Schlechte Presse für Sony - “Rootkit” als Kopierschutz

Die Musikindustrie experimentiert nach wie vor mit Kopierschutz-Möglichkeiten für Audio-CDs. Bei den ersten Versuchen erzeugte man eine Abspielsperre am PC, indem die CD gezielt Teile des Red-Book-Standards verletzte. Inzwischen findet man häufig auf solchen CDs einen Daten-Teil, der eine Playersoftware enthält, die die CD (kontrolliert) wiedergibt.
Sony ging nun einen Schritt weiter - wie die Entwickler von SysInternals durch Zufall entdeckten, installierte die Player-Software "nebenher" einen zusätzlichen Treiber, der sich ähnlich einem Rootkit im System verankert und versteckt. Er verhindert das Auslesen der CD durch andere Programme.
Sony dürfte sich damit aber einen Bärendienst erwiesen haben: Das Wort "Rootkit" in Zusammenhang mit "Kopiersperre" sorgt garantiert nicht für gute Presse.

Nach der Beschreibung von Mark Russinovich installiert sich der Treiber, ohne daß in den Lizenzvereinbarungen irgendetwas davon erwähnt wird. Angeblich erfordert die Playersoftware (die sich übrigens per Autostart öffnet) keine weitere Installation.
Der Treiber schiebt sich per "driver layering" unter den CD-Treiber von Windows; einmal aktiv, versteckt er Prozeß und zugehörige Dateien vor den Augen des Benutzers - so, wie man es bis dato nur von Rootkits kannte. Um ja kein Schlupfloch offen zu lassen, wird der Treiber auch im abgesicherten Modus geladen. Nun prüft das Programm regelmäßig, welche Prozesse welche Dateien geöffnet haben - und unterbindet gegebenenfalls "nicht legitime" Lesezugriffe.
Wer den Treiber entdeckt und die zugehörigen Dateien einfach löscht, zerstört dadurch die Layer-Kette der Treiber - CD-Laufwerke sind nun allgemein nicht mehr ansprechbar. Erst nach Entfernen der entsprechenden Registry-Einträge ist das CD-ROM wieder benutzbar.
Erschwerend kommt noch hinzu, daß der Treiber schlampig programmiert ist: Sysinternals entdeckte mehrere Probleme, die zu Instabilität des Systems führen können... Reparatur ausgeschlossen, der Treiber startet ja auch im abgesicherten Modus, und im Falle einer Fehlfunktion ist kein CD-ROM-Zugriff mehr möglich, also auch nicht auf die (vermeintlich) rettende Windows-CD.

Vielleicht sollte ein Anwalt überprüfen, ob ein solcher Eingriff ins System ohne Zustimmung des Benutzers nicht den Tatbestand der Computersabotage erfüllt.

comments powered by Disqus