Sonyn XCP-kopiosuojahaittaohjelma

Kirjoittaja: Kai Puolamäki, Marraskuu 18, 2005 - 10:50.

Sonyn XCP-kopiosuojahaittaohjelma

18.11.2005

Taustaa

Tekijänoikeusteollisuus lobbasi uutta tekijänoikeuslakia voimakkaasti syyskuussa 2005 lain eduskuntakäsittelyn aikana. Tekijänoikeusteollisuus ja oikeudenhaltijajärjestöjen väitteitä kritiikittä toistellut opetusministeriö esittivät mitä kummallisempia väitteitä uuden lain puolesta.

Yksi näistä väitteistä oli, että myyttiset "toisen sukupolven käyttöestot" ratkaisevat käyttöestoihin (kopiosuojauksiin) liittyvät ongelmat sallimalla ihmisten tehdä teoskappaleista, kuten käyttöestetyistä CD-levyistä, muutaman kopion yksityistä käyttöä varten. Kopion tekeminen voi olla välttämätöntä teoksen katselemista tai kuuntelemista varten (esim. musiikkikappaleen kuuntelu kannettavalla soittimella, DVD-elokuvan katselu Linux-käyttöjärjestelmässä).

Jo syyskuussa oli tiedossa, että toisen sukupolven estot ovat susia. Uudet estot sallivat tehdä alkuperäisestä teoskappaleesta alkuperäistä huonolaatuisemman kopion tietyssä estotekniikan tukemassa laiteympäristössä. Alkuperäistä ongelmaa (teoksen lukeminen ei ole mahdollista kuluttajan valitsemilla laitteilla) ratkaisu ei siis poista.

Puhe käyttöestojen "sukupolvista" onkin markkinointipuhetta ja se koskee vain CD-levyjä. Esimerkiksi musiikki- ja elokuva-DVD-levyissä käytetyissä estoissa ei mitään tällaisia sukupolvia ole, vaan estoilla pyritään yleensä estämään kaikki kopioiden tekeminen.

XCP-käyttöesto

Sony BMG otti Yhdysvalloissa käyttöön tällaisen paljon puhutun CD-tyyppisten äänitteiden toisen sukupolven käyttöestojen hallintajärjestelmän (Digital Restrictions Management, DRM). Sony oli ostanut XCP-nimisen ohjelmiston (luultavasti kalliilla hinnalla) englantilaiselta First4Internet-nimiseltä yritykseltä.

XCP toimii siten, että käyttöesto-ohjelma käynnistyy, kun levy laitetaan tietokoneen CD-soittimeen, ellei käyttäjä ole estänyt ohjelmien käynnistämistä. Ohjelmien automaattinen käynnistys kannattaakin ottaa pois päältä (ohjeet).

Käyttöesto ei toimi ja levyjä voi kopioida normaalisti, jos ohjelmien automaattinen käynnistys on pois päältä tai jos käytössä on muu käyttöjärjestelmä kuin Windows. Applen Mac OS X tai Linux-käyttäjiin Sonyn käyttöestojen hallintajärjestelmä ei vaikuta. Lisäksi Sony antoi kysyttäessä itse ohjeita suojauksen kiertämiseen, koska suojaus saattoi estää musiikkikappaleiden kopioinnin esimerkiksi kannettavaan soittimeen. XCP-käyttöesto on siis täysin tehoton: "laittomaan" kopiointiin sillä ei ole vaikutusta.

Jos XCP-ohjelma kuitenkin käynnistyy ja jos käyttäjä hyväksyy kohtuuttomat ja mahdollisesti pätemättömät lisenssiehdot, niin ohjelma asentuu tietokoneelle.

Mitä kaikkea XCP tekee, paitsi yrittää rajoittaa kopioiden tekemistä? Mark Russinovich paljasti blogissaan 31.10.2005, että esto-ohjelma yrittää piilottaa itsensä käyttäjältä ja käyttöjärjestelmältä tietomurroissa yleisesti käytetyllä niin sanotulla rootkit-tekniikalla. Esto-ohjelma on huonosti kirjoitettu, mistä syystä se voi hidastaa koneen toimintaa, sotkea Windowsia ja estää CD-aseman käytön. Kun äänitettä yritetään kuunnella, esto-ohjelma ottaa salaa yhteyden Sonyn palvelimeen, ja ilmoittaa mitä levyä kuunnellaan. Esto-ohjelman poistoyritys voi sotkea tietokoneen käyttökelvottomaksi. Esto-ohjelma myös altistaa tietokoneen verkossa leviäville haitta-ohjelmille.

Sony alkoi vetää XCP-äänitteitä pois myynnistä 15.11.2005, yli kaksi viikkoa kohun alkamisen jälkeen. Yhtiö julkaisi XCP:n poisto-ohjelman, joka kuitenkin sekin osoittautui pian erittäin haitalliseksi. Poisto-ohjelma nimittäin altistaa tietokoneen vakavalle tietoturva-aukolle. Pian Sony poistikin myös poisto-ohjelmansa sivuiltaan.

Kaiken huipuksi on paljastunut, että XCP sisältää Gnu-lisenssoitua ohjelmakoodia, muun muassa osia Jon Johansenin kirjoittamasta GPL-lisenssoidusta ohjelmasta. Jos näin on, niin Sony on vähät välittänyt muiden tekijänoikeuksista ja XCP on, Sonyn omia ilmaisuja käyttäen, piraattiohjelma.

Sonya vastaan on jo nostettu monta oikeusjuttua. Lakiasiantuntijoiden mukaan XCP-ohjelman levittäminen Suomessa voi olla rikos. Espoon kirjastot ovat päättäneet poistaa XCP-levyt valikoimistaan.

XCP-ohjelma on saastuttanut myös Yhdysvaltain asevoimien ja liittovaltion tietokoneita. Kaiken kaikkiaan XCP on ehtinyt saastuttaa arviolta yli puoli miljoonaa tietokonetta. Suurin osa virustorjuntaohjelmia valmistavista tietoturvayrityksistä reagoivat asiaan jälkijunassa, julkisen kohun jälkeen.

Microsoft on ilmoittanut, että seuraava Windowsin suojapäivitys poistaa Microsoftin haittaohjelmaksi luokitteleman XCP-ohjelman. Yhdysvaltain liittovaltion US CERT -virasto julkaisi varoituksen XCP-ohjelmasta ja myös Viestintäviraston alainen CERT-FI kehotti vihdoin 17.11.2005 varomaan tietoturvan vaarantavaa XCP-käyttöestoa.

Suomen Sony BMG vastaa

XCP-käyttöesto raportoi levyjen soittoyrityksistä Sonylle. Raportoinnista seuraa nimipalvelukyselyjä, mikä mahdollistaa levyjen käyttäjien maantieteellisen sijainnin selvittämisen. Dan Kaminsky onkin tehnyt tästä kartan. Kuten näkyy, Suomessakin on XCP-ohjelman saastuttamia koneita.

Suomen Sony BMG ei kuitenkaan halua ottaa vastuuta mistään. Sonyn mukaan heidän Euroopassa julkaisemissaan levyissä ei ole XCP-käyttöestoa. Kaikki Suomessa myydyt XCP-käyttöestetyt äänitteet on siis Sonyn mukaan alunperin tuotu tai tilattu ulkomailta.

Sonyn mukaan (ladattu 18.11.2005):

1.1.2006 astuu Suomessa voimaan uusi tekijänoikeuslaki, jonka perusteella Suomeen on kielletty tuoda Euroopan talousalueelle (ETA) julkaisuoikeuden omistajan julkaisemattomia äänitteitä. Tämä tarkoittaa käytännössä sitä, että mikäli levyä ei ole julkaistu Euroopassa, sen suoratuonti on kiellettyä. Ostajan vastuulle jää varmistua, onko tukkurilla oikeus myydä kyseistä levyä.

Sony viittaa uuden tekijänoikeuslain yhteisöraukeamispykälään, joka esimerkiksi kieltää levykauppoja myymästä ETA-alueen ulkopuolelta tuotuja Suomessa julkaisemattomia levyjä. Ongelma siis poistuu levy-yhtiön mukaan sillä, että tulevaisuudessa Suomessa ei saa levyjä enää lainkaan myydä!

Sony BMG:n Suomen edustaja Tommi Tuomainen yrittää hallita PR-fiaskoa sanomalla, että Sony-konsernissa musiikkia ja esimerkiksi Sony-elektroniikkaa kauppaavat eri yhtiöt. Kyseessä on kuitenkin sama Sony-tuotemerkki (Sony BMG on Sonyn puoliksi omistama yritys). Viime kädessä siis Sonyn osakkeenomistajien mielipide ratkaisee yhtiön politiikan.

Sonyn asenne ongelmaan on ollut vähättelevä ja ainoa syy, miksi asiaan lopulta puututtiin, oli julkinen kohu. Sony BMG:n Thomas Hessen sanoin:

Suurin osa ihmisistä ei edes tiedä, mikä rootkit on, joten miksi heidän pitäisi välittää siitä. Suojaus on puhtaasti sen takia, että rajoitettaisiin mahdollisuuksia polttaa mp3-tiedostoja suojaamattomasti.

Sony BMG:n Tuomainen myös kirjoittaa:

Toivon, että ymmärrät myös sen, että artistit ja levy-yhtiöt tekijänoikeuksien haltijoina pyrkivät tekemään kaikkensa, jotta näiden oikeuksien luvaton hyväksikäyttö saadaan kitkettyä.

Aikaisemmin Sony BMG Finland on kunnostautunut puuttumalla tiedostojen Internet-levitykseen häiritsemällä vertaisverkkoja. Kauhulla voi vain arvailla, mitä "pyrkivät tekemään kaikkensa" voi enää tämän jälkeen merkitä.

SunnComm-käyttöesto

Ei ole ehkä yllättävää, että myös toinen Sonyn käyttämä käyttöestojen hallintajärjestelmä, SunnCommin MediaMax, sisältää vakoiluohjelman. Kaiken huipuksi myös SunnCommin poisto-ohjelma altistaa tietokoneen vakavalle tietoturva-aukolle.


Vialliset käyttöestetyt äänitteet tunnistaa Copy Control -logosta.


Kai Puolamäki

Tämä dokumentti on Public Domainia.