Rootkit – Sonys digitaler Hausfriedensbruch

Für unseren Vortrag auf dem 22. Chaos Communication Congress zum Thema „Sonys digitaler Hausfriedensbruch“ haben wir uns mal die Entwicklungen rund um das Sony Rootkit in den letzten zwei Monaten angeschaut und eine Zeitleiste erstellt. - unabhängig & kritisch dank Euch.

Hier findet Ihr mehr:

=== Hintergrund ===

23. August 2000 The Register: We will block Napster at source – Sony exec

Der Vizepräsident von Sony Pictures Entertainment, Steve Heckler, im Jahre 2000 auf einer Konferenz:

„The industry will take whatever steps it needs to protect itself and protect its revenue streams…It will not lose that revenue stream, no matter what…Sony is going to take aggressive steps to stop this. We will develop technology that transcends the individual user. We will firewall Napster at source – we will block it at your cable company, we will block it at your phone company, we will block it at your [ISP]. We will firewall it at your PC…These strategies are being aggressively pursued because there is simply too much at stake.“

=== Was ist ein Rootkit ===

Aus Wikipedia:

Ein Rootkit /ru:tkit/ (englisch etwa „Adminausrüstung“) ist eine Sammlung von Softwarewerkzeugen, die nach dem Einbruch in ein Computersystem auf dem kompromittierten System installiert werden, um zukünftige Logins des Eindringlings zu verbergen, Prozesse zu verstecken, Daten zu kopieren und Eingaben mitzuschneiden …

=== Die Vorläufer der Markteinführungskampagne ===

31.05.2005 – Heise: Sony BMG: „Sterile“ Audio-CDs sollen illegale Kopien verhindern

„Die Kopiersperre richtet sich in erster Linie gegen Gelegenheitskopierer, entsprechend betont F4i bereits in der Produktbeschreibung, dass das Verfahren keinen hundertprozentigen Schutz gewährleistet. Es gehe lediglich darum, dem gewöhnlichen Anwender das Kopieren zu erschweren.“

=== Das Rootkit erblickt medial die Welt ===

31.10.2005 – Mark Russinovich bloggt über seine Entdeckung: Sony, Rootkits and Digital Rights Management Gone Too Far

BoingBoing berichtet am gleichen Tag darüber: Sony DRM uses black-hat rootkits

Heise einen Tag später: Sony BMGs Kopierschutz mit Rootkit-Funktionen

=== Der erste Patch ===

2.11.2005 – BoingBoing: Sony releases de-rootkit-ifier, lies about risks from rootkits


November 2, 2005 – This Service Pack removes the cloaking technology component that has been recently discussed in a number of articles published regarding the XCP Technology used on SONY BMG content protected CDs. This component is not malicious and does not compromise security. However to alleviate any concerns that users may have about the program posing potential security vulnerabilities, this update has been released to enable users to remove this component from their computers. “

3.11.2005 – BBC: Sony slated over anti-piracy CD

Mathew Gilliat-Smith, chief executive of First 4 Internet, said that users were adequately warned about the copy protection software in the licence agreement and were told that it used proprietary software to play the CD. „It’s clearly packaged on the CD that its copy-protected,“ he said. A spokesman for Sony BMG said the licence agreement was explicit about what was being installed and how to go about removing it. It referred technical questions to First 4 Internet. Mr Gilliat-Smith said Mr Russinovich had problems removing XCP because he tried to do it manually something that was not a „recommended action“. Instead, said Mr Gilliat-Smith, he should have contacted Sony BMG which gives consumers advice about how to remove the software.“

3.11.2005 – The Register: Hidden DRM code’s legitimacy questioned

„The protection software simply acts to prevent unlimited copying and ripping from discs featuring this protection solution,“ Sony BMG said in a statement posted on its site. „It is otherwise inactive. The software does not collect any personal information nor is it designed to be intrusive to your computer system.“

3.11.2005 – Heise: Uninstaller für Sony BMGs Kopierschutz-Rootkit

“Der Uninstaller kann über ein Kontaktformular angefordert werden. Die Software putzt den Kopierschutz angeblich rückstandsfrei von der Platte; Sony BMG behauptet aber, dass danach die CD, die den Kopierschutz installierte, mit dem Computer nicht mehr zu benutzen sei. In einer FAQ zum Kopierschutz äußern sich Sony BMGs Marketingstrategen weiter, dass der Kopierschutz keine Mal- oder Spyware sei, sondern ausschließlich ein unbegrenztes Kopieren der CD verhindere und anderweitig inaktiv sei. Gemäß der Definition von Spyware der Antispywarecoalition erscheint dies aber nicht sehr stichhaltig; auch vor dem Hintergrund, dass der Kopierschutz offenbar auf einigen Systemen zum gefürchteten Blue Screen of Death führte, dürfte sich Sony BMG mit solchen Anmerkungen einen Bärendienst erweisen.“

=== Der Patch im Test ===

3.11.2005 – Ed Felten im Freedom to Tinker-Blog: SonyBMG and First4Internet Release Mysterious Software Update

“The update is more than 3.5 megabytes in size, and it appears to contain new versions of almost all the files included in the initial installation of the entire DRM system, as well as creating some new files. In short, they’re not just taking away the rootkit-like function — they’re almost certainly adding things to the system as well. And once again, they’re not disclosing what they’re doing.

No doubt they’ll ask us to just trust them. I wouldn’t. The companies still assert — falsely — that the original rootkit-like software „does not compromise security“ and „[t]here should be no concern“ about it. So I wouldn’t put much faith in any claim that the new update is harmless. And the companies claim to have developed „new ways of cloaking files on a hard drive“. So I wouldn’t derive much comfort from carefully worded assertions that they have removed „the … component .. that has been discussed“.“

=== Zweitverwertungen des Rootkits ===

3.11.2005 – SecurityFocus:World of Warcraft hackers using Sony BMG rootkit

Ein Cheating-Tool für WorldofWarcraft nutzt Rootkit-Code:

“World of Warcraft hackers have confirmed that the hiding capabilities of Sony BMG’s content protection software can make tools made for cheating in the online world impossible to detect. The software–deemed a „rootkit“ by many security experts–is shipped with tens of thousands of the record company’s music titles. Blizzard Entertainment, the maker of World of Warcraft, has created a controversial program that detects cheaters by scanning the processes that are running at the time the game is played. Called the Warden, the anti-cheating program cannot detect any files that are hidden with Sony BMG’s content protection, which only requires that the hacker add the prefix „$sys$“ to file names.“

=== Wer weiss schon, was ein Rootkit ist? ===

4.11.2005 – NPR: Sony Music CDs Under Fire from Privacy Advocates

“In an interview with NPR late last week, Sony BMG’s Global Digital Business President Thomas Hesse downplayed the recent DRM fiasco saying he objected to terms such as malware, spyware and rootkit. „Most people, I think, don’t even know what a rootkit is, so why should they care about it?“ he said. Hesse acknowledged that the controversial First 4 Internet technology that installs and „cloaks“ the DRM software without a user’s permission shipped on about 20 CDs. But „no information ever gets gathered about the user behavior,“ he claimed. „This is purely about restricting the ability to burn MP3 files in an unprotected manner.““

=== Das Rootkit telefoniert nach Hause ===

8.11.2005 – Heise: Sony BMGs CD-Player-Software telefoniert nach Hause

“Die dabei übertragenen Daten wie Uhrzeit, IP-Adresse und Album-ID gäben Sony BMG die Möglichkeit, Nutzungsprofile zu erstellen. First 4 Internet, die den XCP-Kopierschutz für Sony BMG entwickelt, wiegelt jedoch gegenüber Mark Russinovich ab, dass diese Funktion lediglich der Übertragung von Bannern dient und nicht anderweitig verwendet würde.“

Aber keine Angst: Das kommt nicht nach Deutschland

=== Betroffene CDs ===

9.11.2005 – EFF: Are You Infected by Sony-BMG’s Rootkit?

EFF veröffentlicht erste Liste von betroffenen CDs und bittet um Hilfe bei der Suche nach weitere. Dazu startet die EFF eine Anfrage für eine Sammelklage gegen SonyBMG.

=== Die Rootkit-Eula ===

9.11.2005 – EFF: Now the Legalese Rootkit: Sony-BMG’s EULA

Fred von Lohmann von der EFF hat sich mal genauer die EULA angeschaut:

Now compare that baseline with the world according to the Sony-BMG EULA, which applies to any digital copies you make of the music on the CD:

1. If your house gets burgled, you have to delete all your music from your laptop when you get home. That’s because the EULA says that your rights to any copies terminate as soon as you no longer possess the original CD.

2. You can’t keep your music on any computers at work. The EULA only gives you the right to put copies on a „personal home computer system owned by you.“

3. If you move out of the country, you have to delete all your music. The EULA specifically forbids „export“ outside the country where you reside.

4. You must install any and all updates, or else lose the music on your computer. The EULA immediately terminates if you fail to install any update. No more holding out on those hobble-ware downgrades masquerading as updates.

5. Sony-BMG can install and use backdoors in the copy protection software or media player to „enforce their rights“ against you, at any time, without notice. And Sony-BMG disclaims any liability if this „self help“ crashes your computer, exposes you to security risks, or any other harm.

6. The EULA says Sony-BMG will never be liable to you for more than $5.00. That’s right, no matter what happens, you can’t even get back what you paid for the CD.

7. If you file for bankruptcy, you have to delete all the music on your computer. Seriously.

8. You have no right to transfer the music on your computer, even along with the original CD.

9. Forget about using the music as a soundtrack for your latest family photo slideshow, or mash-ups, or sampling. The EULA forbids changing, altering, or make derivative works from the music on your computer.

=== Microsoft is not amused ===

9.11.2005 – eWeek: Microsoft ‚Concerned‘ by Sony DRM

““We have invested considerable resources in the security of our products and processes. As such, we are concerned about any malware, including root kits, which targets our customers and negatively impacts the security, reliability and performance of their systems,“ the spokesperson said.“

=== Die ersten Verbraucherschutzklagen ===

10.11.2005 – BBC: Sony sued over copy-protected CDs

“One filed in Los Angeles by Californian attorney Alan Himmelfarb wants to stop Sony BMG selling more CDs protected by anti-copying software and seeks damages for Californians that have bought any albums protected this way. According to a report in the Washington Post the lawsuit alleges that Sony BMG has broken three Californian laws. At the same time New York lawyer Scott Kamber is planning a class-action lawsuit for all Americans affected.“

=== Auch Macs sind betroffen ===

10. Dezember 2005 – BoingBoing: Sony Music CDs infect Macs, too

“Simon sez, „On Macintouch today, Darren Dittrich reports that Sony’s DRM software targets Macs too. Digging into the „enhanced“ content on the disk, he found a that, when run, shows a license agreement, then asks you for an admin password. On entering this, it installs two kernel extensions, PhoenixNub1.kext and PhoenixNub12.kext.“ Note that these aren’t the rootkits that infect Windows PCs — Sony’s Mac crippleware comes from a different vendor called Suncomm.“

=== Doch in Deutschland? ===

10.11.2005 – Tagesschau: Sony BMG will auch in Europa Kopierschutz einführen

dpa berichtet, dass Sony das Rookit auch nach Deutschland bringen will:

“Sony BMG will sein umstrittenes Kopierschutzverfahren für Musik-CDs im Laufe des nächsten Jahres auch in Europa einführen. „Mit diesem Schritt möchte Sony BMG das Kopieren für den persönlichen Gebrauch regulieren und dem Käufer gleichzeitig die Möglichkeit zum Kopieren geben“, teilte Sony BMG Continental Europe mit. Dass sich die Käufer damit möglicherweise ein unerwünschtes Computerprogramm einhandeln, wurde nicht ausdrücklich erwähnt.“

“Sony bestreitet dies. Die von dem Technologie-Unternehmen First 4 Internet entwickelte Software enthalte lediglich normale Kopierschutz-Techniken und lasse sich auch nicht, wie teilweise berichtet, von Viren-Schreibern illegal missbrauchen. Der Installation der Dateien stimme der Nutzer mit dem Lizenzvertrag ausdrücklich zu. „Wir möchten es den Konsumenten ermöglichen, private Kopien anzufertigen“, sagte Europa-Chef Maarten Steinkamp. Zu diesem Thema habe es bislang viele Missverständnisse gegeben. Das Digitale Rechtemanagement DRM sei derzeit das beste und sinnvollste Verfahren, um das geistige Eigentum des Unternehmens und das der Künstler zu verwalten, so der Sony-Manager. „Es ist klar, dass wir in Europa nur Technologien einsetzen, die für den Käufer sicher und fehlerfrei sind“, sagte Steinkamp.“

10.11.2005 – Heise: Sony BMG: Kopierschutzpläne für Deutschland

“Gegenüber heise online äußerte Katja Neese von Sony BMG allerdings, dass überhaupt noch nicht klar sei, welcher Kopierschutz in Deutschland zum Einsatz kommen soll. Sony BMG wolle in der Tat den Spagat zwischen nicht existierendem „Recht auf Privatkopie“ und dem Schutz des geistigen Eigentums wagen, indem durch den einzuführenden Kopierschutz eine begrenzte Anzahl privater Kopien zugelassen werde.“

=== Kollateralschäden: Schlechter Sound und Trojaner-Eigenschaften ===

10.11.2005 – Netzwelt: Streit um Sony-CDs geht weiter

„‚Wenn ein Nutzer eines mit dem Kopierschutz ausgestatteten Systems versucht, MP3s einer Audio-CD zu erstellen, dann fügt die Software nach dem Zufallsprinzip Lärm in die Aufnahmen ein. Laut CA passiert dies auch bei CDs, die gar nicht mit dem XCP-Kopierschutz ausgestattet sind. CA klassifiziert den Kopierschutz offiziell als Trojaner. Die firmeneigene Pestpatrol-Software entfernt XCP deshalb von betroffenen Systemen.“

=== Vermutungen über eine Urheberrechtsverletzung der LGPL ===

10.11.2005 – Brenno de Winter: Spyware Sony seems to breach copyright

“This discovery can have far-stretching consequences for the music giant, who claims only to protect copyrights. Previously, judges in Germany already forced various companies to release source code to the public and to deliver the goods necessary for compiling. It is also possible to demand financial compensation for damages.“

11.11.2005 – Harald Welte: Sony Rootkit allegedly is an LGPL license violation

“Some of you might have already read it, Sony distributes a ‚rootkit‘ with their DRM-encumbered ‚copy protected‘ CDs. This basically allows Sony to control your computer, once you’ve intalled the software contained on on of their audio cd’s. While this in itself is already a security nightmare (especially since they don’t inform and/or warn the user about this), it gets even worse: According to a number of sources, this software even contains a statically linked version of the LGPL licensed liblame homepage. I guess this gives a really strong measure: In order to protect our valuable copyright on proprietary music, we don’t give anything about the copyright of others, such as authors of free software.“

=== Die Krisenkommunikation beginnt: Auslieferungstop ===

11.11.2005 – BoingBoing: Sony will stop shipping infectious CDs — too little, too late

Sony verkündet Auslieferungsstop, allerdings keine Rückrufaktion. 11 Tage nach Bekannt werden…

Aus einer Yahoo-Meldung:

“Sony defended its right to prevent customers from illegally copying music but said it will halt manufacturing CDs with the „XCP“ technology as a precautionary measure. „We also intend to re-examine all aspects of our content protection initiative to be sure that it continues to meet our goals of security and ease of consumer use,“ the company said in a statement.“

=== Das Selbstverteidigungs-Kit ===

11.11.2005 – Freedom to Tinker: SonyBMG DRM Customer Survival Kit

Having followed these instructions, you will then have a copy of the CD that is unencumbered by copy protection. You can then proceed to make any lawful use of the music, including ripping it into iTunes and downloading it onto your iPod. You read that correctly — SonyBMG, which is willing to surreptitiously install a rootkit on your computer in the name of retarding copying of their music, will send, to anyone who asks, detailed instructions for making an unprotected copy of that same music.

=== Der Heimatschutz greift ein ===

11.11.2005 – DHS Official Weighs In on Sony

Stewart Baker, stellvertretende Minister der Heimatschutzbehörde:

„I wanted to raise one point of caution as we go forward, because we are also responsible for maintaining the security of the information infrastructure of the United States and making sure peoples‘ [and] businesses‘ computers are secure. … There’s been a lot of publicity recently about tactics used in pursuing protection for music and DVD CDs in which questions have been raised about whether the protection measures install hidden files on peoples‘ computers that even the system administrators can’t find.“

In a remark clearly aimed directly at Sony and other labels, Stewart continued: „It’s very important to remember that it’s your intellectual property — it’s not your computer. And in the pursuit of protection of intellectual property, it’s important not to defeat or undermine the security measures that people need to adopt in these days.

=== De-Installationsprogramm deinstalliert gar nicht ===

13.11.2005 – BoingBoing: Sony’s malware uninstaller leaves your computer vulnerable

Finnischer Hacker findet heraus:

„The ActiveX component that is required for the uninstallation of Sony’s DRM system is scriptable by everyone, and allows at least rebooting the system in a trivial fashion (see demo on the site) with a few lines of html and javascript. There’s possibly more to it, since it leaves methods such as ‚InstallUpdate‘ and ‚ExecuteCode‘ on the system, again scriptable by anyone and everyone. Virus writers will love this stuff.“

=== Rückruf einiger CDs ===

14.11.2005 – USA-Today: Sony to pull controversial CDs, offer swap

Sony kündigt an, einige betroffene CDs zurück zu rufen und Umtausche ermöglichen zu wollen.

„Sony BMG deeply regrets any inconvenience to our customers and remains committed to providing an enjoyable and safe music experience,“ the company said.

=== Der Uninstaller ist richtig gefährlich ===

14.11.2005 – Freedom to Tinker: Don’t Use Sony’s Web-based XCP Uninstaller

“Alex Halderman and I have confirmed that Sony’s Web-based XCP uninstallation utility exposes users to serious security risk. Under at least some circumstances, running Sony’s Web-based uninstaller opens a huge security hole on your computer. We have a working demonstration exploit. … In the meantime, we recommend strongly against downloading or running Sony’s Web-based XCP uninstaller.“

=== 568,200 betroffene Netzwerke? ===

15.11.2005 – Wired: Sony Numbers Add Up to Trouble

Dan Kaminsky fragte mehr als 3 Millionen DNS-Server im Netz an, ob sie die Adressen, und in ihrem Speicher vorrätig haben. 568,200 DNS-Server gaben zurück, dass sie mindestens eine der Adressen im Speicher vorrätig hatten.

Mit anderen Worten: Mehr als 568.200 Rechner sind mindestens infiziert!

=== Nach 3 Tagen: Uninstaller wird zurück gezogen ===

15.11.2005 – Sony Uninstall Webseite

Drei Tage nach Bekannt werden einer kritischen Sicherheitslücke im Uninstaller, zieht Sony die Software aus dem Verkehr.

“November 15th, 2005 – We currently are working on a new tool to uninstall First4Internet XCP software. In the meantime, we have temporarily suspended distribution of the existing uninstall tool for this software. We encourage you to return to this site over the next few days. Thank you for your patience and understanding.“

=== Sony-CDs an den ersten Unis und Regierungsbehörden verboten ===

16.11.2005 – BoingBoing: Sony CDs banned in the workplace

Die Nutzung von Sony-CDs an Computern werden an den ersten Unis und Regierungsbehörden aus Sicherheitsgründen verboten.

=== Am 17.November gibts immer noch Tipps zum installieren ===

17.11.2005 – BoingBoing: Sony still advising public to install rootkits

BoingBoing berichtet, dass am 17. November immer noch auf der Sony-Webseite Tipps und Tricks zu finden sind, wie man das Rootkit installiert:

“To install the software on this disc, you must have Administrator rights on your computer. Administrator rights are typically the default setting for home computers, however, in many work environments it is not the default setting. If you do not have Administrator rights, log out of your account and log in as an Administrator.

Auch am 22. November war diese Seite immer noch so online. Seitdem gibt es den Hinweis, vor der Installation erstmal das De-Installationstool zu starten.

=== Das Versagen der Security-Firmen ===

17. November – Bruce Schneier: Sony’s DRM Rootkit: The Real Story

“What do you think of your antivirus company, the one that didn’t notice Sony’s rootkit as it infected half a million computers?“

“The only thing that makes this rootkit legitimate is that a multinational corporation put it on your computer, not a criminal organization.“

=== MediaMax: Noch ein Uninstaller verkackt ===

17. November – Freedom to Tinker: Not Again! Uninstaller for Other Sony DRM Also Opens Huge Security Hole

“If you visit the SunnComm uninstaller web page, you are prompted to accept a small software component—an ActiveX control called AxWebRemoveCtrl created by SunnComm. This control has a design flaw that allows any web site to cause it to download and execute code from an arbitrary URL.“

=== MP3s für alle? ===

19. November 2005 – BoingBoing: Welcome to the Sony BMG XCP Exchange Program

Heimlich, still und leise gibt es ein Umtauschprogramm von Sony. Die grosse Überraschung ist, dass sie zusätzlich zu CDs ohne den XCP-Kopierschutz den betroffenen Kunden MP3s anbieten.

=== Sony BMG: „Wir haben uns blamiert“ ===

19. November 2005 – Die Welt: „Der Blues ist vorbei“
21. November 2005 – Heise: Sony BMG: „Wir haben uns blamiert“

DIE WELT: Mit der Idee, einen neuen CD-Kopierschutz in den USA einzuführen, hat sich Sony BMG ziemlich blamiert. Steht das Gleiche in Europa zu befürchten?

Sony-BMG-Europa-Chef Maarten Steinkamp: „Sony BMG hat sich nicht nur ziemlich, sondern sehr blamiert. Das ist schade, denn im Grunde war der Ansatz, die freie Verfügbarkeit unserer Musik auf irgendeine Art und Weise regulieren zu wollen, genau richtig. Also eine gute Idee, aber eine schlechte Umsetzung. Ich möchte nochmal betonen, daß wir in Europa kein Produkt mit diesem Kopierschutzsystem produziert haben und auch keines damit produzieren werden.“

=== RIAA findet Rootkits anscheinend normal ===

20. November – Malbella: RIAA President to stop downloading, save the empire

Cary Sherman am 18. November in einer Online-Pressekonferenz: “They have apologized for their mistake, ceased manufacture of CDs with that technology,and pulled CDs with that technology from store shelves. Seems very responsible to me. How many times that software applications created the same problem? Lots. I wonder whether they’ve taken as aggressive steps as SonyBMG has when those vulnerabilities were discovered, or did they just post a patch on the Internet?“

Wieviele Firmen installieren bewusst ein Rootkit auf den Rechnern ihrer Kunden?

=== Flügelkämpfe bei Sony? ===

20. November 2005 – BoingBoing: Sony insider: DRM is discredited at Sony

Cory Doctorow berichtet über Insiderinformationen, wonach es bei SonyBMG grossen Streit um die Nutzung von DRM gibt.

=== Erste Klagen gegen Sony ===

21. November – EFF Files Class Action Lawsuit Against Sony BMG
21.November 2005 – Staat Texas: Attorney General Abbott Brings First Enforcement Action In Nation Against Sony Bmg For Spyware Violations

Die EFF strengt gegen Sony eine Sammelklage an. Darin wird SonyBMG vorgeworfen, mit 20 Millionen verkauften CDs, welche mit dem Rootkit ausgeliefert wurden, die Privatsphäre der Verbraucher verletzt und ihre Computer beschädigt zu haben. Texas eröffnet ebenfalls Klage und will 100k US$ für jeden Vorfall.

=== Erste Bibliotheken erwerben keine Sony-CDs mehr ===

21. November – Blog: Sony rootkit music off the Ann Arbor District Library’s purchase list]

=== Microsoft sagt: Trusted Computing sucks! ===

21. November – CNet (John Borland): Who has the right to control your PC?

Andrew Moss, Microsofts Senior Director of technical policy: “A personal computer is called a personal computer because it’s yours. Anything that runs on that computer, you should have control over.“

=== Vergleich von XCP und MediaMax ===

22. November – Jiri Baum: Sony BMG – malware feature comparison

Sehr netter Vergleich der Funktionalitäten der beiden eingesetzten Kopierschutztechnologien

=== First4Internet nimmt Webseite vom Netz ===

24.November 2005 – BoingBoing: Rootkit arms-dealer takes website down

Der Hersteller des XCP-Rootkits, First4Internet, nimmt seine Webseite aus dem Netz und ersetzt sie durch eine Kontaktseite.

=== Die Zeit kommentiert das Rootkit ===

22. November 2005 – Die Zeit: Sony-Piraten

“Vielleicht hat Sony aber nur Pech gehabt, indem es beim Hacken seiner Kunden ertappt worden ist. Etliche andere Musikfirmen erproben ähnlich trickreiche Methoden, um ihre CDs vor dem Kopieren oder dem Übertragen auf tragbare Geräte wie iPods zu schützen. Digital Restrictions Management (DRM) ist dafür das Fachwort, und eine Fülle (inkompatibler) Lösungen und Teil-Standards existiert dafür inzwischen. DRM ist längst Bestandteil von Computer-Betriebssytemen wie Windows, so dass Firmen wie Microsoft eine wesentliche Kontrolle über die Mediennutzung ihrer Kunden erhalten. Hardware-Hersteller wie IBM/Lenovo haben begonnen, „Sicherheitschips“ in neue Computer einzubauen, die auch im Dienste des Kopierschutzes verwendet werden können. Besonders übel ist der Umstand, dass die meisten Programme spitzeln – sie informieren Sony oder Microsoft, wenn sich jemand eine bestimmte CD anhört. Ein anderes Problem besteht darin, dass viele DRM-Techniken legitime Nutzungen der Musik verbieten, wie etwa das Abspielen auf einem iPod.“

=== Die Vorgeschichte des Rootkits ===

27. November 2005 – BoingBoing: Pre-history of the Sony rootkit

Der Domaininhaber von First4Internet fragte schon im Jahre 2003 in einer Newsgroup an, wie man in Computer einbrechen könnte:

Is there a way that I can get the CDAUDIO filter driver example in the
DDK to load and unload dynamically? I have used the addfilter app in the
DDK to install it but the driver does not load until the next reboot.

Und man findet noch mehr in Newsgroups

=== MediaMax lässt keine Wahl! ===

28. November – Freedom to Tinker: MediaMax Permanently Installs and Runs Unwanted Software, Even If User Declines EULA

=== Rootkit-Autoren fragten nach freiem Code in Newsgroup ===

28.November 2005 – BoingBoing: Sony rootkit author asked for free code to lock up music

„I know it sounds like I am just after some free code due to my laziness but I really dont have the time and I am serious about the cash – I really need this functionality!“

=== Sony wusste Bescheid ===

29. November – BusinessWeek: Sony BMG’s Costly Silence

Sony wusste bereits am 8. Oktober Bescheid und hat nicht reagiert.

=== NY vs. Sony ===

30. November 2005 – Heise: New Yorker Staatsanwalt hat Sony BMGs Kopierschutz im Visier

Der New Yorker Staatsanwalt Eliot Spitzer will gegen SonyBMG vorgehen:

„Es ist nicht hinnehmbar, dass mehr als drei Wochen nach Entdeckung der schwerwiegenden Sicherheitsprobleme in der Haupteinkaufszeit des Jahres weiterhin solche CDs gekauft werden können“

Weitere Informationen aus dem Artikel:

“Am 20. Oktober hat First4Internet laut Business Week in einer Telefonkonferenz behauptet, es gebe kein großes Problem, da nur wenige Menschen über die durch XCP entstehenden Sicherheitslücken wüssten. Ein für 2006 geplantes Update könne die Probleme für alle künftig kopiergeschützten CDs beheben. Mitarbeiter von F-Secure äußern den Eindruck, Sony BMG sei bemüht gewesen, die Angelegenheit nicht hochkochen zu lassen, was das Plattenlabel natürlich bestreitet. Es habe im Gegenteil alle möglichen Schritte eingeleitet und zum Beispiel ein Software-Update angeboten.

=== Software klauen Teil 2: DRMS ===

5. Dezember – Freedom to tinker: Hidden Feature in Sony DRM Uses Open Source Code to Add Apple DRM

Die Freie Software DRMS ist im Rootkit gefunden worden. Dies ist der zweite Diebstahl „Geistigen Eigentums“, um „Geistiges Eigentum“ zu schützen… Man muss sich das mal vorstellen: Der Medienkonzern Sony verklagte in der Vergangenheit DVD Jon wegen DE-CSS, um jetzt seine neuen Tools zu nutzen, um ihr „Eigentum“ zu verteidigen. Bizarre Welt.

=== Sony braucht 65 Tage für Uninstaller ===

6. Dezember – Boing Boing: Sony *finally* releases rookit uninstaller — sort of

“Please be advised that this program is protected by all applicable intellectual property and unfair competition laws, including patent, copyright and trade secret laws, and that all uses, including reverse engineering, in violation thereof are prohibited.“

=== Musiker werden sauer ===

6. Dezember 2005 – New York Times: Buy, Play, Trade, Repeat

DAMIAN KULASH Jr., Sänger der Band OK Go hat ein Editorial für die NYT geschrieben:

“Conscientious fans, who buy music legally because it’s the right thing to do, just get insulted. They’ve made the choice not to steal their music, and the labels thank them by giving them an inferior product hampered by software that’s at best a nuisance, and at worst a security threat. As for musicians, we are left to wonder how many more people could be listening to our music if it weren’t such a hassle, and how many more iPods might have our albums on them if our labels hadn’t sabotaged our releases with cumbersome software.“

=== Mediamaxx-Uninstiller öffnet weitere Sicherheitslöcher ===

7. Dezember 2005 – Freedom to Tinker: MediaMax Bug Found; Patch Issued; Patch Suffers from Same Bug

“SonyBMG has released a patch that purports to fix the problem. However, our tests show that the patch is insecure. It turns out that there is a way an adversary can booby-trap the MediaMax files so that hostile software is run automatically when you install and run the MediaMax patch. […] The previously released MediaMax uninstaller is also insecure in the same way, allowing an adversary to booby-trap files so that hostile software is run automatically when you try to use the uninstaller.“

=== Weiterhin Kopierschutz bei SonyBMG? ===

9. Dezember 2005 – BBC News: Sony BMG repents over CD debacle

Wieder Thomas („Wer kennt schon Rootkits?“) Hesse:

„The key point to remember is that copyright infringement is a huge issue for the recording industry as a whole and that’s where we came from originally,“

=== Musiker verschicken selbstgebrannte CDs ===

13. Dezember 2005 – Rolling Stone Magazine: Copy-Protection Troubles Grow

“Artist managers have been vocal in their opposition to the use of copy-protection software. „I just don’t think that this is the answer to the problem that they think exists,“ says the manager of one veteran artist affected by the XCP software. Mike Martinovich, manager for My Morning Jacket, says that even before the revelation of MediaMax’s security problems, his company had been mailing burned, unprotected copies of MMJ’s new album Z to fans who complained that MediaMax prevented them from transferring songs to their iPods. „It should have been enough that fans are annoyed,“ he says. „But this should be the final reason.“

=== Patchday: Microsoft veröffentlicht „Malicious Software Removal Tool“ ===

13. Dezember 2005 – Heise: Microsoft-Tool entfernt Rootkit von Sony BMG [Update]

Microsoft veröffentlicht „Malicious Software Removal Tool“, um XCP auf Windows-Rechnern zu entfernen. Heise testet die Software und schreibt, dass sie funktioniert. In einem Test der CT finden keiner der 15 getesteten Virenscanner das Rootkit.

=== HowTo: Selber DRM-CDs herstellen ===

14. Dezember 2005 – Freedom to Tinker: Make Your Own Copy-Protected CD with Passive Protection

Eine detaillierte Anleitung fürs selber basteln. Garantiert Industrie-konform!

=== Rechtliche Fragestellungen des SonyBMG Rootkit ===

19. Dezember 2005 – Fred von Lohmann von der Electronic Frontier Foundation kommentiert in das SonyBMG – Rootkit: Sony BMG’s Copy-Protection Quagmire

“From a legal perspective, the many suits against Sony BMG will raise a welter of questions of first impression for the courts on whose dockets they appear. Whether those courts have an opportunity to rule on all of them may depend on whether Sony BMG opts to seek an early and comprehensive settlement aimed at repairing the damage that already has been done by its ill-considered copy-protection strategy. But irrespective of the outcome in these cases, counsel advising companies that distribute software with their products have been afforded a sneak preview of the kinds of legal actions that can be brought against clients that release defective software into the national marketplace.“

=== Texas weitet Klage gegen Sony BMG aus ===

23. Dezember 2005 – Heise: Texas weitet Klage gegen Sony BMG aus

Der Texanische Staatsanwalt weitet die urspüngliche Klage wegen der Verletzung der „Anti Spyware Law“ aus. Jetzt gibt es Untersuchungen wegen der Verletzung des „Texas Deceptive Trade Practices Act“, weil Verbraucher ungenügend über die Risiken aufgeklärt wurden und der MediaMax-Kopierschutz sich auch dann installiert, wenn man es nicht will.

=== Danke Sony! Die neue Virengeneration: Rootkits ===

27. Dezember 2005 – Spiegel Online: Rookits – Virenfiltern droht der Knockout

“Die ausgefuchsten Computerviren der nächsten Generation lassen Virenscannern kaum noch eine Chance. Nach dem Muster des Sony-BMG-Kopierschutzes XCP verbergen sie sich tief im System. Die Suche nach und das Entfernen von Viren wird damit erheblich erschwert.“

Es gibt sicher noch viel mehr. Wenn Ihr noch interessante Links zum Thema Root-Kit habt, schreibt sie in die Kommentare und ich ergänze sie gerne.

32 Kommentare
  1. Mich wuerde mal interesieren, ob dieses Sony root-kit nur fuer M$-WinDoof oder auch unter MAC, Linux und andere Unix OS systeme funktionieren, und deren copy-verhalten beeinflussen ?

  2. @Hanno,
    das Rootkit kann nur bei Windows funktonieren. Linux-User würde auch nicht so schnell den root-Account für derartige Aktionen nutzen, denn im Gegensatz zu Windows ist der auf einem Linux System „heilig“.

  3. Soweit ich weiß, sind auch die MACs betroffen; siehe Markus‘ Zitat vom 5. Dezember. Linux ist wohl immer noch nicht betroffen, wie es scheint.

    Ich find die Überschrift mit den „sterilen“ Datenträgern geil, und sinnverdreht: steril sind doch gerade solche, die eben kein böses, unkontrollierbares Viechzeugs mitbringen! Das sind auch alle Nicht-UnCDs; genau alles andere, was tatsächlich „sicher und fehlerfrei“ ist, exklusive der Sony-Produkte. Verkehrte Welt.

  4. Ein sehr gelungener Beitrag, brilliant!
    Die Rechteverwerter (Sony und Co.) sollen ihr geistiges Eigentum der Oeffentlichkeit nicht verfuegbar machen, wenn Sie sich Sorgen ueber Kopien machen.
    Damit kann deren vordergruendiges Problem einfach geloest werden.
    Es ist offensichtlich, die uebertriebene Profitgier dieser Firmen ist die Ursache allen Uebels. Das soll mit Kopierschutzmassnahmen gesichert werden. Kopierschutzmassnahmen sind nur eine Sicherung des Vertriebskanals der Rechteverwerter.
    Dafuer soll die Allgemeinheit entmuendigt werden?


  5. Das Ganze wirft einige Fragen auf:

    – was werden die anderen Firmen tun um ihr ‚geistiges Eigentum‘ zu schützen?
    – warum investiert eine Firma Tausende von $ (oder noch mehr) in die Entwicklung/Verbreitung eines Kopierschutzes anstatt ihr Produkt günstiger zu machen, so dass es auch einem Kid nicht schwer fällt die CD von seinem Taschengeld zu kaufen anstatt sich die CDs illegal aus dem Internet zu ziehen?
    – warum kann Microsoft die Rootkits finden und deinstallieren aber die Virenkiller nicht?
    – wieso ist Microsoft auf einmal völlig wider dem Trusted Computing obwohl Microsoft in der Vergangenheit sehr aktiv an dem Modell mitgewirkt hat?


  6. We will block Sony at source – mal in Ernst, ob die wirklich glauben ich kaufe mir von denen noch ein einziges Produkt?
    Allein der Quote von Herrn Steve Heckler bringts doch auf den Punkt, was in deren Wasserkopf so vor sich geht.
    ICH unterstütze sowas nicht mehr. Hat was gedauert bis mir das in dem Umfang klar wurde, aber nun ists soweit.

  7. Wie berichtet, will Sony den geschädigten Kunden Downloads anbieten: Sony Offers ‘Free’ Music to Settle Rootkit Case. Zitiert wird die LA Times. Ist das schon ein (juristisch haltbares) Eingeständnis?
    Interessant wird das Verfahren auch da, wo man nachweisen muss, dass man eine solche CD besessen haben will – muss die IP mitgeloggt worden sein, damit das klappt? Das Thema bleibt heiß und wird auch danach nicht in der Versenkung verschwinden können.

  8. moin!

    das hier schreibt

    „Im ersten US-Prozess wegen der missglückten Sony-BMG-Kopiersperre haben die Anwälte beider Seiten dem New Yorker Bezirksgericht einen Schlichtungsvorschlag vorgelegt [PDF]. Die Anwaltskanzlei Kamber & Associates hatte Ende November eine Sammelklage gegen den Musikkonzern Sony BMG angestrebt, weil dieser Musik-CDs mit einer Kopiersperre ausgestattet hat, die als „Sony BMG Rootkit“ bekannt wurde.

    In den Hauptpunkten zielt der Schlichtungsvorschlag darauf ab, dass die Käufer der betroffenen CDs entschädigt werden und dass Sony BMG keine CDs mit diesen Kopiersperren mehr herstellt. Als Entschädigung erhalten die Kläger entweder 7,50 US-Dollar und einen Gutschein zum Download eines Albums oder einen Gutschein zum Download von vier (kopiergeschützten) Musik-Alben von einem Musik-Download-Portal.“

    das ist eine ganz, ganz große frechheit, zumal wenn man das mit den von der musikindustrie geforderten und teilweise auch durchgesetzten strafen vergleicht!
    hier wird mal wieder mit zweierlei maß gemessen.


  9. Wieso sollte man in der heutigen Zeit überhaupt eine CD kaufen, wenn man sie auf herkömmlichen Geräten teilweise aufgrund der Kopierschutzmechanismen nicht nutzen kann bzw. sie mehr Schaden bringen als Nutzen? Abgesehen davon sind die Preise unverschämt hoch, so dass sich diejenigen, welche wirklich illegalerweise kopieren, die CDs auch nicht kaufen würden, wenn sie sie nicht kopieren könnten. Die Musikindustrie gibt eine Menge Geld für Kopierschutzmechanismen aus, welches sie eh niemals wieder hereinbekommen wird.

    Leider scheint das aber der Trend in der heutigen Gesellschaft zu sein. Daten sammeln um jeden Preis. Wir werden sehen, wie sich die Gesellschaft in 10-15 Jahren entwickelt hat. Mir grault es jetzt schon davor.

  10. Haleluja….

    eMule, aMule, xMule,…… 24 Stunden lang das ganze Jahr ueber….. alles unter Unix ;o)

    M$-Windoof ist doch nur wie der game-boy fuer die kits…. ;o)
    machen kann man damit nichts als konsumieren… sehr unproduktiev.

  11. Sind wir nicht über alle Ängste hinaus, was die „Dystopie“ von George Orwell betrifft? (Dystopie = negative Utopie)
    Sony und Microsoft haben ihre digitalen Spione in unseren Computern, mit payback-Karten liefern wir Konsumprofile, per GPS sind wir freiwillig zu orten auf diesem Planeten.
    1984 war für mich eine mentale Hürde ebenso wie der Sprung in ein nächstes Jahrtausend.
    Mich erstaunt die Schärfe der Gesetze zum Schutz der Privatsphäre in den USA. Mich erstaunt ebenfalls die Profitgier der Anwaltskanzleien dort.
    Wir werden durch einen Netzhautabdruck bei Einreise in die Staaten identifiziert.
    Gut, dass zum globalen System der Überwachung in -Europa- eine Person mit schnittigem Scheitel und dunklem Oberlippenbart momentan demokratisch inakzeptabel ist. Eine grausame Vorstellung, wenn dann doch.
    Der Kapitalismus versucht die Vollkontrolle.
    Man lese „1984“ von George Orwell.
    Grüße zum Neuen Jahr.

  12. Centurios letzter Absatz (31.12.05) hat es auf den Punkt gebracht.
    Das Buch „1984“ – schon heute ein lustiges, naives

    *HAGT* – o yeah


  13. „per GPS sind wir freiwillig zu orten auf diesem Planeten.“
    kann mir jemand diesen satz erklären? also ich verstehe diese aussage so, dass die betreiber der sateliten (die amerikaner) jeden, der ein gps gerät besitzt, das eingeschaltet ist ;-) orten kann
    das wiederspricht dem, was ich über gps weiß, oder irre ich mich da?
    sehr guter artikel!

  14. da gibts vielleicht eine sprachliche verwirrung zum problem der ortbarkeit. es ginge mit beidem, GSM (=dem mobilfunk) und GPS (=dem satellitenbasierten dingens der amerikaner). zum GPS entwickelt europa mit Galileo eine alternative. EtoileduNord oben meinte glaub ich GSM, also das inzwischen klassische handy. ;)

    ortung geht mit allen dreien. schon vor einigen jahren bekam ein berliner schüler besuch von höherer stelle, weil er mittels (uralten) prinzipien der dreieckspeilung aktive GSM-endgeräte zentimetergenau ortsbestimmen konnte (der berliner „Tagesspiegel“ hatte arglos berichtet). die webseiten der netzbetreiber bieten eine harmlose version davon an: in welcher funkzelle steckt mein handy?
    GPS wurde schon vor über zehn jahren einmal als nützlich für die autobahnmaut befunden; mit abrechnung über GSM. passives GPS allein ist untauglich zur fremdpeilung, aber mit aktiven geräten geht auch das. mit Galileo wird das ganz ähnlich sein.

  15. Naja ich hoffe aber das das Thema „Rootkit“ und „Die überwachung des Menschen durch neue Techniken“ nicht untergeht. Also Jungs Blogt was das Zeug hält lasst nicht zu das Firmen, Vereinigungen und Regierungen uns beobachten abhören und Kontrollieren.
    Ich würd mich freuen wenn es ein 2. Teil gibt von dem Bericht.

    Ich fange auch an zu Bloggen.

Kommentare sind geschlossen.