|
Sony nella bufera: un virus nascosto nei suoi cd anticopia è
il fuorviante titolo della notizia apparsa sabato 12 novembre su Repubblica
on-line. E l’”occhiello” non è da meno: “Scoperti tre codici
maligni che si nascondono nel sistema ideato dalla major per impedire la
duplicazione dei suoi dischi”. Certo Sony l’ha fatta grossa, ma non quanto
appare da questa notizia, che colpevolizza il colosso della musica assai più
del necessario, portando a pensare che nei suoi CD vi sia la presenza deliberata
di veri e propri virus. Purtroppo ancora una volta la “grande” informazione
nazionale non ha perso occasione di essere tanto sensazionalistica quanto
imprecisa, puntando sul facile effetto-shock ottenuto mediante la demonizzazione
della tecnologia e colpevolizzando oltre misura il soggetto coinvolto; in una
parola: non facendo informazione bensì terrorismo. Ed è un peccato perché,
anche al di là di ogni considerazione deontologica, una corretta e serena
informazione è l’unico modo con cui si può consentire alla gente di capire
davvero cosa stia succedendo nel misterioso mondo delle tecnologie avanzate,
evitando tanto le reazioni isteriche quanto i comportamenti a rischio.
Leggendo il resto dell’articolo si capisce che nei CD di
Sony non c’è in effetti un virus, ma non è spiegato cosa ci sia, né quale
sia la differenza tra un virus e gli altri tipi di “codice maligno” citati.
Vi sono inoltre diverse altre imprecisioni, sicuramente veniali ma non per
questo meno importanti: ad esempio Mark Russinovich è presentato come “un
hacker”, e la cronologia di tutta la vicenda viene retrodatata nonché estesa
di alcune settimane. L’articolo, aggiungiamo, non è firmato e appare come una
corrispondenza estera proveniente nientemeno che da San Jose (California), il
che lo fa puzzare tanto di notizia d’agenzia tradotta o riscritta alla bell’e
meglio senza alcun approfondimento locale. L’estensore evidentemente non si è
accorto che anche qui da noi si è fatto un gran parlare della vicenda, ed in
sedi anche autorevoli, giungendo perfino ad un formale esposto di ALCEI nei
confronti di Sony affidato alle indagini della Guardia di Finanza.
Bene. Ma cos’è successo davvero? In cosa consiste
realmente questo affaire Sony? Ripercorriamone brevemente le tappe
cercando con l’occasione di fare chiarezza su tutta la vicenda.
Tutto inizia il 31 ottobre scorso, lunedì, quando Mark
Russinovich pubblica sul suo blog un intervento intitolato Sony, Rootkits and Digital Rights Management Gone Too Far.
Passo indietro. Russinovich, uno dei massimi esperti indipendenti sul
funzionamento interno dei sistemi Windows, è molto noto da anni agli addetti ai
lavori in quanto non solo pubblica regolarmente libri ed articoli nei quali
illustra i più reconditi meccanismi di tale sistema operativo, ma anche
sviluppa e distribuisce gratuitamente sul suo sito www.sysinternals.com
software “di utilità” estremamente ben scritto. Bene: è proprio mentre
collauda il funzionamento di uno dei suoi ultimi programmi, un rivelatore di rootkit,
che Russinovich si accorge come, proprio sul suo computer, ci sia effettivamente
un rootkit installato! (Un rootkit, per chi ancora non lo sapesse,
è un complesso e sofisticato insieme di meccanismi software il cui obiettivo è
quello di cancellare da un computer le tracce della presenza di sé stesso e di
qualche agente attivo. Solitamente i rootkit vengono impiegati da coloro
che scrivono i virus ed i cavalli di Troia per renderli “invisibili” agli
scanner ed evitare che vengano scoperti e neutralizzati.).
Dopo una lunga e sofisticata analisi Russinovich riesce a
scoprire che il rootkit trovato è stato installato nel suo computer, a
tradimento, nientemeno che da un CD musicale di marca Sony/BMG; e che il suo
scopo è quello di rendere “invisibile”, e dunque non eludibile né
disattivabile, il complesso sistema di Digital Rights Management anch’esso
installato dal CD audio, il quale a sua volta ha lo scopo di impedire all’utente
di produrre copie “non autorizzate” del CD stesso. La cosa più grave è che
nell’accordo di licenza fornito col CD tutto ciò non è affatto spiegato, e
si parla genericamente solo di un “player” che viene installato nel
computer. Per di più il rootkit non è disinstallabile in alcun modo:
non viene fornita una procedura ufficiale, e qualsiasi tentativo manuale
porta irrimediabilmente a compromettere la funzionalità del sistema.
Frustrato ed inferocito da questa incredibile scoperta, Russinovich la racconta
per filo e per segno sul suo blog documentandola in maniera inoppugnabile. Tempo
poche ore e la voce inizia a spargersi per la Rete, amplificata dai commenti
estremamente seccati di tutti coloro che partecipano al tam-tam telematico.
Il giorno successivo, 1 novembre, la nota azienda di
antivirus F-secure rivela
che i suoi analisti conoscevano il problema e lo stavano in effetti studiando
già da diversi giorni, ma non avevano ancora divulgato le informazioni in loro
possesso per timore di fornire un involontario aiuto agli scrittori di virus: il
rootkit di Sony infatti, pur non strettamente pericoloso in sé, può
tuttavia essere sfruttato dagli autori di malware per rendere invisibili
con poco sforzo i propri virus e cavalli di Troia; ed essendo presumibilmente
installato su migliaia di computer, può indirettamente contribuire alla
diffusione di massa di una minaccia estremamente insidiosa. Ciò è chiaramente
illustrato in un’analisi che F-secure rilascia prontamente al pubblico,
essendo oramai venuto a mancare il vincolo di riservatezza in seguito all’intervento
di Russinovich.
Nel frattempo cominciano a diffondersi maggiori notizie sul
sistema di DRM adottato da Sony: si chiama XCP, che sta per “Extended Copy
Protection”, ed è stato sviluppato dall’azienda inglese First 4 Internet
specializzata in sistemi di “tutela della legalità dei contenuti”. Sony lo
stava sperimentando da circa un anno ed ha iniziato ad utilizzarlo ufficialmente
su tutta la sua produzione nella primavera del 2005. Sono stati dotati di XCP
oltre due milioni di pezzi, per circa una ventina di titoli, tutti destinati al
mercato nordamericano.
Il 2 novembre Secunia, azienda specializzata nel pubblicare
tempestivi ed autorevoli bollettini di allarme sulle vulnerabilità e gli exploit
di sicurezza, dirama un advisory nel quale il sistema XCP di Sony viene
ufficialmente segnalato come “pericoloso” in quanto consente di nascondere
completamente all’interno di un computer la presenza e l’attività di
programmi esterni anche ostili.
A questo punto anche i grandi media generalisti
iniziano ad occuparsi del problema. Ne parlano ad esempio USA Today ma
anche la BBC, in quanto la “First 4 Internet” è società di diritto
britannico. Sony non assume ancora alcuna posizione ufficiale, tuttavia sul sito
Sony/BMG compare, per stranissima coincidenza temporale, una patch
che “aggiorna” il sistema XCP eliminandogli le funzioni di “invisibilità”.
Nelle FAQ del sito Sony/BMG viene inoltre per la prima volta ventilata la
possibilità, per l’acquirente di un disco protetto, di ottenere un
disinstallatore che elimini completamente XCP dal proprio computer; per
ottenerlo, tuttavia, egli deve compilare un modulo Web nel quale è obbligato ad
indicare il titolo del disco, il negozio dove lo ha acquistato ed il proprio
indirizzo di e-mail, ed attendere istruzioni da Sony.
Tutto ciò viene puntualmente descritto da Russinovich nel
suo blog il 4 novembre, assieme ad una nuova e ancor più sconcertante
scoperta: il player installato da Sony, l’unico strumento mediante il
quale si può ascoltare il CD protetto, si connette mediante Internet al sito
Sony ogni volta che viene eseguito un brano musicale, scambiando con esso dati
in forma cifrata! Questo comportamento è in aperta contraddizione con alcune
affermazioni ufficiali della Sony secondo la quale il player non
contatterebbe l’azienda e non le invierebbe informazioni atte a tracciare il
comportamento dell’utente. Ovviamente ciò non fa che aumentare le polemiche
in corso.
Il 6 novembre Russinovich pubblica sul suo blog la terza “puntata”
della storia: First 4 Internet ha nel frattempo risposto alle sue prime
osservazioni minimizzando le accuse, ma Russinovich con dovizia di particolari
smonta le risposte una ad una e rincara per di più la dose, mostrando come la patch
di “de-invisibilità” pubblicata il giorno prima da Sony sia scritta male e
possa provocare gravi instabilità nei sistemi cui venga applicata.
Nel frattempo da Sony non giunge ancora alcuna reazione
ufficiale, anche se sul sito Sony/BMG la sezione delle FAQ sul sistema XCP si
estende. La tattica è comunque ancora quella di minimizzare. Negli Stati Uniti
tuttavia alcuni gruppi di consumatori si coalizzano e presentano un totale di
sei class action, ossia azioni collettive mirate ad un risarcimento per
presunti danni subiti: le descrizioni di Russinovich e di altri analisti hanno
infatti dato la certezza a molti di loro che alcuni crash e perdite di
dati dei loro computer sono state causate proprio dal sistema XCP. Il 7 novembre
in Italia ALCEI presenta al Nucleo antifrode telematica della Guardia di Finanza
un esposto contro Sony/BMG chiedendo di accertare
eventuali responsabilità riguardanti il nostro Paese. L’8 novembre Computer
Associates annuncia di aver ufficialmente incluso XCP, sotto la categoria Trojan,
nella lista dei malware pericolosi identificati dai prodotti di sicurezza
della sua famiglia eTrust.
Il 9 novembre Russinovich pubblica il quarto e sinora ultimo
atto della storia, raccontando le vicissitudini kafkiane che deve passare un
utente il quale voglia ottenere da Sony il disinstallatore per XCP. Si scopre
così che non esiste un disinstallatore universale, liberamente scaricabile dal
sito, ma che il processo di disinstallazione è costruito su misura per ciascun
richiedente. Inoltre il computer da cui si richiede l’avvio di tale
processo viene “marcato” da Sony all’atto della richiesta, e il
disinstallatore funzionerà solo su esso; in questo modo non è possibile
scaricare una volta per tutte un disinstallatore ed utilizzarlo su più macchine
(caso tipico di un’azienda).
Il 10 novembre BitDefender, un’azienda rumena specializzata
in antivirus e sistemi di protezione delle informazioni, annuncia di aver
scoperto l’esistenza di un trojan proveniente da IRC che utilizza la “copertura”
fornita dal rootkit di XCP per installare una backdoor invisibile
sul sistema della vittima. È solo il primo: nel giro delle ventiquattr’ore
successive verranno identificate altre forme di malware, fra cui un
virus, in grado di sfruttare a proprio vantaggio l’invisibilità gentilmente
offerta dal sistema XCP. Si sta puntualmente verificando quanto gli analisti di
sicurezza avevano compreso da subito, e cioè che il sistema XCP può essere
utilizzato dai virus come involontario simbionte
per favorire l’infezione.
Venerdì 11 novembre, dopo aver sinora tentato in tutti i
modi di mettere a tacere la cosa e poi di minimizzarne l’importanza, Sony
infine capitola. Sul sito Sony/BMG
compare (sulle prime ben nascosto!) un comunicato ufficiale che, pur se in modo freddo e
impersonale, e senza comunque ammettere di aver sbagliato, cita esplicitamente il caso delle infezioni virali favorite da XCP
ed esprime il rincrescimento dell’azienda per l’accaduto. Per non cedere
completamente il punto, Sony nel comunicato spiega che comunque il problema
riguarda solo i computer e non i lettori convenzionali di CD e DVD (!), e
ricorda altresì di aver fornito “tempestivamente” una patch che
elimina il rootkit (pur mantenendo attivo il sistema di DRM!); tuttavia
afferma anche che, pur considerando i meccanismi di DRM importanti per la tutela
dei propri diritti di proprietà intellettuale e di quelli dei propri artisti,
tuttavia “come misura precauzionale” ha sospeso la produzione di CD
contenenti il sistema XCP, e procederà ad una revisione delle proprie
iniziative finalizzate alla protezione della copia per accertarsi che rispettino
gli obiettivi di sicurezza e di usabilità per i clienti.
Buona
ultima arriva Microsoft: sabato 12 novembre, per bocca del responsabile
del suo “Anti-Malware Technology Team”, l’azienda di Redmond annuncia
infine di considerare pericoloso per la sicurezza e la stabilità dei sistemi
Windows il rootkit installato dal sistema XPC, e di aver inserito in tutti i
suoi prodotti di sicurezza presenti e futuri la signature del prodotto per
poterlo rilevare ed eliminare. Meglio tardi che mai. Intanto il popolo della Rete
ha vinto la sua prima battaglia.
|
Pagina stampabile
