Wirtualne napędy z rootkitami?
Mark Russinovich, znany specjalista ds. zabezpieczeń, poinformował w swoim blogu, że dwa popularne programy do emulowania napędów optycznych - Alcohol oraz Daemon Tools - wykorzystują narzędzia, które bardzo przypominają osławione rootkity. Oznacza to, że aplikacje te ukrywają część swoich komponentów lub funkcji przed użytkownikiem komputera oraz innymi aplikacjami - za podobne działania koncern Sony Music został ostro skrytykowany przez opinię publiczną.
Alcohol i Daemon Tools to popularne emulatory CD - umożliwiają one użytkownikowi komputera stworzenie wirtualnego napędu optycznego, czyli folderu z danymi, który będzie rozpoznawany przez system jako dodatkowy napęd CD lub DVD. Jest to szczególnie przydatne np. podczas uruchamiania gier, które wymagają umieszczenia płyty CD w napędzie - dzięki wirtualnym napędom użytkownik nie musi wciąż zmieniać płyt ( co jest szczególnie uciążliwe gdy gra wydana jest na kilku nośnikach ). Zwolennikami takich aplikacji nie są niestety producenci gier, którzy z reguły traktują je jako narzędzia do nieautoryzowanego kopiowania gier - dlatego też stosują na nośnikach przeróżne systemy, mające uniemożliwić skopiowanie zawartości płyty do wirtualnego napędu. Nic więc dziwnego, że producenci emulatorów CD obmyślają coraz sprytniejsze sposoby obejścia zabezpieczeń, stosowanych przez wydawców gier... Okazało się, że twórcy aplikacji Alcohol i Daemon Tools postanowili wykorzystać w tym celu narzędzia niezwykle przypominające rootkity.
Odkrył to Mark Russinovich - ekspert ds. zabezpieczeń, który kilka miesięcy temu dowiódł, że z rootkitów korzysta oprogramowanie mające zabezpieczać płyty CD Audio firmy Sony Music przed nieautoryzowanym kopiowaniem ( o konsekwencjach tego odkrycia pisaliśmy m.in. w tekście "DRM Sony na śmietniku historii?" - http://www.idg.pl/news/85083/100.html ). Russinovich poinformował w swoim blogu, że z jego analiz wynika, że pewne komponenty programów Alcohol i Daemon Tools ukrywają się w systemie operacyjnym - podobnie jak rootkity. Ekspert odkrył m.in., że wpisy umieszczone w Rejestrze przez Alcohol sugerują, że aplikacja znajduje się w innym folderze niż w rzeczywistości. Podobne mechanizmy występują także w Daemon Tools - wykryto je przy pomocy aplikacji RootkitRevealer.
Russinovich zastrzega jednak, że wykorzystanie takich narzędzi niekoniecznie świadczy o złych intencjach twórców emulatorów. Jego zdaniem, owe "rootkitopodobne" metody służą do ukrywania wirtualnego napędu przed systemami zabezpieczającymi gry i raczej nie stworzono ich z myślą o wprowadzaniu w błąd użytkownika. Potwierdzeniem owej tezy ma być m.in. fakt, iż oba programy można bez problemu odinstalować z poziomu menu Dodaj/Usuń Programy.
Nie oznacza to jednak, że Mark Russinovich pochwala wykorzystywanie rootkitów - "Nie ma żadnego dowodu, że Alcohol i Daemon Tools wykorzystują rootkity do naruszania zabezpieczeń DRM. Jeśli jednak tak jest, to jest to po prostu nieetyczne - a nawet być może stanowi to nawet naruszenie ustawy US Digital Millennium Copyright Act ( DMCA ). Niezależnie od tego podtrzymuję swoje wcześniejsze stanowisko - ani te, ani żadne inne produkty nie powinny wykorzystywać rootkitów" - tłumaczy ekspert.
Więcej informacji na ten temat można znaleźć w blogu Marka Russinovicha - http://www.sysinternals.com/blog/.