Menü

Sony BMGs Kopierschutz mit Rootkit-Funktionen

Von
vorlesen Drucken Kommentare lesen 717 Beiträge

Der Sicherheitsexperte und Windows-Spezialist Mark Russinovich von Sysinternals hat aufgedeckt, dass Sony auf einzelnen seiner mittels Digital Rights Management (DRM) kopiergeschützten CDs inzwischen eine Software einsetzt, die sich vor neugierigen Blicken versteckt und potenzielle Sicherheitslöcher reißt. Damit bildet diese Software Rootkit-Funktionen nach – Rootkits verstecken ihre (illegalen) Aktivitäten ebenfalls vor dem Computernutzer. Der Kopierschutz installiert unter anderem auch Filtertreiber für CD-ROM-Laufwerke sowie für die IDE-Treiber, durch die er Zugriffe auf Medien kontrolliert.

Die Software taucht weder in der Software-Liste der Systemsteuerung auf, noch lässt sie sich über einen Uninstaller deinstallieren. Sie versteckt nicht nur die ihr zugehörigen Dateien, Verzeichnisse, Prozesse und Registry-Schlüssel, sondern global alles, was mit $sys$ im Namen anfängt. Hierdurch wird Nutzern ein Bärendienst erwiesen – Schadsoftware kann sich einfach durch entsprechende Namensgebung mit Sonys Hilfe tarnen. Russinovich entdeckte die Software rein zufällig beim Testen einer neuen Version seines Rootkit-Spürhunds RootkitRevealer.

Weiterhin ist die Software nach Russinovichs Angaben unsauber programmiert und könnte das System instabil machen; ein möglicher Datenverlust droht. Der Treiber zum Verstecken von Dateien enthält eine Funktion zum Entladen. Dies ist bei Treibern und Programmen, die die Systemtabelle mit Funktionsadressen manipulieren, eine sehr schlechte Idee: Versucht ein Programm oder Prozess, über die Systemtabelle auf eine umgebogene Funktion zuzugreifen, wenn der Treiber sich gerade entlädt, kann eine klassische Race Condition eintreten. Sofern der Eintrag in der Liste noch auf den alten Speicherbereich zeigt, kann dies zu einem Zugriff auf nicht alloziierten Speicher führen.

Der Treiber fragt alle zwei Sekunden alle laufenden Prozesse nach den von ihnen geöffneten Dateien ab, um seiner Aufgabe – dem Verhindern von unerwünschten Kopien – nachzukommen, und das gleich jeweils achtmal am Stück. So verbraucht der nicht ganz koschere Kopierschutz Rechenzeit, auch wenn die zu schützende CD gar nicht im Laufwerk liegt. Die Software verankert sich derart tief im System, dass sie selbst im abgesicherten Modus gestartet wird. Wenn die Treiber also Probleme verursachen, könnten sie das System komplett unbrauchbar machen.

In den Lizenzvereinbarungen (EULA) der CD – der man zustimmen muss, damit die darauf befindliche Abspiel-Software für PCs startet – steht laut Russinovich nichts davon, dass eine Software installiert würde oder sich gar tief im System verankert. In der Diskussion zur Sysinternals-Meldung werfen Teilnehmer ein, dass dieses Vorgehen des Kopierschutzes wohl in Kalifornien nach dem California Business & Protections Code Section 22947.3 illegal sei und mit bis zu 1.000 US-Dollar Strafe pro betroffenem Computer geahndet werden könne.

Die Kopierschutz-Software wird den Dateiinformationen zufolge von der Firma First 4 Internet (F4i) geliefert und nennt sich XCP. Wie Sony BMG Ende Mai ankündigte, soll der Kopierschutz nur Gelegenheitskopierer abwehren. Der noch in der Testphase befindliche Kopierschutz soll zunächst nur auf vereinzelten CDs in den USA zum Einsatz kommen, eine der ersten ist ironischerweise Get Right with the Man von den Van Zant Brothers. Offenbar hat Sony mit Kanonen auf Spatzen geschossen – selbst Russinovich hatte mit dem Rootkit-Kopierschutz zu kämpfen. Eine Stellungnahme von Sony gibt es bislang nicht.

Siehe dazu auch:

Anzeige
Anzeige