惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Google DeepMind News
Google DeepMind News
S
Security Affairs
阮一峰的网络日志
阮一峰的网络日志
L
LangChain Blog
Microsoft Azure Blog
Microsoft Azure Blog
雷峰网
雷峰网
Recent Announcements
Recent Announcements
WordPress大学
WordPress大学
The GitHub Blog
The GitHub Blog
博客园_首页
The Cloudflare Blog
M
MIT News - Artificial intelligence
博客园 - 【当耐特】
MyScale Blog
MyScale Blog
S
SegmentFault 最新的问题
P
Proofpoint News Feed
Y
Y Combinator Blog
Jina AI
Jina AI
博客园 - 聂微东
A
About on SuperTechFans
Blog — PlanetScale
Blog — PlanetScale
博客园 - 司徒正美
G
Google Developers Blog
云风的 BLOG
云风的 BLOG
F
Full Disclosure
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Microsoft Security Blog
Microsoft Security Blog
爱范儿
爱范儿
T
Tailwind CSS Blog
J
Java Code Geeks
Vercel News
Vercel News
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
Stack Overflow Blog
Stack Overflow Blog
罗磊的独立博客
小众软件
小众软件
酷 壳 – CoolShell
酷 壳 – CoolShell
T
The Blog of Author Tim Ferriss
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
博客园 - 三生石上(FineUI控件)
W
WeLiveSecurity
PCI Perspectives
PCI Perspectives
Attack and Defense Labs
Attack and Defense Labs
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
宝玉的分享
宝玉的分享
IT之家
IT之家
Hacker News: Ask HN
Hacker News: Ask HN
The Register - Security
The Register - Security
T
The Exploit Database - CXSecurity.com
T
Threat Research - Cisco Blogs

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Дело 2005г.: Sony BMG против собственных покупателей или как защита от пиратства превратилась в руткит
beget_com (B · 2026-04-23 · via Все публикации подряд на Хабре

Время на прочтение6 мин

Охват и читатели1.8K

Кейс

Давайте немного поностальгируем. Помните, каких-то 20 лет назад мы еще покупали музыку альбомами и на дисках, в каждом компе стоял пишущий DVD-привод, а фирмам-дистрибьюторам музыки казалось, что самая большая их проблема в будущем - это пиратство.

Герой этой статьи, Sony BMG, испытывала к пиратам такую личную неприязнь, что кушать не могла решила встроить защиту от пиратства на свои диски, причем защита была настолько капитальной, что формально являлась чистым руткитом, безальтернативно устанавливаемым всем PC-пользователям. Надо ли говорить, что как только о рутките стало известно, им воспользовались все, кто мог, кроме самой Sony.

В поисках быстрых побед 

Компания Sony BMG Music Entertainment появилась на свет в августе 2004 года - путем слияния Sony Music и Bertelsmann Music Group. В результате получилась вторая по величине музыкальная контора в мире, контролирующая около 22% мирового рынка музыки, уступая только Universal (26%). Суммарно, вместе с EMI и Warner, так называемая «большая музыкальная четверка» держала ~70% мирового розничного рынка при общей оценке отрасли в $30..40 млрд. Внушительные деньги.

Казалось бы - живи и зарабатывай. Но был неприятный нюанс: в период с 1999 по 2005 годы мировые продажи CD рухнули примерно на 25% (т.е. “потери” составляли около 10 миллиардов) и виновными назначили пиратов. Затем состаялся большой крестовый поход против Napster - сверхпопулярного P2P-сервиса, появившийся в 1999 г. 

Важно, что Napster не хранил музыку на своих серверах, но связывал пользователей между собой для обмена файлами. Несмотря на уверения создателей, что они лишь предоставляют инструмент для обмена, в 2001 году федеральный суд США постановил, что Napster таки несет ответственность за нарушение авторских прав и закрыл сервис. Как это часто бывает с революционными идеями, на смену Napster быстро пришли Kazaa, LimeWire и десятки других клиентов, которых закрыть было уже значительно сложнее.

Но вернемся к Sony BMG. Представьте себя на месте менеджмента укрупненной в 2005 году компании: вас только что поставили рулить объединенным гигантом, инвесторы ждут быстрых результатов, вы вторые на рынке, зато ясна точка роста - нужно просто победить пиратство и продажи снова пойдут вверх. 

А вы что это, и программы за меня устанавливать будете? Ага!

Решение, как водится, нашли на стороне. Компания First 4 Internet (оцените иронию в названии), специализирующаяся на DRM-защите музыкальных дисков, предложила Sony BMG свою разработку: программу XCP (Extended Copy Protection), которая и пошла в серию.

После того как пользователь вставлял в CD-привод диск от Sony, срабатывал автозапуск и появлялось пользовательское соглашение с предложением установить фирменный плеер. Независимо от того, соглашался пользователь или нет, ему на комп устанавливались 4 компонента:

  • Руткит, который прятал от Windows файлы DRM-защиты

  • Модифицированный драйвер для CD/DVD-ROM, который перехватывал обращения к оптическому приводу, препятствуя копированию

  • Мониторинг процессов, следящий, а не запущен ли какой-то из известных риперов и блокирующий привод, если в нем был диск Sony

  • Компонент “обратной связи”, отправлявший на серверы Sony информацию о том, какой диск воспроизводится, вместе с IP-адресом пользователя.

Естественно, никакого упоминания об этом в пользовательском соглашении не было. Если пользователь все-таки соглашался, сверху накатывался еще и плеер. Всего таких дисков отпечатали 4,7 миллиона.

Википедия приводит этот скриншот плеера в статье про руткит Sony BMGОбратите внимание на надпись внизу - она появилась уже после скандала

Википедия приводит этот скриншот плеера в статье про руткит Sony BMGОбратите внимание на надпись внизу - она появилась уже после скандала

В октябре 2005 года Марк Руссинович - не побоюсь этого слова, легенда в мире Windows (на Хабре так же есть большая статья, посвященная этому человеку), тестировал на домашнем компьютере собственный инструмент RootkitRevealer. Созданный Марком детектор руткитов работал просто: запрашивал список файлов дважды, через стандартные функции Windows и через собственный низкоуровневый код, а потом сравнивает результаты. Если в итоге находилось расхождение, то значит, что-то на уровне ядра скрывало файлы, т.е. в системе присутствовал руткит. К удивлению автора, программа как раз сообщила о расхождении.

Поскольку Руссинович вряд ли мог заподозрить себя в нарушении цифровой гигиены, он полез разбираться и довольно быстро нашел виновника - музыкальный диск, который он ставил за несколько дней до этого.

Общественность вам не простит

31 октября 2005 года Руссинович публикует в своем блоге подробный технический разбор проблемы. Он документирует компоненты, показывает перехват системных вызовов, объясняет механизм сокрытия. Пост немедленно расходится по техническим блогам, шумиха растёт.

Sony BMG надо было реагировать и она отреагировала образцово плохо:

Шаг 1. Начало ноября - Sony выпускает патч, который делает скрытые файлы видимыми, но не удаляет сам XCP. Одновременно, 4 ноября, президент подразделения Global Digital Business Томас Хессе говорит в интервью NPR: «Большинство людей вообще не знают, что такое руткит - так зачем им об этом беспокоиться?»

Шаг 2. Появляется второй патч. Руссинович снова берет его на анализ и показывает, что стало только хуже. Теперь для получения «деинсталлятора» пользователь должен пройти несколько форм, потом указать свой email, который тут же добавлялся в рекламные рассылки Sony. Что интересно, сам патч устанавливал ActiveX-компонент, к безопасности которого тоже были вопросы. Спустя 3 дня Sony что-то у себя докрутили и выпустили «новый и улучшенный» инструмент удаления. Но все еще с ActiveX. Параллельно, с 15 ноября запускается отзыв дисков из магазинов и программа обмена.

Шаг 3: После череды исков, 6 декабря Sony представила нормальный деинсталлятор. 

Это все мне?

Пока Sony BMG решала, как ей выпутываться из скандала, руткитом активно пользовались обитатели даркнета. Первыми, как бы это ни было забавно, стали читеры World of Warcraft. Особенностью руткита от Sony было в том, что он прятал любые файлы, начинающиеся с префикса $sys$. Соответственно, читеры называли свои файлы так же и античит система онлайн-игры переставала их видеть.

Еще один повод для ностальгии

Еще один повод для ностальгии

Но это были цветочки. Буквально через две недели после публикации Руссиновича появился первый троян, работающий с уязвимость XCP (существует несколько названий трояна, в зависимости от того, кто его детектировал: Backdoor.Rycos, Stinx-E, Breplibot). Троян рассылался как вложение в письме от якобы британского делового журнала и при запуске копировал себя в системную папку Windows под именем $sys$drv.exe, после чего "исчезал". После заражения машины входили в ботнет и далее использовались для рассылки спама. Справедливости ради надо сказать, что организованная группа m00p, стоящая за трояном не просуществовала долго - в июне 2006 года британская и финская полиция задержала владельцев трояна.

Час расплаты

Под напором общественности и отбиваясь от судов, Sony запускает программу обмена дисков. Всем владельцам CD с XCP предлагалось обменять диск на аналогичный, но без руткита, плюс получить mp3-версию этого же альбома (т.е. уже рипнутую). Дополнительно предлагалось два вида компенсации: $7.5 и возможность скачать любой цифровой альбом из списка с 200 наименованиями или вообще обойтись без денег, но загрузить аж три альбома (из 2026-го года такое предложение кажется немного наивным). Суммарно отзыв 4,7 миллионов XCP-дисков, включая около 2,6 нераспроданных, обошелся примерно Sony BMG в сумму равную $6,5 миллионов.

Параллельно шли суды. По итогам урегулирования с Техасом, Sony выплатила $750.000 судебных издержек, согласилась принимать возврат дисков, разместить заметное предупреждение на главной странице сайта, купить рекламу в Google, Yahoo! и MSN для оповещения потребителей и возместить до $150 за каждый повреждённый компьютер. 

В январе 2007 года к соглашению с Sony пришла и Федеральная торговая комиссия США: последняя обязала компанию прекратить сбор пользовательских данных, запретила устанавливать любое защитное ПО без явного согласия пользователя и потребовала возместить потребителям те же $150 на ремонт компьютеров, пострадавших при попытках удалить XCP. Совокупные выплаты по соглашениям со штатами составили ещё около $5,75 млн.

Вместо заключения

Учитывая, что Sony BMG потеряла “всего” 12 миллионов в попытке вернуть себе пару миллиардов, интереснее всего смотреть, что стало с менеджментом. Томас Хессе, чья фраза про руткит стала мемом, в открытых источниках никаких карьерных последствий не понёс - он оставался на своей должности и после скандала.

Что касается CEO Sony BMG Эндрю Лэка, то через три с небольшим месяца после скандала он и председатель совета директоров Рольф Шмидт-Хольц поменялись местами. Но и там сработала скорее операционная деятельность - одной из причин смещения называют падение количества релизов на американском рынке с 33% до 26%. Другими словами, скандал с руткитом может быть как-то и повлиял на перестановки, но точно не стал решающим.


Размещайте облачную инфраструктуру и масштабируйте сервисы с надежным облачным провайдером Beget.

Эксклюзивно для читателей Хабра мы даем бонус 10% при первом пополнении.

Воспользоваться

Воспользоваться