211service.com
Spiegprogrammatūras skandāla iekšpusē
Džons Gvarino ir Manhetenas divu cilvēku datoru konsultāciju uzņēmuma TecAngels īpašnieks. Dodiet Guarino savu slimo Windows datoru, un pēc divām vai trim stundām viņš to jums atgriezīs pilnīgā veselībā. Bieži vien viņš var atrisināt klientu problēmas pa tālruni.
Bet pagājušajā vasarā Gvarino saskārās ar problēmu, kuru viņš nevarēja novērst. Izskalojot spiegprogrammatūru un vīrusus, kas inficēja viņa klientu datorus, viņš sāka atrast vienus un tos pašus noslēpumainos iebrucējus mašīnā pēc iekārtas. Tie bija dīvaini nosaukti faili, kas slēpjas dziļi reģistrā, kur Windows glabā iestatījumus un instrukcijas, kas kontrolē visu datora aparatūru un programmatūru.
Gvarino uzskata, ka faili izskatījās kā rootkit — programmatūra, kas piemāna operētājsistēmu, lai nepamanītu tārpus, vīrusus un citus failus, ko hakeris varētu vēlēties paslēpt lietotāja datorā. Šķiet, ka faili neradīja bojājumus, un Guarino pretvīrusu programmatūra tos neidentificēja kā draudus. Bet tie bija parādījušies cilvēku cietajos diskos neaicināti — parastā ļaunprātīgas programmatūras definīcija — tāpēc Gvarino tos noņēma.
Taču faili negāja mierīgi. Pēc tam, kad Gvarino tos izdzēsa, CD diskdziņi viņa klientu datoros pārstās darboties. Parastais risinājums - atkārtoti instalējot programmatūru, kas darbina disku atskaņotājus - problēmu neatrisināja. Gvarino nevarēja izskaidrot šo dīvaino efektu, un viņa klienti viņam nemaksāja, lai pavadītu stundas, pētot to; viņi vienkārši gribēja atgūt savus datorus. Tāpēc viņš parasti izmantoja kodoliekārtu: no jauna instalēja operētājsistēmu.
Pēc sešām vai septiņām tikšanās reizēm Gvarino kļuva noguris. Pēc tam 30. septembrī viņš atklāja noslēpumainos failus savā datorā. Tas mani patiešām sadusmoja, saka Gvarino. Es domāju: 'Es nespēju tam noticēt. Man ir jaunākais ugunsmūris, jaunākā pretvīrusu programmatūra, trīs vai četras pretspiegprogrammatūras programmas. Kā tas šeit nokļuva?'
Tāpat kā jebkurš labs izmeklētājs, Gvarino atkāpās. Viņš zināja, ka pēdējo reizi, kad viņš skenēja savu datoru, faili tur nebija. Viņš mēģināja rekonstruēt visu, ko ar savu mašīnu bija darījis pēdējo dienu laikā – kādas programmas bija instalējis, kādus e-pastus saņēmis, kādas mājaslapas apmeklējis.
Tad viņš atcerējās, ka iepriekšējā dienā iegādājies mūzikas kompaktdisku un atskaņojis to datorā. Tas bija Sony BMG Music Entertainment albums ar nosaukumu Pieskarieties , ko autors ir ritma un blūza dziedātāja Amerie. Atšķirībā no vairuma kompaktdisku, šo disku nevarēja atskaņot, izmantojot parasto multivides atskaņotāja programmatūru, piemēram, iTunes, RealPlayer vai Windows Media Player. Lai klausītos kompaktdisku, pircējiem bija jāinstalē pielāgotais Sony BMG atskaņotājs, kas iekļauts diskā. Gvarino to bija izdarījis.
Tagad viņš vērīgāk aplūkoja kompaktdiska dārgakmeņu kastīti. Viņam parādījās viena frāze: saturs uzlabots un aizsargāts. Acīmredzot diskā bija kāda veida digitālo tiesību pārvaldības (DRM) programmatūra — programma, kas izstrādāta, lai kontrolētu kopēšanu un tādējādi atturētu no pirātisma.
Beidzot gabali sanāca kopā. Noslēpumu faili atgādināja rootkit; parastais rootkit mērķis ir kaut ko slēpt; pretkopēšanas aizsardzības programma bija tāda lieta, ko tās veidotāji varētu vēlēties slēpt no lietotājiem; un noņemot šo konkrēto rootkit, tika atspējots CD diskdzinis. Gvarino varēja tikai secināt, ka ļaunprogrammatūras avots bija pati Sony BMG.
Toreiz es padevos, saka Gvarino. Viņš vienlaikus varēja cīnīties ar ļaunprātīgu programmatūru. Bet, ja pasaules otrā lielākā ierakstu kompānija vēlētos instalēt slepenu programmatūru savu klientu datoros, viņš nekad neuzvarētu.
Pirms problēmas nolikšanas malā Gvarino izdarīja vienu ļoti svarīgu lietu. Viņš nosūtīja savus žurnālus pa e-pastu F-Secure, datoru drošības firmai Helsinkos, Somijā, kuras programmatūru viņš bija izmantojis failu noteikšanai. Lai gan F-Secure ļaunprātīgas programmatūras novērotāji iepriekš nebija saskārušies ar rootkit, viņi ātri varēja apstiprināt Gvarino aizdomas. Nākamo divu nedēļu laikā viņi nonāca pie citas, daudz satraucošākas atziņas: rootkit varēja paslēpt citus failus tikpat viegli kā Sony BMG kopēšanas aizsardzības programmatūru. Katrs dators, kas jebkad tika izmantots, lai atskaņotu pret kopēšanu aizsargātu Sony BMG disku, tagad faktiski bija atvērts tārpiem, vīrusiem un citai ļaunprātīgai programmatūrai.
17. oktobrī F-Secure sazinājās ar Sony. Pēc divām nedēļām cienījamais drošības eksperts Marks Russinovičs atrada rootkit savā datorā un publicēja savus atklājumus savā plaši lasītajā emuārā. Viņš arī atklāja, ka cita programmatūra, kas instalēta kopā ar kopēšanas aizsardzības programmu, slepeni sazinājās ar Sony BMG, izmantojot internetu, katru reizi, kad datora lietotājs atskaņoja pret kopēšanu aizsargātu disku. Nākamo mēnešu laikā tas, kas bija sācies kā kuriozs Gvarino mazajā veikalā, pārauga skandālā ar aizmugures sarunām, publisku atmaskošanu, dedzīgiem noliegumiem, dusmīgiem boikotiem, atriebīgām tiesas prāvām un nožēlojamām atvainošanām.
Lai gan tā sākotnējais mērķis bija slēpt programmatūru, kas neļāva klausītājiem izveidot vairāk nekā trīs savas mūzikas kopijas, Sony BMG sakņu komplekts kļuva par līdz šim vispubliskāko simbolu DRM tehnoloģiju pārmērībām un arvien pieaugošajām aizdomām, ka mediju uzņēmumi, šķiet, pret saviem klientiem. Skandāls joprojām atstāj sekas. Tas ir atkārtoti izraisījis strīdu publiskajā telpā par to, kā patērētājiem jāļauj izmantot ar autortiesībām aizsargātu digitālo informāciju, un, gluži pretēji, par to, cik tālu autortiesību īpašnieki var iet, lai aizsargātu savu intelektuālo īpašumu pret pirātismu. (Skatiet, kam piederēs idejas?, TR īpašā pakotne, kas publicēta 2005. gada jūnijā.)
Eksperti saka, ka, nonākot līdz galējībām, digitālo tiesību pārvaldība ne tikai ierobežo cilvēku tiesības godīgi izmantot ar autortiesībām aizsargātu materiālu, ko garantē ASV autortiesību likums, bet pat var radīt jaunus tehnoloģiskus apdraudējumus. Kad veidojat datorsistēmas, kurās neaizsargājat lietotāju, bet gan kaut ko no lietotāja, jums ir ļoti slikta drošība, saka Brūss Šnejers, datoru drošības jomas spīdeklis un Counterpane Internet Security galvenais tehniskais darbinieks Mauntinvjū. CA. Tās ir manas lielākās bailes — uzskats, ka lietotājs ir ienaidnieks.
Stāsts par Sony BMG rootkit fiasko ir vairāk nekā par sliktu korporatīvo spriedumu vai notiekošo cīņu par patērētāju tiesībām darīt to, ko viņi vēlas ar viņiem piederošajām lietām. Tas attiecas arī uz bailēm un pārmērībām, ko tās var izraisīt. Kad mediju uzņēmumi izmanto tik spēcīgus, slepenus rīkus satura aizsardzībai, tas liecina, ka viņu nervozitāte par pirātismu ir pārvērtusies panikā. Lai gan Sony BMG uzstāj, ka sakņu komplekts tika izvietots netīši, šī epizode pārliecināja daudzus novērotājus, ka mūzikas industrija ir sapratusi, ka maldināšana ir digitālo tiesību pārvaldības neatņemama sastāvdaļa. Tam nevajadzētu būt pārsteigumam, ja klienti, kuri uzskata, ka pret viņiem izturas kā pret zagļiem, pārstāj pirkt lietas. Ja Sony BMG pieredzē ir kāds vēstījums citiem uzņēmumiem, kas ienāk digitālajā pasaulē, tas ir, ka neuzticēšanās rada neuzticību.
Skolas pagalma pirātisms
Pieprasījums pēc digitālā satura (vājš, bet ērts žargona vārds visam, sākot no dzejas līdz aplādes) ir lielāks nekā jebkad agrāk. Lejupielādējamās mūzikas pārdošanas apjomi visā pasaulē laikā no 2004. līdz 2005. gadam gandrīz trīskāršojās, no 380 miljoniem USD līdz 1,1 miljardam USD, un tagad veido aptuveni 6 procentus no visa mūzikas pārdošanas apjoma. 2004. gada martā Apple iTunes mūzikas veikals pārdeva dziesmas aptuveni 2,5 miljonu apmērā nedēļā. Saskaņā ar Apvienotās Karalistes versiju Macworld žurnāls, tagad tas katru dienu pārdod trīs miljonus dziesmu.
Varētu sagaidīt, ka satura veidotāji un izplatītāji būs sajūsmā par digitālo tehnoloģiju attīstību. Taču patiesībā viņi bieži ir noraizējušies par pastāvīgiem niknās kopēšanas draudiem. Un pamatota iemesla dēļ: 2005. gadā viena mēneša laikā 3,8 miljoni ASV mājsaimniecību lejupielādēja mūziku, izmantojot bezmaksas vienādranga failu apmaiņas pakalpojumus WinMX un Limewire, savukārt tikai 1,7 miljoni mājsaimniecību iegādājās failus no iTunes, liecina tirgus pētījumi. firma NPD Group. Amerikas Ierakstu industrijas asociācija nosaka, ka zaudētie mazumtirdzniecības ieņēmumi no digitālās mūzikas pirātisma ir 4,2 miljardi ASV dolāru gadā, un tā ir agresīvi cīnījusies pret nelegālām lejupielādēm: februārī tā paziņoja, ka ir uzsākusi 750 jaunas tiesas prāvas pret vienādranga failu lietotājiem. -koplietošanas tīkli, palielinot kopējo skaitu kopš 2003. gada līdz vairāk nekā 18 000.
Tomēr gandrīz pirms katras nelikumīgas lejupielādes ir daudz nevainīgāka darbība: saspiestu datora failu, piemēram, MP3, izvilkšana no likumīgi iegādāta kompaktdiska. Kompaktdisku izvilkšana un ierakstīšana personīgai lietošanai Amerikas Savienotajās Valstīs ir pilnīgi likumīga. Taču Sony BMG globālā digitālā biznesa prezidents Tomass Hese saka, ka tas veido divas trešdaļas no visa pirātisma. Ikdienas pirātisms, skolas pagalmu pirātisms, mums ir milzīga problēma, viņš pagājušajā gadā sacīja ziņu dienestam Reuters.
Tāpēc ierakstu kompānijas, piemēram, Sony BMG, dabiski piesaista tehnoloģijas, kas sola izjaukt ārprātīgos fanus. Ieejiet digitālo tiesību pārvaldībā — nozarē, kas radās 1990. gadu beigās, lai palīdzētu izdevējiem un studijām saglabāt kontroli pār DVD, programmatūras un tamlīdzīgu saturu. DRM uzņēmumiem un to klientiem kontrole nozīmē liegt klientiem atvērt digitālos failus, ja vien viņi par to nav samaksājuši. Tas nozīmē, ka ir jāaizliedz darba kopēšana, drukāšana, dublēšana vai pavairošana, izņemot gadījumus, kad tas ir skaidri atļauts darba licences līgumā.
Gadiem ilgi ierakstu industrijai nebija vajadzīga šāda līmeņa kontrole, jo plaša patēriņa kompaktdisku atskaņotāji (ko Philips un Sony ieviesa 1982. gadā) bija paredzēti tikai mūzikas atskaņošanai, nevis eksportēšanai digitālā formātā. Taču līdz 1996. gadam, kad datoru ražotāji sāka iekļaut CD-ROM diskus kā standarta funkciju mājas datoros, parādījās gadījuma pirātisma draudi; un, kad tā debitēja 1999. gadā, Napster, pirmā populārā interneta mūzikas koplietošanas sistēma, pārvarēja šos draudus. Ierakstu kompānijas Vašingtonā sāka lobēt, lai panāktu lielākus juridiskos sodus tiem, kas pieķerti failu koplietošanā, kā arī sāka meklēt veidus, kā padarīt kopēšanu un kopīgošanu vēl biedējošāku vidusmēra lietotājam.
Tas nav vienkāršs jautājums. Aizsargātajos diskos jāiekļauj DRM programmatūra, lai ierobežotu kopēšanu; tomēr tajā pašā laikā tiem jābūt atskaņojamiem parastajos CD atskaņotājos. Viens veids, kā apmierināt abas vajadzības, ir padarīt kompaktdiskus vairāk līdzīgus CD-ROM, kas bieži satur vairākas sesijas, kas ir līdzīgas veco vinila LP izgriezumiem. Pirmajā vairāku sesiju kompaktdiska sesijā, kas sākas diska centrā, ir mūzika, un ārējās sesijas satur programmatūru. Parastie CD atskaņotāji nolasa tikai pirmo sesiju un ignorē pārējo, savukārt Windows dators ar ieslēgtu automātiskās palaišanas funkciju vispirms meklē programmas ārējās sesijās, kuras tas var izpildīt. (Par laimi DRM izstrādātājiem operētājsistēmā Windows XP pēc noklusējuma tiek aktivizēta automātiskā palaišana, un lielākā daļa lietotāju nekad nemaina šo iestatījumu.)
Kad Sony BMG 2005. gadā veica pirmo lielo pretkopēšanas aizsargāto kompaktdisku izlaišanu nozarē, tas izmantoja vairāku sesiju metodi. 52 Sony BMG albumos, kas tika izdoti no janvāra līdz novembrim, ārējās sesijas ietvēra Windows kopēšanas aizsardzības programmu XCP (eXtended Copy Protection), ko Sony licencēja no Apvienotās Karalistes uzņēmuma First 4 Internet, un duālo Macintosh/Windows programmu MediaMax. no Phoenix, AZ bāzētā SunnComm. Šī nebija pirmā reize, kad etiķete mēģināja pārdot kompaktdiskus ar pretkopēšanas programmatūru; Sony BMG meitasuzņēmums Arista Records 2003. gada beigās pārdeva disku ar MediaMax, un konkurējošā Macrovision DRM programmatūra parādījās tūkstošiem kompaktdisku no citām kompānijām, sākot ar 2002. gadu. bija Tomēr neparasts jaunajiem Sony BMG diskiem bija paņēmiens, ko First 4 Internet bija izvēlējies, lai padarītu XCP neredzamu.
Maskēšanas ierīce
Kad Sony sākotnēji nolīga First 4 Internet, tas nebija paredzēts, lai izveidotu DRM sistēmu patērētāju kompaktdiskiem. Saskaņā ar intervijām presē ar First 4 Internet vadītājiem mēnešus pirms rootkit skandāla izcelšanās, tas bija paredzēts, lai atturētu paša izdevniecības darbiniekus un darbuzņēmējus, kā arī citus saņēmējus no pirmsizlaiduma mūzikas kopēšanas. Uzņēmuma pirmais DRM produkts XCP1 padarīja mūzikas sesiju uz vairāku sesiju CD-R — ierakstāmo kompaktdisku veidu, ko izmanto mūzikas studijās, un tos nevar atskaņot datori. Šī iespēja bija pievilcīga ne tikai Sony BMG, bet arī tās trim lielākajiem konkurentiem Universal, EMI un Warner Music Group, kas visi bija licencējuši XCP1 līdz 2002. gadam.
Taču šī metode nedarbosies patērētāju kompaktdiskiem, kuriem bija jābūt atskaņojamiem visu veidu ierīcēs, tostarp datoros, DVD atskaņotājos, video CD atskaņotājos un parastajos atskaņotājos. Tāpēc First 4 Internet izstrādāja jaunu programmu XCP2, kas izmanto gudrāku, nedaudz pieļaujamāku pieeju, ko sauc par sterilu dedzināšanu. Šis nepatīkamais termins vienkārši nozīmē, ka aizsargāta kompaktdiska pircēji var to izvilkt savā datorā, pēc tam ierakstīt kopijas atpakaļ tukšos CD-R, taču šīs kopijas nevar izmantot, lai izveidotu jaunas kopijas. (XCP2 kļuva pazīstams vienkārši kā XCP.)
Saskaņā ar Prinstonas universitātes datorzinātnieku Ed Felten un J. Alex Halderman teikto, kuri akadēmiskās izmeklēšanas ietvaros izstrādāja XCP, programmatūrai ir vairākas atšķirīgas funkcijas, kas tiek izsauktas atsevišķi. Pirmo reizi, kad datorā tiek ielādēts ar XCP aizsargāts disks, lietotājam tiek lūgts piekrist Sony BMG galalietotāja licences līgumam (EULA). Pēc tam tas iekopē vairākas programmas un draiverus cietajā diskā un palaiž patentētu multivides atskaņotāja programmu. Pēc instalēšanas saskaņā ar februārī publicēto balto grāmatu — Halderman un Felten jaunie draiveri klausās citu multivides atskaņotāju, piemēram, iTunes, mēģinājumus nolasīt kompaktdiskā esošos audio ierakstus; ja tie tādu konstatē, tie CD diskdziņa atgrieztos datus aizstāj ar nejaušu troksni. Tikmēr XCP aizmugurējās durvis ļauj patentētajam multivides atskaņotājam nolasīt diska neapstrādātos datus bez kropļojumiem.
Multivides atskaņotājā ir iebūvēta ierakstīšanas programma, kas ļauj kompaktdiska īpašniekam izvilkt līdz trim tā kopijām un ierakstīt tās CD-R. Šajās kopijās būs viss oriģinālajā diskā, tostarp audio ieraksti, multivides atskaņotājs un kopēšanas aizsardzības programmatūra. Bet tie būs sterili: dedzināšanas programma tiks atspējota, kas nozīmē, ka kopijas var tikai atskaņot, nevis izvilkt un vēlreiz sadedzināt. Lietotāji var arī izvilkt atsevišķus ierakstus vai veselus albumus savos cietajos diskos un pēc tam ierakstīt līdz trim kopijām CD-R diskā Windows Media Audio formātā.
Ja lietotājiem būtu viegli apiet vai atspējot visas šīs sarežģītās funkcijas, kopēšanas aizsardzības sistēma būtu bezjēdzīga. Un šeit ir strīda punkts par XCP un Sony BMG diskiem: pirmie 4 interneta izstrādātāji nolēma, ka vairāki programmas faili un darbības ir jāslēpj no vidusmēra lietotājiem. Draiveri, kas traucē, piemēram, citu multivides atskaņotāju mēģinājumiem lasīt aizsargātu kompaktdisku, bija jāglabā slepenā vietā, kur lietotāji tos nevarēja atrast un noņemt. Tad bija fails, ko XCP izmanto, lai saskaitītu kompaktdiska kopiju skaitu, ko lietotājs joprojām drīkst izgatavot. Degšanas programma tiek atspējota tikai tad, kad skaitītājs sasniedz nulli. Ja pieredzējuši lietotāji varētu atrast šo failu, viņi varētu mainīt skaitītāja vērtību atpakaļ uz trīs pēc katras ierakstītās kopijas.
Pati slepenība ir ikdiena programmatūras nozarē, taču tas bija savādāk. Pirmie 4 internets sasniedza slepenību izmantojot rootkit , tad Sony BMG nevēlējās pastāstīt saviem klientiem par programmas klātbūtni vai nodrošināt vienkāršu veidu, kā to atinstalēt. Termins rootkit cēlies no datortīkliem, kuros izmanto Unix stila operētājsistēmas, kur sistēmas administratoram – personai, kurai ir visas tiesības un privilēģijas mainīt sistēmu – ir saknes piekļuve. Pirmie sakņu komplekti, kas tika sarakstīti 90. gadu vidū, bija programmatūras rīku kolekcijas, kuras izmantoja Unix hakeri, lai iegūtu root piekļuvi un deponētu negodīgu kodu, neatstājot pēdas. Windows sakņu komplekti parādījās 1999. gadā un kļuva tik ierasti, ka tos varēja bez maksas lejupielādēt no hakeru kolektīviem, piemēram, no tiem, kas veido tiešsaistes žurnālu. Rootkit ( www.rootkit.com ). Sarežģītākas versijas par dažiem simtiem dolāru varēja iegādāties internetā.
Pirmie 4 interneta vadītāji, atsaucoties uz notiekošo tiesvedību, neatbildētu Tehnoloģiju apskats Tāpēc mēs nezinām, vai uzņēmuma izstrādātāji zināja, ka viņi veido sakņu komplektu, vai arī viņi XCP modelēja pēc kāda no atvērtā pirmkoda vai komerciālajiem sakņu komplektiem. Tomēr nepiederošie, kas pārbaudīja XCP kodu, atklāja, ka tajā ir daži atvērtā pirmkoda komponenti, tostarp kods no vienas programmas, kas kodē mūziku MP3 formātā, un citas programmas, kas šifrē un atšifrē mūziku, kas lejupielādēta no Apple iTunes. (Pēdējais, pēc Haldermana domām, acīmredzot bija daļa no nekad īstenotā plāna padarīt XCP saderīgu ar iTunes.)
Vēl viens nezināmais ir tas, vai XCP izstrādātāji zināja, ka rootkit, kas instalēts klienta datorā, var atvērt eju citiem vīrusiem un Trojas zirgu programmām. Bet Prinstonas Haldermans saka, ka First 4 Internet programmētāji noteikti apzinājās, ka viņu izmantotā maskēšanas metode bija labi zināma ļaunprātīgas programmatūras autoriem. Viņiem bija jāmācās par šo tehniku no citiem avotiem, saka Haldermans. Un, pētot, kā izmantot šo paņēmienu, ir gandrīz neiedomājami, ka viņi nebūtu atklājuši, ka [citas ļaunprātīgas programmatūras maskēšana] ir kaut kas tāds, ko dara rootkit.
Jebkurā gadījumā uzņēmuma slēpšanas paņēmiens bija ļoti efektīvs – tiktāl, ka neviens drošības eksperts nepamanīja rootkit vismaz sešus mēnešus pēc pirmo pret kopēšanu aizsargāto disku izlaišanas. Taču drīz pēc tam, kad Russinovičs publicēja savu ziņojumu, ļaunprogrammatūras autori atklāja, ka viņi var izmantot rootkit, lai operētājsistēmai neredzētu jebko, sākot no vīrusiem un beidzot ar spiegprogrammatūru. Patiešām, mazāk nekā divas nedēļas pēc tam, kad parādījās Sony BMG rootkit, parādījās pirmā ļaunprogrammatūras programma, kas izstrādāta tā izmantošanai. Tas bija aizmugures Trojas zirgs ar nosaukumu Troj/Stinx-E, kas paredzēts, lai paslēptos saknes komplektā un ļautu citām programmām pārņemt lietotāju datorus, izmantojot savienojumus ar tūlītējās ziņojumapmaiņas sistēmu, ko sauc par Internet Relay Chat.
Somijas savienojums
F-Secure galvenā mītne atrodas kastītē stikla un alumīnija ēkā Helsinku nomalē, tikai kvartāla attālumā no rūpnīcas, kur Nokia ilgu laiku pirms tā kļuva par mobilo tālruņu kompāniju, Somijas masīvā kara ietvaros izgatavoja tūkstošiem kilometru tērauda kabeļu. reparācijas Padomju Savienībai.
F-Secure otrā stāva komandu centrā dominē trīs lieli video ekrāni. Vienā ir attēlota plaši pazīstama datorvīrusa arhitektūra tā, it kā tā būtu milzīga, rotējoša kosmosa stacija. Cits parāda reāllaika karti par ļaunprātīgas programmatūras darbību visā pasaulē. Mika Stahlberg, F-Secure pētījumu vadītājs, izmanto trešo ekrānu, lai ilustrētu XCP slepenās funkcijas.
Es varu demonstrēt, izmantojot Van Zant albumu, saka Štālbergs. Viņš ievieto Tiecieties kopā ar vīrieti , veterānu rokeru Džonija un Donija Van Zantu kantri albums, ievietots datorā zem komandu centra trīsstūrveida konferenču galda. Mēs to pasūtījām no Amazon pagājušā gada oktobrī. Labi, es ievietoju šo, un tas sākas pēc noklusējuma. Šeit ir EULA. Protams, es vēlos klausīties mūziku, tāpēc es noklikšķiniet uz 'Piekrītu'.
Atskaņotājs instalējas pats un palaižas automātiski. Tagad Štālbergs maskēšanas demonstrācijai izvēlas jūrascūciņu: Windows kalkulatora piederumu. Viņš palaiž kalkulatoru, pēc tam atver Windows uzdevumu pārvaldnieku un atlasa cilni Procesi, kur lietotājs var skatīt sarakstu ar visām programmām, kas pašlaik darbojas iekārtā. Labi, mēs redzam, ka tas ir tur procesu sarakstā — to sauc par “calc.exe”. Tagad pārdēvēsim to.
Štālbergs aizver kalkulatoru, atrod faktisko programmas failu cietajā diskā un piešķir tam ļoti konkrētu nosaukumu: $sys$calc.exe. Viņš restartē kalkulatoru. Tagad vēlreiz apskatiet procesu sarakstu. Kalkulators ir pazudis.
Štālbergs tikko atklāja Sony BMG rootkit galveno funkciju: padarīt nenosakāmu jebkuru failu, kas sākas ar prefiksu $sys$. Starp failiem, ko XCP slēpj šādā veidā: aries, vadošā programma, kas pārsūta ziņojumus starp lietojumprogrammām un operētājsistēmu; krāteris, filtra draiveris, kas neļauj citām programmām lasīt CD-ROM; un $sys$parking, kas uzskaita, cik reižu degošā lietojumprogramma ir izmantota.
Tas, ko dara gandrīz visi rootkit, ir filtrē izvadi, ko lietojumprogrammas iegūst no noteiktām operētājsistēmas funkcijām, skaidro Štālbergs. XCP filtrē jebkuru izvadi, kas atzīmēta ar $sys$ prefiksu, tāpēc Štālberga demonstrācijā, kad uzdevumu pārvaldnieks prasīja operētājsistēmai Windows palaist programmu sarakstu, tika atgriezts viss, izņemot kalkulatoru. Programma, kuras nosaukumā ir prefikss $sys$, iespējams, darbojas — tā patiešām var aizņemt lielu daļu no sistēmas atmiņas un CPU laika —, bet sarakstā Procesi un citām lietojumprogrammām, piemēram, Windows Explorer, tā neeksistē. .
Protams, Štālbergs un viņa kolēģi F-Secure neko nesaprata, kad pirmo reizi pārbaudīja pret kopēšanu aizsargātu Sony BMG disku, Switchfoot. Nekas nav Skaņa . Tūlīt pēc Džona Gvarino žurnāla faila saņemšanas viņi pasūtīja kompaktdisku un instalēja to karantīnas datorā, pēc tam izmantoja paša F-Secure rootkit noteikšanas programmu Blacklight, lai noskaidrotu, kā diska programmatūra ir mainījusi iekārtas operētājsistēmu. Blacklight atklāja, ka sistēmā ir vairāk failu, nekā norādīja Windows Explorer, kas ir nepārprotama rootkit pazīme.
Sākumā F-Secure pētnieki nevēlējās apzīmēt Sony BMG rootkit kā drošības apdraudējumu, jo tas acīmredzami tika izmantots aizsardzībai pret kopēšanu, nevis vīrusu izplatīšanai vai uznirstošo reklāmu rašanai. DRM kā tāda nav slikta, saka Santeri Kangas, F-Secure pētniecības direktors. Bet, kad mēs analizējām, ko tas varētu darīt kā a transportlīdzeklis par ļaunprātīgu programmatūru mēs nostājāmies un teicām: 'Tas ir bīstami.'
F-Secure sazinājās ar Sony par rootkit ievainojamību 17. oktobrī. Saskaņā ar Kangas teikto, attiecības sākās slikti. Nezinot, pie kā vērsties, F-Secure vispirms nodeva problēmu Sony DACD, Austrijas meitasuzņēmumam, kas ražo kompaktdiskus. Viņi teica: 'Paldies, bet tas ir no Sony BMG,' stāsta Kangas. Kad viņš un viņa kolēģi beidzot sasniedza Sony BMG galveno mītni Losandželosā, pirmā reakcija, ko saņēmām, bija: kāpēc mēs runājām par viņu kopēšanas aizsardzības programmatūru ar konkurējošu Sony vienību? Viņi bija diezgan dusmīgi.
Kad apsūdzības tika novērstas, Sony BMG DRM vadītāji lūdza Kangasam un viņa darbiniekiem strādāt ar First 4 Internet, lai aizsargātu aizsargāto kompaktdisku īpašniekus. No mūsu viedokļa vienīgais risinājums šai pirmajai XCP versijai bija pārtraukt tās izvietošanu, saka Kangas. Bet tas bija kaut kas, ko viņi acīmredzami nevēlējās darīt. Saskaņā ar Kangas teikto, First 4 Internet plāns bija vienkārši izlaist jaunu XCP versiju 2006. gadā bez rootkit — nevis aizstāt miljoniem jau iegādāto disku — un piedāvāt atinstalēšanas rīku klientiem, kuri to lūdza.
Kangas un viņa komanda sagatavoja publisku ziņojumu par sakņu komplektu, taču gaidīja First 4 Internet atinstalētāju pirms tā izlaišanas, kā to pieprasa interneta drošības bizness. Toreiz viņus ar sitienu sita teksasietis Marks Russinovičs.
Russinovičs un kolēģis Braiss Kogsvels ir Sysinternals.com, kas ir viens no vadošajiem ASV emuāriem par datoru drošību, autori. Russinovičs ir arī galvenais programmatūras arhitekts Ostinā bāzētajā Winternals Software un, nejauši, dažu XCP izmantoto maskēšanas metožu izgudrotājs. Viņš un Kogsvels daļu 2005. gada bija pavadījuši, strādājot pie Rootkit Revealer, noteikšanas programmas, kas līdzīga F-Secure Blacklight. Kādu dienu oktobra beigās Russinovičs savā personālajā datorā palaida Rootkit Revealer, lai pārbaudītu, vai programma nerada viltus pozitīvus rezultātus. Russinovičs saka, ka viņš apzināti izvairās no sliktākajām interneta vietām, lai savā datorā nebūtu ļaunprātīgas programmatūras, tāpēc viņš bija pārsteigts, kad Rootkit Revealer atrada īstus rootkit failus.
Tāpat kā Gvarino, Russinovičs atklāja, ka failu dzēšana atspējoja viņa CD-ROM disku. Pat sarežģīts mājas lietotājs, ja viņš mēģinātu atinstalēt rootkit, izdzēšot failus, sabojātu savu mašīnu, saka Russinovičs. Taču, tā kā viņš pats bija izdomājis lielāko daļu triku, ko Windows sakņu komplekti izmanto, lai maldinātu operētājsistēmu un citas lietojumprogrammas, viņš nebija satraukts. Russinovičs varēja apiet rootkit maskēšanas funkciju un, atceroties, ka viņš nesen bija atskaņojis pret kopēšanu aizsargāto Sony BMG disku Tiecieties kopā ar vīrieti savā datorā — izsekojiet failiem, kurus tas bija slēpis, līdz First 4 Internet un Sony BMG.
Mani satrauca fakts, ka šī lieta manā datorā bija instalējusi rootkit programmatūru, saka Russinovičs. Tas bija uzstādījis sevi, man neko neteicot. Šķiet, ka nav neviena atinstalētāja. Bet pats pārsteidzošākais bija uzskriet saknes komplektam, kas bija daļa no labi zināma uzņēmuma DRM.
Russinovičs par savu atklājumu nesazinājās ar Sony BMG; drīzāk viņš savus atklājumus ievietoja dusmīgā emuāra ierakstā, kas publicēts Helovīnā. Dažu stundu laikā Russinoviča ziņu pārtvēra Slešdota, slavenā pakalpojuma News for Nerds mājvieta. Un no turienes rootkit stāsts plosījās visā emuāra sfērā un pat galvenajos laikrakstos. F-Secure — lai gan to bija izmantojis Russinovičs — ātri atgriezās spēlē, 1. novembrī publicējot savu rootkit analīzi.
Mūzikas fanu un tehnoloģiju vērotāju reakcija uz rootkit ziņām bija sprādzienbīstama. Dažu dienu laikā anti-DRM aktīvisti sāka vairākus boikotus pret Sony BMG. 9. novembra virsraksts tika izskanējis Sony, kura mērķis ir pirāti, un tas skar lietotājus Kristīgās zinātnes monitors . Pretvīrusu un drošības uzņēmumi izplatīja brīdinājumus, iesakot patērētājiem izvairīties no Sony BMG diskiem vai tos atgriezt. Emuāru autori uzmundrināja liesmas; Saskaņā ar emuāru meklētājprogrammu Technorati, vārds rootkit parādījās emuāros 150 līdz 750 reizes katru dienu visu novembri.
Temperatūra vēl vairāk uzliesmoja pēc 4. novembra, kad Russinovičs savā emuārā paziņoja, ka cita programmatūra, kas pievienota Sony BMG diskos esošajam XCP, piezvanīja uz mājām, sazinoties ar Sony BMG, izmantojot internetu ikreiz, kad lietotājs atskaņo aizsargātu kompaktdisku. Rīkojoties pēc somu hakera un datorzinātņu studenta Matti Nikki padoma, Russinovičs izmantoja tīkla izsekošanas programmu, lai analizētu datplūsmu, kas ieplūst viņa datorā un no tā. Viņš atklāja, ka palaišanas laikā aizsargātie kompaktdiski Sony BMG serverī pārbaudīs jaunu materiālu rotējošai reklāmkaroga reklāmai, kas tiek rādīta kopā ar atskaņotāju. Šī apmaiņa bija pietiekami nekaitīga; bet Russinovičam un viņa emuāra lasītājiem apvainojums bija tas, ka Sony BMG kompaktdisku EULA nebija atklājis, ka programmatūra nosūtīs datus uzņēmumam, vai arī norādījis, kā šie dati tiks izmantoti. Es šaubos, vai Sony kaut ko dara ar datiem, rakstīja Russinovičs, taču ar šāda veida savienojumu viņu serveri varētu ierakstīt katru reizi, kad tiek atskaņots pret kopēšanu aizsargāts kompaktdisks un tā datora IP adrese [atrašanās vieta internetā], kas to atskaņo.
Drošības speciālisti, emuāru autori un mūzikas fani nebija vienīgie, kas bija satraukti. ASV Iekšzemes drošības departaments kritizēja Sony BMG par tādu produktu izlaišanu, kas apdraud pretvīrusu programmatūru un pakļāva gan valdībai, gan privātiem datoriem hakeriem. 10. novembra tirdzniecības konferencē par pirātismu Stjuarts Beikers, departamenta sekretāra vietnieks politikas jautājumos, pārmeta lielajiem medijiem par to apsēstību ar DRM. Ir ļoti svarīgi atcerēties, ka tas ir jūsu intelektuālais īpašums, [bet] tas nav jūsu dators, sacīja Beikers.
Atkal un atkal cilvēki, kuri saskārās ar rootkit, izteica pārkāpuma sajūtu. Datoru konsultants Džons Gvarino piedāvā šo analoģiju: Pieņemsim, ka vēlaties savā dzīvoklī uzstādīt kabeļtelevīziju. Jūs zvanāt kabeļtelevīzijas uzņēmumam. Viņi saka, ka kāds nāks un uzstādīs. Kabeļa puisis liek jums kaut ko parakstīt, pirms viņš ienāk dzīvoklī. Pēc tam jūs uzzināsit, ka viņš faktiski neizgāja no dzīvokļa, kad bija pabeidzis. Viņš joprojām slēpjas. Un jūs piezvanāt uzņēmumam un sakāt: 'Šis puisis joprojām ir šeit', un viņi saka: 'Bet jūs parakstījāt dokumentu.' Un jūs sakāt: 'Jā, bet viņam joprojām nevajadzētu būt šeit.' Kur viņš ir?’ Un viņi saka: ‘Mēs tev to neteiksim.’
Un šis puisis ne tikai slēpjas jūsu dzīvoklī – viņš patiesībā ēd no jūsu ledusskapja, dzer jūsu ūdeni, izmanto vannas istabu, un jūs nevarat viņu apturēt. Viņš varētu uzaicināt citus draugus un ielaist viņus. Un, ja jūs mēģināt viņu atrast un pats izvest, viņš metīs bumbas, un jums būs jāzvana celtniekiem, lai pārbūvētu visu jūsu dzīvokli.
Tas ir tas, ko Sony dara. Rootkit izmanto jūsu procesoru, tā izmanto jūsu atmiņu, jūsu cieto disku. Jūs to nevarat viegli izņemt, jo viņi jums nepateiks, kā to izdarīt. Ja mēģināt to izņemt, tas faktiski sabojā jūsu datoru. Vienīgais risinājums ir pārinstalēt visu operētājsistēmu. Tā ir pilnīga nelikumība, un tā ir nepieņemama.
Ar seju pret mūziku
Neskatoties uz F-Secure brīdinājumiem oktobra beigās, Sony BMG bija pārsteigts par strīdiem. Patiešām, vairākas dienas pēc tam, kad Russinoviča analīze parādījās ziņās, uzņēmuma vadītāji maz saprata dusmas, ko tas izraisīja daudzu tā klientu sirdīs. Lielākā daļa cilvēku, manuprāt, pat nezina, kas ir rootkit, tad kāpēc viņiem par to būtu jārūpējas? Sony BMG Hesse teica intervijā Nacionālajam sabiedriskajam radio 4. novembrī.
Taču vairāk nekā divu miljonu ar XCP aizsargāto disku īpašniekiem, ko Sony BMG pārdeva no janvāra līdz novembrim, ziņojumi bija šokējoši. Komerciālās programmatūras drošības trūkumi ir izplatīti; Piemēram, Microsoft produkti tiek izmantoti tik plaši, ka ļaunprogrammatūras autors galu galā atklās un izmantos pat vismazāko kļūdu, tāpēc programmatūras gigants katru mēnesi publicē atjauninājumus un ielāpus. Taču neviens programmatūras vai plašsaziņas līdzekļu uzņēmums, kas būtu līdzvērtīgs Sony BMG, nekad nebija izplatījis programmu, kas pēc drošības ekspertu vērtējuma bija apzināti izstrādāta, lai atdarinātu ļaunprātīgu programmatūru.
Sony BMG nekavējoties neatvainojās, bet mēģināja atrisināt problēmu. Tās pirmais solis novembra sākumā bija tīmekļa programmas publicēšana, ko klienti varētu izmantot, lai noņemtu XCP no savām sistēmām. Gājiens neko nepalīdzēja. Matti Nikki Somijā atklāja, ka failu, ko atinstalētājs ievietoja lietotāja datorā, lai atvieglotu saziņu ar Sony BMG serveriem, vēlāk var izmantot jebkura vietne, kas vēlējās nosūtīt un izpildīt ļaunprātīgu kodu. Saskaņā ar Feltens un Haldermans, kuri 15. novembrī savā plaši sekotajā emuārā Freedom to Tinker apstiprināja Nikija atklājumu, atinstalētājs radīja daudz lielāku drošības risku nekā pat oriģinālais Sony rootkit.
Dažas dienas vēlāk Sony BMG aizstāja tīmekļa atinstalētāju ar drošāku, lejupielādējamu. Un pakāpeniski šķita, ka uzņēmums apzinājās sabiedrisko attiecību katastrofas apjomu, ar kuru tas saskārās. 11. novembrī Sony BMG paziņoja, ka pārtrauks mūzikas kompaktdisku ražošanu ar XCP. 14. novembrī uzņēmums pauda nožēlu par klientiem sagādātajām neērtībām un paziņoja par apmaiņas programmu, lai aizstātu XCP aizsargātos diskus ar jauniem diskiem bez rootkit.
Saskaņā ar plašsaziņas līdzekļu ziņojumiem patērētāji bija iegādājušies 2,1 miljonu pret kopēšanu aizsargāto kompaktdisku. Cik daudzi no šiem klientiem patiešām atskaņoja kompaktdiskus savos datoros, tādējādi netīši instalējot rootkit, nav skaidrs. Taču Dens Kaminskis, neatkarīgs drošības pētnieks Sietlā, atklāja pierādījumus, kas saista Sony rootkit ar simtiem tūkstošu, ja ne miljoniem sistēmu 131 valstī. Viņš šo skaitli sauc par milzīgu, it īpaši, ja salīdzina ar interneta tārpu un vīrusu izplatības rādītājiem. Kaminskis ievietoja statistiku savā vietnē -doxpara.com kopā ar pasaules kartēm, kas parāda ietekmēto tīklu atrašanās vietas.
Tikmēr Sony BMG centās reaģēt uz konkrētajām bažām, kuras izvirzīja Russinovičs, Kaminskis un citi. 18. novembra vēstulē Electronic Frontier Foundation, kas iepriekš bija publicējusi savu atklāto vēstuli, kritizējot Sony BMG rīcību ar XCP epizodi, Sony advokāts Džefrijs Kanards sacīja, ka uzņēmums nekad neizpaudīs interneta adreses, kas tika savāktas, XCP piezvanot uz mājām, un ka, jebkurā gadījumā šīs adreses nekad nav bijušas saistītas ar personu identificējošu informāciju. Viņš arī teica, ka Sony BMG turpmāk būs uzmanīgāks, novērtējot kopēšanas aizsardzības programmatūru un ar to saistītos EULA. Visas pašreizējās un turpmākās kopēšanas aizsardzības tehnoloģijas, ko izmanto Sony BMG, tiks pārbaudītas, pārbaudītas un atklātas patērētājiem, rakstīja Cunard.
Ar Sony BMG pārstāvjiem sazinājās Tehnoloģiju apskats martā un aprīlī nenosauktu vadītājus, kuri ir atbildīgi par XCP licencēšanu no First 4 Internet vai pret kopēšanu aizsargāto disku izlaišanu, un viņi atteicās padarīt vadītājus pieejamus intervijām. Tomēr uzņēmuma komunikāciju biroja direktors Korijs Shields sacīja, ka Sony BMG nekad nav bijis nolūks iekļaut kompaktdiskos programmatūru, kas rada drošības problēmas. Uzņēmuma nolūks bija nodrošināt patērētājiem draudzīgu tehnoloģiju, kas ļautu cilvēkiem izmantot vēlamo funkcionalitāti, sacīja Shields. Uzņēmuma nolūks noteikti nebija radīt problēmu.
Brīvības zona
2005. gada novembra atsaukumi, apmaiņa un atvainošanās nelika lietu mierā. Ņujorkas ģenerālprokurors Eliots Spicers kritizēja Sony novembra beigās pēc tam, kad izmeklētāji atklāja, ka diski ar XCP vēl nav izņemti no veikaliem. Federālā tirdzniecības komisija uzsāka izmeklēšanu, un Teksasas ģenerālprokurors Gregs Abots iesūdzēja tiesā Sony BMG par štata pretspiegprogrammatūras likumu pārkāpšanu. Prasītāji vismaz piecos štatos iesniedza prasību, pieprasot zaudējumu atlīdzību pret Sony BMG par viņu datoru sabojāšanu.
Sony ātri tika galā ar šiem uzvalkiem. Pirms decembra beigām uzņēmums bija panācis provizorisku izlīgumu ar advokātiem, kuri bija apvienojuši prasības vienā sūdzībā ASV Ņujorkas dienvidu apgabaltiesā. Izlīgums ikvienam, kam pieder disks ar XCP, nodrošina rezerves disku, 7,50 USD skaidras naudas maksājumu un (ironiskā kārtā) bezmaksas mūzikas digitālās lejupielādes kompaktdiskā un līdz pat trīs citiem. Preses brīdī tiesa vēl nebija apstiprinājusi pilnu izlīgumu, bet aizstāšanas programma bija sākusies.
Taču dusmas par sakņu komplektu plašsaziņas līdzekļos un emuāros saglabājās pat pēc ziņām par ierosināto izlīgumu. Šķiet, ka tas, kas patiesi satrauca patērētājus, nebija viņu datoriem nodarītais kaitējums: Troj/Stinx-E Trojas zirgs nebija tālu izplatījies, un nebija laika, lai izceltos nopietna epidēmija citai ļaunprātīgai programmatūrai, kas izmanto XCP rootkit. Drīzāk kompaktdisku pircējus sarūgtināja tas, ka programmatūra apzināti slēpa savu klātbūtni un sazinājās ar Sony BMG bez viņu atļaujas. Viņi uzskatīja, ka XCP ir pārkāpusi pamataizsardzību – tiesības uz privātumu un privātīpašumu, kā arī vārda un piekļuves informācijai brīvību.
Esmu mūzikas fans un ar šausmām vēroju visu DRM gājienu līdz tādam līmenim, ka jums praktiski ir jāparaksta līgums, lai atvērtu kompaktdisku kastīti, saka Tims Džerets, Framingemas štata štatā, tīmekļa izstrādātājs un tehnoloģiju emuāru autors. Tātad, kad es redzēju, ka Sony ne tikai iekļauj šo DRM, bet arī dara to tā, ka tas paver cilvēku datorus ekspluatācijai, es domāju, ka kaut kas manī vienkārši salauzās. Jarrett nolēma izveidot Sony Boycott Blog, kas trīs mēnešus darbojās kā viens no galvenajiem informācijas centriem par rootkit sāgu. Spriežot pēc viņu atstātajiem komentāriem, Džareta lasītāji, kuru skaits sasniedza līdz 5000 dienā, bija tikpat sašutuši. Jums ir personīgās brīvības zona – personiskā telpa, kurā varat izlemt, piemēram, lasīt grāmatu no aizmugures vai izlasīt to 20 reizes, vai veikt piezīmes, lasīt vannā, vai veikt sketu. izspēlējot grāmatu draugam, saka tiesību profesore Džūlija Koena, kura studē intelektuālā īpašuma un datu privātuma tiesības Džordžtaunas Universitātes Juridiskajā centrā. Un automātiskais policists vai pat vienkārši arhitektoniskais aizliegums, kas piesavina šo personīgo telpu, ir kaut kas tāds, ko cilvēki izjūt kā ļoti uzmācīgu.
Es domāju, ka mēs atrodamies šajā periodā, kad satura nodrošinātāji cenšas pārkāpt robežas, saka Marks Russinovičs. Viņi vēlas redzēt, cik tālu viņi var iet, lai aizsargātu savu saturu, un kur ir šī smalkā robeža starp satura aizsardzību pret gadījuma pirātismu un patērētāju kaitināšanu.
Labs DRM
Sony BMG rootkit sāgas izvirzītie jautājumi ir par to, vai satura aizsardzība noteikti nozīmē, ka tiek pārkāptas patērētāju tiesības kontrolēt savu privātīpašumu, apdraudēt datora kā kultūras un radošuma instrumenta lomu un upurēt godīgas lietošanas principu (ASV autortiesību noteikums). likumu, kas atļauj ar autortiesībām aizsargātu darbu reproducēšanu kritikas, ziņošanas, izpētes un arhivēšanas nolūkos).
Sākotnējās pazīmes nav labas. Sony BMG kļūda – lai cik netīša tā arī būtu – bija norāde daudziem novērotājiem, ka autortiesību īpašnieki patiesībā saasina tehnoloģiju karu, izvēloties arvien dziļāk iejaukties klientu datoru darbībā, pārsteidzīgi un neuzmanīgi cenšoties ierobežot. bezmaksas ielāde.
Ja Sony neapstājas un veltīja laiku, lai pajautātu First 4 Internet, ko patiesībā darīja XCP, tā ir viņu vaina, saka Šneiers no Counterpane Internet Security. Es uzskatu, ka First 4 Internet ir mazāk vainīgs, jo Sony gribēja nopirkt kaut kādu burvju lodi, un viņi vienkārši teica: 'Šeit, izmantojiet mūsējo.'
Sony BMG nekad nav pilnībā pieņēmis vainu; pat decembra izlīguma līgumā uzņēmums noliedza, ka tam būtu juridiska atbildība vai kāds būtu cietis kādas nelikumīgas rīcības dēļ. Tomēr, ņemot vērā lielāko daļu korporatīvās atbildības pasākumu, Sony BMG ir pielicis ievērojamus pūliņus, lai kompensētu rootkit fiasko. Šķiet, ka uzņēmums tagad uzmanās pārkāpt Russinoviča smalko līniju. Ir jāatrod līdzsvars starp satura aizsardzību un tehnoloģiju kopšanu un aizsardzību, atzīst Sony BMG pārstāvis Korijs Shields.
Patiešām, Sony BMG kļūdas rootkit gadījumā sniedz zināmu ieskatu par to, kā, gluži pretēji, izskatītos laba digitālo tiesību pārvaldība.
Pirmkārt, saka datoru drošības speciālisti, labam DRM vajadzētu būt caurspīdīgs . Šiem profesionāļiem rootkit epizode pārāk tālu aiznesa slepenību. Ja sakņu komplekts nodrošina slēptuvi vīrusiem, tārpiem un Trojas zirgiem, tas ievērojami apgrūtina darbu, ar ko saskaras datoru vīrusu skenēšanas programmatūra. Un, ja likumīgāki uzņēmumi sāk izstrādāt savu programmatūru, lai atdarinātu ļaunprātīgu programmatūru, šis darbs kļūst gandrīz neiespējams. Tagad visai jūsu drošības programmatūrai ir jānošķir “labs” ļaunprātīgais kods un “slikts” ļaunprātīgais kods, saka Šneiers.
Tāpēc, lai DRM programmatūra būtu patērētājam draudzīga, tai jābūt draudzīgai datoram. Tam nevajadzētu slēpties no datora operētājsistēmas, kā arī aizņemt vairāk par apstrādes vai atmiņas daļu. Un programmatūras lietošanas noteikumi un funkcijas ir jāizklāsta lietotājam skaidri saprotamā veidā, nevis jāiekļauj 20 lappušu EULA. Cilvēkiem ir jāsaprot viņu noslēgtais darījums un ierobežojumi, uz kuriem viņi var tikt pakļauti, saka Deivids Sons, Vašingtonas Demokrātijas un tehnoloģiju centra personāla konsultants, kas specializējas intelektuālā īpašuma tiesību jautājumos.
Otrkārt, DRM tehnoloģijai vajadzētu ievērot lietotāju privātumu un drošību . Tai ir jāapkopo tikai tā personiskā informācija, kas nepieciešama autentifikācijai, un tikai pēc lietotāju piekrišanas saņemšanas. Un satura aizsardzības pasākumus nevar īstenot uz datorsistēmas drošības rēķina pret īstu ļaunprātīgu programmatūru.
Treškārt, labam DRM jābūt lietotājam apkalpojams . Ja DRM sistēma sabojājas, patērētājiem joprojām vajadzētu būt iespējai piekļūt iegādātajam saturam, un, ja tas kļūst par drošības apdraudējumu, viņiem vajadzētu būt iespējai to izslēgt. Tomēr saskaņā ar ASV 1998. gada Digitālās tūkstošgades autortiesību likumu (DMCA) ir nelikumīgi apiet tehnoloģiju, kas aizsargā digitālo saturu. Nav izņēmuma gadījumos, piemēram, Sony BMG rootkit gadījumā, kad pati DRM tehnoloģija var radīt kaitējumu. Šo dīvaino situāciju varētu novērst, ja dažu likumdevēju centieni grozīt Digitālās tūkstošgades autortiesību likumu gūs panākumus. 14. decembrī jau trešo Kongresa sesiju pēc kārtas pārstāve Zoja Lofgrēna, demokrāte no Silīcija ielejas, iesniedza likumprojektu, kas ļaus likumīgi apiet DRM tehnoloģiju, ja neaizsargātais saturs pēc tam tiek izmantots tādiem mērķiem, kas nepārkāpj tiesības, piemēram, arhivēšanai. . Lofgrēna likumprojekts ir nodots Pārstāvju palātas Tieslietu komitejai, kur tas gaida izskatīšanu.
Ceturtā un, iespējams, vissvarīgākā, ir jābūt labai DRM tehnoloģijai elastīgs . Sony BMG piedāvājums klientiem ar XCP bija diezgan trūcīgs: iegādājieties šo kompaktdisku par 13,98 USD, un jūs varat izveidot trīs kopijas tikai Windows Media Audio formātā. Kopijas nevar nokopēt, un tās netiks atskaņotas citu cilvēku datoros. Turpretim saprātīga DRM sniegtu patērētājiem brīvību izmantot iegādāto saturu tā, lai tie nepārkāptu tiesības, piemēram, izvilkt to datorā un augšupielādēt savos mobilajos atskaņotājos vai, iespējams, ļautu viņiem izvēlēties, kā tieši to izmantot. saturu un attiecīgi maksu. Laika maiņa (tiešraides audio plūsmu ierakstīšana patēriņam vēlāk), vietas maiņa (mūzikas straumēšana internetā no mājas datora uz attālu vietu) vai pat izlases veidošana un remiksēšana var būt saistīta ar dažādām cenu zīmēm. Sohn saka, ka tirgum ir jāatlīdzina vai jāsoda produkti, pamatojoties uz to, vai tie nodrošina cilvēkiem vēlamo elastību.
Dažas DRM tehnoloģijas piedāvā lielāku elastību. Sohn norāda uz FairPlay, DRM sistēmu, kas ir Apple iTunes pamatā, kā piemēru, ko citi satura izplatītāji varētu labi atdarināt: klienti var klausīties FairPlay aizsargātas dziesmas datorā, izveidot atskaņošanas sarakstus, ierakstīt šos atskaņošanas sarakstus kompaktdiskos un pārvietot dziesmas uz pārnēsājamas ierīces. (Tomēr Sohn neatbalsta FairPlay nespēju darboties ar produktiem, kas nav Apple produkti.) iTunes mūzikas veikala panākumi, norāda Sohn, liecina, ka šī funkciju kombinācija atbilst patērētāju pieprasījumam. TiVo to Go ir vēl viens piemērs: TiVo digitālo videomagnetofonu īpašnieki var pārsūtīt ierakstītās pārraides uz DVD, galddatoriem, klēpjdatoriem un mobilajām ierīcēm, piemēram, video iPod un Sony PlayStation Portable.
Taču katram iTunes un TiVo joprojām ir daudz piemēru ierobežojošām DRM shēmām, kas pret klientiem izturas kā pret noziedzniekiem. Kamēr nebūs panākta vienprātība par to, kādas tiesības ir pelnījuši patērētāji un kādi ierobežojumi ir nepieciešami, lai aizsargātu mākslinieku un viņu studiju ienākumus, digitālā satura iegāde, iespējams, turpinās būt sarežģīts bizness.
Intelektuālā īpašuma īpašniekiem ir absolūtas tiesības aizsargāt šo īpašumu, saka Stīvens Tulūzs, Microsoft Security Response Center drošības programmu vadītājs, kur pētnieki pagājušajā rudenī pavadīja nedēļas, palīdzot Windows lietotājiem reaģēt uz rootkit epidēmiju. Taču kā patērētājs es vēlētos redzēt programmatūras pārdevējus un studijas, kas saņem atsauksmes no patērētājiem un izstrādā tehnoloģijas, kas to atspoguļo.
Galu galā ierakstu kompānijas labākā reakcija uz mūzikas ieņēmumu samazināšanos var būt vairāk iztēles, nevis lielākas kontroles.
Veids Roušs ir Technology Review vecākais redaktors.