Reaktion: langsam und unzureichend
Fast einen Monat, bevor Mark Russinovich von sysinternals.com mit seiner Analyse der Rootkit - Technik in Sonys XCP - geschützten verseuchten CDs eine Welle lostrat, in deren Folge Sony immer kräftiger zurückrudern und zahlreiche Fehler zugeben mußte, war die Problematik Sony bereits bekannt: Ein PC-Reparaturshop im Manhattan stieß schon Ende September auf das Problem. John Guarino, der Eigentümer des Shops, wunderte sich über zahlreiche Rechner mit Rootkit - Infektionen, welche ihm zur Reperatur gebracht wurden. Nachdem er die Installation der Malware mittels einer Sony-CD auf dem eigenen Laptop nachvollziehen konnte, kontaktierte er F-Secure: am 30. September.
Am vierten Oktober unterrichtete F-Secure daraufhin Sony BMG. Während F-Secure angibt, Sony von einem "potentiellen Rootkit" auf ihren CDs unterrichtet zu haben, bestreitet Sony, von einem "ernsthaften Securityproblem" unterrichtet worden zu sein. Dennoch wurde die Herstellerfirma First4Internet immerhin über das Problem unterrichtet. Am 17. Oktober meldete sich F-Secure nochmals mit einer warnenden Mail, in der die potentiellen Sicherheitsrisiken der Software ausführlich beschrieben wurden. XCP wurde als "ernstes Sicherheitsrisiko" bezeichnet. Drei Tage später kam es zu einer Telefonkonferenz zwischen F-Secure und First4Internet, in der First4Internet argumentierte, das Risiko sei kein wirkliches Problem, schließich wisse kaum jemand von den Sicherheitslücken, die XCP erzeuge. Für kommende CDs sei ab 2006 ein Update der Software geplant, welche die Lücken darüberhinaus schließen solle.
Seitens First4Internet will man sich zu dieser Konferenz im Nachhinein nicht äußern, F-Secure probierte es anschließend bei Sony, um auf ähnlich taube Ohren zu stoßen. Es sei versucht worden, das Problem kleinzureden, "die hielten uns für dumm", kommentiert Forschungsleiter Santeri Kangas von F-Secure das Gespräch. Sony BMG bestreitet, dass das Gespräch in dieser Form stattgefunden habe. Im Gegenteil
weiterlesen
