Oskar Welzl: Weblog zur Homepage

Sony: Die Chronologie des Bösen

Jetzt, wo die Affäre um den von Sony verwendeten Kopierschutz XCP dem Ende zugeht, muß ich das einfach nochmal für mich zusammenfassen und niederschreiben. Sonst glaub’ ich in einigen Wochen, ich hätte das alles nur geträumt (oder einen Horrortrip nach einer Überdosis Nougat-Croissants erlitten). Also:

31.10.2005: Mark Russinovich postet in seinem Weblog einen Artikel über eigentümliche Phänomene auf seinem PC. Er führt diese nachweislich auf die von Sony in den USA verwendete Kopierschutz-Technologie XCP der Firma First 4 Internet zurück. Sony setzt diese Software ein, um das digitale Kopieren der Audio-CDs einzuschränken. Russinovich weist nach, daß die Software sich dauerhaft auf dem PC installiert, ständig im Hintergrund aktiv ist und dabei die Geschwindigkeit reduziert, zu Abstürzen führt und vor allem ein Sicherheitsrisiko darstellt: XCP manipuliert Windows so, daß Trojaner leichtes Spiel mit dem Rechner haben und sich unerkannt einnisten können. All das geschieht ohne Wissen und Zustimmung des Konsumenten. Besonders ärgerlich: Es gibt keine Möglichkeit, diese Software manuell zu entfernen, ohne die Systemstabilität noch weiter zu beeinträchtigen. Zu Recht wird XCP in den Medien daher als Rootkit bezeichnet.

4.11.2005: In einem weiteren Weblog-Eintrag beschreibt Mark Russinovich, daß XCP trotz anders lautender Beteuerungen von Sony „nach Hause telefoniert“, also Daten über Aktivitäten des PC-Benutzers an Sony sendet. Er weist außerdem darauf hin, daß Sony mittlerweile zwar ein Programm zur Deinstallation des Rootkits bereit hält. Die Firma versendet den Link zum Download aber nur auf Anfrage und nur, nachdem der Konsument seine Daten bekannt gegeben und der Verwertung seiner E-Mail-Adresse für Marketing-Zwecke zugestimmt hat. Das Deinstallationsprogramm ist laut Russinovich unsauber programmiert und kann die Systemstabilität gefährden.
Am gleichen Tag gibt Thomas Hesse, Präsident der Global Digital Business-Abteilung bei Sony, ein Interview für NPR Radio, in dem er wörtlich erklärt: Most people, I think, don't even know what a rootkit is, so why should they care about it?

9.11.2005: Nach den technischen Katastrophen werden nun die juristischen bekannt. Die EFF weist auf verschiedene Fallen im Endbenutzer-Lizenzvertrag hin, der per Mausklick vom Konsumenten bestätigt und angenommen werden muß, bevor die Audio-CD unter Windows abspielbar ist. Unter anderem erlischt das Recht auf eine Privatkopie, sobald man nicht mehr im Besitz der Originals ist - also auch dann, wenn einem die Original-CD gestohlen wurde. Es ist auch nicht gestattet, die mit der CD das Heimatland zu verlassen. (Keine Fahrten also über’s „Deutsche Eck“ mit Sony-CDs im Gepäck.)

10.11.2005: MacInTouch veröffentlicht einen (mittlwerweile offenbar gelöschten) Artikel über die Tatsache, daß ein mit XCP vergleichbares System mit dem Namen MediaMax von Sony auch auf Mac OS X eingesetzt wird. Die Details finden sich noch auf groklaw.
In den USA äußert sich ein Mitglied der Bush-Administration zu dem Fall: Stewart Baker, Assistant Secretary for Policy des Department of Homeland Security (und das sind sicher nicht die, die in besonderem Maße für Freiheit und Bürgerrechte kämpfen), rügt die Vorgehensweise von Sony mit den Worten: It’s very important to remember that it’s your intellectual property - it’s not your computer.
Das niederländische Magazin Webwereld behauptet, daß im Quellcode von XCP Teile des Programms LAME gefunden wurden. LAME ist Freie Software und unterliegt der LGPL. Da der LAME-Quellcode nicht zugänglich ist (wie es die LGPL verlangen würde), hätten Sony bzw. First 4 Internet in diesem Fall auch eine Lizenzverletzung zu verantworten.

11.11.2005: In diesem Artikel berichtet derstandard.at über den ersten Trojaner Ryknos.A, der die von Sony eröffnete Sicherheitslücke tatsächlich ausnutzt.
Ein zweiter Artikel kündigt an, Sony wolle den Kopierschutz XCP ab 2006 auch in Europa einsetzen.

12.11.2005: Jason Garms, Sicherheitsexperte bei Microsoft, kritisiert in seinem Weblog das Sony-System und schreibt:

We are concerned about any malware and its impact on our customers’ machines. Rootkits have a clearly negative impact on not only the security, but also the reliability and performance of their systems. […]

We have analyzed this software, and have determined that in order to help protect our customers we will add a detection and removal signature for the rootkit component of the XCP software to the Windows AntiSpyware beta, which is currently used by millions of users.

Damit hat Sony nun sowohl die Regierung Bush als auch Microsoft gegen sich. Was kann man mehr erreichen?

14.11.2005: Ed Felten und Alex Halderman veröffentlichen in Feltens Blog eine Warnung vor dem von Sony mittlerweile bereitgestellten Deinstallationsprogramm: Es würde weitere Sicherheitslücken beinhalten.

16.11.2005: Der Rückzug beginnt: Sony ruft die noch unverkauften mit XCP ausgerüsteten Audio-CDs aus den Läden zurück. Konsumenten, die bereits eine XCP-CD gekauft haben, können sie gegen ein Exemplar ohne Kopierschutz eintauschen. In einem offenen Brief an seine Kunden versucht Sony eine halbherzige Entschuldigung (We deeply regret any inconvenience this may cause our customers and we are committed to making this situation right.), stellt sich aber gleichzeitig als Opfer seines Lieferanten dar (This software was provided to us by a third-party vendor, First4Internet.).

17.11.2005: Weitere Codefragmente werden identifiziert (siehe dieser Weblog-Eintrag), die vermuten lassen, daß XCP-Hersteller First 4 Internet auch Teile der Programme mpg123, FAAC und VideoLAN verwendet hat, die allesamt entweder unter der LGPL oder der GPL stehen. Die Frage der Lizenzverletzungen nimmt damit eine völlig neue Dimension an. Teile des verwendeten Codes wurden übrigens von „DVD Jon“ Jon Lech Johansen geschrieben.

Es kann nur Zufall sein, daß nur kurz vor Beginn der ganzen Geschichte, nämlich im Oktober 2005, eine Studie des Center for Economic and Policy Research erschienen ist, aus der hervorgeht, daß das US-System zum Schutz des sogenannten „Geistigen Eigentums“ durch Marktbehinderung und Mehraufwand zu Mehrkosten von etwa 80-120 Milliarden Dollar pro Jahr führt und in höchstem Grade ineffizient ist. Ach. Schau an.

CD-Rohlinge