La mia azienda si è iscritta ad Amazon Prime per guardare alcuni video. A loro è stato chiesto di abilitare Amazon Prime DRM. Questo aprirà un buco di sicurezza nella nostra LAN?
Sono preoccupato che possano iniziare a scansionare tutto. Non riesco a trovare alcuna informazione reale su ciò che Amazon Prime DRM fa o come funziona realmente.
Non so molto su Amazon Prime DRM, ma ho familiarità con DRM in generale.
DRM richiede due cose:
La possibilità di accedere a un server di licenze per ottenere una chiave di decrittografia per il contenuto protetto. Il server delle licenze applica le regole aziendali, ad es. garantisce di disporre dei diritti necessari e che il tuo periodo di riproduzione non è scaduto / il tuo contatore di riproduzione non viene superato / non hai usato troppi dispositivi.
La possibilità di convalidare il percorso di output. Questo aspetto del DRM è noto come Percorso multimediale protetto . Senza di esso, un utente può fornire il proprio "driver" di video / audio che cattura il contenuto decrittografato e lo memorizza per un uso successivo non protetto.
Il primo requisito è una leggera preoccupazione. Nell'accedere al server di licenze, il client di licenza può anche accedere ad altre risorse, ad es. convalida della catena di fiducia per autenticare il server e controllare gli elenchi di revoca dei certificati. Questa è tutta roba piuttosto standard che il tuo browser web fa ogni giorno. Ma un client DRM deve anche essere in grado di identificare in modo univoco la macchina su cui è in esecuzione (ad esempio per assicurarsi che si stia visualizzando il video su un massimo di cinque dispositivi ma non sei). A volte ciò avviene con il fingerprinting dell'hardware, ad es. ottenere il numero di serie della CPU o della GPU, l'indirizzo MAC del computer, quel genere di cose. Una scansione di questo tipo richiede un accesso O / S di basso livello, quindi il cliente potrebbe guardare altre cose che non si può sospettare. Sarebbe molto insolito per lui guardare le risorse di rete, però.
Il secondo requisito richiede sicuramente un accesso al sistema piuttosto basso, ma può essere controllato dalle API del sistema operativo. Se sei curioso di sapere come funziona su Windows, ecco alcuni garanzia del design . In sostanza, il client invierà una richiesta all'O / S per fornire un handle a un dispositivo di output che le garanzie O / S siano valide; l'O / S è responsabile per la convalida che tutte le DLL coinvolte appartengono a un editore conosciuto (ad esempio controlla le loro firme). Se il client passa attraverso l'API, l'O / S sta facendo il lavoro pericoloso, quindi il rischio aggiuntivo fornito dal client stesso è molto piccolo. Questo è il motivo per cui è così difficile far funzionare i video di Amazon su Linux.
Amazon è una società piuttosto grande e sarebbe un enorme scandalo se raccogliesse informazioni personali o proprietarie dai suoi clienti, quindi nel complesso non mi preoccuperei troppo di questo, a meno che non si lavori con informazioni estremamente sensibili, come il nucleare segreti.
La mia comprensione è che l'elemento DRM deve essere in grado di stabilire una connessione in uscita e consentire una risposta di risposta. Non credo che questo causi più vulnerabilità di qualsiasi altro servizio simile.