Rootkity z płyty

Jeśli Sony Music/BMG nie zrezygnuje z umieszczania na płytach oprogramowania XCP lub, co gorsza, w jego ślady pójdą inne wytwórnie, odtwarzanie płyt CD w firmowych komputerach może być wkrótce zbyt ryzykowne.

Jeśli Sony Music/BMG nie zrezygnuje z umieszczania na płytach oprogramowania XCP lub, co gorsza, w jego ślady pójdą inne wytwórnie, odtwarzanie płyt CD w firmowych komputerach może być wkrótce zbyt ryzykowne.

Polityka bezpieczeństwa w firmach przewiduje zwykle wiele niespodzianek. Uprawnienia użytkowników są limitowane, ograniczając możliwości ewentualnych nadużyć i podwyższając poziom bezpieczeństwa systemu teleinformatycznego w firmie. Jednocześnie wiele firm zezwala na korzystanie z płyt CD Audio, umożliwiając pracownikom słuchanie posiadanych przez nich płyt z muzyką. Osobom odpowiedzialnym za bezpieczeństwo może się wydawać, że "zwykła płyta", dostępna w sklepie muzycznym, nie sprawi szkód w systemie informatycznym. Jak pokazuje ostatnia afera z płytami Sony Music/BMG, są jednak w błędzie.

Zwykła płyta CD rzeczywiście nie stanowi zagrożenia. Chroniąc prawa intelektualne, wytwórnie zaczęły jednak stosować coraz wymyślniejsze zabezpieczenia. Zawarte na płytach oprogramowanie utrudniające ich kopiowanie sprawia, że stają się one zagrożeniem dla bezpieczeństwa informacji w firmie.

Sony nie dość, że posunęło się za daleko w dziedzinie ochrony danych, nie potrafiło postąpić właściwie w sytuacji kryzysowej. Najpierw firma udawała, że sprawy nie ma. Później, że nie jest taka groźna, jak mówią specjaliści, a jeszcze później, że wystarczy zainstalować małą łatę, by oprogramowanie było bezpieczne... Dopiero gdy okazało się, że owa łata wprowadza jeszcze większe zagrożenie, firma zdecydowała się wycofać płyty z rynku. Na jak długo?

Ochrona nieco zbyt silna

Sednem problemu jest zastosowane przez Sony Music/BMG oprogramowanie o nazwie Copy Control XCP, opracowane przez firmę First 4 Internet. Program ten instaluje się w środowisku Windows, zlicza ilość możliwych do wykonania kopii danej płyty oraz uniemożliwia odtwarzanie płyty za pomocą programu innego niż jego własny, wbudowany odtwarzacz. Większość programów zgłasza alert już przy próbie instalacji oprogramowania. Niestety, mało który program potrafi prawidłowo usunąć program XCP, który już został zainstalowany w systemie. XCP posiada bowiem dodatkowe funkcje, których szczegóły działania nie są jeszcze powszechnie znane.

Jedną z nich jest sprawdzanie co dwie sekundy uruchomionych procesów w poszukiwaniu programu znajdującego się na wbudowanej w XCP liście. Przypuszczalną funkcją "czarnej listy" jest modyfikacja uruchomionego programu, tak by był podłączony do systemu znakowania cyfrowego odtwarzanej muzyki bądź informowania Sony Music o odtwarzanych i nagrywanych utworach. Szczegółową listę programów śledzonych przez XCP można znaleźć na stronie:http://hack.fi/~muzzy/sony-drm/ .

Wypada postawić pytanie: a co w sytuacji, gdyby możliwe było stworzenie programu chroniącego płyty bez wiedzy programów antywirusowych? First 4 Internet, która jest autorem oprogramowania XCP, wykonała zaawansowane badania w tym kierunku. Można to wywnioskować z zawartości binarnych plików XCP, m.in. ze ścieżek stosowanych przy kompilacji projektu. Dość powiedzieć, że ingerencja w system operacyjny jest tak głęboka, że skorzystanie z trybu awaryjnego nic nie daje.

Oprogramowanie zawarte na płytach Sony Music/BMG działa podobnie jak zaawansowany trojan lub, jak kto woli, rootkit, który ukrywa się i nie pozwala na usunięcie swojego kodu. Zamontowanie dysku z innej maszyny i usunięcie plików skutkuje utratą dostępu do napędu CD. To samo daje proste modyfikowanie wpisów w rejestrze. Jedyną możliwością usunięcia rootkita jest przywrócenie rejestru systemu Windows z kopii (System Restore Point bądź kopia typu SystemState).

Rootkit instaluje się bez ostrzeżenia i nie można go znaleźć w systemie. Nie ma swojej pozycji w menu Dodaj/Usuń programy. Winny jest tu nie użytkownik, który chce posłuchać muzyki, ale zły model bezpieczeństwa systemu operacyjnego, a także nieprawidłowa jego konfiguracja, umożliwiająca całkowicie nienadzorowaną instalację sterownika systemowego zmieniającego interfejsy API innych programów.

Pasmo błędów i wypaczeń

Nie jest to jedyna niespodzianka, jaką firma Sony Music/BMG przygotowała dla miłośników muzyki. W żadnym razie nie należy wierzyć zapewnieniom Sony Music/BMG, że ten program niczego nie wysyła poprzez Internet. Wystarczy zainstalować zarażony komputer w izolowanym segmencie sieci wyposażonym w dobry sniffer (na przykład snort), by przekonać się, że to nieprawda.

W związku z tym właśnie na listach dyskusyjnych poświęconych bezpieczeństwu systemów operacyjnych temat trojana dołączanego "gratis" do płyt firmy Sony Music/BMG już dawno wywołał burzę. Ludzie serio traktujący bezpieczeństwo informacji nie zgadzają się na instalację niesprawdzonego oprogramowania, a już na pewno, by komunikowało się ono przez Internet poza jakąkolwiek kontrolą.

Wkrótce po upublicznieniu przez ciekawskich użytkowników szczegółów działania nietypowego "dodatku", Sony Music/BMG opublikowała na swojej witrynie deinstalator. Co ciekawe, strona WWW prowadząca do deinstalatora (nawet jeszcze przed podaniem adresu URL, skąd można ściągnąć deinstalator) instaluje kontrolkę ActiveX, oznaczając ją jako bezpieczną (safe for scripting). W komponencie tym znajdują się funkcje, które może wywołać każdy, kto zechce - i to zdalnie! Jedną z tych funkcji jest... przeładowanie systemu.

Aby przeładować zarażony taką kontrolką komputer, wystarczy otworzyć stronę WWW zawierającą kod języka skryptowego. Co ważniejsze, kontrolka ta posiada dużo błędów, umożliwiających np. automatyczne zainstalowanie dowolnej "łaty" - funkcja InstallUpdate.

Bot zamiast ochrony

Najgorszą z niespodzianek, jakie czekają nieświadomego użytkownika systemu Windows zarażonego XCP, jest to, że kilku twórców wirusów przygotowało swój kod tak, by korzystał z mechanizmów tego zabezpieczenia. Są już w obiegu wirusy, które wykorzystują ten właśnie mechanizm ukrywania procesów i folderów (popularnie zwany cloaking).

Działanie XCP polega na modyfikacji systemu Windows tak, by wszystkie katalogi i pliki zawierające $sys$ na początku nazwy były ukryte. Zatem wystarczy przygotować kod bota, nazwać go $sys$service.exe i skopiować do ukrytego katalogu $sys$filesystem, gdzie program zainstalowany z płyty umieścił swoje pliki. Zapora internetowa wbudowana w Windows XP SP2 miewa tendencję do przepuszczania połączeń inicjowanych przez aplikacje ukryte przed API. Dla porównania, niezależne od systemu Windows komercyjne zapory wykrywają aktywność bota i potrafią go zablokować, niemniej nie każda z nich potrafi podać prawidłowo nazwę procesu.

Użytkownicy Windows XP z dodatkiem SP2 mogą doinstalować program do usuwania złośliwego oprogramowania - jego obecna wersja usuwa XCP, niestety, nie potrafi jeszcze naprawić uszkodzonego systemu. Sukces jest więc połowiczny - system nie zawiera już elementu ukrywającego i wyłączone są niektóre składniki XCP (aries.sys), ale napęd CD nie jest dostępny. Dopiero interwencja doświadczonego administratora Windows przywraca prawidłową funkcjonalność. Microsoft zapowiedział, że usprawni proces naprawy swojego produktu, jednak trudno powiedzieć kiedy to nastąpi.

W poprzednim numerze Computerworld ukazał się artykuł Pawła Krawczyka ("Polowanie na duchy") szeroko opisujący tę technikę i możliwości walki z rootkitami korzystającymi z niej. Nawet fakt wycofania ze sprzedaży płyt zawierających XCP nie oznacza rezygnacji z jego dalszego rozwijania.

XCP to dopiero początek

Pomimo obecnej wrzawy i otaczającej Sony Music/BMG infamii, projekt XCP będzie zapewne nadal rozwijany. Na rynku pojawią się nowe zabezpieczenia, które mogą w przyszłości sprawić dużo więcej kłopotów. Obecnie należy płyty Audio-CD traktować jako potencjalne źródło złośliwego oprogramowania. Kluczem do bezpieczeństwa jest bardzo uważna konfiguracja regularnie aktualizowanego Windows, ograniczanie uprawnień do zapisu we wrażliwe miejsca systemu operacyjnego (o tym pisaliśmy w Computerworld wielokrotnie), rezygnacja z przeglądarki Internet Explorer (o tym również pisaliśmy) oraz posiadanie dobrego z analizatorem behawioralnym (modułem heurystycznym). Na dłuższą metę konieczne będzie pozbawienie komputerów biurowych napędów CD (ale co z notebookami?) lub... zmiana systemu operacyjnego.

Ochrona praw przez ich łamanie

Jak na ironię losu oprogramowanie stworzone w celu ochrony praw autorskich samo je łamie. Zawarte na płytach Sony Music/BMG oprogramowanie XCP zawiera kodek audio rozwijany w ramach projektu LAME i dystrybuowany na licencji LGPL. Włączenie oprogramowania na tej licencji do produktu bez powołania się na nią oraz fakt nieudostępnienia kodu źródłowego objętego nią fragmentu oprogramowania wraz z nim to naruszenie licencji. Nie jest to jedyna wpadka Sony związana z tym oprogramowaniem. Kodek LAME jest także wkompilowany w instalator, chociaż tam nie jest w ogóle potrzebny. Niedopatrzenie, brak czasu, czy może niekompetencja twórców? Nie jest to jedyna biblioteka o licencji open source LGPL, która podległa linkowaniu do XCP, o czym producent XCP ani Sony Music/BMG nie informują.