Sonyn DRM

Nyt meillä on sitten Lex Karpela, uusi tekijänoikeuslaki. Hyvä juttu... kerrassaan mahtavaa.

Kuinkas sitten sattuukan, että pian lain hyväksymisen jälkeen ulkomailta alkaa kuulua huonoja uutisia Sonyn tekijänoikeuksien suojaamiseen suunnitellusta ohjelmistosta.

Mark Russinovich's blog osa1: http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html

Mark Russinovich's blog osa2: http://www.sysinternals.com/blog/2005/11/more-on-sony-dangerous-decloaking.html

Mark Russinovich's blog osa3: http://www.sysinternals.com/blog/2005/11/sonys-rootkit-first-4-internet.html

Mark Russinovich's blog osa4: http://www.sysinternals.com/blog/2005/11/sony-you-dont-reeeeaaaally-want-to_09.html

Tämä mies löysi sattumalta koneeltansa rootkitin, jonkä hän myöhemmin totesi olevan Sonyn asentama. Tämä rootkit piilottaa kaikki $sys$-alkuiset tiedostonimet ja hakemistot explorerilta ja myös virusskannereilta, yms. Sonyn DRM (Digiral Right Management) ohjelmisto piilotti itse itsensä siltä että käyttäjä ei yrittäisi poistaa kopiosuojausta. (Jonka lisäksi on kyllä huomautettava, että Lex Karpelan mukaan se olisikin rikos, eikä moista saisi tehdä vaikka ohjelmisto ei olisikaan piilossa.)

Sonyn DRM asentuu lupaa kysymättä, kun ensimmäisen kerran yrität soittaa tietokoneesi CD-asemalla Sonyn musiikki-CD:tä. Installaatiotiedosto käynnistyy autoplayllä. En neuvo kuinka se ohitetaan, koska sehän olisi rikollista. Luulen, että apinakin sen kuitenkin osaa tehdä. Tosin Sonyn DRM:n välttäminen on helppoa vain etukäteen. Jos se on jo asentunut, se käy paljon vaikeammaksi.

Eli, Sony loi DRM-ohjelmiston, joka mahdollistaa malwaren piiloutumisen samalla periaatteella kuin Sonyn DRM piilotettiin. Rootkit piilottaa KAIKKI $sys$:it, ei ainoastaan Sonyn ohjelmaa. Paha, HYVIN paha virhe!

Ettekö usko? No, sellainen troijalainen on jo löytynyt, joka käyttää Sonyn DRM:ää hyväkseen!
http://www.kaspersky.com/news?id=173737204

No, Sony loi päivityksen, joka purkaa $sys$-salauksen. DRM-ohjelmisto jää jäljelle, mutta se ei ole piilossa. Yhäkin sen poistaminen on sekä rikos että myös hyvin vaarallista. Sen poistaminen deletoimalla nimittäin rampauttaa CD-aseman... ja tämän voi korjata vain uudelleenasentamalla Windows.

Päivitetty versio ei siis sisällä tietoturva-aukkoa... tai siis... ei itse DRM-ohjelma. On nimittäin ilmeisesti käynyt niin, että netistä imuroimisen ja ohjelman asentamisen ajaksi asennettava ActiveX-komponentti ei poistukaan nettiselaimesta asentamisen tullessa päätökseen. Se jää sinne, ja hakkerit voivat käyttää tuota ActiveX-komponenttia uploadaamaan minkä hyvänsä tiedoston mille hyvänsä koneelle, joka on saastutettu Sonyn päivitetyllä DRM:llä. Selain ei kyse haluaako käyttäjä imuroida tiedoston X, eikä kysy haluaako hän asentaa sen. Sonyn tarjoama ActiveX huolehtii, että käyttäjällä ei ole valtaa siihen.

Ettekö usko?
http://www.freedom-to-tinker.com/?p=927

Kysymys kuuluu: jos koneesi on saastunut Sonyn ohjelmiston toimesta, onko parempi pitää versio1 $sys$-salauksella vai versio2 ActiveX-komponentilla? Molemmat ovat tietoturvaaukkoja. $sys$-salaus tarjoaa kaiken maailman troijalaisille turvapaikan (jos ne pääsevät ensin järjestelmään), ja ActiveX-komponentti puolestaan tarjoaa helpon sisäänpääsyn.

DRM-ohjelmasta voi tietenkin päästä kokonaankin eroon. Laillinen tapa on ottaa yhteyttä Sonyn asiakaspalveluun ja alistua päiväkausia kestävään pompotteluun, koska sinulle ei tarjota suoraa download-linkkiä mihinkään. Täyttelet sitten netissä kaavakkeita, annat sähköpostin (johon Sony varaa oikeuden lähettää mainospostia!), perustelet asiakaspalvelulle miksi haluat siitä eroon, odotat, saat uudelleenohjausta eri paikkoihin. EHKÄ viikon kuluttua pääset eroon softasta.

Vaihtoehtoisesti haet Internerissä olevista blogeista vihjeitä miten DRM poistetaan, mutta olet silloin rikollinen. Tosin olikos se niin, että Lex Karpelan tuomat muutokset tulevat voimaan vasta vuodenvaihteessa?