Er DRM en trussel mot datasikkerhet?
DRM er skadelig for vår sikkerhet. I beste fall er det et nødvendig onde - og det er uten tvil ikke nødvendig og er ikke verdt avveien. Slik forstår DRM og lovene som beskytter den, at våre datamaskiner blir mindre sikre og kriminaliserende fortelle oss om problemene.
DRM kan åpne sikkerhetshuller
Digital Rights Management (DRM) Hva er DRM og hvorfor eksisterer det hvis det er så ondt? [MakeUseOf Forklarer] Hva er DRM og hvorfor eksisterer det hvis det er så ondt? [MakeUseOf Forklarer] Digital Rights Management er den nyeste utviklingen av kopibeskyttelse. Det er den største årsaken til brukerfrustrasjon i dag, men er det berettiget? Er DRM et nødvendig onde i denne digitale tidsalderen, eller er modellen ... Les mer selv kan være usikker. DRM er implementert med programvare, og denne programvaren trenger dype tillatelser til operativsystemet, slik at det kan stoppe normale operativsystemfunksjoner.
Sony BMG CD kopibeskyttelsesrotkit - først utgitt i 2005 - er en perfekt storm av DRM-sikkerhetsproblemer.
Sony rootkit kom forhåndsinstallert på en rekke lyd-CDer. Når du setter inn CDen i datamaskinen, vil CD-en bruke AutoRun i Windows for automatisk å starte et program som installerer XCP rootkit på datamaskinen. Denne DRM-programvaren ble utformet for å forstyrre kopiering eller ripping av CDen. XCP rootkit burrowed dypt inn i operativsystemet, installerer seg stille, og gir ingen måte å avinstallere den, bruker mye systemressurser, og potensielt krasjer datamaskinen. Sony's EULA ikke engang nevnt denne rootkit i finboken, som viser hvordan meningsløse EULA er 10 Latterlige EULA-klausuler som du kanskje allerede har blitt enige om til 10 Latterlige EULA-klausuler som du kanskje allerede har blitt enige om å la oss være ærlige, ingen leser EULAs (End User Licensing Agreement) - vi ruller bare ned til bunnen og klikker "Jeg godtar". EULA er full av forvirrende legalese for å gjøre dem uforståelige til ... Les mer .
Enda verre, åpnet XCP rootkit sikkerhetshull på systemet. Rotkit gjemte alle filnavnene som begynner med “$ Sys $” fra operativsystemet. Malware - som for eksempel Breplibot Trojan - begynte å dra nytte av dette for å skjule seg og lettere infisere systemer med Sonys DRM installert.
Dette er ikke bare et isolert eksempel. I 2012 ble Ubisofts uPlay-programvare funnet å inneholde et ekkel sikkerhetshull i en nettleserplugin. Nettleserplugger - Et av de største sikkerhetsproblemene på nettet i dag [Opinion] Browser Plugins - Et av de største sikkerhetsproblemer på nettet i dag [ Opinion] Nettlesere har blitt mye mer sikre og herdet mot angrep gjennom årene. Det store nettlesersikkerhetsproblemet i disse dager er nettleserplugger. Jeg mener ikke utvidelsene du installerer i nettleseren din ... Les mer som vil tillate at nettsider kompromitterer datamaskiner som kjører uPlay. uPlay er obligatorisk for å kjøre og godkjenne Ubisoft-spill online. Dette var ikke en rootkit - bare “veldig dårlig kode” i DRM-programvare som åpnet stort hull.
Lover som beskytter DRM Criminalize Security Research
Lover som beskytter DRM kan kriminalisere sikkerhetsforskning og hindre oss fra å til og med vite om problemene. For eksempel, i USA forbyder Digital Millennium Copyright Act (DMCA) omgå tilgangskontroll tiltak. Hva er Digital Media Copyright Act? Hva er Digital Media Copyright Act? Les mer Det er noen smale unntak for sikkerhetsforskning, men loven kriminaliserer stort sett mest omgåelse som ikke faller under disse smale tiltakene. Dette er de samme lovene som kriminaliserer jailbreaking og rooting av telefoner, tabletter og andre enheter. Er det ulovlig å rote din Android eller jailbreak din iPhone? Er det ulovlig å rote din Android eller jailbreak din iPhone? Enten du røtter en Android-telefoner eller jailbreaking en iPhone, fjerner du restriksjonene produsenten eller mobiloperatøren plasserer på enheten du eier - men er det lovlig? Les mer .
Disse lover og tilhørende trusler gir et kjølende miljø. Sikkerhetsforskere oppfordres til å holde seg stille om sårbarheter de kjenner om, i stedet for å avsløre dem, fordi det kan være ulovlig å avsløre dem.
Dette er akkurat det som skjedde under Sony DRM rootkit fiasco. Som Cory Doctorow påpeker:
“... når det kom ut at Sony BMG hadde smittet millioner av datamaskiner med en ulovlig rootkit for å stoppe (juridisk) lyd-CD-ripping, gikk sikkerhetsforskere frem for å avsløre at de hadde kjent om rootkit, men hadde vært redd for å si noe om det.”
En Sophos-undersøkelse fant at 98% av PC-brukerne syntes at Sony DRM rootkit var en sikkerhetstrussel. Loven bør ikke stille sikkerhetsforskere som kunne informere oss om slike alvorlige sikkerhetsproblemer.
På grunn av DMCA, kan det til og med ha vært ulovlig for alle å avinstallere Sony rootkit fra sine PCer. Tross alt ville det omgå DRM.
DRM reduserer kontrollen over din egen datamaskin
Du har kontroll over din egen datamaskin - det er kjerneproblemet DRM prøver å løse. Når du setter deg ned med et allsidig PC-operativsystem, har du full kontroll over hva som skjer på PCen. Dette betyr at du kan bryte opphavsretten på noen måter - ta opp en Netflix-videostrøm, kopier en lyd-CD, eller last ned filer uten tillatelse fra rettighetshaveren.
Å gi produsenten så mye kontroll betyr at vi gir opp muligheten til å kontrollere våre egne enheter og beskytte dem på andre måter. For eksempel, dette er grunnen til at du må rotere Android for å installere mange typer sikkerhetsprogramvare - Enhetssporingsapper som vedvarer etter en tilbakestilling av fabrikk Var din Android-telefon tapt eller stjålet? Dette er hva du kan gjøre Var din Android-telefon tapt eller stjålet? Dette er hva du kan gjøre Det er mange gode alternativer for eksternt lokalisering av din stjålne telefon, selv om du aldri har satt opp noe før du mistet telefonen. Les mer, brannmurer som kontrollerer hvilke apper som kan få tilgang til nettverket Avast! Introduserer Free Mobile Security App for Android 2.1+ [Nyheter] Avast! Introduserer Free Mobile Security App for Android 2.1 + [Nyheter] Det er mange gratis mobile sikkerhetsapps tilgjengelig for Android. Markedet ser ut til å være fylt til rand med dem. Likevel er det vanskelig å si om de er pålitelige fordi de ofte er utviklet av ... Les mer, og tillatelse ledere Hvordan Android App Tillatelser arbeid og hvorfor du bør bry deg Hvordan Android App Tillatelser arbeid og hvorfor du bør vare Android styrker apps for å erklære tillatelser de trenger når de installerer dem. Du kan beskytte personvern, sikkerhet og mobilregning ved å være oppmerksom på tillatelser når du installerer apper - selv om mange brukere ... Les mer som kontrollerer hvilke apper som kan og ikke kan gjøre på enheten din. Alle krever at de skal installere fordi de trenger å omgå begrensningene på hva du kan og ikke kan gjøre på enheten din.
Vi har påpekt dette før - våre datamaskiner blir stadig mer låst ned. Convenience Before Freedom: Hvordan Tekniske Bedrifter Griper Langsomt Du [Opinion] Convenience Before Freedom: Hvordan Tekniske Bedrifter Traffikerer Langt [Opinion] Datamaskiner var en gang under vår kontroll. Vi kunne kjøre programvare vi ønsket på dem, og selskapene som produserte datamaskinen hadde ikke noe å si. I dag blir datamaskiner i stadig større grad låst ned. Apple og Microsoft ... Les mer. Cory Doctorow forklarer kampen vi står overfor “Den kommende krigen mot alminnelig databehandling”:
“I dag har vi markedsavdelinger som sier ting som “Vi trenger ikke datamaskiner, vi trenger utstyr. Lag meg en datamaskin som ikke kjører hvert program, bare et program som gjør denne spesialiserte oppgaven, for eksempel streaming av lyd eller rutingpakker, eller spilling av Xbox-spill, og sørg for at det ikke kjører programmer som jeg ikke har godkjent kan undergrave vår fortjeneste.”
...
Vi vet ikke hvordan å bygge en generell datamaskin som er i stand til å kjøre et hvilket som helst program unntatt for noe program som vi ikke liker, er forbudt ved lov, eller som mister oss penger. Den nærmeste tilnærming som vi trenger til dette er en datamaskin med spionvare: en datamaskin som fjernpartier angir retningslinjer uten datamaskinbrukerens kunnskap, eller over motstanden til datamaskinens eier. Digital rettighetsadministrasjon samler alltid på skadelig programvare.”
La oss innse det - DRM er skadelig. Verre ennå, stopper det ikke faktisk kopiering - bare vitne til all uautorisert filnedlasting fortsatt skjer. Vi må erkjenne problemene og innse at det er et kompromiss med å bruke DRM. Hvis vi skal bruke DRM, bør vi i det minste beskytte sikkerhetsforskere, slik at de kan fortelle oss når vi bruker DRM-programvare som setter PCene i fare!
Image Credit: YayAdrian på Flickr, Ian Muttoo på Flickr, Lordcolus på Flickr, Shutterstock
Utforsk mer om: Digital Rights Management, Online Security, Sony.