Ohrozím milióny ľudí. Potrestám tých, ktorí nič zlé nespravili. A keď sa to prevalí, tak sa im všetkým vysmejem. Pretože ja som veľké Sony a vy len smradi, ktorých by to nemalo zaujímať. Nuž, občas majú naše retročriepky aj trpkú príchuť. O to viac ich však treba poznať a nikdy na ne nezabudnúť.
Prelom storočí bol z pohľadu hudobného priemyslu skutočne turbulentné obdobie. Veľký nástup osobných počítačov a internetu spôsobil, že sa objavil úplne nový druh poslucháčskej platformy, ktorý celkom premenil trh.
Jeho čerstvou novinkou boli MP3 súbory, ktoré nepraktické audio CD a jeho zhruba 600 MB obsah v PCM formáte dokázali transformovať do malých a ľubovoľne prenosných súborov v objeme pár MB. A tomu sa skrátka z hľadiska pohodlnosti a praktickosti nedalo odolať.
Raketový nárast popularity digitálnej hudby vyvolal náležitú reakciu u výrobcov elektroniky. MP3 súbory začalo byť na začiatku 21. storočia schopné prehrávať prakticky všetko. Počítače, vreckové hudobné prehrávače, autorádiá, telefóny, domáce multimediálne centrá. MP3 hýbali hudobným svetom a predaje CD leteli dolu ako rozbehnutá lopta z kopca.
Trh a zvyky ľudí sa navždy zmenili a to si vyžiadalo úplne iný prístup k vydávaniu a šíreniu hudby. A keďže legálne digitálne platformy na jej šírenie prakticky neexistovali, ľudia sa uchýlili k tým, ktoré existovali (napr. Napster).
Vydavateľské domy to niesli veľmi ťažko. Dnes už vieme, že tou správnou cestou sa stal streaming, avšak tvrdohlavosť vydavateľstiev, ľpejúcich na starých princípoch, to ešte veľmi dlhú dobu nedovolila. Namiesto toho sa rozhodli ísť opačnou cestou – snahou rozpuk digitálnej éry nefyzických médií zastaviť, nech to stojí čo to stojí.
AKO ĽUDOM POKAZIŤ CD A OKLAMAŤ ICH
V auguste roku 2000 túto éru perfektne zadefinoval a ilustroval Steve Heckler, americký viceprezident Sony Pictures Entertainment, ktorý na konferencii pre informačné systémy tvrdo prehlásil „hudobný priemysel podnikne akékoľvek kroky preto, aby uchránil svoje zdroje príjmov… tento zdroj skrátka nestratíme, nech sa deje čokoľvek… Sony vykoná agresívne kroky aby to zostavilo.“
„Vyvinieme technológiu, ktorá presiahne akéhokoľvek používateľa. Zablokujeme Napster priamo pri zdroji. Zablokujeme ho u televíznych poskytovateľov. Zablokujeme ho u telefonických poskytovateľov. Zablokujeme ho u internetových poskytovateľov. Zablokujeme ho firewallom priamo na vašom počítači. Všetky tieto stratégie budeme agresívne uplatňovať.“
Najväčšou hrozbou boli samotné osobné počítače, ktoré mohli audio CD vziať a behom chvíľky ho prekonvertovať na MP3 súbory. Prvý rázny krok v tomto smere vykonali v roku 2001 dvaja giganti hudobného vydavateľského priemyslu: EMI Group a Sony BMG, ktorí začali používať ochranu Cactus Data Shield, vďaka ktorej CD na počítači nešlo vôbec prehrať.
Kopírovaniu, respektíve grabovaniu CD do MP3 sa zabránilo tým, že sa CD zámerne poškodilo.
V základe to fungovalo tak, že za regulárnou audio stopou sa vytvorila ďalšia, ktorá bola nefunkčná a obsahoval len fragmenty 99 poškodených a neprehrateľných skladieb.
Využívalo sa pritom to, že bežné CD prehrávače hľadali stopy média od jeho začiatku (od stredu), takže narazili na funkčnú stopu, ktorú normálne prehrali. Mechaniky počítačov ale hľadali stopy odzadu (od vonkajšieho okraja), pretože umožňovali prehrávať médiá, ktoré boli dodatočne dopaľované (novšia stopa mohla „updatovať“ tú staršiu). Mechaniky počítačov tak vždy narazili na nefunkčnú „aktualizovanú“ stopu s 99 neprehrateľnými skladbami a zobrazili tú.
Z výroby poškodené CD skrátka úmyselne porušovali štandard, čo mechaniky počítačov nečakali.
Obeťou boli všetci ľudia, ktorí si CD kúpili a chceli si z neho vytvoriť MP3 skladby napríklad pre svoj vreckový prehrávač. Rovnako mali smolu aj tí, ktorí iný CD prehrávač ako ten v počítači nemali.
Keď sa používatelia o princípe ochrany dozvedeli, začali na viditeľnú nefunkčnú stopu na CD lepiť kúsky papierika, alebo ju začierňovali fixkou. Tým sa pre mechaniku stala stopa nečitateľná, takže mechanika preskočila na tú dobrú, ktorá sa dala prehrávať a grabovať do MP3. Postupom času to prestalo byť potrebné úplne, pretože mnohé grabovacie a kopírovacie programy začali chybnú stopu ignorovať.
Neskoršia ochrana SafeAudio sa tak rozhodla kaziť CD inak. Samotnému prehrávaniu audio CD nebolo bránené a namiesto toho sa pri výrobe úmyselne poškodili oblasti vyhradené na automatickú korekciu chybných dát
Tie sa pri čítaní, respektíve prehrávaní obvykle nepoužívali. Pri grabovaní média, pri ktorom je zvuková stopa konvertovaná do MP3, však enkodér v spolupráci s firmvérom mechaniky začne dáta kontrolovať, aby zabezpečil, že čítaná hudba je bez chýb. Keďže dáta v opravných sektoroch boli úmyselne chybné, odhalila sa nezrovnalosť a program sa pokúsil inak dobré dáta opraviť podľa tých zlých. Výsledkom bolo, že vo vytvorených MP3 súboroch sa ozýval šum alebo praskanie, čo boli práve tie falošné „opravy“ zvuku.
Nešlo pravdaže len o to, že vlastník CD si nemohol vytvoriť MP3 pre svoj vreckový prehrávač. V prípade, že sa CD poškrabalo alebo inak poškodilo a kontrolné dáta boli naozaj potrebné, majiteľ dostával nôž do chrbta, pretože sa na médiu nenachádzali. Ako náhle sa zistilo, čo je vo veci, grabovací softvér začal umožňovať ochranné dáta ignorovať a používať len tie základné a „ochrana“ sa vyparila. Poškodené CD, za ktoré ľudia zaplatili, pravdaže zostali v ich poličkách.
Namiesto toho, aby sa vydavatelia z neúspechov ochrán poučili, začali pumpovať masy peňazí do ešte sofistikovanejších a drahších riešení. Roky vyvíjané ochrany za obrovské sumy, ako napríklad MediaMax CD3, však boli prekonávané okamžite a celkom triviálnymi postupmi, čo bol neuveriteľný výsmech celej snahe. A Sony sa tak rozhodlo, že je treba pritvrdiť.
AKO MILIÓNOM ĽUDÍ INFIKOVAŤ POČÍTAČE A USMIEVAŤ SA PRI TOM
V roku 2005 sa Sony rozhodla, že začne používateľom do počítačov tajne inštalovať rootkit. Išlo o druh špecifického softvérového mechanizmu, známeho z oblasti vírusov a iných škodlivých programov, ktorý modifikáciou operačného systému dokáže skrývať nielen seba, ale aj ďalšie súbory či procesy pred inými programami a hlavne samotným používateľom.
To umožnilo, aby na počítači fungovali neviditeľné programy, ktoré znemožňovali urobiť kópiu CD a dokonca posielali informácie o niektorých činnostiach používateľa vydavateľovi.
O tom, čo sa vlastne po vložení CD do počítača deje, spočiatku Sony celkom mlčalo. Hudbu bolo možné bez problémov prehrávať, ale po vložení CD do mechaniky počítača bola audio stopa neprístupná a namiesto nej sa otvoril program na prehrávanie digitálneho obsahu. Ten umožňoval prehrávanie, ale aj napálenie malého množstva záložných kópií CD, či uloženie skladieb do formátov chránených DRM (skladby s vstavanou kontrolou prehrávania a obmedzenou manipuláciou). To, že nie je všetko v poriadku sa začalo ukazovať takmer okamžite.
Po vložení kúpeného a infikovaného audio CD do mechaniky sa zobrazili licenčné podmienky. To či s nimi používateľ súhlasil, alebo nesúhlasil bolo irelevantné, pretože skôr ako čokoľvek stihol spraviť sa do počítača neviditeľne nainštalovala tzv. rozšírená ochrana proti kopírovaniu (XCP-Aurora), vo forme plnohodnotného rootkitu.
Táto špecifická škodlivá modifikáciu operačného systému prebrala administrátorské práva a následne fungovala ako nadradená vrstva, schopná pod svoj plášť skryť čokoľvek. Používateľ vôbec netušil, že to, čo vidí na svojom monitore (napríklad výpis bežiacich procesov v Správcovi úloh), bola už upravená a podvrhnutá verzia skutočného stavu, ktorú vykonal všetkému nadriadený rootkit.
Medzi prvými bezpečnostnými expertmi, ktorí rootkit odhalili, bol Mark Russinovich, špecialista na zraniteľnosť operačných systémov Microsoft Windows. To pritiahlo pozornosť antivírusových spoločností a iných bezpečnostných expertov, ktorí skrátka nemohli uveriť vlastným očiam.
Do tej doby boli rootkity známe ako jedna z možných a zároveň najhorších možností skrytia infiltračného a iného škodlivé útoku, ktorú si kvôli sofistikovanosti mohli dovoliť len tí najzručnejší útočníci.
Použitie svetoznámou firmou, ktorá ho rozšírila svojimi CD na státisíce a možno milióny počítačov (s ochranou bolo vydaných 22 miliónov kusov CD) bolo niečo neslýchané. Sony si objednala alebo kúpila tento produkt u britskej spoločnosti First 4 Internet, ktorá si po tomto škandále zmenila meno na Fortium Technologies.
V základe sa rootkit používal na to, aby pod svoj plášť skryl modifikovaný ovládač optickej mechaniky, ktorý následne nebol viditeľný pre žiadny iný softvér. Ako náhle k CD pristupoval iný ako kontrolovaný a limitovaný prehrávač hudby od Sony, modifikovaný ovládač začal pridávať do skladieb šum, ktorý ich znehodnocoval.
Významnou bezpečnostnou chybou bol fakt, že procesy, ktoré vyžadovali skrytie, sa jednoducho identifikovali znakmi $sys$ na začiatku svojho názvu. Akýkoľvek súbor, proces, alebo kľúč registru, ktorý začínal týmto menom, prechádzal pod plášť rootkitu a bol pre používateľa neviditeľný.
Ochranný plášť rootkitu teda mohol využiť akýkoľvek škodlivý softvér, ktorý sa o tom dozvedel, čo sa po pár dňoch aj stalo. Vírusy, trójske kone či iný škodlivý softvér skryté rootkitom sú totiž neviditeľné aj pre antivírus, aj napriek tomu, že ich za bežných okolností dokáže identifikovať.
Po prevalení celej kauzy bola odpoveď antivírusových spoločností nekompromisná. XCP-Aurora sa inštalovala na počítač používateľa bez zvolenia, tajne menila nastavenia a vlastnosti operačného systému, ponúkala používateľovi podvrhnuté informácie, bránila sa svojmu odhaleniu a nedala sa bežnými cestami odstrániť. Podľa daných vlastností teda plne vyhovovala definícii škodlivého softvéru.
Behom krátkej doby začali mnohé antivírusové programy Auroru po vkladaní CD hľadať. Ako náhle pokus o jej inštaláciu zaznamenali, označili to za infiltráciu a zabránili jej.
Firma Sony sa márne pokúšala ochranu vylepšiť, čo spôsobilo vznik ďalšej bezpečnostnej diery a problémov, ako bola napríklad neprístupná mechanika počítača. Napokon celkom rezignovala a uverejnila program na jej odstránenie.
Celá aféra bola zrejme tou najväčšou a najvážnejšou, ktorá v problematike ochrán proti kopírovaniu v histórii vznikla, pričom vyústila k zaujímavému paradoxu. Ten, kto si skladby nelegálne stiahol, ich bez problémov počúval a ten, kto si ich legálne kúpil, bol „odmenený“ infikovaným počítačom, obmedzovaním, špehovaním a ďalšími rizikami a problémami.
AKO KRADNÚŤ A PODVÁDZAŤ A ZAPLATIŤ ODŠKODNÉ 7 EUR
Iróniou takisto bolo, že časť softvéru, ktorý Sony v tejto súvislosti použila, bola založená na voľne dostupnom otvorenom zdrojovom kóde, dostupnom pod licenciou GPL.
Konkrétne šlo napríklad prvky kódu z komprimačných nástrojov ako mpg123, FAAC, Lame MP3 a ďalších, napríklad v súvislosti s čítaním ID3 tagov. Tie sa používali v rámci vstavaného prehrávača a komprimačného nástroja s DRM ochranou, ktorý sa inštaloval spolu s rootkitom a umožňovali používateľovi obmedzenú prácu a počúvanie CD.
Problémom bolo, že v rámci GPL licencie sa vyžaduje, aby softvér ktorý následne kód používa bol pod rovnakou slobodnou licenciou. A to softvér od Sony nebol. Bol naopak ostro licenčne chránený.
A keďže podľa slovníku Sony a iných vydavateľstiev, rovnako ako podľa zväzov na ochranu autorského práva je používanie a kopírovanie diel v rozpore s ich licenciou krádež, Sony teda kód pre svoj softvér nakradla.
Môžeme to síce popísať aj inak, ale keďže Sony a nekonečný zástup ďalších vydavateľov vždy trvali na tom, že tento akt inak ako krádež byť označovaný nemá, bolo by nezodpovedné ich neposlúchnuť.
V novembri 2005, po rozsiahlej celosvetovej kritike Sony BMG ohlásilo, že sťahuje z predaja všetky CD vybavené softvérom Aurora. Zároveň inštruovala všetkých predajcov, aby nepredané CD z pultov stiahli a odoslali nazad. Dané média sa dali identifikovať skratkou XCP na svojom obale, pričom firma Sony zákazníkom prisľúbila, že kúpené CD môžu zaslať zdarma na výmenu.
Neustále pri tom trvala na tom, že ide o preventívne opatrenie a v súvislosti s ochranou neexistujú žiadne bezpečnostné riziká, aj napriek obrovskému množstvu reportov od bezpečnostných expertov z celého sveta, ktorí tvrdili opak.
V novembri 2005 bolo Sony zažalované federálnym prokurátorom Texasu, za hromadné ohrozenie používateľov škodlivým softvérom. Firma bola pokutovaná sumou 750 000 dolárov, pričom jej bolo nariadené, aby oznámila všetkým zákazníkom k čomu došlo a softvér im odstránila.
V decembri 2005 došlo k štátnej žalobe takisto v Kalifornii, kde všetko skončilo mimosúdnou dohodou. Súčasťou vyrovnania bolo, aby Sony postihnutým zákazníkom poskytlo náhradu v podobe nového CD bez škodlivého softvéru a odškodné vo výške 7 dolárov a 50 centov.
Azda najviac ikonické je v tejto súvislosti vyjadrenie Thomasa Hessa, prezidenta divízie Sony BMG pre digitálny biznis. Ten sa v novembri 2005, uprostred celého škandálu vo vysielaní NPR podujal celú záležitosť vysvetliť vetou „Väčšina ľudí netuší, čo to vlastne rootkit je, tak prečo by ich to malo zaujímať.“
Ďalšie drobné čriepky z IT histórie hľadajte na našom webe vždy v štvrtok večer a takisto pod rovnomenným kľúčovým slovom.