27.000 ordenadores españoles podrían tener el rootkit de Sony

16/11/05 16:17:35

ESPAÑA PODRÍA SER UNO DE LOS PAÍSES MÁS AFECTADOS POR EL DEFICIENTE SISTEMA ANTICOPIA DE SONY

Mercè Molist
Más de 27.000 ordenadores en España podrían tener, sin saberlo sus dueños, un importante agujero de seguridad por haber reproducido en ellos un CD protegido con un sistema anticopia de Sony BMG. Éste instala subrepticiamente programas que facilitan la entrada de virus e intrusos y espían al usuario. La compañía ha hecha pública la lista de 52 títulos afectados, que han comprado más de dos millones de personas, pero no su localización geográfica. Según una investigación independiente, España podría ser el quinto país con más perjudicados.

Reconocidos expertos han avalado el análisis estadístico realizado por Dan Kaminsky para cuantificar y localizar el alcance del defectuoso sistema anticopia de Sony. Éste introduce automáticamente, en los ordenadores con sistema operativo Windows, aplicaciones invisibles que espían los programas que usa el usuario, qué CD está escuchando o desde qué dirección IP, y mandan la información a Sony vía Internet. Kaminsky ha seguido el rastro de estas conexiones, para concluir que hay 568.200 redes en el mundo con, al menos, un ordenador afectado. Según Sony, se han vendido 2,1 millones de discos con esta protección.

De los sistemas detectados por Kaminsky, 27.527 están en España, que ocupa el quinto puesto mundial, detrás de Japón, Estados Unidos, Gran Bretaña y Holanda. Fuentes de Sony BMG han explicado a "Ciberpaís" que no han editado ningún disco en España con la polémica protección anticopia, ya que estaba previsto empezar a aplicarla el año que viene, pero es posible que tiendas y grandes almacenes que venden material de importación hayan distribuido CDs defectuosos. De momento, ningún usuario español ha denunciado públicamente estar afectado.

Sony puso en marcha este sistema anticopia en marzo de 2005, pero el escándalo no saltó hasta finales de octubre, cuando Mark Russinovich, un experto en Windows, notaba que su ordenador iba más lento y descubría que algo o alguien le había introducido un "rootkit". Un "rootkit" son diversas herramientas usadas por un atacante para permanecer escondido en un ordenador y hacer lo que se le antoje, sin que lo sepa el usuario ni lo detecten los programas antivirus.

Russinovich descubrió que, al escuchar en su ordenador el CD "Get Right With the Man", de Van Zant, el sistema anticopia de Sony, llamado Extended Copy Protection (XCP) y desarrollado por la empresa First4Internet, le había instalado el "rootkit". El sistema no incluía una herramienta de desinstalación, por lo que Russinovich lo borró manualmente. Resultado: su reproductor de CD dejó de funcionar y tuvo que reformatear el equipo.

El 31 de octubre, Russinovich lo contó en su weblog y empezó la tormenta de críticas contra Sony BMG, que primero lo negó. Después, un portavoz de la compañía le quitó importancia: "La gente no sabe lo que es un "rootkit", por tanto no les interesa". El 3 de noviembre, Sony ofrecía una herramienta para desinstalar el XCP que, en realidad, era una actualización: sólo borraba el componente "rootkit" y, además, introducía nuevos archivos en el sistema sin avisar.

Los expertos avisaban de que la actualización podía estropear el ordenador y los usuarios se quejaban de que, para conseguirla, tenían que rellenar un formulario y especificar su dirección de correo. Sony se reservaba el derecho de usarla para enviarles publicidad. Días después, la compañía ofrecía un auténtico desinstalador del XCP. Para acceder a él, había que cumplimentar también un formulario.

Ante tanto despropósito, sólo quedaba una opción para hacer reaccionar a Sony: demostrar públicamente que el problema era serio. Lo hicieron los programadores de virus, creando diversos troyanos, difundidos por correo electrónico, que se escondían en las carpetas ocultas creadas por el "rootkit". Desde allí, se conectaban a un servidor de Internet Relay Chat, a la espera de recibir órdenes de los atacantes, que podían consistir en instalar más programas maliciosos y tomar el control del equipo.

Entonces, estallaba un nuevo escándalo: el profesor de la universidad de Princeton, Edward Felten, explicaba en su weblog que los formularios, que había que cumplimentar para acceder al programa desinstalador y a la actualización, instalaban un controlador ActiveX, llamado CodeSupport, en el ordenador del usuario. Este controlador estaba mal configurado y permanecía activo en el navegador Internet Explorer cuando se visitaban otras webs, creando un agujero de seguridad que permitía que desde estas webs se pudiesen coger archivos, instalar programas o colgar el ordenador.

Para entonces, foros, weblogs y medios de comunicación bullían de indignación. Se iniciaron acciones legales en California, Nueva York e Italia. Diversas empresas antivirus, como Computer Associates, Sophos y Symantec, o de cortafuegos, como ZoneAlarm, anunciaron utilidades para detectar y desinstalar el sistema anticopia. También Microsoft ha afirmado que las nuevas versiones de sus productos de seguridad lo considerarán como un programa espía y lo borrarán.

El 11 de noviembre, Sony BMG anunciaba que suspendía temporalmente la fabricación de CDs con tecnología XCP. La empresa publicaba en su web una carta, en la que echaba la culpa a la empresa creadora del "software", First4Internet, y aseguraba que retiraría los CDs del mercado y los cambiaría a quienes los hubiesen comprado. La compañía negaba que espiase a los usuarios: "El reproductor del disco muestra un "banner" que usa técnicas web estándar para comunicarse con un servidor de Sony BMG, para mostrar contenido web relacionado con el título específico del CD, no para monitorear su actividad en línea".

Este reproductor, que el usuario debe usar obligatoriamente si quiere escuchar el CD, ha traído también polémica, ya que contiene código de un programa libre llamado Lame, sin especificarlo en su licencia. Otra crítica contra Sony ha venido de su negativa, durante quince días, a especificar qué CDs estaban afectados, lo que aumentaba el desconcierto y la incertidumbre entre los usuarios. Finalmente, la compañía publicaba la lista de 52 títulos de artistas como Celine Dion, Chayanne o Neil Diamond.

A la hora de escribir estas líneas, no existe ninguna herramienta que elimine totalmente el sistema XCP, ya que el 15 de noviembre Sony retiró su desinstalador, a la espera de ofrecer otro más seguro. Según Mark Russinovich, "hay bastante confusión sobre el nivel de limpieza que ofrecen las compañías de antivirus. Algunas dan a entender que desinstalan del todo el sistema, pero en realidad sólo desactivan el "rootkit", de la misma forma que lo hace la actualización de Sony, lo que introduce el riesgo de un cuelgue del sistema. La forma más segura es borrar el "rootkit" del registro, de forma que no se pueda activar cuando se inicia Windows".

El caso ha generado dudas entre los usuarios de redes P2P, por si es posible infectarse al intercambiar un disco con XCP. Bernardo Quintero, de Hispasec, lo niega: "Cuando te bajas un disco, lo normal es que lo hayan convertido a MP3, por lo que la protección desaparece. Sin ánimo de hacer apología de la piratería y en este caso en concreto, era más seguro descargarse los títulos de Sony de redes P2P que utilizar el original".

A la sombra del escándalo, han aparecido nuevas voces que denuncian que Sony usa otro sistema de protección anticopia igualmente peligroso y que no se ha retirado, llamado MediaMax. Aunque no instala ningún "rootkit", MediaMax espía el comportamiento de los usuarios e instala programas sin consentimiento. Dejando de lado la mala política de reacción y comunicación que ha puesto a Sony en el ojo del huracán y la fuerza mediática demostrada por los weblogs, la discusión de fondo es el llamado Digital Rights Management (Gestión de los Derechos Digitales) y su aplicación sin violentar a los usuarios, resumida en el lema que circula estos días por la red: "Es su propiedad intelectual, pero no su ordenador".




CÓMO SABER SI UN CD ESTÁ AFECTADO

Para saber si un CD lleva el sistema de protección de Sony, hay que examinar el lomo de la caja, donde debe poner: "Content protected". En la parte de atrás habrá algún tipo de mención a las siglas "XCP" o una URL que las contenga. Si su ordenador está afectado, Sony afirma que en breve ofrecerá un programa desinstalador. Puede acceder a su web para que le envíen un nuevo CD, sin la protección XCP, o bajarse las canciones en MP3.

Lista de CDs con protección XCP
http://cp.sonybmg.com/xcp/english/titles.html
El mapa de la epidemia
http://www.kriptopolis.org/node/1454
Sistemas afectados
http://www.doxpara.com
Blog de Mark Russinovich
http://www.sysinternals.com/blog/
¿Está usted infectado con el rootkit de Sony-BMG?
http://www.vsantivirus.com/14-11-05.htm
Sony abandona el rootkit anticopia
http://www.hispasec.com/unaaldia/2581
Comienza la disección del rootkit de Sony
http://www.kriptopolis.org/node/1438
Cómo desinstalar el ActiveX vulnerable del desinstalador de Sony
http://www.vsantivirus.com/vul-codesupport-161105.htm
Sony’s Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall Discs
http://www.freedom-to-tinker.com/?p=927
Carta abierta de la EFF a Sony BMG
http://www.eff.org/IP/DRM/Sony-BMG/?f=open-letter-2005-11-14.html
Especial de Bruce Schneier sobre XCP
http://www.schneier.com/blog/archives/2005/11/more_on_sonys_d.html

Copyright 2005 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved.

<<