My RSS Feeds
Samenvatting van een PR-nachtmerrie
Op 31 oktober 2005 maakte één van de grote helden van het Windows systeembeheer, Mark Russinovich van SysInternals, in dit artikel bekend dat hij min of meer per ongeluk met zijn rootkit scanner een rootkit genaamd XCP van First4Internet op daardoor beschermde Sony BMG audio CD's ontdekt had.
Dat niet alleen. En passant werd op SysInternals nog vermeld dat bleek XCP nog eens bijzonder slecht geprogrammeerd te zijn, waardoor computers enorm veel gevaar liepen door de grote beveiligingsgaten die er in zaten. Daarnaast maakt de rootkit de PC onnodig veel trager en zijn er nog een aantal trucs en misleidingen ingebracht om te voorkomen dat zelfs de bovengemiddelde gebruiker onraad ruikt.
Deze twee feiten waren genoeg om het internet aan het buzzen te krijgen. Meer mensen doken op en in het verhaal en vanaf daar begonnen de zaken progressief erger te worden voor SonyBMG, niet in de laaste plaats dankzij hun eigen reacties. De buzz begon een roar te worden.
In de haast werden er op 3 november een patch en een uninstaller geschreven en "vrijgegeven". Het was echter voor normale mensen nagenoeg onmogelijk om de uninstaller te pakken te krijgen, en voor diegenen die het wel lukte moest er eerst een menselijke authorisatie van SonyBMG komen. Daarnaast bleek nog eens klip en klaar dat de EULA van SonyBMG niet alleen niets vermeldde over XCP, maar zelfs helemaal stil bleef over het installeren van software en (zo naar later bleek) het communiceren over het internet van wie-weet-wat. In de release notes van Sony werd ronduit gelogen over de gevaren van de rootkit
Het volgende artikel van Mark Russinovich op SysInternals op 4 november maakte de zaken alzo nog veel erger. De roar begon een beving te worden terwijl duizenden en duizenden mensen kennis begonnen te nemen van het XCP-verhaal. Het begon mainstream te worden, en dat was héél slecht nieuws voor Sony. Met het hele internet hijgend in hun nek werd diezelfde dag op NPR dit interview gegeven, waarin Thomas Hesse, President van Sony Global Digital Business, letterlijk stelt: "Most people, I think, don't even know what a rootkit is, so why should they care about it?".
Dat was olie op het vuur en de beving begon heel snel uit de hand te lopen.
In de tussentijd waren alle antivirusfirma's op de hoogte gekomen van de problemen en begonnen hun software aan te passen op de detectie van XCP.
De patch daarentegen bleek zo haastig in elkaar gedraaid dat de zaken er alleen maar door verergerd werden. Binnen een paar uur na het uitkomen van de patch bleek al dat de patch onveiliger was dan de originele software en zowieso naast het "de-rootkitten" van de rootkit nog een compleet nieuwe poging installeerde ook..
Nadat de eerste script-kiddy virussen gevonden werden die gebruik wisten te maken van SonyBMG's rootkit reageerde Sony (eindelijk) op 12 november met het "tijdelijk" stoppen van de productie van XCP-CD's. In de tussentijd waren er al enkele rechtszaken aangekondigd, en kwam ook de EULA van SonyBMG in een wel heel verkeerd voetlicht te staan. XCP bleek notabene zelf bewust inbreuk te maken op een licentie, namelijk de GPL voor het gebruik van onder andere LAME. Vervolgens begon men de andere CD-beveiliging die Sony inzet, MediaMax van Suncomm, af te kraken. Ook die software bleek nogal wat omstreden methodes en programmatuur te gebruiken, en bleek daarnaast nog eens, zelfs na het afwijzen van de EULA, automatisch geïnstalleerd én gedraaid te worden. En ook daar bleek de uninstaller het probleem alleen nog maar ernstiger te maken. Langzamaan begon Sony dieper in de stront weg te zinken en na nog een paar dagen van dramatisch negatieve pers besloten ze op 16 november eindelijk om de hoognodige knieval te maken.
Ook aan de andere kant van de muziekdistributie begon het nu hard te rommelen. Fans begonnen te klagen én te boycotten, wat een zeer duidelijke en sterke daling in verkoopcijfers tot effect had. In de tussentijd had Gartner (dé Gartner ja) een simpele, doch bijzonder effectieve tegenmethode gebruikt, die al meegaat sinds het begintijdperk van de CD.
De nachtmerrie is nog lang niet over. Vandaag werd duidelijk dat F-Secure SonyBMG al in september op de hoogte had gesteld van het probleem, en dat ze er niets serieus aan gedaan hebben. Inmiddels kun je zelfs al MP3's krijgen van de betreffende CD's, en de laatste opwinding gaat er over dat de bewuste CD's nog gewoon in de winkel liggen. Aan de rij rechtszaken kunnen we nu ook nog de beruchte naam Elliot Spitzer toevoegen.
Het ergste eraan is nog dat SonyBMG nog steeds niet eens heeft toegegeven dat ze ongelooflijk fout zaten, ofschoon dat waarschijnlijk te wijten is aan de enorme juridische implicaties van zo'n bericht. Los daarvan, Sony heeft het al eens eerder geprobeerd, en ze proberen het met BluRay nu meteen goed te doen. Ook voor audio CD's zou ik er niet op rekenen dat dit het laatste is wat we van Sony gaan horen. Daarom verdienen ze het stempeltje "Evil" met verve. Verder blijft het maar even afwachten hoe dit gaat terugslaan op de verkopen en op de PlayStation 3.
En natuurlijk verdient Mark Russinovich van SysInternals een zaligverklaring voor zijn ontdekking en de rel die daarop volgde. Het is duidelijk dat er een heel stuk beter over nagedacht wordt op dit moment, en dat het echt niet zomaar meer over gaat waaien.
