giovedì 10 novembre 2005

La musica, la pirateria e la privacy

Ricevo e immediatamente pubblico.
Nei giorni scorsi è stata riportata la notizia secondo la quale Sony ha inserito tool di hacking nei propri CD audio. Computer Associates ha rilevato che la situazione risulta essere ancora più critica di quanto riferito.
Il media player che Sony distribuisce con i CD, infatti, spia l’attività dell'utente e invia a Sony - e potenzialmente anche ai suoi partner - l'indirizzo IP e le informazioni relative alle abitudini di ascolto dell'utente senza alcun avvertimento, consenso o possibilità di scelta.
Inoltre, se un utente va sul sito Web Sony per chiedere il download di un uninstaller (disinstallatore) per le applicazioni Sony, è obbligato a fornire dati identificativi, titolo del CD, indirizzo email e altre informazioni sensibili a First4Internet, ma quest’ultima dopo aver registrato dati non procura alcun uninstaller.
Dopo aver svolto una serie di prove approfondite, i nostri ricercatori hanno stabilito che i seguenti elementi sono da classificare incontestabilmente come spyware:
1. L'applicazione Sony XCP, che installa un rootkit sul PC quando viene inserito un CD nel drive, non ha superato il test CA eTrust PestPatrol Spyware Scorecard (http://www3.ca.com/securityadvisor/pest/content.aspx?q=67989), un elenco di criteri comportamentali che definisce le caratteristiche rilevate dai prodotti eTrust PestPatrol AntiSpyware, fallendo 8 delle 22 verifiche effettuate.
2. Un rootkit è una tecnologia che tenta di celare la propria presenza e quella di altri componenti all'interno di un sistema.
3. Sony ha distribuito una "patch", un download da 3 MB che include una buona parte di software nuovo. La patch rimuove effettivamente il rootkit, ma non ha egualmente superato lo Scorecard CA poiché si installa senza alcun avvertimento o consenso da parte dell'utente e non può essere rimossa. La patch è caratterizzata, inoltre, da una procedura di uninstall contenente errori la quale rimuove il rootkit in un modo che può provocare il crash di Windows.
4. Il Music Player in dotazione, utilizzabile direttamente da CD, invia a Sony senza alcun permesso da parte dell'utente i titoli dei CD, l'indirizzo IP e le abitudini di ascolto dell'utente stesso e non vi è modo per l'utente di disabilitare questa funzione di notifica automatica.
CA è impegnata in ulteriori analisi della procedura utilizzata da Sony per consentire agli utenti di ricevere un uninstaller dal suo sito Web; tale sito, infatti, tenta di installare un controllo ActiveX, un'azione considerata generalmente foriera di problemi per la sicurezza.
Il processo per rimuovere le applicazioni XCP richiede all'utente di fornire dati identificativi, indirizzo email, titoli degli album e luogo di acquisto e prevede l'uso del controllo ActiveX per trasmettere dati sconosciuti a First4Internet, l'autore del rootkit e di prodotti spyware per Sony.
Sony non fornisce direttamente né dà accesso ad alcun uninstaller.
Il team di ricercatori di CA sta ancora aspettando di ricevere l'uninstaller richiesto quattro giorni fa attraverso il sito di Sony.
La gravità della situazione è evidente se si considera che gli utenti sono soliti portare sul luogo di lavoro i loro CD per ascoltare musica in ufficio; un PC aziendale potrebbe avere nascosto al proprio interno questo rootkit infettando l'intero ambiente informatico aziendale ed esponendo all'esterno le informazioni residenti. Poiché sia il rootkit che la tecnologie di notifica automatica rimangono attive sul PC, esse possono rappresentare una minaccia tanto per le aziende quanto per i singoli utenti.
Un’azione immediata per disabilitare la funzione di avvio automatico del CD-ROM è seguire le istruzioni pubblicate all'indirizzo: ca.com/securityadvisor/. Questo sito fornisce anche ulteriori dettagli, comprese le istruzioni per utilizzare lo scanner online CA eTrust PestPatrol, che dal 12 novembre offrirà la capacità di rilevare questo problema. I clienti eTrust PestPatrol potranno aggiornare i loro file DAT a partire da venerdì 11 novembre.
Computer Associates ha condotto la propria ricerca a partire da giovedì 3 novembre e ha proseguito l’attività di analisi nel fine settimana; i risultati iniziali sono stati pubblicati il 4 novembre sull’indirizzo: http://www3.ca.com/securityadvisor/pest/search.aspx?mode=tmc&pst=XCP

Per inciso, l'ultimo disco di Jackson Browne, Solo Acoustic n.1, mi mette fuori un bel messaggino: IL PC DEVE ESSERE AGGIORNATO. Faccio presente che nemmeno Microsoft si permette di far uscire un simile messaggio. Per ascoltarlo, ho preso le tracce e le ho convertite in MP3 (pensa che protezione hanno!). Di fatto, la copia privata è consentita e quindi non ho violato la legge.
Poi metto il CD nel lettore stereo Philips CD723 (che non è un lettore portatile ma inserito in un rack Hi-Fi) e non lo si riesce ad ascoltare.
Complimenti.
Share: