Fusilando

Domingo, 06 de noviembre de 2005

Sony instala rootkits en tu ordenador

Esta semana todo blogger que se precie ha publicado algo sobre este tema. Hace dos días escribí un extenso post, de esos que me gustan a mí, pero cuando estaba pasando el corrector ortográfico, justo antes de darle a publicar, sucedió. El ordenador se reseteó sin previo aviso. Como dicen por ahí, lo peor es la cara de tonto que se te queda.

Hasta ahora no he vuelto a reunir las fuerzas para repetir el post. En fin, lo intentaré: La semana pasada leí en Kriptópolis que un conocido (en el mundillo) experto en seguridad, Mark Russinovich, de Sysinternals, había descubierto en su ordenador un rootkit. Un rootkit es un programa que oculta su presencia al sistema operativo, no sólo ocultando sus archivos sino también los procesos que lo componen (los procesos son eso que sale cuando pulsas Ctrl+Alt+Supr). En la definición no se especifica que tenga que ser con malas intenciones, pero si un programa necesita ocultarse... algo hará.

Este buen hombre se tomó como un reto personal el averiguar de dónde salía el rootkit y qué es lo que hacía, así que se puso manos a la obra. Después de localizar, editar y estudiar los archivos, dio con la solución: el rootkit había sido desarrollado por una empresa de seguridad llamada First 4 Internet, proveedora de los sistemas anticopia de la discográfica Sony BMG. Justo la discográfica dueña de los derechos del disco de Van Zant (protegido con anticopia) que había comprado y escuchado en su ordenador el mes pasado.

Extrañado porque Sony hubiera instalado en su ordenador un programa sin preguntar, siguió estudiándolo para comprender mejor su funcionamiento y llegó a varias conclusiones. Para empezar, el programa se comunica con Sony cada vez que el disco es escuchado en un ordenador y en ese mensaje va la dirección IP del ordenador que lo produce, con lo que se identifica al usuario y se reúnen datos de sus hábitos y gustos musicales (¿publicidad a la carta?) No se conforma con eso, sino que también sustituye los drivers de CD-ROM del Windows por unos propios, de manera que no se pueda copiar ningún CD de la discográfica Sony. El resultado de esto es que si encuentras el rootkit en tu ordenador y haces lo que parece más lógico, borrar los archivos, te quedas sin CD-ROM y tienes que formatear y reinstalar Windows. Así que cuidado con borrar a las bravas cualquier archivo extraño que te encuentre el antivirus (o el antirootkits) Los archivos de éste se caracterizan por empezar todos por la partícula "$sys$"

Mark Russinovich publicó todo esto en el blog de Sysinternals y la noticia se ha extendido por toda la red en muy poco tiempo. La respuesta de Sony no se ha hecho esperar: publicarán una herramienta que elimine la ocultación del rootkit pero deje intactas el resto de las funciones. Y se quedan tan anchos.

Como bien apunta Pepe Cervera en su blog Retiario, las discográficas ya no sólo se sienten dueñas de la música que compras, sino también de tu ordenador. No se conforman con decirte cómo, dónde, cuándo y cuántas veces escuchar su música (es su música aunque tú la hayas pagado). Ahora te instalan programas en el ordenador sin tu permiso y sin posibilidad de desinstalación para el 99% de los mortales.

Se puede pensar: "Bueno, con no comprarme el CD de Van Zant, solucionado." Pero no, decenas de miles de títulos podrían estar afectados.

A raíz de esto, ha surgido otro caso muy curioso. En el juego de rol online World of Warcraft existen programas para hacer trampas (cheats): conseguir dinero infinito, aumentar el nivel de tu personaje, su fuerza, etc. Los servidores a los que te conectas detectan si estás ejecutando estos programas y toman medidas contra los tramposos, pero gracias al rootkit de Sony lo tienen más difícil: añadiendo el prefijo "$sys$" a los cheats el propio rootkit de Sony los oculta (pensando que son parte del software anticopia) Hay que tener imaginación y verle el lado bueno a todo ;-)

Nota: si no digo lo contrario, todos los link apuntan a Kriptópolis

Por: Andrés | General | Comentarios (4) | Referencias (0)

Comentarios

Veo en DiarioTI las declaraciones del presidente de Sony BMG:

En una entrevista con la radioemisora NPR, el presidente de Sony BMG, Thomas Hesse, indica que ”las expresiones como rootkit, spyware y malware” no son del dominio del usuario promedio.

Su razonamiento es que ”entonces, no es un problema que los CD de Sony estén provistos de dicha herramienta”.

Andrés | 09-11-2005 20:28:42

Y en Boing Boing una lista de CDs con el rootkit:

Trey Anastasio, Shine (Columbia)
Celine Dion, On ne Change Pas (Epic)
Neil Diamond, 12 Songs (Columbia)
Our Lady Peace, Healthy in Paranoid Times (Columbia)
Chris Botti, To Love Again (Columbia)
Van Zant, Get Right with the Man (Columbia)
Switchfoot, Nothing is Sound (Columbia)
The Coral, The Invisible Invasion (Columbia)
Acceptance, Phantoms (Columbia)
Susie Suh, Susie Suh (Epic)
Amerie, Touch (Columbia)
Life of Agony, Broken Valley (Epic)
Horace Silver Quintet, Silver's Blue (Epic Legacy)
Gerry Mulligan, Jeru (Columbia Legacy)
Dexter Gordon, Manhattan Symphonie (Columbia Legacy)
The Bad Plus, Suspicious Activity (Columbia)
The Dead 60s, The Dead 60s (Epic)
Dion, The Essential Dion (Columbia Legacy)
Natasha Bedingfield, Unwritten (Epic)
Ricky Martin, Life (Columbia) (labeled as XCP, but, oddly, our disc had no protection)

¡Mierda! ¡Con las ganas que tenía de comprarme precisamente esos dos de Celine Dion!

Andrés | 10-11-2005 01:18:49

Jajajaja, yo estaba pensando en el de Ricky Martin! ;-D

Peña | 10-11-2005 12:42:32

Por cierto, no dejan de ser curiosos los nombres de algunos de los discos: "sano en tiempos de paranoia", "trata bien al hombre", "la invasión invisible" y "actividad sospechosa". ¡Parece que los pensaron exclusivamente para incluir el rootkit!

Andrés | 10-11-2005 14:53:50