Sony rootkit - zainstaluj sobie dziurę w systemie

Jak daleko może iść pościg za techniczną ochroną "praw własności intelektualnej"? Okazuje się, że spece od bezpieczeństwa uznali już, że ochrona ta poszła za daleko. Co to są narzędzia typu rootkit? Ukrywają pliki, obiekty systemowe, wpisy w rejestrach, w taki sposób, że nie są już dostępne do ewentualnej diagnostyki. Ktoś wymyślił, że ten sposób działania idealnie będzie nadawał się do instalowania narzędzi typu DRM.

W pierwszej kolejności odsyłam do raportu z prac badawczych Marka Russinovicha. Po przebrnięciu przez to należy rzucić okiem na blog F-Secure.

O co chodzi? Krótki i dosadny wyciąg informacji przesłał jeden z czytelników serwisu, Paweł Kierski z MKS: "Sony na niektórych płytach CD, w ramach implementacji DRM, zastosowało techniki używane do tej pory raczej przez twórców robaków, wirusów itp. "narzędzi". Chodzi o ukrycie w systemie pewnych elementów (plików, procesów, wpisów w rejestrze) tak, żeby wyinstalowanie oprogramowania było co najmniej trudne. Co gorsza - moduł do ukrywania elementów w systemie może być wykorzystany przez inne programy (w tym szkodliwe), czyli po prostu instalujemy sobie dziurę w systemie".

W ten oto sposób techniczna ochrona praw własności intelektualnej, realizowana za pomocą narzędzi DRM (Digital Right Management) przekroczyła wirtualną, cienką linię, która oddziela dwa światy. To spore wyzwanie dla ustawodawcy. Z jednej strony stara się on penalizować tzw. "narzędzia hakerskie", z drugiej strony koncerny muzyczne zaczynają stosować w swoich rozwiązaniach pewne mechanizmy znacznie ułatwiające przejęcie zdalnej kontroli nad systemem informatycznym, na którym zostanie "zainstalowany" dany mechanizm. Coraz częściej rozwiązania stosowane przez branże muzyczną i filmową (aczkolwiek przecież nie tylko przez te dwie) są wręcz dedykowane przejmowaniu kontroli zdalnej nad systemem.

A potem może się okazać, że na własnym komputerze, bez wiedzy i zgody prawowitego użytkownika, uruchomiony zostanie proces, który po pewnych operacjach przedstawi nam się jako:

C:\WINDOWS\system32\$sys$filesystem\$sys$DRMServer.exe

Jeśli doda się do tego, że przedstawiciele ww. branż stwierdzali już publicznie, że słuchanie muzyki jest przywilejem, i wcale nie jest powiedziane, że użytkownicy Mac'ów czy Linuxów mają prawo korzystać z rozpowszechnionych utworów muzycznych...

Jeśli doda się do tego, że system operacyjny zaopatrzony w system zarządzania prawami do cyforwych utworów może nam uniemożliwić korzystanie z własnego monitora...

Jeśli dodać do tego jeszcze, że system może pozwolić np. na uruchmienie danego pliku (odsłuchanie go) tylko pięć, albo sześć razy, choćby sam utwór inkorporowany w tym pliku nie był chroniony przez prawo autorskie...

...To każdy powinien się zastanowić nad tym, dokąd ten świat zmierza. Zwłaszcza, że już ze świata przychodzą sygnały, iż firmom produkującym rozwiązania programistyczne nie podoba się to, że niezależni badacze publikują informacje o lukach bezpieczeństwa i sposobach działania systemów. Wiadomo. To przecież narusza tajemnicę przedsiębiorstwa. W efekcie będzie tak, że na naszych nadgarstkach za plecami coś będzie krępowało nam ruchy, jednak próba zdjęcia "tego czegoś" będzie surowo karana, podobnie jak próba dowiedzenia się: "co to właściwie jest".

Jak podaje PAP: "W 2010 roku w Europie i Ameryce Północnej 16 proc. całej sprzedaży utworów muzycznych odbywać się będzie online". Ponoć 60 % dochodów ze sprzedaży takich utworów muzycznych pochodzić będzie z wpływów comiesięcznych subskrypcji.

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

No dobrze, tylko czy to na pe

ksiewi's picture

No dobrze, tylko czy to na pewno ma coś wspólnego z prawem własności intelektualnej? Prawo to, dajmy na to prawo autorskie, sprowadza się do normy: Jeżeli nie jesteś twórcą to nie możesz korzystać, rozpowszechniać i pobierać wynagrodzenia za utwór, chyba, że działasz w ramach dozwolonego użytku.

DRMy i inne zabezpieczenia techniczne funkcjonują w oparciu o normę: Nikt nie może usuwać zabezpieczeń. Jak sam zauważyłeś, niezależnie czy zabezpieczony przedmiot jest utworem, czy nie. Oczywiście - jak już starałem się tu wykazać - ta druga norma może uczynić tę pierwszą bezużyteczną. W sprawie DeCSS sąd amerykański wyraźnie powiedział, że osoba przełamująca zabezpieczenia nie może powołać się na dozwolony użytek bo DMCA to osobna regulacja, która nie przewiduje odpowiednika "fair use defence" z Copyright Act (piszę z pamięci).

Ale problem moim zdaniem leży w bezwzględnym zakazie obchodzenia zabezpieczeń, a nie w ochronie utworów, wynalazków itp. Choć z drugiej strony...

Trochę źródeł jeszcze

VaGla's picture

Przeskanowałem Sieć i pomyśłałem, że dodam jeszcze trochę źródeł do pierwszej informacji.

Otóż teksty o Sony opublikowały również takie serwisy jak: Slashdot, the Inquirer oraz the Washington Post. Polecam komentarze w drugim tekście Slashdota.
--
[VaGla] Vigilent Android Generated for Logical Assasination

jest już patch

ksiewi's picture

Washingtonpost podał, że Sony oferuje patch, który "złagodzi niektóre cechy programu DRM". Po angielsku brzmi to jeszcze śmieszniej, bo użyto słowa "features" - jest to chyba pierwszy w historii patch, który eliminuje "features", a nie "bugs".

W tym samym artykule wypowiada się pewien prawnik z Filadelfii - jego zdaniem, skoro oprogramowanie DRM ma na celu ochronę wartościowych treści, to samo także musi być odporne na próby rozpracowania jego działania, co powoduje, że jego twórcy dążą do jego ukrycia. Pobrzmiewa mi tu dalekie echo dyskusji w sprawie Płatnika, w której ktoś utożsamiał ujawnienie kodów źródłowych z ujawnieniem klucza kodowania danych...

Tymczasem, Open Media Commons pracuje nad technologią DRM z otwartymi kodami źródłowymi... czyli jednak można?

Chcę tylko dodać, że odróżniam ujawnienie kodów źródłowych od możliwości ukrycia samego programu w trakcie jego działania. O Open Media Commons piszę jednak dlatego, że traktuję DRM o otwartych kodach źródłowych jako środek do ustalenia akceptowalnej granicy pomiędzy bezpieczeństwem i swobodą użytkownika (także dozwolonym użytkiem), a ochroną słusznych praw twórców (i producentów).

Historia nauczycielka

Tomasz Rychlicki's picture

Znam bardzo wiele patchy, ktore eliminuja pewne "features" zawarte/zaimplementowane w oprogramowaniu.

patch (ang. łata)

ksiewi's picture

Uratowała mnie zatem prawnicza ostrożność, która skłoniła mnie do napisania "chyba pierwszy w historii". Jak dla mnie - łata się to, co jest dziurawe, choć byłem kiedyś świadkiem dyskusji na temat jakiegoś buga, w której jedna z osób powiedziała "Is it really a bug? Since I've been using this program I considered it is a feature..."

Czy Szanowny Pan uznaje za "features" elementy polegające na stworzeniu backdoora czy też uniemożliwieniu korzystania z odtwarzacza CD? Z lektury artykułu w WP wynika, że ten patch nawet i tych "features" nie usuwa.

Lata sie

Tomasz Rychlicki's picture

Od wielu lat stosuje sie patche rowniez w celu likwidacji "features" zwiazanych z ograniczeniami wynikajacymi z takich licencji jak "trial". Nie wiem czy brzmi to dosyc czytelnie. W takim aspekcie DRM to nic nowego od dawien dawna. HASP Dongle, FlexLM i inne zagadnienia, to rowniez DRM.

Krótkowzroczność... żeby nie powiedzieć bardziej dosadnie

Sony wypuściło coś, co może się zemścić na całej idei DRM - masom ludzi dali do rąk narzędzie do oszukiwania systemów zabezpieczeń. Wystarczy zdać sobie sprawę, że nikogo nie można skazać za używanie tego rootkita do swoich celów ;->. Na 7thGuard.net jest artykuł na temat "twórzych zastosowań", które mogą sprawić, że teraz płyty CD będą nielegalnie kopiowane celem pozyskania tego rootkita. ROTFL.

normy, normy ...PL

Prawotronik's picture

Nie mam pod ręką komentarza do kk, ale co myslicie o art 287 k.k. ?
1 bez zgody - tak
2 zmiania zapis danych informatycznych - tak
3 w celu wyrządzenia szkody ? - nie , ale
4 w celu osiągnięcia korzyści majątkowej - tak/nie

Jeśli uznać, że wprowadzenie rootkita następuje w celu osiągnięcia korzyści majątkowej ...
:-)

volenti non fit iniuria

ksiewi's picture

Trzeba jeszcze uznać, że wprowadzenie rootkita nastąpiło bez zgody. Tymczasem, według informacji z raportu tego informatyka, CD opatrzone jest licencją "click-wrap", która informuje o instalacji programu. Pytanie, czy kliknięcie na taką licencję to świadome wyrażenie zgody? A jeżeli tak, to na co dokładnie?

EULA i wszystko jasne

Prawotronik's picture

Też chciałbym się dowiedzieć dokładnie jakiego typu informacja znalazła się na cd-cover. Znając sposoby działania działów marketingu sądzę, że nie byłą to informacja - "zainstaluje ci w systemie ukrytego robaka, żebyś nie mógł go wyłączyć", lecz pewnie pisali o "niezbędnym oprogramowaniu". To jednak wydaje mi się za mało i nie usprawiedliwia opisanych działań.

Napisawszy powyższe zdanie sprawdziłem jeszcze kilka rzeczy na zdnet i... polecam przeczytanie poniższego atykułu, który potwierdza moje przypszczenia :-)

http://news.zdnet.co.uk/software/0,39020381,39235647,00.htm


The End-User License Agreement (EULA) on the Van Zant CD states that the "CD will automatically install a small proprietary software program", which is "intended to protect the audio files embodied on the CD". It also limit its liability to $5, "for any loss or damage, either direct, indirect, incidental, consequential or otherwise" caused by Sony (in Article 6 of the agreement), and defends itself against damages arising out of your actions (in Article 7), thereby protecting itself from potential damage caused to the CD player if the software is removed.

CZy jednak użytkownik ma świadomość co tak naprawdę instaluje mu się w systemie ? Moim zdaniem nie i dlatego nadal uważam działanie S. za bezprawne

RIAA: przecież SONY nie zrobiło nic złego...

VaGla's picture

Osiemnastego listopada odbyła się konferencja prasowa, w czasie której Cary Sherman, szef RIAA stwierdził, iż "nie ma nic nienormalnego w technologii używanej do ochrony praw własności intelektualnej"... Jego zdaniem jest to problem czysto techniczny. Przecież nie robi się wiadomości dnia z faktu, że jakieś oprogramowanie działa nie tak, jak chciał tego jego twórca.
--
[VaGla] Vigilent Android Generated for Logical Assasination

Sony przyznaje, że łata jest wadliwa

VaGla's picture

Dzisiaj w Gazeta.pl można przeczytać: "Sony BMG oficjalnie przyznało, że kolejny stosowany przez wytwórnię program - MaxMedia firmy SunnComm - który zabezpiecza przed kopiowaniem 6 mln wydanych płyt, stanowi poważne zagrożenie dla bezpieczeństwa komputerów klientów"
--
[VaGla] Vigilant Android Generated for Logical Assassination

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>