Nejprve k tomu nejožehavějšímu, k „ochraně“ XCP. K té Sony vydalo odinstaler a to v podobě EXE souboru i ZIPu. Oba dva tyto soubory umožňují jak XCP software updatovat na novější verzi, která už se podle neskrývá, nebo naopak kompletně odinstalovat. I když slovo kompletně je možná příliš, nicméně z počítače odstraní veškeré závadné programy a nechá vám tam jen detekční program, který už si sami můžete ručně smazat (nicméně sám se nikterak nespouští). Nebo se prostě také můžete spolehnout na různé softwary pro odstranění nepatřičné havěti z počítačů, jelikož některé z nich už dnes také dokáží z disku XCP vyštípat.

Potud by to tedy byla akceptovatelná tečka za celým případem, kdyby se pro změnu na jiných CD od Sony nenašel další problém a to v softwaru zvaném SunComm MediaMax. Ten je sice poněkud slušnější než XCP, ale zase ne až tak moc. Po vložení CD s MediaMax ochranou do počítače se totiž automaticky na disku vytvoří adresář C:\Program Files\Common Files\SunnComm Shared\ a do tohoto adresáře jsou nastavena uživatelská práva pro Everyone a to na úrovni Full Control. To samozřejmě umožňuje, aby kterýkoliv uživatel, proces, nebo síťový klient do tohoto adresáře lezl a četl, zapisoval, modifikoval, či mazal soubory v něm uložené. Když k tomu přidáte fakt, že si MediaMax při instalaci právě do tohoto adresáře uloží program MMX.EXE, který se automaticky spouští pod právy právě přihlášeného uživatele (tj. dost často s administrátorskými právy), je tu bezpečnostní díra jak hrom.

Naštěstí u SunnCommu jsou poněkud slušnější než u XCP a tak alespoň uživatele ptají, jestli chce jejich software nainstalovat a zobrazí mu EULA. Jenže se jim to stejně moc nepovedlo, protože i když uživatel odmítne, tak mu popsaný adresář se špatně nastavenými oprávněními na disku zůstane, ale už v něm nemá uložen onen program, který by se sám navíc spouštěl. Bezpečnostní riziko je v takovém případě nesrovnatelně nižší, ale za ideální to opravdu nejde považovat.

Pokud tedy někdo spouštěl nějaké CD od vydavatelství Sony s ochranou SunComm MediaMax, tak by si měl stáhnout buď update, který mimo jiné opraví práva v adresáři. Je také možné použit odinstalátor, který je ale velice podivný, jelikož vyžaduje nainstalování ActiveX komponenty a tudíž i nutnost použít Internet Explorer.

Ale MediaMaxx pro Sony až takovou tragédií není, vraťme se k nechvalně proslulému XCP. Mark Russinovich na problém s touto „ochranou“ upozornil 31. října a Sony až 4. prosince vydala záplatu. Možná si říkáte, že to není až tak dlouhá doba, ale tady je třeba upozornit na fakt, že Mark nebyl první, kdo na problém přišel, ještě před ním to zjistil Jon Guarino, vlastník TecAngels.com. Ten na to přišel 30. září a poslal email s upozorněním antivirové firmě F-Secure, která celou věc prověřila a 4. října to dala vědět Sony. Takže tedy Sony to trvalo celé dva měsíce. Jenže tyto dva měsíce se rozhodně na záplatě nepracovalo, spíš se hledaly cestičky, jak se tomu vyhnout. Ale pojďme se podívat pěkně popořádku, jak to vlastně celé bylo.

Jak už jsem napsal, 30. září na to, že si CD od Sony instalují do počítače nějakou havěť, přišel Jon Guarino, který dělá v malé firmičce na Manhattanu, která se zabývá opravami počítačů. Konkrétně Guarino se již měsíce zabýval mimo jiné i odstraňováním různé havěti včetně rootkitů z klientských počítačů. Jako potvrzení, že za celým problém stojí vydavatelství Sony, mu posloužilo CD se zpěvačkou Amerie.

Následně si celý problém nenechal pro sebe, ale poslal to do finské firmy F-Secure, protože jejich detektor rootkitů mu ohlásil, že se děje něco nekalého. Ti se na to podívali pozorněji a poslali upozornění Sony. Tento email však ještě prý dle Sony neupozorňoval, na nějaký opravdu vážný problém, spíše to vypadalo, že pro jeho vyřízení bude stačit nějaká rutinní činnost, protože ačkoliv se zmiňoval o rootkitu, tak nenapovídal, že by software mohl nebýt naprosto neškodný.

Ať už to bylo, jak chtělo, Sony i F-Secure se shodují, že v naprosto plné vážnosti to firma F-Secure Sony ohlásila až 17. října, kdy i dala najevo, jaká bezpečnostní rizika se v této „ochraně“ skrývají. V ten den to také bylo zasláno tvůrcům XCP, firmě First4Internet. Byla mimo detailů například použita slova jako, že XCP představuje „major security risk“. Sony na základě toho požádalo dvě softwarové firmy, aby přezkoumaly oprávněnost tohoto varování.

Bohužel firma First4Internet se k celé věci postavila velice podivně. 20. října proběhl konferenční hovor mezi F-Secure a First4Internet, ve kterém z druhé zmíněné firmy (dle F-Secure) argumentovali stylem, že to není reálný problém, jelikož pouze pár lidí ví o bezpečnostní díře, kterou XCP vytvořilo a také prohlásili, že nová verze XCP, která bude začátkem příštího roku, tak vyřeší problém na všech budoucích CD. Stejně tak se F-Secure ještě snažili přesvědčit dalším konferenčním hovorem lidi z vydavatelství, že jde o opravdu vážný bezpečnostní problém, ale u Sony prostě jen chtěli, aby se o tom nemluvilo, prostě to udržet pod pokličkou.

Dle Sony ovšem byla snaha o vytvoření patche co nejdříve a k tomu jim měly dopomoci i ty dvě softwarové firmy, o kterých už byla zmínka. Proč to ale trvalo tak dlouho, když byla taková snaha, to je mi záhadou. F-Secure už se nadále v celém případu také příliš neangažovala, jelikož nebyla ochotna přistoupit na NDA (Non Disclosure Agreement aneb dohoda o mlčenlivosti) od First4Internet, která jej pro probírání detailů XCP naopak vyžadovala.

U F-Secure se nakonec rozhodli, že s tím na veřejnost zatím nepůjdou, že vyčkají minimálně, než se objeví nová verze, která měla být již bez rootkitu. To bychom jim za zlé mít neměli, snaha byla pouze o to, aby nevznikl nějaký virus, který by XCP zneužíval ke svému maskování. Taková praktika oznamování bezpečnostních chyb je celkem běžná, ačkoliv ne všichni s ní souhlasí (argumentem je, že dokud to není venku, tak velké firmy nic netlačí v tom, aby rychle připravili záplatu). Jenže na celý problém narazil náhodou i Mark Rusinovich a dál už to znáte...

PS: Správně bychom v celém tomto miniseriálu měli psát Sony BMG, jelikož se tato dvě nakladatelství spojila již přede dvěma roky a regulační orgány v EU a USA jim to odsouhlasily vloni.