29.09.2006 11:20

Turvallisuusuhkia piratismin vastaisesta taistelusta?

Tietokonetta kohtaan kohdistuvat tietoturvauhat on normaalisti mielletty liittyväksi koneen heikkoa suojaustasoa hyväksikäyttäviin hakkereihin tai virusten levittäjiin. Valitettavasti nämä eivät enää ole ainoa potentiaalinen uhkien lähde, jonka suhteen koneenkäyttäjän tulisi olla varuillaan. Viihdeteollisuuden väsymätön, pitkäkestoinen ja kulttuurista riippuen vaihtelevasti menestynyt taistelu levyjen ja ohjelmien laitonta kopiointia tai jopa suoranaista piratismia kohtaan on syksyn mittaan saanut varsin surkuhupaisia muotoja viihdejätti Sonyn tempauksen ansiosta.

Tapaus Sony & rootkit

Syksyn merkittävimpiä kopiointisuojausuutisia on tekijänoikeuskiistan lisäksi ollut levyjätti Sony BMG:n muutamiin levyihinsä sisällyttämä varsin kyseenalainen XCR-kopiointisuojausmenetelmä. Se nimittäin käytti hyväkseen dna Tietoturvassa aikaisemminkin käsiteltyä rootkit-menetelmää.

Kopiointisuojauksen toimintamenetelmä on kaikessa yksinkertaisuudessaan todella törkeä. Kun suojausohjelman sisältävä CD-levy asetetaan koneen soittimeen, suojausohjelma kopioi itsensä koneen kovalevylle ja piilottaa itseensä virustyylisten rootkit-ohjelmien tapaan käyttöjärjestelmältä ja virustentorjuntaohjelmilta.

Tämän jälkeen ohjelma rupeaa seuraamaan koneen toimintaa varsin moninaisin menetelmin. Se lisää käyttäjän cd-levyltä tehtäviin MP3-tiedostoihin ylimääräistä kohinaa, piilottaa tiedostoja kovalevyltä ja tutkii ohjelmien toimintaa, jopa silloin kun suojattu levy ei ole soittimessa. Suojatun levyn mukana tulee kyllä oma soitinohjelma, jolla levystä voi myös tehdä levystä sallitut kolme kopiota. Muita ohjelma ei voi käyttää levyn soittamiseen. Mukana tuleva soitin lähettää Sonylle tietoja suojattua levyä soittavasta koneesta ja sen sijainnista.

Kopiointisuojaukseen liittyvät turvallisuusriskit

Sen lisäksi että koneen turvallisuutta vaarantavien ohjelmien asentaminen käyttäjän koneeseen näiden lupaa kysymättä on jo pelkästään moraalisesti arveluttavaa, liittyy ohjelmaan myös konkreettisia turvallisuusuhkia, joita on valitettavasti jo käytetty troijalaisten ja muiden haittaohjelmien leviämisen edistämiseksi.

Rootkit-kopiointisuojauksen suurin turvallisuusuhka liittyy sen ominaisuuteen piilottaa kaikki $sys$-alkuiset tiedostot käyttöjärjestelmältä. Kyseessä on ohjelman oma naamiointimekanismi, mutta alkeellisen tekniikkansa ansiosta se on mahdollistanut muiden haittatiedostojen leviämisen $sys$-alkuisilla tiedostonimillä.

Sony BMG kyllä ymmärsi tilanteen vakavuuden varsin nopeasti, mutta yhtiön jatkotoimet aiheuttivat itse asiassa enemmän haittaa kuin hyötyä. Yhtiö lupasi lopettaa rootkit-suojausta käyttävien levyjen valmistamisen ja toimittaa kuluttajille haittaohjelman poistamiseen soveltuvan ohjelman.

Nopeasti julkaistu ohjelma kuitenkin paljastui itse rootkittiäkin vaarallisemmaksi, sillä se avasi samalla koneeseen erittäin kriittisen turva-aukon jäljelle jääneen drm-ohjelman takia. Sony poisti viallisen poisto-ohjelman nopeasti, mutta myöhemmin julkaistu, myös drm-suojauksen poistoon kykenevä ohjelma paljastui vielä vaarallisemmaksi. Se nimittäin avaa suojattuunkin koneeseen vielä vakavamman turva-aukon, jonka kautta hyökkääjä voi ajaa ohjelmakoodia koneella vapaasti.

Onko menty jo liian pitkälle?

Sonyn tässä vaiheessa vielä ainutlaatuinen tempaus on huolestuttava merkki siitä, mitä tulevaisuus voi tuoda tullessaan. Viihdejätit ovat yhä avuttomampia kasvavan piratismin edessä, ja kiristynyt tekijänoikeuslainsäädäntö saa yritykset koettelemaan lain rajoja. Nopeasti päästäänkin siihen pisteeseen, missä tarkoitus ei välttämättä enää pyhitäkään keinoja.

Onko oikein, että laittoman kopioinnin kitkemiseksi käytetään menetelmiä ja ohjelmia, jotka hankaloittavat tai jopa vaarantavat tuotteensa laillisesti ostaneiden ihmisten koneenkäytön ja tiedot?

Koska näiden menetelmien käyttämisestä tulee yhtä paheksuttavaa ja tuomittavaa kuin toiminnasta, jota vastaan niillä yritetään iskeä? Sonyn rootkit-skandaalin jälkeen vastaavaa tuskin nähdään hetkeen muilta yrittäjiltä, mutta on sanomattakin selvää että piratismin menetelmien koventuessa myös aseet sen taistelua vastaan tulevat kovenemaan.

On ensiarvoisen tärkeää, että menetelmät kohdistetaan ainoastaan laittomuuksien harrastajiin, ja yritykset ymmärtävät vastuunsa. Kierojen, vaarallisten ja käytännössä jopa laittomien menetelmien käyttäminen ei ainakaan paranna asenteita tiukentuvaa tekijänoikeuslainsäädäntöä vastaan. Onkin syytä toivoa, että tästä tapauksesta syntynyt kohu hillitsee vastaavanlaisten keinojen käyttöä jatkossa. Sony BMG:n pitkä taistelu piratismia vastaan koki todennäköisesti nyt oman Waterloonsa: yrityksen maine on todennäköisesti saanut tapauksen myötä pysyvän kolauksen ja XCP:ksi nimetyn kopiointisuojauksen tehnyt yritys on kohun myötä sulkenut kotisivunsa. Laitonta kopiointia vastaan taisteleminen on tietenkin tärkeää, mutta toivommekin, että se tehdään jatkossa rehellisin ja alkuperäisiä tuotteita ostavien kuluttajien oikeuksia kunnioittaen.

XCP-kopiointisuojaukseen on tätä nykyä julkaistu poisto-ohjelma, jonka pitäisi viimeinkin olla täysin turvallinen. Se on saatavissa osoitteesta cp.sonybmg.com/xcp/english/updates.html

Tero Lehtiniemi & Jukka O. Kauppinen