Is DRM een bedreiging voor computerbeveiliging?
DRM is schadelijk voor onze veiligheid. In het beste geval is het een noodzakelijk kwaad - en het is aantoonbaar niet nodig en is de afweging niet waard. Dit is hoe DRM en de wetten die het beschermen onze computers minder veilig maken en criminaliseren om ons over de problemen te vertellen.
DRM kan beveiligingsgaten openen
Digital Rights Management (DRM) Wat is DRM en waarom bestaat het als het zo slecht is? [MakeUseOf Explains] Wat is DRM en waarom bestaat het als het zo slecht is? [MakeUseOf Explains] Digital Rights Management is de nieuwste evolutie van kopieerbeveiliging. Het is de grootste oorzaak van gebruikersfrustratie vandaag, maar is het gerechtvaardigd? Is DRM een noodzakelijk kwaad in dit digitale tijdperk, of is het model ... Lees zelf kan onzeker zijn. DRM wordt geïmplementeerd met software en deze software heeft uitgebreide machtigingen in het besturingssysteem nodig om normale besturingssysteemfuncties te stoppen.
De Sony BMG CD-kopieerbeveiliging rootkit - voor het eerst uitgebracht in 2005 - is een perfecte storm van DRM-beveiligingsproblemen.
De Sony-rootkit is vooraf geïnstalleerd op verschillende audio-cd's. Wanneer u de CD in uw computer hebt geplaatst, gebruikt de CD AutoRun in Windows om automatisch een programma te starten dat de XCP-rootkit op uw computer installeert. Deze DRM-software is ontworpen om het kopiëren of rippen van de CD te belemmeren. De XCP-rootkit heeft zich diep in het besturingssysteem ingegraven, zichzelf stil geïnstalleerd en geen mogelijkheid geboden om de installatie ongedaan te maken, te veel systeembronnen te gebruiken en mogelijk de computer te laten crashen. Sony's EULA heeft deze rootkit niet eens genoemd in de kleine lettertjes, die laat zien hoe zinloze EULA's 10 belachelijke EULA-clausules zijn die u alreeds had toegestaan om 10 belachelijke EULA-clausules die u misschien alreeds had willen Laten we eerlijk zijn, niemand leest EULA's (Licentieovereenkomst voor eindgebruikers) - we scrollen allemaal gewoon naar beneden en klikken op "Ik ga akkoord". EULA's zitten vol met verwarrende legalese om ze onbegrijpelijk te maken voor ... Lees meer .
Erger nog, de XCP-rootkit opende beveiligingsgaten op het systeem. De rootkit verborg alle bestandsnamen beginnend met “$ Sys $” van het besturingssysteem. Malware - zoals de Breplibot Trojan - begon hier misbruik van te maken om zichzelf te vermommen en gemakkelijker systemen te infecteren met Sony's DRM geïnstalleerd.
Dit is niet slechts een geïsoleerd voorbeeld. In 2012 bleek de uPlay-software van Ubisoft een vervelende beveiligingslek te bevatten in een browser plug-in Browser plug-ins - Een van de grootste beveiligingsproblemen op het internet vandaag [Opinie] Browser plug-ins - Een van de grootste beveiligingsproblemen op het web vandaag [ Opinie] Webbrowsers zijn door de jaren heen veel veiliger geworden en verhard tegen aanvallen. Het grote beveiligingsprobleem van browsers is tegenwoordig browserplug-ins. Ik bedoel niet de extensies die u in uw browser installeert ... Lees meer waardoor webpagina's computers met uPlay zouden kunnen beschadigen. uPlay is verplicht voor het online uitvoeren en verifiëren van Ubisoft-games. Dit was geen rootkit - gewoon “echt slechte code” in DRM-software die een groot gat opende.
Wetten die DRM beschermen Criminalize Security Research
Wetten die DRM beschermen, kunnen beveiligingsonderzoek criminaliseren en voorkomen dat we zelfs maar weten wat de problemen zijn. In de VS verbiedt bijvoorbeeld de Digital Millennium Copyright Act (DMCA) het omzeilen van toegangscontrolemaatregelen. Wat is de Digital Media Copyright Act? Wat is de Digital Media Copyright Act? Meer lezen Er zijn enkele enge uitzonderingen voor veiligheidsonderzoek, maar de wet criminaliseert in brede zin de meeste omzeiling die niet onder deze enge maatregelen valt. Dit zijn dezelfde soort wetten die jailbreaking en rooting van telefoons, tablets en andere apparaten criminaliseren Is het illegaal om je Android te rooten of je iPhone te jailbreaken? Is het illegaal om je Android te rooten of je iPhone te jailbreaken? Of je nu een Android-telefoon rooit of een iPhone jailbreaking, je verwijdert de beperkingen die de fabrikant of mobiele provider op je eigen apparaat heeft geplaatst, maar is het legaal? Lees verder .
Deze wetten en bijbehorende bedreigingen creëren een huiveringwekkende omgeving. Beveiligingsonderzoekers worden aangemoedigd om zich stil te houden over kwetsbaarheden die ze kennen, in plaats van deze openbaar te maken, omdat het ontsluiten ervan illegaal kan zijn.
Dit is precies wat er gebeurde tijdens het Sony DRM rootkit-fiasco. Zoals Cory Doctorow opmerkt:
“... toen bekend werd dat Sony BMG miljoenen computers had geïnfecteerd met een illegale rootkit om (legale) audio-cd-ripping te stoppen, stapten beveiligingsonderzoekers naar voren om te onthullen dat ze bekend waren met de rootkit, maar durfden er niets over te zeggen.”
Uit een poll van Sophos bleek dat 98% van de pc-gebruikers dacht dat de Sony DRM-rootkit een beveiligingsrisico was. De wet mag beveiligingsonderzoekers niet het zwijgen opleggen die ons zouden kunnen informeren over dergelijke ernstige beveiligingsproblemen.
Vanwege de DMCA is het zelfs voor iedereen verboden om de Sony-rootkit van hun pc te verwijderen. Dat zou tenslotte voorbijgaan aan DRM.
DRM vermindert uw controle over uw eigen computer
U hebt controle over uw eigen computer - dat is het kernprobleem dat DRM probeert op te lossen. Wanneer u gaat zitten met een pc-besturingssysteem voor algemene doeleinden, hebt u volledige controle over wat er op uw pc gebeurt. Dit betekent dat je op de een of andere manier het auteursrecht zou kunnen schenden - een Netflix-videostream opnemen, een audio-cd kopiëren of bestanden downloaden zonder toestemming van de auteursrechthouder.
Door de fabrikant zoveel controle te geven, geven we het vermogen op om onze eigen apparaten echt te bedienen en op andere manieren te beschermen. Dit is bijvoorbeeld de reden waarom u Android moet rooten om vele soorten beveiligingssoftware te installeren - apparaattracking-apps die blijven bestaan na een fabrieksreset Was uw Android-telefoon verloren of gestolen? Dit is wat u kunt doen Was uw Android-telefoon verloren of gestolen? Dit is wat u kunt doen Er zijn veel goede opties om uw gestolen telefoon op afstand te lokaliseren, zelfs als u nooit iets hebt ingesteld voordat u uw telefoon bent kwijtgeraakt. Meer lezen, firewalls die bepalen welke apps toegang hebben tot het netwerk Avast! Introduceert gratis mobiele beveiligingsapp voor Android 2.1+ [Nieuws] Avast! Introduceert gratis mobiele beveiligingsapp voor Android 2.1+ [Nieuws] Er zijn tal van gratis mobiele beveiligings-apps beschikbaar voor Android. De markt lijkt tot de rand gevuld met hen. Toch is het moeilijk te zeggen of ze betrouwbaar zijn, omdat ze vaak worden ontwikkeld door ... Lees meer en toestemming managers Hoe Android-app-machtigingen werken en waarom je moet zorgen Hoe Android-app-toestemmingen werken en waarom je Android moet zorgen, dwingt apps om de rechten die ze nodig hebben wanneer ze ze installeren. U kunt uw privacy-, veiligheids- en gsm-facturen beschermen door aandacht te besteden aan toestemmingen bij het installeren van apps - hoewel veel gebruikers ... Lees meer die bepalen welke apps wel en niet kunnen werken op uw apparaat. Ze vereisen allemaal rooting om te installeren, omdat ze de beperkingen moeten omzeilen van wat je wel en niet kunt doen op je apparaat.
We hebben dit al eerder aangegeven - onze computerapparaten worden steeds meer op slot gezet Convenience Before Freedom: hoe Tech-bedrijven je langzaam vangen [Opinie] Gemak voor vrijheid: hoe Tech-bedrijven je langzaam vangen [Opinie] Computers waren ooit onder onze controle. We konden alle software gebruiken die we wilden, en de bedrijven die de computer produceerden, hadden geen zeggenschap. Tegenwoordig worden computers steeds vaker geblokkeerd. Apple en Microsoft ... Lees meer. Cory Doctorow verklaart de strijd waar we voor staan “De komende oorlog tegen computergebruik voor algemene doeleinden”:
“Vandaag hebben we marketingafdelingen die dingen zeggen zoals “we hebben geen computers nodig, we hebben apparaten nodig. Maak van mij een computer die niet elk programma uitvoert, alleen een programma dat deze gespecialiseerde taak uitvoert, zoals het streamen van audio, het routeren van pakketten of het spelen van Xbox-games, en zorg ervoor dat er geen programma's worden uitgevoerd die ik niet heb geautoriseerd onze winst zou kunnen ondermijnen.”
...
We weten niet hoe we een computer voor algemene doeleinden moeten bouwen die elk programma kan uitvoeren behalve voor sommige programma's die we niet leuk vinden, is het bij wet verboden, of verliezen we geld. De beste benadering die we hierbij hebben is een computer met spyware: een computer waarop externe partijen beleid instellen zonder medeweten van de computergebruiker of over het bezwaar van de eigenaar van de computer. Digitaal rechtenbeheer komt altijd samen op malware.”
Laten we eerlijk zijn - DRM is schadelijk. Erger nog, het stopt niet echt met kopiëren - wees er alleen van getuige dat alle ongeoorloofde downloads van bestanden nog steeds plaatsvinden. We moeten de problemen erkennen en beseffen dat er een wisselwerking is met het gebruik van DRM. Als we DRM gaan gebruiken, moeten we beveiligingsonderzoekers op zijn minst beschermen, zodat ze ons kunnen vertellen wanneer we DRM-software gebruiken die onze pc's in gevaar brengt!
Image Credit: YayAdrian op Flickr, Ian Muttoo op Flickr, Lordcolus op Flickr, Shutterstock
Ontdek meer over: Digital Rights Management, Online Security, Sony.