Caso de 2005: Sony BMG contra seus próprios clientes - Quando a proteção contra pirataria se tornou um rootkit
Em 2005, a Sony BMG implementou um sistema de proteção contra cópias em seus CDs que se revelou um rootkit, escondendo arquivos e monitorando usuários. A falha gerou um escândalo, resultando em ações judiciais, multas e danos à reputação da empresa.
MundiX News·10 de maio de 2026·10 min de leitura·👁 1 views
Vamos fazer uma viagem no tempo. Há cerca de 20 anos, comprávamos música em álbuns e CDs, cada computador tinha uma unidade de DVD gravável, e as gravadoras achavam que seu maior problema futuro era a pirataria.
O protagonista deste artigo, a Sony BMG, tinha tanta aversão pessoal aos piratas que decidiu embutir proteção contra pirataria em seus discos, e essa proteção era tão completa que, formalmente, era um rootkit puro, instalado de forma incondicional em todos os usuários de PC. É preciso dizer que assim que o rootkit se tornou conhecido, todos que puderam o usaram, exceto a própria Sony.
A Sony BMG Music Entertainment surgiu em agosto de 2004, através da fusão da Sony Music e da Bertelsmann Music Group. O resultado foi a segunda maior gravadora do mundo, controlando cerca de 22% do mercado mundial de música, perdendo apenas para a Universal (26%). No total, juntamente com a EMI e a Warner, a chamada "grande quatro da música" detinha ~70% do mercado varejista mundial, com uma estimativa total do setor de US$ 30 a 40 bilhões. Dinheiro impressionante.
Poderia-se dizer: viva e ganhe dinheiro. Mas havia uma nuance desagradável: de 1999 a 2005, as vendas mundiais de CDs caíram cerca de 25% (ou seja, as "perdas" foram de cerca de 10 bilhões) e os piratas foram considerados culpados. Em seguida, houve uma grande cruzada contra o Napster - um serviço P2P super popular que apareceu em 1999.
É importante notar que o Napster não armazenava música em seus servidores, mas conectava os usuários para troca de arquivos. Apesar das alegações dos criadores de que eles estavam apenas fornecendo uma ferramenta para troca, em 2001, um tribunal federal dos EUA decidiu que o Napster era responsável por violação de direitos autorais e fechou o serviço. Como costuma acontecer com ideias revolucionárias, o Napster foi rapidamente substituído por Kazaa, LimeWire e dezenas de outros clientes, que eram muito mais difíceis de fechar.
Mas voltemos à Sony BMG. Imagine-se no lugar da administração de uma empresa consolidada em 2005: você acabou de ser encarregado de administrar um gigante unido, os investidores esperam resultados rápidos, você está em segundo lugar no mercado, mas o ponto de crescimento é claro - você só precisa vencer a pirataria e as vendas voltarão a subir.
E você vai instalar programas para mim também?
A solução, como de costume, foi encontrada do lado de fora. A First 4 Internet (aprecie a ironia no nome), especializada em proteção DRM para discos de música, ofereceu à Sony BMG seu desenvolvimento: o programa XCP (Extended Copy Protection), que foi lançado em série.
Depois que o usuário inseria um disco da Sony na unidade de CD, a reprodução automática era ativada e uma licença de usuário aparecia, oferecendo a instalação de um player proprietário. Independentemente de o usuário concordar ou não, 4 componentes eram instalados em seu computador:
Um rootkit que ocultava os arquivos de proteção DRM do Windows
Um driver modificado para CD/DVD-ROM que interceptava chamadas para a unidade óptica, impedindo a cópia
Monitoramento de processos, monitorando se algum dos rippers conhecidos estava em execução e bloqueando a unidade se houvesse um disco da Sony nela
Um componente de "feedback" que enviava informações aos servidores da Sony sobre qual disco estava sendo reproduzido, juntamente com o endereço IP do usuário.
Naturalmente, não havia menção disso no contrato de licença do usuário. Se o usuário concordasse, o player também seria instalado. Um total de 4,7 milhões desses discos foram impressos.
Em outubro de 2005, Mark Russinovich - não hesito em dizer, uma lenda no mundo Windows (há também um grande artigo no Habr dedicado a essa pessoa), testou sua própria ferramenta RootkitRevealer em seu computador doméstico. O detector de rootkit criado por Mark funcionou de forma simples: solicitou a lista de arquivos duas vezes, através das funções padrão do Windows e através de seu próprio código de baixo nível, e depois comparou os resultados. Se uma discrepância fosse encontrada como resultado, isso significava que algo no nível do kernel estava ocultando arquivos, ou seja, um rootkit estava presente no sistema. Para surpresa do autor, o programa relatou uma discrepância.
Como Russinovich dificilmente poderia suspeitar de si mesmo de violar a higiene digital, ele foi investigar e encontrou o culpado rapidamente - um disco de música que ele havia colocado alguns dias antes.
O público não vai te perdoar
Em 31 de outubro de 2005, Russinovich publicou em seu blog uma análise técnica detalhada do problema. Ele documentou os componentes, mostrou a interceptação de chamadas do sistema, explicou o mecanismo de ocultação. A postagem se espalhou imediatamente por blogs técnicos, o burburinho cresceu.
A Sony BMG precisava reagir e reagiu de forma exemplarmente ruim:
Passo 1. Início de novembro - a Sony lança um patch que torna os arquivos ocultos visíveis, mas não remove o próprio XCP. Ao mesmo tempo, em 4 de novembro, o presidente da divisão de Negócios Digitais Globais, Thomas Hesse, disse em uma entrevista à NPR: "A maioria das pessoas nem sabe o que é um rootkit - então por que deveriam se preocupar com isso?"
Passo 2. Um segundo patch aparece. Russinovich o analisa novamente e mostra que só piorou. Agora, para obter o "desinstalador", o usuário deve preencher vários formulários, depois especificar seu e-mail, que foi imediatamente adicionado às listas de mala direta da Sony. Curiosamente, o próprio patch instalou um componente ActiveX, cuja segurança também foi questionada. Três dias depois, a Sony fez algumas alterações e lançou uma ferramenta de remoção "nova e aprimorada". Mas ainda com ActiveX. Paralelamente, a partir de 15 de novembro, os discos foram retirados das lojas e um programa de troca foi lançado.
Passo 3: Após uma série de ações judiciais, em 6 de dezembro, a Sony apresentou um desinstalador normal.
É tudo para mim?
Enquanto a Sony BMG decidia como sair do escândalo, o rootkit era ativamente usado pelos habitantes da darknet. Os primeiros, por mais engraçado que seja, foram os trapaceiros do World of Warcraft. Uma característica do rootkit da Sony era que ele ocultava quaisquer arquivos que começassem com o prefixo $sys$. Consequentemente, os trapaceiros nomeavam seus arquivos da mesma forma e o sistema anti-cheat do jogo online parava de vê-los.
Mas isso eram flores. Literalmente duas semanas após a publicação de Russinovich, o primeiro cavalo de Troia apareceu, trabalhando com a vulnerabilidade XCP (existem vários nomes para o cavalo de Troia, dependendo de quem o detectou: Backdoor.Rycos, Stinx-E, Breplibot). O cavalo de Troia foi enviado como um anexo em um e-mail de uma suposta revista de negócios britânica e, quando executado, copiou-se para a pasta do sistema Windows sob o nome $sys$drv.exe, após o qual "desapareceu". Após a infecção, as máquinas entraram em uma botnet e foram usadas para enviar spam. Para ser justo, deve-se dizer que o grupo organizado m00p, por trás do cavalo de Troia, não durou muito - em junho de 2006, a polícia britânica e finlandesa prendeu os proprietários do cavalo de Troia.
Hora do acerto de contas
Sob a pressão do público e defendendo-se em tribunais, a Sony lançou um programa de troca de discos. Todos os proprietários de CDs com XCP foram convidados a trocar o disco por um semelhante, mas sem o rootkit, além de obter uma versão mp3 do mesmo álbum (ou seja, já ripada). Adicionalmente, foram oferecidos dois tipos de compensação: US$ 7,5 e a possibilidade de baixar qualquer álbum digital da lista de 200 títulos ou, em geral, ficar sem dinheiro, mas baixar até três álbuns (de 2026, essa oferta parece um pouco ingênua). No total, a retirada de 4,7 milhões de discos XCP, incluindo cerca de 2,6 não vendidos, custou à Sony BMG cerca de US$ 6,5 milhões.
Paralelamente, houve processos judiciais. Como resultado do acordo com o Texas, a Sony pagou US$ 750.000 em custos judiciais, concordou em aceitar a devolução dos discos, colocar um aviso visível na página inicial do site, comprar anúncios no Google, Yahoo! e MSN para notificar os consumidores e compensar até US$ 150 por cada computador danificado.
Em janeiro de 2007, a Comissão Federal de Comércio dos EUA também chegou a um acordo com a Sony: esta última foi obrigada a parar de coletar dados do usuário, proibir a instalação de qualquer software de proteção sem o consentimento expresso do usuário e exigir que os consumidores fossem reembolsados os mesmos US$ 150 para reparo de computadores que sofreram ao tentar remover o XCP.
Os pagamentos totais sob os acordos com os estados totalizaram cerca de US$ 5,75 milhões.
Em vez de uma conclusão
Considerando que a Sony BMG perdeu "apenas" 12 milhões na tentativa de recuperar alguns bilhões, é mais interessante ver o que aconteceu com a administração. Thomas Hesse, cuja frase sobre o rootkit se tornou um meme, não sofreu nenhuma consequência de carreira em fontes abertas - ele permaneceu em sua posição mesmo após o escândalo.
Quanto ao CEO da Sony BMG, Andrew Lack, três meses e pouco depois do escândalo, ele e o presidente do conselho, Rolf Schmidt-Holtz, trocaram de lugar. Mas também houve uma operação - uma das razões para a mudança é a queda no número de lançamentos no mercado americano de 33% para 26%. Em outras palavras, o escândalo do rootkit pode ter afetado as mudanças, mas certamente não se tornou decisivo.
Vamos fazer uma viagem no tempo. Há cerca de 20 anos, comprávamos música em álbuns e CDs, cada computador tinha uma unidade de DVD gravável, e as gravadoras achavam que seu maior problema futuro era a pirataria.
O protagonista deste artigo, a Sony BMG, tinha tanta aversão pessoal aos piratas que decidiu embutir proteção contra pirataria em seus discos, e essa proteção era tão completa que, formalmente, era um rootkit puro, instalado de forma incondicional em todos os usuários de PC. É preciso dizer que assim que o rootkit se tornou conhecido, todos que puderam o usaram, exceto a própria Sony.
A Sony BMG Music Entertainment surgiu em agosto de 2004, através da fusão da Sony Music e da Bertelsmann Music Group. O resultado foi a segunda maior gravadora do mundo, controlando cerca de 22% do mercado mundial de música, perdendo apenas para a Universal (26%). No total, juntamente com a EMI e a Warner, a chamada "grande quatro da música" detinha ~70% do mercado varejista mundial, com uma estimativa total do setor de US$ 30 a 40 bilhões. Dinheiro impressionante.
Poderia-se dizer: viva e ganhe dinheiro. Mas havia uma nuance desagradável: de 1999 a 2005, as vendas mundiais de CDs caíram cerca de 25% (ou seja, as "perdas" foram de cerca de 10 bilhões) e os piratas foram considerados culpados. Em seguida, houve uma grande cruzada contra o Napster - um serviço P2P super popular que apareceu em 1999.
É importante notar que o Napster não armazenava música em seus servidores, mas conectava os usuários para troca de arquivos. Apesar das alegações dos criadores de que eles estavam apenas fornecendo uma ferramenta para troca, em 2001, um tribunal federal dos EUA decidiu que o Napster era responsável por violação de direitos autorais e fechou o serviço. Como costuma acontecer com ideias revolucionárias, o Napster foi rapidamente substituído por Kazaa, LimeWire e dezenas de outros clientes, que eram muito mais difíceis de fechar.
Mas voltemos à Sony BMG. Imagine-se no lugar da administração de uma empresa consolidada em 2005: você acabou de ser encarregado de administrar um gigante unido, os investidores esperam resultados rápidos, você está em segundo lugar no mercado, mas o ponto de crescimento é claro - você só precisa vencer a pirataria e as vendas voltarão a subir.
E você vai instalar programas para mim também?
A solução, como de costume, foi encontrada do lado de fora. A First 4 Internet (aprecie a ironia no nome), especializada em proteção DRM para discos de música, ofereceu à Sony BMG seu desenvolvimento: o programa XCP (Extended Copy Protection), que foi lançado em série.
Depois que o usuário inseria um disco da Sony na unidade de CD, a reprodução automática era ativada e uma licença de usuário aparecia, oferecendo a instalação de um player proprietário. Independentemente de o usuário concordar ou não, 4 componentes eram instalados em seu computador:
Um rootkit que ocultava os arquivos de proteção DRM do Windows
Um driver modificado para CD/DVD-ROM que interceptava chamadas para a unidade óptica, impedindo a cópia
Monitoramento de processos, monitorando se algum dos rippers conhecidos estava em execução e bloqueando a unidade se houvesse um disco da Sony nela
Um componente de "feedback" que enviava informações aos servidores da Sony sobre qual disco estava sendo reproduzido, juntamente com o endereço IP do usuário.
Naturalmente, não havia menção disso no contrato de licença do usuário. Se o usuário concordasse, o player também seria instalado. Um total de 4,7 milhões desses discos foram impressos.
Em outubro de 2005, Mark Russinovich - não hesito em dizer, uma lenda no mundo Windows (há também um grande artigo no Habr dedicado a essa pessoa), testou sua própria ferramenta RootkitRevealer em seu computador doméstico. O detector de rootkit criado por Mark funcionou de forma simples: solicitou a lista de arquivos duas vezes, através das funções padrão do Windows e através de seu próprio código de baixo nível, e depois comparou os resultados. Se uma discrepância fosse encontrada como resultado, isso significava que algo no nível do kernel estava ocultando arquivos, ou seja, um rootkit estava presente no sistema. Para surpresa do autor, o programa relatou uma discrepância.
Como Russinovich dificilmente poderia suspeitar de si mesmo de violar a higiene digital, ele foi investigar e encontrou o culpado rapidamente - um disco de música que ele havia colocado alguns dias antes.
O público não vai te perdoar
Em 31 de outubro de 2005, Russinovich publicou em seu blog uma análise técnica detalhada do problema. Ele documentou os componentes, mostrou a interceptação de chamadas do sistema, explicou o mecanismo de ocultação. A postagem se espalhou imediatamente por blogs técnicos, o burburinho cresceu.
A Sony BMG precisava reagir e reagiu de forma exemplarmente ruim:
Passo 1. Início de novembro - a Sony lança um patch que torna os arquivos ocultos visíveis, mas não remove o próprio XCP. Ao mesmo tempo, em 4 de novembro, o presidente da divisão de Negócios Digitais Globais, Thomas Hesse, disse em uma entrevista à NPR: "A maioria das pessoas nem sabe o que é um rootkit - então por que deveriam se preocupar com isso?"
Passo 2. Um segundo patch aparece. Russinovich o analisa novamente e mostra que só piorou. Agora, para obter o "desinstalador", o usuário deve preencher vários formulários, depois especificar seu e-mail, que foi imediatamente adicionado às listas de mala direta da Sony. Curiosamente, o próprio patch instalou um componente ActiveX, cuja segurança também foi questionada. Três dias depois, a Sony fez algumas alterações e lançou uma ferramenta de remoção "nova e aprimorada". Mas ainda com ActiveX. Paralelamente, a partir de 15 de novembro, os discos foram retirados das lojas e um programa de troca foi lançado.
Passo 3: Após uma série de ações judiciais, em 6 de dezembro, a Sony apresentou um desinstalador normal.
É tudo para mim?
Enquanto a Sony BMG decidia como sair do escândalo, o rootkit era ativamente usado pelos habitantes da darknet. Os primeiros, por mais engraçado que seja, foram os trapaceiros do World of Warcraft. Uma característica do rootkit da Sony era que ele ocultava quaisquer arquivos que começassem com o prefixo $sys$. Consequentemente, os trapaceiros nomeavam seus arquivos da mesma forma e o sistema anti-cheat do jogo online parava de vê-los.
Mas isso eram flores. Literalmente duas semanas após a publicação de Russinovich, o primeiro cavalo de Troia apareceu, trabalhando com a vulnerabilidade XCP (existem vários nomes para o cavalo de Troia, dependendo de quem o detectou: Backdoor.Rycos, Stinx-E, Breplibot). O cavalo de Troia foi enviado como um anexo em um e-mail de uma suposta revista de negócios britânica e, quando executado, copiou-se para a pasta do sistema Windows sob o nome $sys$drv.exe, após o qual "desapareceu". Após a infecção, as máquinas entraram em uma botnet e foram usadas para enviar spam. Para ser justo, deve-se dizer que o grupo organizado m00p, por trás do cavalo de Troia, não durou muito - em junho de 2006, a polícia britânica e finlandesa prendeu os proprietários do cavalo de Troia.
Hora do acerto de contas
Sob a pressão do público e defendendo-se em tribunais, a Sony lançou um programa de troca de discos. Todos os proprietários de CDs com XCP foram convidados a trocar o disco por um semelhante, mas sem o rootkit, além de obter uma versão mp3 do mesmo álbum (ou seja, já ripada). Adicionalmente, foram oferecidos dois tipos de compensação: US$ 7,5 e a possibilidade de baixar qualquer álbum digital da lista de 200 títulos ou, em geral, ficar sem dinheiro, mas baixar até três álbuns (de 2026, essa oferta parece um pouco ingênua). No total, a retirada de 4,7 milhões de discos XCP, incluindo cerca de 2,6 não vendidos, custou à Sony BMG cerca de US$ 6,5 milhões.
Paralelamente, houve processos judiciais. Como resultado do acordo com o Texas, a Sony pagou US$ 750.000 em custos judiciais, concordou em aceitar a devolução dos discos, colocar um aviso visível na página inicial do site, comprar anúncios no Google, Yahoo! e MSN para notificar os consumidores e compensar até US$ 150 por cada computador danificado.
Em janeiro de 2007, a Comissão Federal de Comércio dos EUA também chegou a um acordo com a Sony: esta última foi obrigada a parar de coletar dados do usuário, proibir a instalação de qualquer software de proteção sem o consentimento expresso do usuário e exigir que os consumidores fossem reembolsados os mesmos US$ 150 para reparo de computadores que sofreram ao tentar remover o XCP.
Os pagamentos totais sob os acordos com os estados totalizaram cerca de US$ 5,75 milhões.
Em vez de uma conclusão
Considerando que a Sony BMG perdeu "apenas" 12 milhões na tentativa de recuperar alguns bilhões, é mais interessante ver o que aconteceu com a administração. Thomas Hesse, cuja frase sobre o rootkit se tornou um meme, não sofreu nenhuma consequência de carreira em fontes abertas - ele permaneceu em sua posição mesmo após o escândalo.
Quanto ao CEO da Sony BMG, Andrew Lack, três meses e pouco depois do escândalo, ele e o presidente do conselho, Rolf Schmidt-Holtz, trocaram de lugar. Mas também houve uma operação - uma das razões para a mudança é a queda no número de lançamentos no mercado americano de 33% para 26%. Em outras palavras, o escândalo do rootkit pode ter afetado as mudanças, mas certamente não se tornou decisivo.
