John Guarino è il proprietario della TecAngels, una società di consulenza di Manhattan fatta di due persone. I clienti affidano a Guarino i loro computer ammalati e lui li restituisce in perfetta forma. Spesso è in grado di risolvere i problemi direttamente al telefono.
Ma l’estate scorsa si è trovato davanti a un problema su cui non era in grado di intervenire. Mentre era intento a rimuovere lo spyware e i virus che avevano infettato i computer dei clienti, cominciò, una macchina dopo l’altra, a rilevare lo stesso intruso. Si trattava di file dal nome strano, annidati nelle pieghe più interne del Registro di Windows, il quaderno in cui il sistema operativo Microsoft custodisce le impostazioni e le istruzioni per il controllo di tutte le componenti hardware e software del computer.
Quei file, pensò Guarino, assomigliavano ai cosiddetti rootkit, utensili software che servono a ingannare il sistema operativo rendendo invisibili vermi, virus e ogni altro tipo di file che gli hacker nascondono dentro ai nostri computer. I file non sembravano dannosi e i programmi antivirali usati da Guarino non li avevano classificati tra le minacce. Il fatto era che sui computer dei clienti questi file erano arrivati senza alcuna autorizzazione, più che sufficiente per definirli malware (software ostile). E Guarino aveva deciso di rimuoverli.
Ma i file non se andarono senza protestare. Dopo che Guarino li ebbe cancellati, i lettori CD dei suoi clienti non ne volevano sapere di funzionare. La soluzione più naturale - reinstallare il software che gestisce il sottosistema dei dischi - non bastava a risolvere il problema. Guarino non riusciva a spiegarsi questo strano effetto e i suoi clienti non lo stavano pagando perché trascorresse lunghe ore in ricerche; volevano semplicemente avere indietro i loro computer. All’esperto non rimase che l’opzione «atomica»: reinstallare da zero il sistema operativo.
Dopo sei o sette episodi di questo tipo, Guarino cominciava a stancarsi. Finché il 30 settembre non trovò i misteriosi file anche sul suo computer! «Allora pensai, Non posso crederci, uso un firewall di ultima generazione, l’ultimissima versione dell’antivirus, tre o quattro programmi antispyware. Come diavolo ha fatto ad arrivare fin qui?»
Come ogni buon investigatore, Guarino cominciò a seguire le tracce a ritroso. Sapeva che i file non erano stati rilevati nel corso dell’ultima scansione antivirus del suo PC. Provò allora a ricostruire tutto ciò che aveva fatto su quella macchina nell’arco delle giornate precedenti: quali programmi aveva installato, quali e-mail aveva ricevute, quali siti Web aveva visitato.
Poi si ricordò che il giorno prima aveva acquistato un CD musicale e lo aveva ascoltato dal PC. Si trattava di un album della Sony BMG Music Entertainment intitolato Touch, composto dal cantante rhythm and blues Amerie. Diversamente dalla maggior parte dei CD, il disco non poteva essere riprodotto con i media player più noti, come iTunes, RealPlayer, Windows Media Player. Per sentire quel particolare CD era necessario installare un player proprieatario della stessa Sony BMG incluso a bordo del disco stesso. E Guerino aveva proceduto all’operazione.
Allora decise di dare un’occhiata più approfondita al contenitore trasparente del disco. Lo colpì una frase in particolare: «Contenuto potenziato e protetto». Evidentemente il disco aveva dentro una qualche forma di software di gestione dei diritti d’autore digitali (Digital Rights Management,DRM), un programma pensato per controllare le attività di copiatura e quindi scoraggiare la pirateria informatica.
Alla fine i pezzi del mosaico finirono tutti al posto giusto. I file del mistero assomigliavano molto a un rootkit. La normale funzione di un rootkit è quella di nascondere qualcosa; un software di protezione anticopia era proprio il genere di cose che un programmatore può voler nascondere agli occhi dei suoi utenti; e in questo particolare caso eliminare il rootkit significava disabilitare il lettore CD. Fu gioco forza per Guarino arrivare alla conclusione che la fonte del malware era la stessa Sony BMG.
«A quel punto mi arresi», racconta. Sarebbe stato possibile sradicare questo rootkit agendo un computer per volta, ma se la seconda più grande casa discografica mondiale voleva installare del software segreto sui computer dei suoi clienti, niente avrebbe potuto impedirlo.
Prima di accantonare questo problema Guarino prese una decisione molto importante. Spedì il registro dei suoi interventi a F-Secure, un’azienda di Helsinki specializzata nella sicurezza informatica, i cui progammi erano serviti a Guarino per individuare i famosi file. Sebbene i sorveglianti del malfare, incaricati dalla stessa F-Secure, non avessero ancora individuato il rootkit, bastò loro pochissimo tempo per confermare i sospetti di Guarino. Nel corso delle due settimane successive, quei tecnici raggiunsero un’altra, molto più inquietante conclusione: il rootkit era in grado di nascondere altri file con la stessa efficacia con cui aveva celato l’esistenza del software di protezione Sony BMG. Ogni singolo computer utilizzato per riprodurre un disco anti-copia della Somy BMG era di fatto diventato un ricettacolo aperto per vermi, virus e altri generi di malware.
Il 17 di ottobre F-Secure prende contatto con Sony. Due settimane dopo, l’autorevole esperto di sicurezza informatica Mark Russinovich scopre il rootkit sul suo computer personale e rende pubblica la scoperta sul suo popolarissimo blog. L’esperto scopre anche che altri programmi installati insieme alle procedure di protezione anticopia servivano per entrare segretamente in contatto attraverso Internet con Sony ogni volta che il computer eseguiva un disco protetto. E nell’arco dei mesi successivi un episodio scaturito dalla curiosità di un piccolo riparatore di computer si era trasformato in un esplicito scandalo, con tanto di negoziati di corridoio, denunce pubbliche, veementi smentite, accesi boicottaggi, cause vendicative e scuse affrettate.
Se l’obiettivo di partenza era nascondere un software che impedisce all’ascoltatore di fare più di tre copie del CD acquistato, il rootkit di Sony BMG è diventato quello che a tutt’oggi è il più clamoroso simbolo degli eccessi che la pubblica opinione percepisce nella tecnologia del DRM e dell’atmosfera di crescente sospetto che le aziende mediatiche sembrano nutrire nei confronti dei loro stessi clienti. Ancora adesso lo scandalo continua ad avere delle ripercussioni. Ha riacceso nella sfera pubblica un dibattito sullo spazio di manovra che il consumatore dovrebbe godere nel fruire di informazioni digitali protette da diritto d’autore e, di conseguenza, sui limiti da porre ai detentori dei diritti nella salvaguardia della loro proprietà intellettuale contro la pirateria (si veda A chi appartengono le idee? in «Technology Review», edizione italiana, n. 5/2005).
Portata ai suoi estremi, dicono gli esperti, la gestione dei diritti d’autore non solo impedisce agli individui di fare l’«equo uso» del materiale protetto sancito dalla normativa americana sul diritto d’autore, ma può rappresentare un rischio sul piano tecnologico. «Quando sviluppi un sistema informatico in cui non sia l’utilizzatore a essere tutelato ma qualcos’altro contro l’utilizzatore, hai prodotto una pessima sicurezza», afferma Bruce Schneier, uno dei luminari della sicurezza informatica e responsabile tecnologico della società Counterpane Internet Security di Mountain View, California. «È uno dei miei più assillanti timori: l’idea che il cliente sia il nemico.»
La storia del fiasco legato al rootkit di Sony BMG va al di là del semplice esempio di una errata valutazione aziendale o dello scontro in atto sul diritto che il consumatore deve avere di fare ciò che meglio crede delle cose che ha acquistato. Riguarda anche la paura e le esagerazioni cui ciò può portare. Quando un’azienda multimediale impiega strumenti così potenti e nascosti per tutelare i propri contenuti, vuol dire che il nervosismo relativo al fenomeno della pirateria ha assunto i toni del timor panico. Anche se oggi Sony BMG insiste che il rootkit è stato inserito sui dischi senza che ci fosse dolo, l’episodio è bastato a convincere molti osservatori che l’industria della musica è arrivata a percepire l’inganno come indispensabile componente della gestione del diritto d’autore. Non dovremmo essere sorpresi se un consumatore che si sentisse trattato come un ladro smettesse di comperare certe cose. Se c’è un messaggio che la vicenda Sony BMG può insegnare ad altre aziende che intendono accedere al mercato digitale, è che la sfiducia genera sfiducia.

Pirateria casual

La domanda di «contenuti» digitali (un’espressione gergale debole ma pertinente per definire tutto ciò che va dalla poesia al podcast) è più elevata che mai. Le vendite di musica via Internet nel mondo sono quasi triplicate dal 2004 al 2005, da 380 milioni a 1,1 miliardi di dollari e oggi rappresentano circa il 6 per cento dell’intero mercato della musica. Nel marzo 2004 il negozio musicale iTunes di Apple vendeva 2 milioni e mezzo di canzoni a settimana. Secondo l’edizione britannica della rivista «Macworld», oggi ne vende 3 milioni al giorno.
A rigor di logica si dovrebbe credere che produttori e distributori di contenuti digitali siano eccitati all’idea del decollo dell’industria digitale. Al contrario sono sempre più spesso preoccupati dall’onnipresente minaccia delle copie pirata. Non senza ragione: nell’arco di trenta giorni nel 2005 quasi 4 milioni di famiglie americane hanno scaricato musica con i servizi di condivisione peer-to-peer WinMX e Limewire, mentre solo 1,7 milioni di famiglie hanno acquistato i titoli di iTunes, secondo la società di ricerche di mercato NPD Group. La Recording Industry Association of America (RIAA), categoria di settore dell’industria discografica americana valuta le perdite dovute alla pirateria di musica digitale intorno ai 4,2 miliardi di dollari l’anno ed è molto aggressiva nella sua lotta contro i download illegali: a febbraio ha annunciato di aver dato mandato per altre 750 cause contro gli utenti delle reti di scambio peer-to-peer, portando a 18 mila il totale a partire dal 2003.
Prima ancora del download non autorizzato, tuttavia, c’è un atto assai più innocente, il ripping (estrazione) di audio digitale compresso, come il formato MP3, dai CD legittimamente acquistati. Ripping e burning (masterizzazione) dei CD per uso personale sono del tutto legali negli Stati Uniti. Ma Thomas Hesse, presidente per il mercato digitale mondiale di Sony BMG sostiene che sono alla base dei due terzi di tutte le copie pirata. «La pirateria casuale, quella che ha luogo nel cortile delle scuole, è una questione molto importante per noi», ha dichiarato all’agenzia Reuters lo scorso anno.
Ecco perché aziende come Sony BMG avvertono una naturale attrazione nei confronti di tecnologie che promettono di contenere il fenomeno dei fan ribelli. Ed è qui che entra in gioco la gestione del diritto d’autore digitale, una industria nata alla fine degli anni 1990 per aiutare editori e produttori cinematografici a mantenere il controllo sui contenuti riversati nei DVD, nel software e supporti affini. Per le aziende del DRM e i loro clienti, «controllare» significa impedire ai consumatori l’accesso a un file digitale senza averne regolarmente acquistato il diritto. Significa impedire la copia, la stampa, l’archiviazione di sicurezza o la duplicazione di un’opera fuori dai termini esplicitamente previsti dal contratto di licenza.
Per anni l’industria discografica non ha avuto alcun bisogno di tali livelli di controllo, perché i lettori CD non professionali (introdotti da Philips e Sony nel 1982) erano fatti per riprodurre la musica, non per trasferirla da un punto all’altro in formato digitale. Ma nel 1996, quando i costruttori di personal computer decisero di fare del lettore CD-ROM una caratteristica standard in ogni sistema per uso domestico, è emerso il fenomeno della pirateria «casuale»; e al momento del suo debutto, nel 1999, Napster, prima rete per la condivisione di brani musicale via Internet a diventare conosciutissima, seppe far leva su questa minaccia. Le case discografiche cominciarono a fare pressione sul Congresso americano per un inasprimento delle pene contro gli individui sorpresi a condividere file su Internet, ma cominciarono anche a cercare di scoprire il modo di rendere molto complesse, per l’utente normale, la copia e la condivisione dei contenuti.
La questione non è immediatamente risolvibile. I dischi protetti devono contenere un software di DRM che limiti il numero di copie possibili; ma al tempo stesso devono poter essere ascoltati con un normale lettore CD. Un modo per venire incontro a entrambe le necessità consiste nel rendere i CD un po’ più simili ai CD-ROM, che spesso contengono diverse «sessioni» simili alle tracce dei vecchi dischi in vinile, gli «ellepi». La prima sessione di un CD multisessione, posta al centro del disco, contiene la musica e le sessioni più esterne contengono software. I normali lettori CD leggono solo le prime sessioni e ignorano il resto, mentre un PC Windows con la sua funzione autorun (esecuzione automatica) attiva andrà per prima cosa a cercare nelle sessioni esterne i programmi che è in grado di eseguire. (Per fortuna di chi ha sviluppato i sistemi DRM, la funzione autorun è attiva di default nel sistema operativo Windows XP e quasi nessuno modifica tale impostazione.)
Quando nel 2005 Sony BMG concepì il primo dispiegamento in forze di CD protetti nella storia dell’industria discografica, decise di ricorrere al metodo del disco multisessione. Su cinquantadue album rilasciati tra gennaio e novembre da Sony BMG, le sessioni esterne contenevano un programma di protezione Windows chiamato XCP (eXtended Copy Protection), le cui licenze erano state acquistate da Sony da una azienda britannica chiamata First 4 Internet, e un programma ibrido Macintosh/Windows chiamato MediaMax, dalla società SunnComm di Phoenix, in Arizona. Non era la prima volta che una etichetta avesse cercato di vendere CD contenenti un software anticopia; Arista Records, sussidiaria di Sony BMG, aveva commercializzato un disco con sopra MediaMax già nel 2003 e il software DRM del rivale MacroVision era comparso in migliaia di CD di altre etichette a partire dal 2002. L’aspetto davvero insolito dei nuovi dischi Sony BMG consisteva nel modo in cui First 4 Internet aveva deciso di rendere invisibile XCP.

Dispositivi mascherati

Originariamente, Sony aveva deciso di servirsi di First 4 Internet, ma non per sviluppare un sistema di DRM per i CD da vendere sul mercato di massa. Secondo alcune interviste concesse dai responsabili di First 4 Internet alcuni mesi prima che il pentolone dello scandalo rootkit venisse scoperchiato, l’obiettivo era di scoraggiare la copia dei brani in pre-rilascio che l’etichetta offriva a dipendenti, fornitori e altri destinatari privilegiati. Primo sistema DRM dell’azienda, XCP1 rendeva la sessione musicale di un disco CD-R (registrabile) multisessione non riproducibile attraverso un personal computer. Una funzionalità che interesseva non soltanto Sony BMG ma anche tre suoi grandi rivali, Universal, EMI e Warner Music Group, tutti licenziatari della tecnologia XCP1 entro il 2002.
Ma il metodo non funzionava sui CD per il mercato di massa, che dovevano risultare riproducibili su tutti i dispositivi, compresi i computer e i lettori DVD e Video CD, oltre ai normali lettori. First 4 Internet sviluppò dunque un nuovo programma XCP2, che sfrutta un approccio più intelligente, leggermente più permissivo chiamato «masterizzazione sterile». L’infelice espressione indica semplicemente che gli acquirenti di un CD protetto possono estrarne il contenuto riversandolo sul loro computer e masterizzare una copia su una cartuccia CD-R vuota, ma queste copie non possono essere a loro volta utilizzate per fare altre copie (XCP2 in seguito divenne noto semplicemente come XCP.)
Secondo due informatici di Princeton, Ed Felten e J. Alex Halderman, che hanno «retroingegnerizzato» XCP nel quadro di una ricerca accademica, il software svolge diverse funzioni che vengono attivate separatamente. La prima volta che un disco protetto con XCP viene caricato su un computer, all’utente viene chiesto di acconsentire al contratto di licenza d’uso proposto da Sony BMG. A quel punto sul disco fisso del computer vengono copiati alcuni programmi e drivers e viene lanciato un lettore proprietario. Una volta installato il tutto, si legge nel libro bianco che Halderman e Felten hanno pubblicato a febbraio, i nuovi drivers sorvegliano il tentativo da parte di altri software di riproduzione musicale, come iTunes, di accedere alle tracce audio del CD; nel momento in cui viene rilevato un tentativo del genere, i dati estratti dal disco vengono sostituiti da un rumore ad ampio spettro. Contemporaneamente, una «porta sul retro» di XCP consente al lettore proprietario di riprodurre l’informazione digitale contenuta sul CD senza alcun disturbo.
All’interno del lettore multimediale proprietario si trova un programma di masterizzazione che consente all’acquirente del disco di estrarre fino a tre copie del suo contenuto per masterizzare altrettanti CD-R. Queste copie conterranno tutti i dati originari del disco, incluse le tracce audio, il lettore musicale e il software di protezione anticopia. Ma saranno sterili: l’applicazione di burning risulterà inattiva, in altre parole le copie potranno solo essere riprodotte e non sarà possibile estrarre i dati per eseguire nuove masterizzazioni. In alternativa, l’utente potrà estrarre singole tracce o l’intero contenuto riversandoli sul proprio disco fisso e con essi creare fino a tre copie su CD nel formato Windows Media Audio.
Se per gli utenti fosse facile aggirare o disattivare queste complicate funzioni il sistema di protezione anticopia sarebbe inutile. Ed è qui il nodo centrale della controversia relativa a XCP e ai dischi Sony BMG: i programmatori di First 4 Internet hanno deciso che alcuni dei programmi e delle operazioni coinvolti dovessero restare nascosti agli occhi dell’utente medio. I drivers che interferiscono con i tentativi di lettura di un CD protetto da parte degli altri software di riproduzione musicale, per esempio, dovevano essere riposti in un luogo segreto in cui nessuno avrebbe potuto trovarli e rimuoverli. Seguono poi i file di cui XCP si serve per contare il numero delle copie che l’acquirente di un CD è autorizzato a generare. Il software di masterizzazione viene disabilitato solo quando il contatore ritorna a zero. Se un utente esperto fosse in grado di individuare questo file, gli risulterebbe teoricamente possibile modificare il contatore e riportarlo a quota tre dopo ogni copia masterizzata.
La segretezza è una prassi di per sé abituale nell’industria del software. First 4 Internet l’ha implementata utilizzando un rootkit e in seguito Sony BMG ha omesso di segnalare ai suoi clienti la presenza di questo programma o di offrire loro una procedura per una disinstallazione facilitata. Il termine rootkit si riferisce alle reti di computer basati sul sistema operativo Unix, in cui un amministratore di sistema - la persona che dispone di tutte le autorizzazioni e i privilegi per la modifica del sistema - ha un accesso di tipo root (radice). I primi rootkits sviluppati verso la metà degli anni 1990 non erano altro che raccolte di strumenti che gli hacker utilizzavano per acquisire privilegi root e inoculare del codice maligno senza lasciare traccia del loro passaggio. I rootkits di Windows hanno fatto la loro prima comparsa nel 1999 e sono diventati talmente diffusi da poter essere liberamente prelevati presso qualsiasi associazione di hacker, come quella che pubblica l’omonima rivista on line (www.rootkit.com). Versioni più sofisticate del software possono essere acquistate, via Internet, per poche centinaia di euro.
I dirigenti di First 4 Internet hanno rifiutato di rispondere alle domande di «Technology Review», invocando la questione delle cause legali in corso. Non siamo quindi in grado di dire se i programmatori di questa azienda sapessero o meno di lavorare su un rootkit completamente nuovo o se viceversa avessero scelto di modellare XCP su un rootkit open source o commerciale. Chi ha preso visione di XCP dall’esterno, ha scoperto tuttavia che il software conteneva alcune componenti aperte, compresa la sezione di un programma per la codifica della musica nel formato MP3 e un altro che serve per decrittare e criptare i brani prelevati dal negozio iTunes. (Quest’ultimo, secondo Halderman, faceva evidentemente parte di un piano mai realizzato per rendere XCP compatibile con iTunes.)
Un’altra incognita riguarda la consapevolezza, da parte degli sviluppatori di XCP, del fatto che una volta installato sul computer di qualcuno, un rootkit poteva servire per aprire un passaggio utilizzabile da altri virus e troiani L’esperto di Princeton sostiene che a First 4 Internet dovevano per forza sapere che lo schema di mascheramento da loro impiegato fosse ben noto alla comunità degli autori di malware. «Giocoforza hanno dovuto imparare questa tecnica da altre fonti,» dice Halderman. «E nel corso dello studio su come utilizzarla è praticamente inconcepibile che non abbiano scoperto che tra le prerogative dei rootkits c’è anche la capacità di [mascherare altri malware].»
In ogni caso, le tecniche di mascheramento usate dalla società si sono rivelate molto efficaci, tanto che nessun esperto di sicurezza si era accorto della presenza del rootkit per almeno sei mesi dal rilascio del primo disco anti-copia. Non appena Russinovich pubblicò il suo rapporto, però, i programmatori di malware scoprirono che era possibile sfruttare il rootkit per nascondere alla vista del sistema operativo altri virus e spyware. Meno di due settimane dopo che il rootkit Sony BMG venne alla luce, il primo malware pensato per sfruttarne le vulnerabilità era già in circolazione. Si trattava di un troiano tipo «porta sul retro» chiamato Troj/Stinx-E, progettato per nascondersi all’interno del rootkit per permettere ad altri programmi di assumere il controllo dei PC altrui attraverso la connessione con un sistema di messaggistica istantanea chiamato Internet Relay Chat.

Finnish connection

F-Secure ha il suo quartier generale in un edificio cubico tutto vetro e alluminio nei dintorni di Helsinki, a poca distanza dalla fabbrica in cui Nokia - ben prima di diventare un costruttore di telefoni cellulari - produceva le migliaia di chilometri di cavo d’acciaio che facevano parte del corposo debito di guerra da versatre all’Unione Sovietica.
A dominare il centro di comando F-Secure, localizzato al secondo piano della costruzione, troviamo tre grandi schermi video. Uno visualizza la struttura interna di un famoso virus informatico come se si trattasse di una gigantesca stazione spaziale orbitante. Un altro mostra la mappa in tempo reale delle attività dei virus su scala mondiale. Mika Stahlberg, uno dei responsabili della ricerca di F-Secure, si serve del terzo schermo per illustrare le capacità mimetiche di XCP.
«Posso fare la mia dimostrazione con l’album composto dai Van Zant», spiega Stahlberg inserendo nel lettore del computer posto sotto il tavolo triangolare delle conferenze un disco di musica country firmato dai veterani del rock Johnny e Donnie Van Zant, Get Right with the Man.«Lo abbiamo ordinato lo scorso ottobre su Amazon. Ecco, lo inserisco e la musica parte automaticamente. Ecco l’accordo di licenza. Ovviamente voglio ascoltare la musica, quindi clicco sul “sì”».
Il programma di riproduzione si autoinstalla e parte da solo. Ora Stahlberg sceglie la cavia che servirà per la dimostrazione del mascheramento: la calcolatrice di Windows. Avvia la calcolatrice, poi apre il Task Manager del sistema operativo e sceglie il segnalibro «Processi», per visualizzare l’elenco dei programmi attivi in quel momento sul computer. «Okay, lo possiamo vedere insieme agli altri nella lista, è quella chiamata “calc.exe”. Ora le cambiamo il nome».
Stahlberg chiude la calcolatrice, individua il file del programma all’interno del disco rigido e gli assegna un nome specifico, «$sys$calc.exe». Ora riavvia il computer. «Adesso andiamo nuovamente a visualizzare la lista dei processi. La calcolatrice è sparita».
Stahlberg ha appena messo a nudo la funzione principale del rootkit Sony BMG: rendere invisibile qualsiasi nome di file che inizi per «$sys$». Tra i file che XCP tiene in questo modo nascosti troviamo Ariete, il «direttore d’orchestra» che si occupa di depistare i messaggi tra applicazioni e sistema operativo; Cratere, il responsabile del filtro che impedisce agli altri programmi di accedere ai CD-ROM; e $sys$parking, che conta quante volte viene utilizzata l’applicazione di masterizzazione.
«Il compito della maggior parte dei rootkits è quello di filtrare i flussi che le applicazioni ricevono da alcune funzionalità del sistema operativo», spiega Stahlberg. XCP elimina tutte le uscite contrassegnate dal prefisso $sys$ per cui durante la demo di Stahlberg, quando il Task Manager chiede a Windows un elenco di programmi in esecuzione, nella lista compare tutto fuorché la calcolatrice. Un programma con il nome contenente questo prefisso può anche essere in esecuzione - anzi, potrebbe anche assorbire una quota significativa della capacità di memoria e calcolo del sistema - ma per il registro dei Processi e per altri programmi, come Esplora Risorse, semplicemente non esiste.
Ovviamente Stahlberg e i suoi colleghi di F-Secure non sapevano niente di tutto questo la prima volta che presero in esame un disco anticopia di Sony BMG (Nothing is Sound, degli Switchfoot). Immediatamente dopo aver ricevuto da John Guarino il file con la copia del registro del suo computer, venne ordinato un CD da installare su un PC messo in quarantena e fu messo in azione Blacklight, il programma che F-Secure ha sviluppato per individuare i rootkits, per verificare quali parti del sistema operativo erano state modificate. Blacklight riscontrò la presenza di un numero di file maggiore di quelli contati da Esplora Risorse, sintomo incontrovertibile della presenza di un rootkit.
Sulle prime i ricercatori di F-Secure ebbero una certa riluttanza nel classificare il rootkit Sony BMG tra le minacce alla sicurezza dei computer, trattandosi ovviamente di uno strumento utilizzato per assicurare la protezione dalle copie, non per diffondere virus e finestre pubblicitarie. «Il DRM di per sé non è qualcosa di negativo», afferma il responsabile delle ricerche F-Secure Santeri Kangas. «Ma quando abbiamo cominciato a studiare le cose che questo strumento rendeva possibili in quanto veicolo di malware, abbiamo dovuto prendere una posizione e dire beh, tutto questo è pericoloso».
Il 17 ottobre F-Secure contatta Sony a proposito della vulnerabilità del rootkit. Ma i rapporti con la casa discografica, secondo Kangas, partirono col piede sbagliato. Non sapendo chi contattare, F-Secure provò a sottoporre il problema all’attenzione di Sony DACD, una sussidiaria austriaca incaricata della fabbricazione dei CD. «Risposero, grazie, ma questo viene da Sony BMG», ricorda Kangas. Quando con i suoi colleghi riuscì finalmente a raggiungere il quartier generale di Sony BMG a Los Angeles, «la loro prima reazione fu di chiederci perché stessimo discutendo di software di protezione anticopia con una divisione concorrente di Sony. Erano abbastanza arrabbiati».
Cessate le recriminazioni, i responsabili del DRM in Sony BMG chiesero a Kangas e al suo staff di collaborare con First 4 Internet sul modo per tutelare i proprietari dei CD protetti. «Dal nostro punto di vista, l’unica soluzione con questa prima versione di XCP era smettere di utilizzarla», dice Kangas. «Ma chiaramente era una opzione che non volevano prendere in considerazione». Secondo Kangas, i piani di First 4 Internet consistevano semplicemente nel rilasciare, per il 2006, una seconda versione di XCP priva di rootkit - non di sostituire quei milioni di dischi che erano già stati acquistati - offrendo a chi ne avesse fatto richiesta un programma di disinstallazione».
Kangas e i suoi collaboratori prepararono una relazione pubblica sul rootkit, ma prima di rilasciarla attendevano il software di disinstallazione di First 4 Internet, per rispetto delle esigenze del mercato della sicurezza di Internet. Fu allora che un texano chiamato Mark Russinovich li battè sul filo di lana.
Russinovich e il collega Bryce Cogswell sono gli autori di Sysinternals.com, uno dei principali blog americani sulla sicurezza informatica. Russinovich è anche il responsabile architetturale dei programmi sviluppati da Winternals Software, una azienda di Austin e, guarda caso, inventore di alcune delle tecniche di mascheramento utilizzate dallo stesso XCP. Insieme a Cogswell ha trascorso parte dell’anno 2005 sul progetto Rootkit Revealer, un software di individuazione simile a Blacklight di F-Secure. Nel mese di ottobre, Russinovich stava provando Rootkit Revealer sul proprio computer per testare il numero di falsi positivi generati dal software. L’esperto racconta di aver intenzionalmente evitato le zone più rischiose di Internet per tenere la macchina alla larga dal malware. Anche per questa ragione fu molto sorpreso quando Rootkit Revealer gli annunciò di aver trovato i file di un rootkit.
Proprio come accadde a Guarino, Russinovich scoprì che rimuovendo questi file il lettore di CD-ROM smetteva di funzionare. «Anche un utente non professionale ma esperto si sarebbe trovato con un computer zoppo se avesse cercato di disinstallare il rootkit cancellandone i file», precisa Russinovich. Ma avendo escogitato in prima persona molti dei trucchi usati dai rootkits per Windows per ingannare i programmi e il sistema operativo, non si perse d’animo. Russinovich riuscì ad aggirare le funzioni di mascheramento e - ricordando si essersi servito di quel computer per ascoltare un disco Sony BMG, Get Right with the Man - ricondusse i file che erano stati nascosti a First 4 Internet e alla casa discografica.
«Mi sentivo arrabbiato pensando che quell’affare avesse installato sul mio PC un software corrispondente a un rootkit», ammette Russinovich. «Si era installato da solo e senza avvertirmi. Non sembrava esserci nessun disinstallatore. Ma la cosa più sorprendente di tutte era il fatto di trovarsi davanti a un rootkit che faceva parte del sistema di DRM di una azienda così importante».
Russinovich non prese contatto con Sony BMG a proposito della sua scoperta, riversando tutte le sue scoperte in un irato contributo sul suo blog. L’articolo uscì il giorno di Ognissanti e nel giro di poche ore venne ripreso da Slashdot, noto sito delle «News for nerds». Da qui la storia del rootkit furoreggiò per tutta la blogosfera arrivando persino sui principali quotidiani. Pur essendo stata preceduta da Russinovich, F-Secure rientrò subito in partita, pubblicando le proprie analisi del rootkit. Era il primo di novembre.
Tra i patiti delle musica e gli esperti di tecnologie ci fu una reazione esplosiva alla notizia del rootkit. Nel giro di pochi giorni gli attivisti anti-DRM lanciarano una serie di boicottaggi contro Sony BMG. «Sony prende di mira i pirati e colpisce i clienti», strillava il 9 novembre la prima pagina del Christian Science Monitor. Aziende specializzate in antivirus e sicurezza fecero circolare tra i consumatori appelli a non utilizzare o a farsi rimborsare i CD. I blogger gettarono benzina sul fuoco; secondo il motore di ricerca Technorati il termine rootkit compariva da 150 a 750 volte al giorno nei blog per tutto il mese di novembre.
La rabbia collettiva subì una ulteriore impennata il 4 di novembre, quando Russinovich annunciò sul proprio blog che altre parti di XCP sui dischi Sony BMG erano in grado di «telefonare a casa» contattando via Internet la casa discografica ogni volta che un CD protetto veniva riprodotto sul computer. Su suggerimento di un hacker e studente di informatica finlandese, Matti Nikki, Russinovich impiegò un programma di tracciamento per analizzare il traffico di rete che entrava e usciva dal suo computer. Scoprendo che durante l’avviamento il CD protetto effettuava una verifica su un server della Sony BMG alla ricerca di nuovo materiale per un banner pubblicitario a rotazione visualizzato all’interno del software di riproduzione musicale. Uno scambio tutto sommato innocente; ma per Russinovich e i lettori del suo blog l’affronto consisteva nel fatto che Sony BMG, nel testo del contratto di licenza non avesse fatto alcun riferimento a un software che avrebbe trasmesso informazioni alla casa discografica e non aveva specificato l’uso che sarebbe stato fatto di tali informazioni. «Dubito che Sony BMG utilizzi i dati in qualche modo», scrisse Russinovich, «ma con questo genere di connessioni i loro server potrebbero registrare l’istante in cui un CD protetto viene riprodotto e l’indirizzo IP (la posizione su Internet) corrispondente al computer in cui è stato inserito».
Professionisti della sicurezza, blogger e appassionati di musica non furono gli unici a indignarsi. Il Depatment of Homeland Security americano criticò Sony BMG per aver rilasciato prodotti in grado di danneggiare il software antivirus ed esporre i computer di proprietà del governo e dei privati cittadini agli attacchi degli hacker. Nel corso di una conferenza organizzata il 10 novembre sul fenomeno della pirateria, Stewart Baker, vicesegretario alle politiche del Dipartimento, criticò duramente l’ossessione nei confronti del DRM dimostrata dalle grandi aziende mediatiche. «È molto importante ricrodare che la proprietà intellettuale è vostra, ma i computer no», disse Baker in quell’occasione.
Tutti quelli che a bordo del loro computer scoprivano il rootkit esprimevano senza sosta un senso di frustrazione. John Guarino, il consulente informatico, propone questa analogia: «Immaginate di voler installare la TV via cavo in casa vostra. Chiamate l’operatore via cavo, che manda qualcuno a installarla. Prima di entrare il tecnico vi fa firmare qualcosa. Poi vi accorgete che non ha mai lasciato l’appartamento dopo aver terminato il lavoro. Che si nasconde da qualche parte. Allora chiamate l’operatore dicendo: «Il tecnico è ancora qui», e quello risponde: «Certo, ma lei ha firmato il documento». «Sì ma non dovrebbe stare qui comunque. Dove diavolo è?», ribattete . «Non vogliamo dirglielo».
«E non solo il tipo si nasconde dentro a casa vostra, mangiando le provviste nel frigo, bevendo la vostra acqua, usando il bagno, senza che voi possiate fermarlo. Potrebbe anche invitare altri suoi amici e farli entrare. E se cercate di scoprirlo e di cacciarlo voi stessi, vi scaglierà addosso delle bombe e dovrete chiamare l’operaio e fargli ricostruire l’intero appartamento.
«Ecco quel che sta facendo la Sony. Il rootkit utilizza il vostro processore, usa la vostra memoria, il vostro disco fisso. Non potete rimuoverlo con facilità perché non vi dicono come fare. Se provate ad asportarlo vi scombinerà il computer. L’unica soluzione è reinsatallare tutto il sistema operativo. È illegalità totale ed è inaccetabile.»

Suonatori suonati

Nonostante l’avvertimento lanciato da F-Secure alla fine di ottobre, Sony BMG venne colta di sorpresa dalla controversia. Anzi, diversi giorni dopo che lo studio di Russinovich era finito sui giornali i dirigenti dell’azienda mostrarono poca comprensione per la furia che aveva colpito il cuore di tanti clienti. «La maggior parte delle persone non sa nemmeno che cosa sia un rootkit, perché dovrebbero preoccuparsene?», dichiarò Thomas Hesse in una intervista alla National Public Radio il 4 novembre.
Ma per gli acquirenti di oltre due milioni di dischi protetti con XCP venduti da Sony BMG tra gennaio e novembre le notizie furono un vero shock. Le falle di sicurezza nel software commerciale sono un evento molto comune; i prodotti Microsoft, per esempio, sono talmente diffusi che anche il più piccolo baco viene scoperto e sfruttato dagli autori di malware, tanto che il colosso del software è costretto a rilasciare ogni mese aggiornamenti e toppe. Ma nessuna azienda di software o mediatica ha mai rilasciato un programma che a detta degli esperti di sicurezza era costruito per funzionare come un malware.
Sony BMG non presentò immediatamente le sue scuse, ma cercò di risolvere il problema. Il suo primo passo, all’inizio di novembre, fu la pubblicazione di un programma Web che i clienti potevano attivare per rimuovere XCP dai loro sistemi. Non fu una mossa azzeccata. In Finlandia, Matti Nikki scoprì che un file piazzato da questo disinstallatore a bordo dei computer per facilitare la comunicazione con i server di Sony BMG avrebbe potuto essere in seguito utilizzato da qualsiasi altro sito Web per inoculare ed eseguire codice maligno. Il disinstallatore rappresenteva «un rischio di sicurezza nettamente superiore rispetto all’originario rootkit», secondo Felten e Halderman, che il 15 novembre, sul loro seguitissimo blog Freedom to Tinker (Libertà di smanettamento) avevano verificato la scoperta di Nikki.
Pochi giorni dopo, Sony BMG sostituì il disinstallatore basato su Web con una versione scaricabile, più sicura. E poco alla volta l’azienda parve rendersi conto delle dimensioni del disastro di immagine in cui si era trovata coinvolta. L’11 novembre, Sony BMG annunciò il blocco della produzione di CD musicali protetti da XCP. Il 14 dichiarò il suo dispiacimento per i fastidi arrecati alla clientela e annunciò un programma di sostituzione dei CD con altri dischi privi del rootkit.
Secondo le cifre pubblicate dai giornali i consumatori avevano acquistato 2,1 milioni di CD protetti. Quanti di questi consumatori avessero ascoltato i dischi sul computer, installando il rootkit a loro insaputa, non era ben chiaro. Ma Dan Kaminsky, esperto di sicurezza indipendente di Seattle, ha rilevato le tracce riconducibili al rootkit Sony su centinaia di migliaia, se non milioni di computer in 131 nazioni. A suo parere si è trattato di una cifra «enorme», specie se confrontata con quelle relative alla diffusione di virus e vermi su Internet. Kaminsky pubblicò queste statistiche sul suo sito Web, doxpara.com, insieme alle mappe che mostravano la posizione delle reti colpite.
Sony BMG, nel frattempo, cercò di dare una risposta alle specifiche preoccupazioni sollevate da Russinovich, Kaminsky e altri. In una lettera del 18 novembre indirizzata alla Electronic Frontier Foundation, che aveva a sua volta pubblicato una lettera aperta di critiche per come Sony BMG aveva gestito l’episodio, Jeffrey Cunard, legale della Sony, scrisse che l’azienda non avrebbe mai rivelato gli indirizzi Internet raccolti nel momento in cui XCP telefonava a casa e che in ogni caso tali indirizzi non erano associati a informazioni in grado di identificare i singoli individui. Aggiunse anche che Sony BMG sarebbe stata più cauta in futuro nel valutare il software di protezione anticopia e i contratti di licenza che lo accompagnavano. «Ogni tecnologia presente e futura utilizzata da Sony BMG verrà sperimentata, verificata e rivelata ai consumatori,» scrisse Cunard.
I rappresentanti di Sony BMG, contattati da «Technology Review» in marzo e aprile, hanno rifiutato di nominare il dirigente responsabile dell’acquisizione della tecnologia XCP da First 4 Internet o del rilascio dei dischi protetti, rifiutando anche di autorizzare i loro dirigenti a rilasciare interviste. La responsabile dell’ufficio pubbliche relazioni dell’azienda, Cory Shields, dichiarò tuttavia che non era mai stata intenzione di Sony BMG di includere nei suoi compact disc software in grado di rappresentare una minaccia per la sicurezza. «L’intenzione dell’azienda era quella di rilasciare una tecnologia facile da usare, che consentisse ai consumatori il godimento delle funzionalità desiderate», ha detto la Shields. «Non era certo nostra intenzione creare un problema».

Aree di libertà

Il dietrofront, i cambi merce e le scuse del novembre del 2005 non sono serviti a mettere la vicenda sotto silenzio. L’avvocatura dello stato di New York, affidata a Eliot Spitzer, alla fine di quel mese criticò pubblicamente la Sony, dopo che un’inchiesta aveva dimostrato che i dischi con l’XCP installato non erano ancora stati ritirati dai negozi. La Federal Trade Commission (Commissione Federale per il Commercio) aprì una nuova inchiesta e l’avvocato dello stato del Texas Greg Abbott citò in giudizio Sony per violazione delle norme antispyware texane. Altre denunce per danneggiamento di computer contro la Sony furono presentate in almeno cinque stati.
Questa volta Sony reagì prontamente. Prima della fine di dicembre l’azienda aveva raggiunto un accordo preliminare con gli avvocati che si erano consorziati per muovere una unica causa presso la Corte distrettuale del sud dello stato di New York. L’accordo offre ai possessori di CD contenenti il programma XCP un disco sostitutivo, 7 dollari e mezzo in contanti e (ironia della sorte) la possibilità di prelevare gratuitamente la musica contenuta nel CD e in altri tre dischi. Mentre andiamo in stampa, la corte non aveva ancora approvato l’accordo nella sua interezza, ma il programma di sostituzione era già iniziato.
Anche dopo la proposta di accordo, sui media e nella blogosfera la rabbia permane. Ciò che ha veramente turbato i consumatori, pare, non è tanto il danno provocato ai computer: il troiano Troj/Stinx-E non era riuscito a fare molta strada e non ci fu il tempo per una grave epidemia di altri software maligni capaci di sfruttare la presenza del rootkit XCP. Viceversa, gli acquirenti dei dischi se la sono presa perché il programma aveva deliberatamente nascosto la propria presenza e contattato la casa madre Sony senza un esplicito permesso. Hanno ritenuto che XCP avesse oltrepassato una barriera ben più fondamentale, vale a dire il diritto alla privacy e alla privata proprietà nonché la libertà di espressione e di accesso alle informazioni.
«Sono un appassionato di musica e ho assistito con disappunto all’evoluzione del DRM, fino al punto in cui, per aprire la confezione di CD, devi praticamente firmare un contratto», afferma Tim Jarrett, programmatore Web e blogger di tecnologie residente a Framingham, nel Massachusetts. «Quando ho visto che Sony non solo stava utilizzando questo DRM, ma lo faceva rendendo vulnerabile il computer altrui, dentro di me qualcosa si è spezzato». Jarrett decise di aprire un blog intitolato Sony Boycott Blog, che per tre mesi ha funzionato come centro di scambio per tutte le informazioni sulla saga del rootkit. I lettori di Jarrett - fino a cinquemila al giorno - erano altrettanto irritati. «Ciascuno di noi ha intorno un’area di libertà personale, uno spazio in cui puoi decidere, per esempio, di leggere un libro dall’ultima pagina alla prima, di leggerlo venti volte, di apporre delle annotazioni a margine, di leggerlo nella vasca da bagno, o interpretarne le scene davanti a un amico», dice Julie Cohen, docente di diritto ed esperta di norme sulla proprietà intellettuale e privacy delle informazioni presso il Law Center della Georgetown University. «Vedere una sorta di poliziotto automatico o una esplicita barriera architettonica che si appropria di questo spazio personale è un fatto che la gente avverte come estremamente intrusivo».
«Penso che attraversiamo una fase in cui i fornitori di contenuti cercano di spingere in là determinati confini», ritiene Mark Russinovich. «Cercano di capire fin dove possono arrivare per salvaguardare i loro contenuti e dove si situa la sottile linea di demarcazione tra la tutela di quei contenuti dalla pirateria occasionale e gli atti di prevaricazione nei confronti dei consumatori».

Quando il DRM è buono

La questione sollevata dalla storia del rootkit Sony BMG porta a chiedersi se la protezione di un contenuto debba necessariamente violare il diritto dei consumatori al controllo della loro proprietà personale, compromettere il ruolo del computer come strumento di cultura e creatività e sacrificare il principio di «equo impiego» sancito dalla normativa americana in materia di copyright per consentire la riproduzione di opere protette da copyright ai fini di critica, cronaca giornalistica, studio e archiviazione.
I primi segnali non sono positivi. Lo scivolone di Sony BMG, per quanto involontario, ha rappresentato per molti osservatori il sintomo del fatto che i detentori dei diritti d’autore hanno ingranato una marcia in più nella battaglia tecnologica, optando per una interferenza sempre più radicale con i meccanismi interni ai computer in un affrettato e imprudente tentativo di limitare il fenomeno del download gratuito.
«Se Sony non si è fermata prendendosi il tempo di chiedere a First 4 Internet come XCP funzionasse davvero, è solo colpa sua», sottolinea Schneier di Counterpane Internet Security. «Ritengo meno colpevole First 4 Internet, perché Sony voleva comperare una bacchetta magica e quelli hanno semplicemente detto: “ecco, prendi la nostra”».
Sony BMG non ha mai ammesso completamente le proprie responsabilità; perfino nell’accordo proposto lo scorso dicembre l’azienda ha negato le proprie responsabilità legali o il fatto che qualcuno sia stato danneggiato in seguito a un comportamento scorretto. Ciò nonostante, in base a quasi tutti i criteri di misura della responsabilità legale di una azienda, Sony BMG è andata ben oltre il lecito nel confezionare l’insuccesso del suo rootkit. Oggi l’azienda sembra essere più consapevole di aver attraversato la «sottile linea» tracciata da Russinovich. «Ci dev’essere un punto di equilibrio tra la protezione di un contenuto e la tutela e salvaguardia di una tecnologia», riconosce la portavoce di Sony BMG Cory Shields.
Gli errori commessi da Sony BMG nel caso del rootkit ci permettono anzi di capire meglio come, per opposizione, debba funzionare un buon sistema di gestione dei diritti digitali.
Per prima cosa, affermano gli esperti di sicurezza informatica, un buon DRM deve essere trasparente. Per questi professionisti nell’episodio del rootkit la segretezza è andata troppo in là. Se un rootkit finisce per offrire un rifugio sicuro in cui nascondersi a virus, vermi e troiani, il lavoro per i programmi che devono rilevare la presenza dei virus si fa assai più complesso. E se altre aziende perfettamente legali cominciano a progettare il loro software come se si trattasse di un virus, può diventare del tutto impossibile. «Ora», conclude Schneier, «tutto il software di sicurezza deve poter distinguere tra codice maligno “buono” e codice maligno “cattivo”».
Per essere davvero amichevole nei confronti del consumatore, il software di DRM deve esserlo nei confronti del computer. Non deve nascondersi dal sistema operativo, né assumere il controllo di una quota eccessiva di memoria e potenza di calcolo. E i termini di impiego e il funzionamento del software devono essere espressi in termini chiari per l’utente, non venire sepolti in contratti di licenza lunghi venti pagine. «La gente deve essere in grado di capire l’affare che le viene proposto e le restrizioni cui sarà soggetta», afferma David Sohn, avvocato specializzato in diritto della proprietà intellettuale presso il Center for Democracy and Technology (Centro per la Democrazia e la Tecnologia) di Washington D.C.
In secondo luogo, la tecnologia DRM deve rispettare la privacy e la sicurezza dell’utente. Le uniche informazioni raccolte devono servire per l’autenticazione e solo dietro esplicito consenso dell’interessato. E le misure di protezione non possono essere implementate a spese della salvaguardia del sistema informatico dall’azione di un codice autenticamente maligno.
In terzo luogo, un buon DRM deve essere al servizio dell’utente. Se il sistema di protezione si rompe, i consumatori devono comunque poter accedere ai contenuti acquistati e, se diventa una minaccia alla sicurezza, deve essere possibile disattivarlo. Eppure, in base alla legge americana sul copyright per il millennio digitale (Digital Millennium Copyright Act, DMCA), approvata negli Stati Uniti nel 1998, è diventato illegale cercare di aggirare una tecnologia di protezione dei contenuti digitali. Non si fanno eccezioni per casi analoghi a quello del rootkit di Sony BMG, dove la stessa tecnologia di DRM può provocare danni. A questa bizzarra situazione può essere posto rimedio solo con uno sforzo da parte del legislatore per la modifica della DMCA. Il 14 dicembre scorso, per la terza sessione parlamentare consecutiva, la deputata Zoe Lofgren, rappresentante del partito democratico per la Silicon Valley, ha introdotto un progetto di legge che renderebbe legale l’aggiramento di tecnologie DRM qualora il contenuto privato delle sue protezioni fosse impiegato a fini legalmente compatibili, come l’archiviazione. La proposta di legge Lofgren è stata demandata alla commissione giudiziaria del Congresso, dove è in attesa di essere presa in esame.
Quarto e forse più importante punto: una buona tecnologia DRM deve essere flessibile. La dichiarazione fatta da Sony BMG ai suoi clienti era piuttosto perentoria: compera questo CD per 13 dollari e 98 e potrai farne tre copie e solo nel formato Windows Media Audio. Le copie non potranno essere a loro volta copiate e non saranno riproducibili sul computer di terzi. Un DRM più ragionevole darebbe agli utenti la libertà di scegliere se utilizzare il contenuto da loro acquistato per scopi non incompatibili con la normativa vigente, come riversare il contenuto sul computer e da qui trasferirlo sul lettore portatile, o consentirebbe loro di scegliere come servirsi del contenuto facendo pagare di conseguenza. Uno spostamento dei parametri di tempo (registrare un flusso audio dal vivo per riascoltarlo più tardi), di luogo fisico (trasmettere via Internet un brano per riceverlo in una località diversa) e perfino il ricampionamento e missaggio musicale devono essere consentiti in base a un opportuno tariffario. «Il mercato deve poter premiare o viceversa escludere i vari prodotti in base alla loro capacità di dare agli acquirenti la flessibilità desiderata», osserva Sohn.
Alcune tecnologie di DRM riescono ad assicurare una maggiore flessibilità. Sohn cita il caso di FairPlay, il sistema di DRM integrato in Apple iTunes come un esempio che altri distributori di contenuti farebbero bene a imitare: i clienti possono ascoltare i brani protetti con FairPlay sul computer, allestire delle compilation, masterizzare dei CD con queste compilation e trasferire le canzoni su dispositivi portatili. (Sohn non apprezza in FairPlay la non compatibilità con prodotti non Apple.) Il successo del negozio on line di iTunes, ribadisce Sohn, lascia intendere che questa miscela di funzionalità «va incontro alla domanda del consumatore». Un altro esempio è quello di TiVo to Go: i proprietari dei videoregistratori digitali TiVo possono trasferire in contenuti registrati su DVD, computer da tavolo, laptop e dispositivi mobili come il video iPod e la Sony PlayStation portatile.
Ma per un iTune o un TiVo restano numerosi esempi di strategie DRM restrittive che trattano i clienti come criminali. Fino a quando non ci raggiungerà un consenso sui diritti che spettano al consumatore e quali sono invece le restrizioni necessarie per tutelare gli introiti degli artisti e delle loro case discografiche, acquistare contenuti digitali continuerà a essere una questione spinosa.
«Chi detiene una proprietà intellettuale ha assolutamente ogni diritto di tutelare questa proprietà», sottolinea Stephen Toulouse, responsabile del programma sicurezza del Security Response Center di Microsoft, dove i ricercatori hanno trascorso intere settimane con gli utenti di Windows per aiutarli ad affrontare gli effetti dell’epidemia rootkit. «Ma, come consumatore, anche a me piacerebbe che i produttori di software e le case discografiche chiedessero il parere dei loro clienti e sviluppassero tecnologie che riflettano tale giudizio».
In fin dei conti, dunque, la risposta migliore che le etichette discografiche possano dare alla contrazione del mercato della musica è quella di tirar fuori più immaginazione, non più controlli».