Nuestros trabajos en el MundoReal™ han hecho que no hayamos tenido tiempo ni de mencionar esto, pero por si aún queda algún lector de Microsiervos que no se haya enterado, si has comprado alguno de los discos incluidos en CD’s Containing XCP Content Protection Technology de Sony BMG y los has reproducido en tu ordenador, la seguridad de éste puede estar seriamente comprometida, en especial si usas Windows.
Como cuenta Jorge en Los CDs con protección de copia de Sony/BMG incluyen malware:
- Los CDs con protección de copia de Sony/BMG instalan malware en tu ordenador.
- Lo hacen sin tu permiso (evidentemente).
- No se menciona nada ni en el CD ni en la licencia (EULA)
- El rootkit que instalan queda oculto y no hay proceso de desinstalación. Oculta tanto los directorios donde se instala como los procesos que quedan corriendo en tu máquina.
- Consume recursos del sistema aunque no estés usando el CD, y comprueba cada dos segundos todos los programas que estés ejecutando
- Un intento de desinstalación puede provocar que inutilices tu sistema (desaparece el lector de CDs).
Todo esto salió a la luz después de que Mark Russinovich, un experto en seguridad informática, descubriera este rootkit en su ordenador y mediante una investigación digna de Grissom fuera atando cabos, tal y como cuenta en Sony, Rootkits and Digital Rights Management Gone Too Far, hasta llegar a la conclusión de que ese software lo había instalado un disco de Sony; también le permitió ver que el software en cuestión había sido desarrollado por First 4 Internet.
La reacción de Sony fue la habitual de grandes empresas y gobiernos en estos casos, olvidando por completo el primer punto del Manifiesto Cluetrain que dice que «los mercados son conversaciones», o simplemente que Internet existe:
- Negación absoluta.
- Reconocimiento obligado de los hechos, pero minimizando sus efectos y diciendo que apenas había discos afectados.
- Los vuelven a pillar mintiendo y finalmente reconocen que son al menos 52 los títulos que incluyen este sistema.
- Sony saca un desinstalador que deja los ordenadores aún peor, si cabe, que antes.
- Al final reaccionan retirando esos discos, ofreciendo otros sin protección a cambio, y prometiendo no volver a usar esta tecnología, aunque por supuesto se reservan el derecho a utilizar cualquier otro sistema de DRM en el futuro.
Por el camino ejecutivos de Sony y la RIAA diciendo que no pasaba nada, mientras que algunos músicos se muestran totalmente horrorizados; miles de ordenadores infectados y organizaciones enteras prohibiendo el uso de discos de Sony/BMG; una de las últimas cosas que se han descubierto es que la empresa que desarrolló el software para Sony utilizó software libre en su producto comercial sin respetar la licencia y las condiciones de uso que especifican que de usarlo éste ha de ser identificado como tal para que pueda ser usado libremente por otros...
En fin, un cúmulo de despropósitos en nombre de la protección de los derechos intelectuales de Sony (léase de su dinero) con un total desprecio de sus usuarios y del hecho de que el ordenador en el que se instala su software no les pertenece; menos mal que algunos estados han iniciado acciones legales contra Sony, aunque seguramente queden en nada.
Como muestra, tres puntos de la licencia del usuario que acompaña estos discos, sacados de De cómo perder clientes lo más rápido posible: el caso Sony - rootkit - DRM:
- Tener que borrar toda tu música si te mudas de país, o si te roban el CD original
- Al aceptar el "contrato", aceptas que Sony instale backdoors en tu máquina para que ellos puedan forzar elcumplimiento de sus derechos
- Y en cualquier caso, la suma máxima por la que podrías demandara Sony son ¡¡¡$5 USD!!!
Entiendo que Sony o cualquier otra empresa y los músicos quieran defender sus derechos y evitar copias ilegales, pero nunca a costa de los derechos de los usuarios, y mucho menos actuando a sus espaldas.
Si quieres seguir al tanto de todo este «mogollón», Boing Boing está haciendo un seguimiento exhaustivo del tema: Sony Rootkit Roundup Part I, Sony Rootkit Roundup Part II, Sony Rootkit Roundup Part III.
Actualizacion 29-11-2005: Uno+ comenta que en Kriptópolis también están prestando bastante atención al tema, y en español, naturalmente; basta con buscar malware.
