Il DRM, Digital Rights Management, è stato per molto tempo al centro di critiche soprattutto per le modalità su come potesse essere applicato senza violare la privacy e la libertà degli utenti di computer. Molte società hanno tentato di applicare la tecnologia DRM nei più svariati modi, a volte senza riuscirci, in altre finendo al centro di un turbinio di polemiche.
Tra le tecnologie possiamo citare il CSS, Content Scrambling System - protezione per i DVD superata egregiamente dal software DeCSS - FairPlay, di iTunes - protezione per i files MP3 superata agevolmente dal software PlayFair - e tanti altre tecniche più o meno al limite della legalità.
Prima di discutere del caso Sony non possiamo citare un altro caso clamoroso che provocò molte critiche tra l'utenza mondiale: la tecnologia StarForce, sviluppata dalla società russa Protection Technology. Questa tecnologia installa automaticamente e all'insaputa dell'utente un proprio driver grazie al quale far funzionare i CD protetti. Una soluzione scomoda e che ha portato alcuni utenti ad accusare la società di problemi di instabilità venutisi a creare nei propri pc, senza contare il fatto che la tecnologia non funziona in determinate situazioni, costringendo l'utente a fare a meno del proprio programma o gioco preferito.
Ma quello che è successo in questi giorni, con il caso Sony, ha scatenato così tante polemiche da far rabbrividire ogni precedente timido caso di tecnologia DRM fuori dai normali canoni.Mark Russinovich, sviluppatore della Sysinternals, ha scoperto quasi per caso il funzionamento della nuova tecnologia DRM di Sony e inserita in alcuni CD in vendita probabilmente già da Marzo 2005.Prima di analizzare in dettaglio cosa Mark Russinovich abbia scoperto preferiamo fare chiarezza su cosa sia un Rootkit, il perché sarà chiaro in seguito.
Il termine rootkit è utilizzato, in origine, per identificare una serie di tools utilizzati da attackers per guadagnare un accesso root al sistema attaccato. La caratteristica fondamentale di un rootkit è quella di risultare totalmente invisibile al sistema, in modo che né l'utente né nessun programma possano identificarlo.
Per fare ciò, parlando del sistema operativo Windows, un rootkit può seguire diverse strade: una è quella di intercettare le chiamate alle API di Windows e modificandole arbitrariamente cercando di non farsi identificare; un'altra è quella di "modificare" il comportamento del kernel di sistema (Kernel-mode rootkits).
Questa premessa era d'obbligo per poter capire con certezza cosa Mark Russinovich ha scoperto.
I fatti
Russinovich ha portato alla luce la nuova tecnologia Sony per il DRM, che consiste letteralmente nell'installare un rootkit nel sistema ospite.
La tecnologia, denominata XCP (Extended Copy Protection) e sviluppata per Sony da First 4 Internet Ltd., si prende la briga di creare una nuova directory, denominata "$sys$filesystem", all'interno della cartella di sistema di Windows.
La cartella non è visibile ma è comunque accessibile conoscendone il nome e contiene 8 files:
$sys$DRMServer.exe
$sys$parking
aries.sys
crater.sys
DbgHelp.dll
lim.sys
oct.sys
Unicows.dll
Inoltre vengono aggiunti due servizi di sistema:
HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy
HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer
e vengono installati 5 drivers:
HKLM\SYSTEM\CurrentControlSet\Services\$sys$aries
KLM\SYSTEM\CurrentControlSet\Services\$sys$cor
HKLM\SYSTEM\CurrentControlSet\Services\$sys$crater
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$OCT
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$LIM
che permettono di nascondere la presenza del software DRM e di controllare le attività del CDROM e dei canali IDE.
Il driver aries.sys, responsabile della modifica del System Service Table (SST), intercetta e modifica le API
NtCreateFile
NtEnumerateKey
NtOpenKey
NtQueryDirectoryFile
NtQuerySystemInformation
in modo da nascondere i files con prefisso $sys$, che risulteranno di conseguenza invisibili sia all'utente che ai programmi.
Senza dubbio una tecnologia invasiva, che penalizza l'utente finale in diversi modi: il file $sys$DRMServer.exe per esempio utilizza spesso la CPU e non esiste al momento un procedimento facile per la rimozione di questa tecnologia.
Infatti se si prova manualmente, o con qualche software anti-rootkit, a rimuoverla, l'unico risultato sarà la disattivazione e la sparizione del drive CD dal sistema. Questo perché il rootkit, attraverso il driver nascosto $sys$crater, prende possesso del drive CD, così come il driver $sys$cor prende possesso del canale IDE.
Resta da vedere come le società di sicurezza reagiranno a questa novità.
Il rischio è che possano nascere dei malware che approfittino di questa situazione, nascondendosi per esempio nel pc con il prefisso $sys$. D'altro canto una rimozione forzata della tecnologia DRM potrebbe ricadere in una violazione del DMCA, che vieta di aggirare in modo illegale i sistemi di protezione anti-copia.
L'unico mezzo consigliato al momento per disinstallare questo rootkit è quello di contattare direttamente Sony attraverso questa pagina web.
Gli utenti possono, volendo, lasciare un commento riguardo questa situazione direttamente su questa pagina, riguardo una tecnologia che si è spinta forse troppo oltre rispetto a dove si sarebbe dovuta fermare.
UPDATE: Sony ha rilasciato a questo indirizzo un aggiornamento che dovrebbe rimuovere il driver Aries.sys, che causa l'invisibilità delle directory e dei files.
Intervista
Hardware Upgrade ha intervistato Costin Raiu, direttore dei laboratori di ricerca e sviluppo di Kaspersky Lab in Romania; ricordiamo che Kaspersky Lab è responsabile dello sviluppo di svariati software per la sicurezza e le proprie tecnologie sono utilizzate da moltissimi altri partner.
Qual è il tuo punto di vista sull'uso dei rootkit per la tecnologia DRM? Anche la protezione StarForce tempo addietro faceva una cosa simile.
DRM e Rootkit sono due tecnologie completamente diverse tra di loro, non c'è ragione di usarle insieme. Sony sbaglia nell'affidarsi ad un rootkit per prevenire le copie illegali dei propri CD - non ce n'è assolutamente motivo perché 1) un hacker può tranquillamente copiare il CD da Linux o MacOS 2; 2) un hacker può comunque bypassare il rootkit, non è sicuramente la scelta migliore; 3) l'utente medio che compra il CD non è un pirata, non ve n'è bisogno di trattarlo come tale; 4) il DRM è il passato, non il futuro - basta guardare iTunes per capire cosa ci riserva il futuro; 5) L'unica conseguenza di questa iniziativa è che molti utenti non saranno contenti di Sony e, invece di incrementare le vendite, la società potrebbe vivere un crollo temporaneo.
Quali sono i possibili rischi per la sicurezza derivanti da questa tecnologia?
É chiaro che le due tecnologie non sono nate per essere utilizzate insieme. Detto questo, quello che Sony sta cercando di fare è includere nei propri cd una sorta di protezione dalla copia e una protezione per evitare che l'utente possa saltare questa protezione. Per quanto riguarda il rootkit, che è la tecnologia che inibisce l'utente dal poter saltare la protezione dalla copia, è sviluppato in modo generico e il rischio di abusi è molto alto. Avere nel proprio computer una directory invisibile a tutti, anche alla maggior parte dei software antivirus, può essere un ottimo luogo per nascondere un malware. Ora il rootkit nasconde solo la tecnologia DRM, in futuro non sarà più così. Un virus writer può tranquillamente sfruttare questa situazione per inserire un malware - trojan, virus, worm, spyware o altro - in modo tale da renderne difficile la rimozione anche a noi.
Come reagiranno le società di sicurezza informatica? Si tratta pur sempre di un rootkit, sebbene usato per scopi benevoli. Tuttavia la rimozione forzata potrebbe causare un'infrazione del TCPA, in quanto aggiramento illegale di un sistema di protezione legale.
La situazione non è sicuramente rosea per 3 motivi: 1) fare il reverse engineering, cioè cercare di capire come il rootkit funziona, rientra in una violazione della licenza EULA, con la conseguenza di un'azione legale; 2) un antivirus potrebbe bloccare l'installazione del rootkit, inciampando tuttavia in una violazione diretta del DRM; 3) Sony è una grande società e spesso una anticipatrice, ciò significa che molte società potrebbero prendere spunto da lei sviluppando tecnologie similari. Tuttavia sembra che la società che sviluppa la tecnologia DRM per Sony stia sviluppando degli update per evitare ogni rischio relativo alla sicurezza, che saranno inclusi in una prossima versione. Questo ovviamente grazie anche a voi giornalisti che avete alzato questo polverone. Le prossime versioni saranno quindi più sicure, ma rimarranno comunque dei rootkit, che silenziosamente occupano risorse di sistema e potrebbero causare instabilità e incompatibilità.
Per riassumere insomma non c'è motivo di usare rootkits e DRM insieme, speciamente in questa maniera, cioè impossibili da disinstallare e che lasciano le porte aperte a possibili nuovi malware. Ottimo il fatto che First 4 Internet stia considerando un upgrade della propria tecnologia, ma mi dispiace dover dire che questa non è la fine della storia, ma stiamo vivendone soltanto l'inizio.
Secondo un aggiornamento dell'ultim'ora First 4 Internet ha rimosso completamente il rootkit dalla propria tecnologia DRM. Sfortunatamente passerà un po' di tempo prima che i CD senza rootkit saranno disponibili. Di conseguenza , acquistando un cd audio Sony e volendolo ascoltare su un pc Windows sarà necessario verificare che non vi siano rootkit.
Concludiamo con una frase di Peter Lee, direttore della Disney, detta il 1 Settembre 2005 al giornale The Economist: "Se l'utente sa che c'è un DRM, sa cosa sia e come funziona, noi abbiamo già fallito" (If consumers even know there's a DRM, what it is, and how it works, we've already failed).
I buoni vanno
invece io
che sono
vado dove voglio
Errare è umano, perseverare è cattolico