關於Rootkit 的真實故事

Real Story of the Rogue Rootkit

關於Rootkit 的真實故事

原文 by Bruce Schneier
引用自 Wired News

這是一個如同聖經中大衛打敗巨人歌利亞的故事，現實生活中則是從一個Blog作者開始，群起抵抗重量級跨國公司的事件。

2005年10月31日， Mark Russinovich 在他的Blog上揭露了下面這條消息： 新力博德曼（Sony BMG Music Entertainment ）發行的CD唱片中，暗藏了一種將在使用者電腦中植入後門程式的「Rootkit - 系統入侵套件 」，據稱目的是為了保障CD發行商的智慧財產權所必須的機制（SONY BMG稱之為XCP - eXtended Copyshit Protection）。

這個名為Rootkit的工具程式，在使用者的電腦上執行/植入後門程式前，完全未盡到應先告知或取得使用者認可的義務，一旦使用者將所購買正版的 Sony BMG 音樂CD，置入他們的電腦中播放，懂得利用這樣Rootkit的駭客就可以藉由這樣的後門直接侵入系統中，而你卻完全不知情。

這個Sony BMG的入侵程式修改了Microsoft Windows的系統，套用駭客們的術語，是利用一種叫”cloaking”的隱形執行緒技術，正常使用者根本無法得知。它以「惡意軟體」的姿態在系統背景模式下運作，並且暗中地傳送關於你的資料回去給SONY BMG。更可怕的是它在一開始設計上，就沒有辦法讓使用者徹底移除，如果嘗試強制移除，將會損毀你的Windows作業系統。

這樣的一個故事被其他的Blog所陸續引用，像我(Bruce Schneier)個人的，還有知名的C|Net News.com，最後主流媒體華盛頓日報，也終於報導。

由於這個醜聞實在太過勁爆，新力博德曼唱片在11月11日終於宣布將「暫時」停止生產這樣的音樂CD，這還不夠，緊接著在11月14日新力博德曼同意將內嵌Rootkit的CD產品全面下架，並且願意無償地提供已購買舊版音樂CD用戶，一套完全未受感染的新版CD。

你以為這樣就是故事的全部了嗎？ 還不只咧

說真的，這實在是一個荒謬又充滿極度傲慢行徑的事件。因為SONY BMG既沒有經過公眾的聽證過程，針對保護機制的細節進行討論，只為了維護SONY BMG本身的利益，就擅自竄改消費者的電腦。當事件爆發後，SONY BMG還一度提供修補程式想瞞混過關：因為這個修補程式只能移除隱藏的執行緒，並沒有辦法完全將Rootkit刪除，並將消費者的電腦恢復原狀。

自從事情爆發之後，SONY BMG全球數位事業群的總裁Thomas Hesse ，在11月4日的時候曾一度以相當藐視消費者權益的口吻宣稱：「大部分的消費者連什麼叫Rootkit都搞不清楚，他們何必在意它呢？」並且否認這個Rootkit程式會回傳資料給SONY BMG，辯稱消費者的電腦受感染，只是因為碰巧有其他的病毒程式利用他們保護機制的漏洞，換句話說，SONY BMG當時還故意地模糊焦點，搞的好像SONY BMG與消費者都是病毒程式的受害者一般....

然而 瞞橫公司的舉止還不只如此

宣稱「為了保護智慧財產權」的公司，在為了維護自身利益所散發的Rootkit中，竟然還暗藏了未經授權的Open Source程式碼：MP3編碼程式－LAME的程式碼片段，還沒保障到自身的數位財產前，就先違反他人的程式碼授權，顯然是自掌嘴巴。而且即使消費者在執行SONY BMG最新公佈的修補程式，依然會在Windows系統內留下相當大的安全漏洞。

這問題有多大呢？大到已經有人決定以刑事案件的方式來起訴SONY BMG，因為不只美國國防部某些下轄的電腦已經遭到SONY BMG的Rootkit感染，連美國國土保安局的電腦也是，簡直是阿姆的歌：美國大笑話！

內幕中的內幕 繼續追！

這場鬧劇持續下去，演變的很詭異。有人說：這將會大大影響使用Windows作業系統的電腦的穩定性與安全；也有人趁此機會剛好利用這個Rootkit的漏洞，寫了惡意程式碼來隱藏自己，避免被防毒軟體給偵測到。

在此同時，當然更有世界各地的消費者發起杯葛／拒買SONY BMG產品的活動（只是台灣國內都沒聽到厚，可見媒體們被SONY養的多聽話）。

而且網路上更開始盛傳：假如你都不能相信SONY BMG賣給你的CD不會感染你的電腦了，那你怎能保證你當初買來的電腦，裡面的作業系統、軟體...等，都是安全的？ 這是一個很嚴重的信心危機！



從這裡開始，我們要討論的是另外一個層面的問題：巨大的娛樂事業財團－SONY BMG，跟我們花錢買的、理應保護我們電腦安全的防毒、安全軟體廠商間，是否有可能存在不可告人的陰謀？

初步預估，全世界遭受SONY BMG的Rootkit電腦感染的數量約超過50萬部，這是一個驚人的數字喔！拿它來跟「盛傳」一時的網路病毒們，像是Blaster, Slammer, Code Red 和 Nimda 相比，真是不惶多讓。

飼老鼠咬布袋

你覺得你買的防毒軟體公司，對於一個初步、保守估計的感染數量就已經高達50萬部電腦的病毒－SONY BMG的Rootkit，竟然會不知不覺？？ 好笑的是，這還不是史上傳染速度最快的病毒啊～同學！往回追溯，早從2004年中開始，SONY BMG的Rootkit就已經開始散佈了！
因為它是經由音樂CD傳染，而不是經由網際網路連線傳染，所以防毒軟體公司就抓不到？那我們付錢買防毒軟體搞個屁啊！而且好笑的是，SONY BMG的Rootkit還會將個人資料透過網路回傳喔，防毒軟體不是都號稱XX偵測，威力多神通廣大嗎？

但真正恐怖的不僅於此，而是在 Mark Russinovich 率先公佈這項消息之後，隨之而來各個防毒軟體公司「震耳欲聾的『安靜』！」

以往只要發現個風吹草動，每個防毒軟體廠商無不爭先搶頭彩，巴不得比水果、週刊發八卦還快，狂發新聞稿郵件吹噓自己是最快發現、解決問題的廠商，然而，這次卻完全不一樣！

McAfee 直到11月9日才發現這項病毒的病毒碼，而且托到11月15日（前天）它還不完全移除整個Rootkit，只把隱藏的執行緒刪除。還在網站上發表極盡噁心、奉承之能事的聲明：注意：移除隱藏的執行緒(cloaking)並不會損害到SONY BMG原先的保護機制，而且嘗試移除整個Rootkit套件，會導致Windows系統嚴重內傷．．． 呵呵～ 還真謝謝你無聊地屁話啊 ～McAfee

Symantec Symantec針對SONY BMG Rootkit的立場就更詭訣多變了，剛開始，它完全不把Rootkit當作惡意軟體(Malware)來看；直到11月11日，宣布一個cloaking －隱藏執行緒的工具。直到11月15日，它還在那邊支支吾吾的胡謅些543，說：
　　呃...這個SONY BMG 的rootkit嘛...因為它是為了保護合法智財權的啦，所以它不能算是病毒的啦～ 雖然它也可以被用來隱藏其他的惡意程式．．．


所以照這麼說，唯一讓SONY BMG的Rootkit就地合法的論點，就是把這樣的病毒放進你的電腦的 是一間跨國大公司，而不是地下的犯罪組織？

所以SONY BMG無罪？ 說的通嗎？


也許你會想：自從Windows XP SP2之後，砸大錢極力強調系統安全的Microsoft會出面來譴責SONY BMG散佈Rootkit的行為，畢竟它用相當危險且骯髒的手段惡搞了安裝在消費者電腦的Windows 系統，而且一旦消費者電腦掛了，搞不清楚狀況之下，想當然會把責任全部怪罪到Microsoft「暈倒→死」產品的品質上，倒楣的都是Microsoft。

但是「不」令人意外的是，直到11月13日，Microsoft在不敵廣大輿論壓力之下，才推出一個類似各防毒軟體公司的移除工具，只針對cloaking －隱藏執行緒動刀，卻依然忽視SONY BMG其他部分Rootkit的存在。

也許直得嘉許的防毒軟體廠商，只有F-Secure這間吧，它是第一家大聲抨擊SONY BMG行為的防毒業者。另外，Sysinternals 也值得為它鼓掌，畢竟首先發佈這項消息的Mark Russinovich，其Blog就是掛載在 Sysinternals 的伺服器上，對於揭發事件真相，功不可沒。

電腦的系統安全很爛，一直都是如此，而且將來也會這樣。
跨國大公司為了自身利益，做盡蠢事，一直都是如此，而且將來也當然會是這樣。
但，這絕對不是我們花兩三張小朋友，向McAfee、Symantec這類的防毒軟體公司買產品，他們卻提供如此劣質的安全防護，可以說的過去的理由。

我深信，即使在規模最大、最具組織性的系統安全廠商內，一定會有那種具備駭客的直覺，可以立即發現問題，並且當下拉警報的技術人才。而這些系統安全廠商，竟然經過了一整年都沒辦法針對SONY BMG的Rootkit採取任何防護建議、行動，正好為這些系統安全廠商的無能，和面對國際大公司時，卑微地淪喪原本應該堅持的職業道德，做了最貼切的註解！

至於Microsoft咧，呵呵～ 這間公司我倒是可以了解，面對SONY BMG的Rootkit，他為什麼會這樣做。
畢竟它是一個為了保護自身智慧財產權，而不惜入侵使用者電腦的大玩家。
而且這樣的技術也已經被設置在下一代新的Microsoft作業系統產品內。

為什麼呢？因為如此一來，它不僅可以賺消費者、企業用戶的這一筆，更能說服像SONY BMG這樣的媒體大廠選擇購買Microsoft的平台，作為未來銷售數位產品的通路。在這樣的情況下，一兼二顧兩面賺，Microsoft怎會白目到讓自己將來的肥羊大戶，栽在自己的手上咧？


當創造惡意軟體的業主，跟我們花錢購買的防毒、系統安全廠商勾結在一起，會是什麼樣的世界呢？

當然，消費者完全是輸家，當系統安全／防毒軟體廠商什麼都還沒做的時候，全世界就有超過50萬部電腦被感染了！

這些系統安全／防毒軟體廠商，到底實際上是為誰在工作？

SONY BMG使用Rootkit的案例未必只是單一事件，或許世界上正有許多系統安全廠商的工程師正才協助他們「真正的客戶」，從事這類產品的開發。

而假如其他的系統安全／防毒軟體廠商發現了新的案例，對方碰巧也是跨國性的媒體大公司，而它也想要控制你的電腦，那你該怎麼辦？

這些都是血淋淋的現實問題，我們需要答案！

===================================
相關連結：
SONY BMG 聲明啟示：

http://cp.sonybmg.com/xcp/

SONY BMG目前承認採用Rootkit的音樂CD清單：

http://cp.sonybmg.com/xcp/english/titles.html