Alfonso Maruccia

L'accusa: quel rootkit l'ha voluto Sony

Polvere pesante cade sul gigante nipponico che avrebbe installato un software sospetto in una propria pendrive. Rete in subbuglio

Roma - Salta fuori ancora una volta il nome di Sony in un affaire rootkit che sta facendo molto discutere e che arriva due anni dopo il passo falso di Sony BMG sul rootkit nei CD Audio e che anche per questo sta sollevando attenzione.

La notizia sta facendo il giro della rete, l'ha citata tra gli altri Slashdot: responsabile della scoperta è la finlandese F-Secure, celebre società di sicurezza. Un suo esperto ha descritto l'allarme fatto scattare dalle difese della tecnologia F-Secure DeepGuard durante l'installazione del driver software incluso con uno stick USB di Sony.

Il CD di installazione del software di controllo del Micro Vault USM-F, questo il nome del dispositivo, è stato poi smascherato nella successiva scansione ad opera dello scanner anti-rootkit F-Secure BlackLight mentre installava file nascosti sul disco, inaccessibili dal sistema operativo. Il CD integra all'interno di Windows un driver che mimetizza una sottocartella di "c:\windows\", rendendo la suddetta invisibile alle comuni API di sistema. La cartella è ancora accessibile dalla shell testuale (il vecchio "prompt dei comandi"), e in essa è possibile creare ed eseguire file di programma che risultano perfettamente camuffati ad occhi indiscreti, antivirus e utenti.
Come nel caso delle DRM dei CD nel 2005, una simile tecnica di "invisibilità" potrebbe benissimo essere sfruttata da virus writer e malintenzionati per far danni, rubare dati sensibili e ridurre pesantemente la sicurezza di Windows. In buona sostanza, il driver del Micro Vault si comporta in maniera esattamente identica al rootkit per cui Sony BMG è finita in tribunale più e più volte negli ultimi due anni.

Le caratteristiche di questo ennesimo scandalo sicurezza in cui è incappata la multinazionale giapponese corrispondono a quelle del caso precedente in maniera quasi speculare, con l'unica differenza che nel 2005 i rootkit, software invisibili nati in seno all'ambiente Unix con l'obiettivo di ottenere indisturbati privilegi di "root" sul sistema, erano meno comuni di quanto siano oggi tra gli autori di schifezzaware.

F-Secure si spinge quasi al punto di accollare a Sony la responsabilità di aver portato all'attenzione del cybercrime la tecnica dei rootkit: "Non è chiaro se l'ascesa dei rootkit si sarebbe mai potuta verificare in questi ordini di grandezza senza la pubblicità del caso Sony BMG", si legge sul weblog della security enterprise scandinava.

Per cercare di mitigare la "bomba" mediatica, l'analista di F-Secure concede a Sony le classiche buone intenzioni di voler forse difendere i dati di autenticazione della chiavetta USB, su un prodotto che ad ogni modo risulta di vecchia produzione e di difficile reperimento sul mercato. Ciò nonostante gli stick della serie Micro Vault risultano ancora in vendita nei negozi, e "le tecniche di invisibilità simil-rootkit non sono la strada giusta" per proteggere dati sensibili come quelli usati per l'identificazione delle impronte digitali come ipotizzato da F-Secure. Interpellata sulla questione, Sony non ha ancora risposto alle richieste di chiarimenti della società.

Il caso Bioshock

Non bastasse l'analisi proveniente dalla fredda penisola nord-europea ad impensierire Sony, si parla di rootkit anche nel caso del videogame di recente uscita Bioshock: la versione per PC del capolavoro annunciato di 2K Boston/2K Australia (ex-Irrational Games) fa uso della tecnologia DRM SecuROM di proprietà della casa nipponica, messa sotto accusa per l'installazione di chiavi "sospette" all'interno del registro di configurazione di Windows.

L'allarme rootkit, almeno in questo caso, è poi rientrato: la DRM SecuROM usata su Bioshock, per quanto sia una protezione problematica per gli acquirenti legittimi e dalla efficacia tutta da dimostrare nel contrastare l'azione di hacker e pirati, non nasconde in effetti né file né altro sul sistema.

Alfonso Maruccia
44 Commenti alla Notizia L'accusa: quel rootkit l'ha voluto Sony
Ordina
  • e se i "dati sensibili" non li posso recuperare, per esempio i codici o listati di miei programmi?Chi può valutare i danni che ho patito?un giudice che magari non capisce un c.... di informatica?Si dirà che un magistrato si affiderebbe ad un perito informatico.Si perchè un perito sarebbe in grado di quantificare quello che è chiamato "prodotto dell'intelletto?".SIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIIII!!!
  • Basti dire questo per valutare il rootkit di Sony.
  • E a che pro Sony fa tutto questo??
    Passi anche il cd (per modo di dire, è ovvio!) ma quando uno acquista una pen drive non vedo in che modo possa poi violare qualche diritto d'autore usando una stick usb...
  • PI> Il CD integra all'interno di Windows un driver che mimetizza una sottocartella di "c:\windows\", rendendo la suddetta invisibile alle comuni API di sistema. La cartella è ancora accessibile dalla shell testuale (il vecchio "prompt dei comandi"), e in essa è possibile creare ed eseguire file di programma che risultano perfettamente camuffati ad occhi indiscreti, antivirus e utenti.

    Scusate, ma un virus deve per forza aspettare che ci sia questa sottocartella di windows per installarsi? Se non c'è quella del driver sony il virus ne può creare una identica o a fantasia. Non capisco quale problema di sicurezza in più si può avere con una cartella nascosta.
    non+autenticato
  • contenuto non disponibile
  • > Scusate, ma un virus deve per forza aspettare che
    > ci sia questa sottocartella di windows per
    > installarsi?
    No, il virus per istallarsi non ha bisogno di questa ipotetica cartella, chiamiamola XXX. Pero' il rootkit fa' in modo che la cartella c:\windows\XXX sia INVISIBILE alle API di Windows, le stesse che sono usate dagli antivirus per fare il browse delle cartelle di sistema da scanzionare. Se la cartella c:\windows\XXX per Windows non esiste, l'antivirus evitera' tranquillamente di passarla al setaccio per eventuali immondizie.

    >Se non c'è quella del driver sony il virus ne può creare una identica o a fantasia.
    Non proprio. Nel senso. Quel programma tu devi per forza eseguirlo se vuoi eseguire il gioco, e molte volte per la gestione skifosa dei permessi di windows bisogna istallarlo come utente "privilegiato" che quindi puo' scrivere dove vuole. Un virus invece nella "auspicabile" ipotesi che normalmente si usi un utente NON privilegiato non potrebbe andare a scrivere in quelle cartelle e/o modificare le API di sistema. Certo se uno normalmente usa un itente tipo administrator ed esegue tutti gli exe e pdf che gli arrivano per posta .....

    > Non capisco quale problema di sicurezza in più si
    > può avere con una cartella
    > nascosta.
    Una cartella nascosta non e' una cartella che tu marchi come "nascosta" dall'esplora risorse o "+h" con un attrib. In questo caso una cartella nascosta e' nascosta al sistema operativo. Il sistema operativo quando fa' il browse delle cartelle chiama delle API di sistema che sono le responsabili di "istruire" il sistema operativo stesso di quali e quanti file ci sono. Anche gli antivirus, o gli antirtrojan usano questo sistema. Se le API vengono modificate per fare in modo che una certa cartella non venga vista, i vari applicativi si comporteranno come se quella cartella non esistesse, quindi neanche scansionandola da virus e trojan.

    Per questo e' un rischio per la sicurezza. Quella cartella c'e', e' accessibile, ma il sistema operativo non la vede. Puoi istallarci programmi e stare tranquillo che gli antivirs li dentro non ci entreranno mai.

    Scusa se sono stato un po' confusionarioSorride
  • Tutto questo andrebbe sommato alla volontà di Microsoft di accettare, in vista, solo driver digitalmente firmati. Idea notevole, molto in salsa TC, giusto per togliere all'utente qualsiasi libertà.
    Così domani io, povero cane, non potrò installare un driver da me sviluppato perchè non firmato, ma Sony potrà inzuppare il mio pc di tutti o rootkit che vuole, tanto lei, la firma, ce l'ha.
    non+autenticato
  • contenuto non disponibile
  • Magari.
    Sarebbe bello, se fossi tu a decidere quali certificati accettare e quali no. Una delle beffe del TC, non è l'utente a scegliere cosa voglia o cosa no, ma le aziende che stanno dietro al TCG.
    non+autenticato
  • contenuto non disponibile
  • Non l'ho visto, ma lo ipotizzo.
    Mi spiego meglio: il TC per avere senso deve ammettere che l'utente non possa scegliere di testa sua. Questo è un punto fondamentale, perchè, altrimenti, cadrebbe tutta l'impalcatura. O meglio, se potessi io decidere cosa accettare o cosa no potrei sbagliare, installare un driver firmato da chicchessia e compromettere il sistema.
    Invece il TC non ti da questa possibilità, qualcuno sceglie per te cosa è giusto e cosa no.
    Bene, questo qualcuno è il TCG e, guarda caso, Sony ne fa parte.
    Non ho avuto il piacere di sperimentare Vista, ma non mi sorprenderei se la firma digitale di sony fosse "trusted" di defualt o, magari in un futuro prossimo, non lo diventasse.
    La possibilità che tu scelga non è prevista da una architettura TC solida.
    non+autenticato
  • contenuto non disponibile
  • Rileggendo mi sono accorto di non aver centrato appieno il problema.
    Quello che volevo dire supera la possibilità che uno possa o non possa scegliere il driver di installare o da scartare, ma che la firma digitale vuol dire solo che qualcuno considera lecite le azioni di una certa softwear house.
    Domani potrebbe essere sun, per non dire imb o qualisasi altra big, a piazzare un rootkit in un driver. A quel punto, ignaro del contenuto del driver, accetterai di installarlo, dopo cosa farai?
    Firmare digitalmente i driver non ci permette di poter scegliere distinguendo fra un produttore o un altro, ma da la falsa percezione di sicurezza.
    non+autenticato
  • contenuto non disponibile
  • Quasi tutto esatto. Ma la firma digitale non è un contratto di fiducia, è l'assicurazione che mi da un ente certificatore esterno sulla bontà di una certa azienda. Questo è.

    Ma non mi da alcuna garanzia sul file-driver-prodotto che sto eseguendo.

    Se non mi fido di M$ non compro da lei. Corretto. Almeno finchè me ne viene lasciata la possibilità. In realtà non tutto va proprio in questo modo. Voglio un portatile? Devo comperare Vista (sappiamo quanto sia difficile non farlo per vari motivi). Qui casca l'asino: la mia libertà di scelta è subordinata al mercato. Il mercato vuole Vista? Anche io devo passare a Vista, prima o poi, col tempo, storcendo il naso. Non c'è linux che tenga (c'è un articolo interessante su PI), se la concorrenza è sleale prima o poi dovremo cedere. Ma questo è un altro discorso.

    Non critico il concetto che sta alla base della firma digitale, ma l'uso che se vuole fare. Se fosse come dici tu sarebbe bello e comodo, la realtà è diversa.

    Se vogliamo fare un paragone azzardato il TC è un po' lo specchio della GPL3: divide il mondo fra buoni o cattivi.

    Domani (o oggi) perchè dovrebbe essere possibile scegliere se installare o no un driver firmato da una ditta che il mio sistema ritiene fidata? Questo non me lo assicura nessuno.
    non+autenticato
  • contenuto non disponibile
  • Sui processori made in linux o seri dubbi. Innanzi tutto perchè meno performanti. Poi per i costi di produzione. Un conto poi è far software, un altro hardware.

    Bene, vedo che siamo quasi d'accordo, solo che io vedo la storia della fiducia come una grande fregatura, tu come un'opportunità.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)