`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Rootkit от... Sony

0 
 

Очень часто при обсуждении вирусов и других угроз возникает вопрос: «Кому это нужно»? Одно из расхожих мнений состоит в том, что появление новых вредоносных механизмов выгодно самим разработчикам защитного ПО. Конечно, любому здравомыслящему человеку понятно, что в целом это не так – слишком много существует примеров реальных кибер-злоумышленников. Но когда в число «заинтересованных лиц» попадают крупнейшие компании, тут уж поверишь во что угодно...

Впервые с угрозами типа rootkit мы познакомились не так давно. Напомним, что речь идет о технологии сокрытия файлов, записей реестра и прочих системных объектов от обычных программ и даже средств диагностики и обеспечения безопасности. Такой эффект достигается за счет использования достаточно хитроумного программного обеспечения, создание которого по плечу лишь очень квалифицированным хакерам. Однако, как оказалось, сегодня rootkit-пакеты делают на заказ, и столкнуться с ними может даже самый осторожный и подготовленный пользователь.

Нежданно-негаданно

Поистине детективная история «еще одного» rootkit началась с вполне обычной покупки музыкального компакт-диска в известнейшем интернет-магазине Amazon.com. По счастливой случайности совершил ее сам Марк Руссинович (Mark Russinovich), главный программный архитектор и сооснователь компании Winternals Software и, что особенно принципиально, автор популярной программы RootkitRevealer. А приобрел он выпущенный Sony BMG альбом дуэта Van Zant «Get Right with the Man» – с пометкой Content/Copy-Protected CD.

Вскоре (в конце октября) при тестировании новой версии RootkitRevealer на своей рабочей машине он неожиданно обнаружил все признаки наличия в системе rootkit ядерного режима: присутствуют «невидимые» каталог, несколько драйверов устройств и некое приложение. После того как был выявлен и отключен ключевой драйвер, обеспечивающий сокрытие информации, появилась возможность исследовать таинственные файлы. Как выяснилось, rootkit является официальным продуктом компании First 4 Internet, которая поставляет ПО DRM – XCP (еXtended Copy Protection) – звукозаписывающим компаниям, в том числе и Sony.

Конкретно XCP обеспечивает возможность воспроизведения музыки исключительно плеером, распространяемом на том же компакт-диске, и не позволяет делать более трех его копий. На данный момент эта технология применяется в 20 продуктах Sony, которых за последние 8 месяцев было продано более двух миллионов.

Далее Руссинович выяснил, что rootkit и защита от копирования его новоприобретенного CD суть одно и то же. При этом дополнительно обнаружилось, что, во-первых, плеер отправляет на сайт Sony идентификатор диска и выполняет проверку на наличие обновлений фотографий и текстов песен данного альбома, во-вторых, DRM-защита сканирует исполняемые файлы процессов с вытекающими отсюда затратами процессорного времени (около 1–2%), причем даже после завершения работы плеера.

К сожалению, удалить это программное обеспечение стандартными средствами не получилось: деинсталлятора не оказалось ни на компакт-диске, ни на сайте First 4 Internet, не было плеера и в соответствующем списке установленных приложений в Control Panel. Руссиновичу пришлось воспользоваться старым, проверенным способом ручного удаления файлов драйвера и их записей в реестре (кстати сказать, DRM настроен даже на загрузку в отказоустойчивом режиме Windows, что может привести к самым непредсказуемым проблемам). После перезагрузки компьютера rootkit больше не идентифицировался, но вместе с ним исчез и пишущий DVD-привод. Дело в том, что в ОС Windows присутствует функция так называемой фильтрации драйверов устройств, благодаря которой один драйвер может просматривать и модифицировать запросы ввода/вывода, предназначенные другому. Соответственно, при некорректном удалении фильтрующего драйвера, фильтруемый может перестать работать вовсе. Так в данном случае и вышло, а исправлять ситуация опять пришлось вручную.

Резонанс

После публикации в блоге Руссиновича подробности данной истории были ретранслированы на множестве интернет-ресурсов, а вскоре к критике присоединились и непрофильные СМИ, в том числе USA Today и BBC. Очевидно, что огласка отнюдь не способствует популярности Sony, и компания вроде бы предприняла необходимые меры, предложив всем желающим загрузить со своего сайта некую заплатку или деинсталлятор (первоначально даже не признав собственной вины). Впрочем, получить его было не так-то просто – сначала нужно заполнить специальную форму, затем получить идентификатор на указанный в ней e-mail-адрес, который наконец-то позволит оформить собственно запрос, после чего в течение рабочего дня якобы будет отправлена ссылка на загружаемый модуль... Руссинович этой таинственной ссылки так и не дождался.

Затем заплатка стала доступна на странице Software Updates и представляла собой пакет обновления для ПО DRM размером около 3,5 MB. Ее инсталляция приводила к появлению в списке установленных программ малоинформативной записи «MediaJam» без каких бы то ни было упоминаний плеера Sony или DRM, а в каталоге Program Files – одноименного подкаталога с одним DLL-файлом. И даже в данном случае деинсталляция rootkit не всегда проходила гладко – видимо, не хватило разработчикам времени на тестирование. В действительности при этом лишь демаскировался DRM, и драйвер выгружался из памяти. Забавно, но то же самое можно проделать всего одной командой Windows:

net stop "network control manager"

Как многие уже, наверное, догадались, за названием «Network Control Manager» скрывается именно драйвер rootkit. Однако сам по себе останов этого драйвера может привести к нестабильной работе системы, вплоть до появления «синих экранов смерти». Поэтому еще нужно выполнить следующую команду (удаляющую записи драйвера aries из реестра):

sc delete $sys$aries

и перезагрузить компьютер. После всех процедур драйвер хоть и останется на диске, но активироваться не будет.

Более развернутый ответ правдоискателям дали представители First 4 Internet:

  • Отправка каких-то данных на сайт Sony списывается на баннер, ссылающийся на сайт музыканта. Что именно при этом передается – не сообщается.
  • Размер заплатки действительно объясняется радикальным обновлением всех компонентов DRM. Хотя как обычный пользователь вообще может догадаться о его необходимости, когда от него скрыт сам факт присутствия этого ПО?
  • Наличие проблем с самой заплаткой при этом попросту отрицается.
  • Необходимость указания адреса e-mail при заполнении формы запроса на сайте Sony – стандартный прием, основанный на корпоративной политике секретности Sony, и применяется лишь для установления контакта с покупателем. О том, что эта политика подразумевает использование реквизитов в маркетинговых списках, опять же умалчивается. Между прочим, схожие методики опроса пользователей применяются adware-программами.

Точка над i

В принципе, вся эта игра словами сути вещей не меняет. Наверное, представители медиаиндустрии имеют право вводить какие-то ограничения на использование своей продукции. Насколько это оправданно и этично – отдельный разговор. Однако любые предпринятые ими меры должны быть адекватными. В данном же случае речь идет о том, что, соблюдая свои интересы, Sony поставила под угрозу тысячи, если не миллионы, компьютеров, причем воспользовавшись одним из самый изощренных хакерских приемов. И сегодня это уже отнюдь не умозрительное заключение – несколько дней назад «Лаборатория Касперского» объявила об обнаружении первой злонамеренной программы, использующей для собственных целей rootkit от Sony. Затем выяснилось, что тот самый «деинсталлятор» DRM оставляет в системе ActiveX-элемент, на который уже «положили глаз» несколько хакерских сайтов. Соответственно, сегодня имя Sony увековечено в антивирусных справочниках ведущих поставщиков средств безопасности (к примеру, CA), и даже Microsoft пообещала обеспечить защиту от данного rootkit в своей антишпионской программе.

В конце-концов здравый смысл, кажется, все же стал побеждать. Sony не только принесла официальные извинения, но и отказалась от использования DRM в нынешнем виде. Сомнительный деинсталлятор убран с сайта компании, вместо него в самое короткое время будет предложен новый, вероятно, протестированный более тщательно. И даже музыкальные диски с rootkit (напомним, что их было продано более 2 млн) можно будет бесплатно обменять. Так или иначе все выявленные проблемы будут решены, но не хотелось бы, чтобы этот урок прошел бесследно – и не только для Sony. Ведь парадоксальность данного инцидента заключается еще и в том, что опасности подверглись пользователи, приобретающие как раз лицензионную продукцию, – к сожалению, нередко борьба с пиратством дает и обратный эффект.

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT