'Sony BMG wist eerder van problemen rond DRM-software'

Bijna vier weken voordat de eerste berichten op het web verschenen omtrent de rootkit-achtige aard van de beveiliging op sommige muziek-cd's van Sony BMG, wist het management van de joint venture van Sony en Bertelsmann dat er problemen met de DRM-software waren, zo is gebleken. Ondanks dat men een smeulend lontje onder de neus had gekregen, heeft het muziekbedrijf niet weten te voorkomen dat het DRM-vuurwerk nog geen maand later zou exploderen met alle nare gevolgen van dien. En het einde van deze nachtmerrie lijkt nog steeds niet in zicht.

Inmiddels worden rechtszaken tegen het bedrijf aangespannen - onder andere door de Amerikaanse staat Texas, beschuldigt een Homeland Security-chef Sony ervan computerveiligheid te ondermijnen, en is inmiddels ook de roemruchte New Yorkse procureur Spitzer op de kwestie gedoken. Gebleken is dat een week nadat Sony BMG verklaarde alle gewraakte muziek-cd's uit de schappen te halen, er nog steeds exemplaren te koop te zijn bij zaken als Wal-Mart, BestBuy, Virgin Megastore en andere winkels, terwijl de kerstslingers er al zijn opgehangen. Spitzer adviseert consumenten de cd's niet te kopen of ze anders terug te geven aan de leverancier en oefent ondertussen druk uit op Sony BMG. De muziekmaatschappij 'bedankt de procureur voor diens ondersteunende inzet bij de inspanningen die getroost worden de cd's terug te nemen'. De platenbazen zeggen alle winkels te hebben verzocht de cd's weg te halen en dat er inmiddels een vervolgmail wordt rondgestuurd die het verzoek herhaalt.

KerstcadeautjeNaast het opgelopen gezichtsverlies, de schadepost van de omruilactie en de dreiging van schadeclaims door staten en consumentenbelangenverdedigers, lijden ook de betrokken artiesten schade. Naast het risico dat een 'smet' hun imago misschien aantast, voortvloeiend uit de mogelijke associatie met de heikele DRM-kwestie, dalen ondertussen de verkoopcijfers en hitlijstposities van sommige gewraakte cd's. Die verkoopdaling is het directe gevolg van een tekort aan DRM-loze vervangings-cd's, nodig voor de omruilactie, wat vlak voor de feestdagen zeer ongelegen komt. Heeft Sony BMG te traag gehandeld en welke fout(en) heeft het bedrijf gemaakt zijn vragen die zich opdringen.

Het Finse antivirusbedrijf F-Secure zegt Sony op 4 oktober op de hoogte te hebben gebracht van problemen rond de DRM-beveiliging, nadat de Finnen op 30 september op hun beurt hierop gewezen waren door een buitenstaander. John Guarino, eigenaar van het tweemansbedrijfje TecAngels dat onder meer computers repareert in de New Yorkse wijk Manhattan, was al maanden regelmatig bezig met het verwijderen van 'rootkit'-achtige bestanden van pc's van klanten. Op 30 september kreeg Guarino zijn aha-erlebnis, toen hij een cd van Amerie op zijn laptop wilde afspelen en de bevestiging kreeg dat de software van Sony BMG afkomstig was. Hij stuurde daarop een e-mail naar de F-Secure, omdat zij de makers waren van de door hem gebruikte rootkit-detectiesoftware. F-Secure waarschuwde vervolgens per e-mail Sony DADC, waar de bewuste muziek-cd's geperst werden, op 4 oktober van de aanwezigheid van een mogelijke rootkit in de XCP software.

Cd-label van Sony's DRMDrie dagen later werd deze mail doorgestuurd naar Sony BMG. Volgens Sony BMG-directeur Thomas Hesse wees niets in de e-mail van F-Secure erop dat de door First4Internet geleverde software ondeugdelijk zou zijn, ondanks dat de term 'rootkit' gebruikt werd. 'Het leek te gaan om een routinekwestie', aldus Hesse. Sony BMG trok desalniettemin bij First4Internet aan de bel en vroeg de DRM-makers de zaak te bekijken. Zowel Sony BMG als F-Secure bevestigen dat op 17 oktober het antivirusbedrijf voor het eerst de - 'potentieel grote' - risico's rond de rootkit-eigenschappen in de DRM-software volledig uit de doeken deed, in een rapport dat die dag naar zowel Sony als First4Internet gestuurd was. Sony BMG zegt beide softwarebedrijven te hebben verzocht een oplossing te bedenken: 'Onmiddelijk nadat we gewezen waren op de veiligheidsrisico's, hebben we First4Internet in niet mis te verstane bewoordingen gezegd samen met F-Secure uit te zoeken wat er nodig is het euvel te verhelpen', aldus Sony BMG-raadsman Danil Mandil.

Wat er daarna precies gebeurde is minder duidelijk. Op 20 oktober had F-Secure een telefonische vergadering met First4Internet, weet BusinessWeek. De DRM-makers zouden in eerste instantie - althans zo beweert F-Secure - de urgentie van het 'probleem' hebben gebagatelliseerd, omdat slechts weinig mensen van de kwetsbaarheid van de XCP-software op de hoogte zouden zijn en men begin 2006 met een vernieuwde versie zou komen die het probleem op toekomstige cd's zou verhelpen. First4Internet wilde hierop aan BusinessWeek geen commentaar geven en Sony BMG zegt niet te weten wat er precies wel of niet gezegd is, omdat er geen Sony-medewerkers aan het groepsgesprek deel hadden genomen. Daarna vond een soortgelijke bespreking plaats tussen F-Secure en Sony BMG. Volgens F-Secure leek de muziekfirma niet bereid iets aan de reeds in omloop zijnde cd's te doen. 'We wezen ze erop dat het om een groot veiligheidrisico ging, maar ze namen dat niet serieus. Ze wilden het probleem stil houden', aldus Santeri Kangas, directeur research bij F-Secure, die het gesprek had gevoerd. Sony BMG betwist die weergave.

Volgens Sony BMG-woordvoerder zijn beide softwarebedrijven bij elkaar gebracht 'om een oplossing te bedenken, een patch die vanzelfsprekend zou leiden tot een publieke bekendmaking'. Het bedrijf was van plan zo snel mogelijk via een te downloaden software patch te dichten. Na de 20e oktober maakten de twee overleggende softwarefirma's echter weinig voortgang, wat te wijten zou zijn aan onenigheid over een geheimhoudingsverklaring. Terwijl F-Secure besloot gedurende de onderhandelingen te zwijgen over de 'rootkit'-risico's, had Mark Russinovich, die het XCP-probleem eigenhandig ontdekt had, andere overwegingen en begon op 31 oktober de noodklokken te luiden. Niet alleen bereikte hij daarmee waakzaamheid bij (een deel van) het geschrokken publiek; nog geen week later waren de eerste virussen die misbruik maakten van de kwetsbaarheid verschenen, evenals Sony BMG's softwarepatch. Een grootschalige virusuitbraak is uitgebleven, maar de 'collateral damage' voor Sony BMG en anderen daarentegen niet, net zo min als de evidente waarschuwing aan het adres van bedrijven die soortgelijke DRM-plannen in de koker hebben. Sony BMG zegt dat de hele affaire te analyseren, om te onderzoeken waar het precies mis is gegaan en wat men eventueel anders had moeten doen.

Door Jack Leenders

Feedback • 30-11-2005 23:14 59

30-11-2005 • 23:14

59

Bron: BusinessWeek

Lees meer

Duitse koper van rootkit-cd van Sony krijgt schadevergoeding
Duitse koper van rootkit-cd van Sony krijgt schadevergoeding Nieuws van 14 september 2009
Sony mag Bertelsmanns aandelen in Sony BMG overnemen
Sony mag Bertelsmanns aandelen in Sony BMG overnemen Nieuws van 16 september 2008
F-Secure: Sony gebruikt nog software met rootkitkenmerken
F-Secure: Sony gebruikt nog software met rootkitkenmerken Nieuws van 28 augustus 2007
Sony klaagt ontwikkelaar drm-software aan
Sony klaagt ontwikkelaar drm-software aan Nieuws van 13 juli 2007
Geslachte geit voor promo Sony-game valt verkeerd
Geslachte geit voor promo Sony-game valt verkeerd Nieuws van 1 mei 2007
Sony: problemen met dienstweigerende dvd's zijn opgelost
Sony: problemen met dienstweigerende dvd's zijn opgelost Nieuws van 18 april 2007
Sony schikt rootkitzaak met Amerikaanse overheid
Sony schikt rootkitzaak met Amerikaanse overheid Nieuws van 30 januari 2007
Sony zet vaart achter 'rootkit'-schikkingen
Sony zet vaart achter 'rootkit'-schikkingen Nieuws van 22 december 2006
Sony schikt 'rootkit'-zaak in Californië en Texas
Sony schikt 'rootkit'-zaak in Californië en Texas Nieuws van 20 december 2006
Microsoft neemt Winternals en Sysinternals over
Microsoft neemt Winternals en Sysinternals over Nieuws van 18 juli 2006
Platenhandel Virgin beboet wegens piraterij
Platenhandel Virgin beboet wegens piraterij Nieuws van 29 juni 2006
Rechter keurt Sony 'rootkit'-schikking goed
Rechter keurt Sony 'rootkit'-schikking goed Nieuws van 23 mei 2006
EFF 'helpt' Sony met DRM-schikking
EFF 'helpt' Sony met DRM-schikking Nieuws van 13 maart 2006
Controversiële beveiliging ontdekt op Duitse video-dvd's
Controversiële beveiliging ontdekt op Duitse video-dvd's Nieuws van 16 februari 2006
Verdonk en Sony 'winnen' Big Brother Award
Verdonk en Sony 'winnen' Big Brother Award Nieuws van 29 januari 2006
Apple tweakt iTunes wegens privacyophef
Apple tweakt iTunes wegens privacyophef Nieuws van 19 januari 2006
Symantec roept op tot definitie 'rootkit'
Symantec roept op tot definitie 'rootkit' Nieuws van 16 januari 2006
Voorlopige goedkeuring voor schikking in DRM-zaak Sony
Voorlopige goedkeuring voor schikking in DRM-zaak Sony Nieuws van 9 januari 2006
Sony lijkt te schikken in rechtszaak rond DRM-software
Sony lijkt te schikken in rechtszaak rond DRM-software Nieuws van 29 december 2005
Mark Russinovich getuige-deskundige in DRM-zaak Sony
Mark Russinovich getuige-deskundige in DRM-zaak Sony Nieuws van 2 december 2005
Staat Texas klaagt Sony BMG aan omwille van spyware
Staat Texas klaagt Sony BMG aan omwille van spyware Nieuws van 22 november 2005
Sony 'schendt zelf rechten', belooft onbeveiligde cd of mp3's
Sony 'schendt zelf rechten', belooft onbeveiligde cd of mp3's Nieuws van 21 november 2005
EMI: 'DRM-beschermde cd op iPods mogelijk', Apple ontkent
EMI: 'DRM-beschermde cd op iPods mogelijk', Apple ontkent Nieuws van 18 november 2005
Sony neemt cd's terug, DRM-uninstaller onveilig gebleken
Sony neemt cd's terug, DRM-uninstaller onveilig gebleken Nieuws van 16 november 2005
Sony's DRM-problemen stapelen zich op
Sony's DRM-problemen stapelen zich op Nieuws van 13 november 2005
Sony stopt voorlopig met gebruik controversiële DRM
Sony stopt voorlopig met gebruik controversiële DRM Nieuws van 12 november 2005
Sony's DRM 'is virus', meer rechtszaken aangespannen
Sony's DRM 'is virus', meer rechtszaken aangespannen Nieuws van 10 november 2005
Sony's DRM-implementatie zou Lame-code plagiëren
Sony's DRM-implementatie zou Lame-code plagiëren Nieuws van 10 november 2005
Sony patenteert DRM die content aan hardware vastlegt
Sony patenteert DRM die content aan hardware vastlegt Nieuws van 9 november 2005
Sony in Italië aangeklaagd wegens 'rootkit'-beveiliging
Sony in Italië aangeklaagd wegens 'rootkit'-beveiliging Nieuws van 8 november 2005
Sony's DRM-maker verdedigt zijn methodes
Sony's DRM-maker verdedigt zijn methodes Nieuws van 6 november 2005
'Verwijderen Sony-rootkit kan Windows laten crashen'
'Verwijderen Sony-rootkit kan Windows laten crashen' Nieuws van 5 november 2005
Sony's rootkit helpt World Of Warcraft-cheaters
Sony's rootkit helpt World Of Warcraft-cheaters Nieuws van 4 november 2005
Sony komt met patch tegen zijn DRM-'rootkit'
Sony komt met patch tegen zijn DRM-'rootkit' Nieuws van 2 november 2005
Beveiligde Sony-cd verstopt bestanden op pc
Beveiligde Sony-cd verstopt bestanden op pc Nieuws van 1 november 2005
Sony BMG en EMI opnieuw met kopieerbeveiligde cd's
Sony BMG en EMI opnieuw met kopieerbeveiligde cd's Nieuws van 21 juni 2005
Sony test nieuwe kopieerbeveiliging voor audio-cd
Sony test nieuwe kopieerbeveiliging voor audio-cd Nieuws van 31 mei 2005
Philips, Sony en anderen gaan samen DRM ontwikkelen
Philips, Sony en anderen gaan samen DRM ontwikkelen Nieuws van 19 januari 2005
Philips en Sony werken aan open DRM-standaard
Philips en Sony werken aan open DRM-standaard Nieuws van 17 december 2003
Meer producten en artikelen
Wetenschap

Reacties (59)

-Moderatie-faq
59
57
41
17
2
9
Wijzig sortering

Sorteer op:

Weergave:
familyman 1 december 2005 00:55
Blijf het grappig vinden dat ze het in een patch-variant bleven zoeken. Beetje zoals veel spellen de laatste tijd die te snel op de markt komen en dus pas na patch 2 of 3 echt stabiel speelbaar worden voor de massa.

Verwachten ze van gebruikers nu echt dat ze na het afspelen van een nieuwe CD eraan denken om op www.sony.com na te gaan of er wellicht reeds een patch voor hun CD ligt te wachten op download?

"Nee ik ga nog niet over op de nieuwe van ..., ik wacht eerst wel wat andere gebruikers ervan zeggen en als het eerste SP er is ga ik over"

En zeg niet dat dit heel onwaarschijnlijk is. Als ze deze beveiliging zo zoeken, lijkt het me waarschijnlijk dat ofwel de patch de boel beter zou hebben verborgen ofwel dat er op volgende cd's gewoon een nieuwe versie van de rootkit zou komen te staan, waarna het in deze post beschreven circus gewoon weer opnieuw zou beginnen.
Verwijderd @familyman1 december 2005 10:48
De software legde contact met sites van Sony en F4, onder andere om album art binnen te halen.
Maar het is niet ondenkbaar dat er in de bestaande rootkit ook en auto-update functionaliteit zit.
SED 30 november 2005 23:22
Niet alleen bereikte hij daarmee waakzaamheid bij (een deel van) het geschrokken publiek; nog geen week later waren de eerste virussen die misbruik maakten van de kwetsbaarheid verschenen
Zal voor sommigen wel als een schock komen maar security by obscurity is dus lang niet altijd een verkeerde benadering.
Je vraagt je wel af of F-secure hier goed gehandeld heeft. Hadden zijn kort na de vondst niet een tijdpad moeten stellen aan Sony om de problemen te repareren. Een maand is een fikse tijd...
blouweKip @SED30 november 2005 23:59
Zal voor sommigen wel als een schock komen maar security by obscurity is dus lang niet altijd een verkeerde benadering.
Ten dele, ten eerste zou de schade groter zijn geweest als er wel iemand toevallig achter zou zijn gekomen (wat niet eens zo ondenkbaar zou zijn geweest), ten tweede geeft de opstelling van de rootkitmakers en sony aan dat de extra publiciteit helaas noodzakelijk was om sony er wat aan te laten doen.

Daarnaast is het natuurlijk mooi dat het grote publiek door de commotie nu een goed beeld heeft gekregen van al die buitenproportioneel zware DRM maatregelen en het gebrek aan ethiek bij de muziek maffia.

Aangezien er nauwelijks schade lijkt te zijn van legaal en illegaal kopieren en DRM dus geen effect heeft op de verkopen (iig niet positief) wordt mensen misschien wat meer duidelijk dat DRM alleen maar dient om de vrije markt en de keuze voor de consument in te perken..
voodooless @SED30 november 2005 23:43
Tja, misschien heeft Sony ook wel met rechtszaken gedreigt als ze verlies zouden leiden door de negatieve berichten die F-Secure zou gaan verspreiden...
Verwijderd @SED1 december 2005 00:22
Kijk, als je een groot bedrijf bent, cq een aardig bedrijfje hebt, dan kan ik me voorstellen dat je voorzichtig bent tegen een gigant als Sony.

F-Secure is gewoon voorzichtig geweest, maar werkte er wel aan. Ik vermoed dat ze middels de al gevoerde gesprekken wat informatie verkregen hadden waar in een rechtzaak naar verwezen had kunnen worden. Op de manier dat Sony aan F-Secure in een gesprek bepaalde details had toevertrouwd. Als je dat laatste op die manier wordt opgevoerd in een rechtzaal, dan kan ik me voorstellen dat een dergelijke beschuldiging de vertrouwenspositie van F-Secure ondermijnd.

Wees blij dat er personen als Mark Russinovich rondlopen en gewoon de bevindingen 'gemeld' hebben. alles is openbaar en moker treft zijn doel wel :Y)
Olaf van der Spek @SED1 december 2005 00:23
Zal voor sommigen wel als een schock komen maar security by obscurity is dus lang niet altijd een verkeerde benadering.
Hoezo niet? Het is altijd een verkeerde benadering. Het is gewoon schijnveiligheid. Je denkt dat je veilig bent terwijl er gewoon gaten in je systeem zitten.
Niet gelijk publiceren van een lek is trouwens geen security by obscurity.
Verwijderd @SED1 december 2005 13:17
"een tijdpad moeten stellen aan Sony om de problemen te repareren"

Hoe te repareren? Sony heeft honderduizenden PC's besmet met hun malware. Dit is immoreel en illegaal.
Rembert 1 december 2005 01:52
Ik dacht dat virusscanner software makers nieuwe virussen, trojans, rootkits, worms enz. altijd moeten melden op een centraal viruslab? Waarom heeft F-Secure dit niet gedaan? Vrij stom want nu worden ze meegesleurd in de vrije val van Sony BMG.

Kunnen artiesten nu weg bij Sony BMG vanwege kontraktbreuk en/of image-schade?
Pietervs @Rembert1 december 2005 11:23
Ik dacht dat virusscanner software makers nieuwe virussen, trojans, rootkits, worms enz. altijd moeten melden op een centraal viruslab? Waarom heeft F-Secure dit niet gedaan?
Denk dat er meerdere redenen voor waren:
- het is geen rootkit, maar een DRM. Het feit dat die zooi zich als rootkit gedraagt wil niet zeggen dat het er ook één is
- F-Secure is het overleg aangegaan met Sony, omdat zij er verantwoordelijk voor zijn. Sony heeft op zijn beurt weer First4Internet aangesproken, ook weer in overleg met F-Secure. Daardoor kan bij F-Secure de indruk ontstaan zijn dat Sony er wel degelijk iets mee aan het doen was (wat ik overigens betwijfel, maar goed)...
- aangezien het geen "malicious" code was, maar bedoelt om een stukje beveiliging te implementeren heeft F-Secure het (in eerste instantie) niet als virus aangemerkt. Het feit dat er ondertussen allerlei idioten er misbruik van maken kunnen zij natuurlijk niets aan doen (hoewel ze dat wel aan hadden kunnen zien komen...).
Verwijderd @Pietervs1 december 2005 13:24
het is geen rootkit, maar een DRM. Het feit dat die zooi zich als rootkit gedraagt wil niet zeggen dat het er ook één is

Oh nee, dat gaat niet op.
Sony heeft een rootkit geschreven die zich zonder toestemming van de gebruiker installeerd, altijd actief blijft (ook als de CD weg is) en zijn aanwezigheid verbergt.
Er is geen verschil met gelijk welke andere malware, behalve het motief waar ik persoonlijk geen zaak mee heb.

- aangezien het geen "malicious" code was, maar bedoelt om een stukje beveiliging te implementeren

Beveiliging van wat? Och ja, Sony's bezit, niet het jouwe.
Als crackers een achterdeur installeren op jou PC voor een nobel doel (Seti@home), is hun actie daarom OK?

Sony's malware maakt een systeem kwetsbaar om hun muziek te beschermen (wat die trouwens neit doet). Andere malware maakt van je PC een spam relay om iemands marketing door te sturen. In essentie is er geen verschil, jou apparatuur wordt overgenomen om hun doel te dienen, niet het jouwe.
AuteurCookie @Verwijderd1 december 2005 17:42
die zich zonder toestemming van de gebruiker installeerd,
Nietus, zie ook http://tweakers.net/react...=Posting&ParentID=1474649
Verwijderd @Verwijderd2 december 2005 12:05
1# EULA zijn enkel geldig indien ze voor de aankoop gelezen en goedgekeurd zijn. Als je in dit geval de EULA wil afwijzen krijg je geen refund voor je aankoop

2# De CD en EULA vermelden DRM, maar niet dat die software zich op driverniveau op je PC indringd. Er wordt ook niet vermeld dat die daarna altijd in de achtergrond draait en zichzelf verbergd.
Als de CD bij het insteken een ingebouwde player lanceerde (van de data-track) en die was weg bij het uitnemen van de PC zou je gelijk hebben.

Hoe het ook zij, het gebruik van DRM (waar ik op zich al geen voorstander van ben) is geen excuus voor het gebruik van rootkits, of het stelen van GPL code:
http://linux.be/index.pht...=linux.news&s_s=4&dt=1024
AuteurCookie @Rembert1 december 2005 12:34
Waarom heeft F-Secure dit niet gedaan?
Op basis van het bericht, misschien om de volgende redenen:

- Het is geen virus, het is een 'kwetsbaarheid' in software die opgelapt moest worden.
- F-Secure kreeg - volgens Sony - de opdracht een oplossing voor de zwakke plek te bedenken in samenwerking met F4I. Het lijkt erop dat F-Secure in Sony en F4I (betalende) opdrachtgevers kon hebben, en een nieuwe klant niet meteen aan de schandpaal wil nagelen.
Verwijderd @Cookie1 december 2005 13:29
- Het is geen virus, het is een 'kwetsbaarheid' in software die opgelapt moest worden

Het is geen virus omdat het een automatische replicatie mist die typisch is voor virussen. Het is een rootkit met een kwetsbaarheid in.

Definitie van een rootkit:
Een stuk software dat door derden zonder je toestemming op je computer geïnstalleerd wordt en zijn aanwezigheid probeert te maskeren.

Doel van een rootkit:
Controle over je computer overdragen aan voorgenoemde derde partij.

Beide voorwaarden zijn vervuld, de software werd geïnstalleerd zonder je toestemming om Sony's muziek te beschermen tegen kopieëren.

Als die nu ook nog informatie zonder je toestemming terugstuurd naar Sony of First4Internet, dan is het nog Spyware ook.
AuteurCookie @Verwijderd1 december 2005 15:33
Beide voorwaarden zijn vervuld, de software werd geïnstalleerd zonder je toestemming om Sony's muziek te beschermen tegen kopieëren.
Waar haal je vandaan dat de software zonder je toestemming geïnstalleerd wordt? Je koopt in dit geval sowieso al een muziek-cd met een sticker erop die zegt dat het beveiligd is - dus als je niet wilt dat Sony die cd beschermt, moet je deze niet kopen - en daarnaast staat er in de EULA dat er software op je pc geïnstalleerd wordt en dat je je daarmee accoord verklaart. Ik denk dat jij in de war bent met het bericht dat de EULA niet vermeldt dat de (DRM-)software zich naderhand niet (goed) meer laat verwijderen, wat iets anders is. Dit wil overigens niet zeggen dat ik dit DRM-avontuur van Sony BMG toejuich ;) .
Cameleon73 1 december 2005 10:51
Ik lees hier zo tussen de reactie's door dat Mark Russinovich zijn ontdekking niet wereldkundig had moeten maken, omdat 'je dan mensen met besmette PC's in gevaar brengt'.

Ik vind dat geen goede benadering. Doordat Mark dit nieuws wereldkundig maakte, gaf hij mensen een keuze: als je een Sony XCP CD koopt loop je een risico. Zonder die informatie zouden nog veel meer mensen die rootkit op hun PC hebben gekregen; nu kunnen ze dit vermijden.

Nou blijkt trouwens dat Sony helemaal niet zo snel met fixes uitbrengen is als in het nieuws blijkt (zie Mark's nieuwste blog). Dus het argument 'dan heeft Sony meer tijd om de problemen op te lossen' gaat in dit geval niet op.... Sony reageert m.i. enorm traag op dit debacle.
Frash 30 november 2005 23:20
Volgens mij hoopte F-Secure gewoon op een flinke smak zwijggeld van Sony BMG. Dat maakt het nog puiker van die Mark Russinovich om er gewoon melding over te maken. Wat valt er nou nog te overleggen als je weet dat er potentieel gevaarlijke code door Sony verspreid wordt? Dit riekt naar een doofpot...
Verwijderd @Frash30 november 2005 23:36
De gebruikelijke methode voor softwarelekken is dat je eerst de producent waarschuwt, dan meehelpt aan een oplossing en daarna pas het probleem én de oplossing bekend maakt.

Hoe lang het mag duren is afhankelijk van de risicos maar het is wel enigszins begrijpelijk dat een melding bij een bedrijf als Sony (wat niet echt een softwarebedrijf is) slechts langzaam doordringt.

Wel is het slecht dat F4I de zaken bagitaliseerde en niet snel aan een oplossing werkte. Ook de actie van Mark Russinovich is natuurlijk niet echt toe te juichen. Binnen een week waren de virussen aangepast volgens zijn specificaties en het is een kwestie van geluk dat F4I al op de hoogte was en snel een patch beschikbaar had. Mark koos voor eigen glorie en nam het risico van een hoop serieuze problemen op de koop toe. Daarentegen volgden John Guarino en F-Secure een route die meer aansluit bij de belangen van de gebruikers van de software. Namelijk optimale veiligheid.

Dat de laatste methode ook tot minder onrust en schade leidt is evident. Dus foei F4I maar ook foei Mark.
foppe-jan @Verwijderd1 december 2005 00:44
goed.. daar niemand het blijkbaar merkt.. het is eXtended Copy Protection.. XCP dus, niet XPC...

voor de rest even een reactie op Pietje hier.. er staat in het artikel toch vrij duidelijkd at het Sony geen fuck kon schelen dat er een beveiligingsprobleem bestond op pc's waar die rootkits op geinstalleerd staan?
Waarom zou Mark dan nog langer moeten wachten met het aan de kaak stellen van dit probleem? naar mijn weten zit er tussen de melding van F-Secure aan Sony, en de eerste melding online door Mark toch meer dan genoeg tijd om die CDs uit de handel te halen, als ze daar inderdaad de behoefte aan hadden gehad.. maar dat hadden ze dus niet.. en dan lijkt het mij dus Jammer Voor Sony, maar eigen schuld, dikke bult
sonix666 @Verwijderd30 november 2005 23:53
Daarentegen is het in mijn opinie juist goed dat die Mark het meteen publiekelijk maakte. Doordat er virussen voor komen wordt het probleem enerzijds erger, maar Sony brand zich er des te harder aan. Hopelijk geeft dit een heel duidelijk signaal af dat DRM meer problemen oplevert dan dat het oplost. En laat de verschillende staten en partijen dat bedrijf maar eens mooi op kosten jagen met rechtzaken, zodat het management bij Sony liever een Amsterdammertje van achteren neemt dan een volgende DRM beveiliging.
Verwijderd @sonix6661 december 2005 10:42
Ik geniet er van dat Sony op z'n donder krijgt, het werd tijd dat de muziek industrie eens in ging zien dat ze niet zomaar van alles kunnen doen.

Als Sony na de melding van F-Secure dezelfde maatregelen had genomen (slechte uninstaller, terugroepen van CD's, etc.) dan was er binnen no-time óók iemand geweest die een snelle analyse had gemaakt van de werking van de rootkit en zou er net zo snel een virus voor zijn geschreven.

De systemen zijn overigens in beide gevallen even kwetsbaar.
Verwijderd @sonix6661 december 2005 13:13
Het is toch hallucinant om te denken dat die rootkit sinds april 2004 PC heeft geïnfecteerd zonder dat een enkele virusscanner die oppikte? Dit zegt veel over ofwel de eerlijkheid ofwel de bekwaamheid van Anti-Virus makers.

Mark heeft de juiste beslissing genomen, en ongeacht het feit dat Sony een patch wou uitbrengen hadden ze niet het recht om PC's te besmetten om mee te beginnen.

Gaan we in de toekomst ook de auteurs van Sober en MyTob eerst contacteren als blijkt dat hun malware een groter beveiligingsgat open doet?
Ge Someone @sonix6661 december 2005 13:36
Door de waarschuwing van M.Russinovich is een grotere besmetting waarschijnlijk voorkomen. Als Sony-BMG niet "op z'n donder" had gekregen zouden die CD's niet uit de handel genomen zijn. Met de door Sony-BMG voorgestelde softwarematige bug fix zou het probleem zich lange tijd voortgesleept hebben.
Verwijderd @sonix6662 december 2005 12:29
2004? Het lijkt meer op sinds afgelopen zomer

"WHICH SONY CDS have DRM implemented? One of our readers, after contacting Sony, was told that the DRM was first installed on Sony CDs since the 1st of April 2004."

http://www.theinquirer.net/?article=27474
Verwijderd @sonix6661 december 2005 10:12
@sonix666:

Wat is volgens jou belangrijker?

De veiligheid van je PC óf dat Sony op z'n donder krijgt?

F-Secure's acties zouden hebben geleidt tot het eerste als Sony er naar had geluisterd, Mark's acties hebben nu het tegenovergestelde bereikt.

Zoals jij het uitlegt lijkt het wel of je er van geniet dat er nu al die virussen en kwetsbare systemen zijn... dat is best ziek.
Verwijderd @sonix6661 december 2005 12:02
Da's een simpele...

Dat Sony op z'n donder krijgt natuurlijk...
PC is zo opnieuw geinstalleerd als er iets mee gebeurt... Dit soort fratsen van Sony kunnen natuurlijk niet.

-R-
TheCapK @sonix6661 december 2005 19:55
Dat Mark de wereld erop attent maakte vind ik alleen maar goed!
Dat Sony/BMG ervoor op hun donder kregen vind ik ook OK!

Ik vind echter wel dat Mark niet alle details vrij had hoeven geven waardoor het veiligheidsrisico kleiner was geweest dan nu het geval was! Nu heeft hij net als Sony/BMG ook niet echt in het belang van de gemiddelde consument gehandeld!

Kortom: Bravo Mark maar we klappen niet!
AuteurCookie @sonix6661 december 2005 22:33
Het is toch hallucinant om te denken dat die rootkit sinds april 2004 PC heeft geïnfecteerd
2004? Het lijkt meer op sinds afgelopen zomer: nieuws: Sony test nieuwe kopieerbeveiliging voor audio-cd en een geheim is het bepaald ook niet geweest.

Je hebt nu meerdere reacties neergezet waarin je het hebt over 'installatie zonder toestemming, en ook de info hierboven deugt blijkbaar niet. Onderbouw eens een keer je uitspraken met feiten of links svp.
AuteurCookie @sonix6668 december 2005 18:37
Er zijn trouwens 2 DRM systemen van Sony die problemen veroorzaken, de First4Internet code (die trouwens gestolen GPL code blijkt te bevatten), en de MediaMax code.
Juist, en waar deze nieuwsposting over gaat is die van F4I. Die is dit jaar geïmplenteerd.
Uittreksel uit de EFF aanklacht
Ook dat onderstreept wat ik bedoel. De installatie van DRM-software wordt namelijk wel degelijk genoemd in de EULA, EFF strijdt alleen tegen het niet vermelden van 'de vervelende eigenschappen en gevolgen' ervan in de EULA. dat is dus net iets anders.
"WHICH SONY CDS have DRM implemented? One of our readers, after contacting Sony, was told that the DRM was first installed on Sony CDs since the 1st of April 2004."
Maar daar staat niet gezegd dat het om de F4I coder gaat, waar deze posting en mijn reacties zich op richten.Het is goed mogelijk dat The Inq-schrijver het heeft over de andere DRM-implementatie, die wellciht eerder is uitgebracht.
Verwijderd @sonix6662 december 2005 11:56
2004? Het lijkt meer op sinds afgelopen zomer: nieuws: Sony test nieuwe kopieerbeveiliging voor audio-cd en een geheim is het bepaald ook niet geweest.

Het juiste aantal geïnfecteerde CD's is niet helemaal duidelijk. Wel is duidelijk dat de lijst die Sony eerst opgaf niet volledig is.

Er zijn trouwens 2 DRM systemen van Sony die problemen veroorzaken, de First4Internet code (die trouwens gestolen GPL code blijkt te bevatten), en de MediaMax code.

installatie zonder toestemming, en ook de info hierboven deugt blijkbaar niet.

http://www.eff.org/IP/DRM/Sony-BMG/

Uittreksel uit de EFF aanklacht:
"which Sony BMG claims to have placed on the music CDs to restrict consumer use of the music on the CDs but which in truth do much more, including monitoring customer listening of the CDs and installing undisclosed and in some cases hidden files on users' computers that can expose users to malicious attacks by third parties, all without appropriate notice and consent from purchasers"
Verwijderd @Verwijderd1 december 2005 06:23
"Dat de laatste methode ook tot minder onrust en schade leidt is evident. Dus foei F4I maar ook foei Mark."

Dit ben ik niet met je eens. Ik zie niet in waarom dit weer in de doofpot had gestopt moeten worden. Sony installeert onaangekondigd een root-kit op je pc. Zelfs als die foutloos had gewerkt hadden ze iets moreel verwerpelijks gedaan en waarschijnlijk zelfs de wet overtreden.
Verwijderd @Verwijderd1 december 2005 10:18
Tuurlijk, Sony is fout bezig geweest. Betekend dit dat je ook maar gelijk de mensen die onwetend zo'n rootkit hebben geïnstalleerd in gevaar moet brengen, of is het beter dit op te lossen op een manier waar ze weinig mogelijk consumenten problemen van zouden ondervinden?

'T ligt er aan wat je belangrijk vind:
1) Beschermen van de slachtoffers.
2) Straffen van de daders.
Verwijderd @Verwijderd1 december 2005 11:21
3) Zorgen dat in de toekomst andere Sony's niet dezelfde truuk proberen.
Durandal @Verwijderd1 december 2005 11:45
Denk je dat, als het niet bekend had geworden, Sony middels nieuwe CDs die troep weer van de PCs zou hebben verwijderd?

Nee natuurlijk niet. Er zou een nieuwe versie van de beveiliging zijn gekomen die misschien minder open stond voor buitenstaanders, maar die nog dieper in je systeem vast zou zitten, zonder jouw kennis en zonder jouw toestemming.
Hulde aan mark.

Mark heeft die troep niet geinstalleerd op je PC, en ook niet geprogrammeerd. Sony is verantwoordelijk voor alle schade en gevolgschade, ook de schade als gevolg van het gebruiken van de rootkit om iemand's PC te invaseren.
Olaf van der Spek @Verwijderd1 december 2005 00:24
Hoe lang het mag duren is afhankelijk van de risicos maar het is wel enigszins begrijpelijk dat een melding bij een bedrijf als Sony (wat niet echt een softwarebedrijf is) slechts langzaam doordringt.
Begrijpelijk? Misschien.
Maar dat is toch compleet irrelevant?
Ze hebben blijkbaar 27 dagen gehad om er zelf iets aan te doen maar dat hebben ze niet gedaan.
Verwijderd @Verwijderd1 december 2005 12:57
"De gebruikelijke methode voor softwarelekken is dat je eerst de producent waarschuwt, dan meehelpt aan een oplossing en daarna pas het probleem én de oplossing bekend maakt."

Dit is inderdaad de gedragscode wanneer iemand een beveiligingslek in software detecteert.

Maar dat is niet de situtatie met de Sony BMG rootkit, we spreken hier over malware die *zonder toestemming van de gebruiker* werd geïnstalleerd, die altijd actief is (en resources verbruikt), zichzelf verbergt en moeilijk te verwijderen is.

De juiste actie van F-secure zou zijn geweest om hier onmiddellijk ruchtbaarheid aan te geven, en tegelijk een virus-patern update uit te geven die deze infectie tegenhield en opruimt.

Sony and First4Internet hebben malware ontwikkeld en geinstalleerd, ik zie hier geen verschil met andere virusschrijvers.
Pietervs @Frash1 december 2005 11:04
Volgens mij hoopte F-Secure gewoon op een flinke smak zwijggeld van Sony BMG
Natuurlijk hoopten ze daar niet op. F-Secure houdt zich bezig met beveiliging. Als zou blijken dat je de waardering van beveiliging kan kopen bij F-Secure, kunnen ze hun deuren wel sluiten want dan is hun geloofwaardigheid ook meteen weg.
damaded 1 december 2005 10:51
Aangezien Sony met voorbedachte rade de rootkit heeft verspreidt, zou ik het niet meer dan terecht vinden indien daar een flinke boete van een half miljard of zo het gevolg van is, zodat meteen duidelijk wordt dat dit eens maar nooit weer mag gebeuren. Temeer omdat men het op allerlei manieren probeert te bagataliseren, danwel onder de pet te houden.

Ik koop in ieder geval geen CD's meer. Voor je eerlijkheid wordt je tegenwoordig alleen maar gestraft middels idiote beveiligingen en beperkingen zodat ze nog meer geld uit mijn beurs kunnen kloppen.
Verwijderd @damaded1 december 2005 13:31
Aangezien Sony met voorbedachte rade de rootkit heeft verspreidt, zou ik het niet meer dan terecht vinden indien daar een flinke boete van een half miljard of zo het gevolg van is

Als schrijvers van MyTob, Sober en dergelijke een gevangenisstraf boven het hoofd hangt voor het overnemen van PC's zou eerlijkheid verwachten dat de verantwoordelijken bij Sony hetzelfde boven het hoofd hing.

Daarnaast zou Sony als firma aansprakelijk moeten worden gesteld voor *alle* schade die hun malware heeft veroorzaakt.
AuteurCookie @damaded1 december 2005 12:41
Ik koop in ieder geval geen CD's meer. Voor je eerlijkheid wordt je tegenwoordig alleen maar gestraft middels idiote beveiligingen en beperkingen zodat ze nog meer geld uit mijn beurs kunnen kloppen
Omdat een Sony BMG, een van de vele muziekmaatschappijen, vijftig albums van een slecht uitpakkende beveiliging had voorzien, koop je vanaf nu helemaal geen onbeveiligde muziek-cd's meer? Waarom straf je iedereen die met het bovenstaande niets uit te staan heeft? Lekker genuanceerd. Als bijvoorbeeld één automerk in de VS gedwongen wordt een gebleken fout (bijvoorbeeld in het ABS-systeem) te herstellen en een terugroepactie start, koop je daarop dan ook nooit meer een auto, ongeacht het merk :?
damaded @Cookie1 december 2005 16:48
De manier waarop de platenmaatschappij lobbyt, kan het maar zo zijn dat dit soort praktijken binnen niet al te lange tijd gewoon via de wet gelegaliseerd zijn. Net zoals men nu de anti-terroristen wetgeving probeert om te buigen zodat het ook een anti-piraterij wet wordt, gaat men steeds verder.

De enige manier om duidelijk te maken dat wij hiervan niet gediend zijn is het boycotten van beveiligde CD's. Dát is de reden dat ik geen CD's met DRM meer koop.

Zolang de maatschappijen denken dat daar geld mee te verdienen is blijven ze er in investeren, terwijl wij als consument daar absoluut niet bij gebaat zijn. Stel je voor dat je geen TV programma's (meer) zou mogen opnemen..? Of alléén tegen extra kosten..?

Ik wil mijn (dure) aanschaf kunnen afspelen waar ik dat wil en door de DRM wordt me dat onmogelijk gemaakt.
AuteurCookie @damaded1 december 2005 17:40
Ok, dan nuanceer je je eerdere formulering dus; eerst zei je namelijk geen cd's meer te kopen, nu zeg je alleen beveiligde cd's te willen boycotten ;) .
dbDesign 30 november 2005 23:21
Stelletje huigelaars ! :r :r :r
Als ik als artiest een Sony BMG platencontract had en mijn CD's werden door deze DRM beveiligd waardoor nu dus aantoonbaar minder verkopen zijn, zou ik Sony persoonlijk een proces aansmeren. Ik mag hopen dat alle artiesten die een contract hebben met Sony BMG naar de concurent gaan !! Dit is jereinste oplichterij. Bezind voor ge begind :+
Yucko @dbDesign1 december 2005 06:40
Hoezo hypocriet ?

Normaliter staan de artiesten te juigen wanneer de platenmaatschappijen acties ondernemen om kopieeren van hun albums tegen te gaan. Nu is het deze keer fout afgelopen en dan moet er door de artiest meteen gesued worden ?

|:(
TheCapK @Yucko1 december 2005 20:13
De meeste artiesten interesseert het niet zoveel wat er met de CD-verkopen gebeurt.

Waarom? Heel eenvoudig:

Een beginnend artiest die getekend wordt moet eerst alle onkosten die gemaakt zijn voor opnames, persen, drukken en ditributie terug betalen. Dit gaat af van de eerste verkopen. Pas als dit is verrekend gaat de artiest nog wat eraan verdienen maar dit is maar een schijntje.

Een grote naam in de business krijgt meestal een contract voor een x aantal albums waartegenover een x bedrag aan geld staat, ongeacht hoe deze albums verkopen.

Beiden zijn alleen gebaat bij het feit dat hun muziek zoveel mogelijk gehoord wordt daar dit de populariteit bevordert. Of dit dus gebeurt door downloaden of iets anders interesseert ze vaak geen sikkepit, enkele uitzonderingen daargelaten.

Hoe populairder ze zijn, deste meer kaartverkopen de tour krijgt.
Hoe meer kaarten er verkocht worden, deste meer bezoekers er komen.
Hoe meer bezoekers, deste meer merchandising er verkocht wordt en aan dit laatste verdienen de meeste artiesten het meeste geld!

Ter illustratie:

1 Het festival in Milton Keynes in de jaren 90 waar Metallica de hoofdact was leverde hen een opbrengst van +/- 1.5 miljoen dollars op. Als je hier alle kosten vanaf haalt dan hou je nog een zeer behoorlijk bedrag over wat rechtstreeks in de zakken van de heren, inclusief management, terecht kwam. Dit is meer dan de platenmaatschappij meestal betaald.

2 De reunion tour van Kiss in 1996 werd door de heren Stanley en Simmons van te voren afgekocht bij de heren Frehley en Criss voor een bedrag van 50 miljoen dollar per stuk. Je hoeft je dan niet af te vragen wat de eerstgenoemde heren hier zelf aan over dachten te houden!

In alle eerlijkheid is de raad van dbDesign niet eens zo slecht te meer daar ze een hele goede zaak hebben al was het maar om hun goede naam!
The Zep Man @dbDesign1 december 2005 06:57
Als ik als artiest een Sony BMG platencontract had en mijn CD's werden door deze DRM beveiligd waardoor nu dus aantoonbaar minder verkopen zijn, zou ik Sony persoonlijk een proces aansmeren.
En waar gaat Sony BMG het geld vandaan halen als ze dat proces verliezen?

Juist: bij de consument. :Z
Verwijderd @The Zep Man1 december 2005 08:07
En waar haalt de consument vervolgens zijn muziek vandaan als Sony BMG de prijzen opdrijft?

Juist: het Internet. :z
Bulls @dbDesign30 november 2005 23:26
ook al is het troll maar het is wel waar...
Collen 1 december 2005 09:58
Hmm nu moet ik toch eens iets weten.

als ik muziek koop (cd,lp, mp3) dan koop ik toch het recht om die muziek te mogen beluisteren ?

of dat nu op wat voor een drager staat is niet relevant.
(daarom mag je ook copien maken voor eigen gebruik)

maar als ik de rechten koop om bepaalde muziek te mogen beluisteren, dan is de funktie van drm en andere kids niet relevant meer.

de vraag is dus, als ik een cd koop, wat koop ik dan behalve de materiele cd zelf ?
AuteurCookie @Collen1 december 2005 10:20
de vraag is dus, als ik een cd koop, wat koop ik dan behalve de materiele cd zelf
Weinig meer dan dát en dat je er op mag vertrouwen dat het product aan de kwaliteitsverwachtingen voldoet (garantie). Je mag op zich een kopie van de muziek maken voor eigen (privé)gebruik, maar mag - naar verluidt - eventuele kopieerbeveiligingen niet doorbreken en/of omzeilen; het kopiëren is dus geen opeisbaar recht. Op de met DRM-beveiligde cd staat dat deze beveiligd is, als het goed is, dus wordt je geacht die beveiliging te hebben accepteerd bij de aankoop.

Net als dat bij videofilms en in boeken ook aangegeven staat dat deze respectievelijk alleen in huiselijke kring vertoond mag worden en kopiëren voor andere doeleinden dan voor eigen gebruik niet toegestaan is zonder toestemming van de auteursrechthebbende(n).
Proxy 1 december 2005 02:21
Waar Sony BMG ook nog geen rekening mee heeft gehouden, tenminste niet en publique, is dat mensen vaak het verschil niet weten tussen de verschillende divisies van een bedrijf en daarom straks bijvoorbeeld geen PS3 gaan kopen ondanks het feit dat Sony BMG zelf niet veel te maken heeft met de ontwikkeling van de PS3.
Verwijderd @Proxy1 december 2005 08:41
Daar heb je gelijk in. Maar Sony zelf is 50% eigenaar van Sony BMG (als ik me niet vergis). Dan kan de top van Sony zelf hier ook wat aan doen. Het is imago verlies. Ik zou het niet erg vinden als de PS3 ook minder gekocht wordt dan. Ja de technici zijn top-mensen die dit ontwikkeld hebben, maar de top die zulke beslissingen neemt of laat nemen door andere mensen is weer stuk minder.

Het is gewoon absurt dat ze het kopieren tegen willen gaan. De prijzen zijn al niet laag en door dit soort stomme technieken gaan de prijzen alleen maar nog hoger.

Mijn idee, laat al die dingen zitten. Druk een plain audio cd en laat de prijzen beetje zakken en je "verlies" door kopieren wordt gecompenseert door meer verkopen..

Jammer dat ze alles proberen.. Ze gaan heel erg de kant op van software producten

What's next? Eerst Sony BMG bellen om je audio cd te activeren?? :r
Pietervs @Verwijderd1 december 2005 11:29
Het is gewoon absurt dat ze het kopieren tegen willen gaan.
Nee, dat is niet absurd: zij verdienen er tenslotte geld mee. Maar de manier waarop Sony dacht deze beveiliging aan te brengen, dat is absurd.
Vorobeeld: je wil niet dat je fiets gestolen wordt, dus breng je daar een beveiliging op aan. Nu kun je een slot erop zetten, of je fiets onder 220 Volt zetten. Eerste vind je normaal, tweede vind je absurd (en terecht). Sony heeft nu gekozen voor de tweede optie, waardoor ze nu (terecht) aan alle kanten afgeschoten worden...
Verwijderd 1 december 2005 08:15
Spitzer is het, niet Spritzer. :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq