Sony's rootkit bevat code om beveiliging Apple te omzeilen

Ingezonden persbericht

PERSBERICHT VRIJSCHRIFT --

---

18/11/05: Sony's rootkit bevat code om beveiliging Apple te omzeilen
---

Amsterdam -- De XCP kopieerbeveiliging die Sony sinds enige tijd op haar muziek cd's heeft aangebracht brengt niet alleen grote beveiligingsrisico's met zich mee. Ironisch genoeg blijkt de XCP technologie die gebruikt wordt om ongeoorloofde kopieën tegen te gaan zelf ongeoorloofde kopieën van vrije programmatuur te bevatten. Programmatuur die onder andere geschreven is door "Dvd" Jon Lech Johansen en waarmee de kopieerbeveiliging van Apple omzeild kan worden.

Nadat de Finse hacker Matti "Muzzy" Nikki er achter kwam dat bepaalde stukken code in het XCP installatie programma wel erg leken op die van het mp3-codeerprogramma "LAME" ging hij op onderzoek uit. Conclusie: De controversiële rootkit zelf bevat nog veel meer onderdelen van verschillende vrije software projecten, waaronder de "de-DRMS" code die DvD Jon samen met Sam Hocevar schreef om Apple's
kopieerbeveilings-systeem te omzeilen.

Thomas Dullien van de Duitse firma "Saber Security", die de software ontwikkelde waarmee de hackers de XCP software analyseerden, onderschrijft de bevindingen van Muzzy: "We kunnen bevestigen dat ten minste 5 functies in de XCP software indentiek zijn aan LAME."

GPL

De "de-DRMS" code is aan het publiek ter beschikking gesteld onder de GPL licentie, hetgeen betekent dat de XCP software niet verspreid mag worden zonder dat de volledige broncode van het XCP programma openbaar gemaakt wordt. "Dat is de keerzijde van de medaille" zegt internet advocaat Christiaan Alberdingk Thijm. "Als je je niet aan de open source regels houdt, wordt het oude regime van auteursrechtsbescherming volledig van kracht." En dat betekent dat men expliciet toestemming van de auteur nodig heeft om de software te mogen verspreiden.

Dit kan zowel Sony als de ontwikkelaars van het XCP systeem -- het Britse First4Internet -- dan ook in grote problemen brengen. In veel landen, waaronder Engeland, Amerika en Nederland, staat gevangenisstraf op het op commerciele schaal inbreuk plegen op het auteursrecht. De Europese Commissie werkt aan een richtlijn waarbij hier in heel Europa vier jaar gevangenisstraf op komt te staan.

MICROSOFT en SYMANTEC

Pamela Jones, journalist voor de bekende website Groklaw, zet vraagtekens bij de reactie van Microsoft en de anti-virus bedrijven op de perikelen rond de rootkit. Ze refereert onder andere aan uitspraken van First4Internet directeur Gilliat-Smith die verklaarde dat zijn bedrijf nauw samenwerkt met grote antivirus makers, waaronder Symantec.

"Dus Symantec en 'de grote antivirus makers' wisten al van de rootkit?", vraagt Jones zich af. "Afgaande op dit statement, lijkt het daar op. Zijn zij dan mede aansprakelijk, net als Sony?"

Ook zet Jones vraagtekens bij de rol van Microsoft. "Deze CDs met rootkits zijn al 8 maanden verkocht. Waar was Microsoft? Waarom hebben zij en de antivirus makers deze rootkit niet al lang geleden opgemerkt?"

Ze haalt een lezer aan, die zich afvraagt of Microsoft ook van de rootkit geweten heeft en dit bewust genegeerd heeft. "En als dat niet het geval is, moeten we dan niet de legitieme vraag stellen of Microsoft's anti-spyware wel 'verfijnd genoeg is om veranderingen op systeem niveau te detecteren' zoals die door Sony's DRM gemaakt worden? Welke verklaring is eigenlijk erger?"

---

Nadere Informatie

---

Berichtgeving Reuters:

http://today.reuters.com/news/newsArticle.aspx?type=technologyNews&storyID=2005-11-18T073035Z_01_MCC805647_RTRUKOC_0_US-SONYBMG-OPENSOURCE.xml

Wiki pagina over DvD-Jon
http://en.wikipedia.org/wiki/Jon_Johansen

Pamela Jones' artikel:
http://www.groklaw.net/article.php?story=20051113164717817

Uitspraken Giliat-Smith:

http://news.com.com/Sony+CD+protection+sparks+security+concerns/2100-7355_3-5926657.html

Opvallend is dat de naam Symantic verwijderd is uit bovenstaande pagina. De quote is echter op verschillende plaatsen op het internet nog te vinden: http://www.geek.com/news/geeknews/2005Nov/gee20051115033294.htm http://www.schneier.com/blog/archives/2005/11/more_on_sonys_d.html

Muzzy's research about Sony's XCP DRM system
http://hack.fi/~muzzy/sony-drm/

Onderzoek door Sebastian Porst:

http://www.the-interweb.com/serendipity/index.php?/archives/56-Two-new-F4I-license-infringements-found.html

http://www.the-interweb.com/serendipity/index.php?/archives/55-Proof-that-F4I-violates-the-GPL.html

http://www.the-interweb.com/serendipity/index.php?/archives/51-Is-Sony-in-violation-of-the-LGPL.html

http://www.the-interweb.com/serendipity/index.php?/archives/52-Is-Sony-in-violation-of-the-LGPL-Part-II.html

Chronologisch overzicht van de Sony DRM zaak:
http://www.boingboing.net/2005/11/14/sony_anticustomer_te.html

---

Contact

---

Arend Lammertink:
arend@vrijschrift.org
tel. +316 5425 6426

---

Over Vrijschrift -- http://www.vrijschrift.nl

---

Stichting Vrijschrift heeft als doel het bevorderen en het beschermen van intellectuele goederen die vrij te verspreiden en aan te passen zijn. Vrijschrift probeert bewustwoording te realiseren van de betekenis van het publieke domein voor de samenleving. Bescherming van het publieke domein is van groot economisch en maatschappelijk belang en vormt een belangrijke activiteit. Internationaal wordt samengewerkt met de Foundation for a Free Information Infrastructure, de Free Software Foundation, Project Gutenberg en vele andere organisaties.

vrijdag 18 november 2005