» »

Rootkit na Sony DRM zgoščenkah

Rootkit na Sony DRM zgoščenkah

Slo-Tech - Mark Russinovich je med rutinskim pregledom svojega računalnika naletel na presenetljive rezultate pri uporabi orodja RootkitRevealer; kljub temu, da vzorno skrbi za varnost sistema, je program na njegovem trdem disku odkril sledi rootkita. Odločil se je zadevo raziskati in na koncu ugotovil, da skupek ZlobneKode™ izvira z varnega avdio CDja, ki ga je nedavno kupil na Amazonu. Zgoščenke, ki imajo vgrajeno Sonyjevo DRM zaščito, tako s sabo prinašajo poleg namenskega predvajalnika, s katerim lahko na široki paleti različnih platform uživate v glasbi, še programje, ki na vašem sistemu deluje podobno kot software za oddaljen nadzor in prikrito zbiranje podatkov. Podrobna tehnična disertacija je na voljo na Markovem žnevniku.

O novici nas je obvestil delfi, za kar se mu iskreno zahvaljujemo.

Vsekakor vzpodbudna poteza megalomanskih založb, ki z dviganjem zaupanja pri uporabnikih iz dneva v dan višajo prodajo legalnega avtorskega materiala.

51 komentarjev

«
1
2

Tear_DR0P ::

zanimiv članek - zanimiva snov - če kupiš sonyjev CD z glasbo dobiš zraven še "free" software, gratis
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

KoKi ::

kaj to je res, al so ze pocasi res vsi paranoicni ... mislim ... saj sem si prebral novico, samo ne morem enostavno verjet, da si kaj takega upajo. prej sem komercialnim programom enostavno reko spyware, a se bom mogo tu mnenje spremenit?
# hackable

para! ::

Vsi vemo, da je cilj korporacij obirat potrošnike in vsi hkrati vemo, da je prenos nelegalnih vsebin kraja, kakorkoli že obrnete. Je pa tu precej enostavno izkoristit milo za drago, oni nam na CDje podtikajo spyware, mi pa njihovih CDjev in glasbe ne kupujemo, vseeno pa jo imamo ;)

lp
Death before dishonor!

kopernik ::

Prebral celoten postopek odkrivanja ... izjemno podla poteza proizvajalca CD-ja, torej Sony-ja.

RejZoR ::

Jezst samo upam da jih bo en prov nagravžno grdo stožil ker na sistem brez uporabnikove vednosti naloži rootkit. Nej bo dober al pa grd, rootkit nima kej počet na nobene sistemu.
F-Secure je že naznanil da bo zaznaval zadevo kot Trojan Agenta in kot Rootkit, podobno bo verjetno naredil tud Kaspersky Lab.
Za ostale še ne vem. Nasploh pa mi grejo te zaščite grozno na jetra in jih poanavadi sam zaobidem in naredim audio plošček brez tega sranja da res dela kamorkoli ga vtakneš.
Angry Sheep Blog @ www.rejzor.com

Kami ::

To je pa že prehudo, sigurno jih bo kdo tožil

Tear_DR0P ::

je kdo prebral komentarje
nekdo je staknu podatke o podjetju, ki je spisalo software, zanimivo je to, da je eden izmed direktorjev podjetja deloval tudi v managmentu angleške podružnice sonya

P.S. bi si kdo upal v bližini aiba izjavit da je naredu piratski CD :D
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

denial ::

Nekatera podjetja nas neprestano presenečajo z uporabo programerskih tehnik katere so razvili hekerji. V konkretnem primeru gre za t.i. API hooking. Eh, seveda to ni zaradi profita ampak za dobro potrošnikov... Pred slabim mesecem, je bila podobna "afera" z igro WoW, ki vsebuje spyware klienta kateri preverja vse procese v računalniku. Tudi pri Blizzardu so se poslužili API hookinga.

More about Wow:
http://forums.worldofwarcraft.com/thread.aspx?fn=blizzard-archive&t=33&p=1&tmp=1#post33
http://www.schneier.com/blog/archives/2005/10/blizzard_entert.html
http://www.eff.org/deeplinks/archives/004076.php

More about Sony:
http://www.f-secure.com/weblog/
http://www.europe.f-secure.com/v-descs/xcp_drm.shtml

BuDi79 ::

ampak tole z žnevnikom se vam pa prav da...

Beernarrd ::

Če misliš na samo besedo, je prav za čestitat

Sl4v3 ::

big brother, lol
sam pri sebi: dobro, da ne kupujem glasbe; --TEGA NISEM REKEL:D

Nekateri pa jih uporabljajo tudi v dobre namene. Če se dobro spomnim je nekaj časa nazaj Microsoft uporabljal hekerje, da so našli varnostne luknje v neki programski opremi. Mislim, da so potrebovali 10-20 min :P
Umri mlad, da bos lep okostnjak!

Zgodovina sprememb…

  • spremenil: Sl4v3 ()

Roadkill ::

Najboljš si je predstavljat, da par miljonov ljudi nabbavi Sonyjev CD, en hacker pa pogrunta, kako koristit tale rootkit in *presto* ima miljon mašin navoljo.

Ko bi ga dobil, bi pa najebal on. :)
Ü

64202 ::

> Nekatera podjetja nas neprestano presenečajo z uporabo programerskih tehnik katere so razvili hekerji

"razvili", no ja, ni to nekaj samo v domeni hekerjev. Recimo MS-jev remote desktop je baje narejen kot kernel level hook ( razlaga "hookov"). Pa theme masine za GUI so na winsih ponavadi implementirane kot user level hook.
I am NaN, I am a free man!

CaqKa ::

tole je pa hujše kot ptičja gripa.

Spc ::

stavek iz Deus Ex-a:

Morgan Everett:
Surveillance used to be daemon-based. Daedalus is more distributed; a blip of his code runs on every communication device on the planet.

Zgleda, da se bo ta stavek uresničil.
Avtorji Deus Ex-a so videli pravo prihosnost.
8-O

Zgodovina sprememb…

  • spremenil: Spc ()

Jernej L ::

Denial: WOW ne uporablja nikakršni api hooking, samo preveri procese in nekaj njihovih bajtov, ki so ponavadi informacije o vsebini programa (ne pa tudi rečeno podatki v programu), vse skupaj je tudi preverjeno na lokalnem računalniku tako da podatki spljoh ne uhajajo na internet a se le primerjajo z znanimi cheater programi.

mislim celo da je WOW tudi nekako upravičen da svojim igralcem omogoči zaščito pred goljufi, SONY pa ti na računalnik sam namesti software z gonilniki in postavi nestabilne zanke in program v samo jedro operacijskega sistema brez kakršnekoli licence ali strinjanja ali nestrinjanja in nimaš niti uninstalerja.

Stepni Volk ::

Zadevi se ne reče le spyware, temveč tudi "malicious software". Razlog več, da Sonya ne maram.
Najprej ga nisem maral, ker so se mi vse njegove naprave pokvarile (CD predvajalnik, walkman, video kamera...). Zato že dolgo ne kupujem Sony naprav. Ko so potem prodajali zaščitene glasbene ploščke pod oznako Compact Audio Disc in so jih seveda uporabniki v ZDA na veliko tožili, ker je bila zaščita takšna, da zadeve nisi mogel predvajati na PCjih in starejših CD predvajalnikih, se mi je zameril še bolj. Seveda so uporabniki hitro ugotovili, da se da njihovo "zaščito" ugnobiti s flumastorm.
Toda zakaj bi kupoval Sonyeve ploščke, da bi jih potem barval?

Sedaj še zlobno programje, ki ti tudi v neaktivnem stanju odžira procesorsko moč.

Razlog več, da ne kupujete Sonyevih proizvodov, glasbe in filmov. Ino tudi kakšna tožba znotraj EU bi morala pasti, da ne bodo vedno ZDA prednjačile.

Highlag ::

Malce sem razmišljal. Kaj če Sony ni za to kriv. Oni so kupili zaščito pri eni firmi. Mislite, da so imeli popolno informacijo kaj kupujejo?

Če so: ni nič čudno da gre Sony počasi k vragu.
Res grdo tole.


Sem pa za štos pognal tale rootkitrevealer, pa je našel čudne stvari v mapi Cashe v profilu Firefoxa >:D
Dve datoteke. Ena je bila vidna sistemskim apijem, druga pa celo skrita, ko sem pogledal preko explorerja ni bila vidna nobena. Sicer je brisanje cash-a datoteki odstranila, je bilo pa zanimivo. ;)
Never trust a computer you can't throw out a window

KoKi ::

Zadevi se ne reče le spyware, temveč tudi "malicious software".
ja rekel sem spyware, ker si pri tem vecina ne predstavlja kaj hujsega (no vasj dobis obcutek ko komo skeniras ...), amapak dviomim, da vsak posega po takih vrstah zlonamrenih pripomockov in nocem vseh metat v isti kos (predvsem ker vem, da bi dolocene osebke zgrabla histerija ...).
# hackable

ender ::

Highlag: če si med skeniranjem z RootKitRevealerjem uporabljal FF, je to normalno - RKR ti sporoča razlike med tremi vrstami pogleda na datoteke, le-te pa se bodo pojavile tudi, če se med skeniranjem kakšna datoteka ustvari ali pobriše, ker je med posameznimi scani vedno nekaj časovne razlike.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

poweroff ::

Hudo! Ko je človek le uspel z različnimi naprednimi orodji spyware odstraniti, mu je izginila CD enota, saj spyware zamenja gonilnike.

Na koncu je moral odstraniti še zamenjavo gonilnikov iz registra, s posebnim postopkom, saj je bil ta del registra zaščiten pred spremembami. BTW: zadeva se naloži tudi v safe modeu.

Skratka, človek mora biti heker, da si uspe počistiti računalnik. To pa je svinjarija od DRMja...
sudo poweroff

kopernik ::

Zakaj ima to kakšno vezo z DRM-jem ? To bi lahko dali na CD tudi 5 ali več let nazaj.

Mr.B ::

LAhko da je že bilo. Počakaj visto, boš imel nekaj takega build in. Z novimi platami pa lahko že na plati čip.
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

Daedalus ::

offtopic:

Morgan Everett:
Surveillance used to be daemon-based. Daedalus is more distributed; a blip of his code runs on every communication device on the planet.

Zgleda, da se bo ta stavek uresničil.
Avtorji Deus Ex-a so videli pravo prihosnost.


Itak da so vidli pravo prihodnost. Evo mene, Daedalusa>:D

ontopic

Tole je pa že _rahlo_ preveč...upam, da se jih bo stožilo do bankrota in še malo dlje:|
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

metalc ::

A se grejo to pi**arijo tudi pri Sony Classical??

denial ::

Delfi: dobro vem kakšna je funkcija WoW warden klienta. Zate warden klient pač ni spyware, zame je. Večina ljudi itak deli tvoje mnenje. Sem mnenja, da noben userland proces ne (bi) sme(l) izvajati avtomatiziranega nadzora ostalih procesov, ne da bi uporabnik imel tudi možnost izbire. To, da se kontrola izvaja na lokalnem nivoju je irelevantno. Popolnoma vseeno mi je ali me nadzirajo le doma ali tudi ko sem zunaj...

ginekolog ::

katastrofa je tole. A sedaj mi pa bo vsak film, vsak dvd in cd nasral SVOJ ROOTKIT na pc????? ;( ;( Ni šanse... sedaj sem kar vesel, da ne kupujem tega sranja. Za mp3 vsaj vem, da ni možne zlorabe v sodobnih predvajalnikih.

groza no.
Divers do it deeper.

ender ::

Zdaj se na internetu govori, da tale zaščita naj ne bi bila namenjena toliko samemu preprečevanju kopiranja datotek, kot pa preprečevanju, da bi si uporabnik CD zripal v iTunes in prenesel na iPod - kao poizkus, da bi založbe imeli večji vpliv nad Applom.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

NupY ::

Daedalus ::

Citat z linka:

This component is not malicious and does not compromise security.

Mnja, po moje tudi program, ki skrije vse datoteke, ki majo na začetku imena napisano $sys$ ni nevaren... Sploh če bi se našel nekdo, ki bi izdelal $sys$trojanc.exe:\

Še dokaz - citat z bloga iz novice:

I studied the driver’s initialization function, confirmed that it patches several functions via the system call table and saw that its cloaking code hides any file, directory, Registry key or process whose name begins with “$sys$”.

Idioti jedni;(
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Stepni Volk ::

Nemci so se zganili in ugotovili, da je Sonyev programček nezakonit in bi minimalno moralo biti na ovitku opozorilo.
Se nam obetajo glasbene plošče v stilu škatlic za cigaret: "Obudsman za človekove pravice opozarja..." ?

Sony je že "zacvikal" zaradi izredno negativnega odziva kupcev in ponudil na svoji strani http://cp.sonybmg.com/xcp/english/faq.html#uninstall navodilo za odstranitev programov.
Seveda morate predhodno izpolniti formular.

Tudi izdelovalec programa First 4 Internet, je na svoji strani ponudil Active-x plugin upgrade, ki deluje le na IE, s katerim naj bi XPC postal spet do kupca prijazen. Seveda ne navajajo ali je s tem tudi zmanjšana obremenitev sistema in ostale aktivnosti.

V primeru, da odinstalirate DRM software, ne morete več poslušati glasbe, kar je odkril že Russinovich. Tudi ni znano na katerih albumih vse se nahaja tovrstni program.

Again, nice work Sony >:D

Zgodovina sprememb…

MrStein ::

ginekolog:
> A sedaj mi pa bo vsak film, vsak dvd in cd
> nasral SVOJ ROOTKIT na pc?????

Če laufaš linux, potem ne. Ali pa če si pozoren pod windows, tudi ne.

> Za mp3 vsaj vem, da ni možne zlorabe v sodobnih predvajalnikih.

Poznavalec pa nisi, kaj ? ->
- mp3 virus
- WMA trojan
- kar še pride ...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

kriko1 ::

Mp3 virus? Kako? Ali misliš tisto foro:
datoteka.mp3.exe

gumby ::

v mp3 stream komot lahko embedas kaksen virus... vprasanje je samo, kateri debilen program ga bo pognal?

iexplore & outlook mogoce?>:D

64202 ::

Buffer overflow - recimo ffmpeg, ki se prav na izi sesuje, ce je stream malo cuden. Glede na to, da je odprtokoden, je verjetno vgrajen v veliko hardverskih komponent, sploh ker je zelo hiter.
I am NaN, I am a free man!

Stepni Volk ::

Tudi američanom ni všeč:

We needn't go skulking through the computer underground to find malicious action here. By deliberately corrupting the most basic functionality of their customers' computers, Sony broke the rules of fair play and crossed a bright line separating legitimate software from computer trespass. Their actions may be civilly actionable.

Sony may even have committed a crime under the U.S. Computer Fraud and Abuse Act, which can carry fines and prison terms for anyone who "knowingly causes the transmission of a program ... and as a result of such conduct, intentionally causes damage, without authorization, to a protected computer." Corrupting Windows so it misreports the contents of a hard drive sounds a lot like "damage," and the click-wrap license agreement on the Sony disk amounts to pretty thin "authorization" -- disclosing only that "this CD will automatically install a small proprietary software program ... intended to protect the audio files embodied on the CD."

Vir: Wired

pivmik ::

Prav res svinjsko in pol pričakujejo da kupimo originale?

A v Widnowsih je dovolj, da imaš izklopljen AutoPlay/AutoRun?
LP, Gregor GRE^

Stepni Volk ::

Ne. Edino kar pomaga je, da ne vstavljaš Albumov iz založniških hiš v lastništvu Sonya. Kateri albumi so tako opremljeni, se še ne ve.
Vprašanje je tudi ali so nemara albumi drugih založniških hiš podobno "zavarovani".

ender ::

Izklop AutoPlaya je dovolj (oz. rootkit se baje tudi ne namesti če se ne strinjaš z licenco).
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

poweroff ::

A se ta rootiki namesti samo v admin načinu ali tudi v "zaklenjenem" userju? Če slednje, potem je tole še hujša svinjarija.
sudo poweroff

gumby ::

zanimivo vprasanje matthai... ce se lahko namesti brez admin pravic, potem je svicarski sir precej ohlapen opis varnosti oken:|

MrStein ::

Ne gre. Nekje piše : "Za poslušanje tega CD-ja rabite admin pravice" |O
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Mr.B ::

Tale je dobra :
WoW

"
Blizzard Entertainment, the maker of World of Warcraft, has created a controversial program that detects cheaters by scanning the processes that are running at the time the game is played. Called the Warden, the anti-cheating program cannot detect any files that are hidden with Sony BMG's content protection, which only requires that the hacker add the prefix "$sys$" to file names.
"
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

poweroff ::

Kul, se pravi bodo hekerji izvajali naslednjo taktiko. Najprej ustanovijo nek atomik-harmonik band, prodajo kup CDjev, nato pa se začne pohod po mašinah...:P
sudo poweroff

OwcA ::

Otroška radovednost - gonilo napredka.

Daedalus ::

Yess:D
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

BigWhale ::

Owca, se kak bolj kredibilen link kot Inquirer? ;)

zee ::

na TheInq imaš povezavo naprej ... nadalje strani so pa žal v italijanščini
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.

OwcA ::

"Most people, I think, don’t even know what a rootkit is, so why should they care about it?"

- Thomas Hesse, predsednik Sony Global Digital Business

Vir
Otroška radovednost - gonilo napredka.

Zgodovina sprememb…

  • spremenilo: OwcA ()
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

barve v process explorerju

Oddelek: Operacijski sistemi
101515 (1398) veteran
»

Microsoft kupil Sysinternals

Oddelek: Novice / Nakupi / združitve / propadi
193999 (2907) opeter
»

Skupni imenovalec podjetij Sony ter Symantec: rootkit

Oddelek: Novice / Varnost
154229 (3597) Daedalus
»

Odkrili velik krog kradljivcev identitet

Oddelek: Novice / Zasebnost
354538 (3199) _Sajmon_
»

Orodja za odkrivanje rootkitov v Oknih

Oddelek: Novice / Ostala programska oprema
63177 (2890) pecorin

Več podobnih tem