Por Bruce Schneier

Es una historia de David contra Goliath, sobre los blogs tecnológicos derrotando a una megacorporación.

El 31 de Octubre, Mark Russinovich irrumpió con el tema en su blog: Sony BMG Music Entertainment distribuía un esquema de protección contra copia en sus Cds musicales que instalaba en secreto un rootkit en los ordenadores. Esta herramienta es ejecutada sin conocimiento ni consentimiento: es cargada en el ordenador por un CD y un intruso puede obtener y mantener el acceso a su sistema sin que usted se entere.

El código de Sony modifica Windows para que no se pueda decir que está ahí, un proceso denominado "cloaking" (ocultación) en el mundo hacker. Actúa como spyware, enviando subrepticiamente a Sony información sobre usted. Y no puede ser eliminado; intentar librarse de él daña a Windows.

La historia fue recogida por otros blogs (incluido el mío), y luego por la prensa informática. Finalmente, se hicieron eco los grandes medios...

El follón fue tan grande que el 11 de Noviembre Sony anunció que detenía temporalmente la producción de ese esquema de protección anti-copia. Como no fue suficiente, el 14 de Noviembre la empresa anunció que estaba retirando de las tiendas los CDs protegidos y ofrecía a los usuarios sustituir gratis los CDs infectados.

Pero ahí no está el auténtico asunto.

Es una historia sobre extrema arrogancia. Sony puso en marcha su increíblemente invasivo sistema de protección anti-copia sin siquiera discutir públicamente sus detalles, confiada en que sus beneficios merecían modificar los ordenadores de sus clientes. En cuando se descubrieron sus actuaciones, Sony ofreció un "arreglo" que no eliminaba el rootkit, sino sólo su ocultación.

Sony proclamó que el rootkit no llamaba a casa, cuando sí lo hacía. El 4 de Noviembre Thomas Hesse, presidente de negocio digital global de Sony BMG demostró el desdén de la empresa hacia sus clientes cuando dijo "La mayoría de la gente no tiene ni idea de lo que es un rootkit, así que ¿por qué debería importarles?" en una entrevista en NPR. Incluso la disculpa de Sony sólo admite que el rootkit "incluye una característica que podría convertir el ordenador del usuario en susceptible a un virus creado específicamente para ese software".

Sin embargo, el comportamiento arrogante de una corporación tampoco es el auténtico asunto.

Este drama tiene también que ver con la incompetencia. La última herramienta de Sony para eliminar el rootkit deja en realidad abierta una vulnerabilidad. Y el rootkit de Sony, diseñado para detener infracciones del copyright, podría estar él mismo infringiendo el copyright. Por sorprendente que pueda parecer, el código parece incluir un codificador de MP3 de código abierto, violando el acuerdo de licencia de esa biblioteca. Pero incluso ése no es el auténtico asunto.

Es una epopeya de pleitos legales en California y otros sitios, y objeto de investigaciones criminales. El rootkit ha sido encontrado incluso en ordenadores del Departamento de Defensa, para disgusto del Departamento de Seguridad Interior. Aunque Sony podría ser demandada bajo la ley sobre cibercrimen de los Estados Unidos, nadie cree que lo sea. Y las demandas nunca son la historia completa.

Esta saga está llena de giros extraños. Algunos apuntaron a cómo este tipo de software degradaría la fiabilidad de Windows. Algunos crearon código malicioso que utilizaría el propio rootkit para ocultarse. Un hacker utilizó el rootkit para evitar el spyware de un popular juego. Y hay incluso peticiones de un boicot mundial contra Sony. Después de todo, si no se puede confiar en que Sony no infecte tu ordenador cuando compras su música, ¿puedes confiar en que te vendan un ordenador sin infectar?. Ésa es una buena pregunta pero -de nuevo- no es el auténtico asunto.

Es otra ocasión más en que los usuarios de Macintosh pueden observar, divertidos (bueno, la mayoría) desde fuera, preguntándose cómo puede alguien utilizar aún Microsoft Windows. Pero, cierto, ése tampoco es el auténtico asunto.

El asunto al que hay que prestar atención aquí es la connivencia entre las grandes empresas multimedia, que intentan controlar lo que hacemos en nuestros ordenadores, y las empresas de seguridad informática, que se supone deberían protegernos.

Las estimaciones iniciales son que más de medio millón de ordenadores en todo el mundo están infectados por el rootkit de Sony. Son cifras de infección llamativas, convirtiendo a ésta en una de las más serias epidemias en Internet de todos los tiempos, a la altura de gusanos como Blaster, Slammer, Code Red y Nimda.

¿Qué piensa usted de su empresa antivirus, que no advirtió el rootkit de Sony mientras infectaba a medio millón de ordenadores?. Y éste no es uno de esos gusanos de Internet que se propagan a la velocidad de la luz; éste se ha estado propagando desde mediados de 2004. ¿No se dieron cuenta porque se propagaba a través de CDs infectados, en lugar de por conexiones a Internet?. Éste es exactamente el tipo de cosas por las que pagamos a estas empresas para que las detecten, sobre todo porque el rootkit estaba llamando a casa.

Pero mucho peor que no detectarlo antes que Russinovich fue el significativo silencio que siguió. Cuando se encuentra un nuevo malware las empresas de seguridad se apresuran a limpiar nuestros ordenadores y vacunar nuestras redes. No en este caso.

McAfee no añadió código de detección hasta el 9 de Noviembre, y a día 15 no elimina el rootkit, sólo su ocultación. La empresa admite en su web que se trata de un pobre compromiso. "McAffe detecta, elimina y previene la reinstalación de XCP". Ése es el código de ocultación. "Por favor, tenga en cuenta que la eliminación no abarca los mecanismos de protección de copyright instalados desde el CD. Ha habido informes de caídas del sistema, posiblemente como resultado de desinstalar XCP". Gracias por el aviso.

La respuesta de Symantec al rootkit ha -por decirlo amablemente- evolucionado. Al principio la empresa no consideraba a XCP malware en absoluto. No fue hasta el 11 de Noviembre que Symantec publicó una herramienta para eliminar la ocultación. A 15 de Noviembre anda todavía dudando al respecto, explicando que "este rootkit fue diseñado para ocultar una aplicación legítima, pero puede ser utilizado para ocultar otros objetos, incluso software malicioso."

Lo único que convierte a este rootkit en legítimo es que fue una coporación multinacional la que lo puso en tu ordenador, no una organización criminal.

Se podría esperar que Microsoft fuese la primera empresa en condenar este rootkit. Después de todo, XCP corrompe las interioridades de Windows de una forma bastante fea. Es el tipo de conducta que podría conducir fácilmente a caídas del sistema (caídas que los clientes achacarían a Microsoft). Pero no fue hasta el 13 de Noviembre, cuando la presión del público era demasiado grande como para ignorarla, que Microsoft anunció que actualizaría sus herramientas de seguridad para detectar y eliminar la parte de ocultación del rootkit.

Quizás la única empresa de seguridad que merece el elogio es F-Secure, la primera y más fuerte crítica de las acciones de Sony. Y Sysinternals, por supuesto, que alberga el blog de Russinovich y sacó esto a la luz.

La mala seguridad ocurre. Siempre ha sido y siempre será. Y las empresas hacen cosas estúpidas; siempre ha sido y siempre será. Pero el motivo por el que compramos productos de Symantec, McAfee y otros es protegernos de la mala seguridad.

Creo firmemente que incluso en la más grande y corporativa empresa de seguridad hay gente con instintos 'jaqueriles', gente que hará correcto y dará la voz de alarma. Que todas las grandes empresas de seguridad, habiendo dispuesto de más de un año para ello, fallaran en notificar o hacer algo respecto al rootkit de Sony demuestra incompetencia en el mejor de los casos, y muy poca ética en el peor.

A Microsoft puedo entenderla. La empresa es un fan de la protección anti-copia invasiva (está siendo incluida en la próxima versión de Windows). Microsoft está intentado trabajar con empresas multimedia como Sony, con la esperanza puesta en que Windows se convierta en el canal de distribución multimedia de elección. Y Microsoft es conocida por mirar por sus intereses empresariales a expensas de los de sus clientes.

¿Qué ocurre cuando los creadores de malware se confabulan con las propias compañías a las que contratamos para protegernos de ese malware?

Nosotros, los usuarios, perdemos; eso es lo que ocurre. Un dañino y peligroso rootkit es soltado al mundo y medio millón de ordenadores resultan infectados antes que nadie haga nada.

¿Para quién trabajan en realidad las empresas de seguridad? Es poco probable que este rootkit de Sony sea el único ejemplo de una empresa multimedia que utiliza esta tecnología. ¿Qué empresa de seguridad tiene ingenieros buscando qué otras podrían estar haciéndolo? ¿Y qué harán si descubren algo? ¿Que harán la próxima vez que alguna empresa multinacional decida que hacerse dueña de tus ordenadores es una buena idea?

Estas preguntas son el auténtico asunto, y todas merecen respuestas.

(C) Bruce Schneier (original y traducción)