Sony ha publicado una actualización para su tecnología antipiratería, después que expertos de seguridad advirtieron que la misma representa un potencial riesgo a la seguridad.

El software de protección de derechos de autor, puede instalarse automáticamente cuando un consumidor inserta en su equipo un CD de música equipado con la tecnología XCP de derechos digitales. Pero el usuario no recibe ninguna advertencia de que uno de los componentes instalados tiene como misión ocultar ciertos recursos del sistema.

XCP (Extended Copy Protection), es una tecnología incluida en el audio, e implementada desde mayo de 2005 por Sony BMG Music, para impedir que los usuarios realicen copias de CDs ya copiados, e infrinjan los derechos de autor. Básicamente, permite que los usuarios puedan hacer copias de respaldo de los CDs originales, pero bloquea cualquier intento de querer hacer "una copia de otra copia".

Esta semana, Mark Russinovich de Sysinternals, reportó que luego de haber detectado que en su equipo se había instalado secretamente un rootkit, sus investigaciones lo llevaron a relacionarlo con el software instalado por la protección XCP usada por Sony, el cuál está desarrollado por una compañía llamada First 4 Internet.

Los rootkits son herramientas que permiten ocultar actividades desarrolladas sin el conocimiento del usuario en su propio sistema. Generalmente son implantados de forma no autorizada, proporcionándole a un atacante vías de acceso ocultas. El nombre rootkit se origina a partir de la idea de que quien lo utiliza puede acceder fácilmente al nivel de root, o de administrador del sistema.

En el caso del software usado por Sony, este rootkit permite ocultar la tecnología de derechos digitales a los ojos del usuario. Además, cuando Russinovich intentó eliminar esta aplicación, se encontró conque su unidad de CD había sido deshabilitada. Ello ocurrió porque el software oculto, también funciona como un filtro entre los drivers de la unidad de CD y el sistema.

Sony utiliza el rootkit para prevenir que el usuario quite la protección antipiratería, pero al impedir que sus acciones sean detectadas, compromete seriamente la seguridad del equipo, ya que oculta cualquier carpeta, archivo o recurso, cuyo nombre comience con la cadena "$SYS$", lo que incluye la detección de los antivirus. Esto podría ser utilizado por un atacante para poder implantar en el equipo alguna clase de malware que saque provecho de esta técnica de ocultamiento.

Ante la crítica recibida, Sony publicó un parche que permite desinstalar el componente crítico (un archivo llamado ARIES.SYS).

Más allá de los motivos razonables para que Sony quiera protegerse de la piratería, la manera de hacerlo no es éticamente correcta, entra en la categoría de software no deseado, y sobre todo, abre una brecha de seguridad en los sistemas, que pueden quedar vulnerables ante la aparición de cualquier amenaza que en el futuro utilice la aplicación instalada para ejecutar un programa malicioso.

La protección XCP es utilizada también por otras compañías.

El parche puede ser descargado de cualquiera de los siguientes enlaces:

SOFTWARE UPDATES/ PLUG-INS
http://cp.sonybmg.com/xcp/english/updates.html

Software Updates
http://updates.xcp-aurora.com/

Fuente: Angela Ruiz - VSAntivirus
http://www.vsantivirus.com/vul-xcp-sony.htm

10/11/2005
Detectado, tal y como era previsible, el primer troyano que se aprovecha del rootkit instalado por el sistema anticopia de Sony para ocultarse en los sistemas.

Tal y como ya fue advertido, pese a la negativa de Sony, esa característica suponía una brecha en la seguridad de Windows. Ya que cualquier malware podría utilizar un nombre que comience por "$sys$" para, automáticamente, permanecer oculto en los sistemas que hubieran utilizado un CD original con el sistema de protección de Sony.

Hoy se ha detectado el envío mediante spam de un malware que utiliza exactamente esa técnica, hospedándose en el directorio de sistema de Windows bajo el nombre de "$sys$drv.exe". El troyano se conecta a un servidor IRC donde puede recibir diferentes órdenes de los atacantes, hasta el punto de poder instalar otros programas maliciosos y obtener el control total del sistema infectado.

Las características de este troyano y su incidencia son irrelevantes. De hecho, un error del creador del troyano hace que no se ejecute tras reiniciar el sistema, al no introducir correctamente la entrada en el la clave RUN del registro de Windows. Detalles sobre el error del creador del troyano en http://blog.hispasec.com/laboratorio/72

Lo destacado de este caso es que pone en evidencia la táctica intrusiva utilizada por Sony en su sistema anticopia, que además pone en un riesgo innecesario a sus clientes.

Lo cierto es que, lejos de rectificar, Sony está realizando una gestión nefsta de este caso, que va en contra de sus propios intereses y los de la industria discográfica en general.

En primer lugar negando el peligro de su sistema anticopia, que ya era evidente y que a día de hoy está demostrado con un incidente real. Mientras que siempre se ha defendido que las copias originales protegían al usuario contra problemas de seguridad, Sony acaba de demostrar que también se puede dar el caso inverso.

En segundolugar poniendo trabas y alimentando especulaciones con el método para permitir desinstalar el rootkit, desde solicitar la dirección de e-mail, hasta capturar de forma oculta información sobre el hardware del ordenador del cliente. Para los que quieran ahondar en este tema no se pierdan la segunda entrega de Mark Russinovich (en inglés):
http://www.sysinternals.com/blog/2005/11/sony-you-dont-reeeeaaaally-want-to_09.html

Con estas acciones no ha hecho más que aumentar el desconcierto y la indignación de los usuarios. En los foros de Internet se puede leer comentarios de clientes que aseguran no volverán a comprar CDs con sistemas anticopia, y algunos van más allá y rechazan los productos de Sony.

El incidente no sólo ha quedado en protestas más o menos encendidas de usuarios particulares, sino que ya están emprendiendo investigaciones y acciones legales contra Sony en, al menos, California, New York e Italia.

Fuente: Hispasec