Sony Rootkit

Malware vom Anbieter

Wenn Sie eine erworbene Music Disc in Ihren PC einlegen, erwarten Sie sicherlich nicht, dass ein bösartiges Programm im Geheimen auf Ihrem PC landet. Eine, die von nun an immer im Vordergrund läuft, den Rechner bremst und Sicherheitslöcher öffnet. Aber das ist es, was Sony getan hat: auf unzähligen Medien. Sony wollte mit dem Extended Copy Protection Rootkit vermeiden, dass Einkäufer ihre CDs nachahmen.

Falls akzeptiert, wurde das Rootkit geheim aufgesetzt. Der Rootkit konnte nicht ohne weiteres deinstalliert werden. Rund 22 Mio. Rechner wurden mit dieser schädlichen Technologie befallen, darunter mehrere tausend in Militäranlagen.

Nur nach einigem Hin und Her und wegen des zunehmenden Zwanges hat Sony zwei Monaten später ein Arbeitsentnahmegerät angeboten und die CD zurückgerufen.

Der Sony BMG Copyrightschutz mit Rootkit

Mark Russinovich, Security-Experte und Windows-Spezialist von der Firma SYSINTERNETAL, hat bekannt gegeben, dass Sony nun auf einigen seiner DRM-( "Digital Rights Management") Kopierschutz- CD's Softwaresysteme verwendet, die sich vor ungebetenen Augen verbergen und mögliche Sicherheitslücken aufreißen. Dabei werden Rootkit-Funktionen emuliert - so verbergen sie auch ihre (illegalen) Tätigkeiten vor dem Computerbenutzer.

Unter anderem werden durch den Produktschutz auch Filertreiber für CD-ROM-Laufwerke und für die Image-Treiber eingebaut, über die der Zugriff auf die Datenträger gesteuert wird. In der Softwareliste der Steuertafel erscheint die angezeigte Datei nicht, und sie kann auch nicht mit einem Deinstallationsprogramm deinstalliert werden. Es verbirgt nicht nur die dazugehörigen Dateinamen, Ordner, Prozesse und Registrierungsschlüssel, sondern auch alles, was mit $sys$ im Dateinamen beginnt.

Bei der Erprobung einer neuen Testversion seines Rootkit Schnüffelhundes RotkitRevealer hat Russinowitsch die Anwendung nur durch Zufall entdeckt. Darüber hinaus ist die installierte Technologie laut Russinowitsch nicht richtig implementiert und könnte das Gerät unstabil machen; ein eventueller Verlust von Daten steht unmittelbar bevor. Die Treibervorrichtung zum Verbergen von Daten beinhaltet eine Entladefunktion. Im zwei Sekundenrhythmus befragt der Fahrer alle ausgeführten Vorgänge nach den von ihnen geöffneten Akten, um seine Aufgaben - Vermeidung unerwünschter Exemplare - acht Mal nacheinander auszuführen.

Der nicht ganz einfache Produktschutz beansprucht also Computerzeit, auch wenn sich die zu sichernde Disc überhaupt nicht im Antrieb befindet. Das Programm ist so fest im Netz eingebunden, dass es sogar im sicheren Betrieb mitgestartet wird. Sollten die Fahrer also Schwierigkeiten machen, können sie das Gerät völlig durcheinander bringen. Laut Russinovich sagen die Lizenzverträge (EULA) der CDs - denen man sich anschließen muss, damit die Wiedergabe-Software darauf für PC starten kann - nichts darüber, dass die zu installierende oder fest im Gesamtsystem verankerte Version verwendet wird.

Die Kopierschutzmaßnahmen dienen, wie Sony BMG Ende Juni bekannt gab, nur der Abwehr von gelegentlichen Kopierern. Die noch in der Test-Phase befindlichen Kopierschutzfunktionen werden zunächst nur auf wenigen CD's in den USA eingesetzt, eine der ersten ist die ironische Get Right with the Man by the Van Zant Brothers. Anscheinend hat Sony mit Geschützen auf Sperlinge gezielt schießen können - selbst Russinovich hatte mit dem Schutz vor Rootkit-Kopien zu ringen.

Ein Statement von Sony gibt es bisher nicht.