I saggi su InterLex

Sony/BMG, virus, (dis)informazione

InterLex n° 335, 15 novembre 2005

"Sony nella bufera: un virus nascosto nei suoi cd anticopia" è il fuorviante titolo della notizia apparsa sabato 12 novembre su Repubblica on-line. E l'"occhiello" non è da meno: "Scoperti tre codici maligni che si nascondono nel sistema ideato dalla major per impedire la duplicazione dei suoi dischi". Certo Sony l'ha fatta grossa, ma non quanto appare da questa notizia; la quale colpevolizza il colosso della musica assai più del necessario, portando a pensare che nei suoi CD vi sia la presenza deliberata di veri e propri virus. Purtroppo ancora una volta la "grande" informazione nazionale non ha perso occasione di essere tanto sensazionalistica quanto imprecisa, puntando sul facile effetto-shock ottenuto mediante la demonizzazione della tecnologia e colpevolizzando oltre misura il soggetto coinvolto; in una parola: non facendo informazione bensì terrorismo. Ed è un peccato perché, anche al di là di ogni considerazione deontologica, una corretta e serena informazione è l'unico modo con cui si può consentire alla gente di capire davvero cosa stia succedendo nel misterioso mondo delle tecnologie avanzate, evitando tanto le reazioni isteriche quanto i comportamenti a rischio.

Leggendo il resto dell'articolo si capisce che nei CD di Sony non c'è in effetti un virus, ma non è spiegato cosa ci sia, né quale sia la differenza tra un virus e gli altri tipi di "codice maligno" citati. Vi sono inoltre diverse altre imprecisioni, sicuramente veniali ma non per questo meno importanti: ad esempio Mark Russinovich è presentato come "un hacker", e la cronologia di tutta la vicenda viene retrodatata nonché estesa di alcune settimane. L'articolo, aggiungiamo, non è firmato e appare come una corrispondenza estera proveniente nientemeno che da San Jose (California), il che lo fa puzzare tanto di notizia d'agenzia tradotta o riscritta alla bell'e meglio senza alcun approfondimento locale. L'estensore evidentemente non si è accorto che anche qui da noi si è fatto un gran parlare della vicenda, ed in sedi anche autorevoli, giungendo perfino ad un formale esposto di ALCEI nei confronti di Sony affidato alle indagini della Guardia di Finanza.

Bene. Ma cos'è successo davvero? In cosa consiste realmente questo affaire Sony? Ripercorriamone brevemente le tappe cercando con l'occasione di fare chiarezza su tutta la vicenda.

Tutto inizia il 31 ottobre scorso, lunedì, quando Mark Russinovich pubblica sul suo blog un intervento intitolato "Sony, Rootkits and Digital Rights Management Gone Too Far". Passo indietro. Russinovich, uno dei massimi esperti indipendenti sul funzionamento interno dei sistemi Windows, è molto noto da anni agli addetti ai lavori in quanto non solo pubblica regolarmente libri ed articoli nei quali illustra i più reconditi meccanismi di tale sistema operativo, ma anche sviluppa e distribuisce gratuitamente sul suo sito www.sysinternals.com software "di utilità" estremamente ben scritto. Bene: è proprio mentre collauda il funzionamento di uno dei suoi ultimi programmi, un rivelatore di rootkit, che Russinovich si accorge come, proprio sul suo computer, ci sia effettivamente un rootkit installato! (Un rootkit, per chi ancora non lo sapesse, è un complesso e sofisticato insieme di meccanismi software il cui obiettivo è quello di cancellare da un computer le tracce della presenza di sé stesso e di qualche agente attivo. Solitamente i rootkit vengono impiegati da coloro che scrivono i virus ed i cavalli di Troia per renderli "invisibili" agli scanner ed evitare che vengano scoperti e neutralizzati.).

Dopo una lunga e sofisticata analisi Russinovich riesce a scoprire che il rootkit trovato è stato installato nel suo computer, a tradimento, nientemeno che da un CD musicale di marca Sony/BMG; e che il suo scopo è quello di rendere "invisibile", e dunque non eludibile né disattivabile, il complesso sistema di Digital Rights Management anch'esso installato dal CD audio, il quale a sua volta ha lo scopo di impedire all'utente di produrre copie "non autorizzate" del CD stesso. La cosa più grave è che nell'accordo di licenza fornito col CD tutto ciò non è affatto spiegato, e si parla genericamente solo di un "player" che viene installato nel computer. Per di più il rootkit non è disinstallabile in alcun modo: non viene fornita una procedura ufficiale, e qualsiasi tentativo manuale porta irrimediabilmente a compromettere la funzionalità del sistema. Frustrato ed inferocito da questa incredibile scoperta, Russinovich la racconta per filo e per segno sul suo blog documentandola in maniera inoppugnabile. Tempo poche ore e la voce inizia a spargersi per la Rete, amplificata dai commenti estremamente seccati di tutti coloro che partecipano al tam-tam telematico.

Il giorno successivo, 1 novembre, la nota azienda di antivirus F-secure rivela che i suoi analisti conoscevano il problema e lo stavano in effetti studiando già da diversi giorni, ma non avevano ancora divulgato le informazioni in loro possesso per timore di fornire un involontario aiuto agli scrittori di virus: il rootkit di Sony infatti, pur non strettamente pericoloso in sé, può tuttavia essere sfruttato dagli autori di malware per rendere invisibili con poco sforzo i propri virus e cavalli di Troia; ed essendo presumibilmente installato su migliaia di computer, può indirettamente contribuire alla diffusione di massa di una minaccia estremamente insidiosa. Ciò è chiaramente illustrato in un'analisi che F-secure rilascia prontamente al pubblico, essendo oramai venuto a mancare il vincolo di riservatezza in seguito all'intervento di Russinovich.

Nel frattempo cominciano a diffondersi maggiori notizie sul sistema di DRM adottato da Sony: si chiama XCP, che sta per "Extended Copy Protection", ed è stato sviluppato dall'azienda inglese "First 4 Internet" specializzata in sistemi di "tutela della legalità dei contenuti". Sony lo stava sperimentando da circa un anno ed ha iniziato ad utilizzarlo ufficialmente su tutta la sua produzione nella primavera del 2005. Sono stati dotati di XCP oltre due milioni di pezzi, per circa una ventina di titoli, tutti destinati al mercato nordamericano.

Il 2 novembre Secunia, azienda specializzata nel pubblicare tempestivi ed autorevoli bollettini di allarme sulle vulnerabilità e gli exploit di sicurezza, dirama un advisory nel quale il sistema XCP di Sony viene ufficialmente segnalato come "pericoloso" in quanto consente di nascondere completamente all'interno di un computer la presenza e l'attività di programmi esterni anche ostili.

A questo punto anche i grandi media generalisti iniziano ad occuparsi del problema. Ne parlano ad esempio USA Today ma anche la BBC, in quanto la "First 4 Internet" è società di diritto britannico. Sony non assume ancora alcuna posizione ufficiale, tuttavia sul sito Sony/BMG compare, per stranissima coincidenza temporale, una patch che "aggiorna" il sistema XCP eliminandogli le funzioni di "invisibilità". Nelle FAQ del sito Sony/BMG viene inoltre per la prima volta ventilata la possibilità, per l'acquirente di un disco protetto, di ottenere un disinstallatore che elimini completamente XCP dal proprio computer; per ottenerlo, tuttavia, egli deve compilare un modulo Web nel quale è obbligato ad indicare il titolo del disco, il negozio dove lo ha acquistato ed il proprio indirizzo di e-mail, ed attendere istruzioni da Sony.

Tutto ciò viene puntualmente descritto da Russinovich nel suo blog il 4 novembre, assieme ad una nuova e ancor più sconcertante scoperta: il player installato da Sony, l'unico strumento mediante il quale si può ascoltare il CD protetto, si connette mediante Internet al sito Sony ogni volta che viene eseguito un brano musicale, scambiando con esso dati in forma cifrata! Questo comportamento è in aperta contraddizione con alcune affermazioni ufficiali della Sony secondo la quale il player non contatterebbe l'azienda e non le invierebbe informazioni atte a tracciare il comportamento dell'utente. Ovviamente ciò non fa che aumentare le polemiche in corso.

Il 6 novembre Russinovich pubblica sul suo blog la terza "puntata" della storia: First 4 Internet ha nel frattempo risposto alle sue prime osservazioni minimizzando le accuse, ma Russinovich con dovizia di particolari smonta le risposte una ad una e rincara per di più la dose, mostrando come la patch di "de-invisibilità" pubblicata il giorno prima da Sony sia scritta male e possa provocare gravi instabilità nei sistemi cui venga applicata.

Nel frattempo da Sony non giunge ancora alcuna reazione ufficiale, anche se sul sito Sony/BMG la sezione delle FAQ sul sistema XCP si estende. La tattica è comunque ancora quella di minimizzare. Negli Stati Uniti tuttavia alcuni gruppi di consumatori si coalizzano e presentano un totale di sei class action, ossia azioni collettive mirate ad un risarcimento per presunti danni subiti: le descrizioni di Russinovich e di altri analisti hanno infatti dato la certezza a molti di loro che alcuni crash e perdite di dati dei loro computer sono state causate proprio dal sistema XCP. Il 7 novembre in Italia ALCEI presenta al Nucleo antifrode telematica della Guardia di Finanza un esposto contro Sony/BMG chiedendo di accertare eventuali responsabilità riguardanti il nostro Paese. L'8 novembre Computer Associates annuncia di aver ufficialmente incluso XCP, sotto la categoria Trojan, nella lista dei malware pericolosi identificati dai prodotti di sicurezza della sua famiglia eTrust.

Il 9 novembre Russinovich pubblica il quarto e sinora ultimo atto della storia, raccontando le vicissitudini kafkiane che deve passare un utente il quale voglia ottenere da Sony il disinstallatore per XCP. Si scopre così che non esiste un disinstallatore universale, liberamente scaricabile dal sito, ma che il processo di disinstallazione è costruito su misura per ciascun richiedente. Inoltre il computer da cui si richiede l'avvio di tale processo viene "marcato" da Sony all'atto della richiesta, e il disinstallatore funzionerà solo su di esso; in questo modo non è possibile scaricare una volta per tutte un disinstallatore ed utilizzarlo su più macchine (caso tipico di un'azienda).

Il 10 novembre BitDefender, un'azienda rumena specializzata in antivirus e sistemi di protezione delle informazioni, annuncia di aver scoperto l'esistenza di un trojan proveniente da IRC che utilizza la "copertura" fornita dal rootkit di XCP per installare una backdoor invisibile sul sistema della vittima. È solo il primo: nel giro delle ventiquattr'ore successive verranno identificate altre forme di malware, fra cui un virus, in grado di sfruttare a proprio vantaggio l'invisibilità gentilmente offerta dal sistema XCP. Si sta puntualmente verificando quanto gli analisti di sicurezza avevano compreso da subito, e cioè che il sistema XCP può essere utilizzato dai virus come involontario simbionte per favorire l'infezione.

Venerdì 11 novembre, dopo aver sinora tentato in tutti i modi di mettere a tacere la cosa e poi di minimizzarne l'importanza, Sony infine capitola. Sul sito Sony/BMG compare infatti un comunicato ufficiale che, pur se in modo freddo e impersonale, e senza comunque ammettere di aver sbagliato, cita esplicitamente il caso delle infezioni virali favorite da XCP ed esprime il rincrescimento dell'azienda per l'accaduto. Per non cedere completamente il punto, Sony nel comunicato spiega che comunque il problema riguarda solo i computer e non i lettori convenzionali di CD e DVD (!), e ricorda altresì di aver fornito "tempestivamente" una patch che elimina il rootkit (pur mantenendo attivo il sistema di DRM!); tuttavia afferma anche che, pur considerando i meccanismi di DRM importanti per la tutela dei propri diritti di proprietà intellettuale e di quelli dei propri artisti, tuttavia "come misura precauzionale" ha sospeso la produzione di CD contenenti il sistema XCP, e procederà ad una revisione delle proprie iniziative finalizzate alla protezione della copia per accertarsi che rispettino gli obiettivi di sicurezza e di usabilità per i clienti.

Buona ultima arriva Microsoft: sabato 12 novembre, per bocca del responsabile del suo "Anti-Malware Technology Team", l'azienda di Redmond annuncia infine di considerare pericoloso per la sicurezza e la stabilità dei sistemi Windows il rootkit installato dal sistema XCP, e di aver inserito in tutti i suoi prodotti di sicurezza presenti e futuri la signature del prodotto per poterlo rilevare ed eliminare. Meglio tardi che mai. Intanto il popolo della Rete ha vinto la sua prima battaglia.

Saggio pubblicato su InterLex n° 335 del 15 novembre 2005 (Anno IX)
Copyright © 2005, Corrado Giustozzi. Tutti i diritti riservati.

Ultima modifica: 31 maggio 2009
Visitatori dal 6 maggio 2003: 157,603

Torna alla Pagina dei saggi pubblicati su InterLex
Vai alla Pagina dei Commenti

Copyright © 1995-2012 Corrado Giustozzi