Sonys digitaler Hausfriedensbruch
Wenn Firmen Hacker-Methoden anwenden

von Aron Vrtala (Ausgabe 06/1, März 2006)

 

Der Musikverlag Sony BMG Music Entertainment hat eine ganze Reihe von CD-Titeln mit einem Digital Rights Management (DRM) namens XCP-Aurora versehen. Dieser Kopierschutz der britischen Software-Firma First4Internet greift jedoch unter Windows allzu tief ins System ein: Ende Oktober 2005 entdeckte der Sicherheitsexperte Mark Russinovich von Sysinternals, dass Sony auf den mittels DRM kopiergeschützten CDs ein Rootkit einsetzt, welches sich den Blicken der PC-EigentümerInnen entzieht. Der Kopierschutz installiert u.a. Filtertreiber für Festplatten und CD-ROM-Laufwerke. Damit kontrolliert die Trojaner-Software1) die Zugriffe auf die Medien und speichert im Verborgenen Nutzungsinformationen. Selbstredend wird diese Software weder in der Software-Liste der Systemsteuerung angezeigt noch lässt sie sich mittels Uninstaller deinstallieren.

Das XCP-Rootkit (es dürfte in seiner Funktionsweise dem ersten Windows-Rootkit NT Rootkit angelehnt sein, das 1999 von Greg Hoglund entwickelt wurde) versteckt die ihm zugehörigen Dateien, Verzeichnisse, Prozesse und Registry-Einträge. Es versteckt alles, dessen Name mit $sys$ beginnt. Daher kann sich mit Hilfe dieses Kopierschutzes unerwünschte, von HackerInnen stammende Software ebenfalls verbergen. Wenige Tage nach dem Bekanntwerden des Rootkits war bereits der Trojaner Breplibot im Umlauf, der $sys$ als Tarnung verwendet. Ein weiterer solcher Trojaner ist z.B. Backdoor.IRC.Snyd.A - er installiert eine Hintertür zum Einstieg in das Windows-System. Wegen dieser Features von XCP wird in einschlägigen Internet-Foren bereits zum Kauf von Sony-CDs geraten.

Für die EntwicklerInnen von Trojanern und Viren ging ein Traum in Erfüllung: XCP-Aurora ist das erste käufliche Rootkit, ironischerweise mit LGPL-Lizenz (siehe www.gnu.org/copyleft/lesser.html). Für Sony BMG ging der Schuss nach hinten los: Auch Sonys eigene Spiele können mittels des Rootkits in geknackter Version verwendet werden (eine Musik-CD ist weit billiger als die Spiele).

Für die AnwenderInnen ist das XCP-Rootkit ein doppelter Schaden. Nicht nur, dass es Tür und Tor für Angriffe öffnet, es ist auch schlecht programmiert: Der installierte Treiber fragt jede zweite Sekunde alle laufenden Prozesse nach geöffneten Dateien ab, um sicherzustellen, dass kein Programm unbemerkt zu viele Kopien der geschützten Dateien produziert. Nachdem Programme unter Windows üblicherweise sehr viele Dateien geöffnet haben, bedeutet diese Vorgangsweise einen massiven Performanceverlust für den PC (geprüft wird auch dann, wenn sich gar keine CD im Laufwerk befindet). Darüber hinaus kann das Rootkit in bestimmten Situationen das System zum Absturz bringen und verursacht zusätzlichen Netzwerkverkehr: Es meldet die Verwendung der CDs an die Herstellerfirma und bietet Sony BMG damit die Möglichkeit, Nutzungsprofile zu erstellen.

Sony BMG demonstriert, wie Firmen um jeden Preis industrielle Interessen durchzusetzen versuchen. Mit dem Rootkit konfrontiert, reagierte Sony zunächst sehr unsensibel: "Ich glaube, die meisten Menschen wissen gar nicht, was ein Rootkit ist, warum sollen sie sich also darum kümmern?", meinte Thomas Hesse, Vorsitzender der Abteilung Global Digital Business bei Sony BMG. Da die Kritik an Sony trotzdem nicht verstummen wollte, bietet die Firma seit einiger Zeit auf der Webseite http://cp.sonybmg.com/xcp/ einen Deinstaller (der anfangs selbst eine große Sicherheitslücke in betroffene Windows-Systeme riss) sowie einen CD-Austausch an.

Das Vorgehen von Sony BMG löste eine Menge Fragen und Diskussionen über Gegenwart und Zukunft von Kopierschutzmechanismen aus. Es ist das erste Mal, dass eine Firma zum Schutz geistigen Eigentums und der damit verbundenen Rechte Hackerwerkzeuge einsetzt. Der weltweite Sturm der Entrüstung wird solche Methoden hoffentlich zukünftig verhindern.

 

 

1) siehe Artikel Ungebetene Gäste: Trojaner am Windows-PC in Comment 04/1