Sony: l'ombra dei rootkit sulla tecnologia DRM

Sony: l'ombra dei rootkit sulla tecnologia DRM

Grande clamore e malumore per la nuova tecnologia DRM utilizzata da Sony per la protezione dei propri CD musicali. Una casuale scoperta ha portato alla luce tutti i dettagli di quello che puo essere considerato un vero e proprio rootkit, ovvero un gruppo di tool che agisce, all'oscuro dell'utente, nei meandri del sistema operativo

di pubblicato il nel canale Sicurezza
Sony
 

I fatti

Russinovich ha portato alla luce la nuova tecnologia Sony per il DRM, che consiste letteralmente nell'installare un rootkit nel sistema ospite.

La tecnologia, denominata XCP (Extended Copy Protection) e sviluppata per Sony da First 4 Internet Ltd., si prende la briga di creare una nuova directory, denominata "$sys$filesystem", all'interno della cartella di sistema di Windows.

La cartella non è visibile ma è comunque accessibile conoscendone il nome e contiene 8 files:

$sys$DRMServer.exe
$sys$parking
aries.sys
crater.sys
DbgHelp.dll
lim.sys
oct.sys
Unicows.dll

Inoltre vengono aggiunti due servizi di sistema:

HKLM\SYSTEM\CurrentControlSet\Services\CD_Proxy
HKLM\SYSTEM\CurrentControlSet\Services\$sys$DRMServer

e vengono installati 5 drivers:

HKLM\SYSTEM\CurrentControlSet\Services\$sys$aries
KLM\SYSTEM\CurrentControlSet\Services\$sys$cor
HKLM\SYSTEM\CurrentControlSet\Services\$sys$crater
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$OCT
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_$SYS$LIM

che permettono di nascondere la presenza del software DRM e di controllare le attività del CDROM e dei canali IDE.

Il driver aries.sys, responsabile della modifica del System Service Table (SST), intercetta e modifica le API

NtCreateFile
NtEnumerateKey
NtOpenKey
NtQueryDirectoryFile
NtQuerySystemInformation

in modo da nascondere i files con prefisso $sys$, che risulteranno di conseguenza invisibili sia all'utente che ai programmi.

Senza dubbio una tecnologia invasiva, che penalizza l'utente finale in diversi modi: il file $sys$DRMServer.exe per esempio utilizza spesso la CPU e non esiste al momento un procedimento facile per la rimozione di questa tecnologia.

Infatti se si prova manualmente, o con qualche software anti-rootkit, a rimuoverla, l'unico risultato sarà la disattivazione e la sparizione del drive CD dal sistema. Questo perché il rootkit, attraverso il driver nascosto $sys$crater, prende possesso del drive CD, così come il driver $sys$cor prende possesso del canale IDE.

Resta da vedere come le società di sicurezza reagiranno a questa novità.
Il rischio è che possano nascere dei malware che approfittino di questa situazione, nascondendosi per esempio nel pc con il prefisso $sys$. D'altro canto una rimozione forzata della tecnologia DRM potrebbe ricadere in una violazione del DMCA, che vieta di aggirare in modo illegale i sistemi di protezione anti-copia.

L'unico mezzo consigliato al momento per disinstallare questo rootkit è quello di contattare direttamente Sony attraverso questa pagina web.

Gli utenti possono, volendo, lasciare un commento riguardo questa situazione direttamente su questa pagina, riguardo una tecnologia che si è spinta forse troppo oltre rispetto a dove si sarebbe dovuta fermare.

UPDATE: Sony ha rilasciato a questo indirizzo un aggiornamento che dovrebbe rimuovere il driver Aries.sys, che causa l'invisibilità delle directory e dei files.

 
^