XCP/ Mediamax CD-3
Upptäckt: oktober 2005

Det är lätt att föreställa sig upphovsmannen till ett virus som en en blek, hålögd och finnig yngre man i en dåligt ventilerad källarlokal hemma hos sin mamma, som bestämmer sig för att hämnas på den värld som inte gett honom det erkännande han förtjänat.

Så var emellertid inte fallet med XCP, ett program som tvärtom skapades av ett stort företag – Sony BMG, som i ett försök att slå tillbaka mot den illegala fildelningen. Företagets cd-skivor utrustades med ett gömt program, ett rootkit (tänkt som en typ av drm-skydd), som orsakade systemkrascher, allmän fördröjning och till på köpet gav upphov en mängd svagheter i datorsäkerheten som illa kvickt började utnyttjas av diverse virus.

"Enkelt för hackare"
Programmen Extended Copy Protection (XCP) och MediaMax CD-3 fanns installerat på 50 respektive 52 av skivbolagets titlar, och upptäcktes först av Mark Russinovich som drev bloggen Sysinternals och där publicerade en genomgång av de risker som programmet utgjorde.

Johan Jarl, som är säkerhetsexpert på F-Secure, berättar:
– Ett rootkit är en teknik för att dölja saker på väldigt låg nivå i operativsystemet. I fallet med Sonys program doldes allting som började med SYS, vilket gjorde att hackare kunde skapa processer som doldes på den smittade datorn enligt samma principer. På den här tiden hade inte antivirusprogrammen några skydd mot rootkits.

Sony BMG lugnade inledningsvis konsumenterna genom att hävda att inga som helst risker var förknippade med antipiratmjukvaran. Dagen därpå publicerade dock den amerikanska säkerhetstjänsten, Department of Homeland Security, ett uttalande där man fastslog att Sony BMG:s program medvetet gömde filer för datorns ägare, ett faktum som kunde utnyttjas av datorvirus.

Den 15 november påbörjade skivbolaget arbetet med att dra in samtliga skivor. Flera veckor efter detta fanns dock skivorna fortfarande tillgängliga i bland annat New York och Massachusetts, vilket ledde till högljudda protester från åklagare i respektive stat.
– Hela affären fick mycket uppmärksamhet. Jag minns att jag fick väldigt många samtal från oroliga konsumenter. Lyckligtvis blev spridningen inte speciellt stor i Sverige. De som hade beställt skivor över nätet kunde råka ut för de preparerade skivorna, men de såldes aldrig i butik i Sverige, säger Johan Jarl.

Rättsprocesser
En mängd processer inleddes mot Sony BMG, bland annat av statsåklagaren i Texas, amerikanska handelssamfundet FTC och diverse konsumentgrupper i New York och Kalifornien. Sony BMG har gjort upp i godo.

En oväntad, och inte minst djupt ironisk, utveckling av skandalen uppdagades när det visade sig att Sony BMG i programmen använt sig av LAME-kod skriven av Jon Lech Johansen i strid mot upphovsrätten.


Nästa del i serien: En mask som spreds över världen på ett ögonblick och kraschade hela Sydkoreas internetuppkoppling.