ขยายการป้องกันการคัดลอก

โลโก้ XCP-ออโรรา

Extended Copy Protection ( XCP ) เป็น ชุด ซอฟต์แวร์ที่พัฒนาโดยบริษัท First 4 Internet ของอังกฤษ (ซึ่งเมื่อวันที่ 20 พฤศจิกายน พ.ศ. 2549 เปลี่ยนชื่อเป็น Fortium Technologies Ltd) และจำหน่ายเป็น โครงการ ป้องกันการคัดลอกหรือการจัดการสิทธิ์ดิจิทัล (DRM) สำหรับคอมแพคดิสก์ . มันถูกใช้กับซีดีบางแผ่นที่จัดจำหน่ายโดยSony BMGและจุดประกายให้เกิดเรื่องอื้อฉาวเกี่ยวกับการป้องกันการคัดลอกซีดีของ Sony BMG ในปี 2548 ; ในบริบทนั้นเรียกอีกอย่างว่ารู ทคิทของ Sony

นักวิจัยด้านความปลอดภัย เริ่มต้นด้วยMark Russinovichในเดือนตุลาคม พ.ศ. 2548 ได้อธิบายว่าโปรแกรมนี้มีฟังก์ชันการทำงานเหมือนกับรูทคิท : โปรแกรมคอมพิวเตอร์ที่ผู้บุกรุกคอมพิวเตอร์ใช้เพื่อปกปิดกิจกรรมที่ไม่ได้รับอนุญาตในระบบคอมพิวเตอร์ Russinovich เล่าเรื่องราวบนบล็อก Sysinternals ของเขา ซึ่งได้รับความสนใจจากสื่อและนักวิจัยคนอื่นๆ [1]ท้ายที่สุดสิ่งนี้นำไปสู่การฟ้องร้องทางแพ่งและการสอบสวนทางอาญา ซึ่งบังคับให้โซนี่ต้องหยุดใช้ระบบนี้

ในขณะที่ Sony เรียกคืนซีดีที่มีระบบ XCP ในที่สุด ตัวถอนการติดตั้งบนเว็บได้รับการตรวจสอบโดยนักวิจัยด้านความปลอดภัยชื่อดังEd FeltenและAlex Haldermanซึ่งระบุว่า ส่วนประกอบ ActiveXที่ใช้สำหรับการลบซอฟต์แวร์ทำให้ผู้ใช้มีความเสี่ยงด้านความปลอดภัยที่สำคัญกว่ามาก รวมถึงการเรียกใช้โค้ดโดยพลการจากเว็บไซต์บนอินเทอร์เน็ต [2]

คำอธิบาย

เวอร์ชันของซอฟต์แวร์ที่ใช้ในแผ่นซีดี Sony เป็นเวอร์ชันที่วางตลาดในชื่อ "XCP-Aurora" ครั้ง แรกที่ผู้ใช้พยายามเล่นซีดีดังกล่าวบน ระบบ Windowsผู้ใช้จะได้รับข้อตกลงสิทธิ์การใช้งานสำหรับผู้ใช้ปลายทาง หากพวกเขายอมรับ ซอฟต์แวร์จะถูกติดตั้ง ไม่เช่นนั้นแผ่นดิสก์จะถูกดีดออก [3] EULA ไม่ได้ระบุว่าได้ติดตั้งซอฟต์แวร์ที่ซ่อนอยู่ จากนั้นซอฟต์แวร์จะยังคงอยู่ในระบบของผู้ใช้ โดยสกัดกั้นการเข้าถึงไดรฟ์ซีดีทั้งหมดเพื่อป้องกันไม่ให้มีเดียเพลเยอร์หรือซอฟต์แวร์ริปเปอร์ใดๆ นอกเหนือจากซอฟต์แวร์ที่มาพร้อมกับ XCP-Aurora เข้าถึงแทร็กเพลงของซีดี Sony ไม่มีวิธีถอนการติดตั้งโปรแกรมที่ชัดเจน การพยายามลบซอฟต์แวร์โดยการลบไฟล์ที่เกี่ยวข้องด้วยตนเองจะทำให้ไดรฟ์ซีดีไม่สามารถใช้งานได้เนื่องจาก การตั้งค่า รีจิสทรีที่โปรแกรมได้เปลี่ยนแปลง อย่างไรก็ตาม ไม่นานนักก็พบว่าซอฟต์แวร์สามารถเอาชนะได้อย่างง่ายดายโดยใช้ปากกามาร์กเกอร์ถาวรวาดขอบสีเข้มตามขอบของดิสก์ [4]

การวิจัยด้านความปลอดภัย

หลังจากการตีพิมพ์ผลการวิจัยของ Mark Russinovich นักวิจัยด้านความปลอดภัยคนอื่นๆ ก็เผยแพร่ผลการวิเคราะห์ของตนเองอย่างรวดเร็ว การค้นพบเหล่านี้จำนวนมากมีความสำคัญอย่างยิ่งต่อ Sony และ First 4 Internet โดยเฉพาะอย่างยิ่ง พบว่าซอฟต์แวร์ปกปิดกิจกรรมในลักษณะของรูทคิทและทำให้ผู้ใช้ได้รับอันตรายที่ตามมาจากไวรัสและโทร จัน

เทคนิคการปิดบังหน้าเว็บจริงของ XCP ซึ่งทำให้กระบวนการทั้งหมดที่มีชื่อขึ้นต้นด้วยมอง$sys$ไม่เห็น สามารถใช้โดยมัลแวร์ ตัวอื่น " piggybacking " ได้ เพื่อให้แน่ใจว่าจะถูกซ่อนไม่ให้ผู้ใช้มองเห็นเช่นกัน โทรจันที่เป็นอันตรายตัวแรกที่ซ่อนผ่าน XCP ถูกค้นพบเมื่อวันที่ 10 พฤศจิกายน พ.ศ. 2548 ตามรายงานของบริษัทป้องกันไวรัสBitDefender [5]

การวิจัยติดตามผลโดย Felten และ Halderman แสดงให้เห็นว่าโปรแกรมถอนการติดตั้ง บนเว็บ ที่ Sony เสนอในภายหลังสำหรับซอฟต์แวร์นั้นมีปัญหาด้านความปลอดภัยที่สำคัญของตัวเอง [6]ซอฟต์แวร์จะติดตั้ง ส่วนประกอบ ActiveXซึ่งอนุญาตให้เว็บไซต์ใด ๆ เรียกใช้ซอฟต์แวร์บนคอมพิวเตอร์ของผู้ใช้โดยไม่มีข้อจำกัด ส่วนประกอบนี้ถูกใช้โดยเว็บไซต์ของ First 4 Internet เพื่อดาวน์โหลดและเรียกใช้โปรแกรมถอนการติดตั้ง แต่จะยังคงใช้งานได้หลังจากนั้น โดยอนุญาตให้เว็บไซต์ใดๆ ที่ผู้ใช้เยี่ยมชมเข้าควบคุมคอมพิวเตอร์

เนื่องจากเป็นข้อมูลเฉพาะสำหรับ Microsoft Windows XCP จึงไม่มีผลกระทบต่อระบบปฏิบัติการอื่นๆ ทั้งหมด เช่นLinux , BSD , OS/2 , SolarisหรือMac OS Xซึ่งหมายความว่าผู้ใช้ระบบเหล่านั้นจะไม่ได้รับอันตรายที่อาจเกิดขึ้นจากซอฟต์แวร์นี้ และยังไม่ถูกขัดขวางไม่ให้ริพเพลงปกติในซีดี อีกด้วย (แผ่นดิสก์บางแผ่นที่เกี่ยวข้องกับเรื่องอื้อฉาวของ Sony มีเทคโนโลยีคู่แข่งอย่างMediaMaxจากSunnCommซึ่งพยายามติดตั้ง ส่วนขยาย เคอร์เนลบน Mac OS X อย่างไรก็ตาม เนื่องจากการอนุญาตของ Mac OS X จึงไม่มีการติดไวรัสในวงกว้างในหมู่ผู้ใช้ Mac)

แม้ว่า Russinovich จะเป็นคนแรกที่เผยแพร่เกี่ยวกับรูทคิทนี้ แต่นักวิจัยคนอื่นๆ ก็ได้ค้นพบมันในช่วงเวลาเดียวกัน แต่ยังคงวิเคราะห์มันหรือเลือกที่จะไม่เปิดเผยสิ่งใดเร็วกว่านี้ เนื่องจากผลกระทบอันน่าสะพรึงกลัวของ มาตรา ต่อต้านการหลบเลี่ยงของDigital Millennium Copyright กระทำ . [7]

การตอบสนองของอุตสาหกรรมแอนติไวรัส

ไม่นานหลังจากที่นักวิจัยอิสระเปิดเผยเรื่องราวนี้ ผู้จำหน่ายซอฟต์แวร์รักษาความปลอดภัยก็ติดตาม โดยเผยแพร่คำอธิบายโดยละเอียดเกี่ยวกับส่วนประกอบของ XCP รวมถึงซอฟต์แวร์เพื่อลบ$sys$*ส่วนประกอบการปิดบังของมัน ในทางกลับกัน ยังไม่มีซอฟต์แวร์ออกมาเพื่อลบส่วนประกอบไดรเวอร์ตัวกรองซีดีรอม Computer Associatesผู้ผลิต ซอฟต์แวร์ป้องกันสปายแวร์ PestPatrolกำหนดลักษณะของซอฟต์แวร์ XCP ว่าเป็นทั้งม้าโทรจันและรูทคิท : [8]

XCP.Sony.Rootkit ติดตั้ง DRM ที่สามารถเรียกใช้งานได้เป็นบริการ Windowsแต่ตั้งชื่อบริการนี้ว่า " Plug and Play Device Manager" ซึ่งทำให้เข้าใจผิด โดยใช้เทคนิคที่ผู้เขียนมัลแวร์ใช้กันทั่วไปเพื่อหลอกผู้ใช้ทั่วไปให้เชื่อว่านี่เป็นส่วนหนึ่งของ Windows ประมาณทุกๆ 1.5 วินาที บริการนี้จะสอบถามไฟล์ปฏิบัติการหลักที่เกี่ยวข้องกับกระบวนการทั้งหมดที่ทำงานบนเครื่อง ส่งผลให้เกิดการพยายามอ่านบนฮาร์ดไดรฟ์เกือบต่อเนื่อง สิ่งนี้แสดงให้เห็นว่าอายุการใช้งานของไดรฟ์สั้นลง

นอกจากนี้ XCP.Sony.Rootkit ยังติดตั้งไดรเวอร์อุปกรณ์โดยเฉพาะไดรเวอร์ตัวกรองซีดีรอม ซึ่งจะดักฟังการโทรไปยังไดรฟ์ซีดีรอม หากกระบวนการอื่นนอกเหนือจากเครื่องเล่นเพลง (player.exe) ที่ให้มาพยายามอ่านส่วนเสียงของซีดี ไดรเวอร์ตัวกรองจะแทรกสัญญาณรบกวนที่ดูเหมือนสุ่มเข้าไปในข้อมูลที่ส่งคืน ส่งผลให้ไม่สามารถฟังเพลงได้

XCP.Sony.Rootkit โหลดไดรเวอร์ตัวกรองระบบซึ่งจะสกัดกั้นการเรียกกระบวนการ ไดเรกทอรี หรือรายการรีจิสทรีทั้งหมด แม้แต่รายการที่ไม่เกี่ยวข้องกับแอปพลิเคชัน Sony BMG ก็ตาม ไดรเวอร์รูทคิทนี้จะแก้ไขข้อมูลที่ระบบปฏิบัติการมองเห็นได้เพื่อปิดบังซอฟต์แวร์ Sony BMG โดยทั่วไปเรียกว่าเทคโนโลยีรูทคิท นอกจากนี้ รูทคิทไม่เพียงส่งผลต่อไฟล์ของ XCP.Sony.Rootkit เท่านั้น รูทคิทนี้จะซ่อนทุกไฟล์ กระบวนการ หรือรีจิสตรีคีย์ที่ขึ้นต้นด้วย$sys$. สิ่งนี้แสดงถึงช่องโหว่ซึ่งได้ถูกนำไปใช้เพื่อซ่อน การแฮ็ก World of Warcraft RING0 แล้ว ณ เวลาที่เขียนบทความนี้ และอาจซ่อนไฟล์และกระบวนการของผู้โจมตีได้เมื่อเข้าถึงระบบที่ติดไวรัสแล้ว

Computer Associatesได้ประกาศในเดือนพฤศจิกายน พ.ศ. 2548 ว่าผลิตภัณฑ์ป้องกันสปายแวร์PestPatrolจะสามารถลบซอฟต์แวร์ของ Sony ได้ [8] [9]หนึ่งเดือนต่อมาMicrosoftได้เปิดตัวการอัปเดตสำหรับเครื่องมือกำจัดซอฟต์แวร์ที่เป็นอันตรายซึ่งสามารถกำจัดมัลแวร์ F4IRootkit ได้ [10] [11]

อย่างไรก็ตาม การตอบสนองที่ค่อนข้างช้าและไม่สมบูรณ์ของบริษัทแอนตี้ไวรัสบางแห่งนั้นถูกตั้งคำถามโดยBruce Schneier ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลและผู้เขียนบทความและข้อความด้านความปลอดภัย รวมถึงSecrets and Lies ในบทความของWired Newsมิสเตอร์ชไนเออร์ถามว่า "จะเกิดอะไรขึ้นเมื่อผู้สร้างมัลแวร์สมรู้ร่วมคิดกับบริษัทที่เราจ้างเพื่อปกป้องเราจากมัลแวร์นั้น" คำตอบของเขาคือ "ผู้ใช้สูญเสีย... รูทคิทที่เป็นอันตรายและสร้างความเสียหายถูกปล่อยออกสู่ตลาด และคอมพิวเตอร์ครึ่งล้านเครื่องก็ติดไวรัสก่อนใครจะทำอะไรเลย" [12]

ผลกระทบของ XCP

เริ่มตั้งแต่ต้นเดือนสิงหาคม 2548 ผู้ใช้ Windows รายงานข้อขัดข้องที่เกี่ยวข้องกับโปรแกรมชื่อaries.sysในขณะที่ไม่สามารถค้นหาไฟล์ในคอมพิวเตอร์ของตนได้อย่างอธิบายไม่ได้ [13]ไฟล์นี้เป็นที่รู้จักแล้วว่าเป็นส่วนหนึ่งของ XCP โฮสต์Call for Help Leo Laporteกล่าวว่าเขาได้รับรายงานการเพิ่มขึ้นของไดรฟ์ซีดีรอม "หายไป" ซึ่งเป็นอาการของการพยายามลบ XCP ไม่สำเร็จ [14]

นักวิจัยด้านความปลอดภัยDan Kaminskyใช้ การวิเคราะห์แคช DNSเพื่อตรวจสอบว่าเครือข่าย 568,000 แห่งทั่วโลกอาจมีคอมพิวเตอร์ที่ติด XCP อย่างน้อยหนึ่งเครื่อง เทคนิคของ Kaminsky ใช้ข้อเท็จจริงที่ว่าเนมเซิร์ฟเวอร์ DNS แคชดึงข้อมูลผลลัพธ์เมื่อเร็วๆ นี้ และโทรศัพท์ XCP เป็นที่ตั้ง ของ ชื่อโฮสต์เฉพาะ ด้วยการค้นหาเซิร์ฟเวอร์ DNS ที่มีชื่อโฮสต์นั้นอยู่ในแคช Kaminsky สามารถประมาณจำนวนเครือข่ายที่ได้รับผลกระทบได้ หลังจากการเปิดเผยข้อมูล Kaminsky ได้เรียนรู้ว่า "ซีดีที่ปรับปรุง" ที่ยังไม่ระบุจำนวนที่ไม่มีรูทคิทยังโทรกลับบ้านไปยังที่ อยู่เดียวกับที่ดิสก์ที่ได้รับผลกระทบจากรูทคิทใช้ ดังนั้นอัตราการติดเชื้อจึงยังอยู่ภายใต้การสอบสวนอย่างแข็งขัน

ข้อบกพร่อง XCP

ตามที่บริษัทนักวิเคราะห์Gartnerระบุว่า XCP ประสบปัญหาเดียวกันกับการนำ DRM ไปใช้เหมือนกับเทคโนโลยี DRM ใดๆ (ในปัจจุบันหรืออนาคต) ที่พยายามใช้ DRM กับซีดีเพลงที่ออกแบบมาเพื่อเล่นบนเครื่องเล่นซีดีแบบสแตนด์อโลน ตามข้อมูลของ Gartner เนื่องจากการติดตั้ง XCP หรือซอฟต์แวร์ DRM ใดๆ ต้องใช้ซีดีแบบหลายเซสชัน การใช้หมึก (ผ่านเครื่องหมายสักหลาดธรรมดา) ที่ขอบด้านนอกของดิสก์ทำให้แทร็กข้อมูลของซีดีไม่สามารถอ่านได้ ส่งผลให้พีซีถือว่าแผ่นดิสก์เป็นซีดีเพลงเซสชันเดียวธรรมดา [4]

โปรแกรม AnyDVDของSlysoftซึ่งลบการป้องกันการคัดลอกจาก แผ่น DVDและBlu-rayยังเอาชนะ DRM บนซีดีเพลงอีกด้วย เมื่อเปิดใช้งานและใส่ซีดีเพลง AnyDVD จะบล็อกพีซีไม่ให้เข้าถึงเซสชันใดๆ ยกเว้นเสียง ส่งผลให้เซสชันข้อมูลไม่สามารถอ่านได้ และป้องกันการติดตั้งมัลแวร์ เช่น XCP [16]

ข้อกังวลทางกฎหมาย

มีการคาดเดากันมากมายว่าการดำเนินการของซอฟต์แวร์นี้เป็นการละเมิดกฎหมายต่างๆ ต่อการดัดแปลงคอมพิวเตอร์โดยไม่ได้รับอนุญาต หรือกฎหมายที่เกี่ยวข้องกับการบุกรุกความเป็นส่วนตัวโดย " สปายแวร์ " และวิธีที่พวกเขาทำให้ Sony และ First 4 Internet ต้องรับผิดทางกฎหมาย รัฐแคลิฟอร์เนีย นิวยอร์ก และเท็กซัส รวมถึงอิตาลี ได้ดำเนินการทางกฎหมายกับทั้งสองบริษัทแล้ว และมีแนวโน้มว่าจะมีการฟ้องร้องดำเนินคดีแบบกลุ่มเพิ่มเติม อย่างไรก็ตาม การพยายามดูหรือลบซอฟต์แวร์นี้เพื่อระบุหรือป้องกันการเปลี่ยนแปลง Windows ในทางทฤษฎีจะถือเป็นความผิดทางแพ่งหรือทางอาญาภายใต้กฎหมายต่อต้านการหลบเลี่ยงบางประการ เช่นDigital Millennium Copyright Act ที่ เป็นข้อขัดแย้ง ในสหรัฐอเมริกา

Fred von Lohmann จาก มูลนิธิElectronic Frontier Foundationยังวิพากษ์วิจารณ์ XCP EULA อย่างหนัก โดยเรียกมันว่า "รูทคิททางกฎหมาย" [17]

สาเหตุหลักประการหนึ่งของการทดสอบ XCP อยู่ที่ประเด็นของการเพิ่ม DRM ให้กับมาตรฐานเดิม ปัญหาเหล่านี้ได้รับการสำรวจโดยศาสตราจารย์ Randal Picker ศาสตราจารย์ด้านกฎหมายของคณะนิติศาสตร์มหาวิทยาลัยชิคาโกในบทความของเขาเรื่อง "Mistrust-Based Digital Rights Management" ซึ่งตีพิมพ์ใน Volume 5 ของJournal on Telecommunications and High Technology Law ซีดีโดยตัวมันเองไม่สามารถอัปเดตฮาร์ดแวร์รุ่นเก่าได้ เช่น เครื่องเล่นซีดีแบบสแตนด์อโลน และไม่มีความสามารถในการเปลี่ยนหรืออัพเกรดเฟิร์มแวร์เพื่ออ่าน DRM ดังนั้นจึงต้องเพิ่ม DRM เพื่อไม่ให้รบกวนการทำงานของเครื่องเล่นรุ่นเก่า แต่ยังคงใช้งานได้เมื่อใส่ซีดีแผ่นเดียวกันในคอมพิวเตอร์ ตัวเลือกจะวิเคราะห์ปัญหาหลักสี่ประเด็นด้วย DRM เสริม

ปัญหาแรก ดังที่แสดงในตัวอย่าง XCP คือผู้บริโภคที่มีความสามารถสามารถข้าม DRM ไปได้ การปิดการทำงานอัตโนมัติป้องกันการติดตั้งรูทคิท และทำให้แผน DRM ไม่ถูกต้อง

ปัญหาที่สองคือปฏิกิริยาของผู้บริโภค การเพิ่ม DRM ให้กับผลิตภัณฑ์รุ่นเก่า เช่น ซีดีเพลง ซึ่งแต่เดิมไม่มีแผนการจัดการสิทธิ์ จะทำให้ผู้บริโภคโกรธเคือง Picker ชี้ให้เห็นว่าหลังจากการเผยแพร่เชิงลบเกี่ยวกับ DRM เสริมของ Sony ทำให้Amazon.comเริ่มแจ้งเตือนลูกค้าว่าซีดีของ Sony มี XCP ใดบ้าง ลูกค้าสามารถหลีกเลี่ยง DRM ได้โดยสิ้นเชิง โดยจะลบล้างประสิทธิภาพ

ปัญหาที่สามอยู่ที่การตอบสนองทางกฎหมาย EFF และอัยการสูงสุดของรัฐ ได้สอบสวนและยื่นฟ้อง Sony สำหรับโครงการ XCP Picker ไม่ได้วิเคราะห์คุณธรรมทางกฎหมายของการฟ้องร้องดังกล่าว แต่ค่าใช้จ่ายในการดำเนินคดีอาจมีมากกว่าประโยชน์ของการพยายามเพิ่ม DRM

ปัญหาที่สี่และสุดท้ายอยู่ในข้อตกลงสิทธิ์การใช้งานสำหรับผู้ใช้ปลายทางที่พยายามบังคับใช้โดย DRM เสริม ความสามารถในการบังคับใช้ข้อตกลงเหล่านี้กับ DRM เสริมนั้นถูกจำกัดด้วยข้อเท็จจริงที่ว่าหากไม่มีการลงทะเบียนและการติดตามซีดีที่ใช้งานได้ บริษัทจะไม่มีใครบังคับใช้ได้ ดังนั้น ประโยชน์ที่คาดหวังจากการบังคับใช้ EULA ต่อผู้ฝ่าฝืนจึงไม่มีอยู่จริง อย่างไรก็ตาม ค่าใช้จ่ายในการดำเนินโครงการ DRM เพิ่มเติม ในรูปแบบของการสอบสวนของรัฐและรัฐบาลกลาง การฟ้องร้องคดีส่วนตัว การประชาสัมพันธ์เชิงลบ การตอบโต้ของผู้บริโภค และข้อจำกัดทางเทคนิค นั้นมีมากกว่าผลประโยชน์อย่างมาก

การละเมิดลิขสิทธิ์

นักวิจัย Sebastian Porst, [18] Matti Nikki [19]และผู้เชี่ยวชาญด้านซอฟต์แวร์จำนวนหนึ่งได้เผยแพร่หลักฐานว่าซอฟต์แวร์ XCP ละเมิดลิขสิทธิ์ของตัวเข้ารหัสLAME mp3 , [20] mpglib , [21] FAAC [22] id3lib [23] ] ( การอ่านและการเขียนแท็ก ID3), mpg123 และเครื่องเล่นสื่อVLC [24]

Alex Halderman นักวิจัยของ Princeton ค้นพบว่าในซีดี XCP เกือบทุกแผ่น จะมีโค้ดที่ใช้เวอร์ชันดัดแปลงจาก ซอฟต์แวร์ DRMS ​​ของJon Johansenซึ่งอนุญาตให้เปิดFairPlay DRM ของApple Computer ได้รวมอยู่ด้วย [25]เขาพบว่าโค้ดใช้งานไม่ได้ แต่ทำงานได้อย่างสมบูรณ์เนื่องจากเขาสามารถใช้เพื่อแทรกเพลงลงใน Fairplay DRMS, mpg123 และ VLC ได้รับอนุญาตภายใต้GNU General Public License (GPL) ซอฟต์แวร์อื่นๆ ที่พบ เช่น LAME ได้รับอนุญาตภายใต้เงื่อนไขของGNU Lesser General Public License (LGPL) เช่นเดียวกับซอฟต์แวร์เสรี หากการกล่าวอ้างถูกต้อง แสดงว่าSony/BMGกำลังเผยแพร่เนื้อหาที่มีลิขสิทธิ์อย่างผิดกฎหมาย

จอน โจแฮนเซน เขียนไว้ในบล็อกของเขา[26]ว่าหลังจากพูดคุยกับทนายความ เขาคิดว่าเขาไม่สามารถฟ้องร้องได้ อย่างไรก็ตาม มีความเห็นว่าคำแนะนำที่เขาได้รับนั้นผิด [27] นักพัฒนา LAME ได้ส่งจดหมายเปิดผนึกถึง Sony/BMG ทางออนไลน์

การละเมิดลิขสิทธิ์ที่ Sony อาจถูกกล่าวหา[29]ได้แก่:

  • ไม่มี "ประกาศสำคัญ" สำหรับการรวมซอฟต์แวร์ GPL และ LGPL
  • การเชื่อมโยงโค้ด GPL แบบคงที่เข้ากับโปรแกรม แต่ไม่ได้ระบุซอร์สโค้ดของโปรแกรมทั้งหมดภายใต้ GPL
  • การเชื่อมโยงรหัส LGPL แบบคงที่ แต่ไม่ได้ระบุแหล่งที่มาของชิ้นส่วน LGPL และรหัสไบนารี่ของชิ้นส่วนที่ไม่ใช่ LGPL เพื่อให้สามารถเชื่อมโยงใหม่ด้วยรหัส LGPL ที่อัปเดตแล้ว
  • การวางข้อจำกัดในการใช้โค้ดนอกเหนือจากที่ GPL/LGPL อนุญาต เช่น การไม่ "ออกใบอนุญาตโดยไม่มีค่าใช้จ่ายแก่บุคคลที่สามทั้งหมด" ภายใต้ LGPL และ GPL

Sony ได้จัดเตรียมซอร์สโค้ดของ id3lib เวอร์ชัน [30] ไว้บนเว็บไซต์แล้ว แต่ไม่เกี่ยวข้องกับ XCP

คำตอบของโซนี่

ในรายการวิทยุสาธารณะแห่งชาติThomas Hesseประธานแผนกธุรกิจดิจิทัลระดับโลกของ Sony BMG ถามว่า "ผมคิดว่าคนส่วนใหญ่ไม่รู้ด้วยซ้ำว่ารูทคิทคืออะไร แล้วทำไมพวกเขาถึงต้องสนใจมันด้วยซ้ำ" [31] เขาอธิบายว่า "ซอฟต์แวร์ได้รับการออกแบบมาเพื่อปกป้องซีดีของเราจากการคัดลอกและริป โดยไม่ได้รับอนุญาต "

Sony ยังยืนยันว่า "ส่วนประกอบไม่เป็นอันตรายและไม่กระทบต่อความปลอดภัย" แต่ "เพื่อบรรเทาความกังวลใดๆ ที่ผู้ใช้อาจมีเกี่ยวกับโปรแกรมที่อาจก่อให้เกิดช่องโหว่ด้านความปลอดภัย การอัปเดตนี้ได้รับการเผยแพร่เพื่อให้ผู้ใช้สามารถลบ ส่วนประกอบ รูทคิต ออก จาก คอมพิวเตอร์" [ จำเป็นต้องอ้างอิง ]

การวิเคราะห์ตัวถอนการติดตั้งนี้ได้รับการเผยแพร่โดย Mark Russinovich ซึ่งในตอนแรกได้ค้นพบ XCP โดยมีชื่อว่า "เพิ่มเติมเกี่ยวกับ Sony: Dangerous Decloaking Patch, EULAs และ Phoning Home" [32]การขอรับโปรแกรมถอนการติดตั้งดั้งเดิมต้องใช้เบราว์เซอร์เฉพาะ (Microsoft Internet Explorer ) และกรอกแบบฟอร์มออนไลน์พร้อมที่อยู่อีเมล รับอีเมล ติดตั้งแพตช์ กรอกแบบฟอร์มออนไลน์ที่สอง จากนั้นพวกเขาจะ รับลิงก์ไปยังโปรแกรมถอนการติดตั้ง ลิงก์นี้เป็นแบบส่วนบุคคล และจะไม่ทำงานสำหรับการถอนการติดตั้งหลายครั้ง นอกจากนี้ นโยบายความเป็นส่วนตัวของ Sony [33]ระบุว่าที่อยู่นี้สามารถใช้เพื่อส่งเสริมการขาย หรือมอบให้กับบริษัทในเครือหรือ "บุคคลที่สามที่มีชื่อเสียงที่อาจติดต่อคุณโดยตรง"

มีรายงานด้วยว่าโปรแกรมถอนการติดตั้งอาจมีปัญหาด้านความปลอดภัยซึ่งจะทำให้สามารถเรียกใช้โค้ดจากระยะไกลได้ หน้าถอนการติดตั้งของ Sony จะพยายามติดตั้งตัวควบคุม ActiveX เมื่อแสดงใน Internet Explorer ตัวควบคุม ActiveX นี้ถูกทำเครื่องหมายว่า "ปลอดภัยสำหรับการเขียนสคริปต์" ซึ่งหมายความว่าหน้าเว็บใด ๆ สามารถใช้ตัวควบคุมและวิธีการของมันได้ วิธีการบางอย่างที่ได้รับจากการควบคุมนี้เป็นอันตราย เนื่องจากอาจอนุญาตให้ผู้โจมตีอัปโหลดและรันโค้ดโดยอำเภอใจได้

เมื่อวันที่ 11 พฤศจิกายน พ.ศ. 2548 Sony ได้ประกาศ[34]พวกเขาจะระงับการผลิตซีดีโดยใช้ระบบ XCP:

“เพื่อเป็นการป้องกันไว้ก่อน Sony BMG จึงระงับการผลิตซีดีที่มีเทคโนโลยี XCP ชั่วคราว” บริษัทระบุในแถลงการณ์

"เรายังตั้งใจที่จะตรวจสอบทุกแง่มุมของความคิดริเริ่มการปกป้องเนื้อหาของเราเพื่อให้แน่ใจว่ายังคงบรรลุเป้าหมายด้านความปลอดภัยและความสะดวกในการใช้งานของผู้บริโภค" Sony BMG กล่าวเสริม

ตามมาด้วยความคิดเห็นของStewart Baker ผู้ช่วยเลขานุการ ฝ่าย นโยบาย ของกระทรวงความมั่นคงแห่งมาตุภูมิซึ่งเขามอบหมายให้ผู้ผลิต DRM ทำงาน ตามรายงานในThe Washington Post :

ในคำพูดที่มุ่งเป้าไปที่ Sony และค่ายเพลงอื่นๆ โดยตรง Stewart กล่าวต่อ: "สิ่งสำคัญมากที่ต้องจำไว้ว่าเป็นทรัพย์สินทางปัญญาของคุณ ไม่ใช่คอมพิวเตอร์ของคุณ และในการแสวงหาการคุ้มครองทรัพย์สินทางปัญญา สิ่งสำคัญคือต้องไม่เอาชนะหรือบ่อนทำลาย มาตรการรักษาความปลอดภัยที่ประชาชนต้องใช้ในยุคนี้”

ตาม รายงานของ The New York Times , [35] Sony BMG กล่าวว่า "มีการจัดส่งซีดีที่มีซอฟต์แวร์ประมาณ 4.7 ล้านแผ่น และจำหน่ายไปแล้วประมาณ 2.1 ล้านแผ่น" Sony-BMG จัดจำหน่ายอัลบั้ม 52 อัลบั้มซึ่งมี XCP [36]

เมื่อวันที่ 14 พฤศจิกายน พ.ศ. 2548 Sony ได้ประกาศเรียกคืนซีดีที่ได้รับผลกระทบและวางแผนที่จะเสนอการแลกเปลี่ยนให้กับผู้บริโภคที่ซื้อแผ่นดิสก์ [37]

อัลบั้มที่มี XCP

มูลนิธิพรมแดนอิเล็กทรอนิกส์ตีพิมพ์รายชื่อดั้งเดิมของ 19 ชื่อเมื่อวันที่ 9 พฤศจิกายน พ.ศ. 2548 [38] เมื่อวันที่ 15 พฤศจิกายน พ.ศ. 2548 The Registerตีพิมพ์บทความ[39]โดยบอกว่าอาจมีได้มากถึง 47 ชื่อ Sony BMG บอกว่ามีซีดี XCP 52 แผ่น [36]

Amazon กล่าวว่าจะถือว่าซีดี XCP เป็นสินค้าที่มีข้อบกพร่อง และจะคืนเงินพร้อมค่าจัดส่ง ตราบใดที่ลูกค้าระบุคำขอ [40] ผลข้างเคียงที่ไม่พึงประสงค์ต่างๆ ของ XCP สามารถมองได้อย่างสมเหตุสมผลว่าเป็นข้อบกพร่อง เนื่องจากไม่ได้เป็นส่วนหนึ่งของฟังก์ชันที่ตั้งใจไว้ (ชัดเจน) ของ XCP มุมมองนี้ครอบคลุมประเด็นสำคัญกว่าว่า Sony ละเมิดต่อเจ้าของคอมพิวเตอร์โดยเจตนาแก้ไขระบบคอมพิวเตอร์ของตนโดยไม่ได้รับความยินยอมหรือไม่

หมายเหตุ

  1. รุสซิโนวิช, มาร์ก (31 ตุลาคม พ.ศ. 2548) Sony, Rootkits และการจัดการสิทธิ์ดิจิทัลไปไกลเกินไปแล้ว
  2. เฟลตัน, เอ็ด (15 พฤศจิกายน พ.ศ. 2548) "โปรแกรมถอนการติดตั้งบนเว็บของ Sony เปิดช่องโหว่ด้านความปลอดภัยครั้งใหญ่ Sony ที่จะเรียกคืน ..."
  3. "Sony, Rootkits และการจัดการสิทธิ์ดิจิทัลไปไกลเกินไป - บล็อกของ Mark - หน้าแรกของไซต์ - บล็อกของ TechNet" Blogs.Technet.com . สืบค้นเมื่อ5 มิถุนายน 2555 .
  4. ↑ ab "50 สิ่งประดิษฐ์ที่เลวร้ายที่สุด". เวลา . 27 พฤษภาคม 2553 เก็บถาวรจากต้นฉบับเมื่อวันที่ 30 พฤษภาคม 2553
  5. "ตรวจพบโทรจันตัวแรกที่ใช้ Sony DRM" 10 พฤศจิกายน 2548 เก็บถาวรจากต้นฉบับเมื่อวันที่ 17 กรกฎาคม 2555
  6. ฮอลเดอร์แมน, เจ. อเล็กซ์ (15 พฤศจิกายน พ.ศ. 2548) อัปเดต: Sony Uninstaller Hole ยังคงเปิดอยู่
  7. เฟลเทน, เอ็ดเวิร์ด (29 มีนาคม พ.ศ. 2556) "ผลกระทบอันน่าสะพรึงกลัวของ DMCA" กระดานชนวน _ สืบค้นเมื่อ15 เมษายน 2556 .
  8. ^ ab "ข้อมูลสปายแวร์: XCP.Sony.Rootkit" 5 ตุลาคม 2548 เก็บถาวรจากต้นฉบับเมื่อวันที่ 18 เมษายน 2549
  9. "CA กำหนดเป้าหมาย Sony DRM เป็นสปายแวร์ - ZDNet" Blogs.zdnet.com. เก็บถาวรจากต้นฉบับเมื่อ 4 กันยายน 2009 . สืบค้นเมื่อ5 มิถุนายน 2555 .
  10. "สารานุกรมซอฟต์แวร์ที่เป็นอันตราย: WinNT/F4IRootkit" ไมโครซอฟต์ . เก็บถาวรจากต้นฉบับเมื่อ 4 มีนาคม 2550 . สืบค้นเมื่อ 16 ธันวาคม พ.ศ. 2549 .
  11. "อัปเดตเดือนธันวาคมสำหรับเครื่องมือกำจัดซอฟต์แวร์ที่เป็นอันตรายของ Windows" 15 ธันวาคม 2548 เก็บถาวรจากต้นฉบับเมื่อวันที่ 28 กันยายน 2550
  12. ชไนเออร์, บรูซ (17 พฤศจิกายน พ.ศ. 2548) "เรื่องความปลอดภัย: เรื่องจริงของรูทคิทอันธพาล" แบบมีสาย. เก็บถาวรจากต้นฉบับเมื่อ 27 มกราคม พ.ศ. 2550 . สืบค้นเมื่อ21 กรกฎาคม 2556 .
  13. "ฟอรั่มชุมชน SaintsReport". Saintsreport.com. เก็บถาวรจากต้นฉบับเมื่อ 13 มกราคม 2016 . สืบค้นเมื่อ5 มิถุนายน 2555 .
  14. "GRC - Security Now! Transcript of Episode #12". Grc.com. 2 พฤศจิกายน 2548 . สืบค้นเมื่อ5 มิถุนายน 2555 .
  15. บล็อกของแดน คามินสกี้
  16. ↑ ไฟล์วิธีใช้ AnyDVD , v.6.3.1.5
  17. ฟอน โลห์มันน์, เฟรด (9 พฤศจิกายน พ.ศ. 2548) "ตอนนี้ Rootkit ทางกฎหมาย: EULA ของ Sony-BMG"
  18. ^ "พิสูจน์ว่า F4I ละเมิด GPL - เนื้อหาการเขียนโปรแกรม" www.the-interweb.com .
  19. ↑ ab "XCP DRM ของโซนี่" www.hack.fi . เก็บถาวรจากต้นฉบับเมื่อวันที่ 24 พฤศจิกายน พ.ศ. 2548
  20. "Sony ละเมิด LGPL หรือไม่ - ตอนที่ II - เรื่องการเขียนโปรแกรม" www.the-interweb.com .
  21. "ความก้าวหน้าครั้งแล้วครั้งเล่าในกรณี F4I - เรื่องการเขียนโปรแกรม" www.the-interweb.com .
  22. "พบการละเมิดใบอนุญาต F4I ใหม่สองรายการ - เรื่องการเขียนโปรแกรม" www.the-interweb.com .
  23. ^ http://the-interweb.com/bdump/misc/id3lib.png [ ไฟล์ภาพ URL เปล่า ]
  24. ".plan ของแซม โฮเซวาร์". sam.zoy.org _
  25. "คุณลักษณะที่ซ่อนอยู่ใน Sony DRM ใช้โค้ดโอเพ่นซอร์สเพื่อเพิ่ม Apple DRM" Freedom-to-tinker.com 4 ธันวาคม 2548 . สืบค้นเมื่อ5 มิถุนายน 2555 .
  26. "บล็อกของจอน เลช โยฮันเซน". Nanocrew.net 31 มกราคม 2549 . สืบค้นเมื่อ5 มิถุนายน 2555 .
  27. "ความยากลำบากในการฟ้องร้อง Sony BMG เนื่องจากละเมิด GPL ด้วย Rootkit" เทคเดิร์ท. 1 กุมภาพันธ์ 2549 . สืบค้นเมื่อ5 มิถุนายน 2555 .
  28. ^ "LAME ไม่ใช่ตัวเข้ารหัส MP3" เลม. sourceforge.net สืบค้นเมื่อ5 มิถุนายน 2555 .
  29. "anselsbrain.com". anselsbrain.com เก็บถาวรจากต้นฉบับเมื่อ 4 กุมภาพันธ์ 2012 . สืบค้นเมื่อ5 มิถุนายน 2555 .
  30. tech.html (เก็บถาวร)
  31. "ซีดีเพลงของ Sony ตกอยู่ภายใต้การดูแลของ Privacy Advocates". เอ็นพีอาร์ . org เอ็นพีอาร์ 4 พฤศจิกายน 2548 . สืบค้นเมื่อ5 มิถุนายน 2555 .
  32. "เพิ่มเติมเกี่ยวกับ Sony: Dangerous Deccloaking Patch, EULA และ Phoneing Home" sysinternals.com _ 4 พฤศจิกายน พ.ศ. 2548 เก็บถาวรจากต้นฉบับเมื่อวันที่ 7 พฤศจิกายน พ.ศ. 2548
  33. ^ "นโยบายความเป็นส่วนตัวของ SONY BMG" เก็บถาวรจากต้นฉบับเมื่อ 26 พฤศจิกายน พ.ศ. 2548 . สืบค้นเมื่อ25 พฤศจิกายน พ.ศ. 2548 .
  34. "ข่าวด่วน, ข่าวธุรกิจ, ข่าวการเงินและการลงทุน และอื่นๆ - Reuters.co.uk" arquivo.pt . เก็บถาวรจากต้นฉบับเมื่อ 23 ธันวาคม 2552 . สืบค้นเมื่อ4 กุมภาพันธ์ 2019 .
  35. เซลเลอร์ จูเนียร์, ทอม (14 พฤศจิกายน พ.ศ. 2548) "ผีในซีดี". เดอะนิวยอร์กไทมส์ . สืบค้นเมื่อ2 พฤษภาคม 2010 .
  36. ^ ab "Sony BMG:ซีดีที่มีเทคโนโลยีการป้องกันเนื้อหา XCP" 12 ตุลาคม 2550. เก็บถาวรจากต้นฉบับเมื่อ 12 ตุลาคม 2550 . สืบค้นเมื่อ5 มิถุนายน 2555 .
  37. เกรแฮม, เจฟเฟอร์สัน (14 พฤศจิกายน พ.ศ. 2548) “โซนี่” ถอนซีดีประเด็นขัดแย้ง เสนอการแลกเปลี่ยน สหรัฐอเมริกาวันนี้. สืบค้นเมื่อ2 พฤษภาคม 2010 .
  38. ฟอน โลห์มันน์, เฟรด (8 พฤศจิกายน พ.ศ. 2548) "คุณติดเชื้อจาก Rootkit ของ Sony-BMG หรือไม่" EFF.org _ มูลนิธิพรมแดนอิเล็กทรอนิกส์ สืบค้นเมื่อ5 มิถุนายน 2555 .
  39. คัลเลน, ดรูว์ (15 พฤศจิกายน พ.ศ. 2548) "Sony rootkit DRM: มีชื่อที่ติดไวรัสกี่รายการ" การลงทะเบียน
  40. "แผ่นซีดีที่มีการป้องกันการคัดลอกทำให้เกิดคำถาม". สหรัฐอเมริกาวันนี้ . 16 พฤศจิกายน 2548 . สืบค้นเมื่อ2 พฤษภาคม 2010 .

อ้างอิง

  • เครบส์, ไบรอัน. "คดีความในรัฐแคลิฟอร์เนียมุ่งเป้าไปที่ Sony" เดอะวอชิงตันโพสต์ ; 8 พฤศจิกายน 2548.

ลิงค์ภายนอก

  • ชื่อที่มี XCP จัดจำหน่ายในสหรัฐอเมริกา
  • หน้าช่วยเหลือของ Sony BMG XCP
  • มีแพตช์ออนไลน์และดาวน์โหลดได้จาก Sony
  • ผู้เขียนไวรัสใช้ประโยชน์จากซอฟต์แวร์ป้องกันการละเมิดลิขสิทธิ์ของ Sony
ดึงข้อมูลจาก "https://en.wikipedia.org/w/index.php?title=Extensed_Copy_Protection&oldid=1199235222"