Sony BMG kopibeskyttelse rootkit -skandale - Sony BMG copy protection rootkit scandal

Skjermbilde av Sony CD -lydspilleren, som spiller Switchfoot sitt femte studioalbum Nothing Is Sound .

En skandale brøt ut i 2005 angående Sony BMGs implementering av kopibeskyttelse på om lag 22 millioner CDer . Når de ble satt inn i en datamaskin , installerte CD -ene en av to programvare som ga en form for digital rettighetsbehandling (DRM) ved å endre operativsystemet for å forstyrre CD -kopiering . Ingen av programmene kunne lett avinstalleres, og de skapte sårbarheter som ble utnyttet av ikke -relatert skadelig programvare . Ett av programmene ville installere og " ringe hjem " med rapporter om brukerens private lyttevaner - selv om brukeren nektet sluttbrukerlisensavtalen (EULA), mens den andre ikke ble nevnt i EULA i det hele tatt. Begge programmene inneholdt kode fra flere stykker kopyleftert gratis programvare i et tilsynelatende brudd på opphavsretten , og konfigurerte operativsystemet til å skjule programvarens eksistens, noe som førte til at begge programmene ble klassifisert som rootkits .

Sony BMG nektet i utgangspunktet at rootkits var skadelige. Deretter ga den ut for et av programmene en " avinstalleringsprogram " som bare avslørte programmet, installerte tilleggsprogramvare som ikke lett kunne fjernes, samlet en e-postadresse fra brukeren og introduserte ytterligere sikkerhetsproblemer.

Etter offentlig ramaskrig, undersøkelser fra myndighetene og søksmål mot klasser i 2005 og 2006, tok Sony BMG delvis opp skandalen med forbrukeroppgjør, tilbakekalling av omtrent 10% av de berørte CD-ene og suspensjon av CD-kopibeskyttelsesarbeid tidlig i 2007.

Bakgrunn

I august 2000 varslet uttalelser fra Sony Pictures Entertainment, USAs senior visepresident Steve Heckler, om hendelsene i slutten av 2005. Heckler sa til deltakerne på Americas Conference on Information Systems : "Industrien vil ta de skritt den trenger for å beskytte seg selv og beskytte inntektsstrømmene . .. Det vil ikke miste den inntektsstrømmen, uansett hva ... Sony kommer til å ta aggressive skritt for å stoppe dette. Vi vil utvikle teknologi som overskrider den enkelte bruker. Vi vil brannmur Napster ved kilden - vi vil blokkere den hos deg kabelfirma. Vi vil blokkere det hos telefonselskapet ditt. Vi vil blokkere det hos Internett -leverandøren din . Vi vil brannmur det på din PC ... Disse strategiene blir aggressivt forfulgt fordi det rett og slett er for mye på spill. "

I Europa skapte BMG en mindre skandale i 2001 da den ga ut Natalie Imbruglias andre album, White Lilies Island , uten advarselsetiketter om at CD -en hadde kopibeskyttelse. CD -ene ble til slutt byttet ut. BMG og Sony ga begge ut kopibeskyttede versjoner av visse utgivelser i visse markeder i slutten av 2001, og en rapport fra slutten av 2002 indikerte at alle BMG-CDer som selges i Europa ville ha en eller annen form for kopibeskyttelse.

Programvare for kopibeskyttelse

De to programmene for kopibeskyttelse som ble omtalt i skandalen 2005–2007 ble inkludert på over 22 millioner CD-er som ble markedsført av Sony BMG, plateselskapet som ble dannet ved fusjonen i 2004 av Sony og BMGs innspilte musikkavdelinger. Omtrent to millioner av disse CD -ene, som spenner over 52 titler, inneholdt First 4 Internet (F4I) Extended Copy Protection (XCP), som ble installert på Microsoft Windows -systemer etter at brukeren godtok EULA som ikke nevnte programvaren. De resterende 20 millioner CD-ene, som spenner over 50 titler, inneholdt SunnComms MediaMax CD-3 , som ble installert på enten Microsoft Windows eller Mac OS X- systemer etter at brukeren ble presentert for EULA, uavhengig av om brukeren godtok det. Mac OS X spurte imidlertid brukeren om bekreftelse når programvaren forsøkte å endre operativsystemet, mens Windows ikke gjorde det.

XCP rootkit

Skandalen brøt ut den 31. oktober 2005, da Winternals (senere kjøpt opp av Microsoft Corporation ) forsker Mark Russinovich lagt til sin blogg en detaljert beskrivelse og teknisk analyse av F4i er XCP programvare som han konstatert hadde nylig blitt installert på sin datamaskin av en Sony BMG musikk CD. Russinovich sammenlignet programvaren med en rootkit på grunn av den hemmelige installasjonen og innsatsen for å skjule dens eksistens. Han bemerket at EULA ikke nevner programvaren, og han hevdet ettertrykkelig at programvaren er ulovlig og at digital rettighetsforvaltning hadde "gått for langt".

Antivirusfirmaet F-Secure var enig: "Selv om programvaren ikke er direkte skadelig, er de brukte rootkit-skjulteknikkene nøyaktig de samme som skadelig programvare bruker for å skjule. DRM-programvaren vil forårsake mange lignende falske alarmer med all AV-programvare som oppdager rootkits ... Derfor er det svært upassende for kommersiell programvare å bruke disse teknikkene. " Etter offentlig press inkluderte Symantec og andre antivirusleverandører også påvisning av rootkit i produktene sine, og Microsoft kunngjorde at det ville inkludere oppdagelses- og fjerningsmuligheter i sine sikkerhetsoppdateringer.

Russinovich oppdaget mange problemer med XCP:

  • Det skaper sikkerhetshull som kan utnyttes av ondsinnet programvare som ormer eller virus .
  • Den kjører konstant i bakgrunnen og bruker for mye systemressurser, noe som reduserer brukerens datamaskin, uavhengig av om det er en beskyttet CD som spilles av.
  • Den bruker usikre prosedyrer for å starte og stoppe, noe som kan føre til systemkrasj .
  • Den har ingen avinstalleringsprogram , og er installert på en slik måte at inexpert forsøk på å avinstallere den kan føre til at operativsystemet ikke gjenkjenner eksisterende stasjoner.

Like etter Russinovichs første innlegg var det flere trojanere og ormer som utnyttet XCPs sikkerhetshull. Noen mennesker brukte til og med sårbarhetene til å jukse i online spill.

Sony BMG ga raskt ut programvare for å fjerne rootkit -komponenten i XCP fra berørte Microsoft Windows -datamaskiner, men etter at Russinovich analyserte verktøyet, rapporterte han i bloggen sin at det bare forverret sikkerhetsproblemene og ga ytterligere bekymringer for personvernet. Russinovich bemerket at fjerningsprogrammet bare avslørte de skjulte filene som ble installert av rootkit, men faktisk ikke fjernet rootkit. Han rapporterte også at den installerte tilleggsprogramvare som ikke kunne avinstalleres. For å laste ned avinstalleringsprogrammet fant han ut at det var nødvendig å oppgi en e-postadresse (som Sony BMGs personvernerklæring antydet ble lagt til i forskjellige bulk-e-postlister), og å installere en ActiveX-kontroll som inneholder bakdørsmetoder (merket som "trygt for skripting", og dermed utsatt for bedrifter). Microsoft ga senere ut en killbit for denne ActiveX -kontrollen.

18. november 2005 ga Sony BMG et "nytt og forbedret" fjerningsverktøy for å fjerne rootkit -komponenten i XCP fra berørte Microsoft Windows -datamaskiner.

MediaMax CD-3

Juridiske og økonomiske problemer

Produkt tilbakekalling

15. november 2005 kunngjorde vnunet.com at Sony BMG sikkerhetskopierte programvaren for kopibeskyttelse, tilbakekalte usolgte CD-er fra alle butikker og tilbød forbrukere å bytte CD-er med versjoner som mangler programvare. The Electronic Frontier Foundation utarbeidet en ufullstendig liste over CDer med XCP. Sony BMG ble sitert for å hevde at "det ikke var noen sikkerhetsrisiko forbundet med anti-piratkopieringsteknologien", til tross for mange virus- og malware-rapporter. 16. november 2005 ga US-CERT , en del av United States Department of Homeland Security , ut en veiledning om XCP DRM. De sa at XCP bruker rootkit -teknologi for å skjule visse filer for datamaskinbrukeren, og at denne teknikken er en sikkerhetstrussel for databrukere. De sa også at et av avinstalleringsalternativene fra Sony BMG introduserer ytterligere sårbarheter for et system. US-CERT anbefalte: "Ikke installer programvare fra kilder som du ikke forventer å inneholde programvare, for eksempel en lyd-CD."

Sony BMG kunngjorde at det hadde instruert forhandlere om å fjerne usolgte musikkplater som inneholder programvaren fra hyllene. Det ble estimert av internettsikkerhetsekspert Dan Kaminsky at XCP var i bruk på mer enn 500 000 nettverk.

CDer med XCP -teknologi kan identifiseres med bokstavene "XCP" trykt på baksiden av smykkeskuffen til CD -en i henhold til SonyBMGs XCP FAQ.

18. november 2005 rapporterte Reuters at Sony BMG ville bytte berørte usikre CD -er med nye ubeskyttede disker samt ubeskyttede MP3 -filer. Som en del av bytteprogrammet kan forbrukere sende sine XCP-beskyttede CDer til Sony BMG og få tilsendt en ubeskyttet plate via returpost.

29. november fant daværende statsadvokat i New York, Eliot Spitzer, gjennom sine etterforskere at til tross for tilbakekallingen av 15. november var Sony BMG-CDer med XCP fremdeles til salgs i musikkforretninger i New York. Spitzer sa "Det er uakseptabelt at mer enn tre uker etter at denne alvorlige sårbarheten ble avslørt, er de samme CD -ene fortsatt på hyllene, under de travleste shoppingdagene i året, [og] jeg oppfordrer sterkt alle forhandlere til å følge advarslene om disse produkter, trekk dem fra distribusjonen umiddelbart, og send dem tilbake til Sony. "

Dagen etter avgav Massachusetts statsadvokat Tom Reilly en uttalelse om at Sony BMG -CDer med XCP fremdeles var tilgjengelige i Boston til tross for tilbakekalling av Sony BMG 15. november. Riksadvokat Reilly rådet forbrukere til ikke å kjøpe Sony BMG -CD -er med XCP og sa at han foretok en undersøkelse av Sony BMG.

Fra 11. mai 2006 tilbød Sony BMGs nettsted forbrukere en lenke til "Informasjon om oppgjør om klasseaksjoner angående XCP og MediaMax innholdsbeskyttelse." Den har online kravmelding og lenker til programvareoppdateringer/avinstallerere. Fristen for å sende inn krav var 30. juni 2007.

2. april 2008 tilbød Sony BMGs nettsted forbrukerne en forklaring på hendelsene, samt en liste over alle berørte CD -er.

Texas statlig handling

21. november 2005 saksøkte Texas Attorney General Greg Abbott Sony BMG. Texas var den første staten i USA som anla sak mot Sony BMG som svar på rootkit. Saken var også den første som ble anlagt under statens spionprogramlov fra 2005. Det påsto at selskapet installerte spionprogrammet på skjult måte på millioner av kompakte musikkplater (CDer) som kompromitterte datamaskiner når forbrukere satte dem inn i datamaskinene for å spille.

21. desember 2005 la Abbott til nye påstander i søksmålet mot Sony-BMG angående MediaMax. De nye påstandene hevdet at MediaMax brøt statens spionprogrammer og villedende lover om handelspraksis, fordi MediaMax -programvaren ville bli installert på en datamaskin selv om brukeren nektet lisensavtalen som godkjente handlingen. Abbott uttalte: "Vi oppdager stadig flere metoder Sony brukte for å lure forbrukere i Texas som trodde de bare kjøpte musikk", og "Tusenvis av texanere er nå potensielle ofre for dette villedende spillet Sony spilte med forbrukere for sine egne formål." I tillegg til brudd på lov om forbrukerbeskyttelse mot dataspyware fra 2005, som tillot sivile straffer på $ 100 000 for hvert brudd på loven, medførte de påståtte bruddene som ble lagt til i det oppdaterte søksmålet (21. desember 2005) maksimale straffer på $ 20 000 per brudd. Sony ble pålagt å betale 750 000 dollar i advokatkostnader til Texas, godta kundenes retur av berørte CD -er, legge en iøynefallende detaljert melding på hjemmesiden deres, gjøre "søkeordkjøp" for å varsle forbrukere ved å annonsere med Google, Yahoo! og MSN, betal opptil $ 150 per skadet datamaskin, blant andre midler. Sony BMG måtte også godta at de ikke ville påstå at det juridiske forliket på noen måte utgjør domstolens godkjennelse.

New York og California klassedragter

Klagesaker ble anlagt mot Sony BMG i New York og California.

30. desember 2005 rapporterte New York Times at Sony BMG hadde nådd en foreløpig løsning på søksmålene og foreslo to måter å kompensere forbrukere som har kjøpt de berørte opptakene på. I henhold til det foreslåtte oppgjøret, vil de som kjøpte en XCP -CD bli betalt $ 7,50 per kjøpt innspilling og få muligheten til å laste ned et gratis album eller kunne laste ned tre ekstra album fra en begrenset liste over innspillinger hvis de gir opp kontantinsentivet. Distriktsdommer Naomi Reice Buchwald ga foreløpig et pålegg om godkjenning av forliket 6. januar 2006.

Oppgjøret var designet for å kompensere dem hvis datamaskiner var infisert, men ikke på annen måte skadet. De som har skader som ikke behandles i gruppesøksmålet, kan velge bort forliket og fortsette sin egen rettssak.

En rettferdighetshøring ble holdt 22. mai 2006, kl. 9:15 ved Daniel Patrick Moynihan USAs tinghus for det sørlige distriktet i New York .

Krav måtte sendes innen 31. desember 2006. Klassemedlemmer som ønsket å bli ekskludert fra forliket, må ha inngitt før 1. mai 2006. De som ble igjen i forliket kunne delta på rettferdighetshøringen for egen regning og snakke på egen hånd på vegne eller bli representert av en advokat.

Andre handlinger

I Italia rapporterte ALCEI  [ it ] (en forening som ligner EFF ) også rootkiten til finanspolitiet og ba om etterforskning av forskjellige påstander om datakriminalitet, sammen med en teknisk analyse av rootkit.

Det amerikanske justisdepartementet (DOJ) kommenterte ikke om det ville ta noen straffbare handlinger mot Sony. Stewart Baker ved Department of Homeland Security formanet imidlertid Sony offentlig og sa: "det er din intellektuelle eiendom - det er ikke datamaskinen din".

21. november kunngjorde EFF at den også forfølger et søksmål om både XCP og SunnComm MediaMax DRM -teknologi. EFF søksmålet omfatter også spørsmål om Sony BMG lisensavtalen for sluttbrukere .

Det ble rapportert 24. desember 2005 at daværende riksadvokat i Florida, Charlie Crist, undersøkte spionprogrammer fra Sony BMG.

30. januar 2007 kunngjorde den amerikanske føderale handelskommisjonen (FTC) et forlik med Sony BMG om anklager om at beskyttelsen mot CD -kopiering hadde brutt føderal lov - § 5 (a) i Federal Trade Commission Act , 15 USC 45 (a) - ved å engasjere seg i urettferdig og villedende forretningspraksis. Forliket krever at Sony BMG refunderer forbrukerne opptil $ 150 for å reparere skader som skyldes direkte deres forsøk på å fjerne programvaren som er installert uten deres samtykke. Forliket krever også at de gir tydelig og fremtredende avsløring på emballasjen til fremtidige CDer om eventuelle begrensninger for kopiering eller begrensninger for bruk av avspillingsenheter, og forby selskapet å installere innholdsbeskyttelsesprogramvare uten å få forbrukernes autorisasjon. FTC -formann Deborah Platt Majoras la til at "Installasjoner av hemmelig programvare som skaper sikkerhetsrisiko er påtrengende og ulovlige. Forbrukernes datamaskiner tilhører dem, og selskaper må tilstrekkelig avsløre uventede begrensninger i kundens bruk av produktene sine, slik at forbrukerne kan ta informerte beslutninger om om du skal kjøpe og installere det innholdet. "

brudd på opphavsretten

Forskere fant at Sony BMG og produsentene av XCP også tilsynelatende krenket opphavsretten ved ikke å overholde lisensieringskravene til forskjellige deler av gratis og åpen kildekode-programvare hvis kode ble brukt i programmet, inkludert LAME MP3- koderen, mpglib , FAAC , id3lib, mpg123 og VLC mediespiller .

I januar 2006 la utviklerne av LAME ut et åpent brev om at de forventet "passende handling" av Sony BMG, men at utviklerne ikke hadde noen planer om å undersøke eller iverksette tiltak mot det tilsynelatende bruddet på LAMEs kildekodelisens.

Selskaps- og pressemeldinger

Russinovichs rapport ble diskutert på populære blogger nesten umiddelbart etter at den ble utgitt.

NPR var en av de første store nyhetsformidlingene som rapporterte om skandalen 4. november 2005. Thomas Hesse , Sony BMGs Global Digital Business President, sa til reporter Neda Ulaby : "De fleste tror jeg ikke engang vet hva et rootkit er, så hvorfor skulle de bry seg om det? "

I en artikkel 7. november 2005 oppsummerte vnunet.com Russinovichs funn, og oppfordret forbrukere til å unngå å kjøpe Sony BMG musikk -CDer foreløpig. Dagen etter klassifiserte Boston Globe programvaren som spionprogram , og Computer Associates 'eTrust Security Management -enhet Steve Curry bekreftet at den kommuniserer personlig informasjon fra forbrukernes datamaskiner til Sony BMG (nemlig CD -en som spilles og brukerens IP -adresse ) . Metodene som brukes av programvaren for å unngå deteksjon, ligner dem som brukes av datatyver.

8. november 2005 bestemte Computer Associates seg for å klassifisere Sony BMGs programvare som " spyware " og tilby verktøy for fjerning. Uavhengig forsker Mark Russinovich sa: "Dette er et skritt de burde ha tatt umiddelbart." Det første viruset som gjorde bruk av Sony BMGs stealth-teknologi for å gjøre ondsinnede filer usynlige for både brukeren og antivirusprogrammer dukket opp 10. november 2005. En dag senere, Yahoo! Nyheter kunngjorde at Sony BMG hadde suspendert videre distribusjon av den kontroversielle teknologien.

Ifølge ZDNet News : "Den siste risikoen er fra et avinstalleringsprogram distribuert av SunnComm Technologies, et selskap som gir kopibeskyttelse på andre Sony BMG -utgivelser." Avinstalleringsprogrammet følger kommandoer som er sendt til det, slik at andre kan "ta kontroll over PC -er der avinstalleringsprogrammet har blitt brukt."

6. desember 2005 sa Sony BMG at 5,7 millioner CDer med 27 titler ble levert med MediaMax 5 -programvare. Selskapet kunngjorde tilgjengeligheten av en ny programvareoppdatering for å forhindre et potensielt sikkerhetsbrudd på forbrukernes datamaskiner.

Sony BMG i Australia ga ut en pressemelding som indikerer at ingen Sony BMG -titler produsert i Australia har kopibeskyttelse.

Se også

Referanser

Kilder

Eksterne linker