22.11.2005
**Sisällys**
– Taustaa
– EFF:n ryhmäkanne
– Texasin syyte
– Otteita Texasin syytekirjelmästä
– Massachusettin tutkinta
Taustaa
——-
`Blogiartikkelissa 18.11.2005`__ kerrottiin Sonyn BMG:n Yhdysvalloissa
käyttöön ottamasta CD:n kaltaisten äänitteiden “toisen sukupolven”
käyttöestojen hallintajärjestelmästä (Digital Restrictions Management,
DRM), joka osoittautui vaaralliseksi haittaohjelmaksi. Sonyn
XCP-haittaohjelma on saastuttanut arviolta yli puoli miljoonaa
tietokonetta. XCP on levinnyt myös Suomessa. Lisäksi Sonyn tarjoama
XCP:n poisto-ohjelma avasi ohjelman käyttäjän tietokoneessa vakavan
tietoturva-aukon.
__ http://www2.effi.org/blog/kai-2005-11-18.html
Sony BMG on `Sonyn puoliksi omistama`__ maailmanlaajuisesti toimiva
levy-yhtiö.
__ http://www.sonybmg.com/factsandfigures.html
Pian paljastui, että XCP ei ollut yksittäistapaus. Myös toinen Sony
BMG:n käyttämä CD-äänitteiden käyttöestojen hallintajärjestelmä,
SunnCommin MediaMax, `sisältää vakoiluohjelman`__. MediaMax asentaa
vaikeasti poistettavia tiedostoja käyttäjän tietokoneelle, `vaikka
käyttäjä ei hyväksyisi MediaMaxin käyttöehtoja`__. Myös SunnCommin
jakama poisto-ohjelma aiheutti vakavan tietoturva-aukon.
__ http://www.freedom-to-tinker.com/?p=925
__ http://www.eff.org/news/archives/2005_11.php#004192
`Levy-yhtiön mukaan`__ he ainoastaan “pyrkivät tekemään kaikkensa”,
jotta musiikin kopiointi voitaisiin estää. Kaikki keinot tuntuvat
olevan sallittuja.
__ http://groups.google.fi/groups?selm=dlguek$t13$1@oravannahka.helsinki.fi
Sony suostui tekemään asialle jotain vasta julkisen kohun jälkeen.
Tämänkin jälkeen yritys on yrittänyt vierittää syytä tapahtuneesta
muun muassa sen yrityksen niskaan, jolta he olivat XCP-ohjelmiston
mittatilaustyönä tilanneet.
Sony BMG kuitenkin tiesi erittäin hyvin, mitä he olivat ostaneet ja
mitä he maksaville asiakkailleen toimittivat: itsensä käyttäjältä
piilottavan, vaikeasti poistettavan,
dokumentoimattomia toimintoja sisältävän, tietokoneen
normaalia käyttöä estävän ja `kohtuuttomilla lisenssiehdoilla`__
varustetun ohjelmiston. Levy-yhtiön mielestä tällainen oli
hyväksyttävää, koska kyse oli yhtiön mielestä sen
omien etujen suojelemisesta.
__ http://www.eff.org/deeplinks/archives/004145.php
EFF:n ryhmäkanne
—————-
Yhdysvaltalainen `Electronic Frontier Foundation`__ (EFF) `nosti
21.11.2005 ryhmäkanteen Sony BMG:tä vastaan`__.
__ http://www.eff.org/
__ http://www.eff.org/news/archives/2005_11.php#004192
EFF:n mukaan Sonyn pitää korjata XCP- ja SunnCommin
MediaMax-ohjelmistoista aiheutunut haitta. XCP- ja
MediaMax-ohjelmistoja on käytetty Yhdysvalloissa yli 24 miljoonalla
musiikki-CD-levyllä.
EFF on tyytyväinen siihen, että Sony BMG on poistamassa XCP-levyjä
myynnistä, vaikka Sony BMG ei EFF:n mukaan vielä olekaan mitenkään
korvannut asiakkailleen XCP-ohjelmistosta aiheutuneita vahinkoja.
Sonyn tähänastiset toimet eivät kuitenkaan vaikuta yli 20 miljoonaa
MediaMax-CD-levyä koskeviin ongelmiin, joille Sony ei ole tehnyt
mitään.
Sonya vastaan on aikaisemmin nostettu ryhmäkanteet Kaliforniassa__ ja
`New Yorkissa`__.
__ http://blogs.washingtonpost.com/securityfix/2005/11/calif_ny_lawsui.html
__ http://blogs.washingtonpost.com/securityfix/2005/11/sony_faces_anot.html
Texasin syyte
————-
Texasin osavaltion yleinen syyttäjä nosti 21.11.2005 syytteen__ Sony
BMG:tä vastaan. Syyttäjän mukaan kuluttajat luulivat ostavansa
CD-levyjä. Sen sijaan he saivat vakoiluohjelman, joka voi vaurioittaa
tietokonetta, altistaa tietokoneen viruksille ja käyttäjän
mahdolliselle identiteettivarkaudelle.
__ http://www.oag.state.tx.us/oagnews/release.php?id=1266
Syyttäjä vaatii Sony BMG:ltä vahingonkorvauksina 100.000 dollaria per
rike, sekä asianajo- ja tutkimuskulujen korvaamista. `Syyttäjän mukaan`__
pelkästään Texasissa voi olla “tuhansia ellei jopa kymmeniä tuhansia” rikkeitä.
__ http://blogs.washingtonpost.com/securityfix/2005/11/texas_attorney_.html
Otteita Texasin syytekirjelmästä
++++++++++++++++++++++++++++++++
Alla käännettyjä otteita Texasin syytekirjelmästä__. Syytekirjelmässä
esitetään tiivistelmä Sonyn kopiosuojahaittaohjelman toiminnasta.
__ http://www.oag.state.tx.us/newspubs/releases/2005/112105sony_pop.pdf
**Texasin osavaltio** v. **Sony BMG Music Entertainment, LLC**
5. Koska kantajalla, Texasin osavaltiolla, on syy uskoa, että
syytetty on rikkonut ja tulee rikkomaan lakia alla kuvatulla
tavalla, on Texasin osavaltiolla syy uskoa että syytetty on
aiheuttanut, ja tulee aiheuttamaan, vahinkoa Texasin osavaltion
asukkaille ja laillisille liikeyrityksille, jotka toimivat tässä
osavaltiossa. Siten, Texasin osavaltion syyttäjäviraston
kuluttajansuoja- ja terveysosasto uskoo, että tämä syyte on yleisen
edun mukainen.
**Faktat**
7. Syytetty, Sony BMG, mainostaa, jakaa ja myy ääni-CD-levyjä
kaikkialla Yhdysvalloissa, mukaan lukien Travisin piirikunnassa
Texasissa. Äskettäisen CD-julkaisunsa yhteydessä Sony BMG on
liittänyt näille CD:lle oman mediasoittimensa, joka on suunniteltu
soittamaan ääniraitoja henkilökohtaisella tietokoneella
(vastakohtana sille, että kuluttaja käyttäisi kolmannen osapuolen
ohjelmia, kuten Microsoftin Media Playeriä). Nämä ääni-CD:t
käyttävät XCP-teknologiaa, joka Sony BMG:n mukaan on suunniteltu
“suojaamaan CD:llä olevia äänitiedostoja”. Sony BMG:n levittämät
XCP:tä käyttävät CD-levyt on merkitty tekstillä “Content Protected”
CD-pakkauksen selkämyksessä; Sony ei kuitenkaan kerro pakkauksessa
millään tavalla, että mitään asennettaisiin kuluttajan
tietokoneelle. Kun kuluttaja asettaa Sony BMG:n kopiosuojatun CD:n
tietokoneeseensa soittamista varten, CD yleensä aiheuttaa
monisivuisen lisenssiopimuksen (“EULA”) näyttämisen, johon
kuluttajan pitää vastata “hyväksyn” tai “en hyväksy”. Kuluttajan
pitää klikata “hyväksyn”, jotta hän voi soittaa CD:llä olevia
äänitiedostoja. “Hyväksymisen” jälkeen Sony BMG:n oma mediasoitin
latautuu ja sallii kuluttajan kuunnella CD:tä. Jos kuluttaja
klikkaa “en hyväksy”, CD tulee pois tietokoneesta.
8. Mediasoittimen asennuksen aikana Sony BMG luo ja asentaa
XCP-teknologiansa osat kansioon, jonka se nimeää
“C:/Windows/System32/$sys$filesystem”. Kuluttajan tietämättä, Sony
BMG myös asentaa “Aries.sys”-nimisen tiedoston samaan kansioon,
mikä piilottaa XCP-tiedostot ja kansion, johon ne on asennettu,
jotta tietokoneen omistaja, joka tarkastelee tiedostojärjestelmää,
ei voisi paikallistaa ja poistaa XCP-teknologiaa. Oleellisesti,
Aries.sys-ajuri piilottaa minkä tahansa merkkijonolla “$sys$”
alkavan hakemiston kuluttajan
tietokoneella – nämä ovat
ensimmäiset kirjaimet XCP-teknologiaan liittyvien kansioiden,
tiedostojen ja rekisterimerkintöjen nimissä. Lisäksi, nämä
piilotiedostot asennetaan kuluttajan Microsoft Windowsin
“System32”-alikansioon, siten että kuluttaja voi erehdyksessä
luulla kyseessä olevan
tietokoneen käyttöön tarvittavien välttämättömien tiedostojen.
9. Aries.sys-tiedostoa ei tarvita Sony BMG:n kopiosuojattujen CD:n
soittamiseen; sen sijaan sen tarkoituksena on piilottaa Sony BMG:n
asentama kopiosuojaohjelmisto. Itse asiassa, Aries.sys-tiedoston
uudelleen nimeäminen tai poistaminen paljastaa XCP-tiedostot, ja
kuluttaja voi jatkaa CD:nsä käyttämistä samalla tavalla kuin jos
ajuri olisi edelleen olemassa. Sony BMG ei paljasta kuluttajille
sitä tosiasiaa, että sen teknologia sisältää tämän piilotusosan,
ei CD:ssä eikä lisenssisopimuksessa.
10. Lisäksi, Sony BMG:n kopiosuojatulla CD:llä olevien ääniraitojen
soittamiseen ei tarvita Sony BMG:n mediasoitinta. Joissakin
tapauksissa kuluttajille, jotka syöttävät Sony BMG:n kopiosuojatun
CD:n tietokoneisiinsa ei näytetä lisenssisopimusta, vaan
käyttöjärjestelmä kysyy heiltä ikkunassa, haluavatko he soittaa
CD:tä. Kuluttaja voi sitten soittaa CD:tä toisella
mediasoittimella (esimerkiksi, Windowsin mediasoittimella).
Kuitenkin, jos kuluttaja syöttää CD:n ja Sony BMG:n
lisenssisopimus näytetään, kuluttaja ei enää voi käyttää näitä
muita mediasoittimia ääni-CD-levyn soittamiseen.
11. Sony BMG kuvaa XCP-teknologiaansa WWW-sivuillaan
http:\ //cp.sonybmg.com. Osana usein kysyttyjä kysymyksiä, Sony BMG
kertoo seuraavaa:
“Olen kuullut, että suojaohjelmisto on oikeasti
haitta/vakoiluohjelma. Onko tämä totta?
Tietenkään ei. Suojaohjelmisto yksinkertaisesti toimii
estääkseen suojattujen levyjen rajoittamattoman kopioinnin.
Muutoin ohjelmisto ei tee mitään. Ohjelmista ei kerää
henkilökohtaisia tietoja eikä sitä ole suunniteltu vaikuttamaan
muuten tietokoneeseesi. Myöskään, suojaosia ei koskaan asenneta,
jos käyttäjä ei ensin hyväksy lisenssiehtoja.
Jos jossain vaiheessa haluat poistaa ohjelmiston koneeltasi, ota
yksinkertaisesti yhteyttä asiakaspalveluun tämän linkin kautta.
Et kuitenkaan voi käyttää levyä tietokoneellasi sen jälkeen, kun
poistat ohjelmiston.
Teknologiatoimittajamme pyrkivät koko ajan parantamaan
tuotettaan, kuten myös vastaamaan kaikkiin löydettyihin
kriittisiin ohjelmavikoihin. Tarkista täältä päivitykset kaikkin
tiedettyihin ongelmiin.”
12. Todellisuudessa, Sony BMG:n XCP-teknologia pysyy piilossa ja
aktiivisena kuluttajan tietokoneella koko ajan asennuksen jälkeen,
jopa silloinkin, kun Sony BMG:n mediasoitin ei ole aktiivinen.
Asennusprosessin aikana Sony BMG asentaa toisen piilotetun
tiedoston, nimeltään “$sys$drmserver.exe”, joka on piilotettu ja
kuluttaa jatkuvasti järjestelmän muistia, johtaen kuluttajan
järjestelmäresurssien vähenemiseen. Lisäksi, XCP-teknologian
poistamista yrittävä kuluttaja huomaa, että Sony BMG on tehnyt
poistamisesta äärimmäisen vaivalloista, ellei mahdotonta – Sony
BMG ei pidä poisto-ohjelmia helposti saatavilla. Kuluttajan pitää
ottaa yhteyttä asiakaspalveluun saadakseen korjauksen, joka
“poistaa piilotuksen” tiedostoilta (osittain poistamalla
Aries.sys-tiedoston) ja tämän jälkeen kuluttajan pitää ottaa
asiakaspalveluun uudestaan yhteyttä, jos hän haluaa poistaa
XCP-ohjelmiston.
13. Äskettäisen Sony BMG:n XCP-teknologiaa koskevan julkisuuden
yhteydessä, Sony BMG julkaisi seuraavan lausuman koskien
poisto-ohjelmaa:
“Tämä poisto-ohjelma poistaa piilotusteknologian komponentin,
josta on viime aikoina puhuttu paljon Sony BMG:n
XCP-teknologialla suojattuja CD:tä koskevissa artikkeleissa.
Tämä komponentti ei ole haitallinen eikä se vaaranna
turvallisuutta. Kuitenkin, vähentääkseen huolia mahdollisista
tietoturvaongelmista, tämä päivitys on julkaistu, jotta
käyttäjät voivat poistaa komponentin tietokoneiltaan.”
Sony BMG:n vakuutteluista huolimatta, useat uutislähteet ovat
äskettäin kertoneet viruksista, jotka hyödyntävät Sony BMG:n
piilotustekniikkaa. Tämän seurauksena, kuluttaja, joka ei tiedä
Aries.sys-tiedoston asentamisesta tietokoneelleen, voi olla
haavoittuvainen uusille tietoturvauhille, ja johtuen tiedostojen
piilotuksesta ja niiden poistamisen vaikeudesta, kuluttajan voi
olla mahdotonta suojautua uhkia vastaan tulevaisuudessa.
**Vakoiluohjelmalain (CPACSA) rikkomukset**
15. Syytetty, kuten edellä on väitetty, on tietoisesti aiheuttanut
tietokoneohjelmistojen kopioitumisen tietokoneelle tässä
osavaltiossa, jossa se toimii, ja on käyttänyt tätä ohjelmistoa:
A. Muuttamaan ohjelmiston nimeä, sijaintia tai muuta tunnistetta
estääkseen omistajaa paikallistamasta ja poistamasta
ohjelmistoja, CPACSA § 48.053(5):n vastaisesti; ja
B. Luonut satunnaistettuja tai tarkoituksellisesti harhaanjohtavia
tiedoston- tai hakemistonnimiä, formaatteja tai
rekisterimerkintöjä välttääkseen niiden havaitsemisen ja
estääkseen omistajaa poistamasta ohjelmistoja, CPACSA §
48.053(6):n vastaisesti.
16. Syytetty, kuten edellä on väitetty, on lisäksi saanut tässä
osavaltiossa tietokoneen käyttäjän tai omistajan, jonka käyttäjä
tai omistaja syytetty ei ole, asentamaan tietokoneelle
ohjelmistoja tarkoituksellisesti vääristellen asennuksen tarvetta
tietoturvalle tai yksityisyydelle, tekstin avaamiselle tai
katsomiselle tai tietyn musiikin tai muun sisällön soittamiselle,
CPACSA § 48.055(1):n vastaisesti.
Massachusettin tutkinta
———————–
Myös `Massachusettin osavaltion yleinen syyttäjä tutkii, onko Sony BMG rikkonut osavaltion kuluttajansuojalakeja`__.
__ http://blogs.washingtonpost.com/securityfix/2005/11/texas_attorney_.html
—–
`CD-tyyppiset äänitteet, joissa on käyttöesto`__, tunnistaa `Copy Control -logosta`__.
__ http://www2.effi.org/cd.html
__ http://en.wikipedia.org/wiki/Image:Copy_control_logo.png
—–
*Kai Puolamäki*
Tämä dokumentti on `Public Domainia`__.
__ http://creativecommons.org/licenses/publicdomain/