18 november 2005
De verborgen ‘rootkit’ van Sony BMG blijft de gemoederen beheersen. Het
wordt steeds meer een soap, maar wel een met grote consequenties. Nu
blijkt het programma deels gebaseerd te zijn op programmeercode van
niemand minder dan ‘DVD’ Jon Johansen, de Noor die bekend werd als de
man die de encryptie op DVD’s doorbrak. Wederom wordt Sony BMG
slachtoffer van hackers en veiligheidsexperts. Nadat Mark Russinovich
het bestaan van het programma onthulde, besloten enkele anderen om de
code van de rootkit te analyseren. Het resultaat is funest voor Sony
BMG, ook al heeft die de betreffende software gekocht van het Britse
Internetbedrijf First4Internet. De makers blijken namelijk code te
hebben ‘geleend’ van allerlei open source-projecten, zonder echter hun
eigen code te publiceren. Dit is echter een vereiste van de General
Public Licence en het broertje daarvan, de GNU Lesser General Public
License. Volgens de Fin Matti Nikko bevat de rootkit stukken van LAME
(een open MP3-encoder), FAAC (een open audiocodec) en code die door
Johansen voor het VLC-project werd geschreven. Zijn bevindingen worden
ondersteund door de Duitse hacker Sebastian Porst op zijn weblog.
Het XCP-programma zoals dat door First4Internet werd ontwikkeld voor
Sony BMG, is hoogst controversieel geworden omdat het als
virus-software opereert en ook als zodanig (en als ‘malware’) wordt
geklasseerd door leidende anti-virusbedrijven. En terecht, want de
‘rootkit’ is al gebruikt door hackers om de open-deur naar de computer
te misbruiken. Het nieuws van vandaag, dat in de software ook
‘gekopieerde’ code opgenomen is, is waarschijnlijk de doodsteek voor
deze vorm van kopieerbeveiliging, zo niet erger. ‘Multiple software
components on the CD have references to the LAME open source MP3 code’,
zo stelt Nikki. ‘We can confirm that at least 5 functions in the XCP
software are identical to functions in LAME’, bevestigt Thomas Dullien
van het beveiligingsbedrijf Sabre Security in het Duitse Bochum, dat
zich heeft gespecialiseerd in de analyse van zeer complexe software.
Open source software moet, als het gebruikt wordt, als zodanig worden
gedentificeerd, zodat het vrij met anderen kan worden gedeeld.
Ontwikkelaars van Slashdot.org en andere internetsites konden geen open
source referenties vinden in de DRM-software. Als open-source software
gentegreerd wordt in een software-programma, wordt die gehele
applicatie tot een stuk open source software. ‘That’s the flipside of
open source: If you don’t respect the open source rules, the old regime
of copy protection comes back in full force’ zo zegt advocaat en
Internet specialist Christiaan Alberdingk Thijm van SOLV. Dullien
bevestigt verder ‘the existence of significant amounts of code from
FAAC (which is LGPL) in the executable’. Het gebruik van die code houdt
dus een copyrightschending in. Erger is dat First4Internet om onbekende
redenen hun programma uitrustte met code om Apple’s FairPlay
DRM-systeem te kraken, zegt Nikko. Met diezelfde code haalde Jon
Johansen in 2004 de krantenkoppen, omdat hiermee liedjes die zijn
gekocht in de iTunesMusic Store van hun beveiliging kunnen worden
ontdaan. Wellicht is de code van Johansen per ongeluk in de
First4Internet-toepassing geslopen, want eigenlijk is er geen reden om
het aan te brengen. Niettemin stelt SonyBMG zich bloot aan een
veroordeling voor het schenden van de Amerikaanse en de
Europese wetgeving, die het verspreiden van DRM-verwijderaars
verbiedt. Ook de schendingen van de LGPL- en GPL-licenties maken het
bedrijf juridisch erg kwetsbaar. Een zeer belangrijk gevolg van deze
hele ‘rootkit-affaire’ is dat de gehele filosofie van de
muziekmaatschappijen over P2P, internetpiraterij en DRM grondig over de
kling is gejaagd. De industrie heeft voortdurend beweerd dat
filesharing netwerken de computers openstellen voor allerlei virussen
en ‘malware’. Dan Glickman, directeur van MPAA stelde in juni 2004:
‘While these P2P services would have users believe they simply offer an
easy way to download movies and music, they really do much more. It is
well-documented that using these services can lead to user’s computers
being infected with spy ware and viruses. Often, unwitting users have
their most sensitive, private information exposed to unfriendly eyes
around the world. Further, P2P systems have been used by pornographers
as an easy avenue to reach children.’ Met een onhandige operatie is
deze gehele claim onderuit gehaald. Integendeel, voor de ogen van het
publiek stelt een DRM-applicatie zich op dezelfde hoogte als ‘malware’.
En ook het morele standpunt dat downloaden van een bestand en stelen
van een CD op een lijn moet worden gesteld heeft afbreuk geleden. Het
buiten medeweten van een gebruiker plaatsen van software en daarbij ook
nog allerlei veiligheidsrisico’s scheppen laat zien dat het morele
gehalte van de muziekindustrie niet veel hoger is dan dat van een
simpele downloader. De schade toegebracht aan DRM als geheel is
wellicht nog veel groter. Tot nu toe werd DRM over het algemeen
uitgebreid toegepast maar was het gewone publiek er zich nauwelijks van
bewust. Dat is in een klap veranderd. DRM staat volop in de
belangstelling, en helaas van de industrie niet in positieve zin. DRM
wordt geassocieerd met ‘malware’
en virussen, en niet in de laatste plaats: ‘misleiding’. Dat heeft
zeker een gevolg: namelijk een terugslag in het gebruik van
DRM-technologie. In de huidige vorm kan DRM waarschijnlijk niet
overleven. Sony heeft in 16 dagen bereikt wat bloggers, schrijvers,
journalisten en de Electronic Frontier Foundation al jaren hebben
geprobeerd. Sony heeft de argumenten van de muziekindustrie tgen P2P in
een keer van tafel geveegd en heeft publiek wantrouwen tegen DRM
gerealiseerd.