Mi empresa se ha registrado en Amazon Prime para ver algunos videos. Se les pidió que habilitaran Amazon Prime DRM. ¿Esto abrirá un agujero de seguridad en nuestra LAN?
Me preocupa que puedan comenzar a escanear todo. No puedo encontrar información real sobre lo que hace Amazon Prime DRM o cómo funciona realmente.
No sé mucho sobre Amazon Prime DRM, pero estoy familiarizado con DRM en general.
DRM requiere dos cosas:
La capacidad de acceder a un servidor de licencias para obtener una clave de descifrado del contenido protegido. El servidor de licencias impone las reglas comerciales, por ejemplo, asegura que tiene los derechos necesarios y que su período de reproducción no ha caducado / su contador de reproducción no se ha excedido / no ha utilizado demasiados dispositivos.
La capacidad de validar la ruta de salida. Este aspecto de DRM se conoce como Ruta de medios protegidos . Sin él, un usuario podría suministrar su propio "controlador" de video / audio que captura el contenido descifrado y lo almacena para su uso posterior y sin protección.
El primer requisito es una pequeña preocupación. Al acceder al servidor de licencias, el cliente de licencias también puede acceder a otros recursos, por ejemplo, validando la cadena de confianza para autenticar el servidor y verificando las listas de revocación de certificados. Todo esto es algo bastante estándar que su navegador web hace todos los días. Pero un cliente DRM también debe poder identificar de manera única la máquina en la que se está ejecutando (por ejemplo, para asegurarse de que está viendo el video en hasta cinco dispositivos pero no en seis). Esto a veces se hace con huellas digitales de hardware, por ejemplo obtener el número de serie de su CPU o GPU, la dirección MAC de su computadora, ese tipo de cosas. Una exploración de este tipo requiere un acceso de bajo nivel a O / S, por lo que potencialmente el cliente podría estar buscando otras cosas de las que no puede sospechar. Sin embargo, sería muy inusual ver los recursos de la red.
El segundo requisito definitivamente requiere un acceso al sistema de nivel bastante bajo, pero puede estar limitado por las API de su sistema operativo. Si tiene curiosidad sobre cómo funciona en Windows, aquí hay algunos diseño colateral . Esencialmente, el cliente enviará una solicitud al O / S para proporcionar un identificador a un dispositivo de salida que el O / S garantiza que es válido; O / S es responsable de validar que todas las DLL involucradas pertenecen a un editor conocido (por ejemplo, verifique sus firmas). Si el cliente pasa por la API, el O / S está haciendo el trabajo peligroso, por lo que el riesgo adicional provisto por el propio cliente es muy pequeño. Por cierto, esto es por lo que es tan difícil conseguir que el video de Amazon funcione en Linux.
Amazon es una empresa bastante grande y sería un gran escándalo si recopilara información personal o de propiedad exclusiva de sus clientes, por lo que, en general, no me preocuparía demasiado, a menos que trabaje con información extremadamente confidencial, como nuclear secretos.