CD de Sony BMG instala ”rootkit” oculto en Windows
Un nuevo CD de música emitido por Sony incorpora medidas extremas para impedir la piratería. El procedimiento es camuflado e invasivo, por lo que desde ya se cuestiona su legalidad.
Normalmente, el concepto ”rootkit” se refiere a un conjunto de herramientas instalado subrepticiamente por un intruso en un sistema informático con el fin de asegurarse el posterior acceso al sistema.

Hay ”rootkits” disponibles para la mayoría de los sistemas operativos, incluyendo Windows y Linux. Su detección y eliminación es muy difícil, debido a que los ”rootkits” son programas que a menudo modifican numerosas de las aplicaciones y bibliotecas en los programas de los cuales depende el sistema. Asimismo, los ”rootkits” ocultan sus archivos o su configuración en el registro de Windows.

Mark Russinovich es director tecnológico y cofundador de Winternals Software, que entre otras cosas opera el sitio Sysinternals. Sysinternals es un sitio serio y prestigioso entre usuarios informáticos avanzados. Russinovich asegura haber descubierto un ”rootkit” en su computadora después de haber escuchado música con protección DRM (Digital Rights Management) en un CD de música de Sony BMG.

Russinovich dice haber descubierto casualmente una carpeta oculta, con conectores ocultos y una aplicación, igualmente oculta, en su sistema Windows. Luego de una acuciosa investigación, que describe en detalle en su blog, el experto constató que se trata de ”Essential System Tools”, software desarrollado por la compañía First 4 Internet. Investigando, Russinovich pudo constatar que esta compañía ofrece, entre otras cosas, soluciones DRM para CD. El experto dijo además que la aplicación ”Essential System Tools” estaba instalada en un CD específico de Sony BMG: ”Get Right with the Man”, de Van Zant.

”El hecho que un CD de música instale software en un PC para permitir su reproducción, posiblemente puede ser aceptado, siempre y cuando el usuario haya sido informado antes de que el software será instalado”, escribe Russinovich, recalcando que este no es, de ninguna manera, el caso. Aparte de instalarse subrepticiamente y ocultar su presencia ante el usuario, el software permanece activo, usando capacidad de cálculo del procesador, incluso cuando el CD no está siendo escuchado. Los conectores son además instalados de forma que también se cargan en el modo de seguridad de Windows, y también pueden desactivar los conectores de la unidad de CD de propio PC. Cuando Russinovich intentó desinstalar los conectores, la unidad de CD dejó de funcionar. Como era de esperarse, ”Essential System Tools” no incluye un sistema de desinstalación.

Russinovich es un usuario avanzado y finalmente logró solucionar el problema. Sin embargo, destaca que un usuario corriente de PC probablemente nunca habría descubierto el ”rootkit” y, menos aún, eliminarlo.

Russinovich y algunos lectores de su blog plantea la posibilidad de demandar a Sony BMG por intrusión ilegal y manipulación de los PCs. Aunque la compañía no ha diseñado por cuenta propia la solución DRM, sin duda alguna le corresponde una responsabilidad legal.

Sony, que distribuirá un parche para su propio software maligno, no lo eliminará, obligando a los usuarios que lo quieran eliminar a pasar por su "atención al cliente", algo que es inaudito y que debería de distribuir un parche que lo elimine automáticamente ya que el usuario no ha dado su consentimiento a ello.

Preparan la primera demanda en Estados Unidos contra Sony

El bufete californiano Green Welling LLP está recabando información de aquellos consumidores que hayan adquirido un CD protegido de Sony BMG y lo hayan utilizado en su ordenador antes del 31 de Octubre de 2005.

Green Welling está investigando si, como se dice, los CDs protegidos de audio publicados por Sony BMG a partir del 1 de enero efectivamente contienen un software ilegal, no autorizado y potencialmente dañino que no es revelado al consumidor cuando el disco se inserta en un PC bajo Microsoft Windows. Y aún más: si el software no puede ser desinstalado o eliminado por el usuario final sin considerable tiempo, gasto y experiencia...

Sony sued over rootkits

Italy kicks it off

SONY IS FINALLY GOING to have to answer the tough questions, because it is being sued.
According to the press release here, and the complaint here, the Italian group ALCEI is suing Sony over the rootkitting DRM infection.

It seems that ALCEI hired a noted Italian security researched names Stefano Zanero to dot all the Is and cross all the Ts. µ

Sony desiste de seguir espiando a sus clientes con ”rootkit”

Sony BMG ha cedido ante las fuertes presiones de una opinión pública indignada ante su controvertido ”rootkit” de protección de CDs de música.

Sony BMG Music Entertainment informa el viernes 11 de noviembre que, hasta nuevo aviso, suspenderá la distribución de CDs con el sistema de protección XCP.

La causa principal es que los CDs con el rootkit de Sony pueden, de hecho, dejar el PC vulnerable ante ataques de intrusos informáticos.

La compañía ”se reserva el derecho a seguir protegiéndose de la piratería”, pero subraya que suspenderá el actual sistema de protección, mientras considera otras alternativas. 

El hecho que el propio presidente de Sony BMG, Thomas Hesse, defendiera la práctica señalando que la mayoría de los usuarios de todas formas no entiende el tema, no hizo sino aumentar la indignación generalizada y campañas invitando a boicotear a Sony BMG.

Lista de CDs que contienen el controvertido rootkit de Sony BMG:

• Trey Anastasio - Shine
• Celine Dion - On ne Change Pas
• Neil Diamond - 12 Songs
• Our Lady Peace - Healthy in Paranoid Times
• Chris Botti - To Love Again
• Van Zant - Get Right with the Man
• Switchfoot - Nothing is Sound
• The Coral - The Invisible Invasion
• Acceptance - Phantoms
• Susie Suh - Susie Suh
• Amerie - Touch
• Life of Agony - Broken Valley
• Horace Silver Quintet - Silver´s Blue
• Gerry Mulligan - Jeru
• Dexter Gordon - Manhattan Symphonie
• The Bad Plus - Suspicious Activity
• The Dead 60s - The Dead 60s
• Dion - The Essential Dion
• Natasha Bedingfield - Unwritten
• Ricky Martin - Life

Primer troyano que aprovecha el rootkit de Sony

Detectado, tal y como era previsible, el primer troyano que se
aprovecha del rootkit instalado por el sistema anticopia de Sony para
ocultarse en los sistemas.

Hoy se ha detectado el envío mediante spam de un malware que utiliza
exactamente esa técnica, hospedándose en el directorio de sistema de
Windows bajo el nombre de "$sys$drv.exe". El troyano se conecta a un
servidor IRC donde puede recibir diferentes órdenes de los atacantes,
hasta el punto de poder instalar otros programas maliciosos y obtener
el control total del sistema infectado.

Las características de este troyano y su incidencia son irrelevantes.
De hecho, un error del creador del troyano hace que no se ejecute
tras reiniciar el sistema, al no introducir correctamente la entrada
en el la clave RUN del registro de Windows. Detalles sobre el error
del creador del troyano en http://blog.hispasec.com/laboratorio/72

Lo destacado de este caso es que pone en evidencia la táctica
intrusiva utilizada por Sony en su sistema anticopia, que además
pone en un riesgo innecesario a sus clientes.

I've been getting a lot of questions in the last week about Microsoft's position on the Sony DRM and rootkit discussions, so I thought I'd share a little info on what we're doing here. We are concerned about any malware and its impact on our customers' machines. Rootkits have a clearly negative impact on not only the security, but also the reliability and performance of their systems.

We use a set of objective criteria for both Windows Defender and the Malicious Software Removal Tool to determine what software will be classified for detection and removal by our anti-malware technology. We have analyzed this software, and have determined that in order to help protect our customers we will add a detection and removal signature for the rootkit component of the XCP software to the Windows AntiSpyware beta, which is currently used by millions of users. This signature will be available to current beta users through the normal Windows AntiSpyware beta signature update process, which has been providing weekly signature updates for almost a year now. Detection and removal of this rootkit component will also appear in Windows Defender when its first public beta is available. We also plan to include this signature in the December monthly update to the Malicious Software Removal Tool. It will also be included in the signature set for the online scanner on Windows Live Safety Center.

I'll update you if any more information comes up.