Chip
01/2006: antivirový koutek
Koncem října se na webu Sysinternals objevil zajímavý článek Marka
Russinoviče, který podrobně popisoval, jak Mark zcela náhodou na svém počítači
objevil program typu rootkit. Tyto programy, o kterých jsem podrobněji psal
v červencovém čísle Chipu, používají stealth techniky a v systému
skrývají jak činnost svoji, tak i dalších škodlivých programů, které jsou
s nimi spojeny. Standardními prostředky nelze jejich aktivitu zjistit. Mark
je mimo jiné i zkušeným a opatrným uživatelem počítačů, a tak byl přítomností
takového programu dost zaskočen. Podrobně zkoumal, jak se program chová a co
všechno dělá, a k velkému překvapení zjistil, že se jedná o produkt firmy
First 4 Internet a že je součástí DRM (Digital Rights Manager - systém ochrany
proti kopírování), které používá firma Sony na některých hudebních CD,
prodávaných v USA. Rootkit se automaticky instaluje na počítačích, do kterých
je takto chráněné CD vloženo, a jeho úkolem je skrýt přítomnost dalších
ovladačů, které brání kopírování CD na daném počítači. Přesně tímto způsobem se
rootkit dostal i do Markova počítače – koupil si totiž album „Get Right with
the Man“ od bratrů Van Zantových, které si následně v počítači přehrál.
V EULA (licenční ujednání) nebylo o tomto typu ochrany ani slovo, rootkit
a příslušné drivery nešly žádným způsobem odinstalovat, a po jejich ručním
smazání zmizela jednotka CDROM z počítače a Markovi dalo spoustu další
práce, aby ji dostal zpět. Navíc zjistil, že při každém přehrání CD na
počítači, který je připojen k Internetu, se tato informace odesílá firmě
Sony, údajně proto, aby se zjistilo, zda k CD nejsou na webu nějaké nové
informace. Nicméně i o tomto chování EULA mlčí.
Brzy vyšlo najevo, že podobně chráněná CD se v Americe prodávají už od
dubna 2005. První reakce firmy Sony a First 4 Internet byly odmítavé, podle
jejich názoru přítomnost rootkitu neznamená pro uživatele žádné riziko. Nicméně
případu se brzy chopila média, a ta vyvinula na obě firmy poměrně velký tlak,
takže po několika dnech se na webu firmy Sony objevil program, který umí
rootkit odinstalovat a pro DRM ochranu nepoužívá takto agresivní a nebezpečné
metody. Samotné nalezení odinstalačního programu na stránkách Sony však není
jednoduché, uživatel se musí identifikovat a link obdrží emailem s označením
Confidential. Ozvaly se samozřejmě i antivirové firmy a také firma Microsoft,
která ohlásila, že tento rootkit bude detekován jeho programem Windows Defender
(původně MS AntiSpyware) v příští aktualizaci. Firmě Sony navíc hrozí
několik žalob od organizací, které chrání soukromí uživatelů, možná i další
soudní procesy – generální prokurátor státu Texas například ohlásil, že
požaduje 100 000 dolarů pro každého poškozeného. Takové požadavky jsou
možná nadsazené, nicméně firma Sony zcela jistě svojí ochranou zákon porušila a
měla by být nějakým způsobem potrestána. Určitě se v tomto případě jedná o
precedens, který by měl určit, jak daleko mohou firmy při ochraně svých
produktů zajít. Dnes Sony stahuje chráněná CD z trhu.
V čem tkví hlavní nebezpečí takto koncipované ochrany vlastních
programů? Instalace jakéhokoli rootkitu je pro systém velkým rizikem. Umožňuje
totiž skrývání nejen původních programů,
ale i všech dalších, které funkčnost rootkitu využijí. V tomto konkrétním
případě rootkit v systému skrýval před uživatelem i systémem veškeré
soubory a adresáře, jejichž jméno začíná na $sy$. Bylo jasné, že se brzy objeví
škodlivý kód, který se bude snažit tuto bezpečnostní díru zneužít. A opravdu to
netrvalo dlouho - po několika dnech se objevil trojský kůň, který se do systému
instaloval právě pod jménem $sys$xp.exe, jehož přítomnost je rootkitem maskována; následovalo
několik dalších. Uživatel, který si někdy na svém počítači přehrál legálně
koupené CD s ochranou firmy Sony, nemá příliš šancí zjistit, že se mu
trojský kůň v počítači usadil. Komerční programy by zkrátka takové metody
používat rozhodně neměly. To ale pravděpodobně dodnes u Sony nechápou, jinak by
prezident obchodní divize Thomes Hesse nikdy nemohl pronést větu: „Většina lidí
nechápe, co rootkit je, tak proč by se o ně měli starat?“. Je škoda, že to
nechápe ani pan Hesse. Kdyby to chápal, tak by spoustě lidí ušetřil velkou řadu
problémů a vlastní firmě spoustu peněz J!