Esta anotación podría haberse llamado “La lucha por los derechos de propiedad va demasiado lejos” o “¿Las discográficas están dispuestas a todo?” o “Sony-BMG se fue al carajo”.

Hace más de un mes, Mark Russinovich se encontraba probando una nueva versión de RootkitRevealer. Cuando Mark analiza el sistema de su PC con el software mencionado, advierte que ha detectado un rootkit. Luego de un arduo trabajo digno de un muy buen techno-thriller (el proceso seguido por Russinovich puede leerse en esta entrada de su blog), Mark encuentra el origen del rootkit: el disco Get Right with the Man de los hermanos Van Zant, que hacía muy poco tiempo había comprado en Amazon.com, contenía un DRM (Digital Rights Management software) para CDs desarrollado por la firma First4Internet (F4I).

En junio pasado, C|NET había informado sobre los acuerdos que tenía F4I con distintas compañías discográficas y comentaba que:

Since March, the company has released at least 10 commercial titles — more than 1 million discs in total — featuring technology from UK antipiracy specialist First4Internet that allows consumers to make limited copies of protected discs, but blocks users from making copies of the copies.

[...]

As with other copy-protected discs, albums featuring XCP (extended copy protection) will allow for three copies to be made.

Y el artículo agregaba:

First4Internet’s XCP has been used previously on prerelease CDs only. Sony BMG is the first to commercially deploy XCP.

First4Internet’s other clients — who include Universal Music Group, Warner Music Group and EMI — are using XCP for prerelease material.

Sin embargo, nadie pareció notar el anuncio (y más adelante voy a volver sobre este punto) hasta el descubrimiento de Mark Russinovich.

Recién entonces, la noticia se desparramó como un virus (especialmente en Internet) y no fueron pocos los grandes medios que se ocuparon del tema: el Washington Post, el New York Times, USA Today, Business Week y la BBC, entre otros. En Argentina, sólo pude encontrar menciones en el diario La Nación y en la revista Mercado. Parece que Clarín consideró que el tema no era lo suficientemente importante para ser publicado (lo menos que puedo decir es que resulta, por lo menos, extraño).

Frente a la crisis, Sony-BMG reaccionó con una torpeza y una arrogancia enormes. El 4 de noviembre, durante una entrevista en la radioemisora NPR, Thomas Hesse, Presidente de Sony-BMG, declara:

Most people don’t even know what a rootkit is, so why should they care about it (La mayoría de la gente no tiene ni idea de lo que es un rootkit, así que ¿por qué debería importarles?).

Durante los primeros días del escándalo, Dan Kaminsky realiza un trabajo impecable, refuta la afirmación de Sony-BMG sobre que el rootkit “no llama a casa” y hace una estimación de los usuarios infectados por el DRM:

It now appears that at least 568,200 nameservers have witnessed DNS queries related to the rootkit. How many hosts does this correspond to? Only Sony (and First4Internet) knows…unsurprisingly, they are not particularly communicative. But at that scale, it doesn’t take much to make this a multi-million host, worm-scale Incident.

Además, Kaminsky se tomó el trabajo de georeferenciar los datos y fue posible ver el avance de la infección en Estados Unidos, Europa, Asia y Sudamérica.

A esta altura, el incidente del rootkit no tenía retorno.

Mark Russinovich vuelve a la carga y denuncia que el código del patch distribuido por Sony-BMG para desinstalar el DRM tendría un error que podría dejar sin funcionamiento al sistema operativo.

Durante la primera semana de noviembre, se presentaron las primeras demandas judiciales contra Sony-BMG en Estados Unidos e Italia.

Vía Denken Über, supe que Stewart Baker, Secretario del Departamento de Seguridad Interna de los Estados Unidos opinó al respecto:

It’s very important to remember that it’s your intellectual property — it’s not your computer. And in the pursuit of protection of intellectual property, it’s important not to defeat or undermine the security measures that people need to adopt in these days.

If we have an avian flu outbreak here and it is even half as bad as the 1918 flu, we will be enormously dependent on being able to get remote access for a large number of people, and keeping the infrastructure functioning is going to be a matter of life and death and we take it very seriously.

Nuevos análisis del patch distribuido por Sony-BMG reveló más errores: la ejecución del programa dejaba abierta una brecha en la seguridad de Windows.

El 10 de noviembre, la compañía de seguridad informática Sophos advirtió sobre la existencia de un troyano que aprovecha las caracteristicas del sistema DRM de Sony-BMG para ocultarse en el sistema.

El troyano viaja a través de un mail con el asunto “Photo approval” y, al hacer clic en el archivo adjunto, automáticamente instala un archivo que permite a un atacante tomar el control por completo de la computadora infectada.

Mientras tanto, la Electronic Frontier Foundation (EFF) analizó la licencia de uso o EULA (End User License Agreement ) y realizó un informe demoledor. Además, la EFF da a conocer la lista de los CDs infectados (también Sony-BMG publicó la suya).

Además, parece que el sistema de protección de Sony-BMG viola licencias de software. El rootkit contiene fragmentos de código que parecen ser idénticos a LAME, un codificador de MP3 de código abierto. La gente LAME no lo ha ratificado, pero dicen estar dispuestos a dar pelea.

El 11 de noviembre la empresa anunció la suspensión temporal de la producción de ese esquema de protección anti-copia y, tres días después, informó que estaba retirando de los comercios los CDs que contenían el rootkit y ofrecía a los usuarios sustituir gratis los CDs infectados.

Sin embargo, Sony-BMG no parece tener ninguna intención de dar marcha atrás con sus métodos de lucha contra la piratería: la firma acaba de registrar la patente de un nuevo sistema de protección que algunos especulan (Boing Boing, Joystiq) sería utilizado en los juegos para consolas PlayStation 3.

La lista crece día a día: acaba de descubrirse un nuevo agujero de seguridad generado CDs de Sony-BMG. Algunos de los sitios que recomiendo para seguir el tema en estos días son el de la EFF, The Register y Freedom to Tinker.

En medio del alboroto, Microsoft también opinó sobre el tema y fue categórico. Jason Garms, Director del Anti-Malware Technology Team, en una anotación publicada el 12 de noviembre en el blog Technet de Microsoft, dice:

We have analyzed this software, and have determined that in order to help protect our customers we will add a detection and removal signature for the rootkit component of the XCP software to the Windows AntiSpyware beta, which is currently used by millions of users.

A varios (me incluyo) les pareció extraño. Sin embargo, el escándalo del rootkit de Sony-BMG está repleto de episodios extraños y hasta ridículos: un hacker utilizó el rootkit para evitar el spyware de un popular juego.

Cuando, luego de mucho tiempo y esfuerzo, logré separar la paja (un término por demás acertado en el caso de ciertas cosas escritas en algunos blogs sobre este y otros temas) del trigo, llegué a la misma conclusión que Bruce Schneier, quién realizó uno de los mejores resúmenes de lo ocurrido en Wired News (la noticia también puede leerse en el Schneier on Security y la traducción al español puede encontrarse aquí) y llegó al verdadero centro de este escándalo:

El asunto al que hay que prestar atención aquí es la connivencia entre las grandes empresas multimedia, que intentan controlar lo que hacemos en nuestros ordenadores, y las empresas de seguridad informática, que se supone deberían protegernos.

Las estimaciones iniciales son que más de medio millón de ordenadores en todo el mundo están infectados por el rootkit de Sony. Son cifras de infección llamativas, convirtiendo a ésta en una de las más serias epidemias en Internet de todos los tiempos, a la altura de gusanos como Blaster, Slammer, Code Red y Nimda.

¿Qué piensa usted de su empresa antivirus, que no advirtió el rootkit de Sony mientras infectaba a medio millón de ordenadores?. Y éste no es uno de esos gusanos de Internet que se propagan a la velocidad de la luz; éste se ha estado propagando desde mediados de 2004. ¿No se dieron cuenta porque se propagaba a través de CDs infectados, en lugar de por conexiones a Internet?. Éste es exactamente el tipo de cosas por las que pagamos a estas empresas para que las detecten, sobre todo porque el rootkit estaba llamando a casa.

Pero mucho peor que no detectarlo antes que Russinovich fue el significativo silencio que siguió. Cuando se encuentra un nuevo malware las empresas de seguridad se apresuran a limpiar nuestros ordenadores y vacunar nuestras redes. No en este caso.

McAfee no añadió código de detección hasta el 9 de Noviembre, y a día 15 no elimina el rootkit, sólo su ocultación. La empresa admite en su web que se trata de un pobre compromiso. “McAffe detecta, elimina y previene la reinstalación de XCP”. Ése es el código de ocultación. “Por favor, tenga en cuenta que la eliminación no abarca los mecanismos de protección de copyright instalados desde el CD. Ha habido informes de caídas del sistema, posiblemente como resultado de desinstalar XCP”. Gracias por el aviso.

La respuesta de Symantec al rootkit ha -por decirlo amablemente- evolucionado. Al principio la empresa no consideraba a XCP malware en absoluto. No fue hasta el 11 de Noviembre que Symantec publicó una herramienta para eliminar la ocultación. A 15 de Noviembre anda todavía dudando al respecto, explicando que “este rootkit fue diseñado para ocultar una aplicación legítima, pero puede ser utilizado para ocultar otros objetos, incluso software malicioso.”

Lo único que convierte a este rootkit en legítimo es que fue una coporación multinacional la que lo puso en tu ordenador, no una organización criminal.

Se podría esperar que Microsoft fuese la primera empresa en condenar este rootkit. Después de todo, XCP corrompe las interioridades de Windows de una forma bastante fea. Es el tipo de conducta que podría conducir fácilmente a caídas del sistema (caídas que los clientes achacarían a Microsoft). Pero no fue hasta el 13 de Noviembre, cuando la presión del público era demasiado grande como para ignorarla, que Microsoft anunció que actualizaría sus herramientas de seguridad para detectar y eliminar la parte de ocultación del rootkit.

Quizás la única empresa de seguridad que merece el elogio es F-Secure, la primera y más fuerte crítica de las acciones de Sony. Y Sysinternals, por supuesto, que alberga el blog de Russinovich y sacó esto a la luz.

La mala seguridad ocurre. Siempre ha sido y siempre será. Y las empresas hacen cosas estúpidas; siempre ha sido y siempre será. Pero el motivo por el que compramos productos de Symantec, McAfee y otros es protegernos de la mala seguridad.

Creo firmemente que incluso en la más grande y corporativa empresa de seguridad hay gente con instintos ‘jaqueriles’, gente que hará correcto y dará la voz de alarma. Que todas las grandes empresas de seguridad, habiendo dispuesto de más de un año para ello, fallaran en notificar o hacer algo respecto al rootkit de Sony demuestra incompetencia en el mejor de los casos, y muy poca ética en el peor.

A Microsoft puedo entenderla. La empresa es un fan de la protección anti-copia invasiva (está siendo incluida en la próxima versión de Windows). Microsoft está intentado trabajar con empresas multimedia como Sony, con la esperanza puesta en que Windows se convierta en el canal de distribución multimedia de elección. Y Microsoft es conocida por mirar por sus intereses empresariales a expensas de los de sus clientes.

¿Qué ocurre cuando los creadores de malware se confabulan con las propias compañías a las que contratamos para protegernos de ese malware?

Nosotros, los usuarios, perdemos; eso es lo que ocurre. Un dañino y peligroso rootkit es soltado al mundo y medio millón de ordenadores resultan infectados antes que nadie haga nada.

¿Para quién trabajan en realidad las empresas de seguridad? Es poco probable que este rootkit de Sony sea el único ejemplo de una empresa multimedia que utiliza esta tecnología. ¿Qué empresa de seguridad tiene ingenieros buscando qué otras podrían estar haciéndolo? ¿Y qué harán si descubren algo? ¿Que harán la próxima vez que alguna empresa multinacional decida que hacerse dueña de tus ordenadores es una buena idea?