Extended Copy Protection ( XCP ) es un paquete de software desarrollado por la empresa británica First 4 Internet (que el 20 de noviembre de 2006 cambió su nombre a Fortium Technologies Ltd) y se vende como un esquema de protección de copia o gestión de derechos digitales (DRM) para discos compactos. . Se utilizó en algunos CD distribuidos por Sony BMG y provocó el escándalo de protección de copia de CD de Sony BMG en 2005 ; en ese contexto también se le conoce como rootkit de Sony .
Los investigadores de seguridad, empezando por Mark Russinovich en octubre de 2005, describieron el programa como funcionalmente idéntico a un rootkit : un programa informático utilizado por intrusos informáticos para ocultar actividades no autorizadas en un sistema informático. Russinovich publicó la historia en su blog Sysinternals, donde llamó la atención de los medios y otros investigadores. [1] Esto finalmente condujo a una demanda civil e investigaciones penales, que obligaron a Sony a suspender el uso del sistema.
Si bien Sony finalmente retiró los CD que contenían el sistema XCP, el desinstalador basado en web fue investigado por destacados investigadores de seguridad Ed Felten y Alex Halderman , quienes afirmaron que el componente ActiveX utilizado para eliminar el software exponía a los usuarios a riesgos de seguridad mucho más importantes, incluyendo Ejecución de código arbitrario desde sitios web en Internet. [2]
La versión de este software utilizada en los CD de Sony es la que se comercializa como “XCP-Aurora”. La primera vez que un usuario intenta reproducir un CD de este tipo en un sistema Windows , se le presenta un acuerdo de licencia de usuario final . Si lo aceptan, se instala el software; en caso contrario, se expulsa el disco. [3] El EULA no mencionó que instaló software oculto. Luego, el software permanecerá residente en el sistema del usuario, interceptando todos los accesos a la unidad de CD para evitar que cualquier reproductor multimedia o software de extracción que no sea el incluido con XCP-Aurora acceda a las pistas de música del CD de Sony. No se proporciona ninguna forma obvia de desinstalar el programa. Si intenta eliminar el software eliminando los archivos asociados manualmente, la unidad de CD dejará de funcionar debido a la configuración del registro que el programa ha modificado. Sin embargo, pronto se descubrió que el software podía derrotarse fácilmente simplemente usando un marcador permanente para dibujar un borde oscuro a lo largo del borde del disco. [4]
Tras la publicación de sus hallazgos por parte de Mark Russinovich, otros investigadores de seguridad se apresuraron a publicar sus propios análisis. Muchos de estos hallazgos fueron muy críticos con Sony y First 4 Internet. Específicamente, se descubrió que el software ocultaba su actividad a la manera de un rootkit y exponía a los usuarios a daños posteriores causados por virus y troyanos .
La técnica de encubrimiento de XCP, que hace $sys$
invisibles todos los procesos con nombres que comienzan con, puede ser utilizada por otro malware " aprovechándolo " para garantizar que también esté oculto a la vista del usuario. El primer troyano malicioso que se ocultaba mediante XCP fue descubierto el 10 de noviembre de 2005, según un informe de la empresa antivirus BitDefender . [5]
La investigación de seguimiento realizada por Felten y Halderman mostró que el desinstalador basado en Web que Sony ofreció más tarde para el software contenía sus propios problemas críticos de seguridad. [6] El software instala un componente ActiveX que permite que cualquier sitio web ejecute software en la computadora del usuario sin restricciones. Este componente es utilizado por el sitio web de First 4 Internet para descargar y ejecutar el desinstalador, pero luego permanece activo permitiendo que cualquier sitio web que visite el usuario se apodere de la computadora.
Dado que es específico de Microsoft Windows, XCP no tiene ningún efecto en todos los demás sistemas operativos como Linux , BSD , OS/2 , Solaris o Mac OS X , lo que significa que los usuarios de esos sistemas no sufren el daño potencial de este software. y tampoco se les impide extraer las pistas de música normales del CD. (Algunos discos involucrados en el escándalo de Sony contenían una tecnología competidora, MediaMax de SunnComm , que intenta instalar una extensión del kernel en Mac OS X. Sin embargo, debido a los permisos de Mac OS X, no hubo infecciones generalizadas entre los usuarios de Mac.)
Aunque Russinovich fue el primero en publicar sobre el rootkit, otros investigadores lo habían descubierto casi al mismo tiempo, pero todavía lo estaban analizando o decidieron no revelar nada antes debido al efecto paralizador de la cláusula antielusión de la Ley de Derechos de Autor del Milenio Digital. Acto . [7]
Poco después de que investigadores independientes revelaran la historia, los proveedores de software de seguridad hicieron un seguimiento y publicaron descripciones detalladas de los componentes de XCP, así como software para eliminar el $sys$*
componente de encubrimiento del mismo. Por otro lado, todavía no se ha lanzado ningún software para eliminar el componente del controlador del filtro del CD-ROM. Computer Associates , creadores del software antispyware PestPatrol , caracterizan el software XCP como un caballo de Troya y un rootkit : [8]
XCP.Sony.Rootkit instala un ejecutable DRM como un servicio de Windows , pero denomina erróneamente a este servicio " Administrador de dispositivos Plug and Play ", empleando una técnica comúnmente utilizada por los autores de malware para engañar a los usuarios comunes haciéndoles creer que esto es parte de Windows. Aproximadamente cada 1,5 segundos, este servicio consulta los ejecutables principales asociados con todos los procesos que se ejecutan en la máquina, lo que genera intentos de lectura casi continuos en el disco duro. Se ha demostrado que esto acorta la vida útil de la unidad.
Además, XCP.Sony.Rootkit instala un controlador de dispositivo , específicamente un controlador de filtro de CD-ROM, que intercepta las llamadas a la unidad de CD-ROM. Si cualquier proceso que no sea el reproductor de música incluido (player.exe) intenta leer la sección de audio del CD, el controlador del filtro inserta un ruido aparentemente aleatorio en los datos devueltos, lo que hace que la música no se pueda escuchar.
XCP.Sony.Rootkit carga un controlador de filtro del sistema que intercepta todas las llamadas de listados de procesos, directorios o registros, incluso aquellas que no están relacionadas con la aplicación Sony BMG. Este controlador de rootkit modifica la información que es visible para el sistema operativo para ocultar el software Sony BMG. Esto se conoce comúnmente como tecnología rootkit. Además, el rootkit no sólo afecta a los archivos de XCP.Sony.Rootkit. Este rootkit oculta todos los archivos, procesos o claves de registro que comienzan con
$sys$
. Esto representa una vulnerabilidad, que ya ha sido explotada para ocultar los hacks de World of Warcraft RING0 al momento de escribir este artículo, y podría potencialmente ocultar los archivos y procesos de un atacante una vez que se haya obtenido acceso a un sistema infectado.
Computer Associates anunció, en noviembre de 2005, que su producto anti-spyware, PestPatrol , podría eliminar el software de Sony. [8] [9] Un mes después, Microsoft lanzó una actualización para su herramienta de eliminación de software malicioso que podría limpiar el malware F4IRootkit. [10] [11]
Sin embargo, la respuesta algo lenta e incompleta de algunas empresas de antivirus ha sido cuestionada por Bruce Schneier , experto en seguridad de la información y autor de artículos y textos sobre seguridad, entre ellos Secrets and Lies . En un artículo para Wired News , Schneier pregunta: "¿Qué sucede cuando los creadores de malware se confabulan con las mismas empresas que contratamos para protegernos de ese malware?" Su respuesta es que "los usuarios pierden... Un rootkit peligroso y dañino se introduce en la naturaleza, y medio millón de computadoras quedan infectadas antes de que alguien haga algo". [12]
A partir de agosto de 2005, los usuarios de Windows informaron fallas relacionadas con un programa llamado aries.sys , mientras que inexplicablemente no podían encontrar el archivo en sus computadoras. [13] Ahora se sabe que este archivo es parte de XCP. El presentador de Call for Help, Leo Laporte, dijo que había experimentado un aumento en los informes de unidades de CD-ROM "faltantes", un síntoma de intentos fallidos de eliminar XCP. [14]
El investigador de seguridad Dan Kaminsky utilizó el análisis de caché de DNS para determinar que 568.000 redes en todo el mundo pueden contener al menos una computadora infectada con XCP. La técnica de Kaminsky utiliza el hecho de que los servidores de nombres DNS almacenan en caché los resultados obtenidos recientemente y que los teléfonos XCP se dirigen a un nombre de host específico . Al encontrar servidores DNS que llevan ese nombre de host en caché, Kaminsky pudo aproximar la cantidad de redes afectadas. [15] Después de la publicación de los datos, Kaminsky se enteró de que un número aún indeterminado de "CD mejorados" sin el rootkit también llaman a casa a la misma dirección que utilizan los discos afectados por el rootkit, por lo que las tasas de infección aún están bajo investigación activa.
Según la firma de analistas Gartner , XCP adolece del mismo defecto en la implementación de DRM que cualquier tecnología DRM (actual o futura) que intenta aplicar DRM a CD de audio diseñados para reproducirse en reproductores de CD independientes. Según Gartner, debido a que la instalación de XCP o cualquier software DRM depende de que el CD sea multisesión, la aplicación de tinta (mediante un marcador de punta de fieltro común) al borde exterior del disco hace que la pista de datos del CD sea ilegible. , lo que hace que el PC trate el disco como un CD de música normal de sesión única. [4]
El programa AnyDVD de Slysoft , que elimina la protección contra copia de los discos DVD y Blu-ray , también anula el DRM en los CD de audio. Cuando está activo y se inserta un CD de audio, AnyDVD bloquea el acceso de la PC a cualquier sesión que no sea la de audio, lo que hace que las sesiones de datos sean ilegibles y evita la instalación de malware como XCP. [dieciséis]
Se especula mucho hasta qué punto las acciones tomadas por este software son una violación de varias leyes contra la manipulación no autorizada de computadoras, o leyes sobre la invasión de la privacidad por " spyware ", y cómo someten a Sony y First 4 Internet a responsabilidad legal. Los estados de California, Nueva York y Texas, así como Italia, ya han emprendido acciones legales contra ambas empresas y es probable que se presenten más demandas colectivas. Sin embargo, el mero acto de intentar ver o eliminar este software para determinar o evitar su alteración de Windows constituiría teóricamente un delito civil o penal según cierta legislación antielusión, como la controvertida Ley de Copyright del Milenio Digital de los Estados Unidos.
Fred von Lohmann de la Electronic Frontier Foundation también criticó duramente el XCP EULA , llamándolo el "rootkit legal". [17]
Una de las razones principales para el experimento XCP radica en la cuestión de agregar DRM a un estándar heredado. Estos problemas son explorados por el profesor Randal Picker, profesor de derecho de la Facultad de Derecho de la Universidad de Chicago , en su artículo "Gestión de derechos digitales basada en la desconfianza", publicado en el volumen 5 del Journal on Telecommunications and High Technology Law . Los CD por sí solos no pueden actualizar el hardware heredado, como los reproductores de CD independientes, y carecen de la capacidad de cambiar o actualizar el firmware para leer DRM. Por lo tanto, se debe agregar DRM para no interferir con la función de los reproductores heredados y aún así funcionar cuando el mismo CD se coloca en una computadora. Picker analiza los cuatro problemas principales con el DRM complementario.
El primer problema, como se demuestra en el ejemplo de XCP, es que los consumidores capaces pueden simplemente eludir el DRM. Desactivar la ejecución automática impidió la instalación del rootkit y, por lo tanto, invalidó el esquema DRM.
El segundo problema es la reacción de los consumidores. Agregar DRM a un producto heredado como los CD de música, que tradicionalmente no tenían un esquema de gestión de derechos, enfurecerá a los consumidores. Picker señala que a raíz de la publicidad negativa en torno al complemento DRM de Sony, Amazon.com comenzó a alertar a los clientes sobre qué CD de Sony contenían XCP. Los clientes podrían evitar el DRM por completo, anulando su eficacia.
El tercer problema reside en la respuesta jurídica. La EFF, así como los fiscales generales estatales, investigaron y demandaron a Sony por el programa XCP. Picker no analiza los méritos legales de tales demandas, pero el costo del litigio potencialmente supera el beneficio de intentar agregar DRM.
El cuarto y último problema radica en el Acuerdo de licencia de usuario final que se intenta hacer cumplir mediante el DRM complementario. La capacidad de hacer cumplir estos acuerdos sobre DRM adicional está limitada por el mero hecho de que sin un registro y seguimiento activo de los CD, la empresa no tendrá a quién hacer cumplir. Por lo tanto, el beneficio esperado de hacer cumplir el EULA contra los infractores es en realidad inexistente; Sin embargo, los costos de implementar el esquema DRM adicional, en forma de investigaciones estatales y federales, demandas privadas, publicidad negativa, reacción de los consumidores y limitaciones técnicas, superan con creces los beneficios.
El investigador Sebastian Porst, [18] Matti Nikki [19] y varios expertos en software han publicado pruebas de que el software XCP infringe los derechos de autor del codificador de mp3 LAME , [20] mpglib , [21] FAAC [22] id3lib [23 ] ( lectura y escritura de etiquetas ID3 ), mpg123 y el reproductor multimedia VLC . [24]
El investigador de Princeton, Alex Halderman, descubrió que en casi todos los CD de XCP se incluye un código que utiliza una versión modificada del software DRMS de Jon Johansen que permite abrir FairPlay DRM de Apple Computer . [25] Encontró que el código estaba inactivo, pero completamente funcional, ya que podía usarlo para insertar canciones en Fairplay. DRMS, mpg123 y VLC tienen la licencia GNU General Public License (GPL). El otro software encontrado, como LAME, está licenciado según los términos de la Licencia pública general reducida (LGPL) de GNU, también como software libre . Si las afirmaciones son correctas, entonces Sony/BMG estaba distribuyendo material protegido por derechos de autor de forma ilegal.
Jon Johansen escribió en su blog [26] que después de hablar con un abogado, piensa que no puede demandar; sin embargo, hay opiniones de que el consejo que le dieron es incorrecto. [27] Los desarrolladores de LAME han publicado en línea una carta abierta [28] a Sony/BMG.
Las violaciones de derechos de autor de las que se podría acusar a Sony [29] incluyen:
Sony ya proporciona [30] una versión del código fuente de id3lib en su sitio web, pero no está relacionada con XCP.
En un programa de National Public Radio , Thomas Hesse , presidente de la división de negocios digitales globales de Sony BMG, preguntó: "Creo que la mayoría de la gente ni siquiera sabe qué es un rootkit, así que ¿por qué debería importarles?". [31] Explicó que "el software está diseñado para proteger nuestros CD contra copias y extracciones no autorizadas ".
Sony también sostiene que "el componente no es malicioso y no compromete la seguridad", pero "para aliviar cualquier preocupación que los usuarios puedan tener acerca de que el programa presenta posibles vulnerabilidades de seguridad, se lanzó esta actualización para permitir a los usuarios eliminar el componente rootkit de su ordenadores." [ cita necesaria ]
Mark Russinovich, quien inicialmente descubrió XCP, publicó un análisis de este desinstalador titulado "Más sobre Sony: Dangerous Decloaking Patch, EULA y Phonening Home". [32] Para obtener el desinstalador original es necesario utilizar un navegador específico (Microsoft Internet Explorer ) y completar un formulario en línea con su dirección de correo electrónico, recibir un correo electrónico, instalar el parche, completar un segundo formulario en línea y luego Recibirá un enlace al desinstalador. El enlace es personalizado y no funcionará para desinstalaciones múltiples. Además, la Política de privacidad de Sony [33] establece que esta dirección puede usarse para promociones o entregarse a afiliados o "terceros acreditados que puedan comunicarse con usted directamente".
También se ha informado que el desinstalador podría tener problemas de seguridad que permitirían la ejecución remota de código. [19] La página de desinstalación de Sony intentaría instalar un control ActiveX cuando se muestra en Internet Explorer. Este control ActiveX estaba marcado como "Seguro para secuencias de comandos", lo que significa que cualquier página web puede utilizar el control y sus métodos. Algunos de los métodos proporcionados por este control eran peligrosos, ya que podían haber permitido a un atacante cargar y ejecutar código arbitrario.
El 11 de noviembre de 2005, Sony anunció [34] que suspendería la fabricación de CD utilizando el sistema XCP:
"Como medida de precaución, Sony BMG suspende temporalmente la fabricación de CD que contengan tecnología XCP", afirmó en un comunicado.
"También pretendemos reexaminar todos los aspectos de nuestra iniciativa de protección de contenido para asegurarnos de que continúa cumpliendo con nuestros objetivos de seguridad y facilidad de uso para el consumidor", añadió Sony BMG.
Esto siguió a los comentarios de Stewart Baker , subsecretario de políticas del Departamento de Seguridad Nacional , en los que criticó a los fabricantes de DRM, como informó The Washington Post :
En un comentario claramente dirigido directamente a Sony y otros sellos, Stewart continuó: "Es muy importante recordar que es su propiedad intelectual, no su computadora. Y en la búsqueda de la protección de la propiedad intelectual, es importante no derrotar ni socavar la medidas de seguridad que la gente debe adoptar en estos días".
Según The New York Times , [35] Sony BMG dijo que "se habían enviado alrededor de 4,7 millones de CD que contenían el software y se habían vendido alrededor de 2,1 millones". Sony-BMG distribuyó 52 álbumes que contenían XCP. [36]
El 14 de noviembre de 2005, Sony anunció que estaba retirando del mercado los CD afectados y planea ofrecer intercambios a los consumidores que compraron los discos. [37]
La Electronic Frontier Foundation publicó su lista original de 19 títulos el 9 de noviembre de 2005. [38] El 15 de noviembre de 2005, The Register publicó un artículo [39] diciendo que puede haber hasta 47 títulos. Sony BMG dice que hay 52 CD XCP. [36]
Amazon dice que está tratando los CD de XCP como mercancía defectuosa y ofrecerá un reembolso con el envío, siempre que el cliente especifique la solicitud. [40] Los diversos efectos secundarios adversos del XCP pueden considerarse racionalmente como defectos, ya que no forman parte de la (aparente) función prevista del XCP; Este punto de vista elude la cuestión más sustantiva de si Sony transgredió a los propietarios de computadoras al modificar intencionalmente sus sistemas informáticos sin consentimiento.