Share to:

 

Extended Copy Protection

Extended Copy Protection (XCP) adalah paket perangkat lunak yang dikembangkan oleh perusahaan Inggris First 4 Internet (yang pada 20 November 2006, berganti nama menjadi Fortium Technologies Ltd) dan dijual sebagai skema perlindungan salinan atau manajemen hak digital (DRM) untuk cakram padat. Itu digunakan pada beberapa CD yang didistribusikan oleh Sony BMG dan memicu skandal perlindungan salinan CD Sony BMG 2005; dalam konteks itu juga dikenal sebagai rootkit Sony. Peneliti keamanan, dimulai dengan Mark Russinovich pada Oktober 2005, telah menggambarkan program ini secara fungsional identik dengan rootkit: program komputer yang digunakan oleh penyusup komputer untuk menyembunyikan aktivitas tidak sah pada sistem komputer. Russinovich menyampaikan cerita itu di blog Sysinternals-nya, yang mendapat perhatian dari media dan peneliti lain. Hal ini akhirnya menyebabkan gugatan perdata dan investigasi kriminal, yang memaksa Sony untuk menghentikan penggunaan sistem ini. Sementara Sony akhirnya menarik kembali CD yang berisi sistem XCP, uninstaller berbasis web diselidiki oleh peneliti keamanan terkenal Ed Felten dan Alex Halderman, yang menyatakan bahwa komponen ActiveX yang dipakai untuk menghapus perangkat lunak membuat pengguna menghadapi risiko keamanan yang jauh lebih signifikan, termasuk eksekusi kode arbitrer dari situs web di internet.[1]

Deskripsi

Versi perangkat lunak ini yang digunakan dalam CD Sony adalah yang dipasarkan sebagai "XCP-Aurora". Pertama kali pengguna mencoba memutar CD semacam itu pada sistem Windows, pengguna akan mendapatkan EULA, jika mereka menolak untuk menerimanya, CD dikeluarkan, jika mereka menerimanya, perangkat lunak akan dipasang.[2] EULA tidak menyebutkan bahwa mereka menginstal perangkat lunak tersembunyi. Perangkat lunak kemudian akan tetap berada di sistem pengguna, mencegat semua akses drive CD untuk mencegah pemutar media atau perangkat lunak ripper selain yang disertakan dengan XCP-Aurora mengakses trek musik CD Sony. Tidak ada cara yang jelas untuk menghapus program yang disediakan. Mencoba menghapus perangkat lunak dengan menghapus file terkait secara manual akan membuat drive CD tidak dapat dioperasikan karena pengaturan registri yang telah diubah oleh program. Namun, segera ditemukan bahwa perangkat lunak dapat dengan mudah dikalahkan hanya dengan menggunakan spidol permanen untuk menggambar batas gelap di sepanjang tepi disk.[3]

Riset Keamanan

Setelah publikasi temuannya oleh Mark Russinovich, peneliti keamanan lainnya dengan cepat mempublikasikan analisis mereka sendiri. Banyak dari temuan ini sangat kritis terhadap Sony dan First 4 Internet. Secara khusus, perangkat lunak ditemukan menyembunyikan aktivitasnya dengan cara rootkit dan mengekspos pengguna terhadap bahaya lanjutan dari virus dan trojan.

Teknik penyelubungan XCP, yang membuat semua proses dengan nama yang dimulai dengan $sys$ tidak terlihat, dapat digunakan oleh malware lain "piggybacking" untuk memastikan bahwa itu juga tersembunyi dari pandangan pengguna. Trojan jahat pertama yang disembunyikan melalui XCP ditemukan pada 10 November 2005 menurut sebuah laporan oleh perusahaan antivirus BitDefender.[4]

Penelitian lanjutan oleh Felten dan Halderman menunjukkan bahwa uninstaller berbasis Web yang kemudian ditawarkan Sony untuk perangkat lunak tersebut mengandung masalah keamanan kritisnya sendiri.[5] Perangkat lunak menginstal komponen ActiveX yang memungkinkan situs Web mana pun untuk menjalankan perangkat lunak di komputer pengguna tanpa batasan. Komponen ini digunakan oleh situs Web First 4 Internet untuk mengunduh dan menjalankan uninstaller, tetapi komponen ini tetap aktif setelahnya sehingga memungkinkan situs Web mana pun yang dikunjungi pengguna untuk mengambil alih komputer.

Karena khusus untuk Microsoft Windows, XCP tidak berpengaruh pada semua sistem operasi lain seperti Linux, BSD, OS/2, Solaris, atau macOS, yang berarti bahwa pengguna sistem tersebut tidak mengalami potensi bahaya dari perangkat lunak ini, dan mereka juga tidak terhalang untuk menyalin trek musik normal pada CD. (Beberapa disk yang terlibat dalam skandal Sony berisi teknologi pesaing, MediaMax dari SunnComm, yang mencoba menginstal ekstensi kernel di macOS. Namun, karena izin MacOS, tidak ada infeksi yang meluas di antara pengguna Mac).

Meskipun Russinovich adalah yang pertama mempublikasikan tentang rootkit, peneliti lain telah menemukannya sekitar waktu yang sama, tetapi masih menganalisisnya atau memilih untuk tidak mengungkapkan apa pun lebih cepat karena efek mengerikan dari klausa anti-penghindaran dari Digital Millennium Copyright Act.[6]

Respons Industri Antivirus

Tak lama setelah peneliti independen melakukan broke the story, vendor perangkat lunak keamanan menindaklanjuti, merilis deskripsi rinci tentang komponen XCP - serta perangkat lunak untuk menghapus komponen cloaking $sys$* Di sisi lain, belum ada perangkat lunak yang dirilis untuk menghapus komponen driver filter CD-ROM. Computer Associates, pembuat perangkat lunak anti-spyware PestPatrol, menggolongkan perangkat lunak XCP sebagai kuda trojan dan rootkit :[7]

XCP. Sony. Rootkit menginstal DRM yang dapat dieksekusi sebagai layanan Windows, tetapi secara keliru menamai layanan ini "Plug and Play Device Manager", menggunakan teknik yang biasa digunakan oleh pembuat malware untuk mengelabui pengguna sehari-hari agar percaya bahwa ini adalah bagian dari Windows. Kira-kira setiap 1,5 detik, layanan ini menanyakan executable utama yang terkait dengan semua proses yang berjalan pada mesin, menghasilkan upaya baca yang hampir terus-menerus pada hard drive. Ini telah terbukti memperpendek umur drive.

Selanjutnya, XCP. Sony. Rootkit menginstal driver perangkat, khususnya driver filter CD-ROM, yang memotong panggilan ke drive CD-ROM. Jika ada proses selain Pemutar Musik yang disertakan (player.exe) mencoba membaca bagian audio CD, pengandar filter menyisipkan noise yang tampaknya acak ke dalam data yang dikembalikan, sehingga membuat musik tidak dapat didengarkan.

XCP. Sony. Rootkit memuat driver filter sistem yang memotong semua panggilan untuk proses, direktori atau daftar registri, bahkan yang tidak terkait dengan aplikasi Sony BMG. Driver rootkit ini memodifikasi informasi apa yang terlihat oleh sistem operasi untuk menyelubungi perangkat lunak Sony BMG. Ini biasanya disebut sebagai teknologi rootkit. Selanjutnya, rootkit tidak hanya mempengaruhi file/berkas XCP.Sony.Rootkit. Rootkit ini menyembunyikan setiap file, proses, atau kunci registri yang dimulai dengan $sys$ . Ini menunjukkan kerentanan, yang telah dieksploitasi untuk menyembunyikan peretasan World of Warcraft RING0 pada saat penulisan ini, dan berpotensi menyembunyikan file dan proses penyerang setelah akses ke sistem yang terinfeksi diperoleh.

Computer Associates mengumumkan, pada November 2005, bahwa produk anti-spyware-nya, PestPatrol, akan dapat menghapus perangkat lunak Sony.[7][8] Satu bulan kemudian, Microsoft merilis pembaruan untuk Alat Penghapusan Perangkat Lunak Berbahaya Windows yang dapat membersihkan malware F4IRootkit.[9][10]

Namun, tanggapan yang agak lambat dan tidak lengkap dari beberapa perusahaan antivirus telah dipertanyakan oleh Bruce Schneier, pakar keamanan informasi dan penulis artikel dan teks keamanan, termasuk Rahasia dan Kebohongan . Dalam sebuah artikel untuk Wired News, Schneier bertanya, "Apa yang terjadi ketika pembuat malware berkolusi dengan perusahaan yang kita sewa untuk melindungi kita dari malware itu?" Jawabannya adalah bahwa "pengguna kalah. . . Rootkit yang berbahaya dan merusak diperkenalkan ke alam liar, dan setengah juta komputer terinfeksi sebelum ada yang melakukan apa pun." [11]

Dampak dari XCP

Mulai awal Agustus 2005, pengguna Windows melaporkan kerusakan terkait dengan program bernama aries.sys, sementara pengguna tidak dapat menemukan berkasnya di komputer mereka. File ini sekarang dikenal sebagai bagian dari XCP. Pembawa acara Call for Help Leo Laporte mengatakan bahwa dia telah mengalami peningkatan laporan tentang drive CD-ROM yang "hilang", sebuah gejala dari upaya yang gagal untuk menghapus XCP.[12] Peneliti keamanan Dan Kaminsky menggunakan analisis cache DNS untuk menentukan bahwa 568.000 jaringan di seluruh dunia mungkin berisi setidaknya satu komputer yang terinfeksi XCP. Teknik Kaminsky menggunakan fakta bahwa server nama DNS cache baru-baru ini mengambil hasil, dan bahwa XCP phone home melakukannya untuk nama host tertentu . Dengan menemukan server DNS yang membawa nama host tersebut dalam cache, Kaminsky dapat memperkirakan jumlah jaringan yang terpengaruh. Setelah rilis data, Kaminsky mengetahui bahwa jumlah "CD yang Ditingkatkan" yang belum ditentukan tanpa rootkit juga menelepon ke rumah ke alamat yang sama dengan yang digunakan oleh disk yang terpengaruh rootkit, sehingga tingkat infeksi masih dalam penyelidikan aktif.

Kelemahan XCP

Menurut firma analis Gartner, XCP mengalami kelemahan yang sama dalam mengimplementasikan DRM seperti halnya teknologi DRM (saat ini atau masa depan) yang mencoba menerapkan DRM ke CD audio yang dirancang untuk dimainkan pada pemutar CD yang berdiri sendiri. Menurut Gartner, karena penginstalan XCP atau perangkat lunak DRM apa pun bergantung pada CD yang menjadi multi-sesi, penerapan tinta (melalui spidol felt-tip biasa) ke tepi luar disk membuat trek data CD tidak dapat dibaca., sehingga menyebabkan PC memperlakukan cakram sebagai CD musik sesi tunggal biasa.[3]

Program AnyDVD Slysoft, yang menghapus perlindungan salinan dari disk video standar dan definisi tinggi, juga mengalahkan DRM pada CD audio. Saat aktif dan CD audio dimasukkan, AnyDVD memblokir PC dari mengakses sesi apa pun kecuali audio; membuat sesi data tidak dapat dibaca dan mencegah penginstalan malware seperti XCP.


Referensi

  1. ^ Felton, Ed (2005-11-15). "Sony's Web-Based Uninstaller Opens a Big Security Hole; Sony to Recall ..." Diarsipkan dari versi asli tanggal 2012-09-05. Diakses tanggal 2021-12-08. 
  2. ^ Felten, E.W.; Halderman, J.A. (2006-01). "Digital rights management, spyware, and security" (PDF). IEEE Security & Privacy Magazine. 4 (1): 18–23. doi:10.1109/msp.2006.12. ISSN 1540-7993. Diarsipkan (PDF) dari versi asli tanggal 2023-06-20. Diakses tanggal 2021-12-10. 
  3. ^ a b "The 50 Worst Inventions". Time. 2010-05-27. Diarsipkan dari versi asli tanggal 30 May 2010. 
  4. ^ "First Trojan Using Sony DRM Detected". 2005-11-10. Diarsipkan dari versi asli tanggal 2012-07-17. 
  5. ^ Halderman, J. Alex (2005-11-15). "Update: Sony Uninstaller Hole Stays Open". Diarsipkan dari versi asli tanggal 2016-08-25. Diakses tanggal 2021-12-08. 
  6. ^ Felten, Edward (March 29, 2013). "The Chilling Effects of the DMCA". Slate. Diarsipkan dari versi asli tanggal 2018-09-11. Diakses tanggal 2021-12-10. 
  7. ^ a b "Spyware Information: XCP.Sony.Rootkit". 2005-10-05. Diarsipkan dari versi asli tanggal 2006-04-18. 
  8. ^ "CA targets Sony DRM as spyware - ZDNet". Blogs.zdnet.com. Diarsipkan dari versi asli tanggal 2009-09-04. Diakses tanggal 08-12-2021. 
  9. ^ "Malicious Software Encyclopedia: WinNT/F4IRootkit". Diarsipkan dari versi asli tanggal March 4, 2007. Diakses tanggal 08-12-2021. 
  10. ^ "December Update for Windows Malicious Software Removal Tool Released". 2005-12-15. Diarsipkan dari versi asli tanggal 2007-09-28. 
  11. ^ Schneier, Bruce (2005-11-17). "Security Matters: Real Story of the Rogue Rootkit". Wired. Diarsipkan dari versi asli tanggal 2007-01-27. Diakses tanggal 08-12-2021. 
  12. ^ "GRC - Security Now! Transcript of Episode #12". Grc.com. 2005-11-02. Diarsipkan dari versi asli tanggal 2023-05-22. Diakses tanggal 08-12-2021. 
Kembali kehalaman sebelumnya