En PC & Nätverksteknikers tankar

Sony BMG:s experimenterande med kopieringsskydd, så kallad Digital Rights Management (DRM) ser ut att stå företaget dyrt. Företaget har återkallat alla osålda musik-CD-skivor med det rootkit-behäftade kopieringsskyddet Extended Copy Protection (XCP) från brittiska First 4 Internet. Och i fredags drog skivbolaget igång det inskicksprogram som gör det möjligt för konsumenter att byta ut sina XCP-skyddade skivor kostnadsfritt. Antalet titlar är nu uppe i 52, en bra bit över de 20 som Sony förs medgav hade skyddet.

Konsumenterna får dock vänta på det avinstallationsprogram som ska se till att de utan problem kan bli av med den farliga kod som XCP-skyddet är eftersom de två försök med avinstallationsprogram som Sony hittills gjort visat sig öppna ännu allvarligare säkerhetsluckor.

Under tiden har ett annat kopieringsskydd, som Sony BMG använder, också hamnat i rampljuset. Suncomm Internationals Mediamax har kritiserats för att det också uppvisar ett spionprogramliknade beteende. Och när Sony tillhandahåller ett avinstallationsprogram för det så visar sig det också öppna svängdörrar på datorn, hävdar datavetenskapsstudenten J Alex Halderman, som pekade ut Mediamax beteende, i bloggen Freedom-to-Tinker. Säkerhetsföretaget Secunia bedömer den brist som orsakas som mycket kritisk.

Så Sony och Suncomm tvingades i torsdags att även stoppa distributionen av avinstallationsprogrammet till Mediamax.

Nu varnar antivirusföretaget McAfee för ytterligare en ny version av viruset Sober, denna version heter Sober@MM!M681.Viruset har blev klassad som medium risk den 22 november, efter den stora mängden SPAM som viruset skickar. Exempel på brev som innehåller detta virus:

Bifogade filer:

• reg_pass-data.zip
• reg_pass.zip
• question_list.zip
• mailtext.zip
• mail_body.zip
• mail.zip
• list.zip
• email_text.zip

Den zippade filen innehåller en fil med namnet file-packed_datainfo.exe [55,390 bytes].

Som vanligt gäller det att ej öppna bifogade filer om man ej vet vem som har skickat dem, samt att antivirusprogrammet är uppdaterat.

Idag meddelar Sony att företaget tar tillbaka alla skivor som innehåller det starkt kritiserade kopieringsskyddet XCP. Ett skydd som bland annat installerar ett så kallat rootkit på datorer där skivan spelas upp. Rootkitet kan användas av hackare för att dölja skadlig kod, till exempel trojaner.

- Vi delar den oro våra kunder uttryckt angående skivor med XCP-skyddet och, av den anledningen, startar vi ett program för att återkalla sålda skivor och för att ta bort icke sålda skivor från våra återförsäljare, säger Sony BMG i ett skriftligt uttalande och fortsätter: Vi beklagar djupt det besvär som kan ha drabbat våra kunder.

Programmet kommer att röra miljontals skivor från olika artister, till exempel Celine Dion och Sarah McLachlan. Men Sony BMG har inte angett något exakt antal, skriver Reuters.

Syftet med kopieringsskyddet är att hindra en skiva från att kopieras mer än tre gånger. Skivor med XCP har inte sålts i Europa.

I slutet av förra veckan meddelade antivirusföretag att de hittat en trojan specialskriven för att gömma sig med hjälp av det rootkit som kopieringsskyddet installerar på den dator där musikskivan spelas upp.

Trojanen installerar en irc-bakdörr på smittade datorer och kan eventuellt också innehålla andra funktioner.

- Vi har under en tid varit medvetna om att skadlig kod kan skrivas för att exploatera möjligheterna till skydd som Sonys drm-skydd ger, säger Bitdefenders forskningschef Viorel Canja i ett uttalande.

På F-Secure har man under eftermiddagen precis hunnit med att ta en första titt på trojanen, som fått namnet Breplibot.b.

Den första undersökningen visar på en dåligt skriven trojan som inte tycks ha möjlighet att använda Sonys rootkit som skydd om det finns på plats i datorn innan trojanen.
- Trojanen gömmer sig under $sys$ och kan inte använda Sonys rootkit för att gömma sig om den kommer in efter att rootkitet installerats. Däremot verkar det som att det kan fungera omvänt, säger Johan Jarl på F-Secure.

Sony har under en veckas tid fått mycket hård kritik för att musikskivor installerar ett kopieringsskydd på datorer utan användarens vetskap. Kopieringsskyddet, som kallas XCP, installerar ett så kallat rootkit - en typ av program som hittills mest använts av hackare för att dölja program och processer.

I slutet av förra veckan varnade säkerhetsexperter för att kopieringsskyddet kunde öppna datorer för hackare, precis vad som nu har skett.
- Det var väntat att det här skulle ske och det gick snabbt. Imorgon kan det landa en ny trojan som är bättre skriven än den här, säger Johan Jarl.

I tisdags släppte Microsoft sina månatliga säkerhetsuppdateringar. Novemberbulletinen innehöll en uppdatering. Av Microsoft har den klassificerats som kritisk, och att en lyckad attack kan i värsta fall ge angriparen total kontroll över systemet.

Nu rapporteras om en trojan som utnyttjar sårbarheten. Angreppet gör inte att kontrollen av systemet helt hamnar i den obehöriges händer, men väl sätts i ett överbelastningsläge genom att hänga explorer.exe

Trojanen kallas Troj_Emfsploit.A och har identifierats av antivirusföretaget Trend Micro. Sårbarheten drabbar Windows 2000, Windows XP samt Windows 2003 Server. Den kan utnyttjas av program som visar grafikfiler av formaten EMF och WMF. Filerna kan öppnas med exempelvis Officeprogram, Outlook Express och Internet Explorer.

Den här gången verkar det som sagt röra sig om en trojan som ställer till med relativt ringa skada, men när någon eller några efter bara två dagar har skapat en trojan är risken överhängande att fler, kanske farligare, kommer. Enligt rapporter finns det dessutom offentligt ute skadlig kod som utnyttjar sårbarheten.

Enklaste sättet att skydda sig är att besöka Windows Update samt att aktivera automatiska uppdateringar i Windows.

Microsoft säger i ett uttalande att det är oroat över den programvara Sony BMG använt som kopieringsskydd på ett 20-tal av sina musik-cd. Till skillnad från många andra bolag har Microsoft dock inte gått så långt att det klassificerat den mjukvara Sony använder som elak kod.

Ett flertal IT-säkerhetsföretag har tagit fram programvara för att upptäcka och i vissa fall ta bort programvaran från First 4 Internet som Sony BMG använder.

Mjukvaran är illa skriven och öppnar för angripare som vill dölja filer på användarens dator. Bakom Micrsofts uttalande ligger med stor sannolikhet Microsofts insikt om att alla problem som drabbar användare på Windowsdatorer, svärtar ner Microsofts rykte, även om det är ett annat företag som klantat sig.