[persbericht] Sony's rootkit bevat code om beveiliging Apple te
omzeilen
Arend Lammertink
lamare at tuks.nl
Fri Nov 18 12:32:02 CET 2005
PERSBERICHT VRIJSCHRIFT -- [ binnenland / Europa / economie / ICT ]
==========================================================================
18/11/05: Sony's rootkit bevat code om beveiliging Apple te omzeilen
==========================================================================
Amsterdam -- De XCP kopieerbeveiliging die Sony sinds enige tijd op haar
muziek cd's heeft aangebracht brengt niet alleen grote
beveiligingsrisico's met zich mee. Ironisch genoeg blijkt de XCP
technologie die gebruikt wordt om ongeoorloofde kopieën tegen te gaan
zelf ongeoorloofde kopieën van vrije programmatuur te bevatten.
Programmatuur die onder andere geschreven is door "Dvd" Jon Lech
Johansen en waarmee de kopieerbeveiliging van Apple omzeild kan worden.
Nadat de Finse hacker Matti "Muzzy" Nikki er achter kwam dat bepaalde
stukken code in het XCP installatie programma wel erg leken op die van
het mp3-codeerprogramma "LAME" ging hij op onderzoek uit. Conclusie: De
controversiële rootkit zelf bevat nog veel meer onderdelen van
verschillende vrije software projecten, waaronder de "de-DRMS" code die
DvD Jon samen met Sam Hocevar schreef om Apple's
kopieerbeveilings-systeem te omzeilen.
Thomas Dullien van de Duitse firma "Saber Security", die de software
ontwikkelde waarmee de hackers de XCP software analyseerden,
onderschrijft de bevindingen van Muzzy: "We kunnen bevestigen dat ten
minste 5 functies in de XCP software indentiek zijn aan LAME."
GPL
De "de-DRMS" code is aan het publiek ter beschikking gesteld onder de
GPL licentie, hetgeen betekent dat de XCP software niet verspreid mag
worden zonder dat de volledige broncode van het XCP programma openbaar
gemaakt wordt. "Dat is de keerzijde van de medaille" zegt internet
advocaat Christiaan Alberdingk Thijm. "Als je je niet aan de open source
regels houdt, wordt het oude regime van auteursrechtsbescherming
volledig van kracht." En dat betekent dat men expliciet toestemming van
de auteur nodig heeft om de software te mogen verspreiden.
Dit kan zowel Sony als de ontwikkelaars van het XCP systeem -- het
Britse First4Internet -- dan ook in grote problemen brengen. In veel
landen, waaronder Engeland, Amerika en Nederland, staat gevangenisstraf
op het op commerciele schaal inbreuk plegen op het auteursrecht. De
Europese Commissie werkt aan een richtlijn waarbij hier in heel Europa
vier jaar gevangenisstraf op komt te staan.
MICROSOFT en SYMANTEC
Pamela Jones, journalist voor de bekende website Groklaw, zet
vraagtekens bij de reactie van Microsoft en de anti-virus bedrijven op
de perikelen rond de rootkit. Ze refereert onder andere aan uitspraken
van First4Internet directeur Gilliat-Smith die verklaarde dat zijn
bedrijf nauw samenwerkt met grote antivirus makers, waaronder Symantec.
"Dus Symantec en 'de grote antivirus makers' wisten al van de rootkit?",
vraagt Jones zich af. "Afgaande op dit statement, lijkt het daar op.
Zijn zij dan mede aansprakelijk, net als Sony?"
Ook zet Jones vraagtekens bij de rol van Microsoft. "Deze CDs met
rootkits zijn al 8 maanden verkocht. Waar was Microsoft? Waarom hebben
zij en de antivirus makers deze rootkit niet al lang geleden opgemerkt?"
Ze haalt een lezer aan, die zich afvraagt of Microsoft ook van de
rootkit geweten heeft en dit bewust genegeerd heeft. "En als dat niet
het geval is, moeten we dan niet de legitieme vraag stellen of
Microsoft's anti-spyware wel 'verfijnd genoeg is om veranderingen op
systeem niveau te detecteren' zoals die door Sony's DRM gemaakt worden?
Welke verklaring is eigenlijk erger?"
==========================================================================
Nadere Informatie
==========================================================================
Berichtgeving Reuters:
http://today.reuters.com/news/newsArticle.aspx?type=technologyNews&storyID=2005-11-18T073035Z_01_MCC805647_RTRUKOC_0_US-SONYBMG-OPENSOURCE.xml
Wiki pagina over DvD-Jon
http://en.wikipedia.org/wiki/Jon_Johansen
Pamela Jones' artikel:
http://www.groklaw.net/article.php?story=20051113164717817
Uitspraken Giliat-Smith:
http://news.com.com/Sony+CD+protection+sparks+security+concerns/2100-7355_3-5926657.html
Opvallend is dat de naam Symantic verwijderd is uit bovenstaande pagina.
De quote is echter op verschillende plaatsen op het internet nog te vinden:
http://www.geek.com/news/geeknews/2005Nov/gee20051115033294.htm
http://www.schneier.com/blog/archives/2005/11/more_on_sonys_d.html
Muzzy's research about Sony's XCP DRM system
http://hack.fi/~muzzy/sony-drm/
Onderzoek door Sebastian Porst:
http://www.the-interweb.com/serendipity/index.php?/archives/56-Two-new-F4I-license-infringements-found.html
http://www.the-interweb.com/serendipity/index.php?/archives/55-Proof-that-F4I-violates-the-GPL.html
http://www.the-interweb.com/serendipity/index.php?/archives/51-Is-Sony-in-violation-of-the-LGPL.html
http://www.the-interweb.com/serendipity/index.php?/archives/52-Is-Sony-in-violation-of-the-LGPL-Part-II.html
Chronologisch overzicht van de Sony DRM zaak:
http://www.boingboing.net/2005/11/14/sony_anticustomer_te.html
==========================================================================
Contact
==========================================================================
Arend Lammertink:
arend at vrijschrift.org
tel. +316 5425 6426
==========================================================================
Over Vrijschrift -- http://www.vrijschrift.nl
==========================================================================
Stichting Vrijschrift heeft als doel het bevorderen en het beschermen
van intellectuele goederen die vrij te verspreiden en aan te passen
zijn. Vrijschrift probeert bewustwoording te realiseren van de
betekenis van het publieke domein voor de samenleving. Bescherming van
het publieke domein is van groot economisch en maatschappelijk belang
en vormt een belangrijke activiteit. Internationaal wordt samengewerkt
met de Foundation for a Free Information Infrastructure, de Free
Software Foundation, Project Gutenberg en vele andere organisaties.
More information about the News
mailing list