Programmatore accusa Sony di distribuire rookit

Mark Russinovich è uno sviluppatore di fama mondiale. Il sito web della sua azienda (SysInternals), distribuisce da tempo ottimi software freeware per l’ottimizzazione del sistema e la risoluzione di alcuni problemi molto comuni. L’esperto ha da poco pubblicato sul suo blog una pungente riflessione sull’esperienza vissuta dopo aver eseguito, sul suo personal computer, un CD musicale commercializzato da Sony. L’accusa è pesante: il sistema di protezione anticopia integrato nel CD, si comporterebbe, di fatto, secondo l’approfondita analisi condotta da Russinovich, di fatto, con un componente malware. Il programmatore ha sottolineato come quanto sperimentato sia stato per lui noioso e frustante: il CD da lui regolarmente acquistato avrebbe installato software sul suo sistema, ed a sua completa insaputa, utilizzando tecniche comunemente impiegate da malware con lo scopo di mascherare la loro presenza. I componenti installati all’atto dell’inserimento del CD musicale Sony in questione non permetterebbero nemmeno la disinstallazione. – Sebbene le iniziative dell’industria, atte a tutelare i propri prodotti dalle copie irregolari, siano assolutamente legittime – conclude Russinovich – questo è un chiaro caso che mostra come qualcuno si stia spingendo troppo avanti (ved. questa pagina) -.
Nel racconto della sua vicessitudine, Russinovich racconta di aver installato, a scopo di test, l’ultima versione di RootkitRevealer (RKR), un programma sviluppato sempre da SysInternals che s’incarica di rilevare la presenza di eventuali rootkit sul sistema in uso. Un rootkit è un insieme di strumenti utilizzati da un aggressore remoto dopo aver violato un sistema: l’obiettivo è quello di interagire con gli altri software installati in modo da facilitare, ad esempio, accessi successivi alla stessa macchina da parte del cracker cercando di nascondere queste attività maligne all’amministratore di sistema. I rootkit sono sempre più integrati all’interno di malware.
Ebbene, Russinovich parla del suo stupore quando si è visto segnalare la presenza di un rootkit su uno dei suoi personal computer: RKR aveva sottoposto alla sua attenzione numerose cartelle nascoste, molti driver di periferica altrettanto nascosti ed un’applicazione anch’essa sapientemente celata.
Il primo pensiero: un bug all’interno di RKR visto che né Process Explorer né Autoruns (entrambi programmi free che danno indicazioni sui programmi in esecuzione e su quelli caricati all’avvio di Windows).
Successive analisi condotte da Russinovich, però, hanno permesso di identificare riferimenti ad un driver di periferica denominato Aries.sys.
Le ricerche hanno portato a stabilire che i file sospetti rilevati da RKR, sono collegati ad un sistema di protezione dei contenuti (Digital Rights Management, DRM) su supporto CD, sviluppato dalla società First 4 Internet ed adottato da molte case discografiche tra le quali Sony.
Russinovich si ricorda di un suo acquisto: un CD musicale a marchio Sony BMG che permetteva la riproduzione delle tracce audio soltanto mediante il lettore incluso nel CD stesso. A conclusione dell’analisi, Mark Russinovich provvede ad effettuare una serie di indagini sul CD musicale “incriminato” accertandosi che i file installati sul suo sistema e classificati come rootkit provengano proprio da lì.