Skip to content

O Rootkit de DRM da Sony: A Verdadeira História

28 de fevereiro de 2013

Extraido do Blog de Bruce Scsonyipodhneier. Tradução livre por Fernando Fonseca

É uma história de David contra Golias, sobre os blogs de tecnologia derrotando uma megacorporação.

Em 31 de Outubro, Mark Russinovich detonou a história em seu blog: A Sony BMG Music Entertainment distribuiu um esquema de proteção contra cópias junto com seus CD’s que secretamente instalava um rootkit nos computadores. Essa ferramenta é executada sem o conhecimento nem consentimento: ela é carregada em seu computador por um CD, e um hacker pode obter e manter acesso ao seu sistema sem que você saiba.

O código da Sony modifica o Windows para que não se possa dizer que está lá, um processo denominado “Clocking” (Camuflagem) no mundo hacker. Ele age como um spyware, sorrateiramente enviando informações sobre você para a Sony. E ele não pode ser removido; tentar livrar-se dele danifica o Windows.

A história foi acolhida por outros blogs (inclusive o meu), e logo depois pela mídia de informática. Finalmente os grandes meios de comunicação trouxeram isso à tona.

O Clamor foi tão grande que em 11 de novembro a Sony anunciou que estava temporariamente parando a produção desse esquema de proteção de cópias. Isso ainda não era o suficiente, em 14 de novembro a companhia anunciou que estava retirando das lojas os CD’s protegidos, e oferecia aos usuários uma troca gratuita dos CD’s infectados.

Mas essa não é a história real aqui

É uma história sobre extrema arrogância. A Sony distribuiu seu incrivelmente invasivo esquema de proteção contra cópia sem sequer discutir publicamente seus detalhes, confiando que os benefícios justificariam a modificação nos computadores de seus clientes. Quando essa ação foi inicialmente descoberta, a Sony ofereceu um “fix”que não removia o rootkit, apenas a camuflagem.

A Sony alegou que o rootkit não “ligava para casa”, quando na realidade ele o fazia. Em 4 de novembro, Thomas Hesse, presidente global de negócios digitais da Sony BMG, demonstrou todo o desdenho da companhia por seus clientes quando ele disse em uma entrevista à NPR: A maior parte das pessoas nem sequer sabe o que é um rootkit, então porque eles devem se preocupar com isso?

No entanto, o comportamento arrogante de uma corporação também não é a história real

Esse drama é sobre incompetência. A última ferramenta de remoção do rootkit da Sony na realidade deixa uma vulnerabilidade escancarada. E o rootkit da Sony, desenhado para parar as infrações de direitos autorais pode ter infringido ele mesmo uma copyright. Por mais incrível que isso possa parecer, o código parece incluir um codificador MP3 de código aberto, em violação à licença dessa biblioteca. Mas mesmo isso não é a história real.

É um épico de ações judiciais coletivas na Califórnia e em outros lugares, e o foco das investigações criminais. O rootkit teria sido encontrado em computadores do Departamento de Defesa, para desgosto do Departamento de Segurança Interna. Enquanto a Sony poderia ser processada sob a legislação de cybercrime dos EUA, ninguém acha que ela será. E ações nunca são toda a história.

Esta saga é cheia de reviravoltas estranhas. Alguns apontaram como este tipo de software degradaria a confiabilidade do Windows. Alguém criou um código malicioso que usava o rootkit para se esconder. Um hacker usou o rootkit para evitar o spyware de um jogo popular. E havia até mesmo chamadas para boicotar a Sony em todo o mundo. Afinal, se você não pode confiar que a Sony não vai infectar o seu computador quando você compra CDs com suas músicas, você pode confiar nela para lhe vender um computador não infectado? Essa é uma pergunta boa, mas, de novo, não a verdadeira história.

É ainda outra situação onde os usuários do Macintosh podem assistir, divertindo-se (bem, na maior parte) do lado de fora, perguntando por que alguém ainda usa o Microsoft Windows. Mas certamente, mesmo isso não é a história real.

A história de prestar atenção aqui é o conluio entre grandes empresas de mídia que tentam controlar o que fazemos em nossos computadores e companhias de software de segurança, e empresas que deveriam estar nos protegendo.

As estimativas iniciais são de que mais de meio milhão de computadores no mundo estão infectadas com este rootkit da Sony. São números surpreendentes de infecção, tornando esta uma das epidemias mais graves da Internet de todos os tempos, no mesmo nível de worms como Blaster, Slammer, Code Red e Nimda.

O que você acha da sua empresa antivírus, o que não percebeu rootkit da Sony, uma vez que ele infectou meio milhão de computadores? E isso não é um daqueles vermes relâmpago da Internet; este vem se espalhando desde meados de 2004. Porque se espalhou através de CDs infectados, não através de conexões de internet, eles não notaram? Este é exatamente o tipo de coisa que você está pagando essas empresas para detectar, especialmente porque o rootkit foi “telefonar para casa”.

Mas muito pior do que não detectá-lo antes da descoberta de Russinovich foi o silêncio ensurdecedor que se seguiu. Quando um novo malware é encontrado, empresas de segurança caem sobre si para limpar os nossos computadores e inocular nossas redes. Não neste caso.

A McAfee não adicionou um código de detecção de até 09 de novembro, e agora, 15 de novembro ainda não remove o rootkit, somente o dispositivo de camuflagem. A empresa admite em sua página web que este é um compromisso pobre. “A McAfee detecta, remove e evita a reinstalação do XCP.” Esse é o código de camuflagem. “Por favor, note que a remoção não irão afetar os mecanismos de proteção de direitos autorais instalados a partir do CD. Houve relatos de travamento do sistema, possivelmente resultante de desinstalar o XCP”. Obrigado pelo aviso.

Resposta da Symantec para o rootkit, para ser gentil, evoluiu. No início, a empresa não considerou o XCP como um Malware. Não era até 11 de novembro que a Symantec publicou uma ferramenta para remover a camuflagem. Em 15 de novembro, ainda é insossa sobre isso, explicando que “este rootkit foi projetado para esconder uma aplicação legítima, mas pode ser usado para esconder outros objetos, incluindo software malicioso”.

A única coisa que torna este rootkit legítimo é o fato de uma empresa multinacional colocá-lo no seu computador, e não uma organização criminosa.

Você poderia esperar que a Microsoft fosse a primeira empresa a condenar este rootkit. Afinal, o XCP corrompe o interior do Windows de uma forma bastante desagradável. É o tipo de comportamento que poderia facilmente levar a falhas no sistema, falhas que os clientes culpam a Microsoft. Mas não foi até 13 de novembro, quando a pressão pública era muito grande para ser ignorada, e a Microsoft anunciou que iria atualizar suas ferramentas de segurança para detectar e remover a parte do disfarce do rootkit.

Talvez a única empresa de segurança que merece louvor é F-Secure, o primeiro e o mais alto crítico das ações da Sony. E a Sysinternals, é claro, que hospeda blog do Russinovich e trouxe isto para a luz.

Segurança ruim acontece. Isso sempre foi e sempre será. E as empresas fazem coisas estúpidas, sempre fizeram e sempre farão. Mas a razão que nós compramos produtos de segurança da Symantec, McAfee e outros, é para nos proteger de segurança ruim.

Eu realmente acreditava que, mesmo na maior e mais corporativa empresa de segurança haveriam pessoas com instintos hacker, pessoas que iriam fazer a coisa certa e fazer soar o apito.Se todas as grandes empresas de segurança, após mais de um ano, deixaram de notar ou não fizeram nada sobre esso rootkit da Sony, isso demonstra incompetência na melhor das hipóteses, e ética ruins na pior das hipóteses.

A Microsoft eu posso entender. A empresa é um fã de proteções invasivas contra cópia. Isso vem sendo construído na próxima versão do Windows. A Microsoft está tentando trabalhar com empresas de mídia como a Sony, esperando que o Windows torne-se a escolha como canal de distribuição de mídia. E a Microsoft é conhecida por cuidando de seus interesses comerciais em detrimento daqueles de seus clientes.

O que acontece quando os criadores de malwares agem em conluio com as próprias empresas que contratamos para nos proteger desse malware?

Nós os usuários perdemos, isso é o que acontece. Um rootkit perigoso e prejudicial fica solto no mundo, e meio milhão de computadores são infectados antes que alguém faça alguma coisa.

Para quem as empresas de segurança realmente estão trabalhando? É improvável que este rootkit da Sony é o único exemplo de uma empresa de mídia utilizando esta tecnologia. Qual empresa de segurança tem engenheiros procurando os outros que possam estar fazendo isso? E o que eles vão fazer se encontrar um? O que eles vão fazer na próxima vez que alguma empresa multinacional decidir que possuir seus computadores é uma boa ideia?

Essas questões são a verdadeira história, e todos nós merecemos respostas.

Versão original em Inglês: Schneier on Security: Sony’s DRM Rootkit: The Real Story

 

Anúncios
3 Comentários
  1. P.R.P permalink

    Parece Teoria da Conspiração…mas quantos programinhas “inofensivos” que rodam em background e não temos ciência.
    Muito interessante este relato.
    Parabéns !

  2. stribus permalink

    foi quando que o cara descobriu este rootkit?
    onde posso “conseguir” ele é em qq cd da sony? quais os arquivos são alterados e criados por eles? onde posso obter mais informações sobre ele?

    antes qu esqueça, muito boa tradução.

    • Esse Rootkit faz muitos anos, mas a história é atemporal. Não sei como achar o Rootkit no momento.

      Obrigado

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: