Forum / Bits und Bytes / ACHTUNG! Wusstet Ihr's schon? (Achtung, sehr langer Text!)

Community

Szene & News

Parties

Fotos

Locations

Impressum

Forum / Bits und Bytes

ACHTUNG! Wusstet Ihr's schon? (Achtung, sehr langer Text!)

-1- -2- -3-

vorwärts >>>

PhiberOpTiX

Fortgeschrittener (offline)

Dabei seit 06.2004
39 Beiträge

Geschrieben am: 08.08.2006 um 11:31 Uhr

John Guarino ist der Eigentümer von TecAngels, einer Zwei-Mann-Beratungsfirma in New York. Wer Guarino seinen kränkelnden Windows-PC überlässt, bekommt das Gerät zwei oder drei Stunden später in perfektem Zustand zurück. Im vergangenen Sommer aber traf Guarino auf ein Problem, das ihm Rätsel aufgab. Beim Reinigen von Kunden- Computern von Spionage-Software und Viren begegnete er immer wieder den gleichen mysteriösen Eindringlingen: Dateien mit merkwürdigen Namen, die sich tief in der Windows-„registry“ versteckten, in der grundlegende Einstellungen und Befehle für Hard- und Software gespeichert werden. Für Guarino sahen diese Dateien aus wie ein „rootkit“ – Software, die Betriebssysteme austrickst und so dafür sorgt, dass sie Würmer, Viren und andere von Hackern eingeschmuggelte Dateien übersehen. Doch in diesem Fall steckte hinter dem nicht unüblichen Computer-Problem der wohl größte Spyware-Skandal in der Geschichte des Informationszeitalters.
Im Mittelpunkt des Geschehens: Sony-BMG, zweitgrößtes Musik-Label der Welt, ein Dutzend pfiffiger Computer- Experten und zwei Millionen ahnungslose Musikfans. Aber der Reihe nach: Nachdem Guarino die fremden Dateien entdeckt hatte, ließ er seine neueste Antivirus-Software auf sie los.Zwar identifizierte das Programm die Dateien nicht als bedrohlich,aber sie tauchten ohne Zutun des Nutzers auf den Rechnern auf. Damit war die gängige Definition von „malware“, von bösartigen Programmen also, erfüllt – und Guarino entfernte sie. Das Problem allerdings löste er nicht: Nach dem Löschen streikte das CD-Laufwerk der behandelten Computer. Die übliche Lösung – eine Neuinstallation der CD-Treiber – funktionierte nicht. Guarino konnte sich keinen Reim darauf machen – und da seine Kunden ihn nicht für stundenlanges Nachforschen, sondern für funktionierende Computer bezahlen, griff er zur Radikallösung: Er installierte das gesamte Betriebssystem neu. Nach sechs oder sieben vergeblichen Durchläufen dieser Art gab Guarino entnervt auf. Und dann, am 30. September 2005, entdeckte er die gleichen Dateien auf seinem eigenen PC. „Das hat mich wirklich angekotzt“, sagt er, „ich konnte es nicht glauben. Ich habe die neueste Firewall, die neueste Antivirus- Software und drei oder vier Programme gegen Spyware. Wie konnte das bloß passieren?“
Wie jeder gute Detektiv verfolgte Guarino die Spuren. Er rekonstruierte genau, was er in den Tagen zuvor mit dem Rechner gemacht hatte – welche Programme er installiert, welche E-Mails er geöffnet und welche Websites er besucht hatte. Dann erinnerte er sich an die Musik-CD, die er am Vortag gekauft und auf dem Computer abgespielt hatte; es war das Album „Touch“ der Rhythm-and-Blues-Sängerin Amerie, erschienen bei Sony BMG Music Entertainment. Anders als die meisten anderen CDs ließ sich diese nicht mit verbreiteten Programmen wie iTunes, dem RealPlayer oder dem Windows Media Player abspielen: Um sie auf dem Computer zu hören, musste eine spezielle Sony- BMG-Software installiert werden. Das hatte Guarino getan. Also warf er einen genaueren Blick auf die CD-Hülle. Ein Satz sprang ihn an: „Content enhanced and protected“ (Inhalt erweitert und geschützt). Offensichtlich enthielt die CD irgendeine Form von „digital rights management“ (DRM) – Software also, die das Kopieren des Inhalts kontrolliert und so Raubkopierer abschrecken soll.
Guarino setzte die Bausteine zusammen: Die geheimnisvollen Dateien ähnelten einem Rootkit; normalerweise sollen solche Rootkits etwas verbergen; bei einem Kopierschutz- Programm könnten die Urheber durchaus ein Interesse daran haben, es zu verstecken; das Entfernen des Rootkits machte das CD-Laufwerk unbrauchbar. Allmählich ergab sich ein Gesamtbild: Guarino kam zu dem Schluss, dass die Quelle der Schadsoftware Sony BMG selbst war. „An diesem Punkt habe ich kapituliert“, erzählt Guarino. Mit dem Retten einzelner Computer kannte er sich aus. Aber auf einen Kampf mit einem weltweit operierenden Unternehmen, das heimlich Software auf den Rechnern ihrer Kunden installiert, wollte er sich nicht einlassen.
HANDFESTER SKANDAL
Guarino schickte seine Log-Dateien per E-Mail an F-Secure, eine finnische Sicherheitsfirma, mit deren Produkten er die Dateien gefunden hatte. Obwohl die F-Secure-Experten nicht von selbst auf das Rootkit gestoßen waren, konnten sie Guarinos Verdacht schnell bestätigen. Und in den folgenden zwei Wochen kamen sie zu einer noch beunruhigenderen Erkenntnis: Das Rootkit konnte andere Dateien ebenso leicht verstecken wie die für den Kopierschutz.
Damit war jeder Computer, auf dem eine der geschützten CDs gelaufen war, zum offenen Scheunentor für Würmer, Viren und andere schädliche Software geworden. Am 17. Oktober kontaktierte F-Secure Sony BMG. Zwei Wochen später fand der bekannte IT-Sicherheitsexperte Mark Russinovich das Rootkit auf seinem eigenen Computer und schrieb darüber in seinem gut besuchten Blog sysinternals.com. Er fand außerdem noch heraus, dass die versteckte Software zusätzlich jedes Mal Sony BMG über das Internet kontaktierte, wenn ein PC eine derart geschützte CD abspielte. Und so wurde in den nächsten Monaten aus der Kuriosität in Guarinos kleinem Laden ein handfester Skandal mit allem Drum und Dran: Hinterzimmer- Verhandlungen, öffentlichen Anschuldigungen, erhitzten Dementis, wütenden Boykotten, Klageschriften und, letztlich, reuevollen Entschuldigungen.
Eigentlich sollte das Rootkit von Sony BMG nur Software verbergen, die den Nutzer daran hindert, mehr als drei Kopien einer CD anzufertigen. Doch es wurde das bislang augenfälligste Symbol für das, was manche als Exzess der DRM-Technologie bezeichnen – und für das offenbar wachsende Misstrauen von Medienunternehmen gegenüber den eigenen Kunden. Noch immer zeigt der Skandal Wirkung: Er hat die Diskussion über die Frage wieder angeheizt, was Kunden mit Copyright-geschützter digitaler Ware machen dürfen und, umgekehrt, wie weit die Rechteinhaber für den Schutz des geistigen Eigentums gehen dürfen.
DER KUNDE ALS FEIND
Im Extremfall kann DRM nicht nur das Recht auf einen „fair use“ des Materials verhindern, wie er meist gesetzlich garantiert ist, sondern neue Gefahren produzieren. „Wenn man Computer baut, die nicht den Nutzer schützen, sondern etwas vor ihm, hat man sehr schlechte Sicherheit“, sagt etwa Bruce Schneier, Technik-Chef der kalifornischen Sicherheitsfirma Counterpane Internet Security, „das ist das größte Problem: die Meinung, dass der Kunde ein Feind ist.“
In der Story des Rootkits von Sony BMG geht es um mehr als nur den Kampf um Kundenrechte in der digitalen Welt: Es geht auch um Angst und die Auswüchse, die sie hervorbringen kann. Wenn ein Medienkonzern derart mächtige Geheimwerkzeuge auffährt, zeigt das, dass die Branche auf Raubkopierer nicht mehr nur nervös reagiert, sondern geradezu panisch. Zwar besteht Sony BMG darauf, dass das Rootkit aus Versehen eingesetzt wurde. Manche Beobachter allerdings sind jetzt davon überzeugt, dass die Musikindustrie Täuschung als unverzichtbaren Teil von DRM ansieht. Es wäre keine Überraschung, wenn Kunden, die sich als Diebe behandelt sehen, nicht mehr kaufen wollen. Wenn es eine Lehre aus der Erfahrung von Sony BMG gibt, dann diese: Misstrauen erzeugt Misstrauen.

PIRATEN AUF DEM SCHULHOF
Die Nachfrage nach digitalen Inhalten ist größer als je zuvor. Der Umsatz mit bezahlten Musik-Downloads weltweit stieg von 380 Millionen US-Dollar im Jahr 2004 auf 1,1 Milliarden in 2005; er liegt mittlerweile bei sechs Prozent aller Musik-Verkäufe. Im März 2004 verkaufte Apples iTunes MusicStore 2,5 Millionen Lieder pro Woche; mittlerweile sollen es drei Millionen am Tag sein.
Man sollte erwarten, dass die Produzenten und Vertreiber der Inhalte davon begeistert sind. Aber tatsächlich haben sie oft nur Augen für die Gefahren ungezügelten Raubkopierens. Nicht zu Unrecht: Über einen Zeitraum von vier Wochen im Jahr 2005 luden 3,8 Millionen Haushalte in den USA Musik von den Tauschbörsen WinMX und LimeWire herunter, nur 1,7 Millionen Haushalte kauften bei iTunes ein. Das ergab eine Studie der Marktforschungsagentur NPD Group. Der US-Branchenverband Recording Industry Association of America (RIAA) schätzt den Einnahmeausfall durch Raubkopien auf 4,2 Milliarden Dollar pro Jahr. In den USA wie auch anderswo geht die Industrie mittlerweile aggressiv gegen illegale Downloads vor. So wurden erst in diesem Mai in Deutschland 3500 User identifiziert, die in der Tauschbörse eDonkey illegal Musik angeboten haben sollen; bei 130 von ihnen gab es Hausdurchsuchungen der Polizei.
Jedem illegalen Download allerdings geht eine viel unschuldigere Betätigung voraus: die Umwandlung von Musikdateien auf einer CD in komprimierte Formate wie MP3. Dieses so genannte Rippen und das anschließende Brennen auf eigene CDs sind in den meisten Ländern grundsätzlich erlaubt. Trotzdem ist es nach Angaben von Thomas Hesse, Chef des weltweiten Digitalgeschäfts bei Sony BMG, für zwei Drittel aller Piraterie-Fälle verantwortlich: „Die gelegentliche Piraterie, die Schulhof-Piraterie, ist ein riesiges Problem für uns“, sagte er der Agentur Reuters. So ist es kein Wunder, dass Unternehmen wie Sony BMG großes Interesse an Technologien haben, die missratene Fans bremsen sollen. Hier kommt DRM ins Spiel, eine Software, die in den späten 90er Jahren entstand und der Industrie die Kontrolle über digitale Ware wie Musik, Filme oder Software garantieren soll. Für DRM-Unternehmen und ihre Kunden bedeutet Kontrolle, dass sie das Benutzen von Dateien verhindern können, wenn dafür nicht gezahlt wurde. Sie bedeutet, dass Kopien, Ausdrucke und Sicherheits-Backups nur dann möglich sind, wenn die Lizenzvereinbarung für ein Werk das ausdrücklich zulässt.
Viele Jahre lang benötigte die Musikindustrie diesen Schutz nicht: CD-Player (eingeführt 1982 von Philips und Sony) konnten nur Musik abspielen, sie aber nicht digital exportieren. Aber ab 1996 begannen Computerhersteller damit, standardmäßig CD-Laufwerke einzubauen. Damit war die Bedrohung der Gelegenheits-Raubkopien in der Welt – und wie sich 1999 nach dem Start der ersten großen Tauschbörse Napster zeigte, war sie durchaus real. Seit dieser Zeit suchen die Plattenfirmen nach Wegen, das Kopieren und Verbreiten schwieriger zu machen. Keine einfache Aufgabe: Geschützte CDs müssen DRM-Software enthalten, um Kopien verhindern zu können; trotzdem müssen sie auch auf herkömmlichen CD-Playern laufen. Die Unternehmen lösten das Problem, indem sie CDs wie CD-ROMs für Computer behandelten, die oft mehrere „Sessions“ beinhalten: Die erste Session enthält die Musik, andere die Software. Normale CD-Player lesen nur die erste Session und ignorieren den Rest, wohingegen ein Windows-PC mit eingeschalteter „autorun“-Funktion zuerst nach ausführbaren Programmen sucht – zum Glück für DRM-Anbieter ist autorun in Windows XP standardmäßig aktiviert, und die meisten Nutzer ändern dies auch nicht.

ROOTKIT-PREMIERE
Als Sony BMG im Jahr 2005 erstmals im großen Maßstab geschützte CDs auf den Markt brachte, nutzte das Unternehmen besagte Multisession-Technik: Auf 52 zwischen Januar und November veröffentlichten Alben fanden sich die Windows- Kopierschutz-Software XCP (für eXtended Copy Protection) des britischen Anbieters First 4 Internet und das Abspielprogramm MediaMax des US-Unternehmens SunComm; schätzungsweise zwei Millionen XCP-CDs wurden in diesem Zeitraum verkauft. Schon zuvor hatten Labels versucht, geschützte CDs einzuführen: Die Sony-BMG-Tochter Arista records etwa verkaufte 2003 eine MediaMax-CD, und seit 2002 erschien die konkurrierende DRM-Software von Macrovision auf tausenden CDs. Neu aber war im Fall des jüngsten Versuchs das Vorgehen, mit dem First 4 Internet seine XCP unsichtbar machen wollte.
Zwei Informatiker an der Princeton University, Ed Felten und J. Alex Halderman, haben XCP analysiert. Sie kamen zu der Erkenntnis, dass die Software mehrere unterschiedliche Funktionen hat, die einzeln genutzt werden können. Wenn eine XCPCD erstmals in einen Computer gesteckt wird, muss der Nutzer zunächst dem „End-User Licence Agreement“ (EULA) zustimmen; als nächstes kopiert XCP eine Reihe von Programmen und Treibern auf die Festplatte und startet die proprietäre Abspiel- Software. Die Treiber wachen dann darüber, ob ein anderes Musik-Programm wie iTunes versucht, Audiodaten von der CD zu lesen. Wenn das der Fall ist, werden die CD-Daten durch zufälligen Datensalat ersetzt; nur der spezielle XCP-Player bekommt die Musikdaten unverfälscht geliefert.
Zum Player gehört auch ein Brenn-Programm, mit dem der Eigentümer bis zu drei Kopien machen und auf CDs speichern kann. Diese Kopien allerdings umfassen dann den gesamten Inhalt der ursprünglichen CD, also die Audiodaten, die Abspiel- und auch die Kopierschutz-Software. Und sie sind „steril“ – können also nicht noch einmal kopiert werden. Wenn diese Schutzmaßnahmen für den Nutzer leicht zu umgehen wären, wäre das System nutzlos. An diesem Punkt wird es kritisch: Die Entwickler bei First 4 Internet entschieden, einige der Dateien vor den Nutzern zu verbergen – etwa die Treiber, die ein Abspielen mit fremder Software verhindern, damit sie nicht einfach gelöscht werden können. Ebenso die Datei, in der die Zahl der verbleibenden Kopien protokolliert wird: Das Brennprogramm stoppt, wenn die Zahl auf 0 steht; schlaue Nutzer hätten die Datei sonst finden und das Zählwerk immer wieder auf drei zurückstellen können.
Geheimniskrämerei ist in der Software-Industrie gang und gäbe, aber dieses Mal ging sie sehr weit: First 4 Internet entschied sich für ein Rootkit, Sony BMG informierte seine Kunden nicht darüber und stellte keine Möglichkeit zur Verfügung, es leicht zu entfernen. Der Begriff Rootkit stammt aus der Welt der Computer mit dem Unix-Betriebssystem, bei dem nur der Systemadministrator über einen „root access“ verfügt, also das Recht, alle Bereiche des Systems zu verändern. Die ersten Rootkits tauchten Mitte der 90er Jahre auf: Software-Sammlungen, mit denen Unix-Hacker den begehrten Root-Zugang erlangen und Änderungen vornehmen konnten, ohne Spuren zu hinterlassen. Windows-Rootkits gibt es seit 1999; sie sind inzwischen so weit verbreitet, dass sie von Hackerseiten wie www.rootkit.com kostenlos heruntergeladen werden können. Aufwendigere Versionen gibt es für ein paar hundert Dollar auch zu kaufen.

WAS WUSSTEN DIE ENTWICKLER?
Manager von First 4 Internet wollten sich gegenüber Technology Review zu dem gesamten Vorfall nicht äußern und verwiesen zur Begründung auf laufende Rechtsstreitigkeiten. Insofern lässt sich nicht zweifelsfrei sagen, ob den Entwicklern klar war, dass sie ein Rootkit bauten oder ob ihr XCP auf einem der verfügbaren basiert. Außenstehende haben allerdings den Programmcode untersucht und festgestellt, dass er Teile von Open-Source-Software enthält – zum Beispiel eines Programms, das Musik ins MP3-Format umwandelt, und eines anderen, das Musik aus Apples iTunes-Laden ver- und entschlüsselt; letzteres scheint laut Princeton-Forscher Halderman mit nie realisierten Plänen zusammenzuhängen, XCP mit iTunes kompatibel zu machen. Ebenfalls unklar ist, ob den XCP-Entwicklern bewusst war, dass ein Rootkit Tür und Tor für Viren und andere Schad-Software auf den Computern der Nutzer öffnet.
Zumindest müssten sie gewusst haben, dass ihre Methode unter bösartigen Hackern weit verbreitet ist, sagt Halderman: „Irgendwo müssen sie sich über diese Technik informiert haben. Es ist fast unvorstellbar, dass sie bei der Recherche nicht erkannt haben, dass Rootkits häufig zum Verbergen von schädlichen Programmen benutzt werden.“
Entnommen aus TR 07/06. Der zweite Teil des Reports erscheint in TR 08/2006