Очень часто при обсуждении вирусов и других угроз возникает вопрос: «Кому это нужно»? Одно из расхожих мнений состоит в том, что появление новых вредоносных механизмов выгодно самим разработчикам защитного ПО. Конечно, любому здравомыслящему человеку понятно, что в целом это не так – слишком много существует примеров реальных кибер-злоумышленников. Но когда в число «заинтересованных лиц» попадают крупнейшие компании, тут уж поверишь во что угодно…
Впервые с угрозами типа rootkit мы познакомились не так давно. Напомним, что речь идет о технологии сокрытия файлов, записей реестра и прочих системных объектов от обычных программ и даже средств диагностики и обеспечения безопасности. Такой эффект достигается за счет использования достаточно хитроумного программного обеспечения, создание которого по плечу лишь очень квалифицированным хакерам. Однако, как оказалось, сегодня rootkit-пакеты делают на заказ, и столкнуться с ними может даже самый осторожный и подготовленный пользователь.
Поистине детективная история «еще одного» rootkit началась с вполне обычной покупки музыкального компакт-диска в известнейшем интернет-магазине Amazon.com. По счастливой случайности совершил ее сам Марк Руссинович (Mark Russinovich), главный программный архитектор и сооснователь компании Winternals Software и, что особенно принципиально, автор популярной программы RootkitRevealer. А приобрел он выпущенный Sony BMG альбом дуэта Van Zant «Get Right with the Man» – с пометкой Content/Copy-Protected CD.
Вскоре (в конце октября) при тестировании новой версии RootkitRevealer на своей рабочей машине он неожиданно обнаружил все признаки наличия в системе rootkit ядерного режима: присутствуют «невидимые» каталог, несколько драйверов устройств и некое приложение. После того как был выявлен и отключен ключевой драйвер, обеспечивающий сокрытие информации, появилась возможность исследовать таинственные файлы. Как выяснилось, rootkit является официальным продуктом компании First 4 Internet, которая поставляет ПО DRM – XCP (еXtended Copy Protection) – звукозаписывающим компаниям, в том числе и Sony.
Конкретно XCP обеспечивает возможность воспроизведения музыки исключительно плеером, распространяемом на том же компакт-диске, и не позволяет делать более трех его копий. На данный момент эта технология применяется в 20 продуктах Sony, которых за последние 8 месяцев было продано более двух миллионов.
Далее Руссинович выяснил, что rootkit и защита от копирования его новоприобретенного CD суть одно и то же. При этом дополнительно обнаружилось, что, во-первых, плеер отправляет на сайт Sony идентификатор диска и выполняет проверку на наличие обновлений фотографий и текстов песен данного альбома, во-вторых, DRM-защита сканирует исполняемые файлы процессов с вытекающими отсюда затратами процессорного времени (около 1–2%), причем даже после завершения работы плеера.
К сожалению, удалить это программное обеспечение стандартными средствами не получилось: деинсталлятора не оказалось ни на компакт-диске, ни на сайте First 4 Internet, не было плеера и в соответствующем списке установленных приложений в Control Panel. Руссиновичу пришлось воспользоваться старым, проверенным способом ручного удаления файлов драйвера и их записей в реестре (кстати сказать, DRM настроен даже на загрузку в отказоустойчивом режиме Windows, что может привести к самым непредсказуемым проблемам). После перезагрузки компьютера rootkit больше не идентифицировался, но вместе с ним исчез и пишущий DVD-привод. Дело в том, что в ОС Windows присутствует функция так называемой фильтрации драйверов устройств, благодаря которой один драйвер может просматривать и модифицировать запросы ввода/вывода, предназначенные другому. Соответственно, при некорректном удалении фильтрующего драйвера, фильтруемый может перестать работать вовсе. Так в данном случае и вышло, а исправлять ситуация опять пришлось вручную.
После публикации в блоге Руссиновича подробности данной истории были ретранслированы на множестве интернет-ресурсов, а вскоре к критике присоединились и непрофильные СМИ, в том числе USA Today и BBC. Очевидно, что огласка отнюдь не способствует популярности Sony, и компания вроде бы предприняла необходимые меры, предложив всем желающим загрузить со своего сайта некую заплатку или деинсталлятор (первоначально даже не признав собственной вины). Впрочем, получить его было не так-то просто – сначала нужно заполнить специальную форму, затем получить идентификатор на указанный в ней e-mail-адрес, который наконец-то позволит оформить собственно запрос, после чего в течение рабочего дня якобы будет отправлена ссылка на загружаемый модуль… Руссинович этой таинственной ссылки так и не дождался.
Затем заплатка стала доступна на странице Software Updates и представляла собой пакет обновления для ПО DRM размером около 3,5 MB. Ее инсталляция приводила к появлению в списке установленных программ малоинформативной записи «MediaJam» без каких бы то ни было упоминаний плеера Sony или DRM, а в каталоге Program Files – одноименного подкаталога с одним DLL-файлом. И даже в данном случае деинсталляция rootkit не всегда проходила гладко – видимо, не хватило разработчикам времени на тестирование. В действительности при этом лишь демаскировался DRM, и драйвер выгружался из памяти. Забавно, но то же самое можно проделать всего одной командой Windows:
net stop "network control manager"
Как многие уже, наверное, догадались, за названием «Network Control Manager» скрывается именно драйвер rootkit. Однако сам по себе останов этого драйвера может привести к нестабильной работе системы, вплоть до появления «синих экранов смерти». Поэтому еще нужно выполнить следующую команду (удаляющую записи драйвера aries из реестра):
sc delete $sys$aries
и перезагрузить компьютер. После всех процедур драйвер хоть и останется на диске, но активироваться не будет.
Более развернутый ответ правдоискателям дали представители First 4 Internet:
В принципе, вся эта игра словами сути вещей не меняет. Наверное, представители медиаиндустрии имеют право вводить какие-то ограничения на использование своей продукции. Насколько это оправданно и этично – отдельный разговор. Однако любые предпринятые ими меры должны быть адекватными. В данном же случае речь идет о том, что, соблюдая свои интересы, Sony поставила под угрозу тысячи, если не миллионы, компьютеров, причем воспользовавшись одним из самый изощренных хакерских приемов. И сегодня это уже отнюдь не умозрительное заключение – несколько дней назад «Лаборатория Касперского» объявила об обнаружении первой злонамеренной программы, использующей для собственных целей rootkit от Sony. Затем выяснилось, что тот самый «деинсталлятор» DRM оставляет в системе ActiveX-элемент, на который уже «положили глаз» несколько хакерских сайтов. Соответственно, сегодня имя Sony увековечено в антивирусных справочниках ведущих поставщиков средств безопасности (к примеру, CA), и даже Microsoft пообещала обеспечить защиту от данного rootkit в своей антишпионской программе.
В конце-концов здравый смысл, кажется, все же стал побеждать. Sony не только принесла официальные извинения, но и отказалась от использования DRM в нынешнем виде. Сомнительный деинсталлятор убран с сайта компании, вместо него в самое короткое время будет предложен новый, вероятно, протестированный более тщательно. И даже музыкальные диски с rootkit (напомним, что их было продано более 2 млн) можно будет бесплатно обменять. Так или иначе все выявленные проблемы будут решены, но не хотелось бы, чтобы этот урок прошел бесследно – и не только для Sony. Ведь парадоксальность данного инцидента заключается еще и в том, что опасности подверглись пользователи, приобретающие как раз лицензионную продукцию, – к сожалению, нередко борьба с пиратством дает и обратный эффект.