Danke Sony!

Schön langsam verfestigt sich bei mir der Gedanke, dass jeder legale Kunde der Musikindustrie von dieser vertrieben wird. „Kunden“ illegaler Downloads kennen keinerlei Einschränkungen bezüglich der Nutzungen der Inhalte. Sie haben halt nur keine schönen Covers. Aber die haben Kunden von iTunes & Co. auch nicht. Das DRM („Digital Rights Managment“ oder besser: „Digital Restriction Management“) sorgt dafür, dass man so manche CD beispielsweise nicht mehr am MP3-Player mitnehmen kann.

Doch es kommt noch dicker: Nun werden legale Kunden von der Musikindustrie auch noch einem wirklichen Sicherheitsrisiko ausgesetzt!

Wie das kommt? Nun, Sony brachte CDs mit dem Label „enhanced content“ auf dem Cover auf den Markt. Statt „enhanced content“, installiert die CD beim ersten Abspielen am PC ein Programm. Zuvor wird der Benutzer noch gefragt, ob er mit der EULA (End User Licence Agreement) einverstanden ist. Ein Vorgang, den jeder kennt, der ein Computerprogramm installiert – niemand liest sich das wirklich durch. Bei diesem Programm handelt es sich um einen so genannten Rootkit. Solche Software ist unsichtbar – kein Programm kann sie auffinden, nicht einmal das Betriebssystem hat eine Ahnung davon, dass es da ist. Der „Aufdecker“ der ganzen Geschichte, Mark Russinovich von Sysinternals.com, verglich ein Verzeichnis, bei dem Windows und sein Rootkit-Entdeckungs-Programm unterschiedliche Werte lieferte.

Was macht der Rootkit?

  • Er verhindert offensichtlich, dass CDs gerippt werden – also aus der Audio-CD MP3-Dateien gemacht werden
  • Es macht ein „Phoning home“. Das bedeutet, dass bei jedem Abspielen einer CD, eine Information an Sony Music geht.
  • Das Schlimmste aber: durch einen Fehler im Code versteckt es alle Dateien, die mit $sys$ beginnen. Mark Russinovich kam darauf, als er zufällig seine notepad.exe in $sys$notepad.exe umbenannte – die Datei verschwand, wurde also selbst zum Rootkit.

Der Sony-Rootkit versteckt Viren
Die ersten beiden Punkte – zumindest aus der Sicht der Plattenbosse – noch zu entschuldigen wären, machen doch andere in der Musikindustrie auch ähnliches. Der dritte Punkt ist es mit Sicherheit nicht. Da ist Sony zu weit gegangen.

Sonys Umgang mit der Sache
In einer ersten Stellungnahme der Plattenfirma sprach man davon, dass es ohnehin noch keinen Exploit (Schadprogramm) für diese Lücke gebe. Dem ist nun nicht mehr so. Am Freitag ist der erste Virus dafür aufgetaucht. In seiner zweiten Stellungnahme ist sich Sony offenbar schon bewusst, dass es einen Virus gibt, meint aber, dass es keine Auswirkungen für all jene gäbe, die Rootkit-CDs in einem normalen CD-Player abzuspielen. Außerdem habe man einen Patch angeboten.

Nur: dieser Patch findet sich derart versteckt auf den Corporate-Sites von Sony/BMG. Auf den Startseiten des Konzerns findet sich rein gar keine Information über die Angelegenheit. Dieser Patch ermöglicht die Deinstallation des Rootkits. Und noch was: Sony/BMG sagt nicht einmal, wie viele CDs davon betroffen sind und wo diese in den Verkehr gebracht wurden. Mittlerweile sind zumindest zwei Klagen anhängig. Auf den diversen Startseiten von Sony/BMG finden sich zwar Suchformulare, eine Suche nach „XPC“ oder „XPC Aurora“ – also dem Namen des Rootkits bzw. dessen Hersteller brachte kein Ergebnis (siehe dritter Screenshot). Schlechter kann man seine Kunden wohl nicht mehr informieren – oder besser: vor seinen eigenen Produkten warnen.

Auch Apple betroffen
Und noch eine schlechte Nachricht: Nicht nur Windows PCs sind davon betroffen. Es ist auch die Rede, dass auf Rechnern mit Mac-OS-Betriebssystem diverse Kernel-Erweiterungen installiert werden.

Microsoft hilft
Unerwartete Unterstützung kommt von Microsoft. In einem Blog hat sich das Antimalware-Team zu der Sache geäußert. Die demnächst erscheinende finale Version von Microsoft Defender (ehemals Microsoft Antispyware) soll Rootkits dieser Art entfernen können.

Auch andere Antivirenhersteller werden reagieren und das Rootkit entfernen. Eine entsprechende Information, wie das gehen soll, hat Sony/BMG – nach eigenen Aussagen – an diese bereits übermittelt.

Bleibt nur noch ein Rat: Spielen Sie keine Sony-Audio CDs mit dem Label „enhanced content“ auf Ihrem PC ab.