3.11.05

Anders als viele Medien

Seit Monaten installieren Musik-CDs der Plattenfirma SonyBMG heimlich eine versteckte Software auf Windows-PCs, die tief ins System eingreift, um Kopien von Musik zu verhindern. SPIEGEL ONLINE will kritisch sein und stellt dieses "Rootkit" deshalb harmloser dar, als es ist.

In sichtlichem Bemühen um Ausgewogenheit und Unaufgeregtheit schildert die Netzwelt den Fall so:
Prompt schlugen die Wellen der Empörung hoch. Zwar ist SonyBMG nicht vorzuwerfen, hier mit Crackermethoden Computer auszuspionieren oder zu sabotieren. [...] Während sich viele Medien sogleich auf die "SonyBMG hackt Kunden"-Schlagzeile stürzten (mal mit, mal ohne Fragezeichen), geht es für IT-Sicherheitsexperten hier um ein ganz generelles Problem.
Wie auch die Netzwelt-Redaktion in einer Meldung des Heise-Newstickers vom Vortag hätte nachlesen können, beinträchtigt das SonyBMG-Rootkit die Windows-Systemstabilität jedoch nicht nur potentiell oder bloß in der Theorie. Der Entdecker des Rootkits, Mark Russinovich, hat die Software wie folgt analysiert:
  • Sie "versteckt nicht nur die ihr zugehörigen Dateien, Verzeichnisse, Prozesse und Registry-Schlüssel, sondern global alles, was mit $sys$ im Namen anfängt". So werden andere Systemdateien dem Nutzerzugriff entzogen und andere Schadsoftware kann sich "einfach durch entsprechende Namensgebung mit Sonys Hilfe tarnen".
  • Sie sei "unsauber programmiert und könnte das System instabil machen; ein möglicher Datenverlust droht". So könne der Treiber zum Verstecken der Dateien eine "klassische Race Condition" auslösen, d.h. den Computer zum Einfrieren bringen, oder anderen Programmen Zugriff auf andere Systemspeicherbereiche geben.
  • Sie "fragt alle zwei Sekunden alle laufenden Prozesse nach den von ihnen geöffneten Dateien ab [...] und das gleich jeweils achtmal am Stück". So verlangsamt sie den Computer, "auch wenn die zu schützende CD gar nicht im Laufwerk liegt".
  • Sie "verankert sich derart tief im System, dass sie selbst im abgesicherten Modus gestartet wird. Wenn die Treiber also Probleme verursachen, könnten sie das System komplett unbrauchbar machen".

Hätte das Sony-Rootkit den Rechner des SPIEGEL ONLINE-Autors beim Schreiben seines Artikels zum Absturz gebracht und - nach vergeblichen Reparaturversuchen - eine Windows-Neuinstallation erfordert, hätte er wohl weniger Verständnis für SonyBMG aufgebracht.

Nachtrag

Ein zweiter Netzwelt-Artikel benennt die Dinge nunmehr in angemessener Deutlichkeit: "In der Veränderung von Dateien des Betriebssystems könnte man durchaus eine Sachbeschädigung entdecken - und mehr als das. [...] Treiberdateien werden durch den Kopierschutz verändert oder ausgetauscht, fremde Dateien ohne vorhergehende Einwilligung installiert und Grundfunktionen des Betriebssystems im Bedarfsfall unterdrückt. Das alles ist also deutlich mehr als nur ein Image-GAU".

1 Kommentare:

Blogger aha said...

Im Artikel steht:
--------------------------------
[...]
beinträchtigt das SonyBMG-Rootkit die Windows-Systemstabilität jedoch nicht nur potentiell oder bloß in der Theorie.
[denn (nach Mark Russinovich):]
* Sie "versteckt nicht nur die ihr zugehörigen Dateien, Verzeichnisse, Prozesse und Registry-Schlüssel, sondern global alles, was mit $sys$ im Namen anfängt". So werden andere Systemdateien dem Nutzerzugriff entzogen und andere Schadsoftware kann sich "einfach durch entsprechende Namensgebung mit Sonys Hilfe tarnen".
* Sie sei "unsauber programmiert und könnte das System instabil machen; ein möglicher Datenverlust droht". So könne der Treiber zum Verstecken der Dateien eine "klassische Race Condition" auslösen, d.h. den Computer zum Einfrieren bringen, oder anderen Programmen Zugriff auf andere Systemspeicherbereiche geben.
* Sie "fragt alle zwei Sekunden alle laufenden Prozesse nach den von ihnen geöffneten Dateien ab [...] und das gleich jeweils achtmal am Stück". So verlangsamt sie den Computer, "auch wenn die zu schützende CD gar nicht im Laufwerk liegt".
* Sie "verankert sich derart tief im System, dass sie selbst im abgesicherten Modus gestartet wird. Wenn die Treiber also Probleme verursachen, könnten sie das System komplett unbrauchbar machen".
------------------------------

Ich lese in allen Begründungen von Herrn Russinovich nur "könnte", "möglicherweise", "kann" und dass das System langsamer wird. Das das System definitiv instabiler wird ist da in meiner interpretation nicht zu lesen ...

Und ich finde auch keine Dateien oder Registry-Einträge in denen $sys$ vorkommt geschweige denn am anfang steht.

7/11/05 16:45  

Kommentar veröffentlichen

<< Home