Es una historia sobre extrema arrogancia. Sony puso en marcha su
increíblemente invasivo sistema de protección anti-copia sin siquiera discutir
públicamente sus detalles, confiada en que sus beneficios merecían modificar
los ordenadores de sus clientes. En cuando se descubrieron sus actuaciones,
Sony ofreció un "arreglo" que no eliminaba el rootkit, sino sólo su ocultación.
Sony proclamó que el rootkit no llamaba a casa, cuando sí lo hacía. El 4 de
Noviembre Thomas Hess, presidente de negocio digital global de Sony BMG
demostró el desdén de la empresa hacia sus clientes cuando dijo "La mayoría de
la gente no tiene ni idea de lo que es un rootkit, así que ¿por qué debería
importarles?" en una entrevista en NPR. Incluso la disculpa de Sony sólo admite
que el rootkit "incluye una característica que podría convertir el ordenador
del usuario en susceptible a un virus creado específicamente para ese
software".
Sin embargo, el comportamiento arrogante de una corporación tampoco es el
auténtico asunto. (...) El rootkit ha sido encontrado incluso en ordenadores
del Departamento de Defensa, para disgusto del Departamento de Seguridad
Interior. Aunque Sony podría ser demandada bajo la ley sobre cibercrimen de los
Estados Unidos, nadie cree que lo sea. Y las demandas nunca son la historia
completa.(...)
El asunto al que hay que prestar atención aquí es la connivencia entre las
grandes empresas multimedia, que intentan controlar lo que hacemos en nuestros
ordenadores, y las empresas de seguridad informática, que se supone deberían
protegernos.
Las estimaciones iniciales son que más de medio millón de ordenadores en todo el
mundo están infectados por el rootkit de Sony. Son cifras de infección
llamativas, convirtiendo a ésta en una de las más serias epidemias en Internet
de todos los tiempos, a la altura de gusanos como Blaster, Slammer, Code Red y
Nimda.
¿Qué piensa usted de su empresa antivirus, que no advirtió el rootkit de Sony
mientras infectaba a medio millón de ordenadores?. Y éste no es uno de esos
gusanos de Internet que se propagan a la velocidad de la luz; éste se ha estado
propagando desde mediados de 2004. ¿No se dieron cuenta porque se propagaba a
través de CDs infectados, en lugar de por conexiones a Internet?. Éste es
exactamente el tipo de cosas por las que pagamos a estas empresas para que las
detecten, sobre todo porque el rootkit estaba llamando a casa.
Pero mucho peor que no detectarlo antes que Russinovich fue el significativo
silencio que siguió. Cuando se encuentra un nuevo malware las empresas de
seguridad se apresuran a limpiar nuestros ordenadores y vacunar nuestras redes.
No en este caso.
McAfee no añadió código de detección hasta el 9 de Noviembre, y a día 15 no
elimina el rootkit, sólo su ocultación. La empresa admite en su web que se trata
de un pobre compromiso. "McAffe detecta, elimina y previene la reinstalación de
XCP". Ése es el código de ocultación. "Por favor, tenga en cuenta que la
eliminación no abarca los mecanismos de protección de copyright instalados desde
el CD. Ha habido informes de caídas del sistema, posiblemente como resultado de
desinstalar XCP". Gracias por el aviso.
La respuesta de Symantec al rootkit ha -por decirlo amablemente- evolucionado.
Al principio la empresa no consideraba a XCP malware en absoluto. No fue hasta
el 11 de Noviembre que Symantec publicó una herramienta para eliminar la
ocultación. A 15 de Noviembre anda todavía dudando al respecto, explicando que
"este rootkit fue diseñado para ocultar una aplicación legítima, pero puede ser
utilizado para ocultar otros objetos, incluso software malicioso."
Lo único que convierte a este rootkit en legítimo es que fue una coporación
multinacional la que lo puso en tu ordenador, no una organización criminal.
Se podría esperar que Microsoft fuese la primera empresa en condenar este
rootkit. Después de todo, XCP corrompe las interioridades de Windows de una
forma bastante fea. Es el tipo de conducta que podría conducir fácilmente a
caídas del sistema (caídas que los clientes achacarían a Microsoft). Pero no fue
hasta el 13 de Noviembre, cuando la presión del público era demasiado grande
como para ignorarla, que Microsoft anunció que actualizaría sus herramientas de
seguridad para detectar y eliminar la parte de ocultación del rootkit.
Quizás la única empresa de seguridad que merece el elogio es F-Secure, la
primera y más fuerte crítica de las acciones de Sony. Y Sysinternals, por
supuesto, que alberga el blog de Russinovich y sacó esto a la luz.
La mala seguridad ocurre. Siempre ha sido y siempre será. Y las empresas hacen
cosas estúpidas; siempre ha sido y siempre será. Pero el motivo por el que
compramos productos de Symantec, McAfee y otros es protegernos de la mala
seguridad.
Creo firmemente que incluso en la más grande y corporativa empresa de seguridad
hay gente con instintos ´jaqueriles´, gente que hará correcto y dará la voz de
alarma. Que todas las grandes empresas de seguridad, habiendo dispuesto de más
de un año para ello, fallaran en notificar o hacer algo respecto al rootkit de
Sony demuestra incompetencia en el mejor de los casos, y muy poca ética en el
peor.
A Microsoft puedo entenderla. La empresa es un fan de la protección anti-copia
invasiva (está siendo incluida en la próxima versión de Windows). Microsoft está
intentado trabajar con empresas multimedia como Sony, con la esperanza puesta en
que Windows se convierta en el canal de distribución multimedia de elección. Y
Microsoft es conocida por mirar por sus intereses empresariales a expensas de
los de sus clientes.
¿Qué ocurre cuando los creadores de malware se confabulan con las propias
compañías a las que contratamos para protegernos de ese malware?
Nosotros, los usuarios, perdemos; eso es lo que ocurre. Un dañino y peligroso
rootkit es soltado al mundo y medio millón de ordenadores resultan infectados
antes que nadie haga nada.
¿Para quién trabajan en realidad las empresas de seguridad? Es poco probable que
este rootkit de Sony sea el único ejemplo de una empresa multimedia que utiliza
esta tecnología. ¿Qué empresa de seguridad tiene ingenieros buscando qué otras
podrían estar haciéndolo? ¿Y qué harán si descubren algo? ¿Que harán la próxima
vez que alguna empresa multinacional decida que hacerse dueña de tus ordenadores
es una buena idea?
Estas preguntas son el auténtico asunto, y todas merecen respuestas.
(Traducción del artículo original Sony´s DRM Rootkit: The Real Story, realizada
para Kriptópolis por José M. Gómez).
|