Rootkits, Bertelsmann und Sony | |
Startseite : Services : Stories : Rootkits, Bertelsmann und Sony |
Thema Sicherheit: Rootkits, Bertelsmann und Sony; Handy-Kinder-Kodex: Mehr Jugendschutz bei Mobiltelefonen; Handyregel gegen Handyregel?
Ärztekammer kontra Mobilfunker - die Schlacht geht weiter; Die gefährlichsten Domains der Welt; Totale Verschlüsselung oder «Apocalypse Now» |
Was ursprünglich von Sony BMG als «unschuldige» Methode zum Schutz des eigenen geistigen Eigentums gedacht war, entwickelte sich innerhalb weniger Wochen zu einer PR-Katastrophe, die jedenfalls im Bereich DRM (Digital Rights Management) ihresgleichen sucht. Sony BMG ist ein 50:50-Joint Venture von Sony und der Bertelsmann Music Group. Da sich unter dem Kürzel BMG kaum jemand etwas vorstellen kann, sprechen die meisten Kommentatoren nur von Sony, bestenfalls noch von Sony BMG - was der Leser dann wieder für eine der vielen Unterfirmen des japanischen Unterhaltungsimperiums hält. So wird das PR-Desaster von Sony BMG auch mehr oder weniger eines von Sony.
Die Vorgeschichte
Die Aufregung um die CDs von Sony BMG hat zwar der Sicherheitsexperte Mark Russinovich ausgelöst, offensichtlich geht die erste Entdeckung auf John Guarino, den Besitzer eine Shops für PC-Reparaturen in Manhattan namens TecAngels.com zurück. Guarino hatte schon, so wird berichtet, seit Monaten nervtötende Teile so genannter Rootkits von Kunden-PCs entfernt. Am 30. September entdeckte er endlich die Ursache, als er eine CD von Sony BMG in das CD-Laufwerk steckte.
Auftritt F-Secure
Guarino verwendete für seine Untersuchungen Software von F-Secure, daher war es für ihn nur natürlich, seine Erkenntnisse via E-Mail an F-Secure weiter zu leiten. F-Secure führte eigene Untersuchungen durch und informierte den Hersteller der CDs, die Sony-Tochterfirma Sony DADC am 4. Oktober, ebenfalls per E-Mail. Da Sony DADC die CDs ja nur presst, verpackt usw. leitete das Unternehmen die E-Mail an Sony BMG CD am 7. Oktober weiter. Sony BMG meinte, dass, die Mitteilung, das in der Copyrightschutzsoftware XCP (eXtended Copy Protection) möglicherweise ein Rootkit verborgen ist, kein ernsthaftes Sicherheitsproblem darstelle. Dennoch beauftrage Sony BMG den Lieferanten der Software, die britische First4Internet das Problem zu untersuchen.
F-Secure informierte dann First4Internet und Sony BMG am 17. Oktober über die volle Tragweite des Problems und warnte, dass das Rootkit in XCP Hackern die Möglichkeit bietet, Viren zu verstecken und diese vor Virenschutzsoftware zu verstecken. Ab diesem Zeitpunkt wollte Sony BMG von den zwei Softwarefirmen F-Secure und First4Internet eine Lösung des Problems bekommen.
Die Öffentlichkeit wurde weder von F-Secure, First4Internet oder Sony BMG informiert. Das Rootkit konnte sich also weiter ungestört ausbreiten.
Die Entdeckung
Ende Oktober veröffentlichte dann der Sicherheitsexperte Mark Russinovich seine Entdeckung, dass auf einigen Sony BMG-CDs eine Software namens XCP mitgeliefert wird, die nicht nur die Zahl der Kopien, die von dieser CD gemacht werden können, beschränkt, sondern dazu Programmiertechniken nutzt, die im Normafall nur von Virenschreibern genutzt werden, um ihr «Werk» vor den Nutzern zu verbergen, damit es nicht entfernt wird.
DRM wie ein Rootkit
Laut Russinovich benimmt sicht die Software wie so genannte Rootkits, das sind Software-Werkzeuge, die von Hackern benutzt werden, um die Kontrolle über ein Computersystem zu bekommen, nachdem es ihnen gelungen ist, in dieses einzudringen. Russinovich stellte fest, dass sich die von der Sony BMG-CD installierte Software auf traditionelle Weise nicht mehr entfernen liess. Versuche, die Software «brutal» zu entfernen, endeten damit, dass die Software, die zum Betrieb des CD Players erforderlich ist, korrumpiert und nutzlos wurde.
Zu diesem Zeitpunkt erklärte eine Sony-Sprecher, dass es gerade 20 Titel gebe, die mit dieser Software ausgeliefert worden sind, es könne aber durchaus sein, dass in den nächsten Monaten weitere Titel dazu kommen.
Für Hacker und Virenschreiber
Russinovich konterte mit der Feststellung, dass die Techniken, die Sony nutzt, auch von Virenschreibern und Hackern genutzt werden können und damit Maleware auf jedem Computer, der das Sony-Programm nutzt, installieren können.
Nun erklärte Sony, dass die Software ja von einer dritten Firma, der britischen First4Internet Ltd. stamme, man selber also gleichsam unschuldig sei. First4Internet werde aber einen Patch auf seiner Website bereitstellen, der die Fähigkeit des Programms sich zu verstecken, entfernt.
Zu diesem Zeitpunkt war man in den US-amerikanischen Redaktionen noch recht freundlich und erklärte den Lesern sogar, dass DRM-Technologien schon von ihrer Bestimmung her eher verstohlen angelegt sein müssen, schliesslich müsse sich diese Software selbst schützen können, hiess es etwa in der Washington Post.
Konsumentenschützer vorsichtig
Konsumentenschützer waren etwas vorsichtiger und meinten, man müsse erst einmal überprüfen, ob Sony BMG die Konsumenten auch ausreichend informiert habe. Schliesslich teile das Programm nur mit «it will install a small proprietary software program», wenn man die CD am PC abspielen will.
Bei der Virenschutz-Firma F-Secure gab man zu bedenken, dass der Nutzer die von der Sony BMG-CD installierte Software diese nicht selbst entfernen können, sondern nur über ein Formular auf der Website von Sony BMG die Entfernung quasi «beantragen» können und eine zusätzliche Software herunter laden müssen. Dann werden sie von einem Techniker angerufen, der sie zum Download eines weiteren Programms auffordert mit dem das Programm dann tatsächlich entfernt wird.
Spektakuläre Systemabstürze
Bei F-Secure warnte man, dass die Sony BMG-Software Hackern helfen könne, die meisten Antivirusprodukte, die derzeit auf dem Markt sind, zu umgehen und ergänzte, dass die Kombination von XCP und einer Beta-Version von Windows Vista zu spektakulären Systemabstürzen führt.
Trostvolles
Bei aller Problematik schien bisher die Angelegenheit doch eher aufgebauscht. Schliesslich handelte es sich nur um ca. 20 Titel, die nur in den USA verkauft wurden. Die Nutzer eines Apple iPod - der in den USA der häufigste portable Player ist - waren auch nicht betroffen, weil die mit XCP geschützten CD überhaupt nicht auf den iPod zu überspielen sind, denn Apple hat die eigene DRM-Technologie bisher nicht zur Verwendung auf geschützten CD bereit gestellt. Wer die CDs nur in einem normalen CD-Player abspielte, war natürlich auch nicht betroffen. Schon schien es, dass die Branche zur Tagesordnung übergehen und den kleinen Fehler rasch vergessen könnte.
Sony BMG wird geklagt
Nach fast zwei Wochen relativer Ruhe sieht sich dann Sony BMG plötzlich mehreren Klagen gegenüber. In Kalifornien ist eine Klage bereits eingereicht, in New York wird eine vorbereitet und auch die recht einflussreiche Electronic Frontier Foundation (EFF) überprüft, ob man einen Fall für eine Klage vor sich hat. Die kalifornische Klage verlangt, dass Sony BMG den Verkauf von CDs, die mit Kopierschutz ausgerüstet sind, einstellt und verlangt zudem Schadenersatz für Kalifornier, die eine derart geschützte CD bereits gekauft haben. Die Klage in New York will überhaupt Schadenersatz für alle betroffenen Amerikaner. Auch in Italien hat der dortige Ableger der EFF, Electronic Frontiers Italy, eine Untersuchung gefordert. Sony BMG bleibt auch jetzt bei etwa 20 Titel, die mit XCP ausgerüstet sind.
Sony BMG bringt Update
Ein Service Pack, das die Komponente, die das Verbergen steuert, entfernt, wird auf der Sony BMG-Website bereitgestellt. Auch eine Offline-Version wird als ZIP-File und als EXE-Datei angeboten.
Virenschutz gegen Sony BMG
Die ersten Virenschützer bringen nun Updates, mit denen XCP gefunden werden kann. Symantec kann XCP entdecken, aber nicht entfernen (was sich inzwischen natürlich geändert hat). Computer Associates kündigt ein Werkzeug zur totalen Entfernung von XCP an und Kaspersky Labs erklärt XCP zur Spyware, weil es sich selbst versteckt, die Sicherheit gefährdet und den Computer langsamer macht. Russinovich, der ursprüngliche Entdecker, hat seine Untersuchungen fortgeführt und stellt jetzt fest, dass durch XCP ein Windows-Computer noch unverlässlicher werden kann.
Die Viren kommen
Am 10. November erscheint erstmals ein Trojaner, der die Kopierschutztechnologie von Sony BMG nutzt. Im Prinzip legt nämlich XCP eine Regel fest, die lautet, dass jede Software, die mit «$sys$» beginnt, verborgen werden soll. Offensichtlich nichts leichter als eine Schadware mit dieser Zeichenfolge beginnen zu lassen. Virenschreiber nahmen teilweise einfach alte Software, setzten die nötige Zeichenfolge davor und schon war neue Schadsoftware geboren, die auf jedem Computer mit XCP unsichtbar war.
Sony BMG stoppt Produktion
Jetzt taucht bereits der erste Trojaner auf, der XCP nutzt. Am 11. November, rund zwei Wochen nach dem ersten Aufschrei, erklärt Sony BMG, dass man die Produktion von CDs mit Kopierschutz, der inzwischen wie erwartet von Virenschreibern ausgenutzt worden ist, zeitweilig einstellen («suspend») werde. Dennoch stehe man zu Kopierschutztechnologien, um das eigene geistige Eigentum zu schützen. Der Produktionsstopp betrifft nur CDs mit dem Kopierschutzprogramm XCP. CDs die mit Kopierschutz von SunnComm ausgerüstet sind, werden weiter produziert. Sony BMG habe, weil man wisse, dass ein Computervirus zirkuliert, der Computer mit XCP befalle, die Produktion aus Vorsichtsgründen eingestellt.
Microsoft greift ein
Jason Garms vom «Anti-Malware Technology Team» der Microsoft Corporation erläutert in einem Blog, welche objektive Kriterien für «Windows Defender» und das «Malicious Software Removal Tool» gelten, um festzustellen, welche Software durch die Microsoft-Technologie entfernt werden muss. Man habe die XCP Software untersucht und beschlossen, um die Kunden von Microsoft zu schützen, die Rootkit-Komponente von XCP unter die zu suchenden und zu entfernenden Signaturen einzureihen, die von Windows AntiSpyware Beta genutzt werden. Die Signatur wird mit den normalen Updates für Windows AntiSpyware Beta verteilt, die seit etwa einem Jahr wöchentlich erfolgen. Finden und Entfernen wird diese Signatur auch die öffentliche erste Beta-Version von Windows Defender können. Und auch das Dezember-Update für das «Malicious Software Removal Tool» wird die Signatur enthalten. Schliesslich soll es auch in der Signaturenliste für den Online-Scanner im Windows Live Safety Center aufgenommen werden.
Rückrufaktion
An diesem Punkt der Ereignisse startet Sony BMG eine Umtauschaktion für alle CDs, die XCP enthalten. Erstaunlich: Die Liste auf der Homepage listet 52 Alben auf, die mit XCP ausgeliefert wurden. Weitere zwei wurden so beschriftet, als ob sie mit XCP behaftet wären. Dabei hatte es immer geheissen, es wären rund 20 Alben betroffen. Sei es wie es sei: Amerikaner können jetzt ihre CDs mit XCP gegen solche ohne XCP tauschen und haben zusätzlich noch die Möglichkeit, auch MP3-Files der jeweiligen CD kostenlos dazu zu bekommen. Selbst die Kosten des Einsendens via UPS übernimmt Sony BMG. Dabei kann man sich sogar aussuchen, ob man die CDs in einem der 4.000 UPS-Läden abgeben will oder ob die CDs durch UPS abgeholt werden sollen.
Sobald Sony BMG die zu tauschenden CDs erhalten hat, braucht man nur mehr drei bis sechs Wochen warten bis man den Ersatz bekommt. Wer noch zusätzlich die MP3-Files möchte, bekommt per E-Mail ein Link zum Download. Auch die zwei CDs, die gar kein XCP enthalten, aber so beschriftet sind, kann man umtauschen.
Von einem Kostenersatz, wie ihn die Electronic Frontier Foundation gefordert hat, ist keine Rede.
Symantec beschreibt Ryknos
Am 15. November meldet Symantec «...den ersten Trojaner entdeckt, der im Zusammenhang mit der First 4 DRM-Technologie von Sony steht, welche sich installiert, wenn kopiergeschützte CDs von BMG abgespielt werden». Der Backdoor.Ryknos benannte Trojaner sowie eine zweite Variante Backdoor.Ryknos.B wurden in die Kategorie 2 von 5 Gefahrenstufen eingestuft. Laut Symantec verbreitet sich der Trojaner über Spam-Mails und enthält eine Bot-Funktion, durch die Verbindungen zu unterschiedlichen IRC-Kanälen (Internet Relay Chat) aufgebaut werden können. Betroffen sind die Betriebssysteme Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP. Nicht betroffen sind DOS, Linux, Macintosh, OS/2, Unix.
Der Trojaner installiert sich als Datei unter dem Namen «%System%/$sys$drv.exe». Diese Datei wird versteckt gehalten, wenn «SecurityRisk.First4DRM» bereits auf dem Rechner vorhanden ist. Backdoor.Ryknos versucht, eine Nachricht an vorher bestimmte IP-Adressen zu schicken und er versucht, sich als vertrauenswürdige Applikation an die Windows Firewall anzuhängen. Zudem öffnet er eine Hintertür und koppelt sich an einen vorbestimmten IRC Kanal. Damit kann er sensible Informationen des gefährdeten Computers senden, wie zum Beispiel den Rechner- und Benutzernamen, sowie Informationen über das Betriebssystem und die IP-Adresse. Ausserdem kann Backdoor.Ryknos automatisiert Dateien herunterladen und ausführen.
Noch ein Problem
Offensichtlich öffnet die obige Erklärung eines Microsoft-Mitarbeiters alle Schleusen, denn jetzt meldet sich die Internet Security Systems (ISS) aus Atlanta bzw. deren «X-Force» und teilt mit, dass sie noch ein Sicherheitsproblem der Antipirateriesoftware gefunden haben. Man stuft die Software als «Malware» ein und macht darauf aufmerksam, dass diese Software keinen Mechanismus zur De-Installation mitbringt. Ausserdem habe man entdeckt, dass XCP Schwachstellen im Treiber habe. Dieser laufe auf der höchsten Privilegienebene und würde einem Angreifer ein «privilege escalation» erlauben. Daraus resultiere Memory-Korruption, die es dem Angreifer erlaube, Code im Kernel-Modus ausführen zu lassen und so die volle Kontrolle über die Maschine zu übernehmen.
Gartner überlistet XCP
Am 18. November publiziert Gartner ein Papier mit dem Titel «Sony BMG DRM a Public-Relations and Technology Failure» als dessen Autoren Martin Reynolds und Mike McGuire genannt werden. Die beiden sind der Meinung, dass dieses PR-Desaster um so unglücklicher ist, als die DRM-Technologie ganz leicht überlistet werden könne. Laut Gartner braucht man nur ein fingernagelgrosses opaques Stück Klebeband auf die Aussenkante der CD kleben und so die Session 2, in der die sich selbst installierende DRM-Software sitzt, unlesbar machen. Der PC behandelt die CD dann wie eine gewöhnliche Single Session Musik CD. Man merkt an, dass man diese Technik nicht empfiehlt oder für richtig hält.
Zudem, so Gartner, können die mit XCP geschützen CDs mit einem normalen CD-Kopierprogramm dupliziert werden.
Aus den genannten Gründen erwartet Gartner nicht, dass die DRM-Technik von Sony BMG weder informierte noch uninformierte Nutzer und schon gar nicht Raubkopierer davon abhalten kann, mit dem Inhalt der Disk zu tun, was immer sie wollen.
Sony BMG habe sich ein ernsthaftes PR-Problem aufgehalst und das noch dazu ohne guten Grund.
Hat die Tonträgerindustrie keine Chance?
Gartner bemerkt, dass die Tonträgerindustrie nach mehr als fünf Jahren noch kein sinnvoll nutzbares DRM für Musik CDs hat und Gartner glaubt, dass sie dieses Ziel auch nie erreichen wird so lange CDs auf einem reinen CD Player abspielbar sind. Möglicherweise werde man sich jetzt darauf konzentrieren, Gesetze zu verlangen, die vorschreiben, dass jeder PC mit DRM ausgerüstet ist.
Gartner glaubt aber, dass die Industrie besser bedient wäre, wenn sie eine Lösung entwickeln würde, die DRM als Verrechnungs- bzw. Verfolgungswerkzeug nutzt und nicht als Schloss. So könnten sie ein Verrechnungsmodell einführen, das auf dem Abspielen basiert und nicht auf der Hardware und man könnte verfolgen, wo die digitalen Inhalte sind, ohne dem User die Möglichkeit zu nehmen, den legitim gekauften Inhalt auf welchem Gerät auch immer abzuspielen.
Weltkarten
Das Problem wird langsam so interessant, dass ein gewisser Dan Kaminski beginnt, Statistiken über XCP, Sony BMG und First4Internet zu visualisieren. Er untersucht, wie oft die im Rootkit enthaltene Sony BMG-CD-Site bzw. die Website von First4Internet von einem Domain Name Server verlangt wurden. Bis zum 21. November 2005 stellt er für Sony BMG-CD in Österreich 2.070 Fälle fest und in der Schweiz gar 4.191. Am stärksten betroffen ist Japan mit 139.932 Fällen, gefolgt von den USA mit 95.218. Für First4Internet lauten die entsprechenden Zahlen Österreich 2.495, Schweiz 5.871, Japan 211.603 und USA 108.641.
Texas betritt die Arena
Am 21. November betritt mit dem texanischen Generalanwalt Greg Abbott ein juristisches Schwergewicht die Bühne und reicht namens des Staates Texas Klage gegen Sony BMG ein. Die Antipirateriesoftware XCP verletze sowohl das texanische «Anti-Spyware»-Gesetz und das texanische Konsumentenschutzgesetz. Er erläutert, dass Konsumenten, die solche CDs gekauft haben, der Meinung waren, dass sie Musik kaufen. Statt dessen hätten sie Spyware bekommen, die ihren Computer beschädigen, dem Angriff von Viren aussetzt und die Möglichkeit zu Identitätsdiebstahl bietet.
Abbott verlangt für jeden Einzelfall eine Strafe von US$ 100.000 plus Gerichts- und Anwaltskosten. Wie weiter oben bereits berichtet, hat Dan Kaminsky mindestens 560.000 Netze weltweit ausgemacht, in denen die inkriminierte Software bereits aktiv ist.
EFF klagt wegen XCP, EULA und MediaMax
Ebenfalls am 21. November reichte die EFF (Electronic Frontier Foundation) zusammen mit zwei USA-weit tätigen Anwaltsfirmen, die sich auf sogenannte «Class Actions» spezialisiert haben (Green Welling, LLP und Lerach, Coughlin, Stoia, Geller, Rudman & Robbins, LLP), in Kalifornien Klage gegen Sony BMG ein.
Die EFF verlangt, dass Sony BMG alle Schäden, die durch das XCP von First4Internet und - das ist neu - die Software MediaMax von SunnComm verursacht wird. EFF sei zwar erfreut, dass Sony BMG Schritte unternommen habe, um auf die Risiken hinzuweisen und auch die Rückrufaktion wird positiv betrachtet, doch alle diese Massnahmen seien zu wenig um die durch XCP verursachten Probleme der Konsumenten zu lösen.
Zudem habe Sony BMG in keiner Weise auf die Besorgnis über MediaMax reagiert, dabei betreffe MediaMax mehr als 20 Millionen CDs - zehn Mal so viele wie XCP.
Die Klage von EFF beschuldigt Sony BMG XCP und SunnComm-Technologie auf Millionen von Computern installiert haben, die völlig arglosen Besitzern gehören und nur Musik von ihren CDs hören wollten.
Forschungen hätten gezeigt, dass die XCP Technologie so entworfen worden ist, dass sie viele Eigenschaften eines Rootkits habe. Die Software wurde mit der Absicht geschrieben, ihre Präsenz und ihren Betrieb auf dem Computer vor dem Besitzer zu verbergen. Ist sie einmal installiert, reduziere sie die Leistung des PC und installiert Updates durch eine Internetverbindung zu Servern von Sony BMG usw.
Uninstaller gefährlich
Der von Sony BMG angebotene Uninstaller erhöhe die Zahl der Sicherheitslücken am eigenen PC noch zusätzlich, meinte die EFF. Sie bezieht sich damit darauf, dass dieser Uninstaller, der das Rootkit von First4Internet entfernt, neuen ActiveX Code installiert. Diese neue Code («CodeSupport») ist nicht auf die Nutzung durch Sony BMG oder First4Internet beschränkt, sondern kann von jedem genutzt werden. Das heisst, so meinen Sicherheitsexperten, dass man das ausnutzen kann, um zusätzlichen Verkehr z. B. zu einer Cracker-Domain zu leiten. Angeblich will First4Internet einen Patch für den Fehler im Patch bereitstellen.
EULA enteignet CD-Besitzer
Besonders schlimm sei das 3.000 Worte umfassende EULA (End User Licensing Agreement), das man mit der Installation der DRM-Software akzeptiere. Mit diesem EULA wird die bisherige Praxis, das man mit dem Kauf einer CD auch deren Besitzer wird, ausgehebelt. Bisher konnte man seine gekaufte CD benutzen wie man wollte, so lange man nicht eines der dem Copyright-Besitzer vorbehaltenen Rechte verletzt: auf einer privaten Party abspielen, einem Freund leihen oder eine Kopie für den eigenen iPod machen.
Das EULA ändert das: Besitzt man nicht mehr die Original-CD, muss man alle Kopien zerstören - auch wenn die CD etwa durch einen Einbrecher gestohlen wurde.
Man darf nur mehr auf einem Computer an dem man arbeitet eine Kopie haben. Wer einen Desktop-PC für daheim und ein Notebook für unterwegs besitzt, muss sich daher überlegen, auf welchen der beiden Computer er seine CD kopiert. Der Desktop-PC darf auch nicht dem Partner/der Partnerin gehören, denn er muss im Eigentum des CD-Besitzers stehen.
Wer ins Ausland verreist, muss auf dem allenfalls mitgenommenen Gerät alle Kopien vernichten, denn das EULA verbietet kategorisch jeden «Export» aus dem Land, in dem man wohnt.
Ausserdem muss man auf Updates achten: Man verpflichtet sich jedes von Sony BMG herausgebrachte Update zu installieren. Andernfalls erlischt das Recht zur Nutzung der musikalischen Software.
Geht man pleite, muss man alle Musik am Computer löschen. Nicht einmal als Hintergrund für eine private Dia-Show darf die Musik genutzt werden, denn jede Veränderung oder gar die Erstellung abgeleiteter («derivativer») Werke ist verboten.
Sony BMG zahlt höchstens US$ 5.-
Als ob man schon im Voraus gewusst hat, was mit XCP passiert: Das EULA legt auch fest, dass Sony-BMG Hintertürchen in die Kopierschutzsoftware einbauen und nutzen darf, um ihre Rechte durchzusetzen - ohne Ankündigung. Ach ja, und wenn dadurch der PC gefährdet oder unbenutzbar wird, lehnt Sony BMG jede Verantwortung ab. Falls doch, trotz des umfangreichen EULA, eine Verantwortung bei Sony BMG liege, so sei die Haftung mit fünf Dollar beschränkt. Damit bekommt man nicht einmal den Kaufpreis der CD zurück. Ob das die Richter in den verschiedenen Verfahren auch akzeptieren werden?
Die EFF verlangt in ihrer Klage, dass die EULA in der vorliegenden Form für ungültig erklärt und zurückgezogen wird.
Attacke auf MediaMax
Laut EFF habe die Kopierschutzsoftware MediaMax von SunnComm andere aber genau so Besorgnis erregende Probleme wie XCP. Die Software installiert sogar dann Dateien am Computer des Nutzers, wenn dieser auf der bekannten Seite «No» anklickt, also das EULA nicht akzeptiert. Es gibt auch bei MediaMax keinen vorgesehenen Weg, das Programm zu De-Installieren. Allerdings kann man, wenn man energisch darauf besteht, von SunnComm so eine Software zum De-Installieren erhalten - nachdem man weitere persönliche Daten bekannt gegeben hat. Laut EFF birgt aber dieser Uninstaller ähnliche Risken wie der für XCP.
MediaMax sendet, jedes Mal wenn eine CD gehört wird, Nutzerdaten über das Internet an SunnComm. So können von SunnComm Hörgewohnheiten verfolgt werden, auch wenn das EULA festhält, dass die Daten nicht zum Sammeln persönlicher Informationen genutzt werden.
Sicherheitsexperte kritisiert Sicherheitsunternehmen
Am 21. November kritisiert im Magazin Wired der Sicherheitsexperte Bruce Schneier die Untätigkeit der Hersteller von Antiviren- und sonstiger Sicherheitssoftware. Er sieht nicht im versteckten Rootkit oder in der inzwischen ebenfalls aufgetauchten Verletzung von Open-Source-Lizenzen den Skandal, sondern im Zögern der Firmen, die eigentlich den PC vor derartigen Bedrohungen schützen sollten. Der einzige Unterschied, der das Rootkit in XCP «legitim» gemacht habe, sei die Tatsache, dass es von einem grossen multinationalen Unternehmen verbreitet worden sei.
Schneier meint noch, dass F-Secure Lob verdiene - da wusste er noch nicht, dass F-Secure schon länger als andere von dem Problem wusste -, weil sie als Erste und am lautesten Alarm geschlagen haben.
Natürlich gibt es immer schlechte Sicherheit, meint Schneier, und Firmen machen Unsinn. Doch der Grund warum man Sicherheitsprodukte von Symantec, McAfee und anderen kauft, ist es ja, sich vor schlechter Sicherheit zu schützen.
Lausige Arbeitsethik?
Schneier meinte, er habe bisher geglaubt, dass auch in den grössten Sicherheitsfirmen Leute mit einem Hackerinstinkt sitzen, die das richtige tun werden und Alarm schlagen. Dass alle diese grossen Sicherheitsfirmen mit über einem Jahr Zeit weder bemerkt noch irgend etwas zu dem Rootkit gesagt haben, zeige bestenfalls Inkompetenz - im schlimmsten Fall aber eine lausige Arbeitsethik
Microsoft handelt verständlich
Die anfängliche Zurückhaltung von Microsoft versteht Schneier, denn dieses Unternehmen sei ein Fan von invasivem Copyright-Schutz. Ein derartiger Schutz sei sogar in die nächste Version von Windows eingebaut. Microsoft versuche mit Medienunternehmen wie Sony in der Hoffnung zu kooperieren, dass Windows der bevorzugte Kanal für die Mediendistribution werde. Und Microsoft sei bekannt dafür, die eigenen Geschäftsinteressen auf Kosten der Konsumenten zu verfolgen («And Microsoft is known for watching out for its business interests at the expense of those of its customers»).
Der Nutzer als Opfer
Schneier fragt sich, was passiert, wenn die Schöpfer von Malware mit genau den Firmen zusammenspielen, die wir dafür bezahlen, damit sie uns schützen und antwortet gleich, das wir Nutzer verlieren: Ein gefährliches und schädliches Rootkit wird losgelassen und eine halbe Million PC wird infiziert bevor irgend jemand etwas tut.
Für wen arbeiten die Sicherheitsfirmen fragt er sich. Es sei unwahrscheinlich, dass das Sony Rootkit das einzige Beispiel einer Medienfirma wäre, die eine derartige Technologie nutzt.
Welche Sicherheitsfirma hat Techniker, die danach Ausschau halten, ob andere das gleiche tun? Was werden sie tun, wenn sie ein weiteres Rootkit finden? Was werden Sie tun, wenn es ein internationaler Konzern wieder eine gute Idee findet, die Herrschaft über meinen Computer zu übernehmen?
Die Fragen die Schneier stellt, hat natürlich bisher keine Sicherheitsfirma beantwortet, dabei ist Schneier selbst der Cheftechniker einer Sicherheitsfirma namens Counterpane Internet Security.
MessageLabs warnt
Wie um Schneier zu bestätigen versendet einen Tag nach diesem bissigen Kommentar MessageLabs, nach Eigendefinition «führender Anbieter von Managed E-Mail und Internet Security Services» eine Warnung vor einem gefährlichen Trend im Web und meldet «Eine erhebliche Bedrohung stellen derzeit Rootkits dar, die sich im System einnisten und von Anti-Malware-Tools nur schwer lokalisiert werden können. Enthalten diese Rootkits Spyware, können sie lange Zeit unentdeckt persönliche Daten oder das Surfverhalten des betroffenen Benutzers ausspionieren. ... Ein zunehmendes Problem besteht darin, dass Datenspione zur Installation ihrer Programme auf fremden Rechnern immer häufiger auf Rootkits zurückgreifen». MessageLabs erklärt die Kombination aus Spyware und Rootkits im Hinblick auf Datenspionage für noch bedrohlicher als bislang beobachtete Spyware-Aktivitäten und weiss «Nicht umsonst werden Rootkits, die es auf Windows-Rechner abgesehen haben, unter Sicherheitsexperten als eines der wichtigsten Sicherheitsthemen des Jahres gehandelt».
Fragt man sich dann nicht als Nutzer, warum die Experten, für die das ja eines der wichtigstens Themen ist, warum das Sony BMG-Rootkit nicht entdeckt wurde und wie ist das mit Sicherheitsthemen, die nicht zu den wichtigsten des Jahres gehören?
Vielleicht sollte man Wikipedia zu Rate ziehen, denn dort findet man laut MessageLabs auch die beste Information über Rootkits.
Deutsche müssen XCP am Computer lassen
Ein interessantes Problem wird in Deutschland zur Diskussion gestellt, dort verbietet das neue Urheberrechtsgesetz (UrhG), die Ausserkraftsetzung technischer Kopierschutzmassnahmen:
UrhG § 95a Schutz technischer Massnahmen
(1) Wirksame technische Massnahmen zum Schutz eines nach diesem Gesetz geschützten Werkes oder eines anderen nach diesem Gesetz geschützten Schutzgegenstandes dürfen ohne Zustimmung des Rechtsinhabers nicht umgangen werden, soweit dem Handelnden bekannt ist oder den Umständen nach bekannt sein muss, dass die Umgehung erfolgt, um den Zugang zu einem solchen Werk oder Schutzgegenstand oder deren Nutzung zu ermöglichen.
(2) Technische Massnahmen im Sinne dieses Gesetzes sind Technologien, Vorrichtungen und Bestandteile, die im normalen Betrieb dazu bestimmt sind, geschützte Werke oder andere nach diesem Gesetz geschützte Schutzgegenstände betreffende Handlungen, die vom Rechtsinhaber nicht genehmigt sind, zu verhindern oder einzuschränken. Technische Massnahmen sind wirksam, soweit durch sie die Nutzung eines geschützten Werkes oder eines anderen nach diesem Gesetz geschützten Schutzgegenstandes von dem Rechtsinhaber durch eine Zugangskontrolle, einen Schutzmechanismus wie Verschlüsselung, Verzerrung oder sonstige Umwandlung oder einen Mechanismus zur Kontrolle der Vervielfältigung, die die Erreichung des Schutzziels sicherstellen, unter Kontrolle gehalten wird.
Da die betroffenen CDs aber in Deutschland nicht verkauft worden sind und ein Export aus den USA laut EULA ohenhin verboten ist, dürfte die Frage vorläufig akademisch bleiben.
Geklautes geistiges Eigentum im Kopierschutz?
Eine kleine deutsche Website namens Gulli meldete bereits am 14. November: «Sony-DRM scheint LGPL-Code geklaut zu haben», was, wenn bewiesen, von besonderer Pikanterie wäre, denn es hiesse ja, dass Sony BMG ihr eigenes geistiges Eigentum mit gestohlenem geistigen Eigentum schützt.
Gulli berichtet jedenfalls unter Berufung auf DeWinter.com, dass man in XCP Zeilen aus dem freien LAME-Encoder gefunden habe. Konkret habe man auf der CD «Get Right With The Man» von Van Zant Codezeilen der version.c - Bibliothek von LAME gefunden, was auch durch gefundenen Strings «http://www.mp3dev.org/», «0.90», «LAME3.95», «3.95» und «3.95 » zu belegen sei. Ausserdem enthalte die go.exe der CD ein Array namens largetbl, welches im Modul tables.c von libmp3lame verwendet werde.
Gulli führt weiter aus, dass der Code unter der LGPL (Limited General Public Licence) publiziert worden ist und weitgehend frei - unter Bedingungen - weiter verwendet werden kann. So hätte man unter anderem darauf hinweisen müssen, dass der Code verwendet wird und den Quellcode offen legen.
Gulli legt nach
Drei Tage nach der LAME-Meldung weiss Gulli, dass sich der Hersteller der Sony BMG-DRM-Software XPC, First 4 Internet, nicht nur beim freien Encoder LAME bedient hat, sondern auch Code, der vermutlich aus dem Quellcode des freien Players VLC stammt, in der ECDPlayerControl.ocx gefunden wurde. Damit würde das Programm neben dem DMCA (US-Gesetz «Digital Millenium Copyright Act» auch gegen LGPL und GPL (General Public Licence) verstossen. Ironisch findet Gulli, dass die GPL - Bibliothek drms.c, aus der der Code stammt, vom entschiedenen DRM-Gegner Jon Lech Johansen zusammen mit Sam Hocevar geschrieben wurde.
SunnComm ebenfalls unsicher
Die Electronic Frontier Foundation untersucht inzwischen Information Security Partners LLC (iSEC Partners). Am 29. November meldet iSEC Partners bzw. deren Mitarbeiter Jesse Burns und Alex Stamos, dass die Version 5.0.21.0 der von SunnComm an Sony Bertelsmann gelieferten Sicherheitssoftware MediaMax ebenfalls ein Problemkind darstellt. Wie die Autoren festhalten, haben sie nur diese eine Version, die auf «My Morning Jacket: Z» und «Sara McLachlan Bloom Remix Album» zu finden war getestet und zwar sowohl auf Microsoft Windows XP mit Service Pack 2 als auch unter Windows 2000.
Die Software installiert sich demgemäss automatisch teilweise selbst, so bald die CD in eine Windows-Maschine eingeschoben wird - auch wenn der Nutzer die Enduservereinbarung ablehnt.
Bei dieser Installation wird ein Unterverzeichnis «SunnComm Shared» mit einer Access Control List (ACL), die ein Access Control Entry (ACE) enthält, die praktisch jedem «Full Control» Rechte an diesem Verzeichnis gibt, was, so die Autoren, jedem Prozess, Nutzer oder Netzwerk-Client erlaubt, dieses Verzeichnis zu lesen, zu modfizieren und den Inhalt zu löschen. Sogar Inhaber von Accounts mit sehr wenigen Rechten, die nicht einmal zur Nutzergruppe des Nutzers gehören. Im Effekt erhalten damit auch nicht vertrauenswürdige («untrusted») Nutzer «Full Control» Rechte.
Akzeptiert der Nutzer die Endnutzervereinbarung und wird die Installation vollständig durchgeführt, enthält das dann erstellte Verzeichnis «SunnComm Common» ausführbare Dateien wie etwa MMX.EXE. Diese Datei läuft automatisch ab, sobald eine CD mit MediaMax in den CD-Slot eingeschoben wird. Diese Datei «erbt», so die Sicherheitsexperten, die Sicherheitsschwächen, die bereits durch MediaMax im Verzeichnis «SunnComm Shared» vorgezeichnet wurde.
Das bereits erwähnte ACE ermöglicht auch Nutzern mit niedrigen Rechten, die Datei mit bösartigem Code zu überschreiben. Konkret vergibt es an «Everyone» «Full Control». Theoretisch kann man diese Einstellung mit den von Microsoft mitgelieferten Tools umstellen. Nützt aber nichts, wenn man die CD wieder hören will, denn kaum wird wieder eine CD mit MediaMax eingeschoben, wird sofort wieder auf «Everyone» «Full Control» umgestellt.
New York untersucht
BusinessWeek berichtet am 29. November, dass das «Department of Homeland Security» Sony BMG die Unterminierung der Computersicherheit vorwirft. Zudem soll der Generalanwalt von New York Eliot Spitzer «mystery shopper» ausgesandt haben, die eine Woche nachdem Sony offiziell die Rückziehung der inkriminierten CDs angekündigt hat, in Läden wie Wal-Mart, BestBuy, Sam Goody, Circuit City, FYE und Virgin Megastore diese CDs noch immer kaufen konnten. Auch Spitzer warnte demnach die Konsumenten vor den Sony BMG CDs.
Massachusetts warnt
Der Generalanwalt von Massachusetts Tom Reilly veröffentlicht am 30. November eine Erklärung, dass trotz der Zusage von Sony, die potentiell gefährlichen CDs vom Markt zu nehmen, diese in Boston nach wie vor erhältlich sind. Dabei geht es um die mit XCP versehenden Alben. Reilly teilt zudem mit, dass man eine Untersuchung gegen Sony BMG aufgenommen habe.
Schnellere und bessere Reaktion
Bezüglich MediaMax verkündet SunnComm bereits am 6. Dezember - sogar gemeinsam mit der Electronic Frontier Foundation (EFF) - und natürlich mit Sony BMG, dass SunnComm ein Software-Update verfügbar macht, der die Sicherheitsproble in MediaMax Version 5 behebt. Der Chef-Anwalt der EFF, Kurt Opsahl, zeigt sich erfreut, über die schnelle verantwortungsbewusste Reaktion von Sony und fordert die Konsumenten auf, schnellstens Schritte zu unternehmen um ihren Computer zu schützen.
Und Thomas Hesse von Sony BMG gibt sich sogar dankbar dafür, dass EFF und iSEC auf die Probleme aufmerksam gemacht haben. Er gibt sich überzeugt, dass die Verfügbarkeit des Updates und die Kampagne, die Nutzer auf dessen Verfügbarkeit aufmerksam machen soll, in geeigneter Weise das Problem mit CDs, die bereits auf dem Markt sind und MediaMax 5 enthalten, löst.
EFF weist zudem noch darauf hin, dass sowohl SunnComm als auch die unabhängige Sicherheitsfirma NGS Software festgestellt haben, dass durch das Update die Sicherheitsprobleme völlig behoben seien. NGS Direktor Robert Horton darf noch feststellen, dass man die Sicherheitsprobleme untersucht habe und feststellen können, dass sie nicht ungewöhnlich seien und «easily fixed» indem man das Software-Update aufspielt. Ausserdem sei das Sicherheitsproblem bei SunnComm MediaMax Version 5 anders als das bei der XCP Software von First4Internet.
Auch die Listen mit den betroffenen Titeln in den USA und in Kanada werden von Sony BMG sehr rasch im Internet bereitgestellt.
Alles zurück
Einen Tag später stand zwar die gleiche Meldung auf der Internetseite der EFF, allerdings hatte sich die Überschrift geändert. Statt «SunnComm Makes Security Update Available...» stand da nun «EFF Does Not Recommend Patch at This Time» und der letzte Absatz, in dem EFF und Sony BMG gemeinsam die Nutzer auffordern, den Patch zu installieren, war auch verschwunden.
Was war geschehen? Die Professoren Ed Felten und Alex Halderman, die auf der Webseite «Freedom-to-tinker» zu finden sind, fanden ein neues Problem: Der von Sony BMG freigegebene Patch ist nach den Testergebnissen der beiden unsicher. Es gibt, so die Professoren, einen Weg, auf dem ein Angreifer die Files von MediaMax «verminen» kann, so dass feindselige Software automatisch abläuft, wenn man den MediaMax Patch installiert und laufen lässt.
Am 22. Dezember war der Ratschlag der EFF: Wenn man einen Windows PC nutzt, sollte man den MediaMax Patch nicht nutzen und auch den schon früher freigegebenen MediaMax Uninstaller verwenden. Man sollte keinesfalls CDs, auf denen MediaMax enthalten sind, in das CD-Laufwerk eines PC stecken.
Die EFF sieht das grösste Risiko für Nutzer, die das Lizenzabkommen abgelehnt haben. Denn die, so die elektronischen Konsumentenschützer, wissen wahrscheinlich gar nicht, dass MediaMax bei ihnen teilweise installiert ist. EFF kehrte also zur ursprünglichen Forderung zurück: Sony muss alle diese CDs zurückrufen.
Auch Sony BMG kehrte (zumindest bei MediaMax) zur Urformulierung zurück: «It has come to our attention that a security vulnerability may exist with regard to SunnComm MediaMax Version 5 content protection software contained on certain SONY BMG compact discs.
Für XCP macht man es noch einfacher und hat die Erklärung vom 14. November 2005 im Internet stehen. Mit einem Klick könne man den Uninstaller herunterladen.
Allerdings findet man die Information nur, wenn man danach sucht, denn auf der Startseite von Sony BMG findet man nach wie vor keine Warnung oder ausführliche Informationen. Lediglich am unteren Rand der Seite finden sich zwei Zeilen, die Links darstellen:
«INFORMATION ON XCP CONTENT PROTECTION» lautet die erste und
«INFORMATION ON SUNNCOMM MEDIAMAX CONTENT PROTECTION» die zweite.
Wer also nicht weiss, dass sich hinter diesen Kopierschutzprogrammen allenfalls gefährliches verbirgt - und welcher Musikliebhaber denkt auch an so etwas - wird im Dunkeln gelassen.
Von der versprochenen Informationskampagne findet sich am 23. Dezember 2005 auf der Startseite keinerlei Hinweis. Die Kombination Sony-Bertelsmann wartet wohl lieber die Gerichtsverfahren ab.
Reue bei Sony BMG?
Dabei hatte wenig zuvor noch BBC über ein Interview mit dem Weltchef von Sony BMG Thomas Hesse geschrieben, dass er BBC gesagt habe, dass das Unternehmen seine gegenwärtigen Methoden evaluiere. Allerdings wies Hesse im Interview auch darauf hin, dass für die Tonträgerindustrie die Copyrightverletzungen eine grosse Angelegenheit seien. Es sei aber noch zu früh, zu sagen, was bei dem laufenden Evaluierungsprozess herauskomme.
Illinois warnt vor Sony BMG
Die Generalanwältin von Illinois Lisa Madigan warnt am 8. Dezember vor den Sony BMG CDs mit Kopierschutzsoftware und fordert Konsumenten, die diese CDs gekauft haben, auf, ihre Computer zu schützen. Gleichzeitig teilt sie mit, dass ihr Büro den Fall untersucht und fordert Konsumenten, die mit ihren Computern wegen XCP oder MediaMax Probleme haben, auf, das vorsorglich bereitgestellte Beschwerdeformlar der Behörde zu nutzen.
Rebellion der Musiker?
Bereits am 16. Dezember berichtet VU Net, dass die durch die Aktionen von Sony BMG betroffene Gruppe «My Morning Jacket» Kopien ihrer CDs ohne Kopierschutz an ihre an Fans versendet. Verwunderlich ist das nicht, denn die Diskussionsseite auf der Homepage der Gruppe, die eigentlich der Diskussion über deren Musik gewidmet ist, hat sich fast in ein Forum über den Kopierschutz von Sony BMG verwandelt. Hauptproblem ist die Unmöglichkeit, gekaufte CDs auf iPod zu überspielen. Laut VU Net hat der Bandmanager Mike Martinovich gegenüber dem Musikfachblatt Rolling Stone gefordert, dass Sony BMG den Kopierschutz auf CDs völlig fallen lassen solle.
Die Plattenfirma ATO Records, die «My Morning Jacket» unter Vertrag hat und ihre Titel über BMG vertreibt, stellte schon am 7. Oktober eine Information zum Thema «Our Artists' Music, Copy-Protected CDs and your iPod» ins Netz in der sie darüber informiert, dass weder sie noch ihre Künstler die Erlaubnis zur Verwendung dieser Technlogie gegeben hätten. Allerdings sei der Distributor (BMG) der Meinung, dass er diese Erlaubnis auch nicht benötige. ATO Records versichert den Kunden, dass man dort, wo man etwas zu sagen habe, auf derartige Kopierschutzmechanismen verzichten werden - wie man das schon in der Vergangenheit gemacht habe.
Texanische Klage erweitert
Der Generalanwalt von Texas Greg Abbott hat die inzwischen bekannt gewordene Tatsache, dass sich die Programme teilweise auch dann installieren, wenn der Nutzer den Lizenzvertrag ablehnt, zur Kenntnis genommen und seine Klage am 23. Dezember 2005 entsprechend erweitert.
Ruhe an einer Nebenfront
Nach einem Monat Verhandlungen mit den Anwälten, die verschiedene «Class Action» Klagen - im deutschen Sprachraum gerne mit «Sammelklagen» übersetzt - eingebracht hatten, scheint Sony BMG kurz vor einer Vereinbarung mit diesen Anwälten zu stehen. Die vorgeschlagene Vereinbarung, die ein Richter am 6. 1. 2006 begutachten wird, sieht u. a. vor:
-- Besitzer von CDs mit XCP erhalten eine Ersatz-CD ohne dem inkriminierten Programm,
-- einen Schadenersatz von US$ 7,50 und den
-- Gratisdownload eines Albums von Sony BMG über einen Online Musikdienst.
Wer auf das Geld keinen Wert legt, darf statt dessen auch drei Alben herunter laden.
-- Besitzer von CDs mit MediaMax erhalten ebenfalls eine Ersatz-CD und den
-- Gratisdownload eines Albums von Sony BMG über einen Online Musikdienst.
-- Bargeld ist für die Käufer von CDs mit MediaMax nicht vorgesehen.
-- Sony BMG darf XCP und MediaMax nicht mehr verwenden und
-- muss Programme zur Verfügung stellen, mit denen die Kunden ihre PCs reinigen können.
-- Sony BMG wird selbst verpflichtet, alle Fehler, die durch von Sony BMG genutzte Kopierschutzprogramme (auch in Zukunft!) entstehen können.
-- Sony BMG muss die Methode des Kopierschutzes grundlegend ändern und alle derart geschützten CDs klar und deutlich kennzeichnen.
-- Eine allenfalls verwendete neue Kopierschutzmethode muss von unabhängigen Experten überprüft werden.
Die Klagen durch den Generalanwalt von Texas und die möglicherweise noch kommenden Klagen anderer Generalanwälte sind von diesem Vergleich nicht berührt.
Linkliste zum Thema:
Dieser Artikel ist ein «Work in Progress», wird also jeweils bei Eintritt neuer Ereignisse überarbeitet.
Letzte Überarbeitung: Montag, 2. Januar 2006
© 2005-2006 by Mobile Times |