1

TJTA236

• Tietosuoja & tietoturva• Turvallisen liiketoimen kriteerit

– Auktorisoitu – oikeus tehdä liiketomia– Luottamuksellisuus – vain meidän kesken– Autenttisuus – aikomuksen mukainen– Eheys – vain se mitä, aiotaan– Kiistämättömyys – sopimus pitää

• Rikollisuus– Petokset

• Huijaukset (phishing)• Maksuväline (luottokorttimaksaminen)

• Tunnistaminen• Rikollisuus

– Harmful content– Illegal content & copyright

2

Turvallisuuskonteksti

• Laeissa on säädetty tietosuojasta, sananvapaudesta, elinkeinon harjoittamisesta – Kaupankäyntiprosessin minimi-interaktio määritelty

elektronisen kaupankäynnin direktiivissä:• Tietoyhteiskunnan palvelu, Information Society Service

• Osapuolet:– Kuluttaja, kansalainen– Kauppias, välittäjä– Viranomainen– Oikeudenhaltija– Rahoittaja yms…

3

ICT crimes – Finland• Tietotekniikkarikoksella tarkoitetaan rikosta, jonka kohteena,

välikappaleena tai tekoympäristönä on tietojärjestelmä siihenkuuluvine laitteineen ja jonka tekeminen edellyttäätietotekniikan asiantuntemusta– Tietotekniikkarikos siis toteutetaan tietokoneen

avulla ja suunnataan tietokoneita, ohjelmistoja tai tiedostoja vastaan

– Pedofiliaa, viruksia, tekijänoikeusrikkeitä, pörssikurssien vääristelyä, laittomien uhkapelienjärjestämistä, petoksia & maksuvälinepetoksia (= yleisin)

• Väline tai ympäristö ei ratkaise rikoksesta koituvaarangaistusta. Netin välityksellä tehdyt laittomuudet on kirjatturikoslakiin lukuun tieto- ja viestintärikoksista

• Laki soveltuukin yhtä lailla tietokonejärjestelmiinmurtautumisen kuin tietokoneen välityksellä tehtyihinasiakirjaväärennöksien, petoksien ja vahingontekojenrankaisemiseen

• Lain voima globaalissa maailmassa?

4

Also: illegal and harmful content on global networks• Illegal content (i.e., police matters, new EU-directive against

rogue traders to enhance trust)– national security– protection of minors– protection of human dignity– economic security– protection of information– protection of privacy– protection of reputations– intellectual property

• Harmful content: – e.g., non-solicited marketing (’spam’)– technologies that enable users to reject such content by

promoting awareness among parents and fostering self-regulation, which could be an adequate way of protecting minors in particular

5

Ongelmakohdista

• Oikeustoimen kiistäminen (repudiation)– esim. koska osapuolia ei tunnisteta

• Väärentäminen (forging)– suojaamaton yhteys

• Informaatiota ihmisestä tai käyttäytymisestään käytetään väärin (misusing, violating privacy)– esim. evästeet, refererit, sivukäynnit

• Kahdenkeskisyys/luottamuksellisuus kärsii (spying)• Tapahtumaa päästään tarkkailemaan jälkiä

jättämättä

• Tiedonsiirto- ja käsittelyvirheet– toteutuu osin, väärin, tai jää toteutumatta

• Kierretään yhteiskunnallisia velvoitteita (forum-shopping)

6

Liiketointen turvaaminen

• Luottamus• Kontrolli

– Paying on the Net– Fraud prevention– Recognizing and authorizing the parties– Restricting harmful content– Securing and licensing digital material for on-line

distribution

7

Kuluttajan näkökulma:esim. Phishing-huijaukset

Dear Customer: Recently there have been a large number of cyber attacks pointing our database servers.

In order to safeguard your account, we require you to sign on immediately. This personal check is requested of you as a precautionary measure and to ensure yourselves that everything is normal with your balance and personal information. This process is mandatory, and if you did not sign on within the nearest time your account may be subject to temporary suspension.

Please make sure you have your Citibank(R) debit card number and your User ID and Password at hand. Please use our secure counter server to indicate that you have signed on, please click the link bellow: http://218.7.120.81/ver/ !!

Note that we have no particular indications that your details have been compromised in any way.

Thank you for your prompt attention to this matter and thank you for using Citibank(R)

Regards, Citibank(R) Card Department (C)2004 Citibank. Citibank, N.A., Citibank, F.S.B.,

Citibank (West), FSB. Member FDIC.Citibank and Arc Design is a registered service mark of Citicorp.

8

… continued …

Comment: This IP address range is not registered in the ARIN database. Comment: For details, refer to the APNIC Whois Database via Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.plComment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry Comment: for the Asia Pacific region. APNIC does not operate networks Comment: using this IP address range and is not able to investigate Comment: spam or abuse reports relating to these addresses. For more Comment: help, refer to http://www.apnic.net/info/faq/abuseComment:

9

… continued% [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.htmlinetnum: 218.7.120.64 - 218.7.120.127 netname: JINDU-COMPUTER-NET-COM descr: Fu jin city jin du computer net company country: CN admin-c: BG63-APtech-c: BG63-APchanged: gaobh@mail.hl.cn 20030610 mnt-by: MAINT-CNCGROUP-HLstatus: ASSIGNED NON-PORTABLE source: APNIC person: Binghui Gaonic-hdl: BG63-AP e-mail: gaobh@mail.hl.cnaddress: Communication Corporation Internet Enterprise Division of HLJ phone: +86-451-2804465 fax-no: +86-451-2804442 country: CN changed: gaobh@mail.hl.cn 20030221 mnt-by: MAINT-CNCGROUP-HLsource: APNIC

10

It can be an offer

Dear eBay Member,

You have been chosen by the eBay's Survey Department to take part in our quick and easy 6 question survery,

In return we will instantly credit $20 to your account - Just for your time!

Helping us better understand how our customer's feel benefits everyone. With the information collected we can decide to direct a number of changes to improve and expand our online service.

The information you provide us is all sensitive - No part of it is handed down to any third party groups. It will be stored in our secure database for a maximum of 7 days while we process the results of this nationwide survey.

We kindly ask you to please spare 2 minutes of your time in taking part with this unique offer!

To Continue click on the link below : http://survey.cgil1-ebay.com/.ws/ebayISAPI.dll%3fSignIn/index.htm

Regards,

Your eBay PowerSeller/PowerBuyer Team

11

Place or Update Credit Card on File

Dear eBay member,

During our regulary schedule account maintenance and verification wehave detected a slight error in your billing information on file witheBay. This might be due to either following reasons:

- A recent change in your personal information (i.e. change of address)- Submiting invalid information during the initial sign up process.- An inability to accurately verify your selected option of payment due an internal

error withinour processors.

Your credit card on file with eBay

Card number: XXXX-XXXX-XXXX-4322 (Not shown for security purposes) Expiration date: 11/05

Please sign in to your eBay account and update your billing information:

http://signin.ebay.com/ws2/eBayISAPI.dll?SignIn&ssPageName=h:h:sin:US<http://202.52.132.28/%20/signin.ebay.com/saw-cgi/eBayISAPIdllSignIn.php><http://signin.ebay.ca/aw-cgi/eBayISAPI.dll?SignIn>

If your account information is not update, your ability to sell or bidon eBay will become restricted.

Thank you,eBay Billing Department

------------------------------------------------------------------------eBay treats your personal information with the utmost care, and our Privacy Policy is designed to protect you and your information. eBay will never ask their users for personal information, such as bank account numbers, credit card numbers, pin numbers, passwords, or Social Security numbers in an email. For more information on how to protect your eBay password and your account, please visit User Account Protection <http://pages.ebay.com/help/account_protection.html>. This eBay notice was sent to you based on your eBay account preferences and in accordance with our Privacy Policy <http://pages.ebay.com/help/community/png-priv.html>. To change your notification preferences, click here <http://cgi4.ebay.com/ws1/eBayISAPI.dll?OptinLoginShow>. If you would like to receive this email in text format, click here <http://cgi4.ebay.com/ws1/eBayISAPI.dll?OptinLoginShow>.

Copyright © 2005 eBay Inc. All Rights Reserved. Designated trademarks and brands are the property of their respective owners. eBay and the eBay logo are trademarks of eBay Inc.

Or an updaterequest

inetnum: 202.52.128.0 -202.52.159.255

netname: EDINET descr: EDI SYSTEMS SERVICES LTD. descr: ISP,ISR,TELCOM SERVICES

PROVIDER country: HK admin-c: SY38-APtech-c: FYW1-APmnt-by: APNIC-HMchanged: hostmaster@apnic.net

19990702 status: ALLOCATED PORTABLE source: APNIC

12

Kuluttajan

varotoimia

(Luottokuntaa mukaellen)

• Älä koskaan lähetä kortin tietoja salaamattomassa yhteydessätai (salaamattomassa) sähköpostissa

• Pyri asioimaan vain ennalta tuntemiesi kauppiaiden kanssa –ks. kuluttajayhteisöistä ja luottoyhtiöiltä

• Älä anna kortin tietoja mielipidekyselyihin tai vastaaviintiedusteluihin, jos tarkoituksenasi ei ole ostaa mitään.

• Älä anna kortin tietoja esim. sähköpostin välityksellä tuleviinilmoituksiin, jossa kerrotaan yllättävästä arpajaisvoitosta tai palkinnosta ja pyydetään lähettämään kortin tiedot palkinnonsaamisen edellytyksenä.

• Luottokunta ei toimita kauppiaalle kortinhaltijasta ikä tms. henkilötietoja, joten kortin numeron pyytäminen niidensaamiseksi on huijausta

• Aikuispalveluissa monesti sitoudutaan jatkuvaankuukausittaiseen laskutukseen, käytti palveluja tai ei - varmistaennen sitoumusta, miten voit halutessasi myöhemmin perualaskutuksen.

• Huomioi, että hotellien oikeus veloittaa ns. "No Show" -maksuon voimassa myös Internetin välityksellä tehdyissä varauksissa, mikäli varattua huonetta ei peruuteta ajoissa. Muista peruavaraus, jos päätätkin varata huoneen toisesta hotellista tai et matkusta ollenkaan.

13

Vinkkejä shoppailuun(kuluttajan sitoumusten hallinta)

• Tallenna tai tulosta itsellesi kauppiaan www-sivulla antamakuvaus ostoksista ja maksuehdoista, jotka aiot hyväksyä ennenkorttitietojen syöttämistä ja maksun lopullista hyväksymistä.

• Hyväksy maksu syöttämällä mm. kortinnumero javoimassaoloaika www-lomakkeelle ja etene kauppiaidenantamien ohjeiden mukaan. Sinulta voidaan pyytää myöslisätarkistuksia, kuten– laskutusosoite (Luottokunnan tiedossa oleva laskutusosoite)

ja/tai– nimikirjoituspaneelissa oleva kolminumeroinen kortin

tunnus eli Card Verification Value = CVV (=VISA) tai CVC (=MC) tai verification Number VID (=Amex).

• Euroopassa kauppiaalta pitää saada tilausvahvistus – sisältäämyös maksutavan, pane vahvistus talteen

• Säilytä tallentamasi tai tulostamasi tiedot myöhempäätarkistusta ja vertailua varten. Mikäli mahdollinen reklamointi(esim. ostos ulkomaiselta kauppiaalta; Chargeback) tapahtuuLuottokunnan kautta, tarvitsemme tallentamasi tai tulostamasitiedot

14

v. 2000 Kauppiaan näkökulma

– E.g. Identity Theft in USA, 2002 168000 of which 2352 on the Net (I.e. 1.4% -reported on the press as ‘alarming’ ;^)

15

”HELSINGIN SANOMAT SUNNUNTAINA 19.6.2005

Jopa 40 miljoonan amerikkalaisen luottokorttitiedot varastettiin

Julkaistu 0:53

WASHINGTON / Helsinki. Jopa 40 miljoonan yhdysvaltalaisen luotto- ja pankkikortin olennaiset tiedot on varastettu maksuja välittävän yrityksen tiedostoista.

Kyseessä on tähän asti suurin tämäntyyppinen rikos. Tietomurrosta kertoi perjantaina maan toiseksisuurin alan yritys MasterCard International. Yrityksen mukaan vain alle puolet eli noin 14 miljoonaa varastetuista tiedoista liittyi MasterCard-kortteihin.Myöhemmin Visa International myönsi, että vaarassa on myös 20 miljoonaa Visa- korttia. Visa on tiennyt tietomurrosta jo muutaman viikon ajan, mutta on pysytellyt hiljaa rikosta tutkivan liittovaltion poliisin FBI:n pyynnöstä

MasterCardin mukaan korttien tiedot oli varastettu CardSystems Solutions -nimiseltä yritykseltä. Se välittää luotto- ja pankkikorttimaksuja kortin käyttäjän ja maksun saajan pankkien välillä. Poikkeuksellisen ammattitaitoinen huijari oli jostakin päin maailmaa päässyt CardSystemsinjärjestelmiin ja imuroinut niistä kymmenien miljoonien korttien numerot, voimassaoloajat, korttien takana olevat kolminumeroiset turvakoodit ja kortinhaltijoiden pankkitilien numerot.

MasterCard korosti kuitenkin, ettei varastetun tiedon joukossa ollut arkaluontoista tietoa, kuten sosiaaliturvatunnuksia tai syntymäaikoja. Kyseisiä tietoja tarvitaan täysimittaiseen "henkilöllisyyden varastamiseen", joka on yksi nopeimmin yleistyvistä taloudellisen rikollisuuden muodoista. CardSystemsiltä anastetuilla tiedoilla pystyy kuitenkin esimerkiksi ostamaan tavaraa internetissä.

Valtaosa kadonneista tiedoista liittyi Visa- ja MasterCard-kortteihin, pienempi määrä AmericanExpress- ja Discovery-kortteihin. Kaksi viimemainittua yhtiötä ei ole kommentoinut tapahtumaa julkisesti.

Luottokunnan varatoimitusjohtaja Petri Carpén ei tiennyt vastaavanlaista tapahtuneen Suomessa. Joukossa voi Carpénin mukaan olla jonkun suomalaisenkin kortti, jos kortinhaltija on asioinut Yhdysvalloissa liikkeessä, joka käyttää maksuja välittävän CardSystems-yrityksenpalveluita."Kortinhaltijan ei tarvitse tehdä mitään. Korttiyhtiö tai oma pankki ottaa yhteyttä, jos oman kortin tiedot on kopioitu, ja kortti kuoletetaan", Carpén sanoi lauantaina.

MasterCardin edustaja kertoi uutistoimisto Reutersille, että tiedoilla tehtyjen laittomien ostojen määrä on suhteessa hyvin pieni. Yhtiö muistuttaa, ettei kortinhaltijalle aiheudu vahinkoa, vaikka auktorisoimattomia ostoksia olisikin tehty.

JYRI RAIVIO JA AYLA ALBAYRAK / Helsingin Sanomatjyri.raivio@sanoma.fi, ayla.albayrak@sanoma.fi”

16

The extent(US companies, CyberSource, 2004)

17

Extent (data from USA, CyberSource, 2001)

18

Major differences betweencountries

19

More frauds from overseas(US companies, CyberSource, 2004)

20

Continued…(US companies, CyberSource, 2004)

21

US-consumer viewpoint

Fraud complaints (FTC, 2002)

0 2 4 6 8 10 12 14

Internet auctions

Internet services and computer complaints

Advance fee loans and credit protection

Shop-at-home/catalog sales

Foreign money offers

Prizes/sweepstakes and lotteries

Business opportunity and work-at-home plans

Telephone services

Health care

Magazines and buyers clubs

%

22

The consequences to the

seller(Cybersourc

e, 2002)

23

Losses due Risk Management (CyberSource, 2004)

24

Seriousor not? (CyberSource,

2004)

25

Merchants strategy:Trust enhancement services• Security• Availability• Processing integrity• Online privacy• Confidentiality

26

Moremanualinspecti

ons(US companies,

CyberSource, 2004

27

Toolsimplemented (US companies,

CyberSource, 2004

28

Fraud prevention

29

Toolchange(US companies, CyberSource,

2004)

30

CybersourceInternet Fraud Screening

31

32

Keeping eye onpotential felons

– Especially the first time contact• Check blacklists• Check issuer the address• Check credit records (Luottotietorekisteri)• Customer is too busy to be contacted• First time shipping address <> billing address

– Beware of too good to be true orders• Large quantities - no detailed specs• Fastest shipping to overseas

– Precautions• Changing addresses• Separate deliveries in a short time frame• Teen products

33

Why identification?

• Authentication– ID

• for public services• for continuous relationship

• Non-repudiation– signed document

• digital signature• Security

– tamper proof documents• encryption• fingerprints• watermarking

34

Authority

• Authorization from the owner of the rights– can commit business transactions– has the right to access public services

• committing own actions• age, trusted person

• on behalf of other individuals• on behalf of an organisation

• association• company• public service

35

Käyttäjän tunnistaminen jatodennus

• Perusongelma verkossa: tunnistaminen ontuu• Avain tai henkilökortti

– Elektroninen allekirjoitus• Etäyhteyspisteen tunnus

– IP#, Prosessorin ID, käyttäjä ID, selain (eväste)– takaisinsoittolaite

• Tunnus- ja salasana• Sormenjälki, verkkokalvo, yms

– Arat kohteet vaativat useaa tunnistamistapaa• Suojaus- ja salaustekniikoiden vientiä valvotaan

Wassenaarin sopimuksella– www.wassenaar.org

36

Electronic IDs

• In general: – A certificate authority is responsible of

proofing and guaranteeing• the person is who she claims to be• she has only one valid electronic ID from that

register– Additional services

• encryption and decryption• embedded, additional functionality

• Standards• PKI (ISO/IEC) X.509

– Blacklist should be replaced with, e.g., LDAP – Alternatives from PGP; SET; IBM Network

Security Program, MIT Kerberos

37

The roles in PKI (Tedis II project FAST; ETS II INFOSEC-project)

– Registration and revocation• Local Registration Authority (LRA, checks identity)• Certification Authority (CA, grants cards)

– Directory (of valid keys/certificates)• Directory Service Agent (DSA, on-line registers and DAP)• Certificate Revocation List (CRL, blacklists)

– Service Providers• Trusted Third Parties

– Support services: registration, certification, service messaging of keys

– Independent services: Independent time stamping of docs and signatures; archiving documents, ownership, etc; recording and maintaining legal attributes of entities; issuing electronic cash

– End-Users• legal and personal entities - two keys (signing/encryption)

38

Electronic public ID - HST (VRK, 1998)

VRK Mahdollisetmuut koti-maiset VV:t

EU- ja muutkansainvälisetVV:t

Varmenne-viranomaiset

(VV)

Varmentajat(VA)

VRK Mahdollisetmuut koti-maiset VA:t

HST-kortinrekisteröijät

Rekisteröijät(RE)

Kihlakunnat, maistraatit japoliisin paikallisyksikötYhteispalvelupisteetKELA:n paikallistoimistot

Mahdollisetmuut kortit janiiden rekiste-röijät

Mahdolliset muut kortit HST-varmenteellaHenkilöllisyystodistusKaupunkikortitSosiaali- ja terveydenhuollon asiakaskorttiPostin asiakaskorttiPankkien luotto-, pankki-, automaatti- ja rahakortitKauppojen kanta-asiakaskortitMuut sähköisen asioinnin ja maksamisen kortit

Sopimukseen perustuva yhteistyö ja mahdollinen ristiinvarmennus

Varmenne-politiikka

Operatiivi-nen vastuu

Kortin myöntäjä toimiirekisteröijänä myösHST-varmenteenosalta

Mahdollisilla muilla varmentajilla on omatkortit, varmennepalvelut ja korttien myön-tämisestä vastaavat rekisteröijät. Toimintaperustuu kuitenkin yhteisen varmennus-politiikan noudattamiselle.

39

VRK:n varmennettu serveri

40

Varmenteiden kehittyminentaataan ristiinvarmennuksella

– Laki digitaalisista allekirjoituksista– sähköinen tunnistaminen, aineiston salaaminen ja

digitaalinen allekirjoitus tietoverkoissa– ristiinvarmennuksen turvaaminen eri maiden

varmenneviranomaisten välillä. » “Ristiinvarmennus on tarpeen ainakin

kansainvälisissä EU:n sisäisissä ja ulkoisissavarmennussuhteissa, mutta se sopii myösmahdollisten rinnakkaisten kotimaistenvarmenneviranomaisten väliseksi toimintamalliksi”, (VRK, 1998).

– suomalaisesta mallista puuttuu ns. ylinvarmenneviranomainen (key escrow, repository), joka on esitetty anglo-amerikkalaisena vaihtoehtonavarmenneviranomaisten kansalliselle ja kansainväliselleyhteistyölle ja ristiinvarmennukselle.

• Puhelinverkossa ristiinvarmennusta vastannee tiedonvaihtooperaattorien välisten Roaming-sopimusten perusteella.

41

What is needed?

• on HTTP client– HST -card– card reader (PCMCIA, serial, USB)– card driver (CSP or PKCS depending on browser)– application specific logic?

• on WWW-server: – server HST-certificate– user certificate validation module

• for requesting signature• for checking signatrure validity (authenticator)• for checking signature and encryption of the message• for checking blacklist (DAP)

42

Muita tapoja• LY-tunnus (company ID) = oikeustoimihenkilön

tunnus• Duns-Bradstreet (company ID) = oikeustoimihenkilön

ja toimipaikkojen tunnukset (Duns-Bradstreet + 4)• Verisign (www.verisign.com)

– ID for• Browser• Email• Server• Software• Channel• EDI

– attaches ID to a specific equipment of a specific real organization

43

Restricting harmful content

• Difficult to censor directly, therefore either– self-censored

• NetNanny, Cyberwatch etc.– rating systems (censoring bodies resting on the

Platform for Internet Content Selection PICS http://www.w3.org/PICS/)

• Safesurf (www.safesurf.com)• Recreational Software Advisory Council RSAC -> ICRA

Platform for Internet Content Selection (www.icra.org)• ESRB (Entertainment Software Rating Board)

• They use browser features in restricting content– will exclude non-rated sites

• NetWatch (NS)• Content Advisor (MS)

44

45

46

Restricting illegal content

• The problem with digital material– One cannot distinguish original from its copy– Material can be tampered without any traces– Possibilities for massive copyright infringement– Need for protection against altering & copying

• Kryptography - protecting against outsiders• Steganography - hiding IPR-info in the work

– Watermarking– Fingerprinting

• Agent technology - finding out copy infringements

47

Steganography(Check Wavelet, Hadamard, DFT)

– Hiding messages, i.e. copyright info, within messages

• in pictures: changing pixels, mixing layers– International Standard Recording Code (ISRC;

ISO 3901)– Digital Object Identifier (publishers of books,

records, illustrations, videos, software; DOI; International DOI Foundation)

• voice: hiding info in noise– Secret algorithms for

• Watermarking embeds copyright notice– multiple copyright texts to reveal altering,

showing copyright• Fingerprints are hidden serial numbers

– hashing serial/customer numbers on material• Hybrids common to prevent attacks

48

e.g., Literary and artistic workson the net

WorksThe IPR owners

can decide upon using and

performing the works in the net

IPR ownerswriters, composers, artists,

performers, AV-producers, etc.(The representatives maintain

register of works:Gramex, Teosto, Kuvasto, Kopiosto)

Service providersUtilize the works in creating content:

Responsible for the protectionFees to the IPR owners(their representatives)

OperatorsArrange the channels and data transfer

- no fees, no responsibility

Public instutionsLibraries, archives, universities

Compensate internal use (low rates)

ConsumersBrowsing: no fees to the IPR-owners,

but to operatorsPackaged works: pays the price

49

Digital copyright protection in action

MP3 Audio File Store with1) Record Watermark:

ISRC - marked recording

Decrypted and decompressed audio file, including

1) Record Watermark:ISRC - marked recording

2) Use Fingerprint: User ID, etc.3) Copy and Alteration Control Watermark:

No of Copies, etc.

Compression& Encryption

for Internet transfer

Copyrightinfringment

agent software

CopyrightCertificate

Center

– Technical requirements• Transparency, I.e, cannot be seen/heard• Reliability, low error rates• Survivability, robustness against processing (e.g.,

quantization)• Security, nondetectable & break proof

50

Sony BMG XCP& MediaMax (c.f. http://www.eff.org/IP/DRM/Sony-BMG/)

“Problems with XCPSecurity researchers have shown that the XCP technology was designed to

have many of the qualities of a "rootkit." It was written with the intent of concealing its presence and operation from the owner of the computer, and once installed, it degrades the performance of themachine, opens new security vulnerabilities, and installs updates through an Internet connection to Sony BMG's servers. The nature of a rootkit makes it extremely difficult to remove, often leaving reformatting the computer's hard drive as the only solution. When Sony BMG offered a program to uninstall the dangerous XCP software, researchers found that the installer itself opened even more security vulnerabilities in users' machines.

The MediaMax software, which is included on over 20 million Sony BMG CDs, has different, but similarly troubling problems. It installs on the users' computers even if they click "no" on the EULA, and does not include a way to uninstall the program. The software transmits data about users to SunnComm through an Internet connection whenever purchasers listen to CDs, allowing the company to track listening habits -- even though the EULA states that the software will not be used to collect personal information and SunnComm's website says "no information is ever collected about you our your computer.“”