[HACK] 27.000 ordenadores espanyoles podrian tener el rootkit de sony

merce merce at grn.es
Thu Nov 24 11:02:24 CET 2005 



16/11/05 16:17:35



ESPAÑA PODRÍA SER UNO DE LOS PAÍSES MÁS AFECTADOS POR EL DEFICIENTE
SISTEMA ANTICOPIA DE SONY


Mercè Molist
Más de 27.000 ordenadores en España podrían tener, sin saberlo sus
dueños, un importante agujero de seguridad por haber reproducido en
ellos un CD  protegido con un sistema anticopia de Sony BMG. Éste
instala subrepticiamente programas que facilitan la entrada de virus
e intrusos y espían al usuario. La compañía ha hecha pública la
lista de 52 títulos afectados, que han comprado más de dos millones
de personas, pero no su localización geográfica. Según una
investigación independiente, España podría ser el quinto país con
más perjudicados.


Reconocidos expertos han avalado el análisis estadístico realizado
por Dan Kaminsky para cuantificar y localizar el alcance del
defectuoso sistema anticopia de Sony. Éste introduce
automáticamente, en los ordenadores con sistema operativo Windows,
aplicaciones invisibles que espían los programas que usa el usuario,
qué CD está escuchando o desde qué dirección IP, y mandan la
información a Sony vía Internet. Kaminsky ha seguido el rastro de
estas conexiones, para concluir que hay 568.200 redes en el mundo
con, al menos, un ordenador afectado. Según Sony, se han vendido 2,1
millones de discos con esta protección.

De los sistemas detectados por Kaminsky, 27.527 están en España, que
ocupa el quinto puesto mundial, detrás de Japón, Estados Unidos,
Gran Bretaña y Holanda. Fuentes de Sony BMG han explicado a
"Ciberpaís" que no han editado ningún disco en España con la
polémica protección anticopia, ya que estaba previsto empezar a
aplicarla el año que viene, pero es posible que tiendas y grandes
almacenes que venden material de importación hayan distribuido CDs
defectuosos. De momento, ningún usuario español ha denunciado
públicamente estar afectado.

Sony puso en marcha este sistema anticopia en marzo de 2005, pero el
escándalo no saltó hasta finales de octubre, cuando Mark
Russinovich, un experto en Windows, notaba que su ordenador iba más
lento y descubría que algo o alguien le había introducido un
"rootkit". Un "rootkit" son diversas herramientas usadas por un
atacante para permanecer escondido en un ordenador y hacer lo que se
le antoje, sin que lo sepa el usuario ni lo detecten los programas
antivirus.

Russinovich descubrió que, al escuchar en su ordenador el CD "Get
Right With the Man", de Van Zant, el sistema anticopia de Sony,
llamado Extended Copy Protection (XCP) y desarrollado por la empresa
First4Internet, le había instalado el "rootkit". El sistema no
incluía una herramienta de desinstalación, por lo que Russinovich lo
borró manualmente. Resultado: su reproductor de CD dejó de funcionar
y tuvo que reformatear el equipo.

El 31 de octubre, Russinovich lo contó en su weblog y empezó la
tormenta de críticas contra Sony BMG, que primero lo negó. Después,
un portavoz de la compañía le quitó importancia: "La gente no sabe
lo que es un "rootkit", por tanto no les interesa". El 3 de
noviembre, Sony ofrecía una herramienta para desinstalar el XCP que,
en realidad, era una actualización: sólo borraba el componente
"rootkit" y, además, introducía nuevos archivos en el sistema sin
avisar.

Los expertos avisaban de que la actualización podía estropear el
ordenador y los usuarios se quejaban de que, para conseguirla,
tenían que rellenar un formulario y especificar su dirección de
correo. Sony se reservaba el derecho de usarla para enviarles
publicidad. Días después, la compañía ofrecía un auténtico
desinstalador del XCP. Para acceder a él, había que cumplimentar
también un formulario.

Ante tanto despropósito, sólo quedaba una opción para hacer
reaccionar a Sony: demostrar públicamente que el problema era serio.
Lo hicieron los programadores de virus, creando diversos troyanos,
difundidos por correo electrónico, que se escondían en las carpetas
ocultas creadas por el "rootkit". Desde allí, se conectaban a un
servidor de Internet Relay Chat, a la espera de recibir órdenes de
los atacantes, que podían consistir en instalar más programas
maliciosos y tomar el control del equipo.

Entonces, estallaba un nuevo escándalo: el profesor de la
universidad de Princeton, Edward Felten, explicaba en su weblog que
los formularios, que había que cumplimentar para acceder al programa
desinstalador y a la actualización, instalaban un controlador
ActiveX, llamado CodeSupport, en el ordenador del usuario. Este
controlador estaba mal configurado y permanecía activo en el
navegador Internet Explorer cuando se visitaban otras webs, creando
un agujero de seguridad que permitía que desde estas webs se
pudiesen coger archivos, instalar programas o colgar el ordenador.

Para entonces, foros, weblogs y medios de comunicación bullían de
indignación. Se iniciaron acciones legales en California, Nueva York
e Italia. Diversas empresas antivirus, como Computer Associates,
Sophos y Symantec, o de cortafuegos, como ZoneAlarm, anunciaron
utilidades para detectar y desinstalar el sistema anticopia. También
Microsoft ha afirmado que las nuevas versiones de sus productos de
seguridad lo considerarán como un programa espía y lo borrarán.

El 11 de noviembre, Sony BMG anunciaba que suspendía temporalmente
la fabricación de CDs con tecnología XCP. La empresa publicaba en su
web una carta, en la que echaba la culpa a la empresa creadora del
"software", First4Internet, y aseguraba que retiraría los CDs del
mercado y los cambiaría a quienes los hubiesen comprado. La compañía
negaba que espiase a los usuarios: "El reproductor del disco muestra
un "banner" que usa técnicas web estándar para comunicarse con un
servidor de Sony BMG, para mostrar contenido web relacionado con el
título específico del CD, no para monitorear su actividad en línea".

Este reproductor, que el usuario debe usar obligatoriamente si
quiere escuchar el CD, ha traído también polémica, ya que contiene
código de un programa libre llamado Lame, sin especificarlo en su
licencia. Otra crítica contra Sony ha venido de su negativa, durante
quince días, a especificar qué CDs estaban afectados, lo que
aumentaba el desconcierto y la incertidumbre entre los usuarios.
Finalmente, la compañía publicaba la lista de 52 títulos de artistas
como Celine Dion, Chayanne o Neil Diamond.

A la hora de escribir estas líneas, no existe ninguna herramienta
que elimine totalmente el sistema XCP, ya que el 15 de noviembre
Sony retiró su desinstalador, a la espera de ofrecer otro más
seguro. Según Mark Russinovich, "hay bastante confusión sobre el
nivel de limpieza que ofrecen las compañías de antivirus. Algunas
dan a entender que desinstalan del todo el sistema, pero en realidad
sólo desactivan el "rootkit", de la misma forma que lo hace la
actualización de Sony, lo que introduce el riesgo de un cuelgue del
sistema. La forma más segura es borrar el "rootkit" del registro, de
forma que no se pueda activar cuando se inicia Windows".

El caso ha generado dudas entre los usuarios de redes P2P, por si es
posible infectarse al intercambiar un disco con XCP. Bernardo
Quintero, de Hispasec, lo niega: "Cuando te bajas un disco, lo
normal es que lo hayan convertido a MP3, por lo que la protección
desaparece. Sin ánimo de hacer apología de la piratería y en este
caso en concreto, era más seguro descargarse los títulos de Sony de
redes P2P que utilizar el original".

A la sombra del escándalo, han aparecido nuevas voces que denuncian
que Sony usa otro sistema de protección anticopia igualmente
peligroso y que no se ha retirado, llamado MediaMax. Aunque no
instala ningún "rootkit", MediaMax espía el comportamiento de los
usuarios e instala programas sin consentimiento. Dejando de lado la
mala política de reacción y comunicación que ha puesto a Sony en el
ojo del huracán y la fuerza mediática demostrada por los weblogs, la
discusión de fondo es el llamado Digital Rights Management (Gestión
de los Derechos Digitales) y su aplicación sin violentar a los
usuarios, resumida en el lema que circula estos días por la red: "Es
su propiedad intelectual, pero no su ordenador".
	  	
			
  		

CÓMO SABER SI UN CD ESTÁ AFECTADO


Para saber si un CD lleva el sistema de protección de Sony, hay que
examinar el lomo de la caja, donde debe poner: "Content protected".
En la parte de atrás habrá algún tipo de mención a las siglas "XCP"
o una URL que las contenga. Si su ordenador está afectado, Sony
afirma que en breve ofrecerá un programa desinstalador. Puede
acceder a su web para que le envíen un nuevo CD, sin la protección
XCP, o bajarse las canciones en MP3.


Lista de CDs con protección XCP
http://cp.sonybmg.com/xcp/english/titles.html
El mapa de la epidemia
http://www.kriptopolis.org/node/1454
Sistemas afectados
http://www.doxpara.com
Blog de Mark Russinovich
http://www.sysinternals.com/blog/
¿Está usted infectado con el rootkit de Sony-BMG?
http://www.vsantivirus.com/14-11-05.htm
Sony abandona el rootkit anticopia
http://www.hispasec.com/unaaldia/2581
Comienza la disección del rootkit de Sony
http://www.kriptopolis.org/node/1438
Cómo desinstalar el ActiveX vulnerable del desinstalador de Sony
http://www.vsantivirus.com/vul-codesupport-161105.htm
Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to
Recall Discs
http://www.freedom-to-tinker.com/?p=927
Carta abierta de la EFF a Sony BMG
http://www.eff.org/IP/DRM/Sony-BMG/?f=open-letter-2005-11-14.html
Especial de Bruce Schneier sobre XCP
http://www.schneier.com/blog/archives/2005/11/more_on_sonys_d.html



Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital medium, provided this notice is
preserved.

More information about the hacking mailing list