En 2005 se reveló que la implementación de medidas de protección de copia en alrededor de 22 millones de CD distribuidos por Sony BMG instaló una de las dos piezas de software que proporcionaban una forma de gestión de derechos digitales (DRM) modificando el sistema operativo para interferir con la copia de CD . Ninguno de los programas se podía desinstalar fácilmente y creaban vulnerabilidades que eran explotadas por malware no relacionado . Uno de los programas se instalaba y " llamaba a casa " con informes sobre los hábitos de escucha privados del usuario, incluso si el usuario rechazaba su acuerdo de licencia de usuario final (EULA), mientras que el otro no se mencionaba en absoluto en el EULA. Ambos programas contenían código de varias piezas de software libre con copyleft en una aparente infracción de los derechos de autor , y configuraban el sistema operativo para ocultar la existencia del software, lo que llevó a que ambos programas se clasificaran como rootkits .
Sony BMG negó inicialmente que los rootkits fueran dañinos. Luego lanzó un desinstalador para uno de los programas que simplemente hacía invisibles los archivos del programa y, al mismo tiempo, instalaba software adicional que no se podía eliminar fácilmente, recopilaba la dirección de correo electrónico del usuario e introducía más vulnerabilidades de seguridad.
Tras la protesta pública, las investigaciones gubernamentales y las demandas colectivas de 2005 y 2006, Sony BMG abordó parcialmente el escándalo con acuerdos con los consumidores, el retiro de alrededor del 10% de los CD afectados y la suspensión de los esfuerzos de protección contra copias de CD a principios de 2007.
En agosto de 2000, las declaraciones del vicepresidente senior de Sony Pictures Entertainment US, Steve Heckler, presagiaron los acontecimientos de finales de 2005. Heckler dijo a los asistentes a la Conferencia de las Américas sobre Sistemas de Información : "La industria tomará las medidas que sean necesarias para protegerse a sí misma y proteger sus fuentes de ingresos ... No perderá esa fuente de ingresos, pase lo que pase... Sony va a tomar medidas agresivas para detener esto. Desarrollaremos tecnología que trascienda al usuario individual. Pondremos un cortafuegos en Napster en la fuente, lo bloquearemos en su compañía de cable. Lo bloquearemos en su compañía telefónica. Lo bloquearemos en su ISP . Lo bloquearemos en su PC... Estas estrategias se están aplicando agresivamente porque simplemente hay demasiado en juego". [1]
En Europa, BMG creó un pequeño escándalo en 2001 cuando lanzó el segundo álbum de Natalie Imbruglia, White Lilies Island, sin etiquetas de advertencia que indicaran que el CD contenía protección contra copia. [2] [3] Los CD fueron finalmente reemplazados. [2] [3] BMG y Sony lanzaron versiones protegidas contra copia de ciertos lanzamientos en ciertos mercados a fines de 2001, [4] [5] y un informe de fines de 2002 indicó que todos los CD de BMG vendidos en Europa contendrían algún tipo de protección contra copia. [6]
Los dos programas de protección anticopia que se discutieron en el escándalo de 2005-2007 se incluyeron en más de 22 millones de CD [7] comercializados por Sony BMG, la compañía discográfica formada por la fusión en 2004 de las divisiones de música grabada de Sony y BMG. Aproximadamente dos millones de esos CD, [7] que abarcan 52 títulos, contenían la protección anticopia extendida (XCP) de First 4 Internet (F4I), que se instaló en los sistemas Microsoft Windows después de que el usuario aceptara el EULA, que no mencionaba el software. Los 20 millones de CD restantes, [7] que abarcan 50 títulos, [8] contenían MediaMax CD-3 de SunnComm , que se instaló en sistemas Microsoft Windows o macOS después de que se le presentara al usuario el EULA, independientemente de si lo aceptaba. Sin embargo, macOS solicitaba confirmación al usuario cuando el software intentaba modificar el sistema operativo, mientras que Windows no lo hacía.
El escándalo comenzó el 31 de octubre de 2005, cuando el investigador de Winternals Mark Russinovich publicó en su blog una descripción detallada y un análisis técnico del software XCP de F4I que, según determinó, había sido instalado recientemente en su ordenador por un CD de música Sony BMG. Russinovich comparó el software con un rootkit debido a su instalación subrepticia y a los esfuerzos por ocultar su existencia. Señaló que el EULA no menciona el software y denunció que el software es ilegítimo y que la gestión de derechos digitales había "ido demasiado lejos". [9]
La empresa de antivirus F-Secure coincidió: "Aunque el software no es directamente malicioso, las técnicas de ocultación de rootkits que utiliza son exactamente las mismas que utiliza el software malicioso para ocultarse. El software DRM provocará muchas falsas alarmas similares a las de todo software antivirus que detecte rootkits... Por lo tanto, es muy inapropiado que el software comercial utilice estas técnicas". [10] Tras la presión pública, Symantec [11] y otros proveedores de antivirus también incluyeron la detección de rootkits en sus productos, y Microsoft anunció que incluiría capacidades de detección y eliminación en sus parches de seguridad. [12]
Russinovich descubrió numerosos problemas con XCP:
Poco después de la primera publicación de Russinovich, aparecieron varios troyanos y gusanos que explotaban los agujeros de seguridad de XCP. [13] Algunos incluso usaban las vulnerabilidades para hacer trampas en juegos en línea. [14]
Sony BMG lanzó rápidamente un software para eliminar el componente rootkit de XCP de los equipos Microsoft Windows afectados, [15] pero después de que Russinovich analizara la utilidad, informó en su blog que sólo exacerbó los problemas de seguridad y planteó más preocupaciones sobre la privacidad. [16] Russinovich señaló que el programa de eliminación simplemente desenmascaró los archivos ocultos instalados por el rootkit pero en realidad no eliminó el rootkit. También informó que instaló software adicional que no se podía desinstalar. Para descargar el desinstalador, descubrió que era necesario proporcionar una dirección de correo electrónico (que la Política de privacidad de Sony BMG implicaba que se había agregado a varias listas de correo electrónico masivo) e instalar un control ActiveX que contenía métodos de puerta trasera (marcados como "seguros para scripting" y, por lo tanto, propensos a ataques). [17] [18] Más tarde, Microsoft emitió un bit de desactivación para el control ActiveX.
El 18 de noviembre de 2005, Sony BMG proporcionó una herramienta de eliminación "nueva y mejorada" para eliminar el componente rootkit de XCP de las computadoras Microsoft Windows afectadas.
El 15 de noviembre de 2005, vnunet.com anunció [19] que Sony BMG estaba retirando su software de protección anticopia, retirando los CD no vendidos de todas las tiendas y permitiendo a los consumidores cambiar los CD afectados por versiones sin el software. La Electronic Frontier Foundation recopiló una lista parcial de CD con XCP. [20] Sony BMG sostuvo que "no había riesgos de seguridad asociados con la tecnología antipiratería" a pesar de numerosos informes de virus y malware. El 16 de noviembre de 2005, US-CERT , parte del Departamento de Seguridad Nacional de los Estados Unidos, emitió un aviso sobre XCP DRM. Dijo que XCP usa tecnología rootkit para ocultar ciertos archivos al usuario y que la técnica es una amenaza de seguridad para los usuarios. También dijeron que una de las opciones de desinstalación proporcionadas por Sony BMG introduce más vulnerabilidades. US-CERT aconsejó: "No instale software de fuentes que no espera que contengan software, como un CD de audio". [21]
Sony BMG anunció que había ordenado a los minoristas que retiraran de sus estanterías todos los discos de música no vendidos que contuvieran el software. [22] El experto en seguridad de Internet Dan Kaminsky estimó que XCP estaba en uso en más de 500.000 redes. [23]
Los CD con tecnología XCP se pueden identificar por las letras "XCP" impresas en la tapa posterior del estuche del CD según las preguntas frecuentes sobre XCP de SonyBMG. [24]
El 18 de noviembre de 2005, Reuters informó que Sony BMG intercambiaría los CD no seguros afectados por nuevos discos no protegidos, así como archivos MP3 no protegidos. [25] Como parte del programa de intercambio, los consumidores podrían enviar por correo sus CD protegidos con XCP a Sony BMG y recibir un disco no protegido por correo de vuelta.
El 29 de noviembre, los investigadores del fiscal general de Nueva York, Eliot Spitzer, descubrieron que, a pesar de la retirada del mercado del 15 de noviembre, los CD de Sony BMG con XCP seguían a la venta en algunas tiendas de música de Nueva York. Spitzer dijo: "Es inaceptable que más de tres semanas después de que se revelara esta grave vulnerabilidad, estos mismos CD sigan en las estanterías, durante los días de mayor actividad comercial del año, [y] insto encarecidamente a todos los minoristas a que presten atención a las advertencias emitidas sobre estos productos, los retiren de la distribución inmediatamente y los envíen de vuelta a Sony". [26]
Al día siguiente, el fiscal general de Massachusetts, Tom Reilly, anunció que los CD de Sony BMG con XCP todavía estaban disponibles en Boston a pesar del retiro de productos Sony BMG del 15 de noviembre. [27] Aconsejó a los consumidores que no compraran los CD de Sony BMG con XCP y dijo que estaba realizando una investigación sobre Sony BMG.
El sitio web de Sony BMG ofrecía a los consumidores un enlace a "Información sobre el acuerdo de demanda colectiva en relación con la protección de contenido de XCP y MediaMax" [28] con la posibilidad de presentar una reclamación en línea y enlaces a actualizaciones de software y desinstaladores. La fecha límite para presentar una reclamación era el 30 de junio de 2007. El sitio web ofrecía una explicación de los hechos, así como una lista de todos los CD afectados. [29]
El 21 de noviembre de 2005, el fiscal general de Texas, Greg Abbott, demandó a Sony BMG. [30] La demanda fue la primera presentada por un estado de los EE. UU. y también la primera presentada en virtud de la ley de software espía de 2005 del estado. Afirmaba que la empresa instalaba subrepticiamente el software espía en millones de CD.
El 21 de diciembre de 2005, Abbott añadió nuevas acusaciones a la demanda, [31] afirmando que MediaMax violaba las leyes estatales sobre programas espía y prácticas comerciales engañosas porque el software de MediaMax se instalaba en un ordenador incluso si el usuario rechazaba el acuerdo de licencia que autorizaba la acción. Abbott afirmó: "Seguimos descubriendo métodos adicionales que Sony utilizó para engañar a los consumidores de Texas que pensaban que simplemente estaban comprando música", y "Miles de tejanos son ahora víctimas potenciales de este juego engañoso que Sony jugó con los consumidores para sus propios fines". Además de las violaciones de la Ley de Protección del Consumidor contra Programas Espía Informáticos de 2005, que permitía sanciones civiles de 100.000 dólares por cada infracción de la ley, las supuestas infracciones añadidas en la demanda actualizada conllevaban sanciones máximas de 20.000 dólares por infracción. [32] [33] Sony fue condenada a pagar 750.000 dólares en honorarios legales a Texas, aceptar la devolución de los CD afectados por parte de los clientes, colocar un aviso detallado y visible en su página de inicio, realizar "compras de palabras clave" para alertar a los consumidores mediante publicidad en Google, Yahoo! y MSN, pagar hasta 150 dólares por cada computadora dañada y aceptar otras compensaciones. Sony BMG también tuvo que aceptar que no presentaría ninguna reclamación en el sentido de que el acuerdo legal constituye de algún modo la aprobación del tribunal. [34]
Se presentaron demandas colectivas contra Sony BMG en Nueva York y California. [35]
El 30 de diciembre de 2005, el New York Times informó que Sony BMG había llegado a un acuerdo provisional para resolver las demandas, proponiendo dos formas de compensar a los consumidores que habían comprado los CD afectados. [36] Según el acuerdo propuesto, quienes hubieran comprado un CD XCP recibirían 7,50 dólares por cada grabación comprada y tendrían la oportunidad de descargar un álbum gratuito o tres álbumes adicionales de una lista limitada de grabaciones si optaban por renunciar al incentivo en efectivo. La jueza de distrito Naomi Reice Buchwald dictó una orden que aprobaba provisionalmente el acuerdo el 6 de enero de 2006.
El acuerdo tenía por objeto compensar a aquellos cuyas computadoras se habían infectado pero no habían sufrido otros daños. Quienes habían sufrido daños no contemplados en la demanda colectiva tenían la libertad de optar por no participar en el acuerdo y emprender su propio litigio.
El 22 de mayo de 2006 se celebró una audiencia de imparcialidad en Nueva York. Las reclamaciones debían presentarse antes del 31 de diciembre de 2006. Los miembros del grupo que deseaban quedar excluidos del acuerdo debían haber presentado sus reclamaciones antes del 1 de mayo de 2006. Los que permanecieron en el acuerdo podían asistir a la audiencia de imparcialidad por su propia cuenta y riesgo y hablar en su propio nombre o ser representados por un abogado.
En Italia, ALCEI EFF ) también denunció el rootkit a la Policía Financiera, pidiendo una investigación bajo varias acusaciones de delitos informáticos, junto con un análisis técnico del rootkit. [37] [38]
(una asociación similar aEl Departamento de Justicia de Estados Unidos no hizo ningún comentario sobre si emprendería alguna acción penal contra Sony. Sin embargo, Stewart Baker, del Departamento de Seguridad Nacional, amonestó públicamente a Sony, afirmando que "es su propiedad intelectual, no es su computadora". [39]
El 21 de noviembre, la EFF anunció que también iba a presentar una demanda por XCP y la tecnología DRM SunnComm MediaMax . La demanda de la EFF también incluía cuestiones relacionadas con el acuerdo de licencia de usuario final de Sony BMG .
El 24 de diciembre de 2005 se informó que el fiscal general de Florida, Charlie Crist, estaba investigando el software espía de Sony BMG. [40]
El 30 de enero de 2007, la Comisión Federal de Comercio de los Estados Unidos (FTC) anunció un acuerdo con Sony BMG por cargos de que la protección de copia de CD había violado la ley federal [41] —Sección 5(a) de la Ley de la Comisión Federal de Comercio , 15 USC 45(a)— al participar en prácticas comerciales injustas y engañosas. [42] El acuerdo requería que Sony BMG reembolsara a los consumidores hasta $150 para reparar los daños que resultaron directamente de sus intentos de eliminar el software instalado sin su consentimiento. [41] El acuerdo también les exigía proporcionar una divulgación clara y destacada en el embalaje de futuros CD de cualquier límite a la copia o restricciones en el uso de dispositivos de reproducción, y se le prohibía a la empresa instalar software de protección de contenido sin obtener la autorización de los consumidores. [41] La presidenta de la FTC, Deborah Platt Majoras, añadió: "Las instalaciones de software secreto que crean riesgos de seguridad son intrusivas e ilegales. Las computadoras de los consumidores les pertenecen a ellos, y las empresas deben revelar adecuadamente las limitaciones inesperadas en el uso de sus productos por parte de los clientes para que estos puedan tomar decisiones informadas sobre si comprar e instalar ese contenido". [43] [44]
Los investigadores descubrieron que Sony BMG y los creadores de XCP también aparentemente infringieron los derechos de autor al no cumplir con los requisitos de licencia de varias piezas de software libre y de código abierto que se usaron en el programa, [45] [46] incluido el codificador LAME MP3 , [47] mpglib , [48] FAAC , [49] id3lib, [50] mpg123 y el reproductor multimedia VLC . [51]
En enero de 2006, los desarrolladores de LAME publicaron una carta abierta en la que declaraban que esperaban "acciones apropiadas" por parte de Sony BMG, pero que los desarrolladores no tenían planes de investigar o tomar medidas sobre la aparente violación de la licencia del código fuente de LAME. [52]
El informe de Russinovich fue discutido en blogs populares casi inmediatamente después de su publicación. [53]
La NPR fue uno de los primeros medios de comunicación importantes en informar sobre el escándalo el 4 de noviembre de 2005. Thomas Hesse , presidente de negocios digitales globales de Sony BMG, dijo: "Creo que la mayoría de la gente ni siquiera sabe qué es un rootkit, así que ¿por qué debería importarles?" [54]
En un artículo del 7 de noviembre de 2005, vnunet.com resumió los hallazgos de Russinovich [55] e instó a los consumidores a evitar temporalmente la compra de CD de música de Sony BMG. Al día siguiente, The Boston Globe clasificó el software como spyware y el vicepresidente de la unidad de gestión de seguridad eTrust de Computer Associates, Steve Curry, confirmó que el rootkit comunica información personal desde las computadoras de los consumidores (el CD que se está reproduciendo y la dirección IP del usuario ) a Sony BMG. [56] Los métodos utilizados por el software para evitar la detección se compararon con los utilizados por los ladrones de datos.
El 8 de noviembre de 2005, Computer Associates clasificó el software de Sony BMG como software espía y proporcionó herramientas para su eliminación. [57] Russinovich dijo: "Esta es una medida que deberían haber tomado inmediatamente". [58]
El primer virus que explotaba la tecnología oculta de Sony BMG para hacer que los archivos maliciosos fueran invisibles tanto para el usuario como para los programas antivirus apareció el 10 de noviembre de 2005. [59] Un día después, Yahoo! News anunció que Sony BMG había suspendido la distribución de la controvertida tecnología. [ cita requerida ]
ZDNet News escribió: "El último riesgo proviene de un programa de desinstalación distribuido por SunnComm Technologies, una empresa que ofrece protección contra copias en otros lanzamientos de Sony BMG". El programa de desinstalación obedece las órdenes que se le envían, lo que permite a otros "tomar el control de los equipos en los que se ha utilizado el desinstalador". [60]
El 6 de diciembre de 2005, Sony BMG reveló que se habían distribuido 5,7 millones de CD con 27 títulos y que el software MediaMax 5 estaba instalado. La empresa anunció la disponibilidad de un nuevo parche de software para evitar posibles fallos de seguridad en los ordenadores de los consumidores.
Sony BMG en Australia emitió un comunicado de prensa indicando que ningún título de Sony BMG fabricado en Australia contenía protección contra copia. [61]
El martes, Sony confirmó que había incorporado software de protección anticopia en las copias promocionales en CD del sencillo de Michael Jackson "You Rock My World".
{{cite news}}
: CS1 maint: URL no apta ( enlace )