I saggi su InterLex

Sony/BMG e DRM: non finisce qui…

InterLex n° 337, 18 dicembre 2005

Pensavate che sulla vicenda dei DRM Sony/BMG si fosse detto ormai tutto e il contrario di tutto, vero? E che ormai, con la capitolazione del colosso discografico e l'annunciata azione di ritiro dal mercato dei sei milioni di CD infestati dal micidiale XCP, fosse tutto finito? Vi sbagliavate, e di grosso. Quello che sembrava infatti un lieto fine non è altro che uno momentaneo stato di calma apparente, il quale tuttavia prelude ad una tempesta forse ancora peggiore.

Potremmo anzi dire che, come nelle migliori produzioni hollywoodiane, il bello verrà nel secondo episodio della serie. Il quale peraltro, volendo usare il neologismo inventato dai cinefili per descrivere lo strano snodarsi "all'indietro" di saghe come quella di Guerre Stellari, non è un sequel bensì un prequel, ossia il racconto di fatti precedenti a quelli sinora mostrati…

Alle radici del rootkit

Nel mese e più trascorso da quando è scoppiato il "caso Sony/BMG" il popolo della Rete non è stato con le mani in mano: oltre a diffondere col suo tam-tam telematico le notizie e gli aggiornamenti della vicenda, infatti, in molti hanno contribuito a reperire nuove informazioni capaci di gettare maggiore luce sulla storia del famigerato XCP, ed altri hanno raccolto nuove evidenze riguardanti ulteriori nefandezze perpetrate dalle Major in nome della "tutela dei diritti".

La Rete ha una lunga memoria, e le azioni che in essa si compiono lasciano spesso tracce assai persistenti. Si è così scoperto che già nei primi mesi del 2003 tal Ceri Coburn, uno dei responsabili della società inglese First4Internet che ha fornito a Sony il DRM-rootkit denominato XCP, frequentava forum di sviluppatori e mailing list tecniche mostrandosi come un programmatore un po' principiante e ponendo domande su come realizzare cose piuttosto sospette quali un filter driver per il canale CDAUDIO che potesse attivarsi e disattivarsi dinamicamente senza richiedere la ripartenza del computer. Un anno prima lo stesso Coburn frequentava invece i forum di programmatori di applicazioni Internet, chiedendo aiuto per la realizzazione di un packet filter per Windows in grado intercettare un flusso di comunicazione fra il PC e la rete (tecnicamente, ponendosi tra lo stack TCP/IP ed il Network Driver) allo scopo di modificare dinamicamente il contenuto dei dati trasmessi, ma senza che ciò potesse provocare ritardi o disservizi i quali avrebbero potuto suggerire all'utente la presenza della "cimice" nascosta. Sempre nel 2003 un altro programmatore della First4Internet, Lee Griffiths, lanciò addirittura un appello in un newsgroup pubblico gestito da Microsoft nel quale, spacciandosi per un neofita autore di un programma per l'editing di file musicali, chiedeva consigli per realizzare una funzione in grado di proteggere i file di tipo WMA (Windows Media Audio) arrivando addirittura ad offrire dei soldi a chi gli avesse fornito del codice funzionante!

Ma anche le analisi successive al "fattaccio" hanno portato alla luce cose interessanti. Ad esempio all'interno del codice di XCP, ormai dissezionato nei più minimi particolari, sono state identificate porzioni consistenti di famosi prodotti software open source, quale il codificatore LAME utilizzato in moltissimi prodotti multimediali, e ciò in piena violazione dell'accordo di licenza che prevede l'obbligo da parte dell'utilizzatore di citare la fonte e gli autori originali del software utilizzato. Da notare che gli autori di LAME hanno volontariamente rinunciato a rivalersi legalmente su Sony per tale illecito, ritenendosi più che soddisfatti dalla grande figuraccia che il colosso nipponico ha ricavato dalla vicenda.

Non basta: all'interno di XCP è stato trovato anche del codice appartenente ad un altro software open source chiamato DRMS, scritto da Sam Hocevar e DVD Jon, ed anch'esso analogamente utilizzato senza alcun diritto di farlo. La cosa più inquietante al riguardo è che DRMS serve in realtà a sproteggere i contenuti multimediali protetti mediante il sistema di DRM proprietario utilizzato da Apple! Tale codice oltretutto è presente ma inattivo, quindi non viene effettivamente utilizzato da XCP anche se è perfettamente funzionante come è stato dimostrato da Alex Halderman. Il motivo della sua presenza sembrerebbe essere dovuto alla volontà iniziale, da parte di Sony o di First4Internet, di rendere XCP compatibile con la codifica DRM per iPod, detta FairPlay, facendola in barba alle limitazioni imposte da Apple la quale non ne ha mai ceduto i diritti di utilizzo ai propri concorrenti. Se così fosse XCP violerebbe anche i diritti di Apple, un vero record! Il fatto che questo codice sia inattivo sembra però far pensare che qualcuno all'ultimo momento, accorgendosi magari di averla fatta davvero troppo grossa, abbia cambiato idea sul fatto di utilizzarlo… decidendo tuttavia solo di inibirlo anziché rimuoverlo interamente dal prodotto, magari per poterlo effettivamente utilizzare in un secondo momento.

La più recente delle scoperte indebolisce infine la linea di difesa sin qui tenuta da Sony, la quale afferma di essersi solo limitata a licenziare la tecnologia XCP da First4Internet senza tuttavia essere stata a conoscenza del suo reale funzionamento. Ebbene, il finlandese Matti Nikki è riuscito a scovare nei recessi del codice eseguibile di XCP nientemeno che il riferimento al nome della directory nella quale esso è stato sviluppato e testato: è per la precisione "XCP Player Code\Sony ActiveX Player\XCPPlayerControl\", cosa che dimostra come il prodotto di First4Internet sia stato quantomeno "customizzato" per Sony. Diventa quindi assai più difficile per la Major sostenere di essere sempre stata completamente estranea al suo sviluppo…

L'esercito dei cloni

Sulla scia dello scalpore suscitato dal comportamento stupido e maldestro di Sony/BMG e del suo XCP, molti ricercatori hanno rivolto la loro attenzione all'altro sistema di DRM utilizzato dalla stessa Major sui suoi CD audio e sinora passato inosservato. Media Max M4, questo è il suo nome, viene utilizzato da Sony/BMG da molto più tempo rispetto a XCP ed è presente su quasi tutta la sua rimanente produzione musicale. Ebbene, proprio negli ultimi giorni si è scoperto che, nonostante le assicurazioni contrarie di Sony, anche Media Max è afflitto da problemi simili a quelli di XCP. Sempre Alex Halderman ha pubblicato una dettagliata analisi nella quale mostra come Media Max installi oltre 12 Mbyte di software sul PC dell'utente a sua insaputa, prima ancora di mostrare a schermo l'accordo di licenza; e che l'installazione non venga interrotta né tantomeno rimossa nel caso in cui l'utente non accetti l'accordo in questione. Media Max comprende un device driver che si attiva al massimo al secondo ascolto di un CD protetto, ed interferisce con le funzioni di copia e/o di ripping cercando inoltre di rendersi il più possibile invisibile all'utente. Inoltre non può essere disinstallato perché non viene fornito un apposito strumento per farlo, e la disinstallazione manuale risulta pressoché impossibile senza danneggiare il sistema.

Una prova piuttosto evidente, oltre che sconvolgente, della mala fede e dell'arroganza di MediaMax Technology Corporation, l'azienda che produce l'omonimo sistema impiegato da Sony/BMG, è emersa negli scorsi giorni grazie ad… un documento pubblico ed ufficiale prodotto dall'azienda stessa! Si tratta della dichiarazione, obbligatoria per legge, che MediaMax ha rilasciato lo scorso 4 novembre all'apposita commissione governativa SEC (Securities and Exchange Commission) di Washington in vista di un suo prossimo collocamento in borsa. (Questo documento, in originale, è consultabile qui). Nel documento l'azienda descrive il suo business ed illustra in grande dettaglio il funzionamento del suo prodotto principale, ossia l'omonimo sistema di protezione dalla copia, chiarendone non solo i meccanismi tecnici ma anche in qualche misura la filosofia di progetto. Ebbene, ciò che si legge è davvero sconcertante: ad esempio viene spiegata per filo e per segno la modalità di installazione nascosta dei device driver ma non si menziona mai la possibilità di richiedere il consenso all'utente, il che sembra dimostrare che la scelta di installare sempre e comunque il DRM ignorando completamente la volontà dell'utente sia frutto non di un errore ma di una scelta deliberata.

Non solo: nel documento viene esplicitamente citato come punto di forza del prodotto il fatto che esso "sia stato progettato per risultare completamente invisibile agli utenti, ai programmi ed ai componenti di sistema"; e viene inoltre sottolineato che esso "implementa accorgimenti tali da rendere estremamente difficili sia l'identificazione che la rimozione dei device driver". Ciò dimostra come anche la decisione di rendere il prodotto resistente agli eventuali tentativi di disinstallazione da parte dell'utente sia deliberata.

C'è da rimanere allibiti dinanzi alla "faccia tosta" di un'azienda che non solo dichiara candidamente l'adozione in un suo prodotto di comportamenti certamente antietici e probabilmente illegali, ma anzi se ne vanta pure! Il documento tuttavia non fa menzione di un'ultima caratteristica individuata "sul campo" dai ricercatori, ed ancor più subdola ed insidiosa delle altre: il fatto che il sistema di DRM ad ogni ascolto di CD da parte dell'utente si connetta ad un sito remoto e scambi con esso informazioni codificate. Forse persino gli squali della MediaMax si sono accorti che una cosa del genere non poteva essere impunemente dichiarata in un documento destinato ad una commissione governativa…

Due parole infine sull'azienda: con sede nello stato del Nevada, si è chiamata Quiet Tiger fino al 23 marzo 2005 quando ha cambiato nome in MediaMax Technology Corporation. L'11 giugno 2005 ha incorporato la SunnComm International, che è la produttrice originale del prodotto di DRM chiamato Media Max M4, ed il 5 novembre ha inoltrato la richiesta di collocamento pubblico di azioni. Forse però è più interessante notare che a far data dal 21 novembre 2005, ma in seguito ad un accordo stipulato il 2 novembre, le cariche di Presidente e di Amministratore Delegato dell'azienda sono state assunte da Kevin Clement, il quale ha per tale scopo lasciato il suo precedente posto di top manager nell'alta direzione, guarda caso, di Sony BMG Music Entertainment…

Vi sembra abbastanza? Eppure non è ancora tutto: manca ancora un aspetto fondamentale, quello della sicurezza. Già, inutile dire che anche Media Max soffre di una vulnerabilità che mette a repentaglio l'integrità del PC dell'ignaro utente (o forse a questo punto sarebbe meglio chiamarlo "vittima"). Il DRM infatti si installa con i massimi privilegi di sistema, ma in una directory liberamente modificabile da chiunque: il che apre possibilità devastanti ad un eventuale malintenzionato in vena di divertimento. Senza entrare nei dettagli, basta citare il fatto che diversi ricercatori hanno recentemente mostrato come sia facilmente possibile sfruttare la presenza di Media Max su un PC (e probabilmente è installato su molti milioni di PC…) per mandare in esecuzione codice nocivo o addirittura distruttivo per l'utente. Sony/BMG ha reagito all'annuncio pubblicando frettolosamente una patch, la quale tuttavia si è dimostrata ancora più pericolosa del problema che intendeva mitigare, col risultato che la situazione è peggiorata. L'azienda ha anche pubblicato un disinstallatore, che però è risultato anch'esso fonte di rischi.

Sì, anche a me questo sembra un film già visto…

Impareremo dagli errori?

A conti fatti cosa ha lasciato dietro di sé Sony/BMG con la sua geniale pensata di adottare prodotti anticopia intrusivi e nascosti? Non ha certamente fermato la pirateria né il P2P, anzi probabilmente li ha incoraggiati in quanto più sicuri per l'utente finale; non ha incrementato le sue vendite, anzi si trova a dover ritirare dal mercato molti milioni di CD protetti e addirittura a dover sostituire gratuitamente quelli già venduti (o a rimborsare gli acquirenti); non ha risparmiato costi, anzi oltre ad aver speso inutilmente un sacco di quattrini per le inutili licenze di XCP dovrà spendere chissà quanto per difendersi dalle varie class action che le sono state intentate; non ha fatto avanzare la causa della "protezione dei diritti", anzi ha fatto sì che anche i più freddini vedano ormai di cattivo occhio le tecnologie di DRM; non ha fatto infine una bella figura, ed anzi ha ingenerato sfiducia se non addirittura ostilità nei suoi clienti affezionati. Peggio di così non poteva fare: a sé, al mercato discografico e all'industria dell'intrattenimento, on buona pace oltretutto dell'etica e del diritto.

C'è ora solo da sperare che gli echi di questa brutta vicenda non si spengano, magari con l'aiuto di qualche pressione sui media e di qualche sostanziosa transazione in sede stragiudiziale. Il pubblico, i consumatori devono capire che le aziende non possono fare quello che vogliono a casa della gente; devono far sentire la propria voce, devono orientare il mercato al fine di evitare che cose del genere continuino a succedere. La legittima difesa è una cosa, l'aggressione preventiva un'altra. Ma finché a strillare saranno solo qualche professore di diritto e qualche ricercatore informatico, difficilmente le cose cambieranno.

Nel caso di Sony/BMG il popolo della Rete ha fatto sentire con chiarezza la pressione delle proprie opinioni, e il risultato si è visto. Occorre tuttavia non abbassare la guardia, altrimenti questo primo successo rimarrà solo una vittoria di Pirro. All'orizzonte si profilano minacce quali Palladium e TCPA, incubi indegni persino di un mondo alla Orwell. Perché ancora si pensa che la causa del problema dei diritti d'autore sia la tecnologia, e che la relativa soluzione sia pertanto tecnologica. Niente di più falso, come ho già più volte scritto in passato; ma appare sicuramente più facile vessare gli utenti finali che non andare toccare i delicati meccanismi di profitto dei padroni delle idee.

Ma anche questo, purtroppo, mi sembra un film già visto.

Saggio pubblicato su InterLex n° 337 del 18 dicembre 2005 (Anno IX)
Copyright © 2005, Corrado Giustozzi. Tutti i diritti riservati.

Ultima modifica: 31 maggio 2009
Visitatori dal 6 maggio 2003: 115,600

Torna alla Pagina dei saggi pubblicati su InterLex
Vai alla Pagina dei Commenti

Copyright © 1995-2012 Corrado Giustozzi