Dalla newsletter antibufala di Paolo Attivissimo:

2005/11/11
[IxT] I CD della Sony infettano Windows

Lo so, arrivo tardi sulla scena: si parla già da
qualche tempo di questo scandaloso sistema anticopia
usato da Sony, che infetta i PC Windows con un
rootkit, rendendoli vulnerabili ad attacchi
opportunisti e danneggiando il funzionamento del
masterizzatore. Cerco di farmi perdonare facendo un
succoso riepilogo della vicenda e dei suoi ultimi
aggiornamenti.

Tutto comincia il 31 ottobre 2005, quando Mark
Russinovich di Sysinternals.com annuncia di aver
scoperto con sorpresa sul proprio PC Windows un
rootkit: un programma nascosto, contenuto in una
directory nascosta e invisibile ai normali comandi di
Windows e accompagnato da vari device driver anch'essi
nascosti. Russinovich li scopre soltanto perché sta
testando proprio un programma anti-rootkit.

Analizzando il rootkit, Russinovich scopre ancora più
sorprendentemente che il rootkit è stato installato
quando ha suonato sul proprio PC un disco pubblicato
dalla Sony, Get Right with the Man dei Van Zant. Il
disco, infatti, ha una protezione anticopia,
denominata XCP e prodotta dall'inglese First 4
Internet, che si installa permanentemente nel PC senza
avvisare che non è rimovibile e che altera il
funzionamento di Windows rendendolo più vulnerabile.

Il sistema anticopia, infatti, non ha un programma di
disinstallazione, e si occulta usando una tecnica
estremamente rozza: altera Windows in modo che non
veda qualsiasi file il cui nome inizi con "$sys$".
Sony ha usato questo metodo per impedire agli utenti
di accorgersi della presenza del sistema anticopia.

C'è un problema: il metodo, ovviamente, comporta che
qualsiasi virus o altro software ostile che si imbatte
in un Windows alterato da Sony in questo modo si
ritrova con un nascondiglio perfetto: basta che usi un
nome che inizia con "$sys$", e diventerà invisibile
sia a Windows, sia agli antivirus.

Fra le altre chicche scoperte da Russinovich c'è anche
il fatto che il sistema anticopia è sempre attivo come
processo nascosto e utilizza il processore,
rallentandolo, anche quando non si sta suonando il
disco protetto. Basta insomma installare l'anticopia
Sony per errore una sola volta per trovarsi con un
computer permanentemente rallentato.

Così Russinovich tenta di fare quello che chiunque
farebbe se trovasse un rootkit sul proprio PC:
rimuoverlo. Sony, come dicevo, non ha fornito un
sistema di disinstallazione, per cui l'unico modo è
rimuoverlo manualmente intervenendo sulla
configurazione intima di Windows. Come risultato, gli
scompare l'icona del lettore CD. Solo dopo aver speso
altro tempo per ripristinare ulteriormente Windows e
togliere altri elementi nascosti del sistema anticopia
Sony, Russinovich riesce a riportare Windows al
funzionamento normale. E chi lo ripagherà del tempo
perso per riparare il proprio computer a causa del
sistema Sony?

L'annuncio di Russinovich non passa inosservato. La
prima reazione è l'indignazione contro Sony per aver
usato metodi degni di un pirata informatico: metodi
fra l'altro assolutamente inutili, perché il disco è
perfettamente copiabile usando un Mac o un PC Linux (e
anche con alcuni programmi di ripping per Windows). In
altre parole, siamo alle solite: le case discografiche
insistono a usare sistemi anticopia che i pirati sanno
scavalcare senza alcun problema ma che puniscono gli
acquirenti legittimi dei dischi.

Ma non mancano reazioni più sofisticate. La prima è
stata quella dei giocatori poco onesti di World of
Warcraft, che hanno approfittato della funzione di
occultamento del rootkit Sony in un modo molto astuto:
la Blizzard Entertainment, che produce World of
Warcraft, ha creato un programma, Warden, che
sorveglia il gioco ispezionando i PC dei giocatori
alla ricerca di particolari programmi usati per
barare. Ma basta installare questi programmi su un PC
infettato dal sistema anticopia Sony e aggiungere al
nome dei file del programma il prefisso "$sys$", e
Warden non riesce a vederlo. Così i bari continuano
indisturbati, grazie a Sony.

A fronte delle prime proteste, Sony rilascia una patch
il 3 novembre 2005, che però non disinstalla il
sistema anticopia: si limita a renderne visibili i
file (e li aggiorna installandone una nuova versione).

Sempre il 3 novembre, Interlex.it pubblica una vivace
e dettagliata analisi della tattica Sony, e
giustamente si chiede perché Sony dovrebbe usare un
sistema simile e nascondersi all'utente:

"A chi serve un rootkit? Ovviamente a chi ha qualcosa
da nascondere! O, più precisamente: a chi vuole
nascondere ad un legittimo utente il fatto di aver
installato, a sua insaputa, un software sul suo
sistema. E il fatto di volerne nascondere a tutti i
costi l’esistenza già la dice lunga sia sulla
legittimità dell’installazione che sulla liceità delle
funzioni svolte dal software surrettiziamente
installato!"
Il giorno dopo (4 novembre 2005), Russinovich analizza
la patch offerta da Sony, che richiede una solfa
interminabile di richieste via e-mail a Sony per
ottenerla, e scopre che è così rozza e brutale che può
far crashare il PC (Russinovich offre un metodo molto
più semplice e sicuro per disabilitare il sistema
anticopia).

La seconda analisi di Russinovich rivela inoltre che
il sistema anticopia trasmette a Sony dati
utilizzabili per sorvegliare le abitudini musicali
dell'utente: infatti contatta automaticamente (e senza
informarne l'utente) un sito della Sony per richiedere
eventuali aggiornamenti alle immagini delle copertine
dei dischi Sony protetti dal sistema anticopia. Dice
Russinovich:

"Con questo tipo di connessione... non citato nella
EULA, negato da Sony e non configurabile in alcun
modo... i loro server potrebbero tenere traccia di
ogni volta che viene suonato un disco protetto e
l'indirizzo IP del computer che lo sta suonando".
E' a questo punto che entrano in gioco le società che
producono antivirus: F-Secure dichiara che il sistema
anticopia Sony verrà identificato dai suoi antivirus e
che "le tecniche di occultamento usate sono
esattamente le stesse usate dal software ostile noto
come rootkit" e che "è pertanto molto scorretto che il
software commerciale utilizzi queste tecniche".

Computer Associates è ancora più pesante e definisce
il sistema anticopia Sony senza mezzi termini un
"trojan" e lo cataloga nello spyware. L'analisi di CA,
inoltre, dimostra che Sony sta facendo di tutto per
rendere difficile la disinstallazione.

La protesta assume anche una connotazione legale:
viene annunciato che l'1 novembre 2005 è stata
iniziata dall'avvocato Alan Himmelfarb una class
action in California contro Sony, chiedendo
risarcimenti per tutti i consumatori danneggiati e
l'inibizione della vendita dei dischi protetti da
questo sistema anticopia.

Nel contempo, l'italiana ALCEI (Associazione per la
Libertà nella Comunicazione Elettronica Interattiva)
presenta un documentatissimo esposto alla Guardia di
Finanza, ipotizzando fra le altre la violazione
dell'articolo 392 c.p., che punisce "...colui che, al
fine di esercitare un preteso diritto, si fa
arbitrariamente ragione da sé medesimo 'alterando,
modificando, o cancellando in tutto o in parte un
programma informatico', ovvero 'impedendo o turbando
il funzionamento di un sistema informatico o
telematico'” e chiedendo di sapere, fra le altre cose,
se il sistema anticopia è presente nei dischi Sony in
vendita in Italia.

Il 9/11 la Electronic Frontier Foundation pubblica un
elenco dei dischi protetti dal sistema anticopia
contestato: una ventina di titoli, che includono nomi
come Celine Dion, Ricky Martin e Neil Diamond, e
spiega come riconoscere i dischi infetti.

Il 10 novembre 2005 viene rilevato il primo virus che
sfrutta la falla di sicurezza creata da Sony: una
variante del virus Breplibot. Sony ora non può più
argomentare che si tratta di una falla ipotetica.
Anche Kasperski definisce "spyware" l'anticopia Sony,
mentre McAfee aggiorna il proprio antivirus per
"rilevare, rimuovere e impedire la reinstallazione"
dell'XCP. Zone Labs (quella di Zone Alarm) segue a
ruota insieme a Sophos.

L'11 novembre arrivano altri virus che sfruttano la
falla Sony, e le cause contro Sony salgono a sei. Lo
stesso giorno, entra in scena il peso massimo: si
scomoda addirittura il Department of Homeland Security
(il Dipartimento per la Sicurezza Nazionale
statunitense, quello che si occupa di antiterrorismo).
Parlando dei sistemi anticopia ma senza fare il nome
di Sony, un suo funzionario ammonisce, di fronte al
presidente della RIAA (associazione dei discografici
USA), che

"è molto importante ricordare che la proprietà
intellettuale è vostra: ma il computer no, e nella
ricerca della tutela della proprietà intellettuale, è
importante non disabilitare o minare le misure di
sicurezza che la gente oggigiorno ha bisogno di
usare... se si verifica un'epidemia di influenza
aviaria... dipenderemo moltissimo sulla capacità di
fornire accesso a distanza per moltissime persone, e
mantenere funzionante l'infrastruttura sarà questione
di vita o di morte".
In altre parole: Sony, hai passato il segno. La legge
non ti conferisce il diritto di danneggiare i computer
altrui, neppure se lo fai per difendere il tuo diritto
d'autore. E se il tuo sistema anticopia rende
vulnerabili i computer proprio quando ne abbiamo più
bisogno, sei responsabile anche tu delle gravissime
conseguenze.


L'11 novembre, poco dopo queste parole di fuoco
dell'amministrazione Bush, Sony dichiara che
sospenderà "come misura precauzionale" la
fabbricazione di CD che usano il sistema anticopia XCP
(in altre parole, non ritirerà dal mercato quelli già
in circolazione e si riserva il diritto di riprendere
a usare XCP quando le pare). E' disponibile in Rete il
testo del comunicato Sony, ed è abbastanza ironico che
il comunicato parli di "facilità d'uso" del sistema
anticopia, visto che si installa senza informare
l'utente di cosa fa, mentre per rimuoverlo bisogna
chiedere il permesso a Sony.
Questo, in estrema sintesi, è quello che è successo
fin qui. Mi resta un'ultima cosa: spiegare come
riconoscere un'eventuale infezione da parte di questo
sistema e come prevenirla. Il rischio è relativamente
basso, dato che pare che i CD protetti con XCP non
siano ancora in circolazione in Europa, ma una
controllatina non fa mai male.

Prendete un file qualsiasi, duplicatelo e cambiatene
il nome prefissandolo con "$sys$": se scompare (cioè
se Esplora Risorse non lo vede più), siete infetti; se
rimane visibile, siete a posto.
Per evitare infezioni, disabilitate temporaneamente
l'Autorun di Windows, premendo il tasto Shift durante
l'inserimento del disco, ed evitate in generale di
installare qualsiasi software presente sui CD musicali
Usate un Mac o un PC Linux, entrambi immuni
all'anticopia Sony; o più semplicemente ed
efficacemente, non comperate dischi infetti.
Ciao da Paolo.


Link a questo articolo
http://attivissimo.blogspot.com/2005/11/ixt-i-cd-della-sony-infettano-windows.ht\
ml



___________________________________
Yahoo! Messenger: chiamate gratuite in tutto il mondo
http://it.messenger.yahoo.com