'Broncode rootkit Sony moet openbaar'

Volgens dit bericht op Nu.nl

Sony staakt productie van cd's met omstreden beveiliging

Uitgegeven: 12 november 2005 00:06
AMSTERDAM - De op een na grootste muziekproducent ter wereld, Sony, staakt de verkoop van cd's die zijn uitgerust met een bepaalde kopieerbeveliging. Dat heeft de directie van het bedrijf onder dreiging van een groot aantal rechtszaken vrijdag bekendgemaakt.

Het gaat om cd's die zijn voorzien van zogenoemde XCP-technologie, die er voor zorgt dat de cd maar een beperkt aantal keren gekopieerd kan worden en dat de muziek niet op een andere geluidsdrager, zoals een iPod, gezet kan worden. De XCP-techniek, die speciaal is geschreven voor computers die op Windows draaien, heeft als 'neveneffect' dat computers erg kwetsbaar worden voor hackers. Door virussen en spyware te 'vermommen' als onderdeel van de XCP-beveiligingstechniek kan, volgens deskundigen, gemakkelijk worden ingebroken op computers.

Om rechtszaken van gebruikers en bedrijven te voorkomen die benadeeld zijn door hackers die 'meeliften' op de XCP-software, heeft Sony besloten dat de beveiligingstechniek voorlopig niet gebruikt zal worden op nieuwe cd's. In samenwerking met Microsoft wordt gezocht naar een snelle oplossing voor de huidige problemen met de XCP-beveiliging.

Ben benieuwd of de al beveiligde disks ook weer 'ontveiligd' worden. Overigens heeft dat hele beveiligingscircus iets heel zieligs. Mi doet het Sony meer slecht dan goed. Maar goed ik hoef niets meer van ze; ze rotzooien maar spastisch verder. Alleen jammer voor de reguliere klant.
Bodosan

Zo is er een post in een nieuwsgroep, waar de vermoedelijke maker vraagt om kant-en-klare drm-code voor het wma-audioformaat van Microsoft.
(Link) Lee op Date: Fri, 3 Jan 2003 07:11:48 -0800
Lijkt gezien het tijdstip niet zo recent/relevant te zijn.
Bodosan

Volgens dit bericht op Nu.nl
Sony staakt productie van cd's met omstreden

Zoals wij zaterdag schreven bedoel je?
http://webwereld.nl/articles/38322

Jeroen,
Je hebt gelijk ik zag dat te laat. Echter mijn beide opmerkingen (ontveiligen reeds beveiligde cd's en het tijdstip van reactie mbt drm) blijven staan.
Mijn excuses voor de glitch.
Bodosan

Om aan de LGPL te voldoen zou hij inderdaad (moeten aanbieden) de broncode moeten publiceren. Echter het feit dat je niet aan de licentie van de LGPL voldoet maakt natuurlijk niet dat je alle rechten op je eigen software zomaar kwijt bent.

Dat is een fabeltje dat de tegenstanders van de GPL maar blijven verspreiden.

Je hebt alleen geen recht meer de software te verspreiden waar de lamemp3lib in zit. Dit is uiteraard te verhelpen.

Het is helemaal niet gezegd dat de DRM kit is gebaseerd op de Mp3 encoder Lame, zo blijkt uit postings op diverse site, het feit dat strings gevonden zijn kan er ook op duiden dat het programma probeert Lame te detecteren. DRM is natuurlijk iets anders dan Mp3 encoding.

En ook al gezien wat MS gaat doen? http://blogs.technet.com/antimalware/archive/2005/11/12/414299.aspx

We have analyzed this software, and have determined that in order to help protect our customers we will add a detection and removal signature for the rootkit component of the XCP software to the Windows AntiSpyware beta, which is currently used by millions of users.

En ook al gezien wat MS gaat doen?
http://webwereld.nl/articles/38330

Het is helemaal niet gezegd dat de DRM kit is gebaseerd op de Mp3 encoder Lame, zo blijkt uit postings op diverse site, het feit dat strings gevonden zijn kan er ook op duiden dat het programma probeert Lame te detecteren. DRM is natuurlijk iets anders dan Mp3 encoding.

Volgens de link in het artikel is er meer gevonden dan strings alleen: "lots of data from libmp3lame being included and easy to find."

Verder is het gek dat als men Lame probeert te detecteren, men strings includeert van een specifieke versie, namelijk 3.95. Alleen versie 3.95 zou "incompatible" zijn en andere niet?

Bovendien worden alle andere programma's gedetecteerd door eenvoudigweg naar de naam van de exe te kijken (zie website artikel met de "magic" lijsten). In het geval van het detecteren van versie strings zou men echt alle executables en dlls moeten gaan scannen op te kijken of die string er in zit. En waarom dan specifiek zoeken naar lame?

Al met al zou ik zeggen dat het er dik boven op ligt dat men, bedoeld of onbedoeld, lame heeft mee gelinkt, waarschijnlijk om mp3's te kunnen afspelen met de bijgeleverde player danwel een eerdere versie van die player, waarbij men onbewust nog steeds lame mee linkt.

Sony is in theorie niet verplicht om de source code van XCP te publiceren. Want ze kunnen altijd nog een commerciele licentie nemen op mpg123 en LAME.

@flebflab,

In principe kun je bij het niet houden aan de GPL worden aangeklaagd voor inbreuk op het auteursrecht. Ze kunnen dus kiezen: een straf voor inbreuk op het auteursrecht + onmiddelijke verwijdering van deze cds van de markt (geen verdere verspreiding + terugroepen van reeds verkochte cds _of_ voldoen aan de voorwaarden van de GPL (verspreiding brondcode en gebruik/aanpassing vrij onder de voorwaarden van de GPL). Dat wordt nog een lastige keuze vermoed ik...

Het artikel is erg onsamenhangend, of de redactie is clueless.

Eerst wordt geschreven over libraries, lGPL en dat er iets strijdig is. Aan het einde van het artikel gaat het over overgenomen code van uit het LAME opensource-project. De directe link (oorzaak-gevolg) wordt niet behandeld.

Wie denkt dat het bij Sony stopt met het gebruik van DRM en dat het alleen om kopieerbeveiliging gaat. Dit bedrijf stopt in nagenoeg elk apparaat beveilingsoftware (dvd-speler, autoradio, etc.), en zoals nu ook weer blijkt in digitale-camara's.

http://www.bbspot.com/News/2005/11/sony_photo_sharing.html

Voor mij geldt al meer dan 15 jaar, ik koop niets en nooit meer iets van Sony. En ik hoop dat der rest van de wereld dit nu ook langzaam gaat inzien.

Wie denkt dat het bij Sony stopt met het gebruik van DRM en dat het
alleen om kopieerbeveiliging gaat. Dit bedrijf stopt in nagenoeg elk
apparaat beveilingsoftware (dvd-speler, autoradio, etc.), en zoals nu
ook weer blijkt in digitale-camara's.
http://www.bbspot.com/News/2005/11/sony_photo_sharing.html
Voor mij geldt al meer dan 15 jaar, ik koop niets en nooit meer iets
van Sony. En ik hoop dat der rest van de wereld dit nu ook langzaam
gaat inzien.

Hahahaha :-) BBSpot... Heb je de title ook gelezen van die website?

Niemand gelooft toch werkelijk dat Sony de broncode van dit virus gaat vrijgeven?

GPL of LGPL het maakt echt niets uit, tenzij de OpenSource community iemand vindt die een rechtzaak wil financieren zodat die tot op het hoogste niveau kan worden uitgevochten. Sony zal bij het aanstevenen op verlies toch wel willen schikken en dat moet in zo'n zaak eigenlijk voorkomen worden.

We zijn helaas nu in een tijdperk aangeland waarbij grote bedrijven kunnen doen en laten wat ze willen. Consumenten worden voor kleine vergrijpen voor tonnen gedagvaard, grote bedrijven kopen af met een fooi en gaan gewoon verder met hun activiteiten.

Het enige dat echt helpt is als consument de geldkraan dichtdraaien; gewoon stoppen met geld naar ze toe brengen.

@tliet,

Daar zou ik niet te zeker van zijn. Er zijn al meerdere bedrijven door de knieen gegaan door GPL gerelateerde inbreuk op het auteursrecht rechtszaken. Meestal wordt er voor een uitspraak al eieren voor hun geld gekozen (en hoor je er dus weinig over tenzij je in de Open Source kringen verkeert), maar nog niet al te lang geleden is er in Duitsland een uitspraak over geweest. Je vergeet dat er ook vrij krachtige organisaties achter het Open Source gebeuren zit en er is vaak wel 1 te vinden (of de EFF) die dit wil aanvechten voor de rechter. Als bedrijven als CISCO door de knieen gaan wil ik nog zien of Sony het op een uitspraak wil laten aankomen.

@phulshof
Als bedrijven als CISCO door de knieen gaan wil ik nog zien of Sony het op een uitspraak wil laten aankomen.
Waarschijnlijk wachten ze ook dan weer tot het water tot de lippen staat. Taktisch een slecht moment om door de knieen te gaan.

Duidelijk geval van klassejustitie.
Als de één of andere individu had gedaan wat Sony doet had diegene allang aan de schandpaal gestaan bij de allerhoogste rechter.
Waarschijnlijk aangeklaagd door een bedrijf "zoals" of door Sony zelf.
Als je maar groot/rijk genoeg bent is je vrijheid wat betrefd het uithalen van dat soort fratsen vééééle malen groter.

Het lijkt er op dat Sony toch door de knieen gaat:

http://www.usatoday.com/money/industries/technology/2005-11-14-sony-cds_x.htm

Sony to pull controversial CDs, offer swap

"Sony BMG Music Entertainment said Monday it will pull some of its most popular CDs from stores in response to backlash over copy-protection software on the discs."

"Sony also said it will offer exchanges for consumers who purchased the discs, which contain hidden files that leave them vulnerable to computer viruses when played on a PC."

Persbericht: Kaspersky ontdekt backdoor programma voor Sony rootkit