"Lo schema per proteggere il DVD è stato craccato". Ecco
come esordisce la rivista Crypto-Gram
nel numero di novembre 1999 da dove prendo largamente spunto per questo articoletto.
Così ora in rete si trova un programma per copiare, modificare e
vedere un DVD senza restrizioni.
Ricordo che un video DVD consiste in una complessa struttura di informazioni
di navigazione che controlla il flusso dati dell'MPEG-2. Per prima cosa,
le informazioni di navigazione devono essere recuperate dal disco, che
è fatto con un filesystem UDF,
accedendo ai file IFO.
Quindi un navigatore DVD deve immettere queste informazioni frammentandole
e, interagendo con l'utilizzatore, scoprire quale parte del disco usare.
Queste parti devono essere lette dal disco, codificato con un algoritmo
chiamato CSS, e mandate ad un decoder MPEG-2.
Il modo per aggirare l'algoritmo di protezione del DVD è partito
dalla Norvegia dove il gruppo 'Masters of reverse engineering' si è
accorto che non esisteva del software per leggere i DVD sotto Linux perchè
il metodo è brevettato. Ed ecco che i norvegesi si accorgono che
l'utility XingDvd
della RealNetworks (per Windows) non aveva nascosto la chiave per decrittare
i file (tutti i licensiatari della tecnologia DVD erano tenuti per contratto
a cifrare la loro chiave di decifratura). A questo punto il passo seguente
è stato breve: dopo aver dedotto altre 170 chiavi (è quindi
inutile che i produttori rimuovano la chiave della Xing, anche perchè
con un bruteforce di pochi giorni si possono ottenere tutte le altre chiavi)
è stato creato il software DeCSS, in grado, appunto, di violare
la protezione dei DVD. Il gruppo di hackers ha affermato di essere sorpresi
del fatto che qualcuno abbia pagato per avere un metodo di protezione così
debole! Questo software di appena 60 KB copia il file video crittato con
estensione .VOB dal DVD all'hard disk senza protezione (un Pentium III
500 MHz impiega 10 minuti per processare un .VOB di un DVD da 4.7GB). L'utility
in questione agisce come un player, ma invece di mostrare audio e video
sullo schermo, ridireziona gli stessi sull'hard disk senza cifratura.
Alcune voci (Wired) sostengono che il DeCSS non è stato il primo
software di questo tipo e che ce ne sono altri.
Dal prossimo anno, quando i masterizzatori per DVD da 4.7 GB saranno
sul mercato, la copia sarà più agevole (i produttori di DVD
pensano di ritardare alcune uscite per tentare di riparare al danno). Per
adesso, una volta decifrato il .VOB occorre splittarlo su CD con apposite
utility come DVD2MPG e VOBSplit. Così si perde però l'interattività
e un pò della qualità del DVD.
Non c'è nessuna sorpresa per gli addetti ai lavori del mondo
della crittografia perchè lo schema crittografico a protezione dei
DVD può essere superato in diversi modi.
Ogni DVD è criptato con una chiave a 40-bit tramite un sistema
chiamato CCS, acronimo di Content Scrambling System; tale sistema non è
sicuro neanche se la crittazione fosse condotta con un triplo DES, secondo
quanto dicono gli esperti. Tutti i player di DVD, da quelli casalinghi
ai programmi per computer, hanno un'unica chiave per lo sblocco del sistema
crittografico in ogni DVD. Infatti, un DVD ha 400 copie della stessa unica
chiave di crittazione, ogni copia è crittata con ciascuno dei codici
di sblocco.
La falla nel sistema di sicurezza è grossa perchè se
riesci a individuare una chiave di sblocco per un player, puoi decrittare
tutti i DVD. Ma anche se questo fosse perfetto, lo schema avrebbe comunque
un altro difetto rintracciabile nel modello di sicurezza.
Il software per vedere un DVD ottiene la chiave di decrittazione con
cui decifra il DVD e lo visualizza sullo schermo; in questo modo tutte
le informazioni decrittate sono sulla macchina e così deve essere,
non ci può essere altro modo per visualizzare il DVD. Non importa
quanto sia buono il sistema di cifratura, le informazioni del DVD sono
disponibili in chiaro per chiunque può scrivere un software per
intercettarle; la stessa cosa accade per la chiave di decifrazione!!!
Quindi il computer deve decrittare il DVD, la chiave di decifrature
deve essere nel computer, così questa chiave diventa disponibile
in chiaro a coloro che sanno dove guardare; è protetta da un'altra
chiave di sblocco ma il lettore ha già provveduto a sbloccarla.
Le case produttrici di software sono tenute a mascherare il programma
di decrittazione e di visualizzazione con tecniche di offuscamento che,
però, resistono per poco e fanno impiegare ai crackers slo quale
fine settimana in più del previsto. Infatti il
software è difficilmente offuscabile e i contenuti non potranno
mai essere offuscati o protetti perchè, comunque, per essere letti
e visualizzati devono essere trasformati nuovamente in chiaro, dunque il
computer avrà una copia della chiave e dell'algoritmo. Un cracker
sveglio e co i mezzi adeguati può sempre attraverso il reverse-engineering
ottenere l'algoritmo e la chiave o catturare le informazioni in chiaro
dopo la decifrazione.
In teoria si potrebbe fermare un cracker solo con hardware sicuro e
resistente alle manomissioni, mettendo sia decodificatore che visualizzatore
nello stesso hardware (le industrie vorrebbero metterlo nel monitor), impedendogli
così di far girare un debugger. Questo però solo in teoria,
perchè fatta la legge, trovato l'inganno, nel senso che si contrapporrebbe
solo un'altra barriera comunque superablie.
Da quanto successo l'industria dovrebbe capire, secondo quanto afferma
Bruce Schneier nella sua Crypto-Gram
del novembre di quest'anno, che sviluppare un algoritmo e un protocollo
di crittografia in gran segreto e quindi non in open source, causa solo
brutte figure. La cosa peggiore è che l'industria dell'intrattenimento
spinge i governi ad approvare leggi contro il reverse-engineering: ci è
riuscita in USA con il Digital
Millennium Copyright Act, ci sta riuscendo nel Regno Unito e sta tentando
di ottenerlo in Europa. Le proteste della comunità scientifica e
delle associazioni per i diritti civili stanno protestando con forza perchè
è inconcepibile proibire di guardare dentro una cosa quando la si
è comprata legalmente e quando già ci sono leggi che proteggono
diritti d'autore e brevetti. Questo modo di difendersi è senza
senso perchè ci sarà sempre un posto nel mondo dove il reverse-engineering
sarà legale oppure si può lavorare in maniera anonima come
in questo caso.
Gli 'studios' farebbero bene invece a prendersela con il governo USA
che impedisce l'esportazione delle crittografia forte ed è così
in parte responsabile di tanti gravi predite per le loro casse (per il
15 dicembre si dovrebbe sbloccare la situazione permettendo l'esportazione
della cosiddetta crittografia forte tramite il 'relax export control' fortemente
voluto dal mondo della finanza).
L'industria dell'intrattenimento è alle strette tanto che minaccia
azioni legali contro i siti ufficiali che potrebbero diffondere il software
per craccare i DVD, come è successo con il sito LinuxDvd.
Ulteriori mosse difensive prevedono un ritardo di alcuni importanti titoli
su DVD, nella speranza di porre rimedio in qualche maniera.
Un commento autorevole
Eric S. Raymond, autorevole commentatore dell'ambiente Open Source, nel suo articolo su LinuxToday entra nel cuore della faccenda e indaga i reali motivi che hanno scatenato l'offensiva giudiziaria della DVD Control Association (sono partite minacce di denunzie anche per i siti che semplicemente linkavano il DeCSS). L'analisi di Raymond brilla per acutezza e lucidità: la DVD Control Association (DVDCA) dice di condurre la sua battaglia perchè se il DeCSS si diffonde, i produttori di contenuti avranno enormi perdite. Ciò non è vero perchè se un pirata vuole copiare un DVD non è interessato a superare il metodo di crittografia, ma gli basta fare una copia bit a bit. Allora perchè tanta veemenza nella lotta? E' semplice, la DVDCA conduce una lotta per imporre uno standard e decidere chi giocherà questa partita che ha interessi economici enormi in gioco. Il ricco business dei lettori casalinghi e dei software che devono pagare laute licenze non avrebbe più motivo di esistere se chiunque con un pc ne potesse fare a meno. Infatti il DeCSS è stato creato per permettere agli utenti linux di poter usare i DVD e non per poterli copiare illecitamente. I creatori di contenuti dovrebbero essere grati ai creatori del DeCSS perchè apre loro mercati altrimenti irrangiugibili.Link
Schema crittografico del DVD
http://crypto.gq.nu
Da Punto Informatico:
DVD sopra e sotto
DVD hacking: giapponesi in ritirata
Utility di conversione come DVD2MPG e VOBSplit
http://members.tripod.com/dvdpage2/main.html
DVD encryption break is a good thing
http://www.zdnet.com/zdnn/stories/comment/0,5859,2395497,00.html
Attacco all'algoritmo CSS (sorgente per linux)
http://livid.on.openprojects.net/pipermail/livid-dev/1999-October/000589.htm
E infine, tutto il possibile e immaginabile ;-)
DVD Piracy