marderh.blog

Wenn man vom Teufel spricht…

Offenbar haben bereits ein paar findige WoW (World of Warcraft) Spieler, das Sony XCP-Rootkit verwendet um die Herumschnüfflei der Spielefirma Blizzard Entertainment, die die lokalen Prozesse auf dem Rechner checkt, damit bei dem Onlinespielchen nicht gecheated werden kann.

Siehe securityfocus.com
World of Warcraft hackers using Sony BMG rootkit:

Blizzard Entertainment, the maker of World of Warcraft, has created a controversial program that detects cheaters by scanning the processes that are running at the time the game is played. Called the Warden, the anti-cheating program cannot detect any files that are hidden with Sony BMG’s content protection, which only requires that the hacker add the prefix “$sys$” to file names.

Ist ja ganz einfach und billig is das Rootkit ausserdem
Wohl noch eine der harmloseren Möglichkeiten, die XCP bietet…
Die grossartige Entdeckung findet sich hier :

For only $14.99 you get a well done RING0 rootkit that is able to hide vs Warden/Hackshield. I have not tested if the rootkit works vs Gameguard as well but its very likely.

1] Buy the CD
2] Run the CD
3] rename myhack.exe to $sys$myhack.exe

Danke SONY…

Eben jenes installiert sich (relativ ungefragt -> EULA) auf Windows-Rechnern und versucht das unbotmässige Kopieren und Rippen der zu schützenden CDs zu verhindern, imdem es ständig nachschaut ob böse Prozesse auf dem Rechener werken. Dadurch erzeugt das Ding schon eine gewisse Verminderung der Performance. Ist ja ned schlimm, der typische DAU braucht sowieso nicht soviel Rechenleistung.

Sony stellt das selbst entsprechend positiv dar:

6. I have heard that the protection software is really malware/spyware. Could this be true?

Of course not. The protection software simply acts to prevent unlimited copying and ripping from discs featuring this protection solution. It is otherwise inactive. The software does not collect any personal information nor is it designed to be intrusive to your computer system. Also, the protection components are never installed without the consumer first accepting the End User License Agreement.

Problematischerweise versucht sich dieser Kopierschutz sich selbst zu verbergen, und zwar auf ähnliche Weise, wie das “normale” Rootkits tun. Hier beginnen die Probleme. Es wäre z.B. relativ lustig einen Virus/Wurm/etc… zu produzieren, der sich genau an das “naming” des Sony-Kopier”schutzes” hält und somit unerkannt sein Unwesen treiben kann.

Die (IMHO spannende) Geschichte der Entdeckung gibts bei
Mark’s Sysinternals Blog: Sony, Rootkits and Digital Rights Management Gone Too Far.

Weiters lässt sich das Ding nicht so einfach entfernen. Löscht man die “verborgenen” Files, die sich auch u.A. als Teil des Treibers für CR-ROM Laufwerke einbinden, etwa weil ein Rootkit-Scanner sie bemängelt, ist das CD-Laufwerk (unter Windows) nicht mehr nutzbar und fix weg vom Desktop/Arbeitsplatz.

Natürlich ist es möglich XPC zu entfernen, aber dann kann man halt die CDs nicht mehr (unter Windows) verwenden.
Ausserdem ist eh alles ned wahr und wir sind eh alle lieb zueinander:

November 2, 2005 – This Service Pack removes the cloaking technology component that has been recently discussed in a number of articles published regarding the XCP Technology used on SONY BMG content protected CDs. This component is not malicious and does not compromise security. However to alleviate any concerns that users may have about the program posing potential security vulnerabilities, this update has been released to enable users to remove this component from their computers.

Meines Erachtens ist das ein weitgehender Eingriff in meine Privatsphäre. Also Digital Rights Management (DRM) entgegentreten heisst derzeit simpel:

Keine CDs kaufen!

oder anders gesagt: