En 2005 se reveló que la implementación de medidas de protección de copia en alrededor de 22 millones de CD distribuidos por Sony BMG instaló una de las dos piezas de software que proporcionaban una forma de gestión de derechos digitales (DRM) modificando el sistema operativo para interferir con la copia de CD . Ninguno de los programas se podía desinstalar fácilmente y creaban vulnerabilidades que eran explotadas por malware no relacionado . Uno de los programas se instalaría y " llamaría a casa " con informes sobre los hábitos de escucha privados del usuario, incluso si el usuario rechazaba su acuerdo de licencia de usuario final (EULA), mientras que el otro no se mencionaba en absoluto en el EULA. Ambos programas contenían código de varias piezas de software libre con copyleft en una aparente infracción de los derechos de autor , y configuraron el sistema operativo para ocultar la existencia del software, lo que llevó a que ambos programas fueran clasificados como rootkits .
Sony BMG inicialmente negó que los rootkits fueran dañinos. Luego lanzó un desinstalador para uno de los programas que simplemente hacía invisibles los archivos del programa y al mismo tiempo instalaba software adicional que no podía eliminarse fácilmente, recopilaba una dirección de correo electrónico del usuario e introducía más vulnerabilidades de seguridad.
Tras la protesta pública, las investigaciones gubernamentales y las demandas colectivas en 2005 y 2006, Sony BMG abordó parcialmente el escándalo con acuerdos para los consumidores, una retirada del mercado de alrededor del 10% de los CD afectados y la suspensión de los esfuerzos de protección contra copia de CD a principios de 2007.
En agosto de 2000, las declaraciones del vicepresidente senior de Sony Pictures Entertainment en Estados Unidos, Steve Heckler, presagiaron los acontecimientos de finales de 2005. Heckler dijo a los asistentes a la Conferencia Americana sobre Sistemas de Información : "La industria tomará todas las medidas que necesite para protegerse y proteger sus flujos de ingresos". ... No perderá ese flujo de ingresos, pase lo que pase... Sony va a tomar medidas agresivas para detener esto. Desarrollaremos tecnología que trascienda al usuario individual. Cortaremos a Napster en su origen, lo bloquearemos en su origen. Lo bloquearemos en su compañía telefónica. Lo bloquearemos en su ISP . Lo bloquearemos en su PC... Estas estrategias se están aplicando agresivamente porque simplemente hay demasiado en juego". [1]
En Europa, BMG creó un escándalo menor en 2001 cuando lanzó el segundo álbum de Natalie Imbruglia , White Lilies Island, sin etiquetas que advirtieran que el CD contenía protección contra copia. [2] [3] Los CD finalmente fueron reemplazados. [2] [3] BMG y Sony lanzaron versiones protegidas contra copia de ciertos lanzamientos en ciertos mercados a finales de 2001, [4] [5] y un informe de finales de 2002 indicó que todos los CD de BMG vendidos en Europa contendrían algún tipo de copia. proteccion. [6]
Los dos programas de protección contra copias en cuestión en el escándalo de 2005-2007 estaban incluidos en más de 22 millones de CD [7] comercializados por Sony BMG, la compañía discográfica formada por la fusión en 2004 de las divisiones de música grabada de Sony y BMG. Alrededor de dos millones de esos CD, [7] que abarcaban 52 títulos, contenían la protección de copia extendida (XCP) de First 4 Internet (F4I), que se instaló en los sistemas Microsoft Windows después de que el usuario aceptara el EULA, que no mencionaba el software. Los 20 millones de CD restantes, [7] que abarcaban 50 títulos, [8] contenían MediaMax CD-3 de SunnComm , que se instalaba en sistemas Microsoft Windows o macOS después de que se presentaba el EULA al usuario, independientemente de si el usuario lo aceptaba. Sin embargo, macOS solicitó confirmación al usuario cuando el software intentó modificar el sistema operativo, mientras que Windows no lo hizo.
El escándalo comenzó el 31 de octubre de 2005, cuando el investigador de Winternals , Mark Russinovich, publicó en su blog una descripción detallada y un análisis técnico del software XCP de F4I que, según determinó, había sido instalado recientemente en su computadora mediante un CD de música Sony BMG. Russinovich comparó el software con un rootkit debido a su instalación subrepticia y sus esfuerzos por ocultar su existencia. Señaló que el EULA no menciona el software y acusó que el software es ilegítimo y que la gestión de derechos digitales había "ido demasiado lejos". [9]
La empresa antivirus F-Secure coincidió: "Aunque el software no es directamente malicioso, las técnicas de ocultación de rootkit utilizadas son exactamente las mismas que utiliza el software malicioso para ocultarse. El software DRM provocará muchas falsas alarmas similares con todos los programas antivirus que detecten rootkits... Por lo tanto, es muy inapropiado que el software comercial utilice estas técnicas". [10] Después de la presión pública, Symantec [11] y otros proveedores de antivirus también incluyeron la detección del rootkit en sus productos, y Microsoft anunció que incluiría capacidades de detección y eliminación en sus parches de seguridad. [12]
Russinovich descubrió numerosos problemas con XCP:
Poco después de la primera publicación de Russinovich, aparecieron varios troyanos y gusanos que explotaban los agujeros de seguridad de XCP. [13] Algunos incluso utilizaron las vulnerabilidades para hacer trampa en juegos en línea. [14]
Sony BMG lanzó rápidamente un software para eliminar el componente rootkit de XCP de las computadoras Microsoft Windows afectadas, [15] pero después de que Russinovich analizó la utilidad, informó en su blog que solo exacerbó los problemas de seguridad y generó más preocupaciones sobre la privacidad. [16] Russinovich señaló que el programa de eliminación simplemente desenmascaró los archivos ocultos instalados por el rootkit pero en realidad no eliminó el rootkit. También informó que instaló software adicional que no se pudo desinstalar. Para descargar el desinstalador, descubrió que era necesario proporcionar una dirección de correo electrónico (que la Política de Privacidad de Sony BMG implicaba que se había agregado a varias listas de correo electrónico masivo) e instalar un control ActiveX que contenía métodos de puerta trasera (marcados como "seguro para secuencias de comandos" y, por lo tanto, propenso a vulnerabilidades). [17] [18] Microsoft publicó más tarde un killbit para el control ActiveX.
El 18 de noviembre de 2005, Sony BMG proporcionó una herramienta de eliminación "nueva y mejorada" para eliminar el componente rootkit de XCP de las computadoras Microsoft Windows afectadas.
El 15 de noviembre de 2005, vnunet.com anunció [19] que Sony BMG se retiraría de su software de protección contra copia, retirando los CD no vendidos de todas las tiendas y permitiendo a los consumidores cambiar los CD afectados por versiones sin el software. La Electronic Frontier Foundation compiló una lista parcial de CD con XCP. [20] Sony BMG sostuvo que "no había riesgos de seguridad asociados con la tecnología antipiratería" a pesar de numerosos informes de virus y malware. El 16 de noviembre de 2005, US-CERT , parte del Departamento de Seguridad Nacional de los Estados Unidos, emitió un aviso sobre XCP DRM. Dijo que XCP utiliza tecnología rootkit para ocultar ciertos archivos al usuario y que la técnica es una amenaza a la seguridad de los usuarios. También dijeron que una de las opciones de desinstalación proporcionadas por Sony BMG introduce más vulnerabilidades. US-CERT recomendó: "No instale software de fuentes que no espera que contengan software, como un CD de audio". [21]
Sony BMG anunció que había ordenado a los minoristas que retiraran de sus estantes todos los discos de música no vendidos que contengan el software. [22] El experto en seguridad de Internet Dan Kaminsky estimó que XCP se utilizaba en más de 500.000 redes. [23]
Los CD con tecnología XCP se pueden identificar por las letras "XCP" impresas en la contraportada del estuche del CD de acuerdo con las preguntas frecuentes sobre XCP de SonyBMG. [24]
El 18 de noviembre de 2005, Reuters informó que Sony BMG cambiaría los CD no seguros afectados por nuevos discos no protegidos, así como por archivos MP3 no protegidos. [25] Como parte del programa de intercambio, los consumidores podrían enviar por correo sus CD protegidos por XCP a Sony BMG y recibir un disco desprotegido a vuelta de correo.
El 29 de noviembre, los investigadores del fiscal general de Nueva York, Eliot Spitzer, descubrieron que, a pesar del retiro del mercado del 15 de noviembre, los CD de Sony BMG con XCP todavía estaban a la venta en algunos puntos de venta de música de la ciudad de Nueva York. Spitzer dijo: "Es inaceptable que más de tres semanas después de que se revelara esta grave vulnerabilidad, estos mismos CD sigan en los estantes, durante los días de mayor actividad comercial del año, [e] insto encarecidamente a todos los minoristas a que presten atención a las advertencias emitidas sobre estos productos, retirarlos de la distribución inmediatamente y enviarlos de regreso a Sony". [26]
Al día siguiente, el fiscal general de Massachusetts, Tom Reilly, anunció que los CD de Sony BMG con XCP todavía estaban disponibles en Boston a pesar del retiro del mercado de Sony BMG del 15 de noviembre. [27] Aconsejó a los consumidores que no compraran los CD de Sony BMG con XCP y dijo que estaba realizando una investigación sobre Sony BMG.
El sitio web de Sony BMG ofrecía a los consumidores un enlace a "Información del acuerdo de demanda colectiva sobre la protección de contenido de XCP y MediaMax" [28] con presentación de reclamaciones en línea y enlaces a actualizaciones y desinstaladores de software. La fecha límite para presentar una reclamación era el 30 de junio de 2007. El sitio web ofrecía una explicación de los hechos, así como una lista de todos los CD afectados. [29]
El 21 de noviembre de 2005, el fiscal general de Texas, Greg Abbott, demandó a Sony BMG. [30] La demanda fue la primera presentada por un estado de EE. UU. y también fue la primera presentada bajo la ley estatal sobre software espía de 2005. Alegó que la empresa instaló subrepticiamente el software espía en millones de CD.
El 21 de diciembre de 2005, Abbott agregó nuevas acusaciones a la demanda, [31] alegando que MediaMax violaba las leyes estatales sobre software espía y prácticas comerciales engañosas porque el software MediaMax se instalaría en una computadora incluso si el usuario rechazaba el acuerdo de licencia que autorizaba la acción. . Abbott declaró: "Seguimos descubriendo métodos adicionales que Sony utilizó para engañar a los consumidores de Texas que pensaban que simplemente estaban comprando música" y "Miles de tejanos son ahora víctimas potenciales de este juego engañoso que Sony jugó con los consumidores para sus propios fines". Además de las violaciones de la Ley de Protección al Consumidor Contra el Software Espía Informático de 2005, que permitía sanciones civiles de 100.000 dólares por cada infracción de la ley, las supuestas violaciones añadidas en la demanda actualizada conllevaban sanciones máximas de 20.000 dólares por infracción. [32] [33] Se ordenó a Sony pagar 750.000 dólares en honorarios legales a Texas, aceptar devoluciones de los CD afectados por parte de los clientes, colocar un aviso detallado y llamativo en su página de inicio, realizar "compras de palabras clave" para alertar a los consumidores mediante publicidad en Google, Yahoo! y MSN, pague hasta $150 por computadora dañada y acepte otras soluciones. Sony BMG también tuvo que aceptar que no presentaría ninguna reclamación de que el acuerdo legal constituye de alguna manera la aprobación del tribunal. [34]
Se presentaron demandas colectivas contra Sony BMG en Nueva York y California. [35]
El 30 de diciembre de 2005, el New York Times informó que Sony BMG había llegado a un acuerdo provisional sobre las demandas, proponiendo dos formas de compensar a los consumidores que habían comprado los CD afectados. [36] Según el acuerdo propuesto, aquellos que hubieran comprado un CD de XCP recibirían un pago de 7,50 dólares por cada grabación comprada y se les daría la oportunidad de descargar un álbum gratuito o tres álbumes adicionales de una lista limitada de grabaciones si optaban por renunciar al dinero en efectivo. incentivo. La jueza de distrito Naomi Reice Buchwald emitió una orden aprobando provisionalmente el acuerdo el 6 de enero de 2006.
El acuerdo fue diseñado para compensar a aquellos cuyas computadoras fueron infectadas pero no sufrieron otros daños. Aquellos que habían sufrido daños no abordados en la demanda colectiva eran libres de optar por no participar en el acuerdo y continuar con su propio litigio.
El 22 de mayo de 2006 se celebró una audiencia de imparcialidad en Nueva York. Las reclamaciones debían presentarse antes del 31 de diciembre de 2006. Los miembros del grupo que deseaban ser excluidos del acuerdo debían haberlo presentado antes del 1 de mayo de 2006. Aquellos que permanecían en el acuerdo podían asistir a la audiencia de imparcialidad por su propia cuenta y hablar. por cuenta propia o estar representado por un abogado.
En Italia, ALCEI
(una asociación similar a EFF ) también denunció el rootkit a la Policía Financiera, solicitando una investigación sobre varias acusaciones de delitos informáticos, junto con un análisis técnico del rootkit. [37] [38]El Departamento de Justicia de Estados Unidos no hizo comentarios sobre si emprendería alguna acción penal contra Sony. Sin embargo, Stewart Baker, del Departamento de Seguridad Nacional, amonestó públicamente a Sony y afirmó que "es su propiedad intelectual, no es su computadora". [39]
El 21 de noviembre, la EFF anunció que también estaba entablando una demanda sobre XCP y la tecnología DRM SunnComm MediaMax . La demanda de la EFF también involucró cuestiones relacionadas con el acuerdo de licencia de usuario final de Sony BMG .
El 24 de diciembre de 2005 se informó que el fiscal general de Florida, Charlie Crist, estaba investigando el software espía Sony BMG. [40]
El 30 de enero de 2007, la Comisión Federal de Comercio de EE. UU. (FTC) anunció un acuerdo con Sony BMG por cargos de que la protección de copia del CD había violado la ley federal [41] —Sección 5(a) de la Ley de la Comisión Federal de Comercio , 15 USC 45 (a)—al participar en prácticas comerciales desleales y engañosas. [42] El acuerdo exigía que Sony BMG reembolsara a los consumidores hasta 150 dólares para reparar los daños que resultaron directamente de sus intentos de eliminar el software instalado sin su consentimiento. [41] El acuerdo también les exigía que proporcionaran información clara y destacada en el embalaje de futuros CD sobre cualquier límite de copia o restricciones en el uso de dispositivos de reproducción, y se prohibía a la empresa instalar software de protección de contenido sin obtener la autorización de los consumidores. . [41] La presidenta de la FTC, Deborah Platt Majoras, añadió: "Las instalaciones de software secreto que crean riesgos de seguridad son intrusivas e ilegales. Las computadoras de los consumidores les pertenecen, y las empresas deben revelar adecuadamente las limitaciones inesperadas en el uso de sus productos por parte de los consumidores para que los consumidores puedan informarse decisiones sobre si comprar e instalar ese contenido". [43] [44]
Los investigadores descubrieron que Sony BMG y los creadores de XCP aparentemente también infringieron los derechos de autor al no cumplir con los requisitos de licencia de varias piezas de software gratuito y de código abierto que se utilizaron en el programa, [45] [46] incluido el codificador MP3 LAME. , [47] mpglib , [48] FAAC , [49] id3lib, [50] mpg123 y el reproductor multimedia VLC . [51]
En enero de 2006, los desarrolladores de LAME publicaron una carta abierta afirmando que esperaban una "acción apropiada" por parte de Sony BMG, pero que no tenían planes de investigar o tomar medidas sobre la aparente violación de la licencia del código fuente de LAME. [52]
El informe de Russinovich fue discutido en blogs populares casi inmediatamente después de su publicación. [53]
NPR fue uno de los primeros medios de comunicación importantes en informar sobre el escándalo el 4 de noviembre de 2005. Thomas Hesse , presidente de negocios digitales globales de Sony BMG, dijo: "Creo que la mayoría de la gente ni siquiera sabe qué es un rootkit, Entonces, ¿por qué debería importarles?". [54]
En un artículo del 7 de noviembre de 2005, vnunet.com resumió los hallazgos de Russinovich [55] e instó a los consumidores a evitar temporalmente la compra de CD de música Sony BMG. Al día siguiente, The Boston Globe clasificó el software como software espía , y el vicepresidente de la unidad de gestión de seguridad eTrust de Computer Associates, Steve Curry, confirmó que el rootkit comunica información personal desde las computadoras de los consumidores (el CD que se reproduce y la dirección IP del usuario ) a Sony BMG. [56] Los métodos utilizados por el software para evitar la detección se compararon con los utilizados por los ladrones de datos.
El 8 de noviembre de 2005, Computer Associates clasificó el software de Sony BMG como software espía y proporcionó herramientas para su eliminación. [57] Russinovich dijo: "Éste es un paso que deberían haber dado inmediatamente". [58]
El primer virus que explotó la tecnología sigilosa de Sony BMG para hacer invisibles los archivos maliciosos tanto para el usuario como para los programas antivirus apareció el 10 de noviembre de 2005. [59] Un día después, Yahoo! News anunció que Sony BMG había suspendido la distribución de la controvertida tecnología. [ cita necesaria ]
ZDNet News escribió: "El riesgo más reciente proviene de un programa de desinstalación distribuido por SunnComm Technologies, una compañía que brinda protección contra copia en otras versiones de Sony BMG". El programa de desinstalación obedece los comandos que se le envían, lo que permite a otros "tomar el control de las PC donde se ha utilizado el desinstalador". [60]
El 6 de diciembre de 2005, Sony BMG reveló que se enviaron 5,7 millones de CD que abarcaban 27 títulos con el software MediaMax 5. La compañía anunció la disponibilidad de un nuevo parche de software para evitar una posible brecha de seguridad en las computadoras de los consumidores.
Sony BMG en Australia emitió un comunicado de prensa indicando que ningún título de Sony BMG fabricado en Australia contenía protección contra copia. [61]
El martes, Sony confirmó que había incorporado software de protección contra copia en copias en CD promocionales del sencillo de Michael Jackson 'You Rock My World'.
{{cite news}}
: Mantenimiento CS1: URL no apta ( enlace )