Sony BMG al veel eerder op de hoogte van rootkit…

1 december 2005

Bijna vier weken voordat de eerste berichten op het web verschenen die
aangaven dat sommige muziek-cd’s van Sony BMG uitgerust waren met een
beveiliging die op een rootkit leek, wist het management van de
samenwerking tussen Sony en Bertelsmann dat de Digital Rights
Management-software problematische karaktertrekken had. Het is of een
vlaag van arrogantie of een blijk van volstrekt onbegrip geweest die er
voor heeft gezorgd dat het muziekbedrijf niet ingreep toen het ervan op
de hoogte werd gesteld. Het eind van de nachtmerrie voor het
muziekbedrijf is nu nog steeds niet voorbij, integendeel. Inmiddels
worden rechtszaken tegen het bedrijf aangespannen, zoals op 21 november door de
Amerikaanse staat Texas (via Attorney General Greg Abbott), een Homeland Security-expert die Sony ervan
beschuldigt de computerveiligheid te ondermijnen en scherpt de New
Yorkse procureur Eliot Spitzer zijn messen. Sony BMG is ernstig in
verlegenheid gebracht nu bekend is geworden dat een week nadat het
bedrijf verklaarde alle betreffende cd’s uit de schappen te halen, er
nog steeds
exemplaren te koop te zijn. Wal-Mart, BestBuy, Virgin Megastore
en
andere winkels lijken voorraden weg te werken van niet-teruggehaalde
CD’s. ‘It is unacceptable that more than three weeks after this serious
vulnerability was revealed, these same CDs are still on shelves, during
the busiest shopping days of the year’, zegt Spitzer. ‘I strongly urge
all retailers to heed the warnings issued about these products, pull
them from distribution immediately, and ship them back to Sony.’ Hij
verhoogt de druk op Sony
BMG met de dag.



Naast het ernstige gezichtsverlies voor Sony BMG (en wellicht wel de
muziekindustrie in algemeenheid), de schadepost van de omruilactie en
de dreiging van schadeclaims door staten en
consumentenverenigingen, lijden ook de artiesten schade. Associatie met
de DRM-affaire kan een ‘smet’ op hun imago zijn, maar daarnaast speelt
een ander verschijnsel: ondertussen dalen de verkoopcijfers (en dus de
plaatsen op de hitlijsten) van de gewraakte CD’s. Die verkoopdaling is
het directe gevolg van een tekort aan rootkit-vrije CD’s ter
vervanging, iets dat vlak voor de feestdagen desastreus is voor de
omzetcijfers. Het Finse antivirusbedrijf F-Secure zegt Sony op 4
oktober op de hoogte te hebben gebracht van de rootkit in de
programmatuur op de CD’s. De Finnen waren op 30 september hierop
gewezen door John Guarino, eigenaar van het bedrijfje TecAngels
dat
computers repareert in Manhattan. Hij was al maanden bezig met het
verwijderen van ‘rootkit’-bestanden van PC’s van klanten. Op 30
september ontdekte hij dat een CD van Sony BMG de oorzaak van de
problemen was. Hij stelde F-Secure op de hoogte, omdat zij de door hem
gebruikte detectiesoftware ontwikkeld hebben. F-Secure stelde
vervolgens Sony op de hoogte van de aanwezigheid van de rootkit in de
gebruikte DRM-software. De implicaties van de ontdekking werden door
Sony in ieder geval niet tijdig onderkend. Sony BMG-directeur Thomas
Hesse stelde dat niets in de mail van F-Secure er op wees dat de door
First4Internet geleverde software ondeugdelijk was. ‘This e-mail, which
we have also reviewed, seems to be about a routine matter’, zo zei hij.
‘While it did introduce the notion of a ‘rootkit,’ it did not suggest
that this software was anything but benign’. Blijkbaar was de
term ‘rootkit’ en de associaties daarmee niet bekend.
Hoewel Sony het
beschouwde als een routinekwestie, trok het bedrijf toch bij de
ontwikkelaar van de software First4Internet aan de bel. Sony en
F-Secure bevestigen dat op 17 oktober het antivirusbedrijf de risico’s
van de rootkit in de DRM-software uit de doeken deed in een rapport aan
Sony BMG en First4Internet. Sony stelt daarna beide bedrijven verzocht
te hebben een oplossing te bedenken. Op 20 oktober had F-Secure een
telefonische conferentie met het ontwikkelbedrijf, waarbij de laatste
volgens F-Secure de urgentie van het ‘probleem’ bagatelliseerde. Er
waren immers slechts weinig mensen van de kwetsbaarheid van de software
op de hoogte en begin 2006 zou software uitkomen die het probleem bij
toekomstige CD’s zou verhelpen. Hierna hadden F-Secure en Sony BMG
overleg, maar Sony leek niet bereid te zijn iets aan de al in omloop
zijnde CD’s te doen. Volgens F-Secure wilden ze het probleem stil
houden, wat door Sony uiteraard wordt betwist. ‘If Sony had woken up
and smelled the coffee when we told them there was a problem, they
could have avoided this trouble’, zo stelt Mikko Hypponen, directuer
van Onderzoek en Ontwikkeling bij F-Secure.
Om de getroffen
gebruikers in ieder geval niet bloot te stellen aan eventuele aanvallen
op de rootkit, had F-Secure besloten gedurende de onderhandelingen met
Sony en First4Internet te zwijgen. En toen op 31 oktober Mark
Russinovich
de noodklokken luidde, begon Sony’s nachtmerrie… Want de
virussen verschenen en de patch van Sony bleek daarop niet voorbereid
en was grotendeels onwerkbaar. De ‘collateral damage’ voor Sony BMG is
enorm. De affaire is een duidelijke waarschuwing aan andere bedrijven
die DRM-projecten uitvoeren. Het trage optreden van Sony kan in de
juridische procedures nog wel eens een (duur) staartje krijgen. ‘This
episode shows that the recording industry’s attempts to use
digital-rights management software to stem the tide of piracy is
fatally flawed. Making digital files not copyable is like making water
not wet’, zegt Bruce Schneier, Chief Technology Officer bij Counterpane
Internet Security
. ‘You can’t do it. DRM is a desperate attempt to
cling to their old business model. They have to figure out how to make
money in the new world’. Ondertussen in Russinovich bezig zijn kruistocht voort te zetten. De CD’s zijn immers nog breed verkrijgbaar, de veilige verwijderaar van de rootkit blijft ook achterwege, net als excuses. Verder valt hij over een uitspraak van Cary Sherman, hoofd van de RIAA: ‘The problem with the Sony BMG situation is that the technology they used contained a security vulnerability of which they were unaware. They have apologized for their mistake, ceased manufacture of CDs with that technology,and pulled CDs with that technology from store shelves. Seems very responsible to me. How many times that software applications created the same problem? Lots. I wonder whether they’ve taken as aggressive steps as SonyBMG has when those vulnerabilities were discovered, or did they just post a patch on the Internet?’. Volgens Russinovich is het probleem verstrekkender: ‘First, Sony never admitted to or apologized for making a mistake, they expressed “regret” for “any inconvenience” they caused customers. Second, Sherman overlooks the fact that more than a security vulnerability, the Sony software actively hides from customers, is uninstallable, and sends information to Sony servers without disclosure or consent, not to mention Sony’s subsequent behavior with respect to the onerous multistep uninstall request procedure. Does he consider that behavior “responsible”? And I wonder if he still agrees that Sony’s withdrawal and uninstaller development efforts are “aggressive”? My guess is that he would, despite the evidence to the contrary.’ Maar, zo stelt hij, ‘Sony’s day of reckoning is coming’….

Share This:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.