Kopierschutz-Software von Sony-BMG gefährdet PC-Anwender
Wie der Sicherheitsexperte Mark Russinovich Anfang dieser Woche publik machte, nutzt der von Sony-BMG verwendete Kopierschutz Extended Copy Protection (XCP) des Herstellers First 4 Internet eine in der Hacker-Szene verbreiteten Technologie. Legt der Anwender eine mit XCP ausgestattete CD in sein Laufwerk, wird bei aktivierter Autostart-Funktion auch eine als „Rootkit“ bekannte Software installiert. Sony-BMG will damit das unautorisierte Kopieren von Musik verhindern. Hacker benutzen „Rootkits“, um ihre Aktivitäten zu verschleiern.
Die meisten herkömmlichen Kopierschutzverfahren greifen auf absichtliche Abweichungen vom Audio-CD-Standard zurück, um das Kopieren zu verhindern. Derart manipulierte CDs werden von Anwendern und Verbraucherschützern oft als Un-CDs bezeichnet. Auf ihnen werden Musikdaten und Datenstrukturen absichtlich mit Fehlern versehen, so dass zwar ein gewöhnlicher CD-Player die Musik abspielen, das CD-Laufwerk eines Computers die Daten aber nicht mehr lesen kann.
Zum Leidwesen der Musikunternehmen lassen sich aber viele aktuelle Laufwerke von künstlichen Defekten nicht mehr aus dem Tritt bringen. Zusätzlich kursiert im Internet eine Vielzahl von – in Deutschland illegalen – Programmen, die einen derartigen Kopierschutz umgehen.
Software überwacht Nutzer
Eine Alternative stellen Software-basierte Kopierschutzmechanismen dar. Damit ausgestattete CDs installieren Programme, die Nutzeraktivitäten überwachen und bei „verdächtigen“ Aktionen eingreifen. Beispielsweise blockieren solche Programme den Zugriff auf das CD-Laufwerk, wenn sie merken, dass eines der bekannten Kopierprogramm installiert ist.
Für fachkundige PC-Anwender stellt auch ein solches Digitales-Rechtekontrollmanagament (DRM) keine unüberwindbare Hürde dar. Sie finden in vielen PC-Zeitschriften regelmäßig Hinweise darauf, welche Programme sie aus dem Internet laden müssen, um eine CD-Kopie herzustellen.
Gefahr auch für Kunden in Deutschland
Sony-BMG wollte sich damit nicht abfinden und setzt seit einigen Monaten auf einen anderen Ansatz. In den USA wurden als „Content/Copy Protected“ gekennzeichnete Musik-CDs mit der Software XCP des britischen Herstellers First 4 Internet ausgeliefert. XCP gestattet den Anwendern drei Kopien, die auf dem PC nur von einem speziellen Musikprogramm abgespielt werden können. Über Amazon.com sind diese CDs, von denen bereits mehrere Millionen ausgeliefert wurden, auch in Deutschland erhältlich.
Sony-BMG weist auf einer eigens eingerichteten Webseite darauf hin, was XCP leisten soll: „Die Schutzsoftware verhindert einfach unbegrenztes Kopieren und Rippen von CDs, die damit ausgestattet sind. Die Software sammelt weder persönlichen Informationen, noch ist sie so gestaltet, dass sie ins System eindringt. Auch werden die Kopierschutzkomponenten nicht ohne Zustimmung der Konsumenten zu den Bestimmungen der Endanwender-Lizenz installiert.“
Die Firma weist außerdem darauf hin, dass der Sony-BMG-Kundendienst Hilfestellung gebe, wenn Anwender die Software vom System entfernen wollen. Allerdings ließe sich dann die CD nicht mehr auf dem PC abspielen. In keinem Fall handele es sich bei XCP um „malware/spyware“, also Schad- oder Spionageprogramme, und die Software gefährde nicht die Sicherheit des Systems.
Sicherheitsfachleute und Anwender sehen das anders.
Tarnkappe für DRM
Das Besondere an XCP ist, dass sich das enthaltene DRM durch Manipulation des Windows-Betriebssystems unsichtbar macht: Die zum DRM gehörenden Komponenten sind für die Anwender nicht zu finden, wenn sie danach suchen. Dadurch wird es erheblich schwerer, das DRM-System zu entfernen. Wer es mit Hilfe von Anti-Spyware-Programmen trotzdem versucht, kann sein Betriebssystem so beschädigen, dass ein Zugriff auf das CD-Laufwerk nicht mehr möglich ist.
Um die beschriebene „Tarnkappen“-Wirkung zu erzielen, verändert XCP diejenigen Windows-Funktionen, die für die Anzeige von Dateien, Programmen und Verzeichnissen zuständig sind, so dass sie bestimmte Namen von Dateien, Programmen und Verzeichnissen nicht mehr berücksichtigen.
Im Falle von XCP genügt es, dass ein Name mit der Zeichenfolge “$sys$” beginnt, damit er nicht mehr angezeigt wird (zum Beispiel C:WINDOWSsystem32$sys$filesystem$sys$DRMServer.exe). In der Hacker-Welt heißen derartige Programme „Rootkits“ und werden etwa per E-Mail-Wurm auf die PCs der Anwender geschleust.
Fachleute wie Russinovich halten daher XCP für ein Sicherheitsrisiko. Hacker können Schadprogramme einfach dadurch verbergen, dass sie ihnen den passenden Dateinamen geben. Statt selbst ein „Rootkit“ installieren zu müssen, könnten sie die von Sony-BMG gelieferte Software nutzen. Zum Schaden der Anwender könnten sie dann dessen PC missbrauchen, unter Umständen sogar deren Identität nutzen, um Straftaten zu begehen.
Sony-BMG bestreitet, dass solche Risiken bestehen. Dennoch müssen alle Nutzer die Firma per Endanwender-Lizenz von Haftungsansprüchen aller Art freistellen. Nach deutschem Recht sind solche Bestimmungen jedoch nicht wirksam.
Hackertraum
Wie das auf Sicherheitsfragen spezialisierte Unternehmen SecurityFocus inzwischen bekannt machte, sind die Befürchtungen eines Systemmissbrauchs mit Hilfe der XCP-Tarnkappe begründet. Hacker nutzen die Gelegenheit, um unberechtigt am Online-Spiel World of Warcraft (WoW) teilzunehmen. Das von Sony BMG gelieferte „Rootkit“ macht es ihnen leicht, die vom WoW-Hersteller Blizzard Entertainment eingesetzte Überwachungssoftware zu umgehen. Es bleibt abzuwarten, wie der WoW-Anbieter auf die Situation reagiert.
Sony-BMG selbst ist um Schadensbegrenzung bemüht. Am Mittwoch wurde eine Software-Aktualisierung veröffentlicht, die den Tarnkappen-Mechanismus entfernt. An Hersteller von Antiviren-Software wurden Informationen zum Umgang mit XCP verteilt.
Wie der Rechtsexperte Nick Law gegenüber der BBC äußerte, würde der Einsatz von XCP in seiner gegenwärtigen Form in Großbritannien gegen das Gesetz zum Schutz gegen Computermissbrauch (Computer Misuse Act) verstoßen, da es unautorisierte Änderungen am System vornimmt.
Anwender anderer Betriebssysteme als Windows sind von XCP nicht betroffen.
Was sagen Sie dazu?