Oskar Welzl: Weblog zur Homepage

Auf Der Gipfel der Unverschämtheit beschreibt Dirk Heringhaus (leider etwas zu ausführlich, aber lesenswert), wie er binnen kürzester Zeit in der österreichischen Ausschreibungs-Datenbank auftrag.at Administratorenrechte erlangen und sämtliche Benutzerdaten einsehen konnte. (Er hat dazu einfach die in der Adreßzeile des Browsers sichtbare Benutzer-ID geändert.)

Das alleine wäre noch nicht so berichtenswert: Sicherheitslücken gehören zur EDV wie das Schwarze zu den Fingernägeln. Man macht es weg, es kommt wieder. Der Kreislauf des Lebens eben… Wo war ich stehen geblieben? Ja, auftrag.at und die Administratorenrechte. Wie gesagt, so etwas passiert nun mal.

Dirk Heringhaus ist nun ein guter Hacker und bittet (als deutscher Staatsbürger) sofort das BSI, mit den zuständigen österreichischen Stellen Kontakt aufzunehmen. Eine Rückfrage von auftrag.at, deren Administratoren den Braten gerochen haben, beantwortet er ebenfalls sofort, obwohl der Ton der Rückfrage schon etwas daneben lag. Es wurde nämlich sofort das Einleiten rechtlicher Schritte angekündigt und darauf hingewiesen, daß die auftrag.at Ausschreibungsservice GmbH & Co KG […] eine Tochterfirma der Wiener Zeitung GmbH ist, welchselbige als offizielles Amtsblatt der Republik Österreich im Eigentum des Bundeskanzleramtes steht. Als ob das irgend eine Rolle spielen würde.

Was das nun mit AGBs und Banküberfällen zu tun hat? Ganz einfach: auftrag.at relativiert in einer weiteren an Dirk Heringhaus gerichteten Mail die gefundene Sicherheitslücke mit einem Verweis auf die AGBs, die da angeblich lauten:

Der Kunde ist nicht berechtigt, Mechanismen, Software oder sonstige Routinen bei der Nutzung von auftrag.at zu verwenden, die den Betrieb von auftrag.at beeinträchtigen können. Die Nutzung von auftrag.at darf nur im Rahmen des normalen Geschäftsbetriebes und im vereinbarten Umfang erfolgen.

„Angeblich“ deswegen, weil diese AGBs für mich auf auftrag.at nicht auffindbar waren und ich mich daher auf die von Dirk Heringhaus zitierte Version verlassen muß. (Wobei ich es, ganz nebenbei bemerkt, schon seltsam finde, daß ich auf so einer Seite keine AGBs finden kann.)

Weiters wird Herr Heringhaus „aufgefordert“, eine Dokumentation seiner „Eingriffe“ zu übermitteln. Richtigerweise kommentiert Dirk Heringhaus diese Mail mit:

Wozu Sicherheitsvorkehrungen in einer Bank? Es ist doch verboten eine Bank zu überfallen, oder fremdes Geld an sich zu nehmen. […] Alles ganz einfach: Wir brauchen nur AGBs…

[…]„ich möchte sie daher auffordern“ - Jetzt aber mal wirklich: Ich bekomme für meine Hilfe ja schon kein Geld – weder fordere ich es, noch wird es mir in irgendeiner Form angeboten - aber ein „Bitte“ oder „Danke“ in irgendeiner Form tut dann und wann gut. Aufgrund von „Was“ fordern Sie etwas von mir? In dieser Form lasse ich mich bestimmt nicht fordern.

Wie gesagt: Sicherheitslücken gehören zur EDV wie das Schwarze zu den Fingernägeln. Man macht es weg, es kommt wieder. Es kommt also darauf an, wie man damit umgeht. Ein Verweis auf die AGB reicht sicherlich nicht aus. Vor allem aber sollte es mittlerweile zum guten Ton gehören, gerade jenen Hackern, die einen diskret auf solche Schwachstellen aufmerksam machen, zu danken und ihre Arbeit zu honorieren. Bei uns wird stattdessen immer noch Befehlston angeschlagen, werden Rechtsabteilungen eingeschaltet und wird darauf verwiesen, daß das ja sowieso alles nicht sein kann, weil es den Geschäftsbedingungen widerspricht. Da liegt noch ein weiter, weiter Weg vor uns.

auftrag.at dürfte die Lücke mittlerweile geschlossen haben, zumindest läßt sich aus den News auf der Startseite schließen, daß neue Zugangsdaten zu verwenden sind. Zuvor hat Dirk Heringhaus alle Kunden, deren Accounts er einsehen konnte, angemailt und sie über diese Tatsache in Kenntnis gesetzt. Technisch scheint’s also beendet. Ich hoffe, daß auf Sicherheitsnotizen demnächst auch etwas über einen kulturellen Fortschritt bei auftrag.at zu lesen sein wird. Der Jahreszeit entsprechend wäre ein Weihnachtsgeschenk an Herrn Heringhaus angebracht.

Sony kommt nicht zur Ruhe. Nach den hier aufgezählten Ungeheuerlichkeiten rund um den „Kopierschutz“ XCP kommt nun die nächste derartige Technologie in Verruf. Auf einer eigenen Seite erklärt Sony seinen Kunden, daß auf den von ihnen käuflich erworbenen Audio-CDs (unter anderem von Alicia Keys, Britney Spears, Maroon 5, Santana) ein sogenannter „Kopierschutz“ mit dem Namen MediaMax enthalten ist, der ein Sicherheitsrisiko darstellen kann:

It has come to our attention that a security vulnerability may exist with regard to SunnComm MediaMax Version 5 content protection software contained on certain SONY BMG compact discs.
To address this potential security issue, SunnComm has made available a software update. This update can be downloaded at: www.sunncomm.com/support/updates/updates.asp.
We encourage you to run this update on any computer that you think has played a SONY BMG CD with SunnComm MediaMax software.

Laut Sony sind nur Audio-CDs betroffen, die in den USA und Kanada verkauft wurden… Wie stand das noch mal in dieser Studie des Center for Economic and Policy Research? Das US-System zum Schutz des sogenannten „geistigen Eigentums“ verursacht durch Marktbehinderung und Mehraufwand jährliche Mehrkosten von etwa 80-120 Milliarden Dollar.

Jetzt, wo ich zwei Wochen lang nicht in den Genuß unserer Betriebsküche komme, muß ich mir alternative Futterstellen (was für eine gekonnte Formulierung in diesem Zusammenhang!) suchen.

Gestern hat mich der ORF freundlicherweise auf das Weltcafé in der Schwarzspanierstraße 15 aufmerksam gemacht. Frühstück um € 4,80, das kann ich mir leisten.

Endlich hab ich mich dazu durchgerungen, die Desktop-Suchhilfe Beagle auf meinem Rechner zu installieren. „Durchgerungen“ deshalb, weil das Ding unter Gentoo noch nicht als stabil gekennzeichnet ist und ich bezüglich solcher Software bisher etwas vorsichtig war.

Ausgezahlt hat es sich: Nat Friedman hat auf http://nat.org/demos eine Reihe von Shockwave-Files abgespeichert, die die Benutzung von Beagle demonstrieren. Vor allem das Video über die als „Live Query“ bezeichnete Funktionalität gefällt mir.

Vorläufig bin ich zufrieden: Beagle findet brav und läuft stabil; ich kann auch anderen Gentoo-Benutzern ruhigen Gewissens empfehlen, der Anleitung für Beagle unter Gentoo zu folgen. Kleiner Tip: Mit dem Programm „beagle-settings“ diejenigen lokalen Folder von Evolution aus der Indizierung ausnehmen, die viele Treffer liefern, aber eigentlich nicht von Interesse sind. Bei mir waren das Archive von Mailing-Lists, bei denen ich Mitglied bin. Außerdem kann es notwendig werden, einzelne Suchpfade manuell hinzuzufügen: XChat2 zum Beispiel legt seine Log-Files in einem versteckten Verzeichnis ab. Versteckte Verzeichnisse werden von Beagle ignoriert, ich wollte die Log-Files aber bei den Suchergebnissen berücksichtigt haben, also habe ich ~/.xchat2/xchatlogs in „beagle-settings“ hinzugefügt. Jetzt paßt alles.

Ach ja: Nach der Installation von Beagle im Firefox die lokale Adresse file:///usr/share/beagle/beagle.xpi aufrufen: Dadurch wird ein Plug-In installiert, das nebenbei auch alle angesurften Seiten in den Suchindex mit einbezieht. (Ja, Blacklist ist möglich ;-) …)

Also, ich bin ja jetzt auf Urlaub. Und was muß ich im Logfile sehen? Meine Kollegen entwickeln eine ziemliche Neugier, was sich da so abspielt bei mir. Allein heute Vormittag drei Zugriffe aus dem Firmennetz auf dieses Blog - und kein neuer Eintrag seit 3.12.! OK, ich hab ein Einsehen und erzähl Euch, was ich so angestellt hab:

• Wohnung ausgeräumt (3 Kartons voll mit altem Kram sind im Müll gelandet, trotzdem gerade mal Platz für ein paar CDs mehr im Regal (wieso kann man immer weniger Platz nutzen, als man freigeräumt hat? (ich sollte aufhören, Klammern so zu verschachteln)))
• das Call-Center von DENZELDRIVE aus der Fassung zu bringen versucht. Geht nicht. Die bleiben freundlich und wissen, was sie tun. ;-)
• Luftbefeuchter entkalkt, gereinigt und in Betrieb genommen
• etwa 500-700 Mails aus dem Posteingang gelöscht (ich lösche nämlich sonst nie Mails (Stefan weiß das ja jetzt *g* (schon wieder diese verschachtelten Klammern!)) und muß dann alle paar Monate aussortieren, was nicht mehr gebraucht wird)

Nichts wirklich Aufregendes also. That’s why wir hatten keine Eingetragung in the Blog.

Wir suchen Wortpaare, die gleich geschrieben werden, unterschiedliche Bedeutungen haben und dabei, je nach Bedeutung, verschieden ausgesprochen werden. Ins Ohr gesetzt hat uns diesen Floh mein Kollege Daniel (der hier schon mal in dieser Story zu Ehren kam). Er hat auch das erste Beispiel gefunden:

Die Karte war weg. Wir konnten den Weg nicht mehr finden.

Weitere Danielismen sind schwer zu entdecken. Wir haben erst zwei ausfindig gemacht:

Flugs machten wir uns auf den Weg nach Rom. Erst während des Flugs fiel uns ein, daß wir das Gepäck vergessen hatten.

Gluten ist der in Salzwasser unlösliche Teil des Proteins des Getreides. Die verbliebenen Gluten der Feuer kann Salzwasser aber sehr gut löschen.

Weitere Vorschläge?

Nach ca. 12 Stunden hat mein Rechner die Compilierung von OpenOffice.org 2.0 abgeschlossen. Das Ding hat schon was: Die gute Integration sowohl in Gnome als auch KDE, OpenDocument-Unterstützung, bessere Unterstützung für CUPS-Drucker und eine Reihe von anderen Nettigkeiten, die das Leben leichter machen.

Die als der große Wurf angekündigte Datenbanklösung Base überzeugt mich noch nicht so wirklich. Da scheint sich ein ähnliches Problem wie seinerzeit bei MS Access anzubahnen: Tut auf einfach, kann aber zu viel und wird dadurch schwer durchschaubar. Außerdem stürzt es doch tatsächlich auch mal ab.

Ich bin ein Morgenmuffel. In der Früh bin ich einfach nicht aus dem Bett zu kriegen. Vielleicht hilft diese Erfindung mir schneller aus den Federn:

Der Schlafphasenwecker aXbo der Wiener infactory innovations & trade gmbh ist ab Jänner 2006 erhältlich. Er mißt laufend meine Schlafphasen und weckt mich innerhalb eines definierten 30min-Fensters exakt zu der Zeit, in der das Aufwachen von der Schlafphase her (angeblich) am leichtesten fällt. Der Theorie nach sollte es daher nicht mehr vorkommen, daß mein Radiowecker zwar meinen Nachbarn erschreckt, mich selbst aber nicht aus dem Tiefschlaf holen kann.

Wie gesagt, auf den Markt kommt das Ding erst 2006, es ist also kein Fall für die Weihnachtswunschliste. Trotzdem denke ich ernsthaft darüber nach, eine Vorbestellung sofort abzugeben.

Öffentlicher Verkehr ist etwas Einzigartiges. Die Dame in der Straßenbahnlinie 9 plaudert ausführlich und vor allem laut mit ihrer Nachbarin über die Tücken der Hundehaltung, zunächst nur bezüglich der Maulkorbpflicht in öffentlichen Verkehrsmitteln, dann so insgesamt und allgemein: mein Hund und ich in der Großstadt eben.

Spannend wird es, wie sie sich dem Thema „mein Hund muß mal“ nähert. Wörtlich sagt sie da: Er geht dazu ja immer in die Büsche, und da muß ich ihm dann nach, zum Wegräumen. Und immer muß ich mich dabei ärgern: Da liegen dann schon so viele Hauferl, und ich weiß nie sofort, welches meins ist.

Etwa drei Sitzreihen vor und drei Sitzreihen hinter ihr haben zahlende Fahrgäste atemlos darauf gewartet, wie sie es am Ende dann doch rauskriegt. (Immerhin weiß sie es ja nur nicht „sofort“, was bedeutet: irgendwann doch.) Ist es der Geruch? Die Temperatur? Die Größe? Die Konsistenz? …?

Wir haben es nicht erfahren: Dem Hund selbst wurde das Ausbreiten seiner intimsten Momente in aller Öffentlichkeit zu viel. Er hat mit einem kräftigen Ruck an der Leine und einem Kläffen in Richtung eines (wie wir alle wußten nur vorgetäuschten) Feindes sein Frauchen gerade so lange abgelenkt, daß sie den Faden verloren hat und mit einem neuen Thema („Futter“) beginnen mußte.

Ich stell mir jetzt die ganze Zeit diese 25-30jährige Frau vor, wie sie beim nächtlichen Gassi-Gehen, gebückt unter dem Gebüsch, mit aller ihr zur Verfügung stehenden Sorgfalt die Ausscheidungen ihres Lieblings von denen der anderen Hunde zu unterscheiden versucht. Ich muß diesen Gedanken wieder los werden. Unbedingt.

Die regierende US-Junta wird immer spaßiger. In einem Interview mit USA Today sagt die Außenministerin Condoleezza Rice wörtlich: You can’t allow somebody to commit the crime before you detain them.

Man kann also nicht erst warten, bis jemand ein Verbrechen begeht. Ach was! Alt-Europäischer Firlefanz! Rechtsstaatlicher Humbug! Man muß die Kerle einbuchten, noch bevor sie was anstellen!

Beängstigend, daß man sich so etwas mittlerweile öffentlich zu sagen traut. Obwohl: Ich stell’ mir grad vor, sie hätten auch George W. Bush eingesperrt, bevor er losgeschlagen konnte … Vielleicht ist die Idee von Frau Rice doch nicht so ganz daneben?

Die Schweizer haben gestern, 27.11.2005, in einem Referendum (knapp, aber doch) für die Öffnung der Geschäfte auf großen Bahnhöfen und Flughäfen auch an Sonn- und Feiertagen gestimmt (50,6% Ja-Stimmen).

Mir fällt dazu der Vers aus der Originalfassung des Musicals Chess ein, in dem es heißt:

It’s the weak who accept
Tawdry untruths about freedom
Prostituting themselves
Chasing a spurious starlight
Trinkets in airports sufficient to lead them astray

Heute ist der internationale Kauf Nix Tag („Buy Nothing Day“). Ich finde die Idee kurz vor Weihnachten bestechend. Ein Auszug aus der deutschsprachigen Homepage:

15 Prozent der Weltbevölkerung beanspruchen 79 Prozent aller Reichtümer, während sich die große Mehrheit mit dem Rest bescheiden muss. Speziell der Stress und der Einkaufswahn in der Vorweihnachtszeit wirft ein bezeichnendes Schlaglicht auf die ungerechte Verteilung in unserer Welt.

Doch man kann etwas dagegen tun: Der „Kauf-Nix-Tag“ zeigt es vor! 24 Stunden Einkaufsmoratorium, 24 Stunden kein Geldausgeben.

Ich bin edel und gut und unterstütze diese Aktion. Außerdem nimmt es mir das schlechte Gewissen, das sich langsam aufbaut: Nicht mal mehr ein Monat bis Weihnachten, und ich hab noch nicht mal über Päckchen nachgedacht.

Die Überschrift bedeutet so viel wie: Ich hab mir die Haare schneiden lassen. Der Friseur meines Vertrauens hat nämlich (wieder einmal) den Salon gewechselt (also er arbeitet halt jetzt woanders).

Dort, wo er früher war, ging man rein, ließ sich die Haare schneiden und zahlte. Jetzt muß man zwischen Sekt und Orangensaft wählen und schaut dabei irritiert auf die androgynen Figuren des „creative teams“, die mit einheitlich rostfarbenen Gesichtern, schwarzer Bekleidung und zerfetzten Turnschuhen nicht etwa schneiden oder frisieren, sondern „Stylings verwandeln“ - trendy, wie sie nun mal sind, können sie wohl gar nicht anders.

Zu allem Überfluß paßt auch die Kundschaft optisch so perfekt dazu, als wäre sie von einem Innenarchitekten im Raum verteilt worden. Nein, von denen will keiner einfach nur einen Haarschnitt. Die wollen alle den „Hairstyling-Code“ für den nachfolgenden Event. Gottseidank sind sie hier keinem planlosen Friseur ausgeliefert, sondern werden mit einem „Stylingkonzept“ verwöhnt.

Warum kann ich nicht einfach zum Friseur ums Eck gehen? Dort müßte ich auch nicht zwei Wochen auf einen Termin warten … Liegt wohl am Friseur meines Vertrauens. Tom, Du schuldest mir was.

Das Internet gibt mir meine Identität. Nachdem ich nun schon weiß, daß ich eigentlich Moslem bin (siehe dieser Eintrag) und meine politische Einstellung der von Mahatma Gandhi gleicht, kann ich nun durch www.graphologies.de auch in die Tiefen meiner Seele blicken:

Ossi1967 ist ein impulsiver, unsteter, vielseitiger und unkonventioneller Typ. Es fällt ihm nicht leicht, sich anzupassen.

Ossi1967 ist ein Individualist. Er ist eher introvertiert mit relativ wenig Kontakt zu anderen Menschen. Trotzdem kann er sehr spontan werden, manchmal wirkt er etwas sprunghaft.

Er ist sinnlich, warmherzig, gemütlich und phantasievoll. Im Großen und Ganzen wirkt er gelassen bis uninteressiert, wenn er aber von einer Sache überzeugt ist, überrascht er seine Umwelt durch sein überschwängliches und begeisterungsfähiges Auftreten.

Er ist lebhaft und kontaktfreudig, mit viel Verständnis für die Belange anderer.

Ossi1967 ist ein vernunftgesteuerter Mensch. Er versucht, seine Gefühle zu verbergen und sich bei Entscheidungen nur vom Verstand leiten zu lassen.

Ossi1967 ist eigensinnig, geradlinig, konsequent und widerstandsfähig. Die eigene Meinung wird durchgesetzt, er ist durch andere nur schwer zu beeinflussen.

Er arbeitet sehr genau und zeichnet sich durch rationales, analytisches Denken aus.

Er hat seine eigene Meinung, die auch gegen äußere Widerstände durchgesetzt werden, unabhängig von der Meinung anderer.

Schon spannend, was herauskommt, wenn ich 20 Schriftproben am Monitor anklicke und meine Schrift als „groß, klein oder normal“ einstufe.

Laut diesem Test auf quizfarm.com ist der Islam die passendste Religion für mich. Ob ich dem irgendeine Bedeutung beimessen soll? Was mach ich jetzt?
Das Ergebnis im Detail:

Religion	Prozent
Islam	63%
Buddhism	50%
Agnosticism	50%
Atheism	42%
Paganism	42%
Satanism	42%
Christianity	33%
Judaism	13%
Hinduism	8%

Die 42% beim Satanismus allerdings beunruhigen mich etwas. Vielleicht sollte ich den Test ein zweites Mal machen? ;-)

Die Unverschämtheiten der Film- und Musikindustrie zum Schutz des sogenannten „geistigen Eigentums“ gehen offenbar mehr und mehr Leuten mächtig gegen den Strich. Im Internet informieren viele Seiten über die Rechtslage, drohende Gefahren und weitere geplante Einschränkungen.

Besonders charmant finde ich das Instant Blitz Copy Fight Project. Es ruft dazu auf, im Kino die Anti-Piracy-Hinweise am Beginn der Vorstellungen mit Blitz (!) abzufotografieren und das Bild über die Uploadsite der Galerie direkt hochzuladen. Wäre fast Grund genug für mich, mir extra dafür eine Kamera mit Blitz zu besorgen.

Mitmachen und vor allem: Auf die Website des Projektes verlinken! Weitersagen!

Seit ca. einem Monat läuft ein Zähler bei blogcounter für dieses Blog mit. In dieser Zeit hatte ich im Schnitt 11 Besucher pro Tag. (Seitenaufrufe: 24/Tag) Ich weiß jetzt, daß ich Leser aus Brasilien und Japan habe und fühle mich geehrt.

Besonders interessant finde ich die Aufstellung über die von den Besuchern verwendeten Browser und Betriebssysteme. Bei den Browsern bin ich besonders stolz auf mein verehrtes Publikum - der Internet Explorer liegt bei weitem unter den sonst üblichen Werten:

Browser	Anteil in Prozent
Internet Explorer	58,14%
Firefox, Mozilla und Netscape	38,37%
Opera	3,49%

Weniger überraschend die Situation bei den Betriebssystemen, obwohl auch hier Mac OS X und GNU/Linux gemeinsam mit deutlich über 10% besser als erwartet im Rennen liegen:

Betriebssystem	Anteil in Prozent
Windows XP	68,47%
Windows 2000	12,61%
Mac OS X	6,01%
GNU/Linux	5,41%
Windows ME	2,70%
Windows 98	2,40%
Andere	2,40%

Der Zähler ignoriert übrigens meine eigenen Seitenaufrufe. Die Tatsache, daß ich selbst beim Schreiben von Einträgen mit GNU/Linux und Firefox zugreife und natürlich einer der regelmäßigsten Besucher hier bin, hat die Statistik also nicht verfälscht.

Wieder hab ich was gelernt: Ich kann jeden beliebigen Film vom PC auf mein Nokia 6230 überspielen und dort ansehen. OK, nicht in 16:9 und Dolby Surround, aber gemessen am sehr kleinen Display in überraschend guter Qualität.

Die Anleitung für’s Konvertieren in das dafür notwendige 3GP-Format steht im Wesentlichen auf Watching movies on your phone, allerdings bezieht sie sich auf ein anderes Modell. Die Unterschiede sind minimal:

Die Bildgröße beträgt beim 6230 nur 128x96 Pixel, die maximale Framerate 15fps. Die Bitrate darf laut Herstellerangaben nur 64 Kbit/s betragen, wobei ich mir fast sicher bin, einen Film irrtümlich mit einer deutlich höheren Bitrate codiert zu haben - er hat trotzdem funktioniert. Das muß ich nochmal testen.

Das einzige Problem besteht darin, eine ffmpeg-Version mit Unterstützung für den AMR-Audiocodec zu bekommen. Die meisten Distributionen, auch „mein“ gentoo, haben offenbar hier Angst vor Lizenzproblemen. Gottseidank hat mir dieser patch für das aktuelle ffmpeg-ebuild im portage-tree die Mühe erspart, alles von Hand zu compilieren.

Ein kompletter Spielfilm (1 Stunde und 30 Minuten) läßt sich so auf ca. 50-55 MB unterbringen. Bei insgesamt 256MB auf der Speicherkarte also überhaupt kein Problem. Unterhaltung für die nächste längere Bahnfahrt ist gesichert.

Jetzt, wo die Affäre um den von Sony verwendeten Kopierschutz XCP dem Ende zugeht, muß ich das einfach nochmal für mich zusammenfassen und niederschreiben. Sonst glaub’ ich in einigen Wochen, ich hätte das alles nur geträumt (oder einen Horrortrip nach einer Überdosis Nougat-Croissants erlitten). Also:

31.10.2005: Mark Russinovich postet in seinem Weblog einen Artikel über eigentümliche Phänomene auf seinem PC. Er führt diese nachweislich auf die von Sony in den USA verwendete Kopierschutz-Technologie XCP der Firma First 4 Internet zurück. Sony setzt diese Software ein, um das digitale Kopieren der Audio-CDs einzuschränken. Russinovich weist nach, daß die Software sich dauerhaft auf dem PC installiert, ständig im Hintergrund aktiv ist und dabei die Geschwindigkeit reduziert, zu Abstürzen führt und vor allem ein Sicherheitsrisiko darstellt: XCP manipuliert Windows so, daß Trojaner leichtes Spiel mit dem Rechner haben und sich unerkannt einnisten können. All das geschieht ohne Wissen und Zustimmung des Konsumenten. Besonders ärgerlich: Es gibt keine Möglichkeit, diese Software manuell zu entfernen, ohne die Systemstabilität noch weiter zu beeinträchtigen. Zu Recht wird XCP in den Medien daher als Rootkit bezeichnet.

4.11.2005: In einem weiteren Weblog-Eintrag beschreibt Mark Russinovich, daß XCP trotz anders lautender Beteuerungen von Sony „nach Hause telefoniert“, also Daten über Aktivitäten des PC-Benutzers an Sony sendet. Er weist außerdem darauf hin, daß Sony mittlerweile zwar ein Programm zur Deinstallation des Rootkits bereit hält. Die Firma versendet den Link zum Download aber nur auf Anfrage und nur, nachdem der Konsument seine Daten bekannt gegeben und der Verwertung seiner E-Mail-Adresse für Marketing-Zwecke zugestimmt hat. Das Deinstallationsprogramm ist laut Russinovich unsauber programmiert und kann die Systemstabilität gefährden.
Am gleichen Tag gibt Thomas Hesse, Präsident der Global Digital Business-Abteilung bei Sony, ein Interview für NPR Radio, in dem er wörtlich erklärt: Most people, I think, don't even know what a rootkit is, so why should they care about it?

9.11.2005: Nach den technischen Katastrophen werden nun die juristischen bekannt. Die EFF weist auf verschiedene Fallen im Endbenutzer-Lizenzvertrag hin, der per Mausklick vom Konsumenten bestätigt und angenommen werden muß, bevor die Audio-CD unter Windows abspielbar ist. Unter anderem erlischt das Recht auf eine Privatkopie, sobald man nicht mehr im Besitz der Originals ist - also auch dann, wenn einem die Original-CD gestohlen wurde. Es ist auch nicht gestattet, die mit der CD das Heimatland zu verlassen. (Keine Fahrten also über’s „Deutsche Eck“ mit Sony-CDs im Gepäck.)

10.11.2005: MacInTouch veröffentlicht einen (mittlwerweile offenbar gelöschten) Artikel über die Tatsache, daß ein mit XCP vergleichbares System mit dem Namen MediaMax von Sony auch auf Mac OS X eingesetzt wird. Die Details finden sich noch auf groklaw.
In den USA äußert sich ein Mitglied der Bush-Administration zu dem Fall: Stewart Baker, Assistant Secretary for Policy des Department of Homeland Security (und das sind sicher nicht die, die in besonderem Maße für Freiheit und Bürgerrechte kämpfen), rügt die Vorgehensweise von Sony mit den Worten: It’s very important to remember that it’s your intellectual property - it’s not your computer.
Das niederländische Magazin Webwereld behauptet, daß im Quellcode von XCP Teile des Programms LAME gefunden wurden. LAME ist Freie Software und unterliegt der LGPL. Da der LAME-Quellcode nicht zugänglich ist (wie es die LGPL verlangen würde), hätten Sony bzw. First 4 Internet in diesem Fall auch eine Lizenzverletzung zu verantworten.

11.11.2005: In diesem Artikel berichtet derstandard.at über den ersten Trojaner Ryknos.A, der die von Sony eröffnete Sicherheitslücke tatsächlich ausnutzt.
Ein zweiter Artikel kündigt an, Sony wolle den Kopierschutz XCP ab 2006 auch in Europa einsetzen.

12.11.2005: Jason Garms, Sicherheitsexperte bei Microsoft, kritisiert in seinem Weblog das Sony-System und schreibt:

We are concerned about any malware and its impact on our customers’ machines. Rootkits have a clearly negative impact on not only the security, but also the reliability and performance of their systems. […]

We have analyzed this software, and have determined that in order to help protect our customers we will add a detection and removal signature for the rootkit component of the XCP software to the Windows AntiSpyware beta, which is currently used by millions of users.

Damit hat Sony nun sowohl die Regierung Bush als auch Microsoft gegen sich. Was kann man mehr erreichen?

14.11.2005: Ed Felten und Alex Halderman veröffentlichen in Feltens Blog eine Warnung vor dem von Sony mittlerweile bereitgestellten Deinstallationsprogramm: Es würde weitere Sicherheitslücken beinhalten.

16.11.2005: Der Rückzug beginnt: Sony ruft die noch unverkauften mit XCP ausgerüsteten Audio-CDs aus den Läden zurück. Konsumenten, die bereits eine XCP-CD gekauft haben, können sie gegen ein Exemplar ohne Kopierschutz eintauschen. In einem offenen Brief an seine Kunden versucht Sony eine halbherzige Entschuldigung (We deeply regret any inconvenience this may cause our customers and we are committed to making this situation right.), stellt sich aber gleichzeitig als Opfer seines Lieferanten dar (This software was provided to us by a third-party vendor, First4Internet.).

17.11.2005: Weitere Codefragmente werden identifiziert (siehe dieser Weblog-Eintrag), die vermuten lassen, daß XCP-Hersteller First 4 Internet auch Teile der Programme mpg123, FAAC und VideoLAN verwendet hat, die allesamt entweder unter der LGPL oder der GPL stehen. Die Frage der Lizenzverletzungen nimmt damit eine völlig neue Dimension an. Teile des verwendeten Codes wurden übrigens von „DVD Jon“ Jon Lech Johansen geschrieben.

Es kann nur Zufall sein, daß nur kurz vor Beginn der ganzen Geschichte, nämlich im Oktober 2005, eine Studie des Center for Economic and Policy Research erschienen ist, aus der hervorgeht, daß das US-System zum Schutz des sogenannten „Geistigen Eigentums“ durch Marktbehinderung und Mehraufwand zu Mehrkosten von etwa 80-120 Milliarden Dollar pro Jahr führt und in höchstem Grade ineffizient ist. Ach. Schau an.