211service.com
Binnen het spywareschandaal
John Guarino is de eigenaar van TecAngels, een tweemans computeradviesbureau in Manhattan. Geef Guarino je zieke Windows-pc en binnen twee of drie uur zal hij je hem in perfecte gezondheid teruggeven. Vaak kan hij de problemen van zijn klanten telefonisch oplossen.
Maar afgelopen zomer stuitte Guarino op een probleem dat hij niet kon oplossen. Tijdens het verwijderen van de spyware en virussen die de computers van zijn klanten infecteerden, begon hij machine na machine dezelfde mysterieuze indringers te vinden. Het waren vreemd genaamde bestanden die diep in het register op de loer lagen, waar Windows instellingen en instructies opslaat die alle hardware en software van een computer besturen.
Voor Guarino leken de bestanden op een rootkit - software die een besturingssysteem misleidt om wormen, virussen en andere bestanden die een hacker mogelijk op de computer van een gebruiker wil verbergen, over het hoofd te zien. De bestanden leken geen schade aan te richten en de antivirussoftware van Guarino identificeerde ze niet als bedreigingen. Maar ze waren onuitgenodigd op de harde schijven van mensen verschenen - de conventionele definitie van malware - dus Guarino heeft ze verwijderd.
Maar de bestanden gingen niet geruisloos. Nadat Guarino ze had verwijderd, werkten de cd-stations op de computers van zijn klanten niet meer. De gebruikelijke oplossing - het opnieuw installeren van de software die de schijfspelers aandrijft - loste het probleem niet op. Guarino kon dit vreemde effect niet verklaren, en zijn klanten betaalden hem niet om urenlang onderzoek te doen; ze wilden gewoon hun computers terug. Dus nam hij meestal zijn toevlucht tot de nucleaire optie: het besturingssysteem opnieuw installeren.
Na zes of zeven van deze ontmoetingen begon Guarino moe te worden. Toen ontdekte hij op 30 september de mysterieuze bestanden op zijn eigen pc. Dat maakte me echt kwaad, zegt Guarino. Ik had zoiets van: 'Ik kan het niet geloven. Ik heb de nieuwste firewall, de nieuwste antivirussoftware, drie of vier antispywareprogramma's. Hoe is dit hier gekomen?'
Zoals elke goede rechercheur deinsde Guarino terug. Hij wist dat de bestanden er niet waren geweest de laatste keer dat hij zijn computer had gescand. Hij probeerde alles te reconstrueren wat hij de afgelopen dagen met zijn machine had gedaan - welke programma's hij had geïnstalleerd, welke e-mails hij had ontvangen, welke websites hij had bezocht.
Toen herinnerde hij zich dat hij de dag ervoor een muziek-cd had gekocht en die op de computer had afgespeeld. Het was een Sony BMG Music Entertainment-album genaamd Aanraken , van de rhythm-and-blues-zangeres Amerie. In tegenstelling tot de meeste cd's, kon deze schijf niet worden afgespeeld met gewone mediaspelersoftware zoals iTunes, RealPlayer of Windows Media Player. Om de cd te horen, moesten kopers de aangepaste Sony BMG-speler op de schijf installeren. Guarino had dit gedaan.
Nu nam hij een kijkje in de juwelendoos van de cd. Eén zin viel hem op: Content Enhanced and Protected. Blijkbaar bevatte de schijf een vorm van DRM-software (Digital Rights Management), een programma dat is ontworpen om het kopiëren te controleren en zo piraterij te ontmoedigen.
Eindelijk kwamen de stukjes bij elkaar. De mysteriebestanden leken op een rootkit; het gebruikelijke doel van een rootkit is om iets te verbergen; een kopieerbeveiligingsprogramma was iets wat de makers misschien voor gebruikers verborgen wilden houden; en door deze specifieke rootkit te verwijderen, werd het cd-station uitgeschakeld. Guarino kon alleen maar concluderen dat de bron van de malware Sony BMG zelf was.
Toen gaf ik het op, zegt Guarino. Hij kon malware met één machine tegelijk bestrijden. Maar als 's werelds op een na grootste platenmaatschappij geheime software op de computers van zijn klanten zou willen installeren, zou hij nooit winnen.
Voordat Guarino het probleem opzij zette, deed hij één heel belangrijk ding. Hij mailde zijn logbestanden naar F-Secure, een computerbeveiligingsbedrijf in Helsinki, Finland, wiens software hij had gebruikt om de bestanden te detecteren. Hoewel de malware-watchers van F-Secure de rootkit nog niet eerder waren tegengekomen, waren ze snel in staat om de vermoedens van Guarino te bevestigen. In de loop van de volgende twee weken kwamen ze tot een ander, veel verontrustender besef: de rootkit kon andere bestanden net zo gemakkelijk verbergen als de kopieerbeveiligingssoftware van Sony BMG. Elke computer die ooit was gebruikt om een tegen kopiëren beveiligde Sony BMG-schijf af te spelen, was nu in feite een open vat voor wormen, virussen en andere malware.
Op 17 oktober nam F-Secure contact op met Sony. Twee weken later vond de gerespecteerde beveiligingsexpert Mark Russinovich de rootkit op zijn eigen computer en publiceerde hij zijn bevindingen op zijn veelgelezen blog. Hij ontdekte ook dat andere software die samen met het kopieerbeveiligingsprogramma was geïnstalleerd, in het geheim contact opnam met Sony BMG via internet telkens wanneer een pc-gebruiker een tegen kopiëren beveiligde schijf afspeelde. En in de loop van de volgende maanden escaleerde wat als een curiositeit in Guarino's winkeltje was begonnen tot een volslagen schandaal, compleet met onderhandelingen in achterkamertjes, openbare onthullingen, verhitte ontkenningen, boze boycots, wraakzuchtige rechtszaken en berouwvolle verontschuldigingen.
Hoewel het oorspronkelijk bedoeld was om software te verbergen die luisteraars verhinderde om meer dan drie kopieën van hun muziek te maken, werd de rootkit van Sony BMG tot nu toe het meest openbare symbool van de waargenomen excessen van DRM-technologie – en van de groeiende achterdocht die mediabedrijven lijken te hebben. haven richting hun eigen klanten. Het schandaal heeft nog steeds gevolgen. Het heeft een geschil in de publieke sfeer opnieuw doen oplaaien over de manieren waarop consumenten auteursrechtelijk beschermde digitale informatie mogen gebruiken en, omgekeerd, hoe ver auteursrechthouders kunnen gaan om hun intellectuele eigendom te beveiligen tegen piraterij. (Zie Who Will Own Ideas?, een speciaal TR-pakket gepubliceerd in juni 2005.)
Volgens experts beperkt het beheer van digitale rechten niet alleen het recht van mensen om eerlijk gebruik te maken van auteursrechtelijk beschermd materiaal, dat wordt gegarandeerd door de Amerikaanse auteursrechtwetgeving, maar kan het zelfs nieuwe technologische gevaren met zich meebrengen. Als je computersystemen bouwt waarbij je de gebruiker niet beschermt, maar iets van de gebruiker, heb je een zeer slechte beveiliging, zegt Bruce Schneier, een beroemdheid op het gebied van computerbeveiliging en technisch directeur van Counterpane Internet Security in Mountain View, CA. Dat is mijn grootste angst: het idee dat de gebruiker de vijand is.
Het verhaal van het Sony BMG rootkit-fiasco gaat over meer dan een slecht bedrijfsoordeel of de voortdurende strijd om de rechten van consumenten om te doen wat ze willen met de dingen die ze bezitten. Het gaat ook over angst en de excessen die het kan oproepen. Wanneer mediabedrijven zulke krachtige, geheime tools toepassen om inhoud te beschermen, suggereert dit dat hun nervositeit over piraterij is omgeslagen in paniek. Hoewel Sony BMG volhoudt dat de rootkit onbedoeld is ingezet, heeft de aflevering veel waarnemers ervan overtuigd dat de muziekindustrie bedrog is gaan zien als een onmisbaar onderdeel van het beheer van digitale rechten. Het zou geen verrassing moeten zijn als klanten die het gevoel hebben dat ze als dieven worden behandeld, stoppen met het kopen van dingen. Als er één boodschap is in de ervaring van Sony BMG voor andere bedrijven die de digitale wereld betreden, dan is het dat wantrouwen wantrouwen veroorzaakt.
Piraterij op het schoolplein
De vraag naar digitale inhoud (een zwak maar handig jargon voor alles van poëzie tot podcasts) is groter dan ooit. De verkoop van downloadbare muziek wereldwijd is tussen 2004 en 2005 bijna verdrievoudigd, van $ 380 miljoen tot $ 1,1 miljard, en vertegenwoordigt nu ongeveer 6 procent van alle muziekverkopen. In maart 2004 verkocht de iTunes-muziekwinkel van Apple ongeveer 2,5 miljoen nummers per week. Volgens de Britse versie van Macworld magazine verkoopt het nu drie miljoen nummers per dag.
Je zou verwachten dat producenten en distributeurs van inhoud enthousiast zijn over de opkomst van digitaal. Maar in werkelijkheid zijn ze vaak bezig met de altijd aanwezige dreiging van ongebreideld kopiëren. En terecht: in 2005 hebben 3,8 miljoen Amerikaanse huishoudens in een periode van één maand muziek gedownload met behulp van de gratis peer-to-peer-services voor het delen van bestanden WinMX en Limewire, terwijl volgens marktonderzoek slechts 1,7 miljoen huishoudens bestanden kochten van iTunes firma NPD Group. De Recording Industry Association of America schat de verloren winkelinkomsten uit digitale muziekpiraterij op $ 4,2 miljard per jaar, en heeft illegale downloads agressief bestreden: in februari kondigde het aan dat het 750 nieuwe rechtszaken had aangespannen tegen gebruikers van peer-to-peer-bestanden -netwerken delen, waarmee het totaal sinds 2003 op ruim 18.000 komt.
Aan bijna elke illegale download voorafgaan, is echter een veel onschuldiger handeling: het rippen van gecomprimeerde computerbestanden, zoals MP3's, van een legitiem gekochte cd. Het rippen en branden van cd's voor persoonlijk gebruik is volkomen legaal in de Verenigde Staten. Maar Thomas Hesse, president van de wereldwijde digitale business voor Sony BMG, zegt dat het verantwoordelijk is voor tweederde van alle piraterij. De informele piraterij, de piraterij op het schoolplein, is een groot probleem voor ons, vertelde hij vorig jaar aan de persdienst Reuters.
Dus platenmaatschappijen zoals Sony BMG voelen zich van nature aangetrokken tot technologieën die beloven eigenzinnige fans te dwarsbomen. Betreed het beheer van digitale rechten, een industrie die eind jaren negentig ontstond om uitgevers en studio's te helpen controle te behouden over de inhoud van dvd's, software en dergelijke. Voor DRM-bedrijven en hun klanten betekent controle dat klanten worden uitgesloten van het openen van digitale bestanden, tenzij ze ervoor hebben betaald. Het betekent het voorkomen van het kopiëren, afdrukken, back-uppen of repliceren van een werk, behalve wanneer dit uitdrukkelijk is toegestaan door de licentieovereenkomst van het werk.
Jarenlang had de platenindustrie dit niveau van controle niet nodig, aangezien cd-spelers van consumentenkwaliteit (geïntroduceerd in 1982 door Philips en Sony) exclusief waren ontworpen om muziek af te spelen, niet om deze in digitale vorm te exporteren. Maar in 1996, toen pc-fabrikanten cd-rom-drives als standaardfunctie in thuiscomputers begonnen op te nemen, was de dreiging van toevallige piraterij ontstaan; en toen het in 1999 debuteerde, maakte Napster, het eerste populaire internetsysteem voor het delen van muziek, die dreiging waar. Platenmaatschappijen begonnen in Washington te lobbyen voor hogere juridische straffen tegen degenen die betrapt werden op het delen van bestanden - en gingen ook op zoek naar manieren om het kopiëren en delen voor de gemiddelde gebruiker moeilijker te maken.
Dit is geen eenvoudige zaak. Beveiligde schijven moeten DRM-software bevatten om kopiëren te beperken; maar tegelijkertijd moeten ze op gewone cd-spelers kunnen worden afgespeeld. Een manier om aan beide behoeften te voldoen, is door cd's meer op cd-roms te laten lijken, die vaak meerdere sessies bevatten, vergelijkbaar met de sneden op oude vinyl-lp's. De eerste sessie van een multisessie-cd, die begint in het midden van de schijf, bevat muziek en de buitenste sessies bevatten software. Normale cd-spelers lezen alleen de eerste sessie en negeren de rest, terwijl een Windows-pc met de autorun-functie ingeschakeld eerst zoekt naar programma's in de buitenste sessies die hij kan uitvoeren. (Gelukkig voor DRM-ontwikkelaars is autorun standaard geactiveerd in Windows XP, en de meeste gebruikers veranderen deze instelling nooit.)
Toen Sony BMG in 2005 de eerste grote introductie van kopieerbeveiligde cd's in de branche ondernam, gebruikte het de multisessiemethode. Op 52 Sony BMG-albums die tussen januari en november zijn uitgebracht, bevatten de buitenste sessies een Windows-kopieerbeveiligingsprogramma genaamd XCP (eXtended Copy Protection), dat Sony in licentie heeft gegeven van een Brits bedrijf genaamd First 4 Internet, en een dubbel Macintosh/Windows-programma genaamd MediaMax, van het in Phoenix, AZ gevestigde SunnComm. Dit was niet de eerste keer dat een label probeerde cd's te verkopen met antikopieersoftware; Arista Records, een dochteronderneming van Sony BMG, bracht eind 2003 een schijf met MediaMax op de markt, en vanaf 2002 verscheen de DRM-software van rivaal Macrovision op duizenden cd's van andere labels. was ongebruikelijk aan de nieuwe Sony BMG-schijven was echter de techniek die First 4 Internet had gekozen om XCP onzichtbaar te maken.
verhul apparaat
Toen Sony First 4 Internet oorspronkelijk inhuurde, was het niet om een DRM-systeem voor consumenten-cd's te bouwen. Volgens persinterviews met leidinggevenden van First 4 Internet, maanden voordat het rootkit-schandaal uitbrak, was het bedoeld om het kopiëren van pre-releasemuziek door de eigen werknemers en contractanten van het label en andere ontvangers te ontmoedigen. Het eerste DRM-product van het bedrijf, XCP1, maakte de muzieksessie op multisessie-cd-r's, het type opneembare cd dat in muziekstudio's wordt gebruikt, onafspeelbaar door computers. Dat vermogen was niet alleen aantrekkelijk voor Sony BMG, maar ook voor zijn drie grote rivalen, Universal, EMI en Warner Music Group, die in 2002 allemaal een licentie hadden voor XCP1.
Maar deze methode zou niet werken voor consumenten-cd's, die op alle soorten apparaten moesten kunnen worden afgespeeld, inclusief computers, dvd-spelers, video-cd-spelers en gewone spelers. Dus ontwikkelde First 4 Internet een nieuw programma, XCP2, dat gebruik maakt van een slimmere, iets meer toegeeflijke benadering, steriel branden genoemd. Deze onsmakelijke term betekent eenvoudigweg dat kopers van een beveiligde cd deze naar hun computer kunnen rippen en vervolgens kopieën op lege cd-r's kunnen branden, maar die kopieën kunnen niet worden gebruikt om meer kopieën te maken. (XCP2 werd simpelweg bekend als XCP.)
Volgens de computerwetenschappers Ed Felten en J. Alex Halderman van Princeton University, die XCP reverse-engineeren als onderdeel van een academisch onderzoek, heeft de software verschillende verschillende functies die afzonderlijk worden aangeroepen. De eerste keer dat een XCP-beveiligde schijf in een computer wordt geladen, wordt de gebruiker gevraagd om in te stemmen met de licentieovereenkomst voor eindgebruikers (EULA) van Sony BMG. Vervolgens kopieert het een aantal programma's en stuurprogramma's naar de harde schijf en start een eigen mediaspelerprogramma. Eenmaal geïnstalleerd, volgens een witboek - Halderman en Felten gepubliceerd in februari, luisteren de nieuwe stuurprogramma's naar pogingen van andere mediaspelers zoals iTunes om audiotracks op de cd te lezen; als ze er een detecteren, vervangen ze de gegevens die door het cd-station worden geretourneerd door willekeurige ruis. Ondertussen zorgt een achterdeur in XCP ervoor dat de eigen mediaspeler de onbewerkte gegevens van de schijf kan lezen zonder vervorming.
In de mediaspeler is een brandprogramma ingebouwd waarmee de eigenaar van de cd maximaal drie exemplaren ervan kan rippen en op cd-r's kan branden. Deze kopieën bevatten alles op de originele schijf, inclusief de audiotracks, de mediaspeler en de kopieerbeveiligingssoftware. Maar ze zullen steriel zijn: de brandtoepassing wordt uitgeschakeld, wat betekent dat de kopieën alleen kunnen worden afgespeeld, niet geript en opnieuw kunnen worden gebrand. Als alternatief kunnen gebruikers afzonderlijke nummers of hele albums naar hun harde schijven rippen en vervolgens maximaal drie exemplaren op cd-r's branden in het Windows Media Audio-formaat.
Als het voor gebruikers gemakkelijk zou zijn om al deze complexe functies te omzeilen of uit te schakelen, zou het kopieerbeveiligingssysteem nutteloos zijn. En hier is de kern van de controverse over XCP en de Sony BMG-schijven: de ontwikkelaars van First 4 Internet besloten dat een aantal bestanden en bewerkingen van het programma verborgen moesten blijven voor gemiddelde gebruikers. De stuurprogramma's die de pogingen van andere mediaspelers om een beveiligde cd te lezen verstoren, moesten bijvoorbeeld worden opgeslagen op een geheime plaats waar gebruikers ze niet konden vinden en verwijderen. Dan was er nog het bestand dat XCP gebruikt om het aantal kopieën van de cd te tellen dat de gebruiker nog mag maken. De brandtoepassing wordt alleen uitgeschakeld als de teller op nul staat. Als geavanceerde gebruikers dit bestand zouden kunnen vinden, zouden ze de waarde van de teller mogelijk terug kunnen zetten naar drie na elke kopie die ze hebben gebrand.
Geheimhouding zelf is routine in de software-industrie, maar dit was anders. Eerste 4 internet bereikte geheimhouding een rootkit gebruiken , verzuimde Sony BMG zijn klanten te informeren over de aanwezigheid van het programma of een eenvoudige manier te bieden om het te verwijderen. De term rootkit is afgeleid van computernetwerken die Unix-achtige besturingssystemen gebruiken, waarbij de systeembeheerder - de persoon met alle rechten en privileges om het systeem te wijzigen - roottoegang zou hebben. De eerste rootkits, geschreven in het midden van de jaren negentig, waren verzamelingen softwaretools die door Unix-hackers werden gebruikt om roottoegang te verkrijgen en malafide code te deponeren zonder een spoor achter te laten. Windows-rootkits ontstonden in 1999 en werden zo gemeengoed dat ze gratis konden worden gedownload van hackerscollectieven zoals degene die het online tijdschrift produceert Rootkit ( www.rootkit.com ). Meer geavanceerde versies kunnen voor een paar honderd dollar op internet worden gekocht.
De eerste 4 internetmanagers, verwijzend naar lopende juridische stappen, wilden niet antwoorden Technologie Review's Daarom weten we niet of de ontwikkelaars van het bedrijf wisten dat ze een rootkit aan het maken waren, of dat ze XCP hadden gemodelleerd naar een van de open-source of commerciële rootkits. Buitenstaanders die de code van XCP onderzochten, ontdekten echter dat deze enkele open-sourcecomponenten bevatte, waaronder code van het ene programma dat muziek codeert in het MP3-formaat en een ander programma dat muziek codeert en decodeert die is gedownload van iTunes van Apple. (Dit laatste was blijkbaar onderdeel van een nooit uitgevoerd plan om XCP compatibel te maken met iTunes, aldus Halderman.)
Een andere onbekende is of de ontwikkelaars van XCP wisten dat een rootkit, eenmaal geïnstalleerd op de computer van een klant, een doorgang kon openen voor andere virussen en Trojaanse paardenprogramma's. Maar Halderman van Princeton zegt dat programmeurs van First 4 Internet zich ervan bewust moeten zijn geweest dat de cloaking-methode die ze gebruikten goed bekend was bij malwareschrijvers. Ze moesten deze techniek uit andere bronnen leren, zegt Halderman. En tijdens het onderzoek naar het gebruik van deze techniek, is het bijna ondenkbaar dat ze niet zouden hebben ontdekt dat [andere malware verhullen] iets is dat rootkits doen.
In ieder geval was de verbergtechniek van het bedrijf zeer effectief - zozeer zelfs dat geen enkele beveiligingsexpert de rootkit opmerkte gedurende ten minste zes maanden na de release van de eerste tegen kopiëren beveiligde schijven. Maar kort nadat Russinovich zijn rapport plaatste, ontdekten malwareauteurs dat ze de rootkit konden gebruiken om alles, van virussen tot spyware, uit het zicht van het besturingssysteem te houden. Inderdaad, minder dan twee weken nadat de Sony BMG-rootkit aan het licht kwam, was het eerste malwareprogramma opgedoken dat was ontworpen om het te exploiteren. Het was een achterdeur-trojan genaamd Troj/Stinx-E, ontworpen om zichzelf te verbergen in de rootkit en andere programma's de computers van gebruikers te laten overnemen via verbindingen met een instant-messaging-systeem genaamd Internet Relay Chat.
De Finse connectie
Het hoofdkantoor van F-Secure is gevestigd in een vierkant gebouw van glas en aluminium aan de rand van Helsinki, op slechts een steenworp afstand van de fabriek waar Nokia – lang voordat het een gsm-bedrijf werd – duizenden kilometers staalkabel maakte als onderdeel van de massale oorlog in Finland herstelbetalingen aan de Sovjet-Unie.
Het commandocentrum op de tweede verdieping van F-Secure wordt gedomineerd door drie grote videoschermen. De ene toont de architectuur van een bekend computervirus alsof het een gigantisch, ronddraaiend ruimtestation is. Een andere toont een realtime kaart van malware-activiteit wereldwijd. Mika Stahlberg, onderzoeksmanager bij F-Secure, gebruikt het derde scherm om de stealth-functies van XCP te illustreren.
Ik kan demonstreren met het Van Zant-album, zegt Stahlberg. hij voegt in Krijg gelijk met de man , een countryalbum van ervaren rockers Johnny en Donnie Van Zant, in een computer onder de driehoekige vergadertafel van het commandocentrum. We hebben dit afgelopen oktober bij Amazon besteld. Oké, ik heb dit ingevoerd en het start standaard. Hier is de EULA. Ik wil natuurlijk naar de muziek luisteren, dus ik klik op 'Akkoord'.
De speler installeert zichzelf en start automatisch op. Nu kiest Stahlberg een proefkonijn voor de cloaking-demonstratie: de Windows-rekenmachine-accessoire. Hij start de rekenmachine, opent vervolgens de Windows Taakbeheer en selecteert het tabblad Processen, waar een gebruiker een lijst kan zien van alle programma's die momenteel op de machine worden uitgevoerd. Oké, we kunnen zien dat het daar in de proceslijst staat - het heet 'calc.exe'. Laten we het nu een andere naam geven.
Stahlberg sluit de rekenmachine, zoekt het eigenlijke programmabestand op de harde schijf en geeft het een heel specifieke naam: $sys$calc.exe. Hij herstart de rekenmachine. Kijk nu nog eens naar de proceslijst. De rekenmachine is verdwenen.
Stahlberg heeft zojuist de belangrijkste functie van de Sony BMG-rootkit blootgelegd: elk bestand dat begint met het voorvoegsel $sys$ ondetecteerbaar maken. Onder de bestanden die XCP op deze manier verborgen houdt: aries, het leiderprogramma dat berichten tussen applicaties en het besturingssysteem weglegt; krater, de filterdriver die ervoor zorgt dat andere programma's de cd-rom niet kunnen lezen; en $sys$parking, die telt hoe vaak de brandtoepassing is gebruikt.
Wat bijna alle rootkits doen... is de uitvoer filteren die applicaties krijgen van bepaalde functies van het besturingssysteem, legt Stahlberg uit. XCP filtert elke uitvoer die is gemarkeerd met het voorvoegsel $ sys $, dus in de demonstratie van Stahlberg, toen de Taakmanager Windows om een lijst met actieve programma's vroeg, kreeg het alles terug behalve de rekenmachine. Een programma met het voorvoegsel $sys$ in zijn naam kan actief zijn - het kan inderdaad een groot deel van het systeemgeheugen en de CPU-tijd in beslag nemen - maar voor de lijst Processen en andere toepassingen zoals Windows Verkenner bestaat het niet .
Natuurlijk begrepen Stahlberg en zijn collega's bij F-Secure hier niets van de eerste keer dat ze een tegen kopiëren beveiligde Sony BMG-schijf, Switchfoot's Niets is geluid . Onmiddellijk nadat ze het logbestand van John Guarino hadden ontvangen, bestelden ze de cd en installeerden ze deze op een pc in quarantaine. Vervolgens gebruikten ze F-Secure's eigen rootkit-detectieprogramma, Blacklight genaamd, om te zien hoe de software van de schijf het besturingssysteem van de machine had veranderd. Blacklight ontdekte dat er meer bestanden op het systeem stonden dan Windows Explorer aangaf - een onmiskenbaar teken van een rootkit.
Aanvankelijk waren de F-Secure-onderzoekers terughoudend om de Sony BMG-rootkit als een beveiligingsrisico te bestempelen, aangezien het duidelijk werd gebruikt voor kopieerbeveiliging, niet om virussen te verspreiden of pop-upadvertenties te spawnen. DRM als zodanig is niet slecht, zegt -Santeri Kangas, onderzoeksdirecteur van F-Secure. Maar toen we analyseerden wat dit zou kunnen doen als een voertuig voor malware namen we een standpunt in en zeiden: 'Nou, dit is gevaarlijk.'
F-Secure nam op 17 oktober contact op met Sony over de rootkit-kwetsbaarheid. Maar volgens Kangas begon de relatie slecht. Omdat F-Secure niet wist tot wie hij zich moest wenden, legde hij het probleem eerst voor aan Sony DACD, een Oostenrijkse dochteronderneming die cd's produceert. Ze zeiden: 'Bedankt, maar dit is van Sony BMG', vertelt Kangas. Toen hij en zijn collega's eindelijk het hoofdkantoor van Sony BMG in Los Angeles bereikten, was de eerste reactie die we kregen: waarom hadden we het over hun kopieerbeveiligingssoftware met een concurrerende eenheid van Sony? Ze waren best boos.
Toen de beschuldigingen voorbij waren, vroegen Sony BMG DRM-managers Kangas en zijn medewerkers om samen met First 4 Internet te werken aan een manier om de eigenaren van de beschermde cd's te beschermen. Volgens ons was de enige oplossing met deze eerste versie van XCP om te stoppen met de implementatie ervan, zegt Kangas. Maar dat was iets wat ze duidelijk niet wilden doen. Volgens Kangas was het plan van First 4 Internet simpelweg om in 2006 een nieuwe versie van XCP uit te brengen zonder de rootkit – niet om de miljoenen schijven die al waren gekocht te vervangen – en om klanten die erom vroegen een verwijderprogramma aan te bieden.
Kangas en zijn team maakten een openbaar rapport over de rootkit, maar wachtten op het de-installatieprogramma van First 4 Internet voordat ze het vrijgaven, als beleefdheid in de internetbeveiligingsindustrie. Toen werden ze in elkaar geslagen door een Texaan genaamd Mark Russinovich.
Russinovich en collega Bryce Cogswell zijn de auteurs van Sysinternals.com, een van de toonaangevende Amerikaanse blogs over computerbeveiliging. Russinovich is ook de belangrijkste software-architect bij Winternals Software uit Austin en, toevallig, de uitvinder van enkele van de zeer cloaking-technieken die door XCP worden gebruikt. Hij en Cogswell hadden een deel van 2005 gewerkt aan Rootkit Revealer, een detectieprogramma vergelijkbaar met Blacklight van F-Secure. Op een dag eind oktober draaide Russinovich Rootkit Revealer op zijn eigen pc als onderdeel van een test om er zeker van te zijn dat het programma geen valse positieven genereerde. Russinovich zegt dat hij met opzet de louche delen van het internet vermijdt om zijn machine vrij te houden van malware - dus hij was verbaasd toen Rootkit Revealer daadwerkelijke rootkit-bestanden vond.
Net zoals Guarino had, ontdekte Russinovich dat het verwijderen van de bestanden zijn cd-rom-station uitschakelde. Zelfs een ervaren thuisgebruiker zou, als hij zou proberen de rootkit te verwijderen door de bestanden te verwijderen, zijn machine verlammen, zegt Russinovich. Maar aangezien hij zelf de meeste trucs had bedacht die Windows-rootkits gebruiken om het besturingssysteem en andere applicaties te misleiden, was hij niet belemmerd. Russinovich was in staat om de cloaking-functie van de rootkit te omzeilen en – nadat hij zich herinnerde dat hij onlangs de tegen kopiëren beveiligde Sony BMG-schijf had afgespeeld Krijg gelijk met de man op zijn computer – traceer de bestanden die het had verborgen naar First 4 Internet en Sony BMG.
Ik vond het verontrustend dat dit ding rootkit-software op mijn pc had geïnstalleerd, zegt Russinovich. Het had zichzelf geïnstalleerd zonder het mij te vertellen. Er leek geen verwijderprogramma te zijn. Maar het meest verrassende was dat we een rootkit tegenkwamen die deel uitmaakte van de DRM van een bekend bedrijf.
Russinovich nam geen contact op met Sony BMG over zijn ontdekking; in plaats daarvan goot hij zijn bevindingen in een boos blogbericht dat op Halloween werd gepubliceerd. Binnen enkele uren werd de post van Russinovich opgepikt door Slashdot, de beroemde thuisbasis van News for Nerds. En van daaruit raasde het rootkit-verhaal door de blogosfeer en zelfs naar de reguliere kranten. F-Secure – hoewel het was opgepikt door Russinovich – kwam snel weer in het spel en publiceerde op 1 november zijn eigen analyse van de rootkit.
Onder muziekfans en technologiekijkers was de reactie op het rootkit-nieuws explosief. Binnen enkele dagen lanceerden anti-DRM-activisten verschillende boycots tegen Sony BMG. Sony mikt op piraten – en raakt gebruikers, schetterde een kop van 9 november in de Christelijke Wetenschapsmonitor . Antivirus- en beveiligingsbedrijven hebben consumenten gewaarschuwd om de Sony BMG-schijven te vermijden of terug te sturen. Bloggers wakkerden de vlammen aan; Volgens blogzoekmachine Technorati verscheen het woord rootkit in november 150 tot 750 keer per dag in blogs.
De gemoederen laaiden verder op na 4 november, toen Russinovich in zijn blog aankondigde dat andere software bij XCP op de Sony BMG-schijven naar huis belde en contact opnam met Sony BMG via internet telkens wanneer een gebruiker een beveiligde cd afspeelde. Naar aanleiding van een tip van een Finse hacker en student informatica genaamd Matti Nikki, gebruikte Russinovich een netwerktraceerprogramma om het verkeer te analyseren dat van en naar zijn computer stroomde. Hij ontdekte dat de beschermde cd's tijdens het opstarten bij een server van Sony BMG zouden controleren op vers materiaal voor een roterende banneradvertentie die bij de speler werd weergegeven. Deze uitwisseling was onschuldig genoeg; maar voor Russinovich en lezers van zijn blog was de belediging dat Sony BMG in de EULA's van de cd's niet had bekendgemaakt dat de software gegevens naar het bedrijf zou sturen of had beschreven hoe die gegevens zouden worden gebruikt. Ik betwijfel of Sony iets met de gegevens doet, schreef Russinovich, maar met dit type verbinding kunnen hun servers elke keer dat een tegen kopiëren beveiligde cd wordt afgespeeld, het IP-adres [de locatie op internet] van de computer die deze afspeelt opnemen.
Beveiligingsprofessionals, bloggers en muziekfans waren niet de enigen die ontsteld waren. Het Amerikaanse ministerie van Binnenlandse Veiligheid bekritiseerde Sony BMG voor het vrijgeven van producten die antivirussoftware ondermijnden en zowel overheids- als particuliere computers aan hackers blootstelden. Op een handelsconferentie van 10 november over piraterij berispte Stewart Baker, de adjunct-secretaris voor beleid van de afdeling, de grote media voor hun obsessie met DRM. Het is heel belangrijk om te onthouden dat het uw intellectuele eigendom is, [maar] het is niet uw computer, zei Baker.
Keer op keer uitten mensen die de rootkit tegenkwamen een gevoel van overtreding. John Guarino, de computerconsulent, biedt deze analogie: stel dat u kabel-tv in uw appartement wilt installeren. Je belt de kabelmaatschappij. Ze zeggen dat iemand het komt installeren. De kabelman laat je iets ondertekenen voordat hij het appartement binnenkomt. Dan kom je erachter dat hij het appartement niet echt heeft verlaten toen hij klaar was. Hij verstopt zich nog steeds. En je belt het bedrijf en zegt: 'Deze man is er nog', en ze zeggen: 'Maar je hebt het document ondertekend.' En je zegt: 'Ja, maar hij zou hier nog steeds niet moeten zijn. Waar is hij?' en ze zeggen: 'Dat gaan we je niet vertellen.'
En niet alleen verstopt deze man zich in je appartement - hij eet zelfs uit je koelkast, drinkt je water, gebruikt de badkamer en je kunt hem niet stoppen. Hij zou andere vrienden kunnen uitnodigen en ze binnenlaten. En als je hem probeert te vinden en hem zelf uitschakelt, gaat hij bommen gooien en moet je de bouwvakkers bellen om je hele appartement te herbouwen.
Dat is wat Sony doet. De rootkit gebruikt je processor, het gebruikt je geheugen, je harde schijf. Je kunt het er niet gemakkelijk uithalen, omdat ze je niet vertellen hoe. Als je het eruit probeert te halen, verpest het eigenlijk je computer. De enige oplossing is om het hele besturingssysteem opnieuw te installeren. Het is totale wetteloosheid en het is onaanvaardbaar.
Geconfronteerd met de muziek
Ondanks de waarschuwingen van F-Secure eind oktober werd Sony BMG verrast door de controverse. Dagenlang nadat de analyse van Russinovich in het nieuws kwam, toonden bedrijfsleiders weinig begrip voor de woede die het opwekte in de harten van veel van haar klanten. Ik denk dat de meeste mensen niet eens weten wat een rootkit is, dus waarom zouden ze zich er druk om maken? Sony BMG's Hesse zei in een interview met National Public Radio op 4 november.
Maar voor de eigenaren van de meer dan twee miljoen XCP-beveiligde schijven die Sony BMG tussen januari en november heeft verkocht, kwamen de berichten als een schok. Beveiligingsfouten in commerciële software komen vaak voor; De producten van Microsoft worden bijvoorbeeld zo veel gebruikt dat zelfs de kleinste bug uiteindelijk wordt ontdekt en uitgebuit door een malware-auteur, dus de softwaregigant publiceert maandelijks updates en patches. Maar geen enkel software- of mediabedrijf van het formaat van Sony BMG had ooit een programma verspreid dat, naar het oordeel van beveiligingsexperts, opzettelijk was ontworpen om malware na te bootsen.
Sony BMG bood niet meteen zijn excuses aan, maar probeerde het probleem wel op te lossen. De eerste stap, begin november, was het publiceren van een webgebaseerd programma dat klanten konden gebruiken om XCP van hun systemen te verwijderen. De verhuizing hielp de zaken niet. Matti Nikki in Finland ontdekte dat een bestand dat het verwijderprogramma op de computer van een gebruiker plaatste om de communicatie met de Sony BMG-servers te vergemakkelijken, later misbruikt kon worden door elke website die kwaadaardige code wilde verzenden en uitvoeren. Volgens Felten en Halderman, die Nikki's ontdekking op 15 november bevestigden in hun veel gevolgde blog, Freedom to Tinker, vormde het verwijderprogramma een veel groter beveiligingsrisico dan zelfs de originele Sony-rootkit.
Een paar dagen later verving Sony BMG het op het web gebaseerde de-installatieprogramma door een veiliger, downloadbaar programma. En geleidelijk aan leek het bedrijf de omvang te erkennen van de public-relationsramp waarmee het te maken had. Op 11 november kondigde Sony BMG aan dat het zou stoppen met de productie van muziek-cd's met XCP. Op 14 november zei het bedrijf spijt te hebben van het ongemak dat het zijn klanten had veroorzaakt en kondigde het een uitwisselingsprogramma aan om XCP-beveiligde schijven te vervangen door nieuwe zonder rootkit.
Volgens berichten in de media hadden consumenten 2,1 miljoen van de tegen kopiëren beveiligde cd's gekocht. Hoeveel van deze klanten de cd's daadwerkelijk op hun computer hebben afgespeeld en dus ongewild de rootkit hebben geïnstalleerd, is niet duidelijk. Maar Dan Kaminsky, een onafhankelijke beveiligingsonderzoeker in Seattle, ontdekte bewijs dat de rootkit van Sony in verband bracht met honderdduizenden, zo niet miljoenen systemen in 131 landen. Dat aantal noemt hij enorm, zeker als je het vergelijkt met cijfers over de verspreiding van internetwormen en virussen. Kaminsky plaatste de statistieken op zijn website, -doxpara.com, samen met wereldkaarten met de locaties van getroffen netwerken.
Sony BMG probeerde ondertussen te reageren op de specifieke zorgen van Russinovich, Kaminsky en anderen. In een brief van 18 november aan de Electronic Frontier Foundation, die eerder zijn eigen open brief had gepubliceerd waarin Sony BMG's behandeling van de XCP-aflevering bekritiseerde, zei Sony-adviseur Jeffrey Cunard dat het bedrijf nooit de internetadressen zou vrijgeven die werden verzameld toen XCP naar huis belde en dat, in ieder geval werden deze adressen nooit geassocieerd met persoonlijk identificeerbare informatie. Hij zei ook dat Sony BMG in de toekomst voorzichtiger zou zijn met het evalueren van kopieerbeveiligingssoftware en de bijbehorende EULA's. Elke huidige en toekomstige kopieerbeveiligingstechnologie die door Sony BMG wordt gebruikt, zal worden getest, geverifieerd en bekendgemaakt aan consumenten, schreef Cunard.
Sony BMG-vertegenwoordigers gecontacteerd door: Technologie beoordeling in maart en april zouden de leidinggevenden die verantwoordelijk zijn voor het licentiëren van XCP van First 4 Internet of het vrijgeven van de tegen kopiëren beveiligde schijven niet noemen, en ze weigerden leidinggevenden beschikbaar te stellen voor interviews. Cory Shields, directeur van het communicatiebureau van het bedrijf, zei echter dat het nooit de bedoeling van Sony BMG was om software op zijn compact discs op te nemen die veiligheidsproblemen veroorzaakte. De bedoeling van het bedrijf was om een technologie te leveren die klantvriendelijk was, waarmee mensen de functionaliteit kunnen nastreven die ze wilden, zei Shields. Het was zeker niet de bedoeling van het bedrijf om een probleem te creëren.
Zone van vrijheid
De terugroepingen, uitwisselingen en verontschuldigingen van november 2005 brachten de zaak niet tot rust. De procureur-generaal van New York, Eliot Spitzer, bekritiseerde Sony eind november, nadat onderzoekers hadden ontdekt dat schijven met XCP nog niet uit de winkels waren gehaald. De Federal Trade Commission opende een onderzoek en de procureur-generaal van Texas, Greg Abbott, klaagde Sony BMG aan wegens het overtreden van de antispywarewetten van de staat. Eisers in ten minste vijf staten dienden een rechtszaak aan en eisten schadevergoeding tegen Sony BMG voor het beschadigen van hun computers.
Sony handelde deze pakken snel af. Voordat december af was, had het bedrijf een voorlopige schikking getroffen met advocaten, die de rechtszaken hadden samengevoegd tot één klacht bij de Amerikaanse districtsrechtbank voor het zuiden van New York. De schikking biedt iedereen die een schijf met XCP bezit een vervangende schijf, een contante betaling van $ 7,50 en (ironisch genoeg) gratis digitale downloads van de muziek op de cd en maximaal drie andere. Bij het ter perse gaan had de rechtbank de volledige schikking nog niet goedgekeurd, maar het vervangingsprogramma was begonnen.
Maar de woede over de rootkit in de media en de blogosfeer bleef bestaan, zelfs na het nieuws over de voorgestelde schikking. Wat consumenten echt dwars zat, zo leek het, was niet de schade aan hun computers: het Troj/Stinx-E Trojaanse paard had zich niet ver verspreid en er was geen tijd voor een serieuze epidemie van andere malware die de XCP-rootkit exploiteerde. In plaats daarvan waren cd-kopers boos dat de software opzettelijk zijn aanwezigheid verborgen hield en zonder hun toestemming contact opgenomen met Sony BMG. Ze waren van mening dat XCP de fundamentele bescherming had geschonden - de rechten op privacy en privé-eigendom en de vrijheden van meningsuiting en toegang tot informatie.
Ik ben een muziekfan en heb met ontzetting de hele mars van DRM gevolgd, tot het punt dat je praktisch een contract moet tekenen om een cd-box te openen, zegt Tim Jarrett, een Framingham, MA, webontwikkelaar en technologie blogger. Dus toen ik zag dat Sony niet alleen deze DRM opnam, maar het op zo'n manier deed dat het de computers van mensen openstelde om te worden uitgebuit, denk ik dat er iets in mij gewoon knapte. Jarrett besloot de Sony Boycot Blog te starten, die drie maanden lang fungeerde als een van de belangrijkste informatiecentra voor informatie over de rootkit-saga. Afgaande op de opmerkingen die ze achterlieten, waren de lezers van Jarrett - die tot 5.000 per dag telden - net zo geërgerd. Je hebt een zone van persoonlijke vrijheid - een persoonlijke ruimte waarbinnen je kunt besluiten om bijvoorbeeld een boek van achteren naar voren te lezen, of het 20 keer te lezen, of kanttekeningen te maken, of het in de badkuip te lezen, of een sketch te doen Het boek uitbeelden aan een vriend, zegt professor rechten Julie Cohen, die intellectuele eigendom en gegevensprivacyrecht studeert aan het Georgetown University Law Center. En het hebben van een automatische politieagent of zelfs gewoon een plat architectonisch verbod dat zich die persoonlijke ruimte toe-eigent, is iets dat mensen als zeer opdringerig ervaren.
Ik denk dat we in deze periode zitten waarin de contentproviders de grenzen proberen te verleggen, zegt Mark Russinovich. Ze willen zien hoe ver ze kunnen gaan om hun inhoud te beschermen, en waar de dunne lijn ligt tussen het beschermen van hun inhoud tegen ongeoorloofde piraterij en het irriteren van de consument.
Goede DRM
De vragen die door de Sony BMG-rootkit-saga worden opgeworpen, zijn of het beschermen van inhoud noodzakelijkerwijs inhoudt dat het recht van de consument om hun privé-eigendom te beheren wordt geschonden, de rol van de computer als instrument van cultuur en creativiteit in gevaar wordt gebracht, en het opofferen van het principe van redelijk gebruik (een bepaling in het Amerikaanse auteursrecht wet die de reproductie van auteursrechtelijk beschermde werken toestaat voor kritiek, rapportage, onderzoek en archivering).
De eerste tekenen zijn niet goed. De blunder van Sony BMG – hoe onopzettelijk ook – was voor veel waarnemers een aanwijzing dat de houders van auteursrechten de technologieoorlog in feite escaleren en ervoor kiezen om zich steeds dieper te bemoeien met de werking van de computers van klanten in een haastige en onzorgvuldige poging om de gratis laden.
Als Sony niet stopte en de tijd nam om First 4 Internet te vragen wat XCP eigenlijk deed, is het hun schuld, zegt Schneier van Counterpane Internet Security. Ik vind First 4 Internet minder schuldig, omdat Sony een soort magische kogel wilde kopen en ze zeiden gewoon: 'Hier, gebruik de onze.'
Sony BMG heeft de schuld nooit volledig aanvaard; zelfs in de schikkingsovereenkomst van december ontkende het bedrijf dat het enige wettelijke aansprakelijkheid droeg of dat iemand schade had geleden door onrechtmatig gedrag. Toch heeft Sony BMG, naar de meeste maatstaven van bedrijfsverantwoordelijkheid, opmerkelijke inspanningen geleverd om het rootkit-fiasco goed te maken. Het bedrijf lijkt nu op zijn hoede te zijn om de fijne lijn van Russinovich te overschrijden. Er moet een evenwicht worden gevonden tussen bescherming van inhoud en koestering en bescherming van technologie, erkent Sony BMG-woordvoerder Cory Shields.
De fouten van Sony BMG in de rootkit-zaak bieden inderdaad enig inzicht in hoe goed beheer van digitale rechten er daarentegen uit zou zien.
Ten eerste, zeggen computerbeveiligingsprofessionals, goede DRM zou dat moeten zijn transparant . Voor deze professionals ging de rootkit-aflevering te ver in geheimhouding. Als een rootkit een schuilplaats biedt voor virussen, wormen en Trojaanse paarden, wordt het werk van de virusscansoftware van computers veel moeilijker. En als meer legitieme bedrijven hun software gaan ontwerpen om malware na te bootsen, wordt die taak bijna onmogelijk. Nu moet al je beveiligingssoftware onderscheid maken tussen 'goede' kwaadaardige code en 'slechte' kwaadaardige code, zegt Schneier.
Om klantvriendelijk te zijn, moet DRM-software daarom computervriendelijk zijn. Het mag zich niet verbergen voor het besturingssysteem van de computer en niet meer dan zijn deel van de verwerking of het geheugen in beslag nemen. En de gebruiksvoorwaarden en functies van de software moeten worden beschreven op een manier die duidelijk is voor de gebruiker, niet begraven in een EULA van 20 pagina's. Mensen moeten de koopjes die ze sluiten begrijpen en de beperkingen waaraan ze onderworpen kunnen zijn, zegt David Sohn, een stafadviseur gespecialiseerd in intellectueel eigendomsrecht bij het Center for Democracy and Technology in Washington, DC.
Ten tweede moet DRM-technologie: respecteer de privacy en veiligheid van gebruikers . Het mag alleen die persoonlijke informatie verzamelen die nodig is voor authenticatie, en alleen na het verkrijgen van de toestemming van de gebruikers. En maatregelen ter bescherming van de inhoud mogen niet ten koste gaan van de beveiliging van een computersysteem tegen echte malware.
Ten derde zou goede DRM moeten zijn: door de gebruiker te onderhouden . Als een DRM-systeem kapot gaat, moeten consumenten nog steeds toegang hebben tot de inhoud die ze hebben gekocht, en als het een veiligheidsrisico wordt, moeten ze het kunnen uitschakelen. Maar volgens de Amerikaanse Digital Millennium Copyright Act (DMCA) van 1998 is het onwettig om de technologie die digitale inhoud beschermt te omzeilen. Er is geen uitzondering voor gevallen zoals die van de Sony BMG-rootkit, waarbij de DRM-technologie zelf schade kan aanrichten. Deze bizarre situatie kan worden verholpen als de pogingen van sommige wetgevers om de DMCA te wijzigen, slagen. Op 14 december, voor de derde congressessie op rij, introduceerde Rep. Zoe Lofgren, een democraat uit Silicon Valley, een wetsvoorstel dat het legaal zou maken om DRM-technologie te omzeilen als de onbeschermde inhoud vervolgens wordt gebruikt voor niet-inbreukmakende doeleinden, zoals archivering . Het wetsvoorstel van Lofgren is doorverwezen naar de House Committee on the Judiciary, waar het wacht op beoordeling.
De vierde, en misschien wel belangrijkste, goede DRM-technologie zou moeten zijn: flexibel . Het voorstel dat Sony BMG aan klanten met XCP deed, was nogal mager: koop deze cd voor $ 13,98 en je kunt drie kopieën maken, alleen in Windows Media Audio-formaat. De kopieën kunnen niet worden gekopieerd - en ze kunnen niet worden afgespeeld op de computers van andere mensen. Redelijke DRM daarentegen zou consumenten de vrijheid geven om de inhoud die ze hebben gekocht op niet-inbreukmakende manieren te gebruiken, zoals het naar hun computers rippen en uploaden naar hun mobiele spelers, of hen misschien precies laten kiezen hoe ze het willen gebruiken de inhoud en laad dienovereenkomstig op. Time-shifting (live audiofeeds opnemen voor consumptie later), place-shifting (muziek streamen via internet van een thuiscomputer naar een externe locatie), of zelfs sampling en remixen kunnen allemaal verschillende prijskaartjes hebben. De markt moet producten belonen of straffen op basis van de vraag of ze de flexibiliteit bieden die mensen willen, zegt Sohn.
Sommige DRM-technologieën bieden toenemende flexibiliteit. Sohn wijst op FairPlay, het DRM-systeem achter Apple's iTunes, als een voorbeeld dat andere contentdistributeurs goed kunnen navolgen: klanten kunnen op een computer naar FairPlay-beveiligde nummers luisteren, afspeellijsten maken, die afspeellijsten op cd's branden en de nummers naar draagbare apparaten. (Sohn is echter geen fan van het onvermogen van FairPlay om met niet-Apple-producten te werken.) Het succes van de iTunes-muziekwinkel, zegt Sohn, suggereert dat deze combinatie van functies voldoet aan de vraag van de consument. TiVo to Go is een ander voorbeeld: eigenaren van TiVo digitale videorecorders kunnen opgenomen shows overzetten naar dvd's, desktop-pc's, laptops en mobiele apparaten zoals de video-iPod en Sony's PlayStation Portable.
Maar voor elke iTunes en TiVo zijn er nog steeds talloze voorbeelden van beperkende DRM-schema's die klanten als criminelen behandelen. Zolang er geen consensus is over welke rechten consumenten verdienen en welke beperkingen nodig zijn om de inkomens van artiesten en hun studio's te beschermen, zal het kopen van digitale content waarschijnlijk een heikele zaak blijven.
Er is absoluut een recht voor de houders van intellectueel eigendom om dat eigendom te beschermen, zegt Stephen -Toulouse, beveiligingsprogrammamanager bij het Microsoft Security Response Center, waar onderzoekers afgelopen herfst weken besteedden aan het helpen van Windows-gebruikers bij het reageren op de rootkit-epidemie. Maar als consument zou ik graag zien dat softwareleveranciers en studio's feedback krijgen van consumenten en technologieën creëren die hierop aansluiten.
Uiteindelijk is het beste antwoord van de platenlabels op dalende muziekinkomsten misschien meer verbeeldingskracht, niet meer controle.
Wade Roush is hoofdredacteur bij Technology Review.