Il Rootkit è una collezione di software, tipicamente malevoli, realizzati per ottenere l’accesso ad un computer o ad una parte di esso, che non sarebbe altrimenti possibile (per esempio un utente non autorizzato ad effettuare il login).
Questi software, oltre a garantire questi accessi, si preoccupano di mascherare sé stessi o altri programmi utili per raggiungere lo scopo.
Il termine inglese “Rootkit” deriva dalla concatenazione di due termini “root” (che indica, tradizionalmente, l’utente con i maggiori permessi nei sistemi Unix-like) e “kit” (che si riferisce al software che implementa lo strumento).
Definizione tratta da Wikipedia.
Anno 2000 circa.
In un ufficio non ben precisato.
Dirigente: “Siamo una delle più grandi e potenti multinazionali del mondo. Quando abbiamo il raffreddore e facciamo uno starnuto, dal naso escono soldi. Possibile che non possiamo debellare o quantomeno limitare la pirateria? Abbiamo fermato Napster, ma non è bastato.
Milioni di teen-ager comunque trasformano la musica dei nostri CD in files MP3 e se li scambiano in rete alla velocità della luce. Senza che a noi entri un soldo. Ma ti rendi conto?
Chi si credono di essere? Lei, sottoposto, mi inventi qualcosa per frenare questi bastardi!”
In un PC vicino sta suonando “Stop the Pigeon”, sigla dello “Squadrone Avvoltoi“.
“…and Clunk, you invent me a thingamabob that catches that pigeon or i lose my job. So… Stop the pigeon …”
(Nota: la traduzione letterale di “thingamabob” è “marchingegno”. Ma anche “fattapposta”)
Sottoposto: “Dipende. Dovremo comunque scrivere qualcosa sulla confezione.”
D: “Ma manco per nulla!”
S: “E se qualcuno scopre qualcosa?”
D: “E tu fai in modo che nessuno possa scoprirlo. Se nessuno lo trova, nessuno può disattivarlo.”
S: “È lei il capo…”
Per qualche anno tutto procede per il meglio. Il dirigente ha già appeso sul muro dei trofei la terza targa come “miglior dirigente dell’anno” per i risultati ottenuti dall’azienda nell’infinita battaglia contro la pirateria.
Fino a quando non succede quello che non sarebbe mai dovuto succedere. Tutto molto in fretta. 18 giorni, circa.
Musica marcia
Anno 2005. Ultima settimana di Ottobre. Mark Russinovich ha 40 anni. Non è un nerd come tanti altri.
Quando alla fine degli anni ’70 suo padre portò a casa un Apple II e lui aveva poco più di 10 anni, si diede da fare con i manuali della CPU per effettuare il reverse engineering del sistema operativo contenuto in ROM. Solo per poterci scrivere programmi migliori.
Come molti quarantenni Mark compra CD musicali. Ma, invece di inserirli nel suo mega impianto Hi-Fi, non disdegna ascoltarli sul suo PC quando lavora. Il suo PC ha caricato sopra Windows.
Questo perché Russinovich, di mestiere, fa l'”esperto dei meccanismi interni del sistema operativo Windows”. Quanto esperto? Abbastanza da scriverci dei libri. L’ultimo “Windows Internals” nel 2005 è arrivato alla quarta edizione. Una decina di anni prima ha fondato la Winternals Software e sviluppato, anche personalmente, i tools “Sysinternals“. Una suite di software gratuiti per aiutare i programmatori nello sviluppo di moduli e drivers Windows.
Ultimamente sta lavorando, sempre con l’obbiettivo di inserirlo nei Sysinternals, al programma RKR. Rootkit Revealer. Un rivelatore di rootkit. Mentre lo sta testando su uno dei suoi sistemi personali, il programma rivela anomalie tipiche della presenza di un rootkit.
Ovvero chiavi di registro, file su disco e processi in esecuzione, nascosti. Nascosti bene.
Russinovich non è un utente sprovveduto. Non scarica software pirata e quando vede scritto “Clicca qui!” gli parte in automatico il dito sul tasto Canc. Il fatto che qualcuno sia riuscito ad infinocchiarlo non gli va giù. Si “arma” fino ai denti e comincia la caccia.
Vi risparmio i dettagli tecnici. Chi fosse interessato può trovarli nei post sul suo Blog.
Russinovich, esaminando il rootkit, riesce a risalire ad un’azienda di nome “First 4 Internet” ed in particolare ad una sua tecnologia chiamata XCP. Non ci vuole molto a capire che parte del rooktit implementa uno schema di DRM (Digital Right Management) e una protezione da copia di qualche tipo.
Rimane da capire come questa roba abbia fatto ad entrare sul suo PC e soprattutto che cosa impedirebbe di copiare.
E non meno importante, chi ne sia il mandante. Russinovich ricorda di aver provato sul suo PC un CD acquistato su Amazon qualche tempo prima. Ricorda anche che questo CD poteva essere ascoltato sul PC, esclusivamente attraverso un media player fornito col CD stesso in un’apposita traccia dati.
Il CD era “Get Right with the Man” dei Van Zant brothers. E l’etichetta dell’album era Sony BMG. Basta inserire di nuovo il CD e mandarlo in play per avere tutte le conferme.
A questo punto Russinovich ha già disattivato il software e cerca un modo per rimuoverlo.
Ma rimane deluso. Nessuna traccia nelle applicazioni installate di Windows, nessuna traccia sul CD di un uninstaller e nessuna traccia nell’EULA del media player in dotazione che avvisi della presenza di un software del genere.
Hanno fatto incazzare l’uomo sbagliato.
Il 31 Ottobre 2005 Russinovich pubblica una relazione tecnica completa e non smentibile sul suo blog pubblico. Il bubbone è esploso.
Errori Fatali
In un paio di giorni il post sul blog di Mark Russinovich raggiunge i canali giusti e qualcuno comincia a fare domande alla Sony e ai suoi tirapiedi della First 4 Internet. La Sony predispone in fretta e furia un form sul sito di supporto per richiedere l’uninstaller per il loro rootkit.
Ovviamente la Sony non lo chiama “rootkit”, ma tant’è. Il problema è che per avere questa patch bisogna fornire un proprio indirizzo di posta elettronica, che la Sony potrà utilizzare anche per operazioni di marketing. La patch disinstalla il rootkit, rimpiazzando il DRM originale con uno visibile, non occultato. Ma lo fa in maniera, diciamo, un po’ sportiva.
Russinovich, che queste cose le sa fare davvero, capisce che la procedura di rimozione potrebbe provocare instabilità nel sistema fino alla perdita di dati. Come se Windows, nel 2005, non avesse già di suo rischi del genere.
C’è un altro piccolo problema. Un software abusivo che maschera nel sistema tutti i files, i processi e le chiavi di registro fatti in un certo modo apre una falla di sicurezza importante.
Prontamente questa falla viene sfruttata da qualche hacker per eludere il meccanismo anti-cheat di World Of Warcraft.
La Sony, secondo Russinovich, ha commesso tre errori madornali.
Il primo è quello di non dichiarare nell’EULA il software nascosto. Il secondo è quello di non aver fornito un programma di disinstallazione da subito. Il terzo è che il software DRM/Rootkit, ogni tanto, pare telefoni a casa.
Sony ha sempre negato questo comportamento e, ovviamente, nell’EULA non ce n’è traccia.
Ma basta dotarsi di un banale sniffer per vedere che il software periodicamente si connette e invia un ID univoco del CD al sito sonymusic.com
La Toppa peggio del Buco
La First 4 Internet esce dalla tana il 16 Novembre. Risponde punto per punto alle osservazioni di Russinovich, peggiorando però la propria situazione. E indirettamente quella di chi gli paga lo stipendio. Ovvero BMG Sony.
Scrive Mark in un post:
Instead of admitting fault for installing a rootkit and installing it without proper disclosure, both Sony and First 4 Internet claim innocence.
By not coming clean they are making clear to any potential customers that THEY ARE A NOT ONLY TECHNICALLY INCOMPETENT, but also dishonest.
Come al solito Mark allega dettagli sulle prove pratiche effettuate sul suo PC con il rootkit installato.
Fai la Giravolta, falla un’altra volta
Qualche giorno dopo Sony annuncia alla stampa, e solo alla stampa senza scomodarsi a mettere un post sulle news del sito, la disponibilità di un programma per la disinstallazione del rootkit.
La procedura per riceverlo sembra la mappa del tesoro del pirata Barbanera. Bisogna infatti:
- Collegarsi al sito di supporto della Sony.
- Cercare nelle FAQ. In quella giusta è riportato un pulsante per accedere a questa patch.
- Il pulsante presenta un form da compilare con l’indirizzo mail del richiedente.
- Si deve accettare un disclaimer dove si consente a Sony di utilizzare questo indirizzo di posta per qualsiasi scopo la Sony ritenga opportuno. Comprese campagne di marketing.
- Si riceve una mail con un case-ID e un link.
- Seguendo il link si deve accettare l’installazione di un ActiveX sviluppato, indovinate un po’, da First 4 Internet.
- Si fornisce il proprio case ID all’ActiveX e come risposta si riceve una mail confidenziale, con un link attivo per una settimana da cui si può finalmente scaricare la patch.
Tutto questo deve essere fatto dallo stesso PC dove la patch verrà installata. Altrimenti ciccia. La domanda, per Mark Russinovich e non solo per lui, nasce spontanea. Perché non pubblicare subito un semplice link accessibile a tutti da cui scaricare direttamente la patch?
Nel frattempo arrivano le prime reazioni dai maggiori produttori di antivirus che cominciano ad identificare il software di Sony. Alcuni come Rootkit, altri come più semplice e meno dannoso Spyware.
In California si forma il primo comitato per chiedere una class action verso Sony per “comportamento commerciale scorretto”.
Perfino in Italia l’ALCEI, tramite il colonnello della Guardia di Finanza Umberto Rapetto, ha fatto una richiesta formale al governo italiano chiedendo di verificare la possibilità che Sony avesse violato le leggi italiane.
La Nave affonda.
Qualcuno ha un tappo?
La situazione degenera. Cominciano a circolare i primi virus che sfruttano le capacità di questo rootkit di nascondere files e processi sui PC dove è stato installato a insaputa dell’ignaro utente.
Questo costringe i produttori di antivirus a modificare subito il comportamento dei loro programmi che non si limiteranno più a segnalare la presenza del rootkit, ma dovranno anche disattivarlo. Senza andare tanto per il sottile. Compreso Windows Defender di Microsoft… per dire la gravità.
A questo punto qualcuno ai piani alti di Sony deve aver capito, dall’incremento di temperatura del cuscino della poltrona, che la situazione sta prendendo una piega non brutta. Pessima. E questo qualcuno deve anche aver sentito il parere dell’ufficio legale. Il quale deve aver suggerito l’unico modo per limitare i danni in questa situazione. Ovvero un minimo di trasparenza. Senza ovviamente ammettere nessuna colpa e misurando le parole. Non esageriamo.
Sony pubblica finalmente una nota nelle news del proprio sito web istituzionale. Ben evidenziata. Dove era anche riportato il link per scaricare la patch per rimuovere il rootkit. Passando sempre dal solito ActiveX.
Mark realizza che questo ActiveX è scritto con i piedi (ma va?), tanto da poter essere usato per eseguire codice arbitrario sul PC Client da parte di potenziali siti web malevoli.
Inoltre Sony annuncia di aver sospeso la produzione dei CD contenenti il software XCP della First 4 Internet.
A Mia Insaputa
Siamo arrivati al 16 Novembre. Due settimane dal primo post di Mark Russinovich. Il colosso del multimedia capitola. Senza chiaramente ammettere sue responsabilità dirette per:
- Aver venduto CD contenenti un rootkit, senza dichiararlo.
- Non aver fornito subito un modo pulito e sicuro per la sua rimozione.
- Aver distribuito un media player che comunica informazioni al sito web di Sony.
- Aver distribuito una procedura di rimozione tramite un ActiveX, pericoloso quanto il rootkit.
Pubblicano anche una nota “Informazioni sulla protezione dei contenuti denominata XCP” dove si scarica l’intera responsabilità della faccenda alla First 4 Internet.
Sony avrebbe incaricato la società di attivare i DRM sui propri CD, ma questa società avrebbe agito a insaputa della Sony, con modalità non approvate dalla stessa.
Inoltre la Sony dice che comincerà subito a ritirare qualcosa come 2 milioni di CD dagli scaffali, contenenti il software incriminato. Infine promette l’imminente rilascio di una procedura di rimozione, stavolta completamente stand-alone.
La Situazione è Critica,
ma non Grave
Cantato vittoria troppo presto? In un post del 30 Novembre, due settimane dopo gli annunci di resa della Sony, Russinovich comunica che i CD sono ancora ampiamente disponibili nei negozi e che della procedura di rimozione stand-alone nessuno ha più saputo nulla.
Nonostante lui abbia pubblicato 4 settimane prima la sua procedura di rimozione manuale passo passo. E nonostante lui abbia impiegato ben un’ora del suo tempo per scrivere un programma per la rimozione automatica del rootkit.
Cosa è successo in queste settimane? Perché Sony fa melina?
In queste settimane si è mossa anche la RIAA, la potentissima lobby che riunisce discografici e produttori di contenuti multimediali in genere, come film e TV. Ha magnificato il comportamento “trasparente” (sic!) della Sony. La quale non ha comunque ammesso responsabilità. E soprattutto ne ha elogiato le intenzioni, lanciando il messaggio neppure troppo velato che Sony e gli altri potevano stare tranquilli e “porre rimedio” a guai del genere con comodo, senza troppa fretta.
Intanto anche nello stato del Texas è partita una class-action contro Sony. L’intenzione è quella di chiedere $100,000 per ogni singola violazione individuata. Migliaia di utenti = Migliaia di violazioni. I numeri cominciano ad essere interessanti. Anche per un colosso come la Sony.
Lo stesso Russinovich comunica di stare lavorando ad una perizia tecnica per l’ufficio del procuratore di New York, sempre per una causa legale contro Sony.
Waterloo è bella, ma non ci vivrei…
Il 30 Dicembre 2005 Sony capitola davvero e patteggia col procuratore di New York Scott Kamber. Sarà la prima volta di una serie.
Il procuratore Kamber con la perizia di Russinovich in mano chiede un rimborso di $7,50 per chi ha acquistato il CD, un CD nuovo senza gli schemi di protezione XCP e la possibilità di scaricare gratuitamente le tracce in formato digitale di un altro album a scelta tra 200 titoli.
Tutto questo a patto di non aver ricevuto danni dimostrabili causati dalla presenza del Rootkit. Nel qual caso l’utente avrebbe potuto fare una causa diretta per danni alla Sony. Inoltre, come è ovvio, Sony deve comunque ritirare tutti i CD dagli scaffali e sostituirli con CD privi di questo software.
E con la class-action depositata in Texas le cose non sembrano mettersi molto meglio.
Tutta la storia è reperibile sul blog dello stesso Russinovich. Un bel riassunto si trova anche sul blog del prof. Bruce Schneier, noto esperto di sicurezza informatica.
- Rootkit (wikipedia.it)
- Mark Russinovich (Wikipedia.org)
- Sony BMG copy protection rootkit scandal (Wikipedia.org)
- Sony, Rootkits and Digital Rights Management Gone Too Far (blogs.technet.microsoft.com)
- World of Warcraft hackers using Sony BMG rootkit (theregister.co.uk)
- Sony BMG Tentatively Settles Suits on Spyware (nytimes.com)
- Sony BMG XCP Rootkit Lawsuits (sonysuit.com)
- Sony’s DRM Rootkit: The Real Story (schneier.com)