RIAA: sul DRM Sony BMG ha agito al meglio

Roma – Perché scandalizzarsi? Perché denunciare un attentato di lesa maestà se, ascoltando un CD, il personal computer viene reso vulnerabile? Non c'è motivo, a sentire quanto che ha dichiarato nelle scorse ore Cary Sherman , presidente dell'associazione dei discografici americana RIAA .

Nel corso di una conferenza stampa, Sherman ha parlato di Sony BMG e del rootkit installato sui PC degli utenti affermando: “Si sono scusati del loro errore, hanno cessato la produzione di CD contenenti quella tecnologia e hanno rimosso i CD in vendita con quella tecnologia. Mi sembra un comportamento molto responsabile”. Come noto, Sony non solo ha ordinato la rimozione di circa 5 milioni di CD infetti ma ha anche proposto ai clienti di ordinare e ricevere gratuitamente a casa un CD sostitutivo, privo di tecnologie DRM, e ha offerto loro di scaricare subito gli stessi pezzi in formato mp3 per non rimanere “senza musica”. Va detto che nel primo caso per ottenere il CD è comunque necessario spedire il proprio, quello infetto, e nel secondo occorre comunque fornire dati personali a Sony BMG, due condizioni che non sembrano piacere ai più. Anche Amazon.com , il maggiore negozio online, ha fatto sapere che rifonderà i clienti che avessero comprato quei CD, anche se non li hanno mai utilizzati sul proprio PC.

“Quante volte le applicazioni software – ha continuato Sherman – hanno dato gli stessi problemi? Molte. Mi chiedo se anche loro (i produttori di software, ndr.) abbiano intrapreso le misure drastiche adottate da Sony BMG quando queste vulnerabilità sono state scoperte, o hanno semplicemente postato una patch su Internet?”

L'idea che Sherman vuole far passare, dunque, è che quel rootkit sia stato un semplice errore di programmazione . Una visione che difficilmente convincerà gli informatici, viste le caratteristiche invasive del rootkit installato da quei CD: c'è chi potrebbe ritenere letteralmente incredibile che sia scivolato nei PC degli utenti per caso, in tutti i lunghi mesi in cui è stato distribuito a pagamento insieme alla musica. Sherman non ha peraltro accennato in alcun modo al fatto che quando si installa un software legittimo, per quanto fallato, si viene avvertiti di quanto sta accadendo: dell'installazione del rootkit, invece, chi ha comprato quei CD è stato tenuto all'oscuro.

Il fatto poi che il rootkit Sony BMG per molti mesi in circolazione non sia mai stato intercettato dai numerosi software di protezione dei PC ha sollevato evidentemente ulteriori interrogativi. Tra i primi a segnalare questa particolarissima “incongruenza” è stato Bruce Schneier , forse il più celebre esperto di sicurezza, secondo cui “ciò a cui occorre stare attenti in questo caso è la collusione tra le grandi società dei contenuti che cercano di controllare quello che facciamo con i nostri computer e le società di sicurezza informatica che in teoria ci proteggono”. Comprensibile che su questo Sherman non abbia espresso alcun commento.

In realtà le (poche) parole di Sherman vengono giudicate nel loro complesso “omissive” dalla comunità. Non si tengono presenti infatti molte delle critiche che vengono riversate su Sony BMG e sulle quali per ora l'azienda non sembra intenzionata a rispondere. Critiche come quella secondo cui nel rootkit Sony si trova non solo codice tratto dal software LGPL LAME ma persino il codice di bypass del DRM di Apple realizzato da DVD Jon e Sam Hocevar e utilizzato da molti nel celebre player multimediale VLC (vedi anche il post dell'hacker tedesco Sebastian Ports). La presenza di queste righe di codice, se verrà confermata, significa la violazione di alcune delle licenze che sono le fondamenta dell'open source. L'idea stessa che Sony BMG possa essere caduta nell'abuso di diritto d'autore, naturalmente, attira ulteriore interesse sulla vicenda.

Ma, al di là di quanto dichiarato da Sherman, del danno di immagine per Sony BMG ormai si occupano tutti i maggiori giornali internazionali. E non sorprende se ora nel mondo P2P c'è chi arriva a chiedersi se Sony BMG e le altre major siano estranee alla grande circolazione di virus all'interno delle reti di sharing che, come noto, monitorano da vicino per andare a caccia di pirati .