Trekker «rootkit» fra musikk-CD-er

En oppdatering til den omstridte DRM-teknologien på Sony BMGs musikk-CD-er, fjerner det kanskje alvorligste problemet.

Tidligere denne uken skrev digi.no om Mark Russinovich' problemer med en musikk-CD fra plateselskapet Sony BMG, som inneholdt en rettighetskontrolløsning (DRM) som tilsynelatende oppførte seg svært invaderende. De tre hovedproblemene var at løsningen manipulerte Windows til å skjule en mappe med filer, at programvaren kontinuerlig brukte prosessorkraft og ikke minst at den ikke lot seg avinstallere på normal måte. Flere sikkerhetsselskaper, blant annet F-Secure og Secunia, har omtalt løsningen som en potensiell sikkerhetsrisiko.

Nå har både Sony BMG og First 4 Internet, selskapet som står bak DRM-løsningen, kommet med uttalelser. Dessuten er det kommet en oppdatering til DRM-programvaren, noe som løser en del av problemet.

First 4 Internet skriver sin uttalelse at bekymringer som er kommet fram om at selskapets XCP-teknologi, som DRM-løsningen kalles, har potensial til å kunne skjule ondsinnet programvare fra andre, ikke skiller seg fra lignende spørsmål som tidligere er blitt stilt om mange andre utbredte programvareløsninger. Selskapet skriver at det ikke har mottatt noen rapporter om at XCP-teknologien er blitt utnyttet på denne måten.

Likevel har selskapet utgitt en oppdatering som gjør den skjulte mappen og filene i denne synlige igjen. Selskapet diskuterer nå med antivirus-selskaper om hvordan disse skal kunne skanne alle filene i XCP-løsningen i framtiden.

Oppdateringen er tilgjengelig på denne siden.

Angående spørsmålet om avinstalleringsproblematikken, skriver Sony BMG at brukerne alltid har kunnet få hjelp fra selskapet kundeserviceavdeling til å avinstallere DRM-løsningen. Informasjon om dette står på denne siden.

Selskapet oppgir likevel ingen grunn til hvorfor dette ikke kan gjøres ved hjelp av en vanlig avinstalleringsløsning.

Sony BMG skriver videre at ingen programvare er blitt installert uten brukerens godkjennelse. I lisensavtalen med sluttbrukeren (EULA - End User License Agreement) står det ifølge plateselskapet at programvare må installeres for å bruke platen, samt en beskrivelse av hva programvaren gjør.

Mark Russinovich har publisert EULA-en her. Der står det, blant all den andre teksten, hva programvarens hensikt er. Ikke noe galt med det. Det som derimot ikke står, og vi får stole på at Russinovich har publisert hele den korrekte EULA-en, er at programvaren ikke lar seg avinstallere på vanlig måte. Informasjon som er så kritisk, burde ha blitt opplyst til kunden allerede i kjøpsøyeblikket. Å måtte vente på en respons fra Sony BMGs kundeservice, uten garantier om svartid, vil være uholdbart for mange.

Stein Vegusdal, som er new media manager i Sony BMG Norway, har deltatt i debattforumet til digi.no om denne saken.

Til digi.no forteller Vegusdal at han om EULA-en kun kan referere til de opplysninger det norske selskapet har fått fra sitt hovedkontor. I opplysningene Vegusdal har fått, står det at EULA-en inneholder alle relevante opplysninger, og at den er i henhold til gjeldende lovgivning. Han kjenner ikke til at EULA-en eventuelt skal ha blitt endret siden den aktuelle platen ble gitt ut, noe som er blitt hevdet i blant annet digi.nos debattforum.

- Dette har vært advokatmat i veldig lang tid før de lanserte CD-er med denne teknologien i USA, og den ville garantert ikke blitt lansert uten at det juridiske var 100 prosent på plass, mener Vegusdal.

Han understreker at ingen CD-er med denne DRM-teknologien er blitt utgitt av Sony BMG i Europa, og at ikke en eneste utgivelse med rettighetkontroll er blitt utgitt av selskapet i Norge siden januar, da Sony BMG ble dannet.

I det nevnte debattinnlegget fra Vegusdal skriver han at spillbransjen i noen tilfeller bruker metoder som er verre for forbrukeren, ved at de ikke tilbyr noen metode for å fjerne kopisperreløsningene fra maskinen etter at de først er blitt installert.

Han modererer seg noe overfor digi.no

- Jeg mente ikke at vi var bedre på noen som helst måte, men at vi faktisk ga kundene en løsning på problemet og at den var tilgjengelig. Uansett, i kampens hete gikk jeg nok litt for langt der, skriver han i en e-post.

Videre skriver han at det er en misoppfatning blant mange av de som har reagert på denne saken, om at CD-er med dagens kopibeskyttelse ikke kan kalles en CD.

- Dette er feil. I tillegg til den vanlige Red Book standarden, finnes en standard som kalles Blue Book som omhandler Multisession eller Enhanced CDs. En CD med dagens kopibeskyttelse er innenfor denne standarden, og kan derfor bære Compact Disc-logoen.

Vegusdal viser til den følgende beskrivelsen:

"The Blue Book is the informal name for the standard specification document for stamped multisession (also known as the enhanced CD or E-CD) disk format, developed in 1995 from a supplement to Philips and Sony's 1988 Orange Book. The Blue Book defines a format for enhanced CDs for inclusion of multimedia data (such as video clips, text, and images) on a standard audio CD. The disks play normally on a CD-player, and display the extra data when they are played on a device with multimedia capabilities, such as a computer's CD-ROM drive, or a CD-i player.

Like all CD formats, the Blue Book specifications are built on the details of the Red Book, which defined the format for audio CDs. The Blue Book specifies two sessions: up to 99 Red Book audio tracks in the first session (closest to the center of the disk), and a Yellow Book-based data track in the second session (closest to the outside edge of the disk). Other Blue Book details include the Red Book disk specification, file formats (including CD Plus information files), and an ISO 9660-compatible directory structure to organize the various types of data. The Blue Book is supported as a licensed standard definition by Philips, Sony, Microsoft, and Apple."

Til toppen