El pasado 31 de Octubre, Mark Russinovic, director tecnológico de una empresa de Freeware, Sysinternals, descubrió que Sony BMG había empezado a distribuir CD’s con un nuevo sistema de gestión de derechos (DRM) que instalaba un rootkit en el ordenador del usuario (sólo en Windows) que hacía que el sistema se volviese vulnerable a ataques de terceros malintencionados. Aunque la noticia se hizo pública hace ya una semana, he preferido esperar y recopilar información para hacer un comentario más preciso de la misma ya que en los primeros días muchos bloggeros publicaron que se trataba de un virus, otros de malware y prefería leer mucho sobre el asunto antes de incluir información errónea en el blog.
Según se explica en la Wikipedia, un rootkit es un conjunto de herramientas normalmente usada por intrusos después de crackear un sistema. Estas herramientas tienen la intención de engañar procesos y archivos de ejecución del sistema que ayudarán al intruso a mantener acceso al sistema para propósitos malintencionados.
Para empezar, muchos califican a esta medida como un DRM agresivo, aunque algunos creemos que un sistema de gestión de derechos digitales debe hacer precisamente eso, gestionar derechos y no reprimirlos completamente; el sistema incluido en este CD imposibilita la copia, por lo que yo lo llamaría sistema anti-copia antes que DRM.
El sistema funciona así: al introducir el cd, el archivo autorun (el cual puede ser desactivado pulsando la tecla shift o deshabilitando tal función del reproductor, por lo que el rootkit no se instalaría; así de inútil es el sistema anticopia) se ejecuta e instala una serie de programas en el ordenador para poder tomar cierto control sobre el sistema infectado y así no permitir realizar determinadas funciones. Los rootkit normalmente son usados para esconder utilidades que pueden incluir «backdoors» que podrían ser aprovechadas por usuarios malintencionados para entrar en el sistema de manera oculta; el problema y principal riesgo de los rootkit es precisamente éste, la falta de transparencia de todo el proceso ya que el usuario no es avisado de la instalación que se está llevando a cabo. Aunque esto no es del todo cierto porque Sony BMG asegura que la instalación del software era advertido en el panfleto del CD, aunque no explicaba al detalle la modificación del registro de Windows. Porque éste es el punto que más ha molestado a expertos ya que las mayores vulnerabilidades vienen de las modificaciones realizadas en el Registro de Windows
Muchos se preguntan en la Red si es legal o no este sistema anticopia ya que está introduciendo en un sistema código potencialmente dañino; la respuesta no es sencilla ya que como os he dicho, no todos los expertos se ponen de acuerdo en qué es exactamente esta aplicación, si un rootkit en sentido estricto, o como opina Edward Ferten del blog Freedom to Tinker, es algo parecido pero no del todo un rootkit.
También es importante ver el EULA (End User License Agreement – Acuerdo de Licencia de Usuario Final), ya que si en el mismo se especifica qué se va a instalar en el ordenador, el usuario estaría dando una aceptación tácito al introducir el CD en la bandeja del lector del ordenador.
Si la herramienta fuese considerada un rootkit dañino que ha sido instalado sin consentimiento del usuario sí podríamos estar hablando de un delito penal contra la seguridad informática por la introducción de software en un ordenador con la intención de controlarlo sin la autorización del propietario, aunque de nuevo, hay que ser cautos y ver qué opina un juez. También se comenta que el usuario que desinstale o inhabilite este programa podría violar la DMCA (Digital Millenium Copyright Act) que declara ilícitas las acciones destinadas a romper medidas anti-copia o de gestión de derechos digitales (DRM); creo que sería un caso extremo porque, como he indicado antes, un juez debería encontrar que la medida quebrantada es un sistema anti-copia para después considerar que esa «desinfección» del ordenador es una vulneración de la DMCA.
Sony y First 4 Internet, la empresa que realizó la medida anticopia, ya han publicado un parche en el sitio web de la segunda para «limpiar» el sistema modificado, aunque ahí no queda la cosa. El archivo que se tienen que bajar los usuarios para restaurar el sistema pesa 3,5 megas, un tamaño que ha creado dudas entre mucha gente; de hecho, varios especialistas en criptografía se han dado cuenta de que dicha aplicación no limpia el sistema, sino que lo modifica para introducir un sistema anticopia, se entiende, que un poco menos agresivo. Varias asociaciones de consumidores norteamericanas no descartan demandar a Sony BMG por un delito contra la seguridad informática.
Y es que la realidad es que las compañías discográficas llevan ya varios años sin saber cómo parar la marcha a la piratería y a las descargas en la red; es curioso como desde hace años, en los cd’s que compramos existen medidas anticopia que intentan persuadir al consumidor de realizar copias de un original, pero, justo al momento de publicación de un disco, éste tarda minutos en estar en un sistema de peer to peer (p2p). Es evidente que ésta no será la última noticia que leamos sobre un nuevo intento de las discográficas por controlar su objeto de negocio.
Hoy he leido la lista de CDs infectados
* Trey Anastasio, Shine (Columbia)
* Celine Dion, On ne Change Pas (Epic)
* Neil Diamond, 12 Songs (Columbia)
* Our Lady Peace, Healthy in Paranoid Times (Columbia)
* Chris Botti, To Love Again (Columbia)
* Van Zant, Get Right with the Man (Columbia)
* Switchfoot, Nothing is Sound (Columbia)
* The Coral, The Invisible Invasion (Columbia)
* Acceptance, Phantoms (Columbia)
* Susie Suh, Susie Suh (Epic)
* Amerie, Touch (Columbia)
* Life of Agony, Broken Valley (Epic)
* Horace Silver Quintet, Silver’s Blue (Epic Legacy)
* Gerry Mulligan, Jeru (Columbia Legacy)
* Dexter Gordon, Manhattan Symphonie (Columbia Legacy)
* The Bad Plus, Suspicious Activity (Columbia)
* The Dead 60s, The Dead 60s (Epic)
* Dion, The Essential Dion (Columbia Legacy)
* Natasha Bedingfield, Unwritten (Epic)
* Ricky Martin, Life (Columbia).
Muchas gracias por la información. Si os fijais, son dos las discográficas que incluyen este rootkit (o lo que sea) en sus discos: Columbia y Epic, «curiosamente» ambas de Sony Music.
Para vuestra información, todas las productoras, distribuidoras y discográficas que integran el Grupo Sony Music son: Columbia Records, Epic Records, Legacy Recordings, Sony Classical, Odyssey, Sony Nashville y Sony Wonder.
Recordad que es fácil inutilizar el sistema, tan sólo hay que deshabilitar el Autorun de tu ordenador o presionar la tecla Shift cuando se introduzca un disco en la bandeja de CD.