Terugblik op het Sony Rootkit-fiasco

Introductie

Stel je voor dat mensen een muziek-cd kopen in een winkel. Zij gaan naar huis en spelen het af op hun computer om ernaar te luisteren. Zonder dat zij het weten wordt er een programma geïnstalleerd. Dit programma controleert in het geheim of er een cd-kopieerprogramma wordt gestart, en als dat zo is wordt het gestopt. Het vertraagt ook hun computer en opent beveiligingslekken die door anderen kunnen worden gebruikt om hun eigen computer aan te vallen.

hi res versie — Zie hieronder voor meer afbeeldingen over beperkingen

Dit is wat tien jaar geleden gebeurde als je één van de 25 miljoen muziek-cd's van Sony had gekocht. Deze aanval van Sony op de computers van mensen is op 31 oktober 2005 ontdekt en werd daarna de 'Sony rootkit' genoemd. Meer dan 555.000 netwerken in meer dan honderd landen werden hiermee geraakt, inclusief duizenden militaire- en defensienetwerken van de Verenigde Staten.

Sony's rootkit is een goed voorbeeld van wat bedrijven bereid zijn om te doen om het gedrag van mensen met behulp van technische middelen te beperken. Hoewel de Sony rootkit nu tien jaar oud is bestaan er overal schadelijke digitale beperkingen. Ze bevinden zich in pc's, laptops, netbooks, elektronische boeklezers, audiospelers, auto's, koffiezetapparaten en andere apparaten. Omdat digitaal beperkingenbeheer ('Digital Restrictions Management' of DRM) het door de fabrikant ongewenst beschouwde gebruik van het apparaat verbiedt kan zij het gebruik van een computer voor algemeen gebruik controleren en beperken. In het geval van IT-apparaten zonder internettoegang kunnen zij het gebruik op ieder moment beperken zonder zelfs vooraf de eigenaar van het apparaat te informeren. IT-fabrikanten kunnen daarom naar eigen inzicht de rechten wegnemen waarover eigenaren van producten gewoonlijk de beschikking hebben.

"Fabrikanten zouden nooit in de positie moeten zijn waar ze permanent de apparaten controleren die zij produceren. Zij de een apparaat bezitten, of het nu om individuen, bedrijven, publieke- of niet-publieke organisaties gaat, zouden degenen moeten zijn die haar kunnen controleren en legaal kunnen gebruiken", zegt FSFE's voorzitter Matthias Kirschner. "Zulke beperkingen betekenen een grens voor de duurzame groei in de ontwikkeling en het gebruik van software, waarvoor onbeperkte computers voor algemeen gebruik cruciaal zijn".

Wat Sony deed

Op 31 oktober 2005 publiceerde technologische veiligheidsexpert Mark Russinovich zijn ontdekking op zijn blog: een stuk spionagesoftware, bekend als rootkit, installeerde zich in het geheim op zijn computer. Hij concludeerde dat de rootkit verbonden was met onvrije muziekafspeelsoftware op Sony muziek-cd's. Het verborgen rootkitprogramma werd gebruikt om te spioneren op gebruikers en hun luistergewoonten, deze informatie te delen met Sony, en om te voorkomen dat audioprogramma's van derden de schijf zouden lezen.

Tijdens het spioneren creëerde de rootkit aanvullende veiligheidsfouten die de deuren openden voor andere, kwaadaardigere aanvallen. Zelfs als gebruikers de rootkit ontdekten vormde het veilig verwijderen zonder hun computer te beschadigen een probleem.

De rootkit werd in totaal op ongeveer 25 miljoen cd's geladen en infecteerde meer dan 550.000 netwerken in meer dan honderd landen, inclusief duizenden militaire- en defensienetwerken van de Verenigde Staten.

Maar Sony BMG's voorzitter, Thomas Hesse, ging het onderwerp geheel uit de weg, en werd geciteerd toen hij zei (in het Engels, vertaler) "Ik denk dat de meeste mensen niet eens meten wat een Rootkit is, dus waarom zou het hen iets kunnen schelen?". De pers publiceerde wat Sony in het geheim aan het doen was met de persoonlijke spullen van mensen en Sony werd gedwongen verschillende rechtszaken mee te werken en het vertrouwen van klanten zo snel mogelijk te repareren.

Ondanks de gevolgen van Sony's rootkit-experiment komen beperkingen op de persoonlijke eigendommen van gebruikers tien jaar later vaker voor dan ooit. Beperkingen worden gewoonlijk gevonden in legitiem aangeschafte elektronische boeken, hardware voor videospellen en allerlei soorten onvrije software. Het kan zelfs worden gevonden in onze auto's en koffiezetapparaten. Zelfs Steve Jobs betreurde de harde uitvoering van beperkende software, software waarvan welbekend was dat zijn eigen bedrijf het gebruikte.

De computer: een machine voor algemeen gebruik

Technologische beperkingen op het legitieme gebruik van apparaten zijn gevaarlijk omdat zij onze computers langzaam veranderen van machines voor algemeen gebruik met een verscheidenheid aan mogelijkheden tot een afzonderlijk apparaat met een beperkt machtsbereik. Private bedrijven beperken de functionaliteit van computers omdat het zakelijk beter uitkomt als gebruikers zich in een lock-in van een bepaalde dienstverlener bevinden.

Als gebruikers zich bevinden in een lock-in door de beperkingen van inhoudleveranciers en onderdrukkende auteursrechtwetgeving, dan lijdt de samenleving omdat mensen minder mogelijkheden hebben om te innoveren en om te experimenteren met nieuwe producten of diensten, alswel hun mogelijkheid om hun eigen apparaten te herstellen en te verbeteren. Door het proberen om het gebruik van apparaten of de inhoud van een specifiek geval te beperken (bijvoorbeeld het ongeautoriseerd kopiëren of het voorkomen dat buitenstaanders toegang krijgen tot het apparaat) voorkomen bedrijven dat computers worden gebruikt voor alle andere legitieme doelen waar gebruikers het recht toe zouden kunnen hebben.

Dit vormt een groot obstakel voor toekomstige innovaties en vernietigt de computer als een machine met een algemeen doel. Verder maken deze beperkingen geen onderscheid tussen legitieme en illegitieme manipulaties die op een computer worden uitgevoerd door haar gebruikers, waardoor iedereen onder die beperkingen valt. Als gevolg hiervan heeft behalve de fabrikant niemand controle over de machines die onze levens controleren, en op de data die erop zijn opgeslagen.

De eisen van FSFE

Het doel van FSFE is om zeker te stellen dat eigenaren van IT-apparaten er altijd de volledige en exclusieve controle over hebben. Het is voor het instandhouden van een duurzame groei in de ontwikkeling en het gebruik van de software cruciaal dat computers met een algemeen doel volop beschikbaar zijn.

FSFE eist dat, voordat zij een product kopen, kopers kort en bondig geïnformeerd moeten worden over de technische maatregelen die zijn uitgevoerd op het betreffende apparaat, evenals de specifieke gebruiksbeperkingen en hun gevolgen voor de eigenaar.
FSFE en andere organisaties doen een beroep op wetgevers om voor iedereen het recht veilig te stellen om iets aan te passen om het te herstellen, te repareren of te verbeteren. Het recht om iets aan te passen om het te herstellen, te repareren of te verbeteren stelt zeker dat het de eigenaar van ieder apparaat is toegestaan om de software in dat apparaat te vervangen of toe te voegen als zij dat willen, waarbij eigenaren dus in staat worden gesteld om hun eigendommen te controleren. Om deze bescherming zeker te stellen vraagt FSFE aan de Europese Commissie om wetgeving voor te stellen die de rechten van een eigenaar van een computer versterken, door te vereisen dat iedere eigenaar van een computer in staat gesteld moet zijn om de software en de hardware op ieder apparaat met een computer aan te passen en te wisselen, en om het achteraf met deze wijzigingen te mogen verkopen.
Het is duidelijk dat ieder recht om iets aan te passen om het te herstellen, te repareren of te verbeteren ook gekoppeld moet zijn aan een juridische voorziening die het omzeilen van technische beperkingen in zulke gevallen toestaat. Vanwege deze reden vraagt de FSFE aan de Commissie om wetgeving voor te stellen die zekerstelt dat consumenten gebruik kunnen maken van digitale goederen die zij hebben aangeschaft binnen het volledige bereik van uitzonderingen en beperkingen op het auteursrecht.

Defective By Design - FSF's specifieke projectblog tegen DRM
EFF's DRM info database - EFF's database van alle aan DRM-verwante dingen
BoingBoing tijdlijn - behandelt belangrijke evenementen die plaatsvonden na Russinovich's blog
MIT Technology Review - Diepgaand artikel over de technologie, bedrijven en gevolgen van Sony's rootkit
DRM.info folders - FSFE's folders over de gevolgen van DRM, beschikbaar als download of drukwerk
Inleidend praatje over computers met een algemeen doel - door FSFE-voorzitter Matthias Kirschner

Verwante afbeeldingen

laptop, cd en tablet aan de ketting — CC BY SA 3.0 door Brendan Mruk en Matt Lee. Hoge resolutie Lage resolutie

bibliotheekboeken aan de ketting — CC BY-SA 2.0 door Chris Downer

cd met een slot erop — CC0 1.0 Publiek Domein

toetsenbord aan de ketting — CC0 1.0 Publiek Domein