Скандал с руткитами Sony BMG

редактировать
Реализация мер защиты от копирования Sony BMG

Скриншот аудиоплеера Sony CD, проигрывающего Switchfoot Пятый студийный альбом Nothing Is Sound.

В 2005 году разразился скандал, связанный с внедрением Sony BMG мер защиты от копирования примерно на 22 миллионах Компакт-диски. При установке в компьютер компакт-диски устанавливали одну из двух частей программного обеспечения, которое предоставляло форму управления цифровыми правами (DRM) путем изменения операционной системы, чтобы препятствовать копированию компакт-диска. Ни одну из программ нельзя было легко удалить, и они создали уязвимости, которые использовались несвязанными вредоносными программами. Одна из программ установит и «позвонит домой » с отчетами о личных привычках пользователя к прослушиванию - даже если пользователь откажется от своего лицензионного соглашения с конечным пользователем ( EULA), а другой вообще не упоминался в EULA. Обе программы содержали код из нескольких частей с авторским левом бесплатного программного обеспечения с явным нарушением авторских прав и настраивали операционную систему так, чтобы скрыть существование программного обеспечения, что привело к обоим программы, классифицируемые как руткиты.

Sony BMG изначально отрицала, что руткиты были вредоносными. Затем он выпустил для одной из программ «деинсталлятор », который только открывал программу, устанавливал дополнительное программное обеспечение, которое было нелегко удалить, собирал адрес электронной почты из user, и представил дополнительные уязвимости безопасности.

После общественного протеста, правительственных расследований и коллективных исков в 2005 и 2006 годах Sony BMG частично рассмотрела скандал с расчетами с потребителями, отзыв примерно из 10 % затронутых компакт-дисков и приостановка усилий по защите компакт-дисков от копирования в начале 2007 года.

Содержание
  • 1 Предпосылки
  • 2 Программное обеспечение защиты от копирования
    • 2.1 Руткит XCP
    • 2.2 MediaMax CD-3
  • 3 Юридические и финансовые проблемы
    • 3.1 Отзыв продукции
    • 3.2 Иск штата Техас
    • 3.3 Групповые иски Нью-Йорка и Калифорнии
    • 3.4 Другие иски
    • 3.5 Нарушение авторских прав
  • 4 Компания и пресса отчеты
  • 5 См. также
  • 6 Ссылки
  • 7 Источники
  • 8 Внешние ссылки
Предыстория

В августе 2000 г. заявления Sony Pictures Entertainment старшего звена в США Вице-президент Стив Хеклер предсказал события конца 2005 года. Хеклер сказал участникам Американской конференции по информационным системам : «Промышленность предпримет все необходимые шаги для защиты себя и своей потоки доходов... Он не потеряет этот поток доходов, несмотря ни на что... Sony собирается предпринять агрессивные шаги, чтобы остановить это. Мы будем разрабатывать технологию, которая не ограничивается индивидуальным пользователем. Мы установим межсетевой экран Napster у источника - мы заблокируем его в вашей кабельной компании. Мы заблокируем его в вашей телефонной компании. Мы заблокируем его у вашего интернет-провайдера. Мы установим брандмауэр на вашем ПК... Эти стратегии активно применяются, потому что на карту поставлено слишком много ".

В Европе BMG устроила небольшой скандал в 2001 году, когда выпустила Natalie Imbruglia Второй альбом, White Lilies Island, без предупреждений о том, что компакт-диск защищен от копирования. Компакт-диски были в конечном итоге заменены. BMG и Sony выпустили защищенные от копирования версии определенных релизов на определенных рынках в конце 2001 г., а в отчете в конце 2002 г. указывалось, что все CD BMG, продаваемые в Европе, будут иметь некоторую форму защиты от копирования.

Программное обеспечение защиты от копирования

Две части программного обеспечения для защиты от копирования на во время скандала 2005–2007 годов были включены в более чем 22 миллиона компакт-дисков, продаваемых Sony BMG, звукозаписывающей компанией, образованной в результате слияния музыкальных подразделений Sony и BMG в 2004 году. Около двух миллионов этих компакт-дисков, охватывающих 52 заголовки, содержащие Extended Copy Protection (XCP) First 4 Internet (F4I), который был установлен на Microsoft Windows после того, как пользователь принял лицензионное соглашение, в котором не упоминалось программное обеспечение. Оставшиеся 20 миллионов компакт-дисков, охватывающих 50 наименований, содержали MediaMax CD-3 SunnComm, который был установлен в системах Microsoft Windows или Mac OS X после того, как пользователю было представлено лицензионное соглашение, независимо от того, принял ли его пользователь. Однако Mac OS X запрашивала у пользователя подтверждение при попытке программного обеспечения изменить ОС, тогда как компьютеры под управлением Windows этого не делали.

Руткит XCP

Скандал разразился 31 октября 2005 года, когда исследователь Winternals (позже приобретенный Microsoft Corporation ) Марк Руссинович разместил в своем блоге подробное описание и технический анализ программного обеспечения F4I XCP, которое, как он выяснил, было недавно установлено на его компьютер с музыкального компакт-диска Sony BMG. Руссинович сравнил программное обеспечение с руткитом из-за его скрытой установки и попыток скрыть свое существование. Он отметил, что в лицензионном соглашении программное обеспечение не упоминается, и он категорически заявил, что программное обеспечение является незаконным и что управление цифровыми правами «зашло слишком далеко».

Антивирусная фирма F-Secure согласна: «Хотя программное обеспечение не является вредоносным, используемые методы сокрытия руткитов точно такие же, как и вредоносное программное обеспечение для сокрытия. Программное обеспечение DRM вызовет множество подобных ложных срабатываний для всего антивирусного программного обеспечения, обнаруживающего руткиты... Таким образом, коммерческое программное обеспечение не может использовать эти методы ». Под давлением общественности Symantec и другие поставщики антивирусных программ также включили обнаружение руткита в свои продукты, а Microsoft объявила, что включит функции обнаружения и удаления в свои патчи безопасности.

Руссинович. обнаружил многочисленные проблемы с XCP:

  • Он создает дыр в безопасности, которые могут использоваться вредоносными программами, такими как черви или вирусы.
  • . Он постоянно запускается в фоновый и чрезмерно потребляет системные ресурсы, замедляя работу компьютера пользователя, независимо от того, есть ли защищенный проигрыватель компакт-дисков.
  • Он использует небезопасные процедуры для запуска и остановки, что может привести к системе сбои.
  • В нем нет деинсталлятора, и он установлен таким образом, что неопытные попытки удалить его могут привести к тому, что операционная система не сможет распознать существующие диски.

Вскоре после первого сообщения Руссиновича появилось было несколько троянов и червей, эксплуатирующих дыры в безопасности XCP. Некоторые люди даже использовали уязвимости для обмана в онлайн-играх.

Sony BMG быстро выпустила программное обеспечение для удаления руткитного компонента XCP с пораженных компьютеров Microsoft Windows, но после того, как Руссинович проанализировал утилиту, он сообщил в своем блоге, что она только усугубил проблемы безопасности и вызвал дополнительные опасения по поводу конфиденциальности. Руссинович отметил, что программа удаления просто разоблачила скрытые файлы, установленные руткитом, но не удалила руткит. Он также сообщил, что было установлено дополнительное программное обеспечение, которое нельзя было удалить. Он обнаружил, что для загрузки программы удаления необходимо указать адрес электронной почты (который, как предполагала политика конфиденциальности Sony BMG, был добавлен в различные списки массовой рассылки), и установить элемент ActiveX содержащие методы бэкдора (помеченные как «безопасные для написания сценариев» и, следовательно, подверженные эксплойтам). Позже Microsoft выпустила бит-бит для этого элемента ActiveX.

18 ноября 2005 г. Sony BMG предоставила «новый и улучшенный» инструмент для удаления руткит-компонента XCP с пораженных компьютеров Microsoft Windows.

MediaMax CD-3

Юридические и финансовые проблемы

Отзыв продукта

15 ноября 2005 г. vnunet.com объявил, что Sony BMG отказалась от своего программного обеспечения для защиты от копирования, отозвала непроданные компакт-диски из всех магазинов и предложила потребителям обменять свои компакт-диски на версии, в которых не было этого программного обеспечения. Electronic Frontier Foundation составил неполный список компакт-дисков с XCP. Сообщается, что Sony BMG заявила, что «не существует угроз безопасности, связанных с технологией защиты от пиратства», несмотря на многочисленные сообщения о вирусах и вредоносных программах. 16 ноября 2005 г. US-CERT, часть Министерства внутренней безопасности США, выпустила рекомендацию по XCP DRM. Они заявили, что XCP использует технологию руткитов, чтобы скрыть определенные файлы от пользователя компьютера, и что этот метод представляет угрозу безопасности для пользователей компьютеров. Они также сказали, что один из вариантов удаления, предоставляемых Sony BMG, вносит дополнительные уязвимости в систему. US-CERT посоветовал: «Не устанавливайте программное обеспечение из источников, которые, как вы не ожидаете, будут содержать программное обеспечение, например, аудио компакт-диск».

Sony BMG объявила, что она проинструктировала розничных продавцов удалить все непроданные музыкальные диски, содержащие ПО со своих полок. Эксперт по интернет-безопасности Дэн Камински подсчитал, что XCP использовался в более чем 500 000 сетей.

Компакт-диски с технологией XCP можно идентифицировать по буквам «XCP» на задней крышке. футляра для компакт-диска в соответствии с FAQ SonyBMG XCP.

18 ноября 2005 г. Reuters сообщило, что Sony BMG обменивает поврежденные небезопасные компакт-диски на новые незащищенные диски, а также незащищенные файлы MP3. В рамках программы обмена потребители могут отправить свои компакт-диски с защитой XCP по почте в Sony BMG и получить незащищенный диск обратной почтой.

29 ноября тогдашний генеральный прокурор Нью-Йорка Элиот Спитцер через своих следователей обнаружил, что, несмотря на отзыв от 15 ноября, компакт-диски Sony BMG с XCP все еще продаются в Нью-Йорке. музыкальные магазины. Спитцер сказал: «Недопустимо, чтобы более чем через три недели после обнаружения этой серьезной уязвимости эти же компакт-диски все еще лежали на полках в самые загруженные торговые дни года, [и] я настоятельно призываю всех розничных продавцов прислушиваться к предупреждениям, выпущенным по этому поводу. продукции, немедленно вытащите их из распределения и отправьте обратно в Sony ».

На следующий день генеральный прокурор штата Массачусетс Том Рейли опубликовал заявление, в котором говорилось, что компакт-диски Sony BMG с XCP все еще доступны в Бостоне, несмотря на отзыв Sony BMG 15 ноября. Генеральный прокурор Рейли посоветовал потребителям не покупать компакт-диски Sony BMG с XCP и сказал, что он проводит расследование в отношении Sony BMG.

По состоянию на 11 мая 2006 г. на веб-сайте Sony BMG потребителям была предложена ссылка на «Информация о коллективном иске в отношении защиты контента XCP и MediaMax». Он имеет онлайн-заявку и ссылки на обновления / программы удаления программного обеспечения. Крайний срок подачи претензии - 30 июня 2007 г.

По состоянию на 2 апреля 2008 г. на сайте Sony BMG потребителям предлагалось объяснение событий, а также список всех затронутых компакт-дисков.

Действия штата Техас

21 ноября 2005 г. Генеральный прокурор Техаса Грег Эбботт подал в суд на Sony BMG. Техас был первым штатом США, который возбудил судебный иск против Sony BMG в ответ на руткит. Иск был также первым, поданным в соответствии с законом штата о шпионском ПО от 2005 года. В нем утверждалось, что компания тайно установила шпионское ПО на миллионы компакт-дисков с музыкой (компакт-дисками), которые взломали компьютеры, когда потребители вставляли их в свои компьютеры для воспроизведения.

21 декабря 2005 г. Эбботт добавил новые обвинения в свой иск против Sony-BMG относительно MediaMax. В новых обвинениях утверждалось, что MediaMax нарушает государственные законы о шпионском ПО и вводящей в заблуждение торговой практике, потому что программное обеспечение MediaMax будет установлено на компьютере, даже если пользователь отклонит лицензионное соглашение, разрешающее действие. Эбботт заявил: «Мы продолжаем обнаруживать дополнительные методы, которые Sony использовала для обмана техасских потребителей, которые думали, что они просто покупают музыку», и «Тысячи техасцев теперь являются потенциальными жертвами этой обманчивой игры, в которую Sony играла с потребителями в своих собственных целях». В дополнение к нарушениям Закона 2005 года о защите потребителей от компьютерного шпионского ПО, который допускал гражданские штрафы в размере 100000 долларов за каждое нарушение закона, предполагаемые нарушения, добавленные в обновленном иске (21 декабря 2005 года), влекли за собой максимальные штрафы в размере 20000 долларов за каждое нарушение. нарушение. Sony было приказано выплатить Техасу 750 000 долларов США в качестве судебных издержек, принять возврат затронутых компакт-дисков от клиентов, разместить заметное подробное уведомление на своей домашней странице, произвести «покупки по ключевым словам», чтобы предупредить потребителей, разместив рекламу в Google, Yahoo! и MSN, помимо других средств правовой защиты, платят до 150 долларов за поврежденный компьютер. Sony BMG также пришлось согласиться с тем, что они не будут делать никаких заявлений о том, что юридическое урегулирование каким-либо образом представляет собой одобрение суда.

Групповые иски Нью-Йорка и Калифорнии

Групповые иски были подано против Sony BMG в Нью-Йорке и Калифорнии.

30 декабря 2005 года New York Times сообщила, что Sony BMG достигла предварительного урегулирования судебных исков., предлагая два способа компенсации потребителям, купившим затронутые записи. Согласно предложенному соглашению, тем, кто приобрел компакт-диск XCP, будет выплачиваться 7,50 долларов США за приобретенную запись, а также будет предоставлена ​​возможность скачать бесплатный альбом или возможность загрузить три дополнительных альбома из ограниченного списка записей, если они откажутся от денежного вознаграждения. Окружной судья Наоми Райс Бухвальд 6 января 2006 г. внесла приказ об утверждении поселения в предварительном порядке.

Поселок был разработан для выплаты компенсации тем, чьи компьютеры были заражены, но не пострадали. Те, у кого есть убытки, которые не рассматриваются в коллективном иске, могут отказаться от урегулирования и подать собственный судебный процесс.

Слушание по справедливости состоялось 22 мая 2006 г. в 9:15 в здании суда США по делу Дэниела Патрика Мойнихана по Южному округу Нью-Йорка.

Претензии должны были быть представлены до 31 декабря 2006 года. Члены группы, которые хотели быть исключены из мирового соглашения, должны были подать заявление до 1 мая 2006 года. Те, кто остался в соглашении, могли присутствовать на слушании по вопросам справедливости за свой счет и выступать от своего имени. или быть представленным адвокатом.

Другие действия

В Италии ALCEI (ассоциация, похожая на EFF ) также сообщила о рутките в финансовую полицию с просьбой провести расследование по различным обвинениям в компьютерных преступлениях, вместе с техническим анализом руткита.

Министерство юстиции США (DOJ) не комментировало, будет ли оно принимать какие-либо уголовные меры против Sony. Однако Стюарт Бейкер из Министерства внутренней безопасности публично упрекнул Sony, заявив, что «это ваша интеллектуальная собственность, а не ваш компьютер».

21 ноября EFF объявил, что это был также подает иск в отношении XCP и SunnComm MediaMax DRM. Судебный процесс EFF также касается вопросов, связанных с лицензионным соглашением Sony BMG с конечным пользователем.

24 декабря 2005 года сообщалось, что тогдашний генеральный прокурор Флориды Чарли Крист расследовал шпионское ПО Sony BMG.

30 января 2007 г. Федеральная торговая комиссия (FTC) США объявила о мировом соглашении с Sony BMG по обвинению в том, что их защита от копирования компакт-дисков нарушила федеральный закон - раздел 5 (a) Закон о Федеральной торговой комиссии, 15 USC 45 (a) - путем недобросовестной и вводящей в заблуждение деловой практики. Мировое соглашение требует, чтобы Sony BMG возместила потребителям до 150 долларов за устранение ущерба, который возник непосредственно в результате их попыток удалить программное обеспечение, установленное без их согласия. Мировое соглашение также требует, чтобы они четко и ясно раскрывали на упаковке будущих компакт-дисков любые ограничения на копирование или использование устройств воспроизведения, а также запрещали компании устанавливать программное обеспечение для защиты контента без получения разрешения потребителей. Председатель FTC Дебора Платт Майорас добавила, что «установка секретного программного обеспечения, создающего риски для безопасности, является навязчивой и незаконной. Компьютеры потребителей принадлежат им, и компании должны надлежащим образом сообщать о неожиданных ограничениях использования их продуктов потребителями, чтобы потребители могут принимать информированные решения относительно покупки и установки этого контента ».

Нарушение авторских прав

Исследователи обнаружили, что Sony BMG и производители XCP также явно нарушили авторские права, не соблюдая условия лицензирования требования различных частей бесплатного программного обеспечения с открытым исходным кодом, код которого использовался в программе, включая кодировщик LAME MP3, mpglib, FAAC, id3lib, mpg123 и медиаплеер VLC.

В январе 2006 года разработчики LAME опубликовали открытое письмо, в котором говорилось, что они ожидают «соответствующих действий» со стороны Sony BMG, но у разработчиков не было планов расследовать очевидное нарушение или принимать меры в связи с этим. лицензии на исходный код LAME.

Сообщения компании и прессы

Отчет Руссиновича обсуждался в популярных блогах почти сразу после его публикации.

NPR был одной из первых главных новостей СМИ должны сообщить о скандале 4 ноября 2005 г. Томас Хессе, президент глобального цифрового бизнеса Sony BMG, сказал репортеру Неде Улаби : «Большинство людей, я думаю, даже не знают, что такое руткит, так почему они должны это заботиться? "

В статье от 7 ноября 2005 г. сайт vnunet.com обобщил результаты исследований Руссиновича и призвал потребителей избегать покупки Sony BMG музыкальные компакт-диски на данный момент. На следующий день The Boston Globe классифицировал программное обеспечение как шпионское ПО, а вице-президент подразделения eTrust Security Management компании Computer Associates Стив Карри подтвердил, что оно передает личную информацию от потребителей. 'компьютеров в Sony BMG (а именно, воспроизводимый компакт-диск и IP-адрес пользователя ). Методы, используемые программным обеспечением для предотвращения обнаружения, схожи с методами, используемыми похитителями данных.

8 ноября 2005 года Computer Associates решила классифицировать программное обеспечение Sony BMG как «шпионское ПО » и предоставить инструменты для его удаления. Говоря о приостановке Sony BMG использования XCP, независимый исследователь Марк Руссинович сказал: «Это шаг, который они должны были предпринять немедленно».

Первый вирус, который использовал скрытность Sony BMG технология, делающая вредоносные файлы невидимыми как для пользователя, так и для антивирусных программ, появилась 10 ноября 2005 г. Днем позже Yahoo! Новости объявил о том, что Sony BMG было приостановлено дальнейшее распространение спорной технологии.

Согласно ZDNet News : «Последний риск связан с программой удаления, распространяемой SunnComm Technologies, компанией, которая обеспечивает защиту от копирования для других выпусков Sony BMG». Программа удаления подчиняется отправляемым ей командам, позволяя другим «взять под контроль компьютеры, на которых использовалась программа удаления».

6 декабря 2005 г. Sony BMG сообщила, что 5,7 млн ​​компакт-дисков с 27 названиями были отправлены с MediaMax. 5 программное обеспечение. Компания объявила о выпуске нового программного исправления для предотвращения возможного нарушения безопасности компьютеров потребителей.

Sony BMG в Австралии выпустила пресс-релиз, в котором указывается, что ни одна из произведений Sony BMG, произведенных в Австралии, не имеет защиты от копирования.

См. Также
Ссылки
Источники
Внешние ссылки
Викиновости содержат новости по теме:
Последняя правка сделана 2021-06-08 10:12:23
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте