XCP

XCP (Extended Copy Protection) ist ein Kopierschutz der Firma First4Internet, der unter anderem von Sony BMG auf Musik-CDs eingesetzt wurde.

Der Kopierschutz soll das Anfertigen nicht rechtmäßiger Kopien von Musik-CDs erschweren (Digital Rights Management). Der Nutzer muss, um die auf der CD enthaltene Musik auf dem Computer abspielen zu können, ein auf der CD enthaltenes Abspielprogramm installieren. In die Kritik gerieten Sony und der Kopierschutz Anfang November 2005, da die Software bei der Installation, ohne den Nutzer zu informieren (EULA), ein sogenanntes Rootkit auf Windows-PCs installiert.

Technik

Das Rootkit überwacht, ob laufende Programme in einer schwarzen Liste von Kopierprogrammen enthalten sind, und verweigert diesen mittels eines sogenannten Filter-Treibers den Zugriff auf das CD-Laufwerk und verhindert so Kopien der geschützten CD. Weiterhin versteckt das Rootkit sämtliche Dateien und Ordner, deren Name mit $sys$ beginnt, unabhängig davon, ob es sich dabei um fremde Programme handelt oder nicht. Dieses Vorgehen birgt die Gefahr, dass sich andere Schadsoftware mit Hilfe von Sonys Rootkit vor Viren- und Malwarescannern verbergen kann, was auch tatsächlich geschehen ist. Ein Beispiel dafür ist das Trojanische Pferd Backdoor.IRC.Snyd.A.

Weiterhin wurde aufgedeckt, dass der von Sony verwendete Treiber unsauber programmiert ist und so bei Fehlern zu Datenverlust^[1] führen oder Windows unbrauchbar machen kann.

Andere Betriebssysteme wie Linux oder FreeBSD sind nicht betroffen. Diese spielen die geschützten CDs wie normale CDs ab. Es ist auf anderen Betriebssystemen als Windows auch nicht üblich, dass Programme, die sich auf CDs befinden, automatisch gestartet werden.

Effektivität

XCP gilt als sehr schlechter Kopierschutz. So schaltet ihn ein kleiner Streifen Isolierband (undurchsichtig) bereits aus. Audio-CDs mit Kopierschutz bestehen im Normalfall aus zwei Teilen, einem Audio-Teil und einem Daten-Teil. Die Software befindet sich auf der CD in den äußeren Bereichen. Durch ein Stück Isolierband in der Größe eines Fingernagels wird dieser Bereich unlesbar. Das PC-Laufwerk kann diese Sektion nicht mehr erkennen, die Audio-Spuren sind nun wie die einer nicht kopiergeschützten CD auslesbar.

Sonys Verhalten

Nachdem Sony BMG zunächst behauptet hatte, es handle sich bei dem Rootkit weder um Mal- noch Spyware, wurde schließlich doch ein sogenanntes Deinstallationsprogramm bereitgestellt, das den Kopierschutz von Windows-PCs entfernen sollte. Um an das Deinstallationsprogramm zu gelangen, mussten sich Nutzer jedoch zuerst auf der Webseite von Sony registrieren. Eine Analyse des Programms ergab, dass dieses zwar die Funktion zum Verstecken von Dateien und Ordnern mit $sys$ im Namen entfernt, den Kopierschutz aber bestehen lässt. Tatsächlich werden die Programmdateien sogar durch neuere ersetzt. Im weiteren Verlauf stellte sich außerdem heraus, dass die Software beim Abspielen von Liedern eine Webseite kontaktiert und Daten wie die Album-ID übermittelt. Aus den Daten „Uhrzeit“, „IP-Adresse“ und „Album-ID“ wäre es Sony dadurch möglich, Nutzerprofile zu erstellen.

Nachdem Sony anfangs zugesichert hatte, der Kopierschutz werde in Deutschland zur Zeit nicht eingesetzt, zog Sony ihn aufgrund der heftigen Kritik zurück und rief alle noch nicht verkauften CDs mit XCP zurück.

Eine Sammelklage der Electronic Frontier Foundation gegen Sony BMG wurde gegen die Verpflichtung von Sony beigelegt, 7,50 US-Dollar je zurückgegebener CD zu zahlen und einen Code für einen kostenlosen Download zur Verfügung zu stellen.^[2]

Urheberrechtsverletzungen in XCP selbst

Berichten zufolge begingen Sony und das damalige Unternehmen First4Internet (jetzt Fortium Technologies), der Eigentümer von XCP, mit der durch Sony erfolgten Distribution von CDs mit XCP auch einige Urheberrechtsverletzungen im Rahmen der Verwendung von Teilen von Freier Software, die unter der GPL bzw. der LGPL stehen.

Die Experten Sebastian Porst und Matti Nikki^[3] sowie andere Programmierer haben Beweise dafür veröffentlicht, dass in XCP Teile des LAME mp3-Encoders, von mpglib, FAAC, id3lib (ID3-Tags), mpg123 und dem VLC media player enthalten sind. All diese Teile stehen unter Lizenzen, deren Anforderungen von Sony nicht erfüllt wurden.

Weblinks

• Fortium Technologies (ehemals First4Internet)
• erste Heise-Meldung
• Heise-Meldung aus Anlass der Entdeckung von GPL/LGPL-Urheberrechtsverletzungen durch XCP
• Sony BMG einigt sich in Rootkit-Affäre mit US-Handelsaufsicht
• Sony, Rootkits and Digital Rights Management Gone Too Far Blog von Mark Russinovich, dem Entdecker

Einzelnachweise

1. ↑ Verkäufer muss Schadensersatz für "Sony-Rootkit-CD" zahlen
2. ↑ Settlement Agreement In re SONY BMG CD Technologies Litigation
3. ↑ http://hack.fi/~muzzy/sony-drm/