Cosa è successo?
La Sony ha messo in commercio dischi con un sistema anticopia che infetta il computer Windows e lo rende esposto ad attacchi di pirati.
Non bastavano i pirati normali ci voleva anche una multinazionale per infettare (involontariamente?) i computer?
Cercheremo di rendere la lettura del documento originale un po' più semplice spiegando, di volta in volta, le parole più complesse usate da Paolo Attivissimo in modo che anche il lettore, lontano dal mondo informatico, possa trarne beneficio.
Di cosa si tratta?
Questo scandaloso sistema anticopia usato da Sony, infetta i PC Windows con un rootkit, rendendoli vulnerabili ad attacchi opportunisti e danneggiando il funzionamento del masterizzatore.
Il termine rootkit è utilizzato, in origine, per identificare una serie di tools (strumenti) utilizzati da pirati per guadagnare un accesso root (radice) al sistema attaccato. La caratteristica fondamentale di un rootkit è quella di risultare totalmente invisibile al sistema, in modo che né l'utente né nessun programma possano identificarlo.
Il Rootkit è uno strumento utilizzato dagli hacker e serve per catturare password e traffico di messaggi da e verso un computer, o una raccolta di strumenti che consente a un hacker di fornire una back door (portello posteriore) in un sistema, di raccogliere informazioni in altri sistemi nella rete, di mascherare il fatto che un sistema è stato manomesso, e altro ancora. Rootkit è disponibile per un’ampia gamma di sistemi operativi.
Per fare ciò, parlando del sistema operativo Windows, un rootkit può seguire diverse strade: una è quella di intercettare le chiamate alle API di Windows e modificandole arbitrariamente cercando di non farsi identificare; un'altra è quella di "modificare" il comportamento del kernel di sistema (Kernel-mode rootkits). Le API di Windows sono librerie a collegamento dinamico (DLL, Dynamic Link Library) che fanno parte del sistema operativo Windows. È possibile utilizzare le API di Windows per eseguire alcune attività in modo invisibile all'utente.
Questa premessa era d'obbligo per poter capire con certezza cosa Mark Russinovich ha scoperto.
Il fattaccio
Tutto comincia il 31 ottobre 2005, quando Mark Russinovich di Sysinternals.com annuncia di aver scoperto con sorpresa sul proprio PC Windows un rootkit: un programma nascosto, contenuto in una directory nascosta e invisibile ai normali comandi di Windows e accompagnato da vari device driver anch'essi nascosti.
Russinovich li scopre soltanto perché sta testando proprio un programma anti-rootkit.
Analizzando il rootkit, Russinovich scopre ancora più sorprendentemente che il rootkit è stato installato quando ha suonato sul proprio PC un disco pubblicato dalla Sony, Get Right with the Man dei Van Zant. Il disco, infatti, ha una protezione anticopia, denominata XCP e prodotta dall'inglese First 4 Internet, che si installa permanentemente nel PC senza avvisare che non è rimovibile e che altera il funzionamento di Windows rendendolo più vulnerabile.
Sistemi anticopia
Il sistema anticopia, infatti, non ha un programma di disinstallazione, e si occulta usando una tecnica estremamente rozza: altera Windows in modo che non veda qualsiasi file il cui nome inizi con "dollaro sys dollaro" così: "$sys$". Sony ha usato questo metodo per impedire agli utenti di accorgersi della presenza del sistema anticopia.
C'è un problema: il metodo, ovviamente, comporta che qualsiasi virus o altro software ostile che si imbatte in un Windows alterato da Sony in questo modo si ritrova con un nascondiglio perfetto: basta che usi un nome che inizia con "$sys$", e diventerà invisibile sia a Windows, sia agli antivirus.
Fra le altre chicche scoperte da Russinovich c'è anche il fatto che il sistema anticopia è sempre attivo come processo nascosto e utilizza il processore, rallentandolo, anche quando non si sta suonando il disco protetto. Basta insomma installare l'anticopia Sony per errore una sola volta per trovarsi con un computer permanentemente rallentato.
La rimozione della spia
Così Russinovich tenta di fare quello che chiunque farebbe se trovasse un rootkit sul proprio PC: rimuoverlo. Sony, come dicevo, non ha fornito un sistema di disinstallazione, per cui l'unico modo è rimuoverlo manualmente intervenendo sulla configurazione intima di Windows. Come risultato, gli scompare l'icona del lettore CD. Solo dopo aver speso altro tempo per ripristinare ulteriormente Windows e togliere altri elementi nascosti del sistema anticopia Sony, Russinovich riesce a riportare Windows al funzionamento normale. E chi lo ripagherà del tempo perso per riparare il proprio computer a causa del sistema Sony?
Caos e caso internazionale
L'annuncio di Russinovich non passa inosservato. La prima reazione è l'indignazione contro Sony per aver usato metodi degni di un pirata informatico: metodi fra l'altro assolutamente inutili, perché il disco è perfettamente copiabile usando un Mac o un PC Linux. In altre parole, siamo alle solite: le case discografiche insistono a usare sistemi anticopia che i pirati sanno scavalcare senza alcun problema, ma che puniscono gli acquirenti legittimi dei dischi.
Giocare e barare
Ma non mancano reazioni più sofisticate. La prima è stata quella dei giocatori poco onesti di World of Warcraft, che hanno approfittato della funzione di occultamento del rootkit Sony in un modo molto astuto: la Blizzard Entertainment, che produce World of Warcraft, ha creato un programma, Warden, che sorveglia il gioco ispezionando i PC dei giocatori alla ricerca di particolari programmi usati per barare. Ma basta installare questi programmi su un PC infettato dal sistema anticopia Sony e aggiungere al nome dei file del programma il prefisso "$sys$", e Warden non riesce a vederlo. Così i bari continuano indisturbati, grazie a Sony.
La Sony si difende
A fronte delle prime proteste, Sony rilascia una patch il 3 novembre 2005, che però non disinstalla il sistema anticopia: si limita a renderne visibili i file (e li aggiorna installandone una nuova versione). Ancora peggio del danno: ovvero dopo il danno anche le beffe.
Sempre il 3 novembre, Interlex.it pubblica una vivace e dettagliata analisi della tattica Sony, e giustamente si chiede perché Sony dovrebbe usare un sistema simile e nascondersi all'utente: "A chi serve un rootkit? Ovviamente a chi ha qualcosa da nascondere!
O, più precisamente: a chi vuole nascondere ad un legittimo utente il fatto di aver installato, a sua insaputa, un software sul suo sistema. E il fatto di volerne nascondere a tutti i costi l’esistenza già la dice lunga sia sulla legittimità dell’installazione che sulla liceità delle funzioni svolte dal software surrettiziamente installato!
Il giorno dopo (4 novembre 2005, ovvero un paio di settimane fa), Russinovich analizza la patch offerta da Sony, che richiede una solfa interminabile di richieste via e-mail a Sony per ottenerla, e scopre che è così rozza e brutale che può far andare a pezzi il vostro PC (Russinovich offre un metodo molto più semplice e sicuro per disabilitare il sistema anticopia).
Spiare quelli che sentono musica
La seconda analisi di Russinovich rivela inoltre che il sistema anticopia trasmette a Sony dati utilizzabili per sorvegliare le abitudini musicali dell'utente: infatti contatta automaticamente (e senza informarne l'utente) un sito della Sony per richiedere eventuali aggiornamenti alle immagini delle copertine dei dischi Sony protetti dal sistema anticopia. Dice Russinovich: "Con questo tipo di connessione... negato da Sony e non configurabile in alcun modo... i loro server potrebbero tenere traccia di ogni volta che viene suonato un disco protetto e l'indirizzo IP del computer che lo sta suonando".
E' a questo punto che entrano in gioco le società che producono antivirus: F-Secure dichiara che il sistema anticopia Sony verrà identificato dai suoi antivirus e che "le tecniche di occultamento usate sono esattamente le stesse usate dal software ostile noto come rootkit" e che "è pertanto molto scorretto che il software commerciale utilizzi queste tecniche".
Un cavallo di Troia nel vostro computer
Computer Associates è ancora più pesante e definisce il sistema anticopia Sony senza mezzi termini un "trojan" e lo cataloga nello spyware. L'analisi di CA, inoltre, dimostra che Sony sta facendo di tutto per rendere difficile la disinstallazione.
Si passa agli avvocati e alle cause
La protesta assume anche una connotazione legale: viene annunciato che l'1 novembre 2005 è stata iniziata dall'avvocato Alan Himmelfarb una class action in California contro Sony, chiedendo risarcimenti per tutti i consumatori danneggiati e l'inibizione della vendita dei dischi protetti da questo sistema anticopia.
Tempesta di denunce sulla Sony
Nel contempo, l'italiana ALCEI (Associazione per la Libertà nella Comunicazione Elettronica Interattiva) presenta un documentatissimo esposto alla Guardia di Finanza, ipotizzando fra le altre la violazione dell'articolo 392 c.p., che punisce "...colui che, al fine di esercitare un preteso diritto, si fa arbitrariamente ragione da sé medesimo" "alterando, modificando, o cancellando in tutto o in parte un programma informatico', ovvero 'impedendo o turbando il funzionamento di un sistema informatico o telematico'... e chiedendo di sapere, fra le altre cose, se il sistema anticopia è presente nei dischi Sony in vendita in Italia.
Dischi infettanti
Il 9/11 la Electronic Frontier Foundation pubblica un elenco dei dischi protetti dal sistema anticopia contestato: una ventina di titoli, che includono nomi come Celine Dion, Ricky Martin e Neil Diamond, e spiega come riconoscere i dischi infetti.
Virus opportunisti
Il 10 novembre 2005 viene rilevato il primo virus che sfrutta la falla di sicurezza creata da Sony: una variante del virus Breplibot. Sony ora non può più argomentare che si tratta di una falla ipotetica. Anche Kasperski definisce "spyware" l'anticopia Sony, mentre McAfee aggiorna il proprio antivirus per "rilevare, rimuovere e impedire la reinstallazione" dell'XCP. Zone Labs (quella di Zone Alarm) segue a ruota insieme a Sophos.
Arriva l'antiterrorismo USA
L'11 novembre arrivano altri virus che sfruttano la falla Sony, e le cause contro Sony salgono a sei. Lo stesso giorno, entra in scena il peso massimo: si scomoda addirittura il Department of Homeland Security (il Dipartimento per la Sicurezza Nazionale statunitense, quello che si occupa di antiterrorismo). Parlando dei sistemi anticopia, ma senza fare il nome di Sony, un suo funzionario ammonisce, di fronte al presidente della RIAA (associazione dei discografici USA), che "è molto importante ricordare che la proprietà intellettuale è vostra: ma il computer no, e nella ricerca della tutela della proprietà intellettuale, è importante non disabilitare o minare le misure di sicurezza che la gente oggigiorno ha bisogno di usare... se si verifica un'epidemia di influenza aviaria... dipenderemo moltissimo sulla capacità di fornire accesso a distanza per moltissime persone, e mantenere funzionante l'infrastruttura sarà questione di vita o di morte".
La Sony nella bufera
In altre parole, la Sony ha passato il segno. La legge non le conferisce il diritto di danneggiare i computer altrui, neppure se lo fai per difendere il tuo diritto d'autore. E se il tuo sistema anticopia rende vulnerabili i computer proprio quando ne abbiamo più bisogno, sei responsabile anche tu delle gravissime conseguenze.
L'11 novembre, poco dopo queste parole di fuoco dell'amministrazione Bush, Sony dichiara che smetterà "come misura precauzionale" di fabbricare CD che usano il sistema anticopia XCP.
Come riconoscere un'eventuale infezione da parte di questo sistema e come prevenirla? Il rischio è relativamente basso, dato che pare che i CD protetti con XCP non siano ancora in circolazione in Europa, ma una controllatina non fa mai male.
Regole pratiche per togliersi il malanno della Sony
Prendete un file qualsiasi, duplicatelo e cambiatene il nome prefissandolo con dollarosys dollaro ovvero: "$sys$": se scompare (cioè se Esplora Risorse non lo vede più), siete infetti; se rimane visibile, siete a posto.
Per evitare infezioni, disabilitate temporaneamente l'Autorun di Windows, premendo il tasto Shift durante l'inserimento del disco, ed evitate in generale di installare qualsiasi software presente sui CD musicali. Usate un Mac o un PC Linux, entrambi immuni all'anticopia Sony: o più semplicemente ed efficacemente, non comperate dischi infetti.
Fonte:
www.wintricks.it/news1/article.php?ID=4306[Modificato da Tommy83 21/11/2005 19.07]
[Modificato da Tommy83 21/11/2005 23.26]
