании “First 4 Internet”.

Набранное в браузере “First4Internet” принесло ссылку http://www.first4internet.com. Также я поискал по имени продукта и по имени Ares.sys, но ничего не нашел. Однако факт разработки компанией технологии с названием "XCP® (extended copy protection) Content Management" заставил меня подумать, что возможно файлы, которые я нашел, были частью некоей системы защиты контента. Тогда я поискал в Гугле по имени компании и наткнулся на статью, подтверждающую факт что First 4 Internet сотрудничает с несколькими компаниями звукозаписи, включая Sony, в разработке Digital Rights Management (DRM) ПО для CD.

Слово "DRM" заставило меня вспомнить недавно приобретенный на Amazon.com CD от Sony BMG, который может воспроизводиться только плеером находящимся непосредственно на компакт-диске, и с которого можно делать не более трех защищенных от копирования резервных СD.

Следующей фазой моего исследования стала проверка факта, что скрытые файлы действительно были связаны с защитой от копирования.
Я вставил диск в лоток, запустил плеер и щелкнул на иконке воспроизведения.
Одновременно Process Explorer показал что в момент начала проигрывания увеличилось использование процессорного времени службой $sys$DRMServer.exe, причем при взгляде на свойства процесс выдал "Plug and Play Device Manager".
Я закрыл плеер и ожидал когда использование СPU $sys$DRMServer упадет до нуля, но видел что процесс все еще потреблял от одного до двух процентов процессорного времени. Тогда я запустил Filemon и Regmon, чтобы посмотреть в чем дело, и Filemon показал что $sys$DRMServer каждые две секунды просматривает список запущенных в системе процессов, считывая информацию о файлах.

Тогда я удалил драйвера, ключи реестра, остановил и выгрузил службу $sys$DRMServer (удаляя ключи я обратил внимание что DRM загружается и в безопасном режиме) и перезагрузился. После перезагрузки система перестала видеть CD-ROM. Заглянув в Диспетчере устройств в свойства СD-ROM'а я обнаружил там зарегистрированный как lower filter Crater.sys
Пришлось снова заглядывать в реестр и удалять значение, затем поиск по реестру $sys$, удаление Cor.sys(upper filter for the IDE channel device) и перезагрузившись я получил обратно свой CD-ROM.

Полученный опыт вызывал только раздражение. Sony поместила в мою систему ПО, использующее методы обычно применяемые malware чтобы скрывать свое присутствие. Хуже что пользователи, с помощью Rootkit Revealer обнаружившие это скрытое ПО, при попытке его удаления могут нанести вред своему компьютеру.

Полностью Тут

[Geser]

Афигеть. Надеюсь в Штатах найдутся люди которые вломят Сони иск за такие фокусы. Совсем совесть потеряли.

[HATTIFNATTOR]

Да волна уже неслабая поднялась: - в комментариях кто-то подлил масла в огонь, написав что поставил сниффер и отследил что DRM вдобавок передает некий ID (альбома?) на sonymusic.com

http://news.google.com/news?hl=en&ned=&q=Sony+Rootkit
http://www.msnbc.msn.com/id/6409077/
http://seattlepi.nwsource.com/busine...rotection.html
http://www.washingtonpost.com/wp-dyn...110202362.html
http://www.f-secure.com/weblog/#00000694
http://poptech.blogspot.com/2005/11/...ts-easily.html
http://news.bbc.co.uk/1/hi/technology/4400148.stm

[WaterFish]

Типа исправились
This Service Pack removes the cloaking technology component that has been recently discussed in a number of articles published regarding the XCP Technology used on SONY BMG content protected CDs. This component is not malicious and does not compromise security. However to alleviate any concerns that users may have about the program posing potential security vulnerabilities, this update has been released to enable users to remove this component from their computers.
http://updates.xcp-aurora.com/

[WaterFish]

Я конечно понимаю, что особо обсуждать нечего, в конце концов и некоторые антивирусы пользуются подобными методами, например небезизвестный Kaspersky (но мои знания не выходят за рамки этого форума), поэтому я не могу оценить всей сути процесса, происходящего в СМИ, но всемирный ажиотаж, честно говоря радует:http://news.bbc.co.uk/1/low/technology/4424254.stm

ТММ (IMHO) Ну не нужно ничего скрывать, всё равно вскроется.

[Geser]

Крупный потребительский союз Италии планирует подать в суд на Sony за ПО управления цифровыми правами (DRM), которое компания размещает на некоторых музыкальных CD. Это ПО, разработанное фирмой First 4 Internet, работает даже тогда, когда CD не проигрывается, и маскируется с использованием технологии rootkit.
В четверг итальянский потребительский союз Altroconsumo направил в итальянское отделение Sony BMG письмо с требованием прекратить распространение в Италии таких CD. Если подобные компакт-диски уже попали в страну, то Altroconsumo просит Sony назвать их и предложить итальянским потребителям средство распознавания спорного ПО.

Altroconsumo грозится подать в суд, если обнаружит, что такие CD все же распространяются в Италии. «Как потребительская организация, мы имеем возможность потребовать судебного запрета в том случае, если своими действиями компания наносит ущерб потребителям», — пояснил ZDNet UK представитель Altroconsumo Марко Пьерани.

Другая итальянская организация, Electronic Frontiers Italy (ALCEI), тоже угрожает Sony судебным иском. На прошлой неделе она попросила финансовую полицию Италии провести расследование, чтобы установить, кто именно в Sony принял решение об использовании «столь опасной системы DRM». «Обвинения могут быть разными, от «самоуправства» до преднамеренного причинения ущерба компьютерным системам и распространения программного обеспечения, причиняющего вред информационным и коммуникационным системам, — все это по итальянским законам уголовно наказуемые преступления», — говорится на веб-сайте организации.

Sony грозит опасность и в США: в четверг представитель Electronic Frontier Foundation (EFF) подтвердил, что организация намерена обратиться в суд. Кроме того, адвокат из Иллинойса Итан Престон «рассматривает возможность подачи коллективного иска от имени потребителей» против Sony, как утверждается на его веб-сайте.

ZDNet.ru