索尼 BMG Rootkit 丑闻十周年

源自声名狼藉的2005年索尼BMG rootkit安全/隐私事件的教训实例很多——时至今日索尼仍在为他们弄巧成拙的数字版权管理（DRM）付出代价。

过去一年里，黑客算是盯上索尼了：Playstation游戏网络在圣诞节被黑，讽刺喜剧《刺杀金正恩》一片为索尼影业招致内部机密数据被曝光并最终演变成国际事件。有人说，所有这一切都是被称为恶意软件历史上开创性时刻的因缘报应：10年前，索尼BMG以数字版权管理为名偷偷将rootkit嵌入了音乐CD中。

从某种意义上说，这是索尼被黑客恨上的最早源头。而且，由于像音乐rootkit以及起诉Playstation越狱者和模拟器制造者这种行为，更让索尼成为黑客们（自由小子）的众矢之的。

虽然在保护自身数据、版权、金钱、利润和影响力上，索尼做得很好。但却对客户的数据……

有句俗话：better safe than sorry （宁可安全点，也别等出了事说抱歉），现在这句话却被改成了：better safe than Sony：

索尼 BMG Rootkit 事件回顾

索尼BMG丑闻被曝光，是在2005年底该公司（现名为索尼音乐娱乐）偷偷在数百万张音乐光盘上安装延长版权保护（XCP）和MediaMax CD-3防拷贝软件包以防止买家用自己电脑烧制CD光盘拷贝并通知索尼BMG这些客户的拷贝意图之后。这些已被证明不能被反病毒和反间谍软件程序检测出的防拷贝软件也为其他恶意软件开启了悄悄潜入Windows电脑的大门。（就好像出于对席琳·迪翁和瑞奇·马丁的喜爱而购买了音乐CD的买家还没被惩罚够似的。）

索尼rootkit已经成为某种类似文化现象的东西。它被大量用在漫画中，成为嘲讽的对象。它成为了定制T恤的标语，甚至是YouTube视频网上类型短剧的主题。Mac粉们袖手旁观笑得十分高深。

据安全研究人员估计，索尼rootkit在数十个国家成千上万个网络中留下了自己的印记——这已经不仅仅是一个消费者事件而是整个企业网络事件了。

前Winternals安全研究员，2006年Winternals被微软收购后现在升任微软Azure云首席技术官的马克·拉西诺维奇，在2005年万圣节曝光了该rootkit，业界震动，舆论大哗。

索尼BMG搞砸了它的最初反应：“大多数人甚至都不知道rootkit是个什么东西，他们为什么要关心这个呢？”时任索尼BMG全球数字业务总裁的托马斯·何塞臭名昭著的原话如此说道。该公司召回了产品，发布并再次发布了rootkit清除工具，并与一些州、联邦贸易委员会和电子前沿基金会达成诉讼和解。

微软和安全厂商也因其对该rootkit和恶意软件威胁的相对沉默和迟缓反应而备受指责。其后的岁月里，围绕“rootkit”这个术语应该被怎样定义，以及试图恶意攫取对用户系统的控制权是否应作为rootkit的核心概念，争议四起。

回到未来

如今回顾该事件，这么一起公然蔑视隐私和安全的事件在今天会被政府和客户和厂商怎样处理呢？

理论上而言，由于联邦贸易委员会（FTC）法案第5节“欺骗性或不正当商业行为的限制权力”被法庭支持，联邦贸易委员会将会有更多的授权去找索尼BMG的麻烦。FTC可以很容易地将索尼秘而不宣的软件植入行为视为不正当竞争手段。

类似的事情还出现在国内企业联想的身上。今年初，联想就为其笔记本电脑上预装的软件Superfish吞下了一剂海外客户负面反应的猛药。这个软件会在搜索结果中注入产品推介，还因为干扰了SSL加密的网页流量而打开了一个严重的安全漏洞。

实际上，拉西诺维奇不是发现索尼rootkit的第一人，只是第一个曝光它的研究员。一些厂商有自己的缘由不去曝光索尼rootkit，因为他们的研究人员会被他们的律师提醒，任何对该rootkit的报告可能会违反《千禧年数字版权法》（DMCA）第1201条。那是一部1998年的法案，禁止移除‘版权保护’软件。发现和报告之间的空白期给了该rootkit相当长的一段时间去感染、传播。

索尼rootkit的经验教训

非盈利组织欧洲自由软件基金会（FSFE）一直在倡导公众对索尼BMG rootkit十周年的关注，他们敦促“发出声音并书写这起牵涉数字版权管理的大惨败”。FSFE将DRM视为反竞争做法，这一缩写背后的涵义被其引用为“数字限制管理”，而不是通常意义上的“数字版权管理（DRM）”。

在FSFE网站上的一篇博文中，该组织声明：“尽管有索尼rootkit事件的影响，10年后对用户个人财产的限制却比以往任何时候都要更为普遍。限制普遍存在于合法购买的电子书、视频游戏硬件和各种各样的专有软件中。甚至在我们的汽车和咖啡机里都能发现这种限制。”

更糟糕的是，正如最近的大众汽车排放测试绕过软件丑闻所显示的，公司企业仍然为了自身利益在使用秘密软件而不对更广泛的影响作出必要的考量。

索尼BMG丑闻中可汲取的经验教训有很多，那些认为出于合法目的可在产品中加入加密后门但其实很可能会演变为可被利用的漏洞的人们大概会对此感兴趣。

一个最基本的经验教训就是：

不要去实施自己明显反对的不良行为，索尼 BMG rootkit“就至少违反了个人电脑制造商的许可条款”，这无异于自己打脸。