Sony BMG руткит
Sony BMG руткит — это комплекс программного обеспечения для защиты авторских прав (DRM), устанавливавшийся на аудиодиски, выпускавшиеся компанией Sony BMG Music Entertainment в 2005 году. Руткит представлял собой набор скрытых драйверов и утилит, которые внедрялись в операционную систему Microsoft Windows без явного уведомления пользователя, ограничивая возможности копирования и воспроизведения лицензионных компакт-дисков. Инцидент вызвал масштабный скандал из-за нарушения конфиденциальности пользователей, снижения безопасности их компьютеров и последующего судебного разбирательства, став одним из самых громких примеров злоупотребления технологиями управления цифровыми правами.
История
Предпосылки и разработка
В начале 2000-х годов музыкальная индустрия столкнулась с массовым распространением пиратства через файлообменные сети. Компании звукозаписи активно искали способы защиты своих продуктов от нелегального копирования. Sony BMG, один из крупнейших мировых лейблов, решила внедрить на своих компакт-дисках систему DRM, которая бы препятствовала созданию цифровых копий аудиотреков и их распространению в интернете.
Разработка защиты была поручена британской компании First 4 Internet. Созданное ими решение получило название XCP (Extended Copy Protection). Оно предусматривало установку на компьютер пользователя специального программного обеспечения, которое перехватывало команды операционной системы, связанные с чтением диска, и блокировало копирование. Ключевой особенностью XCP было использование руткит-технологии — набора инструментов, предназначенных для сокрытия присутствия программы в системе.
Обнаружение и разоблачение
В октябре 2005 года американский исследователь в области компьютерной безопасности Марк Руссинович обнаружил, что после прослушивания на компьютере с Windows диска компании Sony BMG, в системе появляются скрытые файлы и процессы. Руссинович опубликовал результаты своего расследования в блоге, описав, как руткит маскирует драйверы, отвечающие за работу DRM. Эта публикация вызвала широкий резонанс в ИТ-сообществе и СМИ.
Последующие исследования показали, что руткит не только скрывает свои собственные компоненты, но и создаёт уязвимость в системе. Любая программа, файл или процесс, имя которого начиналось с определённой строки, также автоматически становились невидимыми. Этим могли воспользоваться злоумышленники для сокрытия вредоносного кода. Кроме того, руткит постоянно передавал на серверы Sony BMG информацию о действиях пользователя (так называемый «звонок домой»), что нарушало приватность.
Технические детали
Механизм работы
Руткит XCP состоял из нескольких компонентов:
- Драйвер ядра (
$sys$ms98X.sys): загружался при старте системы и перехватывал системные вызовы, связанные с файловой системой и реестром. Он фильтровал запросы, скрывая все файлы, папки и ключи реестра, имена которых начинались с префикса$sys$. - Диспетчер загрузки: программа, которая запускалась при каждом включении компьютера и обеспечивала загрузку драйвера.
- Медиаплеер: специальная версия проигрывателя, которая требовалась для воспроизведения защищённых дисков. Она взаимодействовала с драйвером, чтобы проверить наличие оригинального диска в приводе и разрешить или запретить копирование.
- Утилита удаления: инструмент, который предлагался пользователям для деинсталляции руткита. Однако, как выяснилось, эта утилита сама была уязвимой и могла быть использована для установки вредоносного ПО.
Уязвимости и угрозы
Помимо нарушения приватности, руткит создавал серьёзные угрозы безопасности:
- Скрытие вредоносного ПО: любой злоумышленник мог назвать свою вредоносную программу с префиксом
$sys$, и она становилась невидимой для пользователя и большинства антивирусов. - Эскалация привилегий: драйвер работал на уровне ядра, что давало ему полный контроль над системой. В случае обнаружения ошибок в драйвере, атакующий мог получить доступ к системе.
- Неудаляемость: стандартными средствами Windows удалить руткит было невозможно. Попытки удалить его вручную могли привести к неработоспособности оптического привода.
Реакция и последствия
Общественный резонанс
После публикации Руссиновича разгорелся скандал. Потребители, ИТ-специалисты и правозащитные организации обвинили Sony BMG в нарушении законов о защите прав потребителей и компьютерном мошенничестве. Компания первоначально отрицала наличие проблемы, заявляя, что руткит не является угрозой. Однако под давлением общественности и СМИ Sony BMG была вынуждена признать факт установки скрытого ПО.
Юридические последствия
Инцидент привёл к многочисленным коллективным искам в США и других странах. В 2006 году Sony BMG достигла мирового соглашения с пострадавшими пользователями, обязавшись выплатить компенсации и возместить ущерб. Компания также согласилась прекратить выпуск дисков с защитой XCP.
В ряде штатов США были возбуждены уголовные дела. В Техасе Sony BMG была оштрафована за нарушение закона о борьбе со шпионским ПО. Федеральная торговая комиссия США (FTC) также начала расследование, которое завершилось предписанием компании прекратить использование руткита и предоставить пользователям бесплатные инструменты для его удаления.
Технические меры
Sony BMG выпустила официальную утилиту для удаления руткита, однако она сама была признана небезопасной. Впоследствии компания совместно с Microsoft и антивирусными вендорами разработала корректное удаление. Microsoft выпустила обновление для Windows, которое автоматически обнаруживало и блокировало руткит XCP, приравняв его к вредоносному ПО.
Влияние на индустрию
Изменение подходов к DRM
Скандал с руткитом Sony BMG стал поворотным моментом в истории управления цифровыми правами. Он продемонстрировал, что агрессивные методы защиты авторских прав, внедряемые без согласия пользователя, могут нанести больший ущерб репутации компании и безопасности клиентов, чем пиратство. После этого инцидента многие звукозаписывающие компании пересмотрели свои стратегии DRM, перейдя к менее навязчивым методам, таким как водяные знаки или ограничение количества копий без скрытого ПО.
Уроки для безопасности
Инцидент послужил важным уроком для специалистов по информационной безопасности. Он показал, что даже легитимные компании могут создавать угрозы, сопоставимые с действиями киберпреступников. В результате руткиты стали рассматриваться как одна из самых опасных категорий вредоносного ПО, а разработчики антивирусов начали активнее бороться с любыми формами скрытого ПО, независимо от его происхождения.
Наследие
Термин «руткит Sony BMG» стал нарицательным для обозначения недобросовестных методов DRM. Этот случай упоминается в учебниках по компьютерной безопасности как классический пример конфликта между интересами правообладателей и правами потребителей. Он также способствовал росту осведомлённости пользователей о необходимости контроля над тем, какое программное обеспечение устанавливается на их компьютеры.
Источники
- Mark Russinovich. «Sony, Rootkits and Digital Rights Management Gone Too Far». Блог Mark’s Blog, 31 октября 2005 года.
- J. Alex Halderman, Edward W. Felten. «Lessons from the Sony CD DRM Episode». Center for Information Technology Policy, Princeton University, 2006.
- Федеральная торговая комиссия США (FTC). «Sony BMG to Pay for Spyware». Пресс-релиз, 2007.
- Microsoft Security Response Center. «Malicious Software Removal Tool and Sony BMG XCP». Блог MSRC, 2005.
- Bruce Schneier. «Sony’s DRM Rootkit: The Real Story». Schneier on Security, 2005.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →