Sony BMG canjear¨¢ los discos con anticopia XCP

Tras semanas de pol¨¦micas y denuncias de los internautas, la discogr¨¢fica Sony BMG anunci¨® la semana pasada que canjear¨¢ gratuitamente todos los discos que contengan el sistema anticopia XCP. Sony ha publicado los 52 t¨ªtulos que llevan incorporado este sistema, que vulneraba la seguridad del ordenador, y remitir¨¢ un nuevo CD sin programa anticopia o permitir¨¢ la descarga de un archivo MP3 desde una web que ha abierto a tal fin. Sony ha iniciado la retirada del mercado de los pol¨¦micos discos. M¨¢s de 27.000 ordenadores en Espa?a podr¨ªan tener, sin saberlo sus due?os, un importante agujero de seguridad por haber introducido en ellos un CD de m¨²sica protegido con el nuevo sistema anticopia de Sony BMG. Reconocidos expertos han avalado el an¨¢lisis estad¨ªstico de Dan Kaminsky para cuantificar el alcance del defectuoso sistema anticopia.

El sistema anticopia introduce en los ordenadores con Windows aplicaciones invisibles que puede permitir espiar las tareas del usuario. El programa conectaba v¨ªa Internet con la web de la discogr¨¢fica. Kaminsky ha seguido el rastro de estas conexiones para concluir que hay 568.200 redes en el mundo con, al menos, un ordenador afectado. Seg¨²n Sony se han vendido 2,1 millones de discos con esta protecci¨®n.

El portavoz de Sony BMG han afirmado a Ciberp@¨ªs que no se ha editado ning¨²n disco en Espa?a con esta protecci¨®n, ya que estaba previsto empezar a aplicarla el a?o que viene, pero es posible que tiendas y grandes almacenes que venden material de importaci¨®n hayan distribuido CD defectuosos.

Sony puso en marcha su pol¨¦mico sistema anticopia en marzo de 2005, pero el esc¨¢ndalo no salt¨® hasta finales de octubre, cuando Mark Russinovich, un reconocido experto en Windows, not¨® que su ordenador iba m¨¢s lento y descubri¨® que algo o alguien le hab¨ªa introducido un rootkit.

Un rootkit son diversas herramientas usadas por un atacante para tener acceso a un ordenador y permanecer escondido en ¨¦l, sin que lo sepa el usuario ni lo detecten los programas de seguridad, de forma que puede entrar siempre que quiera. Russinovich descubri¨® que al escuchar en su ordenador Get right with the man, de Van Zant, el sistema anticopia del CD, llamado Extended Copy Protection (XCP) y desarrollado por la empresa First 4 Internet, le hab¨ªa instalado el rootkit sin avisar. ?ste creaba diversas carpetas ocultas, en las que pod¨ªa esconderse un virus o un intruso sin peligro de ser detectado. El sistema no inclu¨ªa un programa de desinstalaci¨®n, por lo que Russinovich lo borr¨® manualmente. Resultado: su reproductor de CD dej¨® de funcionar y tuvo que reformatear el equipo.

El 31 de octubre, Russinovich lo cont¨® en su weblog y empez¨® la tormenta de cr¨ªticas contra Sony BMG, que primero lo neg¨®. Despu¨¦s, un portavoz de la compa?¨ªa le quit¨® importancia: "La gente no sabe lo que es un rootkit, por tanto no les interesa". El 3 de noviembre, Sony ofrec¨ªa una herramienta para desinstalar el XCP, que en realidad s¨®lo borraba el rootkit. y, adem¨¢s, introduc¨ªa nuevos archivos en el sistema.

Los usuarios se quejaron de que el procedimiento para obtener al desinstalador era complicado. Entre otras cosas deb¨ªan mandar su direcci¨®n de correo electr¨®nico a Sony, que se reservaba el derecho a usarla para enviarles publicidad. D¨ªas despu¨¦s, la compa?¨ªa ofrec¨ªa un aut¨¦ntico desinstalador del XCP. Para acceder a ¨¦l, hab¨ªa que cumplimentar tambi¨¦n un formulario.

El problema era serio y varios expertos se encargaron de demostrarlo. Lo hicieron los programadores de virus, creando diversos troyanos, difundidos por correo electr¨®nico, que se escond¨ªan en las carpetas creadas por el rootkit en los ordenadores afectados.

Acciones legales

El profesor de la universidad de Princeton, Edward Felten, explic¨® en su weblog que los formularios para acceder al programa desinstalador y a la actualizaci¨®n, instalaban un controlador ActiveX, llamado CodeSupport, en el ordenador del usuario. Este controlador estaba mal configurado y permanec¨ªa activo en el navegador Internet Explorer cuando se visitaban otras webs, creando un agujero de seguridad que permit¨ªa que desde estas webs se pudiesen coger archivos o colgar el ordenador.

Se iniciaron acciones legales en California, Nueva York e Italia. Empresas antivirus como Computer Associates, Sophos y Symantec, o de cortafuegos, como ZoneAlarm, anuncian programas para detectar y desinstalar el sistema anticopia. Microsoft dice que las nuevas versiones de sus productos de seguridad lo considerar¨¢n programa esp¨ªa y lo borrar¨¢n.

El 11 de noviembre, Sony BMG anunci¨® que suspend¨ªa temporalmente la fabricaci¨®n de CDs con tecnolog¨ªa XCP. La empresa publicaba en su web una carta, en la que echaba la culpa a la empresa creadora del software, First4Internet, y aseguraba que retirar¨ªa los CDs del mercado y los cambiar¨ªa a quienes los hubiesen comprado. La compa?¨ªa negaba que espiase a los usuarios: "El reproductor del disco muestra un banner que usa t¨¦cnicas web est¨¢ndar para comunicarse con un servidor de Sony BMG, para mostrar contenido web relacionado con el t¨ªtulo espec¨ªfico del CD, no para monitorizar su actividad en l¨ªnea".

Este reproductor, que el usuario debe usar obligatoriamente si quiere escuchar el CD, ha tra¨ªdo tambi¨¦n pol¨¦mica, ya que contiene c¨®digo de un programa libre llamado Lame, sin especificarlo en su licencia. Otra cr¨ªtica contra Sony ha venido de su negativa, durante quince d¨ªas, a especificar qu¨¦ CDs estaban afectados, lo que aumentaba el desconcierto y la incertidumbre entre los usuarios. Finalmente, la compa?¨ªa publicaba la lista de 52 t¨ªtulos de artistas como Celine Dion, Chayanne o Neil Diamond.

A la hora de escribir estas l¨ªneas, no existe ninguna herramienta que elimine totalmente el sistema XCP, ya que el 15 de noviembre Sony retir¨® su desinstalador, a la espera de ofrecer otro m¨¢s seguro.

A la sombra de esta pol¨¦mica, han aparecido nuevas voces sobre el empleo por parte de Sony de otro sistema de protecci¨®n anticopia y que no se ha retirado, llamado MediaMax, que puede permitir espiar el comportamiento de los usuarios e instala programas sin consentimiento. La discusi¨®n de fondo es el llamado Digital Rights Management (gesti¨®n de derechos) y su aplicaci¨®n, resumida en el lema: "Es su propiedad intelectual, pero no su ordenador".

SONY: http//cp.sonybmg.com/xcp KRIPTOPOLIS: www.kriptopolis.org/node/1454 DOXPARA: www.doxpara.com RUSSINOVICH: www.sysinternals.com/blog/ CD AFECTADOS: www.idiotabroad.com/ ?p=58 ANTIVIRUS: www.vsantivirus.com/ 14-11-05.htm DESINSTALACI?N: www.vsantivirus.com/ vul-codesupport-161105.htm XCP:www.schneier.com/blog/archives/ 2005/11/more_on_sonys_d.html