| Xman | 3. November 2005 10:13 |
Sony BMGs Kopierschutz mit Rootkit-Funktionen
echt der Hammer: Zitat:
Der Sicherheit***perte und Windows-Spezialist Mark Russinovich von Sysinternals hat aufgedeckt, dass Sony auf einzelnen seiner mittels Digital Rights Management (DRM) kopiergeschützten CDs inzwischen eine Software einsetzt, die sich vor neugierigen Blicken versteckt und potenzielle Sicherheitslöcher reißt. Damit bildet diese Software Rootkit-Funktionen nach – Rootkits verstecken ihre (illegalen) Aktivitäten ebenfalls vor dem Computernutzer. Der Kopierschutz installiert unter anderem auch Filtertreiber für CD-ROM-Laufwerke sowie für die IDE-Treiber, durch die er Zugriffe auf Medien kontrolliert.
Die Software taucht weder in der Software-Liste der Systemsteuerung auf, noch lässt sie sich über einen Uninstaller deinstallieren. Sie versteckt nicht nur die ihr zugehörigen Dateien, Verzeichnisse, Prozesse und Registry-Schlüssel, sondern global alles, was mit $sys$ im Namen anfängt. Hierdurch wird Nutzern ein Bärendienst erwiesen – Schadsoftware kann sich einfach durch entsprechende Namensgebung mit Sonys Hilfe tarnen. Russinovich entdeckte die Software rein zufällig beim Testen einer neuen Version seines Rootkit-Spürhunds RootkitRevealer.
Weiterhin ist die Software nach Russinovichs Angaben unsauber programmiert und könnte das System instabil machen; ein möglicher Datenverlust droht. Der Treiber zum Verstecken von Dateien enthält eine Funktion zum Entladen. Dies ist bei Treibern und Programmen, die die Systemtabelle mit Funktionsadressen manipulieren, eine sehr schlechte Idee: Versucht ein Programm oder Prozess, über die Systemtabelle auf eine umgebogene Funktion zuzugreifen, wenn der Treiber sich gerade entlädt, kann eine klassische Race Condition eintreten. Sofern der Eintrag in der Liste noch auf den alten Speicherbereich zeigt, kann dies zu einem Zugriff auf nicht alloziierten Speicher führen.
Der Treiber fragt alle zwei Sekunden alle laufenden Prozesse nach den von ihnen geöffneten Dateien ab, um seiner Aufgabe – dem Verhindern von unerwünschten Kopien – nachzukommen, und das gleich jeweils achtmal am Stück. So verbraucht der nicht ganz koschere Kopierschutz Rechenzeit, auch wenn die zu schützende CD gar nicht im Laufwerk liegt. Die Software verankert sich derart tief im System, dass sie selbst im abgesicherten Modus gestartet wird. Wenn die Treiber also Probleme verursachen, könnten sie das System komplett unbrauchbar machen.
In den Lizenzvereinbarungen (EULA) der CD – der man zustimmen muss, damit die darauf befindliche Abspiel-Software für PCs startet &ndash steht laut Russinovich nichts davon, dass eine Software installiert würde oder sich gar tief im System verankert. In der Diskussion zur Sysinternals-Meldung werfen Teilnehmer ein, dass dieses Vorgehen des Kopierschutzes wohl in Kalifornien nach dem California Business & Protections Code Section 22947.3 illegal sei und mit bis zu 1.000 US-Dollar Strafe pro betroffenem Computer geahndet werden könne.
Die Kopierschutz-Software wird den Dateiinformationen zufolge von der Firma First 4 Internet (F4i) geliefert und nennt sich XCP. Wie Sony BMG Ende Mai ankündigte, soll der Kopierschutz nur Gelegenheitskopierer abwehren. Der noch in der Testphase befindliche Kopierschutz soll zunächst nur auf vereinzelten CDs in den USA zum Einsatz kommen, eine der ersten ist ironischerweise Get Right with the Man von den Van Zant Brothers. Offenbar hat Sony mit Kanonen auf Spatzen geschossen – selbst Russinovich hatte mit dem Rootkit-Kopierschutz zu kämpfen. Eine Stellungnahme von Sony gibt es bislang nicht.
| Quelle: heise
Das Verfahren wird hier genau beschrieben: (interessant, aber auf englisch!) sysinternals.com
--------------------------------------------------------------------------------------------------------
Update: Zitat:
Uninstaller für Sony BMGs Kopierschutz-Rootkit
Nachdem Sony BMG wegen des XCP-Kopierschutzes mit Rootkit-Funktionen heftig in die Kritik geraten ist, gibt der Musikgigant klein bei und bietet betroffenen Kunden einen Uninstaller für die dubiose Kopierschutz-Software an. Der Uninstaller kann über ein Kontaktformular angefordert werden. Die Software putzt den Kopierschutz angeblich rückstandsfrei von der Platte; Sony BMG behauptet aber, dass danach die CD, die den Kopierschutz installierte, mit dem Computer nicht mehr zu benutzen sei.
In einer FAQ zum Kopierschutz äußern sich Sony BMGs Marketingstrategen weiter, dass der Kopierschutz keine Mal- oder Spyware sei, sondern ausschließlich ein unbegrenztes Kopieren der CD verhindere und anderweitig inaktiv sei. Gemäß der Definition von Spyware der Antispywarecoalition erscheint dies aber nicht sehr stichhaltig; auch vor dem Hintergrund, dass der Kopierschutz offenbar auf einigen Systemen zum gefürchteten Blue Screen of Death führte, dürfte sich Sony BMG mit solchen Anmerkungen einen Bärendienst erweisen.
Ein seit dem gestrigen Mittwoch öffentlich verfügbares Update für die Kopierschutz-Software von First 4 Internet entfernt zumindest die Funktionen zum Verstecken von Dateien, Verzeichnissen, Registry-Schlüsseln und Prozessen, die mit $sys$ im Namen beginnen. Sony BMG verteilt die Aktualisierung an die einschlägigen Antivirenhersteller, die darauf basierend ebenfalls diesen zweifelhaften Mechanismus deaktivieren sollen.
| Quelle: heise |
![[eMule-Web]](images/satellite/header/logo.jpg){kind=logo}