Sinds Russinovich ontdekte dat sommige Sony audio-cd's een rootkit installeren, graaft hij dieper en dieper in de materie. Uit zijn zoektocht blijkt nu dat de patch voor de gemiddelde consument erg moeilijk te vinden is. Tevens stuurt de patch na installatie een versleutelde verzameling data. Om welke data het gaat is onduidelijk.

"Sony's aankondiging van de patch is een gebaar richting de media. De pers is geïnformeerd, klanten niet. Via de SonyBMG-website is de patch niet te vinden", schrijft Russinovich. Wie het bestaan van de patch kent, moet erg goed zoeken om hem te vinden, stelt de beveiligingsexpert.

ActiveX

Uiteindelijk komt de klant op een website terecht waar deze allerhande informatie moet invullen. Vervolgens ontvangt de consument een e-mail met een link naar de patch. Eenmaal op deze webpagina met patch aangekomen, vraagt Sony of de klant de rootkit wil deïnstalleren. Hiervoor moet er een ActiveX-control worden geïnstalleerd. Deze control heet CodeSupport.Ocx en is afkomstig van First 4 Internet: de maker van de rootkit. De klant moet tevens een reden opgeven waarom hij de software wil verwijderen. Binnen een werkdag ontvangt de klant vervolgens nog een e-mail.

Tot Russinovich zijn verbazing ontving hij vervolgens een e-mail met een unieke, dynamische url naar de uninstall-software. De inhoud van de e-mail is volgens Sony vertrouwelijk. Wie de link bezoekt vanaf een pc waar ook het aanmeldformulier voor de patch is verzonden, kan vervolgens de drm verwijderen.

Echter, wanneer de pagina bezocht wordt vanaf een andere pc, moet wederom de ActiveX-control van First 4 Internet worden geïnstalleerd. Indien de klant de unieke link uit zijn mail volgt op deze pc, dan krijgt hij een foutmelding dat het id-nummer niet overeen komt. "Hoe weet Sony dat de uninstall-link voor een andere pc is? Waarom moet ik een ActiveX-control installeren om een formulier in te vullen?", vraagt Russinovich zich retorisch af.

Unieke code

Om te zien wat de ActiveX-control exact doet, installeerde de expert Ethereal. Het blijkt dat de control versleuteld data verzendt. Dankzij een Regmon-trace zag Russinovich dat Sony een unieke code genereert aan de hand van de aanwezige hardware in de pc. Met behulp van deze unieke code kan de website van Sony bepalen of de uninstall-software ook daadwerkelijk op die pc is aangevraagd.

Samengevat staat Russinovich voor een aantal raadsels. "Waarom wordt de uninstall-link niet openlijk op de website gezet? Waarom moet je Sony tot twee keer aan toe vertellen dat je van de software af wilt? Waarom wordt de mail met link bestempeld als vertrouwelijk? Waarom krijgen klanten een unieke link voorgeschoteld?"

Voor de beveiligingsexpert is het zo klaar als een klontje. "Sony wil niet dat zijn klanten weten dat er drm geïnstalleerd is en wil al helemaal niet dat ze het verwijderen wanneer ze er per ongeluk achterkomen. Zonder overdrijven durf ik te stellen dat ik veel meer spyware en adware ben tegen gekomen die zich makkelijker laten verwijderen dan de software van Sony."

Lgpl

Uit onderzoek blijkt tevens dat de betreffende software een inbreuk op de Lesser Gnu Public License (LGPL) is. De ontdekking kan verstrekkende gevolgen hebben voor de muziekgigant, die zelf beweert alleen maar de auteursrechten te beschermen. Eerder dwongen rechters in Duitsland diverse bedrijven al om de broncode openbaar te maken en de benodigde spullen voor het compileren te leveren. Ook is het mogelijk een schadevergoeding te eisen.