Sonyn XCP-kopiosuojahaittaohjelma

Sonyn XCP-kopiosuojahaittaohjelma
=================================

18.11.2005

Taustaa
——-

Tekijänoikeusteollisuus lobbasi uutta tekijänoikeuslakia__
voimakkaasti syyskuussa 2005 lain eduskuntakäsittelyn aikana.
Tekijänoikeusteollisuus ja oikeudenhaltijajärjestöjen väitteitä
kritiikittä toistellut opetusministeriö esittivät `mitä kummallisempia
väitteitä uuden lain puolesta`__.

__ http://www2.effi.org/tekijanoikeus-faq.html
__ http://www2.effi.org/blog/kai-2005-09-26.html

Yksi näistä väitteistä oli, että myyttiset “toisen sukupolven
käyttöestot” ratkaisevat käyttöestoihin (kopiosuojauksiin) liittyvät ongelmat sallimalla
ihmisten tehdä teoskappaleista, kuten `käyttöestetyistä CD-levyistä`__, muutaman kopion
yksityistä käyttöä varten. Kopion tekeminen voi olla välttämätöntä
teoksen katselemista tai kuuntelemista varten (esim. musiikkikappaleen
kuuntelu kannettavalla soittimella, DVD-elokuvan katselu
Linux-käyttöjärjestelmässä).

__ http://www2.effi.org/cd.html

Jo syyskuussa oli tiedossa, että toisen sukupolven estot ovat susia__.
Uudet estot sallivat tehdä alkuperäisestä teoskappaleesta alkuperäistä
huonolaatuisemman kopion tietyssä estotekniikan tukemassa
laiteympäristössä. Alkuperäistä ongelmaa (teoksen lukeminen ei ole
mahdollista kuluttajan valitsemilla laitteilla) ratkaisu ei siis
poista.

Puhe käyttöestojen “sukupolvista” onkin markkinointipuhetta ja se
koskee vain CD-levyjä. Esimerkiksi musiikki- ja elokuva-DVD-levyissä
käytetyissä estoissa ei mitään tällaisia sukupolvia ole, vaan
estoilla pyritään yleensä estämään kaikki kopioiden tekeminen.

__ http://www.cs.princeton.edu/~jhalderm/cd3/

XCP-käyttöesto
————–

Sony BMG otti Yhdysvalloissa käyttöön tällaisen paljon puhutun
CD-tyyppisten äänitteiden toisen sukupolven käyttöestojen
hallintajärjestelmän (Digital Restrictions Management, DRM). Sony oli
ostanut XCP-nimisen ohjelmiston (luultavasti kalliilla hinnalla)
englantilaiselta First4Internet-nimiseltä yritykseltä.

XCP toimii siten, että käyttöesto-ohjelma käynnistyy, kun levy
laitetaan tietokoneen CD-soittimeen, ellei käyttäjä ole estänyt
ohjelmien käynnistämistä. Ohjelmien automaattinen käynnistys
kannattaakin ottaa pois päältä (ohjeet__).

__ http://www.annoyances.org/exec/show/article03-018

Käyttöesto ei toimi ja levyjä voi kopioida normaalisti, jos ohjelmien
automaattinen käynnistys on pois päältä tai jos käytössä on muu
käyttöjärjestelmä kuin Windows. Applen Mac OS X tai Linux-käyttäjiin
Sonyn käyttöestojen hallintajärjestelmä ei vaikuta.
Lisäksi Sony antoi kysyttäessä__ itse ohjeita suojauksen kiertämiseen,
koska suojaus saattoi estää musiikkikappaleiden kopioinnin esimerkiksi
kannettavaan soittimeen. XCP-käyttöesto on siis täysin tehoton:
“laittomaan” kopiointiin sillä ei ole vaikutusta.

__ http://www.freedom-to-tinker.com/?p=924

Jos XCP-ohjelma kuitenkin käynnistyy ja jos käyttäjä hyväksyy
kohtuuttomat__ ja mahdollisesti pätemättömät__ lisenssiehdot, niin
ohjelma asentuu tietokoneelle.

__ http://www.eff.org/deeplinks/archives/004145.php
__ http://www.digitoday.fi/showPage.php?page_id=14&news_id=50335

Mitä kaikkea XCP tekee, paitsi yrittää rajoittaa kopioiden tekemistä?
Mark Russinovich `paljasti blogissaan 31.10.2005`__, että esto-ohjelma
yrittää piilottaa itsensä käyttäjältä ja käyttöjärjestelmältä
tietomurroissa yleisesti käytetyllä niin sanotulla
rootkit__-tekniikalla. Esto-ohjelma on huonosti kirjoitettu, mistä
syystä se voi hidastaa koneen toimintaa, `sotkea Windowsia ja estää CD-aseman käytön`__.
Kun äänitettä yritetään
kuunnella, esto-ohjelma `ottaa salaa yhteyden Sonyn palvelimeen, ja
ilmoittaa mitä levyä kuunnellaan`__. Esto-ohjelman poistoyritys voi
`sotkea tietokoneen käyttökelvottomaksi`__. Esto-ohjelma myös
`altistaa tietokoneen verkossa leviäville haitta-ohjelmille`__.

__ http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.html
__ http://catb.org/~esr/jargon/html/R/rootkit.html
__ http://www.tietokone.fi/uutta/uutinen.asp?news_id=25234
__ http://www.sysinternals.com/blog/2005/11/more-on-sony-dangerous-decloaking.html
__ http://www.freedom-to-tinker.com/?p=924
__ http://www.digitoday.fi/showPage.php?page_id=14&news_id=50096

Sony `alkoi vetää XCP-äänitteitä pois myynnistä`__ 15.11.2005, yli
kaksi viikkoa kohun alkamisen jälkeen. Yhtiö julkaisi XCP:n
poisto-ohjelman, joka kuitenkin sekin `osoittautui pian erittäin
haitalliseksi`__. Poisto-ohjelma nimittäin altistaa tietokoneen
`vakavalle tietoturva-aukolle`__. Pian Sony poistikin myös
poisto-ohjelmansa sivuiltaan.

__ http://www.digitoday.fi/showPage.php?page_id=14&news_id=50265
__ http://www.sysinternals.com/blog/2005/11/sony-you-dont-reeeeaaaally-want-to_09.html
__ http://www.freedom-to-tinker.com/?p=927

Kaiken huipuksi on paljastunut, että XCP sisältää__ Gnu-lisenssoitua
ohjelmakoodia, muun muassa `osia Jon Johansenin kirjoittamasta
GPL-lisenssoidusta ohjelmasta`__. Jos näin on, niin Sony on vähät
välittänyt muiden tekijänoikeuksista ja XCP on, Sonyn omia ilmaisuja
käyttäen, piraattiohjelma.

__ http://hack.fi/~muzzy/sony-drm/
__ http://www.digitoday.fi/showPage.php?page_id=14&news_id=50316

Sonya vastaan on jo nostettu `monta oikeusjuttua`__.
`Lakiasiantuntijoiden mukaan`__ XCP-ohjelman levittäminen Suomessa voi
olla rikos. Espoon kirjastot ovat päättäneet `poistaa XCP-levyt
valikoimistaan`__.

__ http://www.digitoday.fi/showPage.php?page_id=14&news_id=50019
__ http://www.digitoday.fi/showPage.php?page_id=14&news_id=50335
__ http://www.digitoday.fi/showPage.php?page_id=14&news_id=50344

XCP-ohjelma on saastuttanut myös `Yhdysvaltain asevoimien ja
liittovaltion tietokoneita`__. Kaiken kaikkiaan XCP `on ehtinyt saastuttaa
arviolta yli puoli miljoonaa tietokonetta`__. Suurin osa
virustorjuntaohjelmia valmistavista tietoturvayrityksistä `reagoivat
asiaan jälkijunassa, julkisen kohun jälkeen`__.

__ http://www.wired.com/news/technology/0,1282,69573,00.html
__ http://www.wired.com/news/privacy/0,1848,69601,00.html
__ http://www.wired.com/news/privacy/0,1848,69601,00.html

Microsoft on ilmoittanut__, että seuraava Windowsin suojapäivitys
poistaa Microsoftin haittaohjelmaksi luokitteleman XCP-ohjelman.
Yhdysvaltain liittovaltion US CERT -virasto `julkaisi varoituksen`__
XCP-ohjelmasta ja myös Viestintäviraston alainen CERT-FI `kehotti
vihdoin 17.11.2005`__ varomaan tietoturvan vaarantavaa
XCP-käyttöestoa.

__ http://news.bbc.co.uk/1/hi/technology/4434852.stm
__ http://www.kb.cert.org/vuls/id/312073
__ http://www.ficora.fi/suomi/tietoturva/cert.htm

Suomen Sony BMG vastaa
———————-

XCP-käyttöesto raportoi levyjen soittoyrityksistä Sonylle.
Raportoinnista seuraa nimipalvelukyselyjä, mikä mahdollistaa levyjen
käyttäjien maantieteellisen sijainnin selvittämisen. `Dan Kaminsky`__
onkin tehnyt tästä kartan__. Kuten näkyy, Suomessakin on XCP-ohjelman
saastuttamia koneita.

__ http://www.doxpara.com/
__ http://www.doxpara.com/planetsony2_europe.jpg

Suomen Sony BMG ei kuitenkaan halua ottaa vastuuta mistään. Sonyn
mukaan heidän Euroopassa julkaisemissaan levyissä ei ole
XCP-käyttöestoa. Kaikki Suomessa myydyt XCP-käyttöestetyt äänitteet on
siis Sonyn mukaan alunperin tuotu tai tilattu ulkomailta.

Sonyn mukaan__ (ladattu 18.11.2005):

__ http://www.sonybmg.fi/sonybmg/index.jsp?sub=10&cat=79&id=2938

\ 1.1.2006 astuu Suomessa voimaan uusi tekijänoikeuslaki, jonka
perusteella Suomeen on kielletty tuoda Euroopan talousalueelle
(ETA) julkaisuoikeuden omistajan julkaisemattomia äänitteitä. Tämä
tarkoittaa käytännössä sitä, että mikäli levyä ei ole julkaistu
Euroopassa, sen suoratuonti on kiellettyä. Ostajan vastuulle jää
varmistua, onko tukkurilla oikeus myydä kyseistä levyä.

Sony viittaa uuden tekijänoikeuslain yhteisöraukeamispykälään__, joka
esimerkiksi kieltää levykauppoja myymästä ETA-alueen ulkopuolelta
tuotuja Suomessa julkaisemattomia levyjä. Ongelma siis poistuu
levy-yhtiön mukaan sillä, että tulevaisuudessa Suomessa ei saa levyjä
enää lainkaan myydä!

__ http://www2.effi.org/tekijanoikeus/laki/tekijanoikeus-faq.html#YHTEISORAUKEAMINEN

Sony BMG:n Suomen edustaja Tommi Tuomainen yrittää hallita PR-fiaskoa
sanomalla__, että Sony-konsernissa musiikkia ja esimerkiksi
Sony-elektroniikkaa kauppaavat eri yhtiöt. Kyseessä on kuitenkin sama
Sony-tuotemerkki (`Sony BMG on Sonyn puoliksi omistama yritys`__). Viime
kädessä siis Sonyn osakkeenomistajien__ mielipide ratkaisee yhtiön
politiikan.

__ http://groups.google.fi/groups?selm=dlguek$t13$1@oravannahka.helsinki.fi
__ http://www.sonybmg.com/factsandfigures.html
__ http://finance.yahoo.com/q/mh?s=SNE

Sonyn asenne ongelmaan on ollut vähättelevä ja ainoa
syy, miksi asiaan lopulta puututtiin, oli julkinen kohu. Sony BMG:n
Thomas Hessen sanoin__:

__ http://www.mbnet.fi/Jutut/Uutiset/index.asp?Uutinen=1938

Suurin osa ihmisistä ei edes tiedä, mikä rootkit on, joten miksi
heidän pitäisi välittää siitä. Suojaus on puhtaasti sen takia, että
rajoitettaisiin mahdollisuuksia polttaa mp3-tiedostoja
suojaamattomasti.

Sony BMG:n Tuomainen myös kirjoittaa__:

__ http://groups.google.fi/groups?selm=dlguek$t13$1@oravannahka.helsinki.fi

Toivon, että ymmärrät myös sen, että artistit ja levy-yhtiöt
tekijänoikeuksien haltijoina pyrkivät tekemään kaikkensa, jotta
näiden oikeuksien luvaton hyväksikäyttö saadaan kitkettyä.

Aikaisemmin Sony BMG Finland on kunnostautunut puuttumalla tiedostojen
Internet-levitykseen `häiritsemällä vertaisverkkoja`__. Kauhulla voi
vain arvailla, mitä “pyrkivät tekemään kaikkensa” voi enää tämän
jälkeen merkitä.

__ http://www2.effi.org/tekijanoikeus/vertaisverkkohairinta.html

SunnComm-käyttöesto
——————-

Ei ole ehkä yllättävää, että myös toinen Sonyn käyttämä käyttöestojen
hallintajärjestelmä, SunnCommin MediaMax, `sisältää vakoiluohjelman`__. Kaiken
huipuksi myös SunnCommin poisto-ohjelma `altistaa tietokoneen
vakavalle tietoturva-aukolle`__.

__ http://www.freedom-to-tinker.com/?p=925
__ http://www.freedom-to-tinker.com/?p=931

—–

Vialliset käyttöestetyt äänitteet tunnistaa `Copy Control -logosta`__.

__ http://en.wikipedia.org/wiki/Image:Copy_control_logo.png

—–

*Kai Puolamäki*

Tämä dokumentti on `Public Domainia`__.

__ http://creativecommons.org/licenses/publicdomain/