Корень зла

(Январь 2006)

Что такое rootkit и как эта напасть появляется в жизни компьютера.

sony-rootkit

Один из главных и достаточно убедительных аргументов, применявшихся индустрией звукозаписи в борьбе с пиратским файлообменом, обычно звучал примерно так.

Люди, закачивающие бесплатную музыку из анархических пиринговых сетей, постоянно подвергают свои компьютеры угрозам заражения вирусами и шпионскими программами (spyware). Лишь законно приобретаемые аудиозаписи, заверяла индустрия, гарантируют пользователю полную безопасность в сочетании с высококачественным контентом.

Увы, как выяснилось на исходе 2005 года, слова эти — не то чтобы ложь, но скорее лукавство, нежели правда. Ибо стали известны убедительные свидетельства тому, что средства защиты контента от нелегального копирования, реализуемые в нынешних аудиодисках, могут таить в себе серьезные угрозы, ощутимо подрывающие безопасность и надежность всякого компьютера, эти диски воспроизводящего.

В последний день октября прошлого (2005) года Марк Руссинович, автор ряда популярных книг о внутреннем устройстве Windows и главный программист небольшой софтверной компании Winternals, опубликовал в своем блоге поразительное открытие.

Он обнаружил, что гигантская медиа-корпорация Sony BMG Music Entertainment, входящая в четверку главных на этой планете издателей музыкальных CD, продает свои аудиодиски с весьма особенной системой защиты контента, которая именуется XCP [1]  и тайно устанавливает в компьютеры покупателей опаснейший программный инструментарий типа «руткит» (rootkit).

cover-back
Аудиодиски с руткитом на задней обложке имеют надпись: ? cp.sonybmg.com/xcp

Такого рода вредоносное программное обеспечение работает в компьютере без ведома и согласия владельца машины, а тот, кто его тайно установил — обычно, злонамеренный хакер или вирусописатель — может получить незаметный сетевой доступ к компьютеру или заставить его выполнять такие действия, о которых законный владелец не имеет ни малейшего понятия.

Пикантность ситуации заключалась в том, что в данном случае руткит в массовых количествах распространялся не криминальными хакерами или какими-нибудь безответственными сетевыми отморозками, а солиднейшей медиа-корпорацией.

Причем сделано это не абы как, а с серьезным профессиональным подходом — устанавливаемая воспроизводимым CD программа-руткит на низком системном уровне модифицирует ядро Windows, так что владелец компьютера никакими стандартными средствами мониторинга не может определить, что в системе поселился новый “жилец”.

Такое маскирование руткита обеспечивает специальный драйвер, постоянно находящийся в оперативной памяти для перехвата и подмены всех команд системы, способных выдать присутствие шпиона. А программа Sony действительно работала как типичное spyware, поскольку, помимо собственно защиты аудиотреков от всевозможных средств копирования, это ПО также тайно “звонило на сервер” корпорации с передачей информации о компьютере, если тот был подключен к Интернету.

А кроме того, как и всякое “качественное spyware”, однажды установленный в компьютер руткит Sony чрезвычайно сложно затем из системы вычистить. Потому что программы-деинсталлятора к нему не прилагается, а самостоятельные попытки удалить выявленные-таки файлы приводят к необратимым повреждениям ОС Windows…

A0_planetsony_usa
С помощью ярких точек на карте показана плотность компьютерного заражения регионов руткитом Sony (автор графики — Dan Kaminsky).

События, произошедшие вслед за блог-публикацией Марка Руссиновича, похоже, не имеют пока  аналогов в истории Интернета и всей компьютерной индустрии. Потому что они продемонстрировали, как один совершенно обычный и не особо известный человек при поддержке единомышленников и современных инфотехнологий способен, оказывается, победить гигантскую транснациональную корпорацию и заставить ее пересмотреть свою политику, публично признав допущенные ошибки.

В первые дни ноября факты, открытые Руссиновичем, стали стремительно распространяться через другие блоги и форумы Сети. К изучению проблемы тут же подключились многие независимые исследователи. Вскоре об этом написали издания компьютерной прессы, а затем и ведущие средства массовой информации.

Общий резонанс возмущения оказался настолько мощным, что уже 11 ноября корпорация Sony объявила, что временно прекращает выпуск дисков с технологией защиты XCP. Но, поскольку дополнительные исследования продолжали выявлять в этой технологии все новые и новые нехорошие подробности, волна недовольства общественности не то что не утихла, но лишь продолжала нарастать.

Тогда, еще через 4 дня, компания объявила, что все выпущенные аудиодиски с XCP (полсотни наименований общим тиражом около 5 миллионов штук) будут изъяты из продажи, а всем, кто уже их купил (в количестве свыше 2 миллионов) будет предложена бесплатная замена на те же CD, но без защиты от копирования. [2]

Хотя итог этой истории именно таков, каким и должен, собственно, быть всякий поучительный урок, драматичные события первых двух недель ноября оставили у большинства вовсе не чувство удовлетворения, а напротив, чрезвычайно неприятный осадок.

Ведь факты таковы, что корпорация Sony втайне развернула свою крайне агрессивную и навязчивую технологию защиты от копирования, нигде публично не обсудив ее детали и явно пребывая в уверенности, что ради собственных прибылей она имеет полное право вносить изменения в компьютерные системы покупателей, пусть и подвергающие их определенным рискам.

Когда же столь сомнительная деятельность Sony была предана огласке, то корпорация предложила обеспокоенным владельцам компьютеров “патч”, который в действительности не удаляет руткит из машины, а лишь снимает его маскировку.

Поначалу, когда у публики еще не было полной ясности, Sony заявила, что ее руткит не звонит домой, хотя это была откровенная ложь, которая была тут же и разоблачена — в действительности XCP связывается с сервером компании, сообщая IP-адрес компьютера и реквизиты аудиодиска.

В первые дни скандала один из президентов Sony BMG, Томас Хессе, то ли не понимая масштабов содеянного фирмой, то ли не осознавая реальных угроз запущенной технологии (а может, и то, и другое разом) опрометчиво ляпнул в интервью:

“Большинство людей и понятия не имеет, что такое руткит, так что с какой стати им вообще об этом волноваться”?

Впоследствии, в официальном извинении перед покупателями, даже Sony была вынуждена признать, что руткит “включает в себя возможности, которые могут сделать компьютер пользователя уязвимым для вирусов, специально написанным под это ПО”. [3]

Но спесь и лицемерие большой корпорации по отношению к собственным клиентам — это лишь один из слоев в неприятном осадке от этой истории. Есть там и множество других слоев.

Например, программа-деинсталлятор руткита, к которой владельцы диска с XCP могли подступиться на сайте компании лишь после сложной, многоступенчатой процедуры верификации и личной электронной переписки с администрацией, на самом деле удаляла руткит не бесследно, а оставляя зияющую дыру в безопасности компьютера.

Не по злому умыслу корпорации, конечно, а в результате небрежности и недостаточной компетентности разработчиков деинсталлятора в вопросах сетевой защиты.

Другой “слой осадка” — это весьма показательная нечистоплотность компаний, озабоченных защитой своей интеллектуальной собственности (за этим, кстати, замечена далеко уже не только Sony).

Въедливые независимые исследователи проанализировали бинарный код программ XCP с помощью инструментов-дезассемблеров и обнаружили там фрагменты библиотек программ, распространяемых с открытыми исходными кодами на условиях лицензий GPL и LGPL. В частности, там явно найдены фрагменты библиотек популярнейшего в массах MP3-кодировщика LAME и программы DeDRMS, разработанной для снятия DRM-защиты Apple норвежским хакером Йоном Лехом Йохансеном, известным в Сети как DVD Jon.

Лицензии GPL требуют от тех, кто использует код соответствующих программ, в явном виде указывать автора-разработчика и публиковать либо весь исходный код новой программы, либо тот фрагмент, что использует библиотеку, защищенную “облегченной” лицензией LGPL. Ничего подобного в рутките Sony, естественно, и близко не сделано, так что получается, как ни крути, очень некрасиво: корпорация, пекущаяся о защите своей интеллектуальной собственности, ради этого ворует чужие продукты, защищенные авторскими правами.

Безотносительно к правам авторов свободно распространяемого ПО, которые вряд ли захотят тягаться с корпорацией-гигантом в судах [4], против Sony в связи с XCP уже возбуждено сразу несколько коллективных судебных исков в целом ряде штатов Америки и в Европе.

Все обвинения связаны с незаконной установкой в компьютеры пользователей шпионского ПО, и есть даже свидетельства, что руткит Sony обнаружен в компьютерах министерства обороны США. В принципе, уже лишь за это одно компанию можно было бы наказать чрезвычайно строго — как, скажем, опасного киберпреступника, подрывающего национальную безопасность главного на планете борца с терроризмом.

Но все, в общем-то, понимают, что по такой траектории никто уважаемую компанию преследовать не станет. Ни в США, ни где-либо еще. Разве что пожурят слегка. Что для рядовых обывателей, опять же неприятно, коль скоро их самих — за какое-нибудь выкладывание фильма или MP3-файлов в Сеть — юристы медиа-компаний ныне могут засудить так, что расплачиваться придется всю оставшуюся жизнь.

Но самый, пожалуй, неприятный момент в столь многогранной руткит-саге — это чрезвычайно двусмысленные взаимоотношения, складывающиеся между медиа-индустрией, все настойчивее залезающей в компьютеры покупающих ее контент людей, и антивирусными компаниями, призванными, как предполагается по умолчанию, защищать компьютеры от разнообразных угроз.

A1_planetsony_europe

Эти взаимоотношения очень наглядно может охарактеризовать одна чрезвычайно внушительная цифра. Согласно грубым оценкам, сделанным независимым исследователем Дэном Камински по содержимому кэш-памяти DNS-серверов Интернета [5], на начало ноября руткитом Sony было как минимум заражено свыше полумиллиона компьютеров по всему миру (на основе этих данных Камински выстроил карты планеты, использованные в оформлении настоящей статьи и яркими точками иллюстрирующие плотность заражения регионов).

Полмиллиона зараженных компьютеров — это очень внушительная цифра, делающая руткит Sony одной из наиболее серьезных эпидемий за всю историю Интернета, наряду с такими инфекциями, как черви Blaster, Slammer или Nimda. Причем, в отличие от этой заразы, руткит Sony не распространялся по сетям с огромной скоростью цифровых коммуникаций, а появлялся в компьютерах постепенно, по меньшей мере с начала 2005 года.

На подавляющем большинстве всех зараженных этой напастью машин наверняка стоит антивирусное ПО, но ни одна из таких программ за все прошедшее время — около года! — так и не дала ни малейшего сигнала тревоги, хотя все антивирусные компании прекрасно осведомлены об опасности руткитов. А шпион XCP, подчеркнем, весь этот период хоть и прятался, но регулярно выходил в Сеть и звонил домой “с докладом”.

Как считает Брюс Шнайер, известный в мире эксперт по компьютерной безопасности, именно эта странная и на редкость затянувшаяся “слепота” программ, по самой природе своей обязанных следить за возникновением всевозможных слабостей в защите компьютера, и должна более всего обеспокоить общественность.

Причем многократно усугубляет эту проблему еще и то, отмечает Шнайер, что мощные антивирусные фирмы не только не сумели выявить брешь, обнаруженную одиночкой Руссиновичем, но и очень дружно стали отмалчиваться, когда весть о рутките Sony уже разнеслась по Сети.

Всем отлично знакома картина, когда при появлении любой новой, мало-мальски опасной компьютерной заразы все антивирусные фирмы наперегонки спешат объявить, что ими уже создан эффективный “антидот”, обнаруживающий и вычищающий вредителя из системы. Однако на этот раз все было в корне иначе.

Компания McAfee не решалась добавить в свои программы код выявления XCP до 9 ноября, но и после этого ее антидот вовсе не удалял руткит из системы, а только снимал его средства маскировки. Компания Symantec на аналогичный шаг решилась лишь к 11 ноября.

При этом оба флагмана компьютерной безопасности вежливо предупредили своих клиентов, что самостоятельные попытки удаления XCP могут привести к обрушиванию системы, а для деинсталляции надо обращаться на сайт Sony (где, напомним, после этой процедуры оставлялась зияющая дыра в защите компьютера, причем установили это — совершенно бесплатно — независимые исследователи, а не получающие за такую работу деньги антивирусные фирмы).

Компания же Symantec, для дополнительного “прояснения” проблемы, среди прочего уведомляла, что “этот руткит был разработан для маскирования законного приложения, однако может быть использован для сокрытия и других объектов, включая вредоносные программы”.

Еще раз поминая Брюса Шнайера, процитируем его едкий комментарий на данный счет: “Единственная вещь, которая делает этот руткит законным, заключается в том, что его подсадила вам в компьютер транснациональная корпорация, а не преступная организация”.

Если же не обращать внимания на все вежливые реверансы, которые одни солидные компании отпускают в адрес другой чрезвычайно солидной компании, то остается суть проблемы: а именно, отчетливые признаки сговора между создателями вредоносной программы (как ни пытайся называть ее иначе) и теми, кто по определению должен защищать потребителей от подобных программ. Ничем иным невозможно объяснить тот факт, что в течение многих месяцев сотни тысяч компьютеров по всему миру заражались шпионом-руткитом, но абсолютно никто в упор не желал этого замечать.

Объяснение произошедшего предварительным закулисным сговором “индустрии против потребителя” наиболее логично еще и потому, что случай с руткитом XCP далеко не единственный.

Например, альтернативная технология защиты контента, система SunnComm MediaMax, установленная на остальных аудиодисках Sony (а также других крупных музыкальных лейблов), хоть и не использует руткит, но тоже имеет характерные родовые признаки spyware. Компакт-диски с этой системой аналогично устанавливают на компьютер несколько мегабайтов файлов, которые незаметно пытаются звонить домой всякий раз, когда пользователь обращается к трекам музыкального альбома.

И точно также изготовители “забыли” включить в ПО диска программу-деинсталлятор. Более того, как установили опять-таки независимые исследователи (принстонский профессор-компьютерщик Эд Фелтен и его аспирант Алекс Халдерман), деинсталлятор, который после двух циклов личной переписки с SunnComm все же можно получить, оставляет после себя такую дыру в защите компьютера, которая ничем не уступает “дыре от XCP”.

Не надо, видимо, уточнять, что ни система SunnComm MediaMax, ни все сомнительные нюансы ее работы вплоть до последнего времени абсолютно не волновали антивирусные фирмы, коль скоро это “законное приложение”.

Более того, если для новых видеоформатов, HD DVD и Blu-Ray, будут окончательно приняты в их нынешнем виде спецификации технологии защиты AACS, то средствами организации канала, неподконтрольного владельцу компьютера и антивирусным детекторам, будут оснащены ВСЕ новые видеодиски. По этому каналу корпорации будут удостоверяться в подлинности диска, а в случае отрицательного результата такой проверки — перепрограммировать и блокировать работу воспроизводящего устройства…

Так что теперь всем остается лишь подождать и посмотреть, как злоумышленники научатся пользоваться этими “особыми каналами” и в лучшем случае будут транслировать в компьютеры или подключенные к Сети новые плееры всякий спам, а в худшем — “зомбировать” машины для использования в своих обширных криминальных сетевых проектах.

С другой стороны, быть может, некрасивая история с руткитом Sony все же научит чему-то мудрому оторвавшихся от реальности борцов с пиратством. Так что нормальных честных покупателей индустрия перестанет, наконец, рассматривать как врагов и потенциальных грабителей. И сосредоточит свои усилия не на борьбе с конечным пользователем, а на разумной ценовой политике и противодействии пиратскому бизнесу, т.е. массовому производству нелегальных копий в целях обогащения.

Но пока, похоже, куда легче бороться с покупателями. А тем, в свою очередь, легче купить диски у пиратов, которым вся эта возня с руткитами абсолютно до лампады. Причем, как показывает опыт, на пиратских дисках никакой защиты от копирования обычно уже не бывает. Не говоря уже о руткитах…

The END

СНОСКИ

[1] eXtended Copy Protection — “развитая защита от копирования”, программа разработана для музыкальной индустрии британской фирмой First 4 Internet. Компания Sony стала первой, запустившей ее в массовое производство, остальные лейблы ограничились внутренними экспериментами.

[2] Интересно, что Sony, по-прежнему продолжая настаивать на своем праве устанавливать в CD защиту от копирования, конкретно для дисков с XCP решила снять ее вообще. Типа компенсации покупателям за понесенный ущерб. Те, кто покупают диски прочих наименований, надо понимать, этот “бонус” не заслуживают.

[3] Не признать это было бы совсем глупо, поскольку вирусы-троянцы, использующие для маскировки руткит Sony, стали выявляться в Интернете уже в первую неделю скандала.

[4] Хотя, кто знает. Адвокаты организации FSF, “Фонд свободного ПО”, для начала осторожно заявили, что изучают степень серьезности ситуации.

[5] Когда компьютер с руткитом запрашивает у ближайшего сервера доменных имен IP-адрес для “звонка домой”, то этот адрес остается в кэше сервера. Программа Дэна Камински, умеющая опрашивать кэши таких серверов, установила, что руткиты XCP обращались почти к 570 тысячам DNS-узлов Сети.