Pensavate che sulla vicenda dei DRM Sony/BMG si
fosse detto ormai tutto e il contrario di tutto, vero? E che ormai, con la
capitolazione del colosso discografico e l’annunciata azione di ritiro dal
mercato dei sei milioni di CD infestati dal micidiale XCP, fosse tutto finito?
Vi sbagliavate, e di grosso. Quello che sembrava infatti un lieto fine non è
altro che uno momentaneo stato di calma apparente, il quale tuttavia prelude ad
una tempesta forse ancora peggiore.
Potremmo anzi dire che, come nelle migliori produzioni hollywoodiane, il bello
verrà nel secondo episodio della serie. Il quale peraltro, volendo usare il
neologismo inventato dai cinefili per descrivere lo strano snodarsi “all’indietro”
di saghe come quella di Guerre Stellari, non è un sequel bensì un prequel,
ossia il racconto di fatti precedenti a quelli sinora mostrati…
Alle radici del rootkit
Nel mese e più trascorso da quando è scoppiato il “caso
Sony/BMG” il popolo della Rete non è stato con le mani in mano: oltre a
diffondere col suo tam-tam telematico le notizie e gli aggiornamenti della
vicenda, infatti, in molti hanno contribuito a reperire nuove informazioni
capaci di gettare maggiore luce sulla storia del famigerato XCP, ed altri hanno
raccolto nuove evidenze riguardanti ulteriori nefandezze perpetrate dalle Major
in nome della “tutela dei diritti”.
La Rete ha una lunga memoria, e le azioni che in essa si compiono lasciano
spesso tracce assai persistenti. Si è così scoperto che già nei primi mesi
del 2003 tal Ceri Coburn, uno dei responsabili della società inglese
First4Internet che ha fornito a Sony il DRM-rootkit denominato XCP, frequentava
forum di sviluppatori e mailing list tecniche mostrandosi come un
programmatore un po’ principiante e ponendo domande su come realizzare cose
piuttosto sospette quali un filter driver per il canale CDAUDIO che
potesse attivarsi e disattivarsi dinamicamente senza richiedere la ripartenza
del computer.
Un anno prima lo stesso Coburn frequentava invece i forum di programmatori di
applicazioni Internet, chiedendo aiuto per la realizzazione di un packet
filter per Windows in grado intercettare un flusso di comunicazione fra il
PC e la rete (tecnicamente, ponendosi tra lo stack TCP/IP ed il Network
Driver) allo scopo di modificare dinamicamente il contenuto dei dati
trasmessi, ma senza che ciò potesse provocare ritardi o disservizi i quali
avrebbero potuto suggerire all’utente la presenza della “cimice” nascosta.
Sempre nel 2003 un altro programmatore della First4Internet, Lee Griffiths,
lanciò addirittura un appello in un newsgroup pubblico gestito da
Microsoft nel quale, spacciandosi per un neofita autore di un programma per l’editing
di file musicali, chiedeva consigli per realizzare una funzione in grado di
proteggere i file di tipo WMA (Windows Media Audio) arrivando addirittura ad
offrire dei soldi a chi gli avesse fornito del codice funzionante!
Ma anche le analisi successive al “fattaccio” hanno
portato alla luce cose interessanti. Ad esempio all’interno del codice di XCP,
ormai dissezionato nei più minimi particolari, sono state identificate porzioni
consistenti di famosi prodotti software open source, quale il
codificatore LAME utilizzato in moltissimi prodotti multimediali, e ciò in
piena violazione dell’accordo di licenza che prevede l’obbligo da parte dell’utilizzatore
di citare la fonte e gli autori originali del software utilizzato. Da notare che
gli autori di LAME hanno volontariamente rinunciato a rivalersi legalmente su
Sony per tale illecito, ritenendosi più che soddisfatti dalla grande figuraccia
che il colosso nipponico ha ricavato dalla vicenda.
Non basta: all’interno di XCP è stato trovato anche del codice appartenente
ad un altro software open source chiamato DRMS, scritto da Sam Hocevar e
DVD Jon, ed anch’esso analogamente utilizzato senza alcun diritto di farlo. La
cosa più inquietante al riguardo è che DRMS serve in realtà a sproteggere
i contenuti multimediali protetti mediante il sistema di DRM proprietario
utilizzato da Apple! Tale codice oltretutto è presente ma inattivo, quindi non
viene effettivamente utilizzato da XCP anche se è perfettamente funzionante
come è stato dimostrato da Alex Halderman. Il motivo della sua presenza
sembrerebbe essere dovuto alla volontà iniziale, da parte di Sony o di
First4Internet, di rendere XCP compatibile con la codifica DRM per iPod, detta
FairPlay, facendola in barba alle limitazioni imposte da Apple la quale non ne
ha mai ceduto i diritti di utilizzo ai propri concorrenti.
Se così fosse XCP violerebbe anche i diritti di Apple, un
vero record! Il fatto che questo codice sia inattivo sembra però far pensare
che qualcuno all’ultimo momento, accorgendosi magari di averla fatta davvero
troppo grossa, abbia cambiato idea sul fatto di utilizzarlo… decidendo
tuttavia solo di inibirlo anziché rimuoverlo interamente dal prodotto, magari
per poterlo effettivamente utilizzare in un secondo momento.
La più recente delle scoperte indebolisce infine la linea di difesa sin qui
tenuta da Sony, la quale afferma di essersi solo limitata a licenziare la
tecnologia XCP da First4Internet senza tuttavia essere stata a conoscenza del
suo reale funzionamento. Ebbene, il finlandese Matti Nikki è riuscito a scovare
nei recessi del codice eseguibile di XCP nientemeno che il riferimento al nome
della directory nella quale esso è stato sviluppato e testato: è per la
precisione “XCP Player Code\Sony ActiveX Player\XCPPlayerControl\”, cosa che
dimostra come il prodotto di First4Internet sia stato quantomeno “customizzato”
per Sony. Diventa quindi assai più difficile per la Major sostenere di essere
sempre stata completamente estranea al suo sviluppo…
L’esercito dei cloni
Sulla scia dello scalpore suscitato dal comportamento stupido
e maldestro di Sony/BMG e del suo XCP, molti ricercatori hanno rivolto la loro
attenzione all’altro sistema di DRM utilizzato dalla stessa Major sui suoi CD
audio e sinora passato inosservato. Media Max M4, questo è il suo nome, viene
utilizzato da Sony/BMG da molto più tempo rispetto a XCP ed è presente su
quasi tutta la sua rimanente produzione musicale. Ebbene, proprio negli ultimi
giorni si è scoperto che, nonostante le assicurazioni contrarie di Sony, anche
Media Max è afflitto da problemi simili a quelli di XCP. Sempre Alex Halderman
ha pubblicato una dettagliata analisi nella quale mostra come Media Max installi
oltre 12 Mbyte di software sul PC dell’utente a sua insaputa, prima ancora di
mostrare a schermo l’accordo di licenza; e che l’installazione non venga
interrotta né tantomeno rimossa nel caso in cui l’utente non accetti l’accordo
in questione. Media Max comprende un device driver che si attiva al
massimo al secondo ascolto di un CD protetto, ed interferisce con le funzioni di
copia e/o di ripping cercando inoltre di rendersi il più possibile
invisibile all’utente. Inoltre non può essere disinstallato perché non viene
fornito un apposito strumento per farlo, e la disinstallazione manuale risulta
pressoché impossibile senza danneggiare il sistema.
Una prova piuttosto evidente, oltre che sconvolgente, della
mala fede e dell’arroganza di MediaMax Technology Corporation, l’azienda che
produce l’omonimo sistema impiegato da Sony/BMG, è emersa negli scorsi giorni
grazie ad… un documento pubblico ed ufficiale prodotto dall’azienda stessa!
Si tratta della dichiarazione, obbligatoria per legge, che MediaMax ha
rilasciato lo scorso 4 novembre all’apposita commissione governativa SEC (Securities
and Exchange Commission) di Washington in vista di un suo prossimo collocamento
in borsa. (Questo documento, in originale, è consultabile qui).
Nel documento l’azienda descrive il suo business ed illustra in grande
dettaglio il funzionamento del suo prodotto principale, ossia l’omonimo
sistema di protezione dalla copia, chiarendone non solo i meccanismi tecnici ma
anche in qualche misura la filosofia di progetto. Ebbene, ciò che si legge è
davvero sconcertante: ad esempio viene spiegata per filo e per segno la
modalità di installazione nascosta dei device driver ma non si menziona
mai la possibilità di richiedere il consenso all’utente, il che sembra
dimostrare che la scelta di installare sempre e comunque il DRM ignorando
completamente la volontà dell’utente sia frutto non di un errore ma di una
scelta deliberata.
Non solo: nel documento viene esplicitamente citato come punto di forza del
prodotto il fatto che esso “sia stato progettato per risultare completamente
invisibile agli utenti, ai programmi ed ai componenti di sistema”; e viene
inoltre sottolineato che esso “implementa accorgimenti tali da rendere
estremamente difficili sia l’identificazione che la rimozione dei device
driver”. Ciò dimostra come anche la decisione di rendere il prodotto
resistente agli eventuali tentativi di disinstallazione da parte dell’utente
sia deliberata.
C’è da rimanere allibiti dinanzi alla faccia tosta di un’azienda
che non solo dichiara candidamente l’adozione in un suo prodotto di
comportamenti certamente antietici e probabilmente illegali, ma anzi se ne vanta
pure! Il documento tuttavia non fa menzione di un’ultima caratteristica
individuata “sul campo” dai ricercatori, ed ancor più subdola ed insidiosa
delle altre: il fatto che il sistema di DRM ad ogni ascolto di CD da parte dell’utente
si connetta ad un sito remoto e scambi con esso informazioni codificate. Forse
persino gli squali della MediaMax si sono accorti che una cosa del genere non
poteva essere impunemente dichiarata in un documento destinato ad una
commissione governativa…
Due parole infine sull’azienda: con sede nello stato del
Nevada, si è chiamata Quiet Tiger fino al 23 marzo 2005 quando ha cambiato nome
in MediaMax Technology Corporation. L’11 giugno 2005 ha incorporato la
SunnComm International, che è la produttrice originale del prodotto di DRM
chiamato Media Max M4, ed il 5 novembre ha inoltrato la richiesta di
collocamento pubblico di azioni. Forse però è più interessante notare che a
far data dal 21 novembre 2005, ma in seguito ad un accordo stipulato il 2
novembre, le cariche di Presidente e di Amministratore Delegato dell’azienda
sono state assunte da Kevin Clement, il quale ha per tale scopo lasciato il suo
precedente posto di top manager nell’alta direzione, guarda caso, di Sony BMG
Music Entertainment…
Vi sembra abbastanza? Eppure non è ancora tutto: manca ancora un aspetto
fondamentale, quello della sicurezza. Già, inutile dire che anche Media Max
soffre di una vulnerabilità che mette a repentaglio l’integrità del PC dell’ignaro
utente (o forse a questo punto sarebbe meglio chiamarlo “vittima”). Il DRM
infatti si installa con i massimi privilegi di sistema, ma in una directory
liberamente modificabile da chiunque: il che apre possibilità devastanti ad un
eventuale malintenzionato in vena di divertimento. Senza entrare nei dettagli,
basta citare il fatto che diversi ricercatori hanno recentemente mostrato come
sia facilmente possibile sfruttare la presenza di Media Max su un PC (e
probabilmente è installato su molti milioni di PC…) per mandare
in esecuzione codice nocivo o addirittura distruttivo per l’utente. Sony/BMG
ha reagito all’annuncio pubblicando frettolosamente una patch, la quale
tuttavia si è dimostrata ancora più pericolosa del problema che intendeva
mitigare, col risultato che la situazione è peggiorata. L’azienda ha anche
pubblicato un disinstallatore, che però è risultato anch’esso fonte di
rischi.
Sì, anche a me questo sembra un film già visto…
Impareremo dagli errori?
A conti fatti cosa ha lasciato dietro di sé Sony/BMG con la
sua geniale pensata di adottare prodotti anticopia intrusivi e nascosti? Non
ha certamente fermato la pirateria né il P2P, anzi probabilmente li ha
incoraggiati in quanto più sicuri per l’utente finale; non ha
incrementato le sue vendite, anzi si trova a dover ritirare dal mercato molti
milioni di CD protetti e addirittura a dover sostituire gratuitamente quelli
già venduti (o a rimborsare gli acquirenti); non ha risparmiato costi, anzi
oltre ad aver speso inutilmente un sacco di quattrini per le inutili licenze di
XCP dovrà spendere chissà quanto per difendersi dalle varie class action
che le sono state intentate; non ha fatto avanzare la causa della “protezione
dei diritti”, anzi ha fatto sì che anche i più freddini vedano ormai di
cattivo occhio le tecnologie di DRM; non ha fatto infine una bella figura, ed
anzi ha ingenerato sfiducia se non addirittura ostilità nei suoi clienti
affezionati. Peggio di così non poteva fare: a sé, al mercato discografico e
all’industria dell’intrattenimento, con buona pace oltretutto dell’etica e
del diritto.
C’è ora solo da sperare che gli echi di questa brutta
vicenda non si spengano, magari con l’aiuto di qualche pressione sui media e
di qualche sostanziosa transazione in sede stragiudiziale. Il pubblico, i
consumatori devono capire che le aziende non possono fare quello che vogliono a
casa della gente; devono far sentire la propria voce, devono orientare il
mercato al fine di evitare che cose del genere continuino a succedere. La
legittima difesa è una cosa, l’aggressione preventiva un’altra. Ma finché
a strillare saranno solo qualche professore di diritto e qualche ricercatore
informatico, difficilmente le cose cambieranno.
Nel caso di Sony/BMG il popolo della Rete ha fatto sentire con chiarezza la
pressione delle proprie opinioni, e il risultato si è visto. Occorre tuttavia
non abbassare la guardia, altrimenti questo primo successo rimarrà solo una
vittoria di Pirro. All’orizzonte si profilano minacce quali Palladium e TCPA,
incubi indegni persino di un mondo alla Orwell. Perché ancora si pensa che la
causa del problema dei diritti d’autore sia la tecnologia, e che la relativa
soluzione sia pertanto tecnologica. Niente di più falso, come
ho già più volte scritto in passato; ma appare sicuramente più facile
vessare gli utenti finali che non andare toccare i delicati meccanismi di
profitto dei padroni delle idee.
Ma anche questo, purtroppo, mi sembra un film già visto.
|
Pagina stampabile
