Salı, Kasım 08, 2005

Sony DRM Hikayesi

Teknik konulardaki yazilarimi genelde Ingilizce bloguma sakliyorum. Bugun tum gun Windows Guvenlik Egitiminde idim ve son gunlerde ortaya cikan ilginc bir hikayeden kisaca bahsetmet istiyorum.

Yillardir yazdigi cesitli kucuk programciklarla Sistem Yoneticilerinin gozunde oldukca saygin bir yeri olan Mark Russinovich, bir kac gun once blogunda yazdigi "Sony, Rootkits and Digital Rights Management Gone Too Far" yazisi ile Sony'nin, kullanicilarin bilgisayarina gizlice bir "rootkit" programi yukledigini ifsa etti. RootKit virus ve worm'lardan cok daha tehlikeli bir yazilim. Cunku yuklendiginde Isletim Sisteminin yapisini degistirip kendini isletim sisteminden gizliyor. Dolayisiyla, isletim sisteminizde boyle bir yazilim olup olmadigindan haberiniz bile olmayabiliyor.

Olay kisaca soyle gelisti. DRM (Digital Right Management), Sony ve diger pek cok multimedia sirketinin CDlerini kopyalamaya karsi korumak icin kullandiklari bir yontem. Sony, http://www.first4internet.com/ sirketinden bir yazilim satin alir ve CD'lerinde kullanir. Bu CD'leri bilgisayarinizin CD surucusune yerlestirdiginizde, bilgisayariniza bir programcik 'rootkit' yukluyor. Bu program Windows'un yapisini degistiriyor ve $sys$ ile baslayan dosyalari Windows'tan gizliyor. DRM yazilimi da $sys$ ile basliyor ve gizlice CD'nin kopyalanmasini engelliyor.

Ancak, Sony'nin "EULA" (End User License Agreement) denilen kullanicinin bir yazilimi kullanirken kabul ettigi sartlari belirledigi sozlesmesinde boyle bir uygulamadan bahsedilmiyor. Basin hemen olayin uzerine gitti ve Sony baskilara boyun egip hemen bir yama uretti. Tabii olay burada kalmayabilir ancak kullanicilari RootKit'lere karsi egiten bir olay olmasi acisindan faydali oldu.

SysInternal sitesinden, Mark'in RootKitRevealer programini indirip sisteminizde rootkit olup olmadigini arastirabilirsiniz. 10 kusur yildir kullandigim bilgisayarlara ne virus ne de worm bulasti ama ben kendi bilgisayarimda arastirdim ve bir iki supheli dosya buldum. Ancak SysInternal sitesinden okuduguma gore bunlar tehlikeli olmayan, Windows'un gizledigi dosyalar:

Hidden from Windows API.

These discrepancies are the ones exhibited by most rootkits, however, if you haven't checked the Hide NTFS metadata files you should expect to see a number of such entries on any NTFS volume since NTFS hides its metada files, such as $MFT and $Secure, from the Windows API. The metadata files present on NTFS volumes varies by version of NTFS and the NTFS features that have been enabled on the volume. There are also antivirus products, such as Kaspersky Antivirus, that use rootkit techniques to hide data they store in NTFS alternate data streams. If you are running such a virus scanner you'll see a Hidden from Windows API discrepancy for an alternate data stream on every NTFS file. RootkitRevealer does not support output filters because rootkits can take advantage of any filtering. Finally, if a file is deleted during a scan you may also see this discrepancy.

This is a list of NTFS metadata files defined as of Windows Server 2003:

  • $AttrDef
  • $BadClus
  • $BadClus:$Bad
  • $BitMap
  • $Boot
  • $LogFile
  • $Mft
  • $MftMirr
  • $Secure
  • $UpCase
  • $Volume
  • $Extend
  • $Extend\$Reparse
  • $Extend\$ObjId
  • $Extend\$UsnJrnl
  • $Extend\$UsnJrnl:$Max
  • $Extend\$Quota
[GUNCELLEME - 08/11/2005]
Electronic Frontier Foundation (EFF), http://www.eff.org/deeplinks/archives/004144.php
linkinde Sony-BMG Rootkit'i iceren CD'lerin bir listesini yayinlamis...

4 yorum:

Adsız dedi ki...

Selam Adil,

Sizin sayfanizi takip etmeye basladiktan sonra kendimi birden National Treasure'daki asistan cocuga benzettim, Bezen ve senin aranda.lol, Masallah bilmedigini sey yok gibi birsey.

Saka bir yana simdi sana bir sorum olacak. Biliyorsun gecenlerde ben arkadasin Sony digital camerasindan bahsettim. Simdi o camerayi computerune resimleri aktarmasi icin cd'sini koyarak programini yuklemesi gerek ve bu cd'de tabiki Sony tarafindan uretilmis. Sence arkadasta varmidir bu virus ve ne gibi seylere yol aciyor bu viruse sahip olunca. Yani hackerlarin bu computere yerlesmis rootkit'i kulanarak pc'mize girebilcegi turden birseymi?

Ben linkini verdigin programida yukledim. Sayfa bombos cikti. Sanirim buda pc'nin temiz ciktigini gosteriyor.

Arkadas is gezisinden donunce onada pc'de calistirmasini onerecegim.

Simdiden yardimlarin icin tesekkurler.

Kendinize iyi bakin.

Sevgiler,
Cem

Adil Hindistan dedi ki...

Cem,

Oncelikle, sayfa bombos cikti diyince sorayim dedim: program acildiginda sayfa bos, ama sag altta bir start tusu var, ona basip arattin mi? Benim bilgisayarimda 25-30 dk filan surdu tarama. Gerci onun sebebi HD'lerin buyuklugu, Bezen'in bilgisayarinda o kadar surmedi.

Sony'nin muzik cd lerine (sadece muzik CDlerine) bu yazilimi koydu. Benim duydugum tek CD'de Johnny and Donnie Van Zant, "Get Right With the Man" albumu. O da ortaliga sacildi, tam bir rezalet cikti. Kaliforniya dava acti bile Sony'e epey bir kafalarina vuracaklar. Iyi oldu :)

Adsız dedi ki...

Selam tekrardan Adil,

Yok yok normal calistirdim ve bayagi bir aradi ve sanirim buldugu virusleri sirladigi o kutu dedigim alanda bos kaldi hicbir dosya yada file ismi cikmadi computerumde bulunan. Sasirdim aslinda cunku senin yazdigini okuyunca sende bile bir iki supheli dosya buldugunu ama zararsiz olduklarini, dedim bende bir ton cikar herhalde.

Bence sirf Sony'nin degil diger butun muzik yapimci ve sanatcilarinin kafalarina vursunlar su sarki paylasim olayina yaptiklari haksizlik seylerden dolayi. Giderler durdurmak icin 13 yasindaki kizi mahkemeye verirler computerunde bilmem ne kadar izinsiz file share programi kulanarak sarki cekti diye simdide virus'ler yerlestirerek bu isi durdurmaya calisirlar.

Bence kimseyi ilgilendirmez eger ben paramla aldigim cd'yi parasiz diger herkesle paylasmak istiyorsam, ama tutup bunun copy'lerini yapip orda burda satarsam Turkiye ve New York sokaklarindaki gibi korsan yayin olarak, o zaman haklari var birsey yapmaya. Onun disinda acaip kiziyorum bizler sayesinde zengin olmus o buyuk muzik sirketleri ve sanatcilara.

Adsız dedi ki...

Adil bak bugun haberlerde ne vardi.

http://news.yahoo.com/fc/tech/computer_security

Sony'e simdi Texas'tada dava acilmis.

http://www.eff.org/deeplinks/archives/004144.php

Yukaridaki linktede bu virusu alma ihtimali olan kisilere sunulan seceneklerle hangi cd'lerde bu virusun oldugunu anlatan guzel bir makale var.

Seninle bu olayi daha 1 hafta once konusmustuk o yuzden ilgini ceker diye seni haberdar edeyim dedim.