211service.com
Dentro del escándalo del software espía
John Guarino es el propietario de TecAngels, una consultora informática de dos personas en Manhattan. Dale a Guarino tu PC con Windows en problemas y en dos o tres horas te la devolverá en perfecto estado de salud. A menudo, puede resolver los problemas de sus clientes por teléfono.
Pero el verano pasado, Guarino se encontró con un problema que no pudo solucionar. En el proceso de eliminar el software espía y los virus que infectaban las computadoras de sus clientes, comenzó a encontrar los mismos intrusos misteriosos en una máquina tras otra. Eran archivos con nombres extraños que acechan en lo profundo del registro, donde Windows almacena configuraciones e instrucciones que controlan todo el hardware y software de una computadora.
Para Guarino, los archivos parecían un rootkit, un software que engaña a un sistema operativo para que pase por alto gusanos, virus y cualquier otro archivo que un hacker quiera ocultar dentro de la computadora de un usuario. Los archivos no parecían estar causando daños y el software antivirus de Guarino no los identificó como amenazas. Pero habían aparecido en los discos duros de las personas sin haber sido invitados (la definición convencional de malware), por lo que Guarino los eliminó.
Pero los archivos no fueron silenciosos. Después de que Guarino los borró, las unidades de CD de las computadoras de sus clientes dejarían de funcionar. La solución habitual, reinstalar el software que controla los reproductores de discos, no corrigió el problema. Guarino no podía explicar este efecto extraño y sus clientes no le pagaban para que pasara horas investigándolo; solo querían recuperar sus computadoras. Por eso, por lo general, recurría a la opción nuclear: reinstalar el sistema operativo desde cero.
Después de seis o siete de estos encuentros, Guarino se estaba cansando. Luego, el 30 de septiembre, descubrió los misteriosos archivos en su propia PC. Eso es lo que realmente me cabreó, dice Guarino. Yo estaba como, 'No puedo creerlo. Tengo el último firewall, el último software antivirus, tres o cuatro programas antispyware. ¿Cómo llegó esto aquí?'
Como todo buen investigador, Guarino retrocedió. Sabía que los archivos no estaban allí la última vez que escaneó su computadora. Trató de reconstruir todo lo que había hecho con su máquina durante los días anteriores: qué programas había instalado, qué correos electrónicos había recibido, qué sitios web había visitado.
Luego recordó que había comprado un CD de música el día anterior y lo había reproducido en la computadora. Era un álbum de Sony BMG Music Entertainment llamado Tocar , de la cantante de rhythm and blues Amerie. A diferencia de la mayoría de los CD, este disco no se puede reproducir con un software de reproducción multimedia común, como iTunes, RealPlayer o Windows Media Player. Para escuchar el CD, los compradores tenían que instalar el reproductor Sony BMG personalizado incluido en el disco. Guarino había hecho esto.
Ahora echó un vistazo más de cerca al joyero del CD. Se le ocurrió una frase: Contenido mejorado y protegido. Evidentemente, el disco contenía algún tipo de software de gestión de derechos digitales (DRM), un programa diseñado para controlar las copias y así desalentar la piratería.
Finalmente, las piezas se juntaron. Los archivos misteriosos se parecían a un rootkit; el propósito habitual de un rootkit es ocultar algo; un programa de protección contra copias era el tipo de cosas que sus creadores querrían ocultar a los usuarios; y la eliminación de este rootkit en particular desactivó la unidad de CD. Guarino solo pudo concluir que la fuente del malware era la propia Sony BMG.
Ahí fue cuando me di por vencido, dice Guarino. Podía combatir el malware de una máquina a la vez. Pero si la segunda compañía discográfica más grande del mundo quisiera instalar software secreto en las computadoras de sus clientes, nunca ganaría.
Antes de dejar el problema a un lado, Guarino hizo una cosa muy importante. Envió sus registros por correo electrónico a F-Secure, una empresa de seguridad informática en Helsinki, Finlandia, cuyo software había utilizado para detectar los archivos. Aunque los observadores de malware de F-Secure no habían encontrado previamente el rootkit, pudieron confirmar rápidamente las sospechas de Guarino. Durante las dos semanas siguientes, llegaron a otra conclusión mucho más preocupante: el rootkit podía ocultar otros archivos tan fácilmente como ocultaba el software de protección de copia de Sony BMG. Cada computadora que alguna vez se había utilizado para reproducir un disco Sony BMG protegido contra copia era ahora, en efecto, un receptáculo abierto para gusanos, virus y otro malware.
El 17 de octubre, F-Secure se puso en contacto con Sony. Dos semanas más tarde, el respetado experto en seguridad Mark Russinovich encontró el rootkit en su propia computadora y publicó sus hallazgos en su blog, ampliamente leído. También descubrió que otro software instalado junto con el programa de protección contra copias se contactaba en secreto con Sony BMG a través de Internet cada vez que un usuario de PC reproducía un disco protegido contra copias. Y durante los meses siguientes, lo que había comenzado como una curiosidad en la pequeña tienda de Guarino se convirtió en un escándalo en toda regla, que se completó con negociaciones clandestinas, denuncias públicas, negaciones acaloradas, boicots furiosos, juicios vengativos y disculpas apesadumbradas.
Aunque su propósito original era ocultar el software que impedía a los oyentes hacer más de tres copias de su música, el rootkit de Sony BMG se convirtió en el símbolo más público hasta la fecha de los excesos percibidos de la tecnología DRM y de la creciente sospecha que las empresas de medios parecen tener. albergar hacia sus propios clientes. El escándalo sigue teniendo repercusiones. Ha reavivado una disputa en la esfera pública sobre las formas en que los consumidores deberían poder utilizar la información digital protegida por derechos de autor y, a la inversa, hasta dónde pueden llegar los titulares de los derechos de autor para proteger su propiedad intelectual contra la piratería. (Véase ¿Quién poseerá las ideas ?, un paquete especial de TR publicado en junio de 2005.)
Llevada a los extremos, dicen los expertos, la gestión de derechos digitales no solo restringe el derecho de las personas a hacer un uso justo del material protegido por derechos de autor, que está garantizado por la ley de derechos de autor de EE. UU., Sino que incluso puede crear nuevos peligros tecnológicos. Cuando construyes sistemas informáticos en los que no estás protegiendo al usuario, sino algo del usuario, tienes una seguridad muy mala, dice Bruce Schneier, una luminaria en el campo de la seguridad informática y director técnico de Counterpane Internet Security en Mountain View. CALIFORNIA. Ese es mi mayor temor: esta noción de que el usuario es el enemigo.
La historia del fiasco del rootkit Sony BMG es más que un mal juicio corporativo o la lucha continua por los derechos de los consumidores a hacer lo que quieran con las cosas que poseen. También se trata del miedo y los excesos que puede suscitar. Cuando las empresas de medios aplican herramientas tan poderosas y secretas para la protección de contenido, sugiere que su nerviosismo por la piratería se ha convertido en pánico. Aunque Sony BMG insiste en que el rootkit se implementó involuntariamente, el episodio persuadió a muchos observadores de que la industria de la música había llegado a ver el engaño como un componente indispensable de la gestión de derechos digitales. No debería sorprendernos que los clientes que se sienten tratados como ladrones dejen de comprar cosas. Si hay un mensaje en la experiencia de Sony BMG para otras empresas que ingresan al mundo digital, es que la desconfianza genera desconfianza.
Piratería en el patio de la escuela
La demanda de contenido digital (una jerga débil pero conveniente para todo, desde poesía hasta podcasts) es mayor que nunca. Las ventas de música descargable en todo el mundo casi se triplicaron entre 2004 y 2005, de 380 millones de dólares a 1.100 millones de dólares, y ahora representan alrededor del 6 por ciento de todas las ventas de música. En marzo de 2004, la tienda de música iTunes de Apple vendía canciones a un ritmo de aproximadamente 2,5 millones por semana. Según la versión del Reino Unido de Macworld revista, ahora vende tres millones de canciones todos los días.
Uno podría esperar que los productores y distribuidores de contenido estén encantados con el despegue digital. Pero, en realidad, a menudo les preocupa la amenaza siempre presente de las copias desenfrenadas. Y por una buena razón: en un período de un mes en 2005, 3.8 millones de hogares estadounidenses descargaron música utilizando los servicios gratuitos de intercambio de archivos entre pares WinMX y Limewire, mientras que solo 1.7 millones de hogares compraron archivos de iTunes, según una investigación de mercado empresa NPD Group. La Recording Industry Association of America calcula que los ingresos minoristas perdidos por la piratería de música digital ascienden a 4.200 millones de dólares al año, y ha luchado agresivamente contra las descargas ilegales: en febrero, anunció que había iniciado 750 nuevas demandas contra los usuarios de archivos peer-to-peer. -redes compartidas, lo que eleva el total desde 2003 a más de 18.000.
Sin embargo, antes de casi todas las descargas ilegales hay un acto mucho más inocente: extraer archivos de computadora comprimidos, como MP3, de un CD comprado legítimamente. Copiar y grabar CD para uso personal es perfectamente legal en los Estados Unidos. Pero Thomas Hesse, presidente de negocios digitales globales de Sony BMG, dice que representa dos tercios de toda la piratería. La piratería casual, la piratería en el patio de la escuela, es un gran problema para nosotros, dijo al servicio de noticias Reuters el año pasado.
Por eso, las compañías discográficas como Sony BMG se sienten atraídas naturalmente por las tecnologías que prometen frustrar a los fanáticos descarriados. Ingrese a la administración de derechos digitales, una industria que surgió a fines de la década de 1990 para ayudar a los editores y estudios a mantener el control sobre el contenido de los DVD, software y similares. Para las empresas de DRM y sus clientes, el control significa impedir que los clientes abran archivos digitales a menos que hayan pagado para hacerlo. Significa evitar la copia, impresión, copia de seguridad o replicación de una obra, excepto cuando esté expresamente permitido por el contrato de licencia de la obra.
Durante años, la industria discográfica no necesitó este nivel de control, ya que los reproductores de CD para consumidores (introducidos en 1982 por Philips y Sony) fueron diseñados exclusivamente para reproducir música, no para exportarla en formato digital. Pero en 1996, cuando los fabricantes de PC comenzaron a incluir unidades de CD-ROM como característica estándar en los equipos domésticos, surgió la amenaza de la piratería ocasional; y cuando debutó en 1999, Napster, el primer sistema popular para compartir música en Internet, cumplió esa amenaza. Las compañías de grabación comenzaron a presionar en Washington para que se impongan sanciones legales más severas contra quienes son sorprendidos compartiendo archivos, y también comenzaron a buscar formas de hacer que copiar y compartir sea más desalentador para el usuario promedio.
Este no es un asunto sencillo. Los discos protegidos deben incluir software DRM para limitar las copias; sin embargo, al mismo tiempo, deben poder reproducirse en reproductores de CD normales. Una forma de satisfacer ambas necesidades es hacer que los CD se parezcan más a los CD-ROM, que a menudo contienen varias sesiones similares a los cortes de los LP de vinilo antiguos. La primera sesión de un CD multisesión, que comienza en el centro del disco, contiene música y las sesiones externas contienen software. Los reproductores de CD normales solo leen la primera sesión e ignoran el resto, mientras que una PC con Windows con su función de ejecución automática activada busca primero los programas en las sesiones externas que puede ejecutar. (Afortunadamente para los desarrolladores de DRM, la ejecución automática está activada de forma predeterminada en Windows XP y la mayoría de los usuarios nunca cambian esta configuración).
Cuando Sony BMG llevó a cabo el primer lanzamiento a gran escala de CD protegidos contra copia en 2005, utilizó el método multisesión. En 52 álbumes de Sony BMG lanzados entre enero y noviembre, las sesiones externas incluyeron un programa de protección de copia de Windows llamado XCP (Protección de copia extendida), que Sony obtuvo con licencia de una compañía del Reino Unido llamada First 4 Internet, y un programa dual de Macintosh / Windows llamado MediaMax. de SunnComm, con sede en Phoenix, AZ. Esta no era la primera vez que una etiqueta intentaba vender CD con software anticopia; Arista Records, una subsidiaria de Sony BMG, comercializó un disco con MediaMax a fines de 2003, y el software DRM de su rival Macrovision apareció en miles de CD de otros sellos a partir de 2002. ¿Qué era Sin embargo, lo inusual en los nuevos discos Sony BMG fue la técnica que First 4 Internet había elegido para hacer que XCP fuera invisible.
Dispositivo de camuflaje
Cuando Sony contrató originalmente First 4 Internet, no fue para construir un sistema DRM para CD de consumo. De acuerdo con entrevistas de prensa con ejecutivos de First 4 Internet meses antes de que estallara el escándalo de rootkit, fue para disuadir a los propios empleados y contratistas del sello, y otros destinatarios, de que los propios empleados y contratistas del sello copiaran la música previa al lanzamiento. El primer producto DRM de la compañía, XCP1, procesó la sesión de música en CD-R multisesión, el tipo de CD grabable que se usa en los estudios de música, no reproducible por computadoras. Esa capacidad era atractiva no solo para Sony BMG sino también para sus tres principales rivales, Universal, EMI y Warner Music Group, todos los cuales habían obtenido la licencia XCP1 en 2002.
Pero este método no funcionaría para los CD de consumo, que debían poder reproducirse en todo tipo de dispositivos, incluidos ordenadores, reproductores de DVD, reproductores de CD de vídeo y reproductores normales. Así que First 4 Internet desarrolló un nuevo programa, XCP2, que utiliza un enfoque más inteligente y un poco más permisivo llamado quema estéril. Este término poco apetitoso simplemente significa que los compradores de un CD protegido pueden copiarlo en sus computadoras y luego volver a grabar copias en CD-R en blanco, pero esas copias no se pueden usar para hacer más copias. (XCP2 llegó a conocerse simplemente como XCP).
Según los científicos informáticos de la Universidad de Princeton, Ed Felten y J. Alex Halderman, quienes realizaron ingeniería inversa de XCP como parte de una investigación académica, el software tiene varias funciones distintas que se invocan por separado. La primera vez que se carga un disco protegido con XCP en una computadora, se le pide al usuario que dé su consentimiento al acuerdo de licencia de usuario final (EULA) de Sony BMG. A continuación, copia una serie de programas y controladores en el disco duro y lanza un programa de reproducción multimedia patentado. Una vez instalados, de acuerdo con un libro blanco -Halderman y Felten publicado en febrero, los nuevos controladores escuchan los intentos de otros reproductores multimedia como iTunes para leer pistas de audio en el CD; si detectan uno, reemplazan los datos devueltos por la unidad de CD con ruido aleatorio. Mientras tanto, una puerta trasera en XCP permite que el reproductor multimedia propietario lea los datos sin procesar del disco sin distorsión.
En el reproductor multimedia hay una aplicación de grabación que permite al propietario del CD extraer hasta tres copias y grabarlas en CD-R. Estas copias contendrán todo el contenido del disco original, incluidas las pistas de audio, el reproductor multimedia y el software de protección contra copias. Pero serán estériles: la aplicación de grabación se desactivará, lo que significa que las copias solo se pueden reproducir, no copiar y grabar de nuevo. Alternativamente, los usuarios pueden copiar pistas individuales o álbumes completos en sus discos duros y luego grabar hasta tres copias en CD-R en formato Windows Media Audio.
Si fuera fácil para los usuarios eludir o deshabilitar todas estas funciones complejas, el sistema de protección contra copias sería inútil. Y aquí está el meollo de la controversia sobre XCP y los discos Sony BMG: los desarrolladores de First 4 Internet decidieron que varios de los archivos y operaciones del programa deberían estar ocultos a los usuarios promedio. Los controladores que interfieren con los intentos de otros reproductores multimedia de leer un CD protegido, por ejemplo, deben almacenarse en un lugar secreto donde los usuarios no puedan encontrarlos ni eliminarlos. Luego estaba el archivo que XCP usa para contar el número de copias del CD que el usuario aún puede hacer. La aplicación de grabación se desactiva solo cuando el contador llega a cero. Si los usuarios avanzados pudieran encontrar este archivo, potencialmente podrían cambiar el valor del contador a tres después de cada copia que queman.
El secreto en sí es una rutina en la industria del software, pero esto era diferente. Los primeros 4 Internet lograron el secreto usando un rootkit , Sony BMG se olvidó de informar a sus clientes sobre la presencia del programa o de proporcionar una forma sencilla de desinstalarlo. El término rootkit se deriva de las redes de computadoras que utilizan sistemas operativos de estilo Unix, donde se dice que el administrador del sistema, la persona con todos los derechos y privilegios para cambiar el sistema, tiene acceso de root. Los primeros kits de raíz, escritos a mediados de la década de 1990, eran colecciones de herramientas de software utilizadas por los piratas informáticos de Unix para adquirir acceso de raíz y depositar código malicioso sin dejar rastro. Los rootkits de Windows surgieron en 1999 y se volvieron tan comunes que se podían descargar gratis de colectivos de hackers como el que produce la revista en línea. Rootkit ( www.rootkit.com ). Se pueden comprar versiones más sofisticadas en Internet por unos pocos cientos de dólares.
Los primeros 4 ejecutivos de Internet, citando acciones legales en curso, no respondieron Technology Review's Por lo tanto, no sabemos si los desarrolladores de la empresa sabían o no que estaban creando un rootkit, o si modelaron XCP sobre uno de los rootkits comerciales o de código abierto. Sin embargo, los forasteros que examinaron el código de XCP encontraron que contenía algunos componentes de código abierto, incluido el código de un programa que codifica música en formato MP3 y otro que cifra y descifra la música descargada de iTunes de Apple. (Este último aparentemente fue parte de un plan nunca implementado para hacer que XCP sea compatible con iTunes, según Halderman).
Otra incógnita es si los desarrolladores de XCP sabían que un rootkit, una vez instalado en la computadora de un cliente, podría abrir un paso para otros virus y programas troyanos. Pero Halderman de Princeton dice que los programadores de First 4 Internet deben haber sido conscientes de que el método de encubrimiento que estaban empleando era bien conocido por los creadores de malware. Tuvieron que aprender sobre esta técnica de otras fuentes, dice Halderman. Y en el curso de la investigación sobre cómo usar esta técnica, es casi inconcebible que no hubieran descubierto que [encubrir otro malware] es algo que hacen los rootkits.
En cualquier caso, la técnica de ocultación de la empresa fue muy eficaz, tanto que ningún experto en seguridad notó el rootkit durante al menos seis meses después del lanzamiento de los primeros discos protegidos contra copia. Pero poco después de que Russinovich publicara su informe, los autores de malware descubrieron que podían usar el rootkit para mantener cualquier cosa, desde virus hasta software espía, fuera de la vista del sistema operativo. De hecho, menos de dos semanas después de que saliera a la luz el rootkit Sony BMG, apareció el primer programa de malware diseñado para explotarlo. Era un troyano de puerta trasera llamado Troj / Stinx-E diseñado para ocultarse dentro del rootkit y permitir que otros programas se apoderaran de las computadoras de los usuarios a través de conexiones a un sistema de mensajería instantánea llamado Internet Relay Chat.
La conexión finlandesa
F-Secure tiene su sede en un edificio cuadrado de vidrio y aluminio en las afueras de Helsinki, a solo una cuadra de la fábrica donde Nokia, mucho antes de convertirse en una empresa de telefonía celular, fabricó miles de kilómetros de cable de acero como parte de la guerra masiva de Finlandia. reparaciones a la Unión Soviética.
Dominando el centro de comando del segundo piso de F-Secure hay tres grandes pantallas de video. Uno representa la arquitectura de un virus informático conocido como si fuera una estación espacial gigante y giratoria. Otro muestra un mapa en tiempo real de la actividad de malware en todo el mundo. Mika Stahlberg, gerente de investigación de F-Secure, está usando la tercera pantalla para ilustrar las funciones de sigilo de XCP.
Puedo hacer una demostración usando el álbum de Van Zant, dice Stahlberg. Él inserta Ponte bien con el hombre , un álbum country de los rockeros veteranos Johnny y Donnie Van Zant, en una computadora debajo de la mesa de conferencias triangular del centro de comando. Pedimos esto a Amazon en octubre pasado. Bien, puse esto y comienza por defecto. Aquí está el EULA. Por supuesto, quiero escuchar la música, así que hago clic en 'Acepto'.
El reproductor se instala y se inicia automáticamente. Ahora Stahlberg elige un conejillo de indias para la demostración de camuflaje: el accesorio de calculadora de Windows. Inicia la calculadora, luego abre el Administrador de tareas de Windows y selecciona la pestaña Procesos, donde un usuario puede ver una lista de todos los programas que se están ejecutando actualmente en la máquina. Bien, podemos ver que está allí en la lista de procesos, se llama 'calc.exe'. Ahora cambiemos el nombre.
Stahlberg cierra la calculadora, encuentra el archivo de programa real en el disco duro y le da un nombre muy específico: $ sys $ calc.exe. Reinicia la calculadora. Ahora mire la lista de procesos nuevamente. La calculadora ha desaparecido.
Stahlberg acaba de dejar al descubierto la función principal del rootkit Sony BMG: hacer que cualquier archivo que comience con el prefijo $ sys $ sea indetectable. Entre los archivos que XCP mantiene ocultos de esta manera: aries, el programa líder que distribuye mensajes entre las aplicaciones y el sistema operativo; crater, el controlador de filtro que evita que otros programas lean el CD-ROM; y $ sys $ parking, que cuenta cuántas veces se ha utilizado la aplicación de grabación.
Lo que hacen casi todos los rootkits ... es filtrar el resultado que obtienen las aplicaciones de ciertas funciones del sistema operativo, explica Stahlberg. XCP filtra cualquier salida marcada con el prefijo $ sys $, por lo que en la demostración de Stahlberg, cuando el Administrador de tareas le pidió a Windows una lista de programas en ejecución, recuperó todo excepto la calculadora. Es posible que se esté ejecutando un programa con el prefijo $ sys $ en su nombre; de hecho, puede estar ocupando una gran fracción de la memoria del sistema y el tiempo de la CPU, pero para la lista de Procesos y otras aplicaciones como el Explorador de Windows, no existe. .
Por supuesto, Stahlberg y sus colegas de F-Secure no entendieron nada de esto la primera vez que examinaron un disco Sony BMG protegido contra copia, Switchfoot Nada es sonido . Inmediatamente después de recibir el archivo de registro de John Guarino, solicitaron el CD y lo instalaron en una PC en cuarentena, luego utilizaron el programa de detección de rootkit de F-Secure, llamado Blacklight, para ver cómo el software del disco había alterado el sistema operativo de la máquina. Blacklight descubrió que había más archivos en el sistema de los que indicaba el Explorador de Windows, una señal inequívoca de un rootkit.
Al principio, los investigadores de F-Secure se mostraron reacios a etiquetar el rootkit Sony BMG como una amenaza a la seguridad, ya que obviamente se estaba utilizando para protección contra copias, no para propagar virus o generar anuncios emergentes. DRM como tal no es malo, dice -Santeri Kangas, director de investigación de F-Secure. Pero cuando analizamos lo que esto podría hacer como un vehículo para el malware, tomamos una posición y dijimos: 'Bueno, esto es peligroso'.
F-Secure se puso en contacto con Sony sobre la vulnerabilidad del rootkit el 17 de octubre. Pero la relación tuvo un mal comienzo, según Kangas. Sin saber a quién dirigirse, F-Secure llevó el problema primero a Sony DACD, una subsidiaria austriaca que fabrica CD. Dijeron: 'Gracias, pero esto es de Sony BMG', relata Kangas. Cuando él y sus colegas finalmente llegaron a la sede de Sony BMG en Los Ángeles, la primera reacción que obtuvimos fue, ¿por qué estábamos hablando de su software de protección contra copias con una unidad de la competencia de Sony? Estaban bastante enojados.
Una vez que pasaron las recriminaciones, los gerentes de Sony BMG DRM pidieron a Kangas y su personal que trabajaran con First 4 Internet para proteger a los propietarios de los CD protegidos. Desde nuestro punto de vista, la única solución con esta primera versión de XCP fue dejar de implementarlo, dice Kangas. Pero eso era algo que claramente no querían hacer. Según Kangas, el plan de First 4 Internet era simplemente lanzar una nueva versión de XCP en 2006 sin el rootkit, no reemplazar los millones de discos que ya se habían comprado, y ofrecer una herramienta de desinstalación a los clientes que la solicitaran.
Kangas y su equipo prepararon un informe público sobre el rootkit, pero estaban esperando el desinstalador de First 4 Internet antes de lanzarlo, como cortesía de las demandas del negocio de seguridad de Internet. Fue entonces cuando fueron derrotados por un tejano llamado Mark Russinovich.
Russinovich y su colega Bryce Cogswell son los autores de Sysinternals.com, uno de los blogs estadounidenses más importantes sobre seguridad informática. Russinovich es también el arquitecto jefe de software de Winternals Software, con sede en Austin, y, por casualidad, el inventor de algunas de las técnicas de camuflaje utilizadas por XCP. Él y Cogswell habían pasado parte de 2005 trabajando en Rootkit Revealer, un programa de detección similar al Blacklight de F-Secure. Un día a finales de octubre, Russinovich estaba ejecutando Rootkit Revealer en su propia PC como parte de una prueba para asegurarse de que el programa no generaba falsos positivos. Russinovich dice que deliberadamente evita las áreas más sórdidas de Internet para mantener su máquina libre de malware, por lo que se asombró cuando Rootkit Revealer encontró archivos de rootkit reales.
Al igual que Guarino, Russinovich descubrió que eliminar los archivos desactivaba su unidad de CD-ROM. Incluso un usuario doméstico sofisticado, si intentara desinstalar el rootkit eliminando los archivos, terminaría paralizando su máquina, dice Russinovich. Pero como él mismo había ideado la mayoría de los trucos que usan los rootkits de Windows para engañar al sistema operativo y otras aplicaciones, no se quedó bloqueado. Russinovich pudo omitir la función de camuflaje del rootkit y, después de recordar que recientemente había reproducido el disco Sony BMG protegido contra copia Ponte bien con el hombre en su computadora: rastree los archivos que había estado escondiendo hasta First 4 Internet y Sony BMG.
Me preocupaba el hecho de que esta cosa hubiera instalado un software de rootkit en mi PC, dice Russinovich. Se había instalado sin avisarme. No parecía haber ningún desinstalador. Pero lo más sorprendente de todo fue encontrarse con un rootkit que formaba parte del DRM de una empresa conocida.
Russinovich no se puso en contacto con Sony BMG sobre su descubrimiento; más bien, vertió sus hallazgos en una entrada de blog enojada publicada en Halloween. En cuestión de horas, Slashdot, el famoso hogar de News for Nerds, recogió la publicación de Russinovich. Y a partir de ahí, la historia del rootkit se propagó por toda la blogósfera e incluso llegó a los principales periódicos. F-Secure, aunque había sido recogido por Russinovich, regresó rápidamente al juego, publicando su propio análisis del rootkit el 1 de noviembre.
Entre los fanáticos de la música y los observadores de la tecnología, la reacción a la noticia del rootkit fue explosiva. En cuestión de días, los activistas anti-DRM lanzaron varios boicots contra Sony BMG. Sony apunta a los piratas y golpea a los usuarios, gritó un titular del 9 de noviembre en el Monitor de la Ciencia Cristiana . Las empresas de antivirus y seguridad emitieron advertencias en las que advertían a los consumidores que evitaran o devolvieran los discos Sony BMG. Los blogueros avivaron las llamas; la palabra rootkit apareció en blogs entre 150 y 750 veces al día durante noviembre, según el motor de búsqueda de blogs Technorati.
Los ánimos estallaron aún más después del 4 de noviembre, cuando Russinovich anunció en su blog que otro software que acompañaba a XCP en los discos Sony BMG llamaba a casa, contactando a Sony BMG a través de Internet cada vez que un usuario reproducía un CD protegido. Siguiendo un consejo de un hacker finlandés y estudiante de informática llamado Matti Nikki, Russinovich utilizó un programa de rastreo de red para analizar el tráfico que entra y sale de su computadora. Descubrió que durante el inicio, los CD protegidos verificaban con un servidor de Sony BMG material nuevo para un anuncio de banner giratorio que se mostraba con el reproductor. Este intercambio fue bastante inocuo; pero para Russinovich y los lectores de su blog, la afrenta fue que Sony BMG no había revelado en los EULA de los CD que el software enviaría datos a la empresa ni explicaba cómo se utilizarían esos datos. Dudo que Sony esté haciendo algo con los datos, escribió Russinovich, pero con este tipo de conexión, sus servidores podrían grabar cada vez que se reproduce un CD protegido contra copia y la dirección IP [la ubicación en Internet] de la computadora que lo reproduce.
Los profesionales de la seguridad, los blogueros y los fanáticos de la música no fueron los únicos que se sintieron consternados. El Departamento de Seguridad Nacional de EE. UU. Criticó a Sony BMG por lanzar productos que socavaban el software antivirus y exponían a los piratas informáticos tanto las computadoras del gobierno como las privadas. En una conferencia comercial sobre piratería el 10 de noviembre, Stewart Baker, el subsecretario de política del departamento, reprendió a los grandes medios por su obsesión con la DRM. Es muy importante recordar que es su propiedad intelectual, [pero] no es su computadora, dijo Baker.
Una y otra vez, las personas que encontraron el rootkit expresaron una sensación de violación. John Guarino, el consultor informático, ofrece esta analogía: digamos que desea instalar televisión por cable en su apartamento. Llamas a la compañía de cable. Dicen que vendrá alguien a instalarlo. El tipo del cable te obliga a firmar algo antes de entrar al apartamento. Luego descubres que en realidad no abandonó el apartamento cuando terminó. Todavía se esconde. Y llama a la empresa y dice: 'Este tipo todavía está aquí', y ellos dicen: 'Pero usted firmó el documento'. Y usted dice: 'Sí, pero todavía no debería estar aquí'. ¿Dónde está? 'Y ellos dicen:' No te lo vamos a decir '.
Y este tipo no solo se esconde dentro de tu apartamento, en realidad está comiendo de tu refrigerador, bebiendo tu agua, usando el baño y no puedes detenerlo. Podría invitar a otros amigos y dejarlos entrar. Y si intentas encontrarlo y sacarlo tú mismo, lanzará bombas y tendrás que llamar a los chicos de la construcción para que reconstruyan todo tu apartamento.
Eso es lo que está haciendo Sony. El rootkit usa su procesador, usa su memoria, su disco duro. No puedes sacarlo fácilmente, porque no te dirán cómo. Si intentas sacarlo, en realidad estropea tu computadora. La única solución es reinstalar todo el sistema operativo. Es una anarquía total y es inaceptable.
Frente a la Música
A pesar de las advertencias de F-Secure a finales de octubre, Sony BMG se sorprendió por la controversia. De hecho, durante días después de que el análisis de Russinovich llegara a la noticia, los ejecutivos de la compañía mostraron poca comprensión de la furia que estaba despertando en los corazones de muchos de sus clientes. Creo que la mayoría de la gente ni siquiera sabe qué es un rootkit, así que, ¿por qué deberían preocuparse por él? Hesse, de Sony BMG, dijo en una entrevista con National Public Radio el 4 de noviembre.
Pero para los propietarios de los más de dos millones de discos protegidos con XCP vendidos por Sony BMG entre enero y noviembre, los informes fueron una sorpresa. Las fallas de seguridad en el software comercial son comunes; Los productos de Microsoft, por ejemplo, se utilizan tan ampliamente que hasta el más mínimo error eventualmente será descubierto y explotado por un autor de malware, por lo que el gigante del software publica actualizaciones y parches mensualmente. Pero ninguna empresa de software o de medios de la talla de Sony BMG había distribuido jamás un programa que, a juicio de los expertos en seguridad, fuera diseñado deliberadamente para imitar el malware.
Sony BMG no se disculpó de inmediato, pero intentó resolver el problema. Su primer paso, a principios de noviembre, fue publicar un programa basado en la web que los clientes podrían usar para eliminar XCP de sus sistemas. La mudanza no ayudó en nada. Matti Nikki en Finlandia descubrió que un archivo que el desinstalador colocaba en la computadora de un usuario para facilitar la comunicación con los servidores de Sony BMG podía ser explotado posteriormente por cualquier sitio web que quisiera enviar y ejecutar código malicioso. El desinstalador planteaba un riesgo de seguridad mucho mayor que incluso el rootkit original de Sony, según Felten y Halderman, que verificaron el descubrimiento de Nikki el 15 de noviembre en su blog, Freedom to Tinker, muy seguido.
Unos días después, Sony BMG reemplazó el desinstalador basado en Web por uno más seguro y descargable. Y gradualmente, la empresa pareció reconocer el alcance del desastre de relaciones públicas que enfrentaba. El 11 de noviembre, Sony BMG anunció que dejaría de fabricar CD de música con XCP. El 14 de noviembre, la compañía dijo que lamentaba las molestias que había causado a sus clientes y anunció un programa de intercambio para reemplazar los discos protegidos con XCP por otros nuevos sin el rootkit.
Según informes de los medios, los consumidores habían comprado 2,1 millones de CD protegidos contra copia. No está claro cuántos de estos clientes realmente reproduciron los CD en sus computadoras, y así instalaron sin saberlo el rootkit. Pero Dan Kaminsky, un investigador de seguridad independiente en Seattle, descubrió pruebas que vinculan al rootkit de Sony con cientos de miles, si no millones, de sistemas en 131 países. Él llama a ese número enorme, especialmente cuando se compara con las cifras de propagación de gusanos y virus de Internet. Kaminsky publicó las estadísticas en su sitio web, -doxpara.com, junto con mapas mundiales que muestran la ubicación de las redes afectadas.
Mientras tanto, Sony BMG trató de responder a las preocupaciones específicas planteadas por Russinovich, Kaminsky y otros. En una carta del 18 de noviembre a la Electronic Frontier Foundation, que había publicado anteriormente su propia carta abierta criticando el manejo de Sony BMG del episodio de XCP, el abogado de Sony, Jeffrey Cunard, dijo que la compañía nunca revelaría las direcciones de Internet recopiladas cuando XCP llamó a casa y que, en cualquier caso, estas direcciones nunca se asociaron con información de identificación personal. También dijo que Sony BMG sería más cuidadoso en el futuro al evaluar el software de protección contra copias y los EULA que lo acompañan. Cualquier tecnología de protección de copia presente y futura utilizada por Sony BMG será probada, verificada y divulgada a los consumidores, escribió Cunard.
Representantes de Sony BMG contactados por Revisión de tecnología en marzo y abril no nombraron a los ejecutivos responsables de otorgar licencias a XCP de First 4 Internet o de lanzar los discos protegidos contra copia, y se negaron a hacer que los ejecutivos estuvieran disponibles para entrevistas. Sin embargo, Cory Shields, director de la oficina de comunicaciones de la empresa, dijo que nunca fue la intención de Sony BMG incluir software que causara problemas de seguridad en sus discos compactos. La intención de la empresa era ofrecer una tecnología que fuera amigable para el consumidor, que permitiera a las personas buscar la funcionalidad que querían, dijo Shields. Ciertamente, no era la intención de la empresa crear un problema.
Zona de libertad
Los retiros, intercambios y disculpas de noviembre de 2005 no pusieron fin al asunto. El fiscal general de Nueva York, Eliot Spitzer, criticó a Sony a fines de noviembre, luego de que los investigadores descubrieron que los discos que contenían XCP aún no habían sido retirados de las tiendas. La Comisión Federal de Comercio abrió una investigación y el fiscal general de Texas, Greg Abbott, demandó a Sony BMG por violar las leyes estatales antispyware. Los demandantes en al menos cinco estados presentaron una demanda, reclamando daños y perjuicios contra Sony BMG por dañar sus computadoras.
Sony se ocupó de estos juicios rápidamente. Antes de que terminara diciembre, la compañía había llegado a un acuerdo tentativo con los abogados, quienes habían consolidado las demandas en una sola demanda en el Tribunal de Distrito de los Estados Unidos para el sur de Nueva York. El acuerdo proporciona a cualquier persona que posea un disco con XCP un disco de reemplazo, un pago en efectivo de $ 7.50 y (irónicamente) descargas digitales gratuitas de la música en el CD y hasta tres más. En el momento de la publicación, el tribunal aún no había aprobado el acuerdo completo, pero el programa de reemplazo había comenzado.
Pero la ira por el rootkit en los medios y la blogósfera persistió incluso después de la noticia del acuerdo propuesto. Al parecer, lo que realmente molestaba a los consumidores no era el daño causado a sus equipos: el caballo de Troya Troj / Stinx-E no se había extendido mucho y no había tiempo para que surgiera una epidemia grave de otro malware que explotara el rootkit XCP. Más bien, los compradores de CD estaban molestos porque el software ocultó deliberadamente su presencia y se puso en contacto con Sony BMG sin su permiso. Sintieron que XCP había violado protecciones fundamentales: los derechos a la privacidad y la propiedad privada y las libertades de expresión y acceso a la información.
Soy un fanático de la música, y he estado observando con consternación toda la marcha de DRM, hasta el punto de que prácticamente tienes que firmar un contrato para abrir una caja de CD, dice Tim Jarrett, desarrollador web y desarrollador web de Framingham, MA. blogger de tecnología. Entonces, cuando vi que Sony no solo estaba incluyendo este DRM sino que lo estaba haciendo de tal manera que estaba abriendo las computadoras de las personas a la explotación, creo que algo dentro de mí simplemente se rompió. Jarrett decidió iniciar Sony Boycott Blog, que funcionó durante tres meses como uno de los principales centros de intercambio de información sobre la saga de rootkit. A juzgar por los comentarios que dejaron, los lectores de Jarrett, que llegaban a 5000 por día, estaban igual de molestos. Tiene una zona de libertad personal: un espacio personal dentro del cual puede decidir, por ejemplo, leer un libro al revés, o leerlo 20 veces, o tomar notas al margen, o leerlo en la bañera o hacer una parodia. representando el libro a un amigo, dice la profesora de derecho Julie Cohen, que estudia derecho de propiedad intelectual y privacidad de datos en el Centro de Derecho de la Universidad de Georgetown. Y tener un policía automático o incluso simplemente una prohibición arquitectónica rotunda que se apropie de ese espacio personal es algo que la gente experimenta como muy intrusivo.
Creo que estamos en este período en el que los proveedores de contenido están tratando de traspasar los límites, dice Mark Russinovich. Quieren ver hasta dónde pueden llegar para proteger su contenido y dónde está esa delgada línea entre proteger su contenido de la piratería casual y molestar al consumidor.
Buen DRM
Las preguntas planteadas por la saga de rootkit Sony BMG son si proteger el contenido significa necesariamente violar el derecho de los consumidores a controlar su propiedad privada, comprometer el papel de la computadora como instrumento de cultura y creatividad y sacrificar el principio de uso justo (una disposición en los derechos de autor de EE. UU. ley que permite la reproducción de obras protegidas por derechos de autor con fines de crítica, informes, investigación y archivo).
Los signos iniciales no son buenos. El error de Sony BMG, por inadvertido que haya sido, fue una indicación para muchos observadores de que los titulares de los derechos de autor de hecho están intensificando la guerra tecnológica, eligiendo entrometerse cada vez más profundamente en el funcionamiento de las computadoras de los clientes en un esfuerzo apresurado y descuidado por limitar aprovecharse.
Si Sony no se detuvo y se tomó el tiempo para preguntarle a First 4 Internet qué hizo realmente XCP, es su culpa, dice Schneier de Counterpane Internet Security. Encuentro a First 4 Internet menos culpable, porque Sony quería comprar una especie de fórmula mágica y simplemente dijeron: 'Aquí, usa la nuestra'.
Sony BMG nunca ha aceptado completamente la culpa; incluso en el acuerdo de conciliación de diciembre, la empresa negó tener responsabilidad legal alguna o que alguien hubiera resultado perjudicado por alguna conducta ilícita. Aún así, según la mayoría de las medidas de responsabilidad corporativa, Sony BMG ha hecho todo lo posible para compensar el fiasco del rootkit. La compañía ahora parece desconfiar de cruzar la delgada línea de Russinovich. Tiene que haber un equilibrio entre la protección del contenido y el fomento y la protección de la tecnología, reconoce el portavoz de Sony BMG, Cory Shields.
De hecho, los errores de Sony BMG en el caso del rootkit proporcionan algunas ideas sobre cómo sería, por el contrario, una buena gestión de derechos digitales.
Primero, digamos los profesionales de la seguridad informática, un buen DRM debería ser transparente . Para estos profesionales, el episodio de rootkit llevó el secreto demasiado lejos. Si un rootkit proporciona un escondite para virus, gusanos y troyanos, hace que el trabajo al que se enfrentan los programas de detección de virus de las computadoras sea mucho más difícil. Y si las empresas más legítimas comienzan a diseñar su software para imitar el malware, ese trabajo se vuelve casi imposible. Ahora todo su software de seguridad tiene que distinguir entre código malicioso 'bueno' y código malicioso 'malo', dice Schneier.
Por lo tanto, para ser amigable para el consumidor, el software DRM debe ser amigable para la computadora. No debe esconderse del sistema operativo de la computadora, ni ocupar más de su parte de procesamiento o memoria. Y los términos de uso y las funciones del software deben explicarse de manera clara para el usuario, no enterrados en un EULA de 20 páginas. Las personas deben comprender el trato que están haciendo y las restricciones a las que pueden estar sujetas, dice David Sohn, un asesor de personal especializado en derecho de propiedad intelectual en el Centro para la Democracia y la Tecnología en Washington, DC.
En segundo lugar, la tecnología DRM debería respetar la privacidad y seguridad de los usuarios . Debe recopilar solo la información personal necesaria para la autenticación y solo después de obtener el consentimiento de los usuarios. Y las medidas de protección de contenido no se pueden implementar a expensas de la seguridad de un sistema informático contra malware real.
En tercer lugar, una buena DRM debería ser útil para el usuario . Si un sistema DRM se rompe, los consumidores aún deberían poder acceder al contenido que compraron, y si se convierte en una amenaza para la seguridad, deberían poder apagarlo. Sin embargo, según la Ley de derechos de autor del milenio digital (DMCA) de 1998 de EE. UU., Es ilegal eludir la tecnología que protege el contenido digital. No hay ninguna excepción para casos como el del rootkit Sony BMG, donde la tecnología DRM en sí misma puede estar causando daños. Esta extraña situación podría remediarse si los esfuerzos de algunos legisladores para enmendar la DMCA tienen éxito. El 14 de diciembre, por tercera sesión consecutiva del Congreso, la representante Zoe Lofgren, una demócrata de Silicon Valley, presentó un proyecto de ley que legalizaría eludir la tecnología DRM si el contenido desprotegido se utiliza luego para fines no infractores, como archivar . El proyecto de ley de Lofgren ha sido remitido al Comité Judicial de la Cámara, donde espera su revisión.
Cuarto, y quizás lo más importante, una buena tecnología DRM debería ser flexible . La propuesta que Sony BMG hizo a los clientes con XCP fue bastante escasa: compre este CD por $ 13.98 y podrá hacer tres copias, solo en formato Windows Media Audio. Las copias no se pueden copiar y no se reproducirán en las computadoras de otras personas. Por el contrario, una DRM razonable les daría a los consumidores la libertad de usar el contenido que han comprado de manera no infractora, como copiarlo a sus computadoras y cargarlo en sus reproductores móviles, o tal vez les permitiría elegir exactamente cómo les gustaría usar. el contenido y cobrar en consecuencia. El cambio de tiempo (grabación de audio en vivo para su consumo más tarde), el cambio de lugar (transmisión de música a través de Internet desde una computadora doméstica a una ubicación remota) o incluso el muestreo y la remezcla pueden tener diferentes etiquetas de precio. El mercado debería recompensar o castigar a los productos en función de si brindan la flexibilidad que la gente desea, dice Sohn.
Algunas tecnologías DRM ofrecen una flexibilidad cada vez mayor. Sohn señala FairPlay, el sistema DRM detrás de iTunes de Apple, como un ejemplo que otros distribuidores de contenido harían bien en imitar: los clientes pueden escuchar canciones protegidas por FairPlay en una computadora, hacer listas de reproducción, grabar esas listas de reproducción en CD y mover las canciones a dispositivos portables. (Sin embargo, Sohn no es fanático de la incapacidad de FairPlay para operar con productos que no son de Apple). El éxito de la tienda de música iTunes, dice Sohn, sugiere que esta combinación de características satisface la demanda de los consumidores. TiVo to Go es otro ejemplo: los propietarios de grabadoras de video digitales TiVo pueden transferir programas grabados a DVD, computadoras de escritorio, computadoras portátiles y dispositivos móviles como el iPod con video y la PlayStation Portable de Sony.
Pero para cada iTunes y TiVo, todavía hay numerosos ejemplos de esquemas DRM restrictivos que tratan a los clientes como delincuentes. Hasta que no haya consenso sobre qué derechos merecen los consumidores y qué restricciones son necesarias para proteger los ingresos de los artistas y sus estudios, la compra de contenido digital probablemente seguirá siendo un asunto espinoso.
Los titulares de la propiedad intelectual tienen absolutamente el derecho de proteger esa propiedad, dice Stephen -Toulouse, gerente del programa de seguridad en el Centro de Respuesta de Seguridad de Microsoft, donde los investigadores pasaron semanas el otoño pasado ayudando a los usuarios de Windows a responder a la epidemia de rootkit. Pero como consumidor, me gustaría que los estudios y los proveedores de software reciban comentarios de los consumidores y creen tecnologías que los reflejen.
Al final, entonces, la mejor respuesta de los sellos discográficos a la caída de los ingresos por música puede ser ejercitar más imaginación, no más control.
Wade Roush es editor senior de Technology Review.