F-Secure tiesi Sonyn rootkitistä jo lokakuun alussa
3
Switchfootin "Nothing Is Sound" on yksi markkinoilta vedetyistä XCP-albumeista.
Business Week -lehden verkkoversio kertoo, että F-Secure tiesi Sony BMG:n rootkitin sisältäneestä drm-tekniikasta jo kuukautta ennen kuin asia tuli julkiseksi. Tietoturvayhtiö piti tiedon kuitenkin salassa, yrittäen neuvotella Sony BMG:n ja tekniikan toteuttaneen First4internetin kanssa ongelman ratkaisusta.
F-Securen tutkimusjohtajan Mikko Hyppösen mukaan tieto Sony BMG:n levyjen tietoturvariskistä lähetettiin yhtiön levyjä valmistavalle Sony DADC:lle 4.10. Sony BMG:lle asti sähköposti kulkeutui yhtiön mukaan 7.10., mutta Sony BMG:n Global Digital Business -yksikön johtajan Thomas Hessen mukaan sähköposti ei ilmaissut, että kyseessä olisi erityisen vaarallinen asia.
"Sähköpostissa kerrotaan 'rootkitistä', mutta siinä ei sanota, että ohjelma olisi vahingollinen", Hesse kommentoi F-Securen lähettämää tietoa Business Weekille.
Sony vähätteli uhkaa
Sony BMG:n mukaan First4internetin käskettiin 17.10. ryhtyä etsimään tilanteeseen ratkaisua yhdessä F-Securen kanssa. F-Securen mukaan First4Internet vähätteli yhtiöiden välisissä neuvotteluissa levyjen mukana tulleen XCP-ohjelman luomia tietoturvaongelmia, koska ohjelman uusi versio, jonka oli määrä valmistua ensi vuonna, korjaisi mahdolliset ongelmat
F-Securen mukaan Sonykaan ei nähnyt tilanteessa suurta ongelmaa, sillä yhtiö ei aikonut aluksi tehdä mitään jo julkaistujen levyjen suhteen. F-Securen ja First4internet-yhtiön neuvottelut ongelman ratkaisemisesta taas hyytyivät, koska yhtiöt eivät päässeet yksimielisyyteen vaitiolosopimuksestaan.
Tässä vaiheessa julkisuuspommi kuitenkin jo laukesi Sony BMG:n silmille, kun tietokoneasiantuntija Mark Russinovich julkaisi tiedon XCP-ohjelmasta ja sen sisältävästä rootkitistä blogissaan.
"Jos Sony olisi herännyt ajoissa, he olisivat voineet välttää tämän ongelman", F-Securen Mikko Hyppönen summaa tilanteen Business Weekille.
Mikko Hyppönen on seurannut Sony BMG:n XCP-tapausta tarkasti.
