Misbrug af rootkit til kopibeskyttelse

Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Sonys brug af rootkit-teknologi til at forhindre piratkopiering viser, at hvis en teknologi kan misbruges, vil den blive det. Det skriver chefkonsulent Preben Andersen fra DK-CERT i sin månedlige klumme.

Pladeselskabet Sony BMG havde en uønsket hovedrolle i novembers mest omtalte historie inden for it-sikkerhed. Sikkerhedsforskere opdagede, at firmaet i sit forsøg på at forhindre piratkopiering anvendte metoder, som man hidtil kun har set hackere bruge.

Balladen begyndte i slutningen af oktober, da Mark Russinovich i sin blog offentliggjorde, at han havde fundet et hidtil ukendt rootkit på sin pc.

Driver blev indlæst
Han havde brugt programmet Rootkitrevealer, der undersøger, om programmer bruger forskellige kendte metoder til at skjule sig. Det viste sig, at der blev indlæst en driver, som automatisk skjulte alle processer, hvis navn begyndte med tegnene $sys$.

Yderligere undersøgelser viste, at driveren var blevet installeret, da han afspillede musik-cd'en "Get Right with the Man" med Van Zant. Den kunne kun afspilles i pc'en ved hjælp af et afspilningsprogram, der lå på cd'en. Men ved samme lejlighed havde pladeselskabet Sony BMG altså installeret den rootkit-lignende driver.

Den teknologi, som Sony BMG anvender, hedder XCP (Extended Copy Protection). Den kommer fra det engelske firma First 4 Internet.

Blev misbrugt
Mark Russinovich og andre sikkerhedsforskere gjorde opmærksom på, at et ukendt antal pc'er nu er udstyret med et stykke software, som kan bruges til at skjule processer og filer. De advarede om, at hackere og forfattere af virus og orme ville kunne udnytte den viden. Og ganske rigtigt: Kort tid efter offentliggørelsen kom de første eksempler på trojanske heste, der benyttede XCP-driveren til at skjule sig.

Hackere demonstrerede også, at de kunne udnytte teknologien. Således blev den brugt til at skjule et program, som hackere anvender til at snyde i onlinespillet World of Warcraft. Spillets udviklere kører et overvågningssystem, der skal fange forsøg på snyd, men XCP-driveren kan bruges til at skjule snydeprogrammet med, så overvågningen ikke opdager det.

Efter et par ugers stormvejr valgte Sony BMG at trække teknologien tilbage – men dog kun foreløbigt. Firmaet har også tilbudt at bytte cd'er med XCP til rene cd'er.

Usikker ActiveX
Men her var balladen ikke slut. Sony BMG tilbød en metode til at fjerne XCP fra pc'er, som det var installeret på. Men den metode installerede til gengæld en sårbar ActiveX-kontrol på brugerens pc. Igen kom firmaet igennem sikkerhedseksperternes kødhakker.
Endvidere er der varslet flere retssager med krav om erstatning. Således har statsanklageren i Texas anlagt sag mod pladeselskabet. Også Electronic Frontier Foundation har anlagt sag.

Hele affæren er foreløbig endt som et gigantisk blåt øje for Sony BMG. Men der er også en sikkerhedsmæssig lektie, vi kan lære af forløbet: Hvis det er muligt at misbruge en teknologi, så vil den blive misbrugt. Rootkit-teknologien er skabt af hackere til brug for hackere. Den har ikke noget at gøre i et pladeselskabs forsøg på at forhindre kopiering af ophavsretsbeskyttet materiale.

Oprindelig bragt på Computerworld Online den 25. november 2005

 

LINKS

Mark Russinovichs oprindelige blog-indlæg om fænomenet
Electronic Frontier Foundations gennemgang af sagen med link til sagsanlægget

Keywords: