Bien sabido es que, en los últimos tiempos, las discográficas están haciendo todo lo posible para la protección de los derechos de propiedad intelectual. En esto llegamos a las medidas técnicas que se conocen como DRM (Digital Rights Management, Gestión de Derechos Digitales), en principio orientadas a controlar el uso y acceso a los contenidos digitales en dispositivos electrónicos, si bien en la práctica conllevan restricciones a la realización de copias, por lo que se suelen identificar con los sistemas anticopia.
Legalmente surgen dos problemas. Por un lado, se impide la realización de copias privadas por el usuario, lo que sería contrario a la legislación sobre propiedad intelectual, que expresamente permite esa posibilidad (aunque no como un derecho), so pena de infringir el Código Penal (artículo 270.3) por la mera tenencia de programas que neutralicen estos dispositivos. En países avanzados como Francia, Apple y Sony han sido demandados por esto. Por otro, en la medida en que los discos de música se identificaran al público como CD-Audio y realmente no lo fueran (por incluir contenidos que sobrepasan los establecidos en el estándar de Phillips y Sony), constituiría una infracción de marca a la vez que un fraude a los consumidores.
La historia empezó cuando un experto en seguridad, Mark Russinovich, descubrió a finales del mes pasado que su ordenador tenía instalado un rootkit, programa utilizado para facilitar el acceso a sistemas informáticos, que ocultaba las entradas del registro, carpetas y archivos cuyo nombre comenzaran por «$sys$». Hechas las averiguaciones, el origen del rootkit le llevó a un CD de Sony que incorporaba un sistema DRM que limitaba a tres las copias de dicho disco. El hecho saltó la alarma en la medida en que dicho rootkit no sólo ocultaba la ejecución del DRM, sino también la de cualquier virus, troyano, gusano, spyware o programa malicioso que comenzara por «$sys$», que por tanto no detectaría un antivirus. Los intentos para desinstalarlo fueron inútiles.
Ante las críticas, Sony no reconoció que esto constituía una vulnerabilidad (vean cómo no lo es), pero facilitó una «solución» (?), sin explicar lo que hacía (había que confiar en ellos), aunque se supo que instalaba un ActiveX. Dicha «solución» no eliminaba el rootkit (eso dejaría sin efecto la protección por DRM) sino que resolvía la ocultación de los «$sys$».
La cosa no terminó ahí, puesto que la «solución» de Sony, por lo visto, tampoco era ninguna maravilla, ya que colgaba el sistema (pantallazo azul), con la correspondiente pérdida de datos. Lo retiraron y anuncian otra solución.
Todavía no he visto ninguna noticia en televisión sobre esto, a pesar de las grandes proporciones. Se calcula que más de medio millón de redes, incluyendo sitios web gubernamentales y militares, están infectadas. Pueden ver aquí unas bonitas imágenes para hacerse una idea del alcance.
De lo último que me entero es que, además de echar la culpa a First4Internet, la empresa que desarrolló el sistema DRM para sus CDs, el estupendo rootkit incluye código tomado del proyecto VideoLAN -a la sazón distribuido bajo Licencia Pública General GNU– sin cumplir con sus términos.
Corren malos tiempos para Sony. Están retirando los CDs y sustituyéndolos por otros, pero parece que le van a llover pleitos, al menos, en Italia y EE.UU., y de entrada en algunos lugares se ha vetado el uso de sus CDs.
(Gracias Jorge por la colección de enlaces)
ACTUALIZACIÓN (30-12-2005): Enrique Dans comenta los términos del acuerdo extrajudicial que ha puesto fin a esta historia en EE. UU..
Bueno, Sony/F4I ha incluido codigo con licencia LGPL del proyecto LAME, ademas del VideoLan. El proyecto LAME es un (des)codificador de mp3. La licencia LGPL solo les requeria que admitiesen que estaban utilizando condigo de ese proyecto, no es necesaria la liberacion de fuentes ni nada de eso, tan solo hacia falta algo como «este software utiliza parte del proyecto LAME» o algo similar. De hecho segun pasan las horas tambien se han encontrado partes de otros proyectos: FAAC(LGPL) y mpg123(GPL).
Lo mejor de todo, y de lo cual aun me estoy riendo es que F4I ha incluido tambien codigo con licencia GPL, que obliga a que el codigo sea licenciado de la misma forma (GPL), pero lo mas gracioso es que codigo es. Es la parte que hablabas de VideoLAN, es el fichero demux/mp4/drms.c se ocupa de «ignorar» el DRM de Apple. Este fichero fue escrito por «DVD» Jon. Sony/F4I ademas comete una doble ilegalidad, ya que seguna la DMCA de EEUU es ilegal el «ignorar» el DRM.
Corren malos tiempos para ser Sony hoy en dia, lo peor es que parece que el plan es decir que no sabian nada, y cargar todo a F4I, que se hundira con razon. Esto sentaria un peligroso precedente, en el que las grandes compañias solo necesitan subcontratar a pequeñas para hacer el trabajo sucio y librarse.
Mientras tanto el consejo es «no comprar cds infectados con DRM».
En EEUU donde este tema ha tenido mas repercusion han prohibido los cds de musica de sony/bmg en varios lugares de trabajo y en algunos han prohibido directamente el uso de cualquier cd de musica, dado el peligro que estas compañias estan creando.
Ok. Gracias por las aclaraciones. Corrijo el error de LGPL por GPL, que es en realidad la licencia de VideoLAN.
F4I debe cargar con su culpa, ya que en última instancia son los responsables del rootkit, pero de cara a los consumidores quien tiene que apechugar es Sony.
Veremos cómo acaba esto. Para cualquier empresa más pequeña esto sería la ruina, pero Sony es demasiado grande.
En cualquier caso, merece la pena recordar que ‘First4Internet’ es solo UNA empresa que se dedica, entre otras cosas, a hacer esos desarrollos (sistemas de protección) para empresas mas grandes.
Hay mas, como por ejemplo Sunncomm, con su sistema MediaMax (TM) que tambien hace cosas como esta. En este caso, First4Internet ha hecho un ‘chapuza’, pero la intención de las discográficas no es precisamente dejar esta política.
Lo mas sensato es la recomendación del ‘Homeland Security Department’ de los EEUU: Un CD de música no debe contener software, por lo tanto no instales ningun programa desde un CD que solo debería contener audio.
Una iniciativa de estas, con sus consecuencias… cumple todos los requisitos de la definición de software malintencionado o peligroso.Y lo mejor, es que esto fomenta la descarga de contenidos mediante P2P, ‘piratería’… como les gusta llamarlo. No olvidemos, que en mercado P2P, los contenidos estan desprotegidos. La jugada les ha salido mal, muy mal… aunque todavia quedan mas. Este es uno de los muchos sistemas que existen, lo único que ha pasado, es que en este caso, la chapuza ha degenerado en un problema peligroso a nivel mundial.