Rootkit Sony

Fa un temps que corre la noticia de que Sony ha distribuït CD’s d’àudio amb un sistema de DRM que només permet que el CD es pugui reproduir amb el propi reproductor d’àudio que instal·la el mateix el CD. Aquest software, al mateix temps instal·la un rootkit al PC en qüestió i canvia els drivers del CD-Rom per evitar que es pugin fer copies del CD. Si voleu seguir la història completa recomano llegir el seguiment fet a BoingBoing: Part I i Part II.

La part interessant de la notícia sota el meu punt de vista no és el rootkit ni la part legal o moral de l’assumpte, sinó aquests mapes que han sortit publicats a diferents llocs on es poden veure les parts del mon afectades pel rootkit:

Quan vaig veure els mapes, de seguida em vaig preguntar quina tècnica hauran seguit per detectar l’origen del rootkit, doncs per fi he trobat la resposta, i l’explica Dan Kaminsky, el creador dels mapes al seu blog:

Sony has a rootkit.
The rootkit phones home.
Phoning home requires a DNS query.
DNS queries are cached.

La tècnica que ha utilitzat Dan per fer els mapes s’anomena DNS Cache Snooping i està molt ben detallada i explicada en aquest paper de Luis Grangeia. Bàsicament consisteix en fer una query no recursiva al major nombre possible de servidors DNS arreu del mon, per saber si tenen el domini de Sony que intenta resoldre el rootkit al caché, per després geoposicionar aquests servidors de DNS amb IP2Location.