Thema: Sony BMGs Kopierschutz mit Rootkit-Funktionen

[Jürgen]

Der Sicherheitsexperte und Windows-Spezialist Mark Russinovich von Sysinternals hat aufgedeckt, dass Sony auf seinen mittels Digital Rights Management (DRM) kopiergeschützten CDs inzwischen eine Software einsetzt, die sich vor neugierigen Blicken versteckt und potenzielle Sicherheitslöcher reißt. Damit bildet diese Software Rootkit-Funktionen nach – Rootkits verstecken ihre (illegalen) Aktivitäten ebenfalls vor dem Computernutzer. Der Kopierschutz installiert unter anderem auch Filtertreiber für CD-ROM-Laufwerke sowie für die IDE-Treiber, durch die er Zugriffe auf Medien kontrolliert.

Die Software taucht weder in der Software-Liste der Systemsteuerung auf, noch lässt sie sich über einen Uninstaller deinstallieren. Sie versteckt nicht nur die ihr zugehörigen Dateien, Verzeichnisse, Prozesse und Registry-Schlüssel, sondern global alles, was mit $sys$ im Namen anfängt. Hierdurch wird Nutzern ein Bärendienst erwiesen – Schadsoftware kann sich einfach durch entsprechende Namensgebung mit Sonys Hilfe tarnen.
-/-
Der Treiber fragt alle zwei Sekunden alle laufenden Prozesse nach den von ihnen geöffneten Dateien ab, um seiner Aufgabe – dem Verhindern von unerwünschten Kopien – nachzukommen, und das gleich jeweils achtmal am Stück. So verbraucht der nicht ganz koschere Kopierschutz Rechenzeit, auch wenn die zu schützende CD gar nicht im Laufwerk liegt. Die Software verankert sich derart tief im System, dass sie selbst im abgesicherten Modus gestartet wird. Wenn die Treiber also Probleme verursachen, könnten sie das System komplett unbrauchbar machen.

In den Lizenzvereinbarungen (EULA) der CD – der man zustimmen muss, damit die darauf befindliche Abspiel-Software für PCs startet – steht laut Russinovich nichts davon, dass eine Software installiert würde oder sich gar tief im System verankert.
-/-
Der noch in der Testphase befindliche Kopierschutz soll zunächst nur auf vereinzelten CDs zum Einsatz kommen, eine der ersten ist ironischerweise Get Right with the Man von den Van Zant Brothers. Offenbar hat Sony mit Kanonen auf Spatzen geschossen – selbst Russinovich hatte mit dem Rootkit-Kopierschutz zu kämpfen. Eine Stellungnahme von Sony gibt es bislang nicht.

Siehe dazu auch:

    * Sony, Rootkits and Digital Rights Management Gone Too Far von Mark Russinovich

(dmk/c't) Der ganze Artikel mit Links

Quelle: www.heise.de

[Jürgen]

Nachdem Sony BMG wegen des XCP-Kopierschutzes mit Rootkit-Funktionen heftig in die Kritik geraten ist, gibt der Musikgigant klein bei und bietet betroffenen Kunden einen Uninstaller für die dubiose Kopierschutz-Software an. Der Uninstaller kann über ein Kontaktformular angefordert werden. Die Software putzt den Kopierschutz angeblich rückstandsfrei von der Platte; Sony BMG behauptet aber, dass danach die CD, die den Kopierschutz installierte, mit dem Computer nicht mehr zu benutzen sei.

In einer FAQ zum Kopierschutz äußern sich Sony BMGs Marketingstrategen weiter, dass der Kopierschutz keine Mal- oder Spyware sei, sondern ausschließlich ein unbegrenztes Kopieren der CD verhindere und anderweitig inaktiv sei. Gemäß der Definition von Spyware der Antispywarecoalition erscheint dies aber nicht sehr stichhaltig; auch vor dem Hintergrund, dass der Kopierschutz offenbar auf einigen Systemen zum gefürchteten Blue Screen of Death führte, dürfte sich Sony BMG mit solchen Anmerkungen einen Bärendienst erweisen.

Ein seit dem gestrigen Mittwoch öffentlich verfügbares Update für die Kopierschutz-Software von First 4 Internet entfernt zumindest die Funktionen zum Verstecken von Dateien, Verzeichnissen, Registry-Schlüsseln und Prozessen, die mit $sys$ im Namen beginnen. Sony BMG verteilt die Aktualisierung an die einschlägigen Antivirenhersteller, die darauf basierend ebenfalls diesen zweifelhaften Mechanismus deaktivieren sollen. (dmk/c't) Quelle mit Links:
http://www.heise.de/newsticker/meldung/65688

[SiLæncer]

Mit dem Bekanntwerden der schädlingsartigen Leistungsmerkmale des von Sony BMG eingesetzten XCP-Kopierschutzes war es nur eine Frage der Zeit, bis Schadsoftware diese "Features" ausnutzt. Nun hat die Versteckfunktion in Sony BMGs Kopierschutz-Rootkit erste Nutznießer gefunden: World-of-Warcraft-Schummler verstecken laut Securityfocus ihre Cheat-Programme durch einfaches voranstellen von $sys$ vor den Dateinamen.

Anwender, die sich diese Kopierschutzsoftware durch eine Sony-BMG-CD eingefangen haben, sollten zumindest das Update für die Software installieren oder besser gleich den Uninstaller bei Sony anfordern. Sonst wird aus dem musikalischen Spaß möglicherweise noch monetärer Ernst.

Siehe dazu auch:

    * Meldung von Securityfocus
    * Uninstaller für Sony BMGs Kopierschutz- Rootkit auf heise Security
    * Sony BMGs Kopierschutz mit Rootkit- Funktionen auf heise Security

Quelle und Links : http://www.heise.de/newsticker/meldung/65743

[SiLæncer]

Sony BMG plant, den dubiosen XCP-Kopierschutz ab 2006 in Europa – auch in Deutschland – einzusetzen, berichtet dpa. Der Kopierschutz versteckt sich und sämtliche Dateien, Verzeichnisse, Registry-Schlüssel und Prozesse in Rootkit-Manier vor dem Anwender, deren Name mit $sys$ beginnt.

Gegenüber heise online äußerte Katja Neese von Sony BMG allerdings, dass überhaupt noch nicht klar sei, welcher Kopierschutz in Deutschland zum Einsatz kommen soll. Sony BMG wolle in der Tat den Spagat zwischen nicht existierendem "Recht auf Privatkopie" und dem Schutz des geistigen Eigentums wagen, indem durch den einzuführenden Kopierschutz eine begrenzte Anzahl privater Kopien zugelassen werde.

Die Antivirenexperten von Bitdefender haben derweil den ersten Trojaner gesichtet, der die Rootkit-Technologie des Digital-Rights-Management-Systems nutzt, um sich zu verbergen. Der Schädling Backdoor.IRC.Snyd.A öffnet nach der Systeminfektion eine Hintertür ins IRC und versucht, die Firewall zu deaktivieren. Sowohl Bitdefender als auch diverse andere Antivirenprodukte wurden von ihren Herstellern um eine heuristische Erkennung ergänzt, die derartige Schädlinge erkennen soll.

Bei Microsoft ist man US-Medien zufolge noch beim Analysieren und Bewerten der Situation. Die Redmonder haben mit Windows Defender eine Anti-Spyware-Lösung im Programm, die auch Rootkits beseitigen soll. Der Betriebssystem-Riese ist zumindest besorgt über den Kopierschutz-Zusatz und möchte Anwender vor Gefahren schützen, die dadurch auftreten könnten.

Kalifornische Verbraucherschützer haben unterdessen eine Sammelklage gegen Sony BMG eingereicht. Laut Washington Post wird erwartet, dass in New York in Kürze ähnliches passiert. Erklärtes Ziel der Klagen ist es, Sony BMG den Verkauf der XCP-geschützten CDs zu untersagen. Das Unternehmen scheint gegen drei kalifornische Gesetze zu verstoßen. So soll der Consumer Legal Remedies Act verletzt werden, in dem es um unfairen oder betrügerischen Handel geht. Auch Verstöße gegen den Consumer Protection against Computer Spyware Act, der Software verbietet, welche die Kontrolle über den Rechner übernimmt oder es dem Benutzer nicht erlaubt, sie zu deinstallieren, könnten vorliegen. Zu guter letzt sehen die Rechtsgelehrten einen Verstoß gegen das California Unfair Competition-Gesetz, das ähnlich dem deutschen Gesetz gegen den unlauteren Wettbewerb der Staatsanwaltschaft und Bürgern erlaubt, sich gegen unfaire Geschäftspraktiken zur Wehr zu setzen.

Die Electronic Frontier Foundation (EFF) sichtet derzeit ebenfalls, ob genügend EFF-Mitglieder und andere Anwender betroffen sind, um eine Klage gegen Sony BMG einzureichen. Die Untergruppe Electronic Frontiers Italy hat laut der BBC schon einnmal die italienische Regierung darum gebeten, Ermittlungen gegen Sony BMGs Einsatz von Anti-Piraterie-Software aufzunehmen.

Auch Mark Russinovich, der als Erster mit seiner Entdeckung der Rootkit-Funktion von XCP an die Öffentlichkeit ging, meldet sich wieder zu Wort. Er kritisiert dieses Mal, dass Sony BMG offenbar gar nicht vor hat, das Rootkit zu deinstallieren. Die Anwender sollten möglichst nur das Update einspielen, das dem Kopierschutz die Fähigkeit zum Verstecken von Dateien, Ordnern, Prozessen und Registry-Schlüsseln nimmt. Russinovich fragt zu Recht, warum Sony nicht einfach und gut sichtbar einen Uninstaller zur Verfügung stellt.

Die Luft brennt also noch immer in Sachen Sony BMGs Kopierschutz-Rootkit. Es bleibt spannend, wie das Musiklabel die Situation endgültig entschärfen will.

Quelle und Links : http://www.heise.de/newsticker/meldung/66007

[SiLæncer]

Zwar ist Sony BMG der Ansicht, dass Virenschreiber den Kopierschutz XCP nicht missbräuchlich ausnutzen können, dennoch wurden die Antiviren-Hersteller fündig.

XCP dürfte sich für die Verantwortlichen von Sony BMG zum Unwort des Jahres entwickeln. Denn nach massiver Kritik an der Verwendung der Rootkit-Technologie, die vornehmlich von Malware-/Spyware-Autoren genutzt wird, und Vorwürfen, dass die Software ohne Wissen des Nutzers Kontakt zu Sony-Servern aufnimmt, kommt nun der nächste Tiefschlag. Die Virenforscher von Kaspersky Labs und Trend Micro haben die erste Malware entdeckt, die explizit Sonys XCP nutzt, um sich zu tarnen.

Laut Kaspersky kann sich das Backdoor-Programm " Backdoor.Win32.Breplibot.b " nur auf PCs installieren, auf denen XCP von Sony läuft. Verbreitet wird die Malware per Mail, Anwender müssen eine im Anhang befindliche, vermeintliche Bild-Datei öffnen, um die Malware zu aktivieren.

Nachdem die Schad-Software gestartet wurde, kopiert sich die 10240 Byte große Datei Breplibot.b, die mit UPX gepackt ist, unter dem Namen «$SYS$DRV.EXE» in das Windows-Systemverzeichnis, so Kaspersky. Unter Ausnutzung der Rootkit-Technologie von Sony kann diese Datei unerkannt bleiben.

Trend Micro stuft das Schadenspotenzial der Malware mit "Hoch" ein. Den Spezialisten zufolge kann " BKDR_BREPLIBOT.C " beziehungsweise ".D" mittels eines speziellen Kommandos die Firewall-Einstellungen des betroffenen Systems umgehen und so unbeschränkten Zugriff auf das Internet erhalten. In der Folge nimmt die Malware Kontakt zu einer Reihe von IRC-Servern auf und wartet auf weitere Befehle.

Quelle : www.pcwelt.de

[SiLæncer]

Es war nur eine Frage der Zeit: Seit zwei Tagen machen findige Virenschreiber aus Sony BMGs umstrittenen Kopierschutz ein echtes Sicherheitsrisiko. Ein Problem ist das weniger für die Internet-Nutzer, als vielmehr für Sony BMG.

Knapp eineinhalb Wochen, nachdem auf einer IT-Sicherheitsseite der CD-Kopierschutz "XCP" von Sony BMG als potenzielles Sicherheitsrisiko thematisiert wurde, wurde er zu einem echten. Nach dem eher theroretischen "Exploit" (so nennt man die Ausnutzung einer Sicherheitslücke) Ende der ersten Novemberwoche, mit dem Gamer den Kopierschutz dafür nutzen wollten, bei Online-Spielen zu pfuschen, kursieren nun echte Viren und Trojaner.

Ein erster Trojaner tauchte im Laufe des Donnerstag auf, wurde von Sicherheitsfachleuten aber als nicht effektiv eingestuft. Eine verbesserte Version folgte wenige Stunden später - und der hatte das Potenzial, einen Rechner mit Sony BMGs Kopierschutz komplett zu übernehmen.

"Wir reden hier nicht mehr von einer theroretischen Bedrohung", kommentierte Sam Curry von der IT-Sicherheitsfirma Computer Associates. "Es geht auch nicht mehr um Kopierschutz oder Digital Rights Management. Hier geht es um Leute, deren Rechner übernommen werden."

Dramatik, lass dich umarmen: Allzu viele werden das wohl nicht sein. Der XCP-Kopierschutz wurde bisher nur auf 19 Sony-BMG-Alben gefunden: Die Digital-Rights-Gruppe Electronic Frontier Foundation EFF veröffentlichte eine entsprechende Liste.

Der europäische Arm des Unternehmens versichert, dass XCP nur in den USA zum Einsatz gebracht wurde. Einzelne Exemplare mögen es per eBay oder Amazon über den Atlantik geschafft haben, ein großes Virenproblem ergibt sich daraus aber nicht. Die "Zielgruppe" des Virus ist auf den Kreis der Käufer eingeschränkt - und überaus erfolgreiche Kassenschlager finden sich unter den bisher identifizierten Alben eher nicht.

Den Virenautoren geht es wohl eher darum, einen Punkt zu beweisen: Dass Sony BMG Kopierschutz entgegen aller Versicherungen des Konzerns eben doch ein Sicherheitsrisiko darstellt. Das Unternehmen könnte das teuer zu stehen kommen: Eine Sammelklage ist in Kalifornien bereits eingereicht worden, zwei weitere sind in Vorbereitung. Sollten bei Privatnutzern echte Schäden durch Viren oder Trojaner entstehen, dürfte das zu erhöhten Schadenersatzforderungen führen. Bisher geht es nur um eine angenommene Rechtsverletzung: Die Kläger deuten die Installation des Kopierschutz-"Rootkits" als eine Form des Computer-Einbruchs.

Aufgrund des mit der Software verbundenen Sicherheitsrisikos kommt Sony BMGs Kopierschutz als erstes solches Programm in den Genuss einer Behandlung als zu deinstallierendes PC-Virus: Die meisten IT-Sicherheitsunternehmen haben bereits entsprechende Tools vorgelegt, "XCP" in ihre Virenscanner-Filter aufgenommen oder werden dies in den nächsten Tagen tun.

Quelle : www.spiegel.de

[SiLæncer]

Microsoft will offenbar seiner Sicherheitssoftware beibringen, Teile des XCP-Kopierschutzes von Sony/BMG aus Windows-Systemen zu entfernen. Das schreibt der Chef der Anti-Malware-Abteilung Jason Garms in seinem Blog. Die Zeit des Analysierens und Bewertens der Situation bei Microsoft scheint also vorüber.

Per Updates respektive Signaturaktualisierung soll die erst kürzlich in Windows Defender umbenannte AntiSpyware sowie das Malicious Software Removal Tool demnächst lernen, wie sie die Rootkit-Teile des XCP-Kopierschutzes entfernen können. Offenbar sieht Microsoft eine zu große Gefahr in der Sony/BMG-Software und befürchtet, dass sich Viren oder Trojaner dahinter verbergen könnten. Einen ersten Trojaner, der dies tut, haben die Antivirenexperten von Bitdefender bereits ausgemacht. Sowohl Bitdefender als auch diverse andere Antivirenprodukte wurden deshalb von den Herstellern um eine heuristische Erkennung ergänzt, die derartige Schädlinge beseitigen soll.

Sony bläst seit der Vorstellung des Kopierschutzes starker Gegenwind von Verbraucherschützern und Konsumenten ins Gesicht - so stark, dass sich das Unternehmen genötigt sah, die Einführungspläne zunächst auszusetzen. Die Variante für Mac OS X, realisiert mit Sunncomms MediaMax, ist hiervon nicht betroffen; für diese Plattform steht die Einführung nach wie vor auf dem Plan.

Quelle und Links : http://www.heise.de/security/news/meldung/66091

[Warpi]

Zwei DRM Abzocker hauen sich ...  

[SiLæncer]

"Für wen arbeiten die Sicherheitsunternehmen eigentlich wirklich?"

Sicherheitsexperte Bruce Schneier geht mit Herstellern von Sicherheitssoftware in Bezug auf den von Sony eingesetzten XCP-Kopierschutz hart ins Gericht. Mit geschätzten 500.000 infizierten Systemen handle es sich um eine der schlimmsten Epidemien, doch die Hersteller von Anti-Viren-Software bemerkten davon offenbar nichts.

"Was denken Sie über einen Anti-Viren-Hersteller, der Sonys Rootkit nicht erkennt, obwohl dieses eine halbe Million Computer befallen hat", fragt Schneier in seinem Blog. Dabei habe sich das Problem nicht so schnell ausgebreitet wie mancher Internetwurm, sondern eher schleichend seit Mitte 2004.

Schneier rügt aber nicht nur, dass die Software nicht erkannt wurde, denn auch nachdem Mark Russinovich die Funktionsweise der Software Ende Oktober 2005 öffentlich anprangerte, passierte zunächst nichts. McAfee habe das "Rootkit" erst am 9. November 2005 erkannt, Symantec am 11. November 2005. Erst am 15. November dann konnte die Sicherheitssoftware der beiden Anbieter Teile der Schadsoftware entfernen, wobei die eigentliche Software auf den Rechnern blieb, nur verstecken kann sie sich damit nicht mehr.

"Das einzige, was Sonys Rootkit legitimiert, ist der Umstand, dass es von einem multinationalen Konzern auf dem eigenen Rechner platziert wird, nicht von einer kriminellen Organisation", so Schneier, der auch Microsoft in die Pflicht nimmt. Die Software greife in die Interna des Betriebssystems ein, etwas, das prinzipiell die Stabilität des Systems gefährden könne. Doch auch Microsoft habe erst am 13. November 2005 reagiert.

Die vielleicht einzige Ausnahme dabei ist laut Schneier F-Secure, die den XCP-Kopierschutz laut angegriffen hätten, sowie Sysinternals, die den Stein ins Rollen brachten.

Quelle : www.golem.de

[SiLæncer]

Der US-amerikanische Spezialist für Kopierschutzsoftware SunComm hat ein Update für sein Produkt MediaMax der Version 5 herausgebracht. Damit soll eine Sicherheitslücke gestopft werden, teilen die Electronic Frontier Foundation (EFF) und Sony BMG mit. Das Plattenlabel setzt seit einiger Zeit den MediaMax-Kopierschutz auf manchen seiner CDs ein und geriet jüngst durch einen anderen, den XCP-Kopierschutz, in die Schlagzeilen. Die nun bekannt gewordene Sicherheitslücke hatte die von den Bürgerrechtlern der EFF beauftragte Firma iSEC Partners entdeckt und SunComm gemeldet, damit das Unternehmen darauf reagieren kann. Sony BMG betont, dass das XCP-Problem nichts mit dem nun aufgetauchten zu tun hat.

MediaMax entfaltet seine Sicherheitslücke, wenn der Sony-BMG-Kunde eine von 27 betroffenen, in den USA und Kanada verkauften CDs auf seinem Windows-Rechner abspielt. Unter den Alben, die Sony BMG auf einer Website auflistet, befinden sich Veröffentlichungen unter anderem von Alicia Keys, Britney Spears und Santana. Die MediaMax-Software installiert auf dem Rechner einen Ordner, über den andere Nutzer mit niedrigen Zugriffsrechten trotzdem die Möglichkeit haben, Kontrolle über den Computer zu erlangen. Ein Nutzer muss dazu lediglich die von MediaMax in dem Ordner installierten Programme durch eigene Software austauschen.

Sony BMG hat laut EFF versprochen, die Kunden über Banner-Einblendungen in Player-Software und in einer Internet-Kampagne zu informieren. Das Update sei an andere Software-Hersteller und Sicherheitsfirmen weitergegeben worden. Allen betroffenen Kunden wird geraten, den Sicherheits-Patch sofort einzuspielen. Die Kopierschutzsoftware lässt sich mit Hilfe eines von Sony BMG angebotenen Tools auch deinstallieren. Alternativ kann der Nutzer die Datei "AxWebRemoveCtrl Control" per Hand löschen.

Siehe zu den neuen Schwierigkeiten mit Kopierschutzmethoden bei Sony BMG auch:

    * Mitteilung von EFF und Sony BMG
    * Der Patch von SunComm
    * FAQ von SunComm
    * Sony BMG gibt Anleitung zum Umgehen von Kopierschutz

Zu Sony BMGs XCP-Kopierschutz siehe auch:

    * New Yorker Staatsanwalt hat Sony BMGs Kopierschutz im Visier
    * Bürgerrechtler und Texas verklagen Sony BMG wegen XCP-Kopierschutz
    * RIAA-Präsident zeigt Verständnis für Sony BMGs Kopierschutz-Rootkit
    * Sony BMG: "Wir haben uns blamiert"
    * Drama um Sony BMGs Kopierschutz-Rootkit nimmt kein Ende
    * Sony BMG ruft CDs mit Kopierschutz-Rootkit zurück
    * Irrungen, Wirrungen rund um Sony BMGs Kopierschutz-Rootkit
    * Microsoft geht gegen den Kopierschutz von Sony BMG vor
    * Sony legt umstrittenen Kopierschutz auf Eis
    * Kollateralschaden: Sony BMGs Kopierschutz für Mac-Rechner
    * Sony BMG: Kopierschutzpläne für Deutschland
    * Sony BMGs CD-Player-Software telefoniert nach Hause
    * Erste Trittbrettfahrer auf Sony BMGs Kopierschutz-Rootkit
    * Uninstaller für Sony BMGs Kopierschutz-Rootkit
    * Sony BMGs Kopierschutz mit Rootkit-Funktionen

Quelle und Links : http://www.heise.de/newsticker/meldung/67066

[SiLæncer]

Microsoft hat zum gestrigen Patchday eine neue Version seines "Malicious Software Removal Tool" vorgelegt. Es berücksichtigt das "WinNT/F4IRootkit", das auf einigen Audio-CDs von Sony BMG als Kopierschutz enthalten ist. Die Redmonder klassifizieren die Software als "Trojan – Rootkit-Stealth" und stufen die Gefahr als "mäßig" ein. Als Entdeckungsdatum gibt Microsoft den 31. Oktober 2005 an. Das Removal Tool für Windows 2000, Windows Server 2003 und Windows XP lässt sich von der Microsoft-Website starten und steht zum Download bereit.

Eine Liste sämtlicher Schädlinge, die Microsoft mit dem Tool zu entfernen verspricht, findet sich in einem Knowledgebase-Eintrag. Neu in der Dezember-Ausgabe der Software ist neben der Tilgung von WinNT/F4IRootkit auch die Entfernung der Trojaner Win32/IRCBot und Win32/Ryknos.

Anfang November geriet an die Öffentlichkeit, dass der von Sony BMG eingesetzte XCP-Kopierschutz der Firma First4Internet Rootkit-Funktionen enthält. Die Bürgerrechtler der Electronic Frontier Foundation haben bereits eine Sammelklage gegen Sony BMG eingereicht. Ebenso haben die Justizbehörden des US-Bundesstaates Texas Klage erhoben, die Generalstaatsanwälte von New York, Massachusetts und Illinois haben XCP im Visier. Vor kurzem wurden Sicherheitsprobleme mit einem anderen von Sony BMG verwendeten Kopierschutz bekannt.

Siehe dazu auch:

    * Download des Malicious Software Removal Tool bei Microsoft
    * Knowledgebase-Artikel von Microsoft zum Malicious Software Removal Tool

Quelle und Links : http://www.heise.de/newsticker/meldung/67346