Saken med Sony BMGs musikkplater med som installerte rootkit-basert rettighetskontroll hos brukere som ville spille av platene på en Windows-maskin, ruller stadig videre. Nesten hver dag de siste ukene har det dukket opp nye påstander. Det meste av dette er ikke tilbakevist på noen overbevisende måte. En medvirkende faktor til dette er at troverdigheten til Sony BMG har fått en alvorlig knekk, etter en meget klønete håndtering av saken da den først dukket opp.
Først en liten oppsummering av den siste ukens begivenheter på denne fronten:
Denne uken bestemte Sony BMG at alle platene utstyrt med XCP DRM-løsningen til britiske First 4 Internet skulle trekkes tilbake fra markedet. Dette ble gjort etter at det viste seg at en oppdatering til programvaren viste seg å være en enda større sikkerhetsrisiko enn problemet den forsøkte å fikse.
Noe senere denne uken meldte sikkerhetseksperten Dan Kaminsky at mer enn en halv million DNS-servere verden over i løpet av en åttetimersperiode hadde mellomlagret adressene som XCP-programvaren kontakter hos blant annet Sony BMG. Han mener dette kan være en indikasjon på at millioner av Windows-maskiner kan inneholde den skjulte programvaren. Ut fra tallmaterialet har han blant annet kommet til at nesten 6 000 norske maskiner kan være smittet (se oversikten her).
Dette høres umiddelbart mye ut, med tanke på ingen plater solgt her i landet skal være utstyrt med denne løsningen. Det sier i alle fall Sony BMG. Selvsagt vil en del ha kunnet bestilt én eller flere av platene fra USA, men at nesten 6 000 skal ha puttet disse platene i en nettilkoblet Windows-PC, lyder fortsatt for høyt. En alternativ forklaring, som vi må ta på vår egen kappe, er at mange har fulgt lenker til disse serverne fra både digi.nos artikler og websider hos andre nettsteder.
Uansett, antallet maskiner hvor denne programvaren er blitt installert, er trolig stort nok til at det vil være interessant for ondsinnede å lage en orm eller annen hurtigspredende og ondsinnet programvaren som utnytter de sårbarhetene XCP DRM lider av. Heldigvis har mange antivirusprogrammer blitt oppdatert til å løse problemene, men de som er i den største faresonen – dem uten antivirus, uten kontinuerlig oppdater programvare og uten nok kunnskap til å fatte mistanke når ondsinnede banker på maskinen deres – det vil si mann i gata, vil komme ut som taperne i denne saken.
Les også:
- [11.01.2006] Adobe kjøpte rettighetsstyring for Office
- [30.12.2005] Sony vil gi erstatning for "rootkit"-skandale
- [22.12.2005] Texas utvider anklagene mot Sony BMG
- [22.11.2005] Sony BMG saksøkt for spionvarebruk
- [14.11.2005] Også Microsoft bannlyser Sonys rootkit
- [14.11.2005] Sony legger antipirateri på is
- [10.11.2005] Trojaner utnytter Sony BMGs CD-rootkit
- [08.11.2005] Forbereder søksmål etter CD-skandale
- [07.11.2005] Mener «CD-rootkit» kontakter Sony BMG
- [03.11.2005] Trekker «rootkit» fra musikk-CD-er
- [01.11.2005] Musikk-CD installerer «rootkit» i Windows
- [13.08.2004] DVD-Jon slo igjen til mot Apple
- [24.11.2003] DVD-Jon låser opp iTunes-musikk
Så tilbake til temaet i overskriften.
To personer, henholdsvis Sebastian Porst og Matti Nikki, har med noe hjelp fra selskapet Sabre Security studert deler av First 4 Internets rootkit og funnet ut at noe kode stammer fra GPL-lisensiert programvare. All programvare som tar i bruk kildekode fra GPL-lisensiert programvare, må selv lisensieres ved hjelp av GPL, det vil si som åpen kildekode. Lite tyder på at First 4 Internet (F4I) har gjort dette.
Pussig nok skal kildekoden stamme fra medieavspilleren VLC, nærmere bestemt modules/demux/mp4/drms.c, som er DeDRMS/FairPlay-koden skrevet av blant annet Norges trolig mest kjente IT-eksport, Jon Lech Johansen, også kjent som DVD-Jon. Den aktuelle kodesnutten omgår Apples DRM-løsning. Dessuten skal XCP DRM-løsningen også inneholde kode fra FAAC (Freeware Advanced Audio Coder) og musikkavspilleren MPG123.
Matti Nikki skriver at han bare kan spekulere på hva DeDRMS-koden gjør i programmet, men han gjetter på at F4I har tatt i bruk kode fra VLC for å kunne utvikle selskapets løsning raskere, og at DeDRMS-biten rett og slett ikke har blitt luket bort.
Hvis påstandene stemmer, har i hvert fall F4I gjort seg skyldig i brudd på opphavsretten til de som står bak koden. Det mange spør seg, er om også Sony BMG har gjort noe kritikkverdig i den forbindelse, siden det er dette selskapet som har distribuert den ulovlige programvaren.
Uansett er det ironisk at selskapet for å beskytte opphavsretten til musikken de har gitt ut, kanskje bryter opphavsretten til en rekke andre mennesker. At ett av disse menneskene er Jon Lech Johansen, som har vært på kant med underholdningsbransjen mange ganger før, er blant de som har fått sitt åndsverk krenket, er ganske underholdende for oss som befinner seg på sidelinjen.
Uansett om rettighetspersonene til den aktuelle koden vil velge å gå til sak mot F4I og Sony BMG eller ikke, så betyr disse oppdagelsene nok et prestisjetap for de to selskapene. For selv om Sony BMG kanskje ikke kan regnes som ansvarlig for denne delen av saken, så har selskapet valgt en samarbeidspartner som synes å være til de grader useriøs.