Drm защита что это

Темная сторона DRM: что нужно знать о защите “читалок” сегодня

В апреле Microsoft закрыла магазин электронных книг и сообщила, что удалит все купленные файлы с гаджетов пользователей. Это произошло из-за закрытия DRM-сервера, который обеспечивал технические средства защиты авторских прав. Журнал Wired назвал происходящее DRM-апокалипсисом. Разбираемся, что представляет собой DRM и что ждет эту технологию в будущем.

Что такое DRM-система?

Эта технология контролирует использование медиафайлов и ПО, которое вы приобрели. Она ограничивает любой тип действий: вы не сможете изменить, перепродать или одолжить защищенные файлы. Для ужесточения контроля программное обеспечение может отслеживать ваши действия.

Как все устроено

Сегодня единого стандарта DRM-систем не существует. Например, для защиты PDF-файлов до сих пор используют пароли, а гиганты Amazon и Barnes & Noble разработали собственные технологии для защиты медиафайлов.

В Amazon создали целую экосистему для чтения: Kindle на e-link, одноименное кроссплатформенное приложение и планшеты Fire.

У нее есть особенность: система не распознает открытые форматы читалок, например, популярные ePub или FB2. Открывать файлы можно в двух форматах: MOBI и AZW.

ADEPT работает по криптографической схеме, но ее с натяжкой можно назвать надежной. Файлы шифруются уникальным ключом AES, а сам ключ защищен ключом RSA. Он генерируется на основе email пользователя и вдобавок закодирован с помощью ключа приложения.

DRM: “за” и “против”

Пользователи Microsoft расценили инцидент с удалением электронных книг как наступление на базовые принципы торговли. Даже то, что людям вернут потраченные деньги и сделают компенсацию за пометки и аннотации, не спасло ситуацию.

Покупая медиа в Сети, пользователи рассчитывают на те же права, что и с физическими носителями. Каждый хочет иметь возможность распоряжаться, одалживать и дарить то, что купил.

Пример Microsoft далеко не единственный. Политика некоторых магазинов позволяет без предупреждения удалять из доступа книги, фильмы и музыку. В результате пользователи чувствуют себя обманутыми.

Эксперты видят еще одну опасность в DRM: это частные системы защиты контента. Сейчас DRM-защита стала одним из вариантов «закрыть» юзера в своей экосистеме. Чтение и прослушивание покупок удобным способом не приветствуется многими IT-гигантами.

Сторонники DRM утверждают, что технология позволяет уберечь файлы от пиратства, и отказ от нее приведет к катастрофе. Но практика показывает, что хакерам по плечу сломать почти любую защиту. DRM оказался не самым эффективным антипиратским инструментом.

День противостояния DRM

Главы FSF Ричард Столлман считает, что DRM покушается на личную свободу пользователей. На сайте компания объясняет, почему от DRM стоит отказаться. Многие организации поддержали Free Software Foundation. Например, издательская компания Oreilly продает DRM-free книги со скидкой 50%.

Вывод

Но пока не существует достойной альтернативы в плане защиты от пиратства, плюсы от DRM перевешивают минусы для издателей. Пока юристы вместе с IT-специалистами не проработают новую систему защиты авторских прав, DRM будет жить.

Источник

Насколько опасна DRM-защита, или Видео-вирус часть 2

Вспоминания

После того, как я прочитал пост о том, как TipTop не смог посмотреть кино, я сразу же вспомнил аналогичный случай. Как-то открыв обычный mp3 файл, вместо того, чтобы началось воспроизведение, к моему удивлению, открылась неизвестная веб-страница. Самое интересное, что страница была открыта в Internet Explorer’е (несмотря на то, что по умолчанию был установлен другой браузер), а ведь на той странице, автор файла мог бы добавить и какой-нибудь специальный эксплоит для IE.

В тот момент я не думал о странице с эксплоитом и вместо того, чтобы внимательно проанализировать файл и разобраться в чём проблема я просто его удалил. Единственное о чем я подумал, увидев необычное поведение системы это то, что кто-то довольно оригинально раскручивает свой сайт. Прошло уже несколько лет, но c тех пор такие случаи я не встречал. Прочитав статью о видео-вирусе я решил, что хотя бы на этот раз не упустить возможность узнать насколько безопасны являются одни из самых безобидных и распространенных файлов во всём мире.

Видео-Файл

И так как уважаемый TipTop, оставил комментарий, указав ссылку на файл, я не стал терять время даром и быстренько скачал торрент-файл. Но я был не один — одновременно со мной этот же видео-файл скачали ещё около 15 человек которые, подумал я, тоже хотят анализировать его. Но сейчас понял, что скорее всего у большинства из них были другие намерения и не знали они, что сегодня кина не будет ©.

После того, как скачивание завершилось, зная что другие плееры не могут воспроизвести этот файл, сразу открыл его в Windows Media Player’е, и первое, что я увидел, было сообщение: «Download media usage rights»:

После этого, появилось более убедительное сообщение, предлагающее скачать файл License-Installer который, между прочим, уже был проверен антивирусом и оказался на 100% чист:

Внимательно просмотрев сообщение, нажал на кнопку ‘Download Now’ и в ожидание какой-либо реакции со стороны антивируса, увидел многим знакомое окошко, предлагающее скачать файл с сервера license.compress.to:

И тут же возник первый вопрос, если на первом окошке указан сервер free-license.imgpop.com, тогда зачем этот замечательный файл, предлагает скачать лицензию с сервера license.compress.to? Чтобы выяснить в чём проблема, посетил оба сайта, в надежде найти там что-нибудь вкусненькое, но как и следовало ожидать, ничего там не обнаружил.

DRM защита

Стало намного интересней. Открыл страницу httр://free-license.imgpop.com/venuf.php?id=Movie_0001.wmv, которая перенаправляла (HTTP/1.1 302) на страницу: httр://free-license.imgpop.com/venuf/index.htm, а там увидел знакомую картинку, только чуть побольше, да ещё и в браузере:

Пока всё шло хорошо и желая немножко поэкспериментировать, решил изменить ссылку из видео-файла на своё. Но, увидев что после изменения строки даже WMP не может открыть файл и не зная что делать, спросил Google’а, не может ли он рассказать, что это за строка, WRMHEADER version=’2.0.0.0′, которую (помимо многих других) нашёл с помощью Hex-редактора?

Ответ был короткий и ясный как дневной свет — я имею дело с DRM-защитой видео-файлов. То есть, обнаружил как с помощью легальных и довольно убедительных методов, злоумышленники успешно и с уверенностью могут распространять вредоносные файлы, так как: во-первых, ни один антивирус не обнаружит, что видео-файл заражён, а во-вторых, большинство пользователей доверяют Microsoft и однозначно будут запускать такие файлы.

Более того, WMP не единственный плеер, который может открыть DRM защищенные файлы. Полный список плееров я не нашёл, но могу с уверенностью сказать что Nero ShowTime поддерживает DRM, только в отличие от WMP он реагирует более осторожно… только если подтвердить скачивание лицензии, веб-страница открывается в IE (несмотря на то, что он не является браузером по умолчанию).

Internet Explorer

Наверно, многие думают что «Опасности в этом нет! Никакие лицензии не буду скачивать! Да и вообще, причём тут Internet Explorer, WMP и видео-файлы?». Сначала я тоже так думал, ведь там есть кнопочка «Cancel», но как оказалось, опасность есть и не маленькая, а «Cancel» никого не спасет, если файл открылся в WMP. А Internet Explorer — это же браузер, программное обеспечение для просмотра веб-сайтов…

Я нашёл информацию о том что можно взломать DRM-защиту, но делать этого не стал. Во-первых, не знал удастся ли изменить ссылку, а во-вторых, выбрал более легкий путь. В файле hosts добавил строку:
127.0.0.1 free-license.imgpop.com

В корень локального сервера создал файл venuf.php и с помощью WMP открыл видео-ролик — через несколько секунд появилось следующее сообщение:

Дальше, с помощью alert(), решил попробовать, поддерживает ли он JavaScript — в результате получил пустую страницу. Подумал, что действительно не работает, но подключив свою интуицию, быстренько изменил функцию alert() на document.write(). Результат вызывал улыбку: на этот раз страница была не пуста, значит Windows Media Player поддерживает JavaScript.

Напоследок, решил проверить один эксплоит для MSIE, написан на JavaScript, вызывающий отказ в обслуживании браузера. Добавил эксплоит на страницу, открыл видео-файл и не успел я моргнуть, как Windows заявляет, что «Windows Media Player перестал работать»:

Как Вы поняли, пытаясь воспроизвести видео-файл, WMP принудительно отключился, а это значит, что он уязвим к эксплоиту предназначенному для MSIE. Я проверил только один эксплоит, но этого было достаточно, чтобы изменились мои представления о безопасности медиа-файлов.

Вместо постскриптума

Я почти был уверен, что всё будет также как и с Nero ShowTime, но любопытство заставило мена нажать на кнопку ‘Yes’… Вместо запуска IE, я увидел следующее:

Не сразу понял в чём проблема, думая, что всякое может случится, но спустя несколько секунд, вспомнил что в файле venuf.php остался код эксплоита для MSIE. Дальше, используя переменную $HTTP_USER_AGENT выяснил, что также как и WMP для своих целях Winamp использует MSIE 7 Internet Explorer:

Правда, в отличие от Windows Media Player, Winamp не предупреждает откуда будет скачан файл лицензии, но разрешает использовать правый клик и посмотреть исходный код страницы… а также для него срабатывают алерты:

Заключение

С первого взгляда, не всё так страшно как кажется, но хочу обратить Ваше внимание на то, что открывая такой файл, пользователь никак не сможет остановить запуск эксплоита, а антивирусная программа помочь не в состоянии, так как, если это новый эксплоит, то, скорее всего, он не ещё добавлен в базу антивируса.

Просто, не забывайте о том, что не у всех пользователей установлены другие аудио и видео проигрыватели. А ещё, я далеко не верю, что пользователь, который ждал 2 часа (в лучшем случае) чтобы скачать долгожданный файл, увидев что он не проигрывается, просто так удалит его, и никакое «не открывайте файлы в этом плеере!»— не поможет.

Защита

Теперь, при открытии файла, WMP будет спросить, если ‘Вы действительно хотите открыть веб-страницу, чтобы получить лицензию’:

Несмотря на то что, разработчики предупреждают об опасности и знают что ‘веб-страницы могут содержать элементы, которые могут представлять опасность для компьютера’ — они всё-таки по умолчанию отключили данную опцию. Странно, не правда ли?

UPD 2: (Большое спасибо хабраюзеру Dragonizer за замечание)

Не смотря на то, что User Agent определяется как MSIE 7.0, на самом деле это не так. Дело в том, что WMP открывает веб-страницы в режиме совместимости, а это значит что:
• В строке версии браузера веб-браузер обозначается как MSIE 7.0, а не MSIE 8.0;
• Условные комментарии и векторы версий распознают веб-браузер как IE 7, а не IE 8;

Источник

Полное руководство по DRM для начинающих

DRM означает управление цифровыми правами. Это общий термин для любой технологии, используемой для контроля доступа и ограничения использования проприетарного аппаратного и программного обеспечения и работ, защищенных авторским правом. Это может помешать владельцу продукта изменять, ремонтировать, улучшать, распространять и иным образом использовать продукт способом, не разрешенным правообладателем..

Во многих странах обход DRM является незаконным, равно как и создание и распространение инструментов, используемых для обхода DRM..

Почему DRM?

Владельцы авторских прав внедряют DRM и по менее скрупулезным причинам. DRM может помешать конкурентам улучшить продукт. Это может сделать продукты несовместимыми друг с другом, заставляя владельцев покупать только совместимые продукты, которые приносят пользу правообладателю. Это может заставить владельцев обновиться до новейшего продукта при изменении схемы DRM. DRM может помешать владельцам копировать, продавать, отдавать, ремонтировать или модифицировать свои продукты, что ведет к увеличению дохода.

Работает ли DRM?

DRM может помешать владельцам использовать свои продукты способами, не разрешенными правообладателем. Насколько это эффективно, зависит от конкретной технологии DRM.

Electronic Frontier Foundation, некоммерческая группа по цифровым правам и главный критик DRM, утверждает, что нет никаких доказательств того, что DRM предотвращает пиратство или защищает пользователей.

Аргумент против DRM

Когда потребитель покупает продукт, полное право собственности на этот продукт передается по закону от производителя или продавца к потребителю. DRM вмешивается в эту простую юридическую предпосылку, сохраняя определенные элементы собственности для первоначального правообладателя.

Многие группы по защите прав потребителей, в том числе Фонд Electronic Frontier, заняли решительную позицию против DRM. Они утверждают, что намерение DRM состоит не в том, чтобы защитить потребителей или интеллектуальную собственность, а в том, чтобы доставить неудобства владельцам, подавить инновации от потенциальных конкурентов, скрыть недостатки и помешать им по-настоящему владеть продуктом..

Анти-DRM это не пиратство

Сторонники DRM часто приравнивают анти-DRM к пропаганде. Это просто не соответствует действительности и является стигмой, совершаемой теми, кто лишает потребителей права на собственность..

Владелец авторских прав может использовать более эффективные средства борьбы с пиратством, чем DRM, о чем мы поговорим позже..

Примеры аппаратного DRM:

Смартфоны

Последний iPhone сделал заголовки для удаления стандартного аналогового разъема для наушников, заставляя пользователей слушать свою музыку и другие аудио через чисто цифровой сигнал через беспроводную связь Bluetooth, AirPlay или разъем Lightning. В этом нет ничего плохого, но это открывает дверь для злоупотребления DRM.

Нилай Патель (Nilay Patel) опубликовал в The Verge статью, объясняющую потенциал серьезных проблем:

«Ограничение вывода звука чисто цифровым соединением означает, что издатели музыки и потоковые компании могут начать настаивать на механизмах обеспечения соблюдения цифровых авторских прав […]. Вы можете поспорить, что музыкальная индустрия в любом случае начнет подавлять« несанкционированные »устройства воспроизведения и записи. »

Патель объясняет, что индустрия развлечений борется с «аналоговой лазейкой», и теперь она может лучше контролировать, как пользователи воспроизводят аудио.

DVD и Blu-Ray

Большинство фильмов DVD зашифрованы с помощью DRM, поэтому их нельзя копировать, копировать и создавать резервные копии..

Blu-Ray делает еще один шаг вперед благодаря еще нескольким слоям DRM, что делает невозможным воспроизведение дисков ни на чем, кроме проигрывателя Blu-Ray и телевизора HD, поддерживающего шифрование видео. Аналогично, для воспроизведения диска Blu-Ray на компьютере необходимы HDCP-совместимая видеокарта и монитор. Программное обеспечение, используемое для чтения дисков, не является бесплатным и не может быть воспроизведено никаким бесплатным программным обеспечением из-за DRM.

Фонд свободного программного обеспечения объявил бойкот всех HD-DVD и Blu-Ray дисков в 2006 году.

Принтеры

В сентябре 2016 года HP печально обновила микропрограмму для ряда своих принтеров, что сделало их несовместимыми с нестандартными картриджами для принтеров. Владельцы были вынуждены приобретать чернильные картриджи HP, которые стоят дороже, чем нестандартные варианты. Если бы использовался другой бренд, даже если он был ранее совместим, принтер уведомил владельца о том, что картридж «поврежден» и его необходимо заменить..

После огромного возмущения клиентов и петиции, отправленной Electronic Frontier Foundation, HP извинилась за DRM и выпустила дополнительное обновление прошивки для восстановления принтеров до нормального состояния..

телевизоры

Многие проданные сегодня умные телевизоры оснащены встроенной функцией записи. К сожалению, контент, который вы записываете на свой Smart TV, скорее всего, заблокирован на этом телевизоре с помощью DRM и не может быть воспроизведен на любом другом устройстве. Кроме того, DRM может ограничить количество времени, которое вам разрешено записывать. Производители смарт-телевизоров могут работать с правообладателями для включения DRM, ориентированного на конкретный контент, поэтому оно применимо только к определенным телешоу и фильмам..

бытовая техника

Даже домашняя и кухонная техника может использовать DRM. Keurig, компания по производству кофе, которая производит автомат для раздачи растворимого кофе с использованием одноразовых капсул, попыталась сделать это в 2014 году. Компания заметила, что клиенты начали использовать капсулы нестандартной марки и многоразового использования, чтобы сэкономить деньги. Чтобы заставить покупателя покупать только фирменные капсулы Keurig, машина Keurig 2.0 включала в себя функцию сканирования, которая блокировала бы блоки конкурентов, которые не содержали специальной маркировки..

DRM имела неприятные последствия, и продажи нового Keurig резко упали. Мало того, что сторонние капсулы не могли использоваться, но также были заблокированы старые версии фирменных капсул Keurig. Владельцы были предсказуемо возмущены.

Примеры программного обеспечения DRM

Цифровая музыка, видео и книги

iTunes, пожалуй, самый известный пример использования DRM для защиты цифровых медиа, включая музыку и видео. Он использует собственную схему DRM под названием FairPlay, которая встроена во все устройства Apple и медиаплееры. FairPlay гарантирует, что медиафайлы, приобретенные в App Store и iTunes, могут воспроизводиться только через продукты Apple. Это могут быть фильмы, музыка, телепередачи, электронные книги и приложения..

Программы

Если вы не сделаете джейлбрейк своего iPhone или iPad, что приведет к аннулированию гарантии, устройства iOS могут использовать только приложения, перечисленные в App Store. В отличие от Android, здесь нет настроек, позволяющих устанавливать приложения сторонних разработчиков..

Эта тактика не позволяет владельцам iPhone и iPad использовать приложения, которые Apple не одобряет. Эти приложения могут быть пиратскими, содержать явный контент, причинять вред устройству или использоваться для модификации устройства таким образом, который в противном случае не принесет пользы Apple. Например, невозможно подменить ваше местоположение GPS или изменить, какие порты и приложение можно использовать на iPhone, не взломав его.

Программное обеспечение и видеоигры

Помимо предотвращения несанкционированного копирования и распространения, DRM также может запретить пользователям изменять, улучшать или удалять функции из программного обеспечения. Заявленное намерение заключается в защите интеллектуальной собственности, но это также может препятствовать конкуренции.

Что не DRM

Потоковые сервисы

Контент бесплатных сервисов и услуг потоковой передачи по подписке, таких как Netflix и Spotify, не может считаться DRM-защищенным. То, что вы платите 10 долларов в месяц за подписку Netflix, не означает, что вы являетесь владельцем каждого фильма и телепередачи в библиотеке Netflix..

Так где линия? DRM специально мешает владению. Если у вас есть что-то, вы должны иметь возможность делать то, что вам нужно, исключая возможность делать неограниченное количество копий и распространять их среди незнакомцев. Потоковый контент не означает, что вы им владеете.

Потоковая передача является услугой, а службы не являются продуктами, поэтому ими нельзя владеть, и DRM в традиционном смысле не может применяться.

несовместимость

DRM мешает вам делать то, что было бы возможно без него. Если картридж принтера полностью совместим с принтером во всех аспектах, за исключением некоторых произвольных ограничений, предназначенных для блокировки третьих сторон, это DRM.

Однако DRM не влияет на базовую технологию. Если только одна компания производит совместимый картридж для принтера, и нет доступных сторонних вариантов, это не DRM.

безопасности

Это, пожалуй, наименее ясная линия того, что является и не является УРБ. Допустим, Apple должна была ограничить пользователей Macbook и iPhone зарядными кабелями марки Apple, потому что продукты сторонних производителей постоянно вспыхивали. Целью этого ограничения будет не защита авторских прав Apple, а наилучшие интересы ее клиентов..

Это всего лишь гипотетический пример, но в какой момент ограничение безопасности превращается в DRM? Это должно оцениваться для каждого продукта отдельно..

Закон о защите авторских прав в цифровую эпоху 1998 года запрещает в Соединенных Штатах производить или распространять любые технологии, позволяющие владельцам обходить средства защиты DRM на своих продуктах. DMCA фактически делает обход DRM по любой причине преступлением.

Цель закона состояла в том, чтобы обуздать пиратство цифровых продуктов, но он использовался для того, чтобы заставить замолчать исследователей в области безопасности, которые находят недостатки в продуктах, и препятствовать конкурентам в реверс-инжиниринге продуктов, и ставит под угрозу добросовестное использование..

Несмотря на закон, DMCA был в значительной степени неэффективен в защите систем DRM и продуктов, которые они предположительно защищают от программных пиратов. Бесплатное программное обеспечение для обхода DRM изобилует онлайн. Как и в случае с законами DRM, плохие парни выходят на свободу, а хорошие парни наказываются.

Борьба с DRM

Несмотря на то, что взлом DRM является незаконным во многих странах, законы трудно применять и мало что делают, чтобы остановить нарушителей авторских прав..

Как вы можете бороться с DRM? Мы не можем рекомендовать вам использовать программное обеспечение для удаления DRM и заниматься пиратством, но есть и другие альтернативы как для создателей, так и для потребителей.

Потоковый

Что касается цифрового мультимедиа, потоковое содержимое отказывается от многих наиболее противоречивых аспектов DRM. Он может обеспечить лучшее качество обслуживания клиентов, не требует от клиента покупки продукта, и его относительно сложно пиратствовать, по крайней мере, в высоком качестве. Вам не нужно смотреть дальше, чем Netflix, чтобы увидеть, как потоковая модель выгодна как клиентам, так и правообладателям..

Легкая защита контента

Облегченная защита контента, или LCP, является заменой шифрования DRM, которое все еще находится в разработке. Разработчик GiantSteps, созданный специально для электронных книг, говорит, что он создаст стандартизированное шифрование для всех издателей, которые не будут привязывать клиентов к конкретной платформе. Теоретически это обеспечит покупку цифрового продукта, но позволит использовать его на разных платформах, таких как планшеты, смартфоны и электронные устройства для чтения, такие как Kindle и Nook..

LCP обещает быть менее навязчивым, обеспечивать лучший пользовательский опыт и быть проще в реализации, чем традиционные DRM. Однако то, как именно это реализовано, может все же противоречить принципам анти-DRM, установленным EFF и другими группами по защите прав потребителей..

Go DRM бесплатно

Компании, достаточно смелые, чтобы выпускать продукты без DRM, часто завоевывают уважение и повторяют бизнес своих клиентов. Выход без DRM показывает, что компания уверена в том, что у нее самый лучший продукт, и потребители готовы платить за него.

Компакт-диск Projekt Red, создатель популярной игровой серии Witcher, выпустил два последних выпуска серии без DRM. Компания отметила, что после выпуска Witcher 2: Assassin of Kings версия диска с DRM-защитой, распространяемая Atari, была пиратской больше, чем версия без DRM, продаваемая посредством онлайн-загрузки. Ведьмак 3: Дикая Охота побила рекорды продаж.

Клиенты могут поддерживать программное обеспечение без DRM, не только покупая его, но и покупая его на рынке, который поддерживает продукты без DRM. GOG.com, например, продает только игры без DRM, включая серию The Witcher.

Ярмарка маркировки

В прошлом году EFF обратился к Федеральной торговой комиссии с просьбой ввести правила маркировки, которые потребовали бы от розничных продавцов предупреждать клиентов, если продукты содержат DRM..

Добросовестное использование

Законы о добросовестном использовании гласят, что материалы, защищенные авторским правом, могут копироваться в «ограниченных и преобразующих» целях без разрешения владельца авторских прав. DRM часто противоречит этим законам, мешая копированию или распространению ограниченного материала. Добросовестное использование может использоваться, чтобы комментировать, критиковать или пародировать работу, защищенную авторским правом. Это часто используется журналистами и другими формами СМИ.

Будущее DRM: технология блокчейна

Но блокчейн развивается как прорывная технология с безграничными приложениями. Одним из таких приложений является провенанс или подтверждение права собственности. В этом смысле блокчейн может использоваться в схемах DRM, чтобы гарантировать, что тот, кто воспроизводит цифровые медиа, такие как песня или видео, действительно владеет им..

Системы DRM, управляемые блокчейном, все еще находятся в стадии разработки, и они могут помочь или навредить потребителям в зависимости от того, как они реализованы. Он может служить хранилищем общих прав для владельцев контента и даже может обеспечивать передачу прав между пользователями. Его также можно использовать для принудительного исполнения всех тех плохих политик, на которые мы указывали выше, потому что блокчейны гораздо сложнее взломать или обойти.

Связанный: Что такое блокчейн? 10 экспертов объясняют блокчейн 150 словами или меньше.

Источник