« Valtion Rautatiet tiedottaa | Main | Kasvoiko operaattoreille selkäranka? »

marraskuu 29, 2005

Rootkit-sekoilu: kuka tiesi ja milloin?

BusinessWeekin tuore juttu tarjoaa lisävalaisua SonyBMG:n rootkit-sotkuun.

Ensinnäkin SonyBMG ja "DRM:n" teknisesti toteuttanut First4Internet saivat tiedon tekniikan tietoturvaongelmista jo kuukautta ennen jutun räjähtämistä julkisuuteen Mark Russinovichin blogin kautta. Ja mistä tieto tuli? F-Securelta! Mikko Hyppönen kertoi BusinessWeekin mukaan ongelmista SonyBMG:lle 4.10. saatuaan tiedon yhdysvaltalaiselta pc-korjaajalta muutamaa päivää aiemmin.

BusinessWeekin juttu jatkuu herkullisena. Jo aiemmin mainetta saanut (ja nyt luulen ymmärtäväni vähän paremmin sitä t-paidan syntyhistoriaa) SonyBMG:n Thomas Hesse sanoo F-Securen lähettämästä mailista seuraavaa:

"This e-mail, which we have also reviewed, seems to be about a routine matter," says Hesse. "While it did introduce the notion of a 'rootkit,' it did not suggest that this software was anything but benign."

Aha.

F-Securen mukaan sen paremmin Sony kuin First4Internetkään ei suostunut myöntämään tilanteen vakavuutta yhtiöiden kanssa käytyjen neuvottelupuheluiden jälkeenkään. First4Internet ei suostu nyt kommentoimaan asiaa ja SonyBMG esittää asiasta hieman erilaisen version.

Yllä referoitu tapahtumaketju kertoo, jos se siis on paikkansa pitävä, luultuakin suuremmasta lapasten putoilusta mainitussa levy-yhtiössä ja sen alihankkijalla. Kertomus tietysti herättää kysymyksiä myös F-Securen toiminnan suhteen.

F-Secure (kuten monet muutkin tietoturva-alan yhtiöt) ei yleensä kerro tietoonsa tulleista turva-aukoista ennen kuin niistä on kerrottu aukosta kärsivän tuotteen valmistajalle. Yleensä tämä onkin hyvä policy, mutta kuten käsillä oleva esimerkki osoittaa, reikäisen tuotteen valmistajan taivutteleminen aukon paikkaamiseen tai edes aukon myöntämiseen voi viedä viikkokausia. Ja koko tämän ajan aukko odottaa käyttäjiään. Olisiko F-Securen siis pitänyt julkistaa tietonsa jo aiemmin? Olisiko avoin toiminta saanut levy-yhtiön ja sen tekniikkatoimittajan lopettamaan muniin puhaltelun ja tarttumaan toimeen? Näinhän sitten lopulta kävi, kun Russinovich julkisti tietonsa.

Posted by Kari at 29.11.05 23:31

Comments

Tuosta aikatauluasiasta mainittiin F-Securen blogissa jo aiemmin, mutta ei yhtä seikkaperäisesti kuin Business Weekin jutussa.

Mielenkiintoinen kysymys sinänsä, johon näin kuluttajana olisi helppo ottaa kantaa yksiselitteisesti niin, että asioista tulisi kertoa välittömästi, jos virheellisen tuotteen tekijä ei suostu suhtautumaan havaittuun ongelmaan vakavasti. Toisaalta liian herkkä tiedottaminenkin saattaisi aiheuttaa ongelmia ja rohkaista haittaohjelmien tekijöitä hyödyntämään aukkoa, joten on vaikea sanoa, mikä olisi loppujen lopuksi viisainta.

F-Securen eduksi voi viivästelystäkin huolimatta laskea sen, että rootkit-tekniikkaan perustuvat mkasuojaukset on selkeästi tuomittu alusta lähtien ja asioiden etenemisestä tiedotettu niiden noustua julkisuuteen varsin ahkerasti. Tosin niinhän ovat toimineet monet muutkin tietoturvayhtiöt ja jopa Microsoft, joten kovin suurta etumatkaa F-Securella ei ole ollut.

Posted by: Ugh at 30.11.05 10:06

On ihan kiinnostava kysymys, että pitäisikö tietoturvayhtiön kertoi havainnoistaan heti. Kuluttajat ja yritykset maksavat heille siitä, että tietokone (tässä: Windows-kone) pidetään puhtaana, joten sikäli asiakkaille pitäisi kertoa asioista heti. Tietoturvayhtiöt ainakin väittävät myyvänsä "kokonaisturvaa", johon mielestäni kuuluu myös nopea tiedottaminen.

Toisaalta taas ohjelmistoyhtiöt ja valmistajat taas paheksuvat sitä, että ongelmat tuodaan laajasti julkisuuteen ennen kuin ovat saaneet mahdollisuuden korjata ne. Onhan eri asia, että esimerkiksi Windowsin haavoittuvuudesta tietää muutama nörtti kuin että tieto leviää isoissa tekniikka- ja jopa sanomalehdissä.

Posted by: Tero Lehto at 30.11.05 10:41

Ugh: en löytänyt tuosta linkistä (tai F-Securen blogista muualtakaan) mainintaa aikataulusta. Vai enkö vain huomannut?

Tero: "Kuluttajat ja yritykset maksavat heille siitä, että tietokone (tässä: Windows-kone) pidetään puhtaana"

Ja osa tätä puhtaanapitoa voi tietenkin olla vaikeneminen (muille paitsi viallisen tuotteen valmistajalle) siitä, että on olemassa aukko, jotta ilkiöt eivä ryhdy aukkoa käyttämään.

Ymmärrän kyllä tämän perusperiaatteen ja sen noudattaminen lienee yleensä paras tapa toimia. Mutta jos valmistaja ei sitten niin millään tee mitään, niin mitä sitten?

Posted by: Kari Haakana at 30.11.05 12:23

Linkittäminen ei jostain syystä näyttäisi toimivan, mutta siis blogin Please stop flaming us -otsikoidussa merkinnässä (kannattaa hakea selaimen hakutoiminnolla, ellei tuokaan toimi) ilmeisesti Mikko Hyppönen mainitsee, kuinka he ryhtyivät tutkimaan asiaa 30.9., kun joku BlackLightin betaversiota käyttänyt asiakas kertoi löytämistään oudoista tiedostoista:

"The customer suspected a specific audio CD to be the source of these files. To investigate further, we bought two CDs from Amazon.com on October 3rd and did a technical analysis of them around that time.

We didn't go public with the info right away as we were worried with the implications (especially with the info on how virus writers can use this to hide files which have names starting with '$sys$'). So we were in the middle of discussions with Sony BMG and First 4 Internet when Mark broke the news on Monday.

After this we decided to make our research on the topic public."

Eli ilmeisesti tässä kävi niin, että F-Securen tuote, joka tosin oli tuolloin vasta betavaiheessa, eikä siksi kaikkien käyttäjien suojana, itse asiassa havaitsi ongelman ensin ja varsinainen pohdinta käytiin ongelmakuvauksen ja koko asian julkistamisesta.

F-Securen osalta tilanne näyttäisi tietenkin vielä paremmalta, jos yrityksen tuotteet olisivat kyenneet sekä havaitsemaan että poistamaan haitan saman tien. Silloinhan asian julkistamisella ei niin kovaa kiirettä olisi välttämättä ollutkaan, sillä asiakkaat olisivat kuitenkin saaneet juuri sitä mistä maksavatkin, eli tietoturvaa.

Nythän tilanne oli se, että rootkititkin löytävä ominaisuus on mukana vasta uusimmassa F-Secure Internet Security 2006 -versiossa, eikä varmaa poistotyökalua taida olla valmistajalta saatavilla vieläkään, vaikka esimerkiksi Symantecilta tällainen löytyy. Toinen asia on tietysti, kuinka hyvin sekään sitten käytännössä toimii...

Posted by: Ugh at 30.11.05 16:11

Emme halunneet kertoa ko. rootkitistä julkisesti koska tiesimme että kun tieto tästä on ulkona, viruspeelot ryhtyvät välittömästi kirjoittamaan haittaohjelmia jotka piiloutuvat Sony-rootkitin avulla. Näinhän sitten kävikin kun Mark R. julkaisi asian (Breplibot.A löytyi 9 päivää myöhemmin).

Julkaisun sijaan yritimme vakuuttaa Sony BMG:tä siitä että kyseessä on ihan oikea ongelma jolle pitäisi tehdä jotain - ehdotimme mm. levyjen vetämistä markkinoilta. Näinhän he sitten tekivätkin - jahkailtuaan viikkoja siihen asti että Breplibot variantteineen oli jo liikkeellä ja asia uutisoitu USA Todayssä.

Sekä BlackLight -tuotteemme että F-Secure Internet Security 2006 tunnistivat Sonyn rootkitin geneerisesti. Käyttämämme teknologia siis tunnisti ko. piiloutumismenetelmän jo ennen kuin First4internet oli kirjoittanut koko DRM-softan. Käytännössä FSIS2006 oli markkinoiden ainoa virustorjuntaohjelma joka tunnisti Sonyn rootkitin.

Terveisin,
Mikko

Posted by: Mikko Hypponen at 01.12.05 09:54

Hienoa huomata, että myös keskustelun kohteet osallistuvat!

Olin siis ilmeisesti ymmärtänyt oikein BlackLightin ja FSIS2006:n toiminnan, mutta tässä yhteydessä lienee hyvä pitää mielessä, että aiemmassa 2005-versiossahan tuota rootkitit löytävää ominaisuutta ei kuitenkaan ole, joten suuri(n?) osa käyttäjistä oli siinä mielessä suojattomia, vaikka voimassa oleva tietoturvapaketti asennettuna olikin.

Sinänsä on täysin ymmärrettävää, ettei mainituille viruspeeloille haluttu antaa tarpeetonta etumatkaa ja kohtalaisen lyhyestä viiveestähän tässä muutenkin puhutaan, joten eipä esimerkiksi F-Securea sikäli voi kovasti kritisoida. Ainakin itse viittasin enemmänkin juuri siihen, että tilanne olisi näyttänyt vielä paremmalta, jos kaikki voimassa olevat tuotteet (esim. FSIS2005) olisivat kyenneet ongelman havaitsemaan ja poistamaan (ominaisuus, jota ei taida löytyä vieläkään?).

Pääasia, että asia lopulta nousi esiin ja Sony BMG sai ansaitusti roppakaupalla huonoa julkisuutta. Toivottavasti toimii varoittavana esimerkkinä koko mediateollisuusalalle, etteivät jatkossa laske yhtä epäonnistuneita tekniikoita markkinoille.

(Sori Kari, taitaa mennä kohta jo pahamaineisen metabloggaamisen puolelle... ;)

Posted by: Ugh at 01.12.05 12:09

Post a comment




Remember Me?

(you may use HTML tags for style)