Современные СУД – задачи и решения

 Современные СУД – задачи и решения
Автор | Анна Бителева

Изменения, произошедшие за последние несколько лет на рынке видео услуг, неизбежно поменяли и технологии защиты контента и отчасти сами задачи разработчиков систем доступа.


 История угроз

 С изменением технологий распространением видео менялся и характер пиратских угроз 15-20 лет назад, атакам в основном подвергались приставки и смарткарты, с них либо клонировались либо модифицировались таким образом чтобы можно было декодировать передаваемую в потоке секретную информацию по упрощенной схеме. Это были дорогостоящие технически сложные взломы, в том числе путем неинвазивного мониторинга напряжений или электромагнитного излучения.

Но с распространением интернета пиратские приемы упростились —они ввели в обиход кардшаринг. Эта схема взлома использует слабость базовых систем защиты, основанных на применении технологии DVB Simulcrypt и стандартного алгоритма скремблирования (CSA).

 В таких системах расшифрованное смарт картой контрольное слово в открытом виде пересылалось в скремблер, расположенный в основном чипсете приставки. Это позволяло пиратам без особенных сложностей перехватывать его по дороге и через интернет раздавать клиентам. Для противодействия картшарингу разработчики СУД начали логически связывать смарткарты с чипсетами приставок и шифровать канал передачи контрольного слова. Такая защита использует аппаратные элементы и взломать ее достаточно сложно. Тем не менее решить проблему картшщаринга операторы могут только заменив в сети все незащищенные приставки, а в крупных сетях этот процесс затянулся на годы.

 Кроме того, сохранилась менее распространенная, но более опасная форма шаринга ключей – раздача сеансового ключа. Сеансовый ключ используется для кодирования последнего, дескремблирующего ключа и меняется довольно редко, например, раз в месяц). Подписчики используют сеансовый ключ для расшифровки принимаемых в потоке дескремблирующих ключей, и далее соответственно — самого контента.

Для извлечения сеансовых ключей требуется реверс-инжиниринг системы условного доступа. Это значительно более сложная задача, чем перехват дескремблирующего ключа, но сеансовые ключи и более ценная добыча для пиратов.

 С защитой от классического шаринга новую жизнь получили и атаки путем неинвазивного мониторинга, тем более, что соответствующие инструкции сейчас при желании можно найти в интернете.

 Однако это далеко не главные угрозы со стороны пиратского сообщества. Основная проблема сегодня это пиратская раздача видео, принимаемого в основном на легальные устройства.


 Пиратская раздача видео

 С дальнейшим развитием интернета, и технологий раздачи видео по открытой сети задачи пиратов еще более упростились. Теперь нет необходимости рассылать ключи, можно просто принимать контент и доставлять его «клиентам» нелегальным образом. Первой формой такого пиратства стала пиринговая раздача файлов, обычно реализуемая в формате торрентов. Она до сих пор является основной формой пиратства для полноформатных фильмов и других длинных форм файлового видео контента. При хорошей инфраструктуре некоторые популярные наименования сейчас уже можно смотреть в реальном времени.

 Позже стали распространяться пиратские платформы с стримингом видео в реальном времени. Сначала видео принималось только на специально разработанные приложения, но сейчас для просмотра пиратского контента достаточно и стандартного устройства с вебраузером. В таком формате передаются разные услуги уровня —от платных, с качественным контентом, до бесплатных с веб страниц, с рекламой и возможно инфицированных ссылками на вредоносное ПО.

 В популяризацию пиратских услуг вносят свою лепты и программные медиаплееры, такие как Kodi. Это плагины, предлагающие электронного гиды с полупрофессиональными интерфейсами «look and feel». Они не привязаны к конкретным серверам легальным или пиратским, поэтому и отношение к ним двоякое. На продажи медиастримеров с предустановленным Kodi в некоторых странах наложен запрет, но плагин доступен для установки в плеер после его покупки. В этом отношении показательны санкции недавно наложенные на Kodi в поисковой системе Google. Она не удаляет ссылки на плеер из поисковой базы, но исключила слово “Kodi” из автозаполнения в окне поиска.

 Причина массового распространение такого пиратства вполне понятна. Оно легко реализуется технически, особенно с появлением облачных технологий и обходится значительно дешевле, прежних вариантов пределами сети. И если результатами перехвата ключей или клонирования приставок можно пользоваться только в пределах сети где совершен взлом, то нелегальное распространение контента, может быть востребовано и далеко за пределами сети, фактически по всему миру. То есть, с точки зрения «возврата инвестиций» пиратская раздача видео явно интереснее всех видов взлома.

 Опрос операторов, проведенный компанией Cartesian по заказу Verimatrix в рамках комплексного исследования, показал, что именно нелегальная ретрансляция более всего заботит операторов ( рис 1)


 Vertimatrix_stat.png

Для многих пользователей пиратских сервисов качество не является существенным фактором при выборе источника видео. Для них важнее легкий доступ, а также низкая цена или полная бесплатность услуги.

 Проблема с нелегальными интернет ретрансляциями заключается еще и в том, что пиратский характер сервиса не всегда очевиден для конечных пользователей. Причем в некоторых странах пользование такими сервисами может караться по закону.


Меры противодействия 

Контент для ретрансляций пираты обычно получают с легальных авторизованных устройств. Для этого существует несколько способов

 Пираты могут :

  •     Перехватить контент в канале HDMI, используя HDCP стриппер. Существуют устройства, умеющие снимать HDCP защищенный контент с HDMI выхода     абонентской      приставки и отправлять на компьютерные карты видео захвата, заново кодирующие поток.
  • ·  Снять контент сервиса видео по требованию, полученного на ПК, путем захвата изображения на экране.
  • ·  Снять качественную копию с дисплея – например, с помощью телевизионного камкодера.   

  

HDCP 2.2, последняя версия стандарта пока не взломана, но существуют способы понизить ее до взломанных и затем использоватьHDCP стриппер. По оценке бывшего вице- президента Verimatrix по маркетингу Стива Кристиана обход HDCP 2.2 достаточно сложная процедура, что сокращает объемы пиратства, реализуемого таким способом.

 Двум другим способам чисто технологически противодействовать невозможно. Единственный изобретенный вариант - наложение водяных знаков - некоего невидимого кода, в котором заложен номер авторизованного абонентского устройства, на который был принят нелегально распространяемый контент.

 Необходимость защищать выход HDMI доверенным ПО, а сам премиальный контент —водяными знаками прописана в спецификации MovieLabs Specification for Enhanced

Content Protection[i]. Распространение водяными знаков тормозится тем, что для операторов это дополнительные расходы, которые им предложено нести, чтобы защитить бизнес студий, а они на это часто не готовы. Об этом говорили руководитель отдела продуктового маркетинга Nagra Кристофер Шаутен, а вице-президент по маркетингу Viaccess-Orca Леонид Беркович, интервью с которым мы планируем опубликовать в одной из ближайших номеров.

 В тоже время студии часто сами маркируют водяными знаками, отдаваемые операторам копии фильмов. В случае утечки контента это помогает им определять из какой сети она произошла.


Бескарточные системы

    Удобство бескарточных систем очевидно. Они исключают расходы на изготовление, логистику и доставку карт, и исключает картшаринг, если в сети и используется только бескарточное решение. Однако до недавнего времени большинство операторов и самих разработчиков СУД не считали такие системы пригодным для защиты премиальных сервисов.

   Тем не менее, ситуация постепенно менялась, и в прошлом году без разработчики СУД дружно признали, что бескарточные системы уже не уступают карточным по безопасности. Хотя отношение к ним все-таки немного разниться. Кристофер Шаутен (Nagra) считает, карточные системы могут стать выбором крупных операторов, так как равный уровень безопасности не исключает того факта, что карты поменять легче, чем приставки. В то же время Том Поллард (Verimatriх), отдает предпочтение бескарточным системам. Он считает их более надежными, так как они допускают превентивные изменения алгоритмов защиты. Заметим, что большинство карт также имеют возможность апгрейда, но более поверхностного.

 Поднять бескарточные системы на должный уровень безопасности позволило появление защищенных процессоров. Это может быть либо отдельный физический процессор, что видимо более надежно, либо виртуальный, выделенный из ресурсов основного процессора.

    Технологии защиты процессора отрабатывались годами, та как его защита требуется и в карточных системах. Процессор должен обеспечивать безопасную загрузку ПО приставки, и безопасный апгрейд этого ПО, скремблирование содержимого памяти DRAM для защиты от перехвата. Вмешательство в эти процедуры могут привести к взлому приставки. Процессор также отвечает за управление защитой HDMI порта и наложение водяных знаков. И наконец, надо защищать от перехвата видео, циркулирующее по чипсету в открытом виде. Поэтому перенос в чипсет приставки функционала смарт карт не единственная причина для выделения в нем безопасной зоны. Скорее наоборот, перенос стал возможен после того, как технологии защиты чипсетов оказались на должном уровне

    Таким образом сегодня в большинстве чипсетов выделяется безопасная среда исполнения ( Trusted Execution Environment ), в которой реализуются все секретные процессы. В рамках ТЕЕ формируется и безопасный видео тракт ( Secure Video Path). Наличие в чипсете TEE и SVP тоже требование спецификации Movie labs

    Безопасная среда исполнения ( ТЕЕ) обеспечивает взаимную изоляцию выполняемых в ней процессов и постоянную проверку собственной целостности во время обработки данных. А Secure Video Path изолирует от недоверенного ПО все манипуляции с незащищенным видео – его дешифровку, декодирование, наложение водяных знаков. Оно поступает в приставку в зашифрованном виде, и после декомпрессии в зашифрованном же виде передается на HDMI выход.

                                                                                  Эволюция систем доступа  

  Первые системы :

  •       Чисто программные решения, реализуемые основным процессором

  •       Ограниченные средства защиты ключей и ПО от считывания

5 лет назад :

  •        Клиент системы доступа по-прежнему реализован на основном процессоре, но для дешифровки контрольного слова использовалась иерархия аппаратных ключей
  •       Декодированные ключи были аппаратно защищены от шаринговых атак

  •       Загрузка из области, защищенной аппаратными средствами, препятствовала взлому ПО

  •       Сам клиент системы доступа оставался слабым звеном, так как он работал в той же не доверенной среде, что и остальное ПО

 Сегодняшние системы:

  •         Клиент СУД функционально разделен таким образом, что критически важные функции изолированы от основного процессора и реализуются в безопасной среде исполнения.

  •          Для декодирования контрольного слова используется иерархия аппаратно хранимых ключей.

  •          Безопасная загрузка из аппаратно защищенной области препятствует взлому ПО

  •          Особо важные функции защищены от атак по сторонним каналам

  •          При обработке премиального контента обеспечивается «Безопасный видео тракт»

( источник : «Будущее бескарточных систем безопасности»ю, отчет об исследовании Cartesian и Verimatrix, 2017 г)

     CAS vs DRM

    Под CAS обычно понимают системы доступа, предназначенные для вещательных сетей без обратного канала и реализованные по стандарту DVB Simulcrypt. Они защищают передаваемый транспортный поток, и не берут на себя функций управления воспроизведением.

DRM, в свою очередь, пришли из компьютерной сферы и традиционно используются для защиты контента в цифровой среде, то есть в IP сетях. Они требуют обратного канала для запроса ключей и лицензий и управляют воспроизведением. Однако, с распространением видео услуг в открытом интернете DRM начали наращивать свою функциональность.

 

 Артем Гелун руководитель отдела системной интеграции компании SmartLabs описывает это следующим образом : «Современные DRM системы, про которые в 99% случаев идет речь, объединили в себе как возможности CAS в части криптографии, безопасности и надежности закрытия контента, так и функциональность DRM по ограничению распространения приобретённого контента после его расшифровки. Например, DRM может ограничить максимальное разрешение изображения, если не используется аппаратное шифрование на устройстве, запретить вывод HD контента (или вообще отображение любого контента) на аналоговые выходы, как наименее защищенные, или потребовать определенной версии HDCP для воспроизведения определенного фильма.

 

 Что же касается CAS, то они «..могут работать без обратного канала, а реализации с обратным каналом, как правило, сохраняют совместимость с ними, что позволяет один и тот же поток передавать как по спутнику, так и по IP-сетям. Кроме того, они имеют ограниченную по сравнению с DRM функциональность»

    Большинство крупных операторов сегодня работают в разных средах поэтому им нужны и СУД, и DRM. Разработчики СУД удовлетворяют эту потребность по разному. Компания Verimatrix, исходно предлагавшая систему DRM, дополнила ее стандартной CAS, а Nagravision напротив дополнила CAS собственной DRM. Обе DRM используются для защиты контента в приставках. А на планшетах, смартфонах и компьютерах контент защищается системами DRM, привязанными к платформе устройства. WideWine защищает контент на платформе Android, Fair Play — на платформе IoS, и Play Ready на Microsoft. Таким образом операторам приходится поддерживать несколько DRM, и все производители CAS предлагают зонтичные решения, упрощающие одновременно администрирование нескольких систем.

 

 Widevine, используемая в приемниках на базе Android и встроенная в браузер Google Chrome из-за крайней популярности этих продуктов занимает сегодня больше половины всего устройств. Но в компании Google видимо хотят еще более закрепить доминирующее положение на рынке и планируют адаптировать DRM для применения в DVB сетях. Для этого информацию о ключах и лицензиях, отправляемых DRM сервером, нужно инкапсулировать в формат ECM и EMM сообщений, используемых в системах DVB Simulcrypt. Правда, чтобы создать СУД,конкурентную серьезным решениями этого явно недостаточно. И захотят ли в Google вкладывать значительные средства в разработку для стагнирующего сектора — большой вопрос.

 Заметим, что разработчики СУД не рассматривают платформу Android, как пригодную для приема премиальных услуг. Вернее лицензионную версию этой платформы. Причины тут две. Во первых, лицензионная версия исключает ограничения на использование сторонних приложений. А так как попадающие в магазин приложения не проходят сколько-нибудь серьезной проверки, то на приемной устройство может быть попасть какое то зловредное приложение. Например, предназначенное для вывода приемного устройства из строя, или для организации DDOS атаки. Существуют также и приложения, искажающие файлы в памяти гибридного устройства или стирающие ключи. Цель таких приложений не воровство контента, а вымогательство денег из операторов, чьи сети оказываются заблокированными.

 Кроме того, сама безопасность Android чипсетов также вызывает некоторые нарекания. DRM Widevine, предлагается в версиях с разными уровнями защищенности, и верхняя версия обеспечивает в чипсетах безопасный медиатракт. Однако лицензионный вариант Adroid не позволяет разработчикам СУД добавлять аппаратные схемы защиты в чипсеты. Поэтому для приставок они рекомендуют использовать нелицензионый вариант Android Open Source Project (AOSP), лишенный этих ограничений. 


Виртуальные системы доступа

 Важным трендом в скором будущем может стать появление виртуальных CAS и DRM. По принципу действия они аналогичны виртуальным SIM картам. Они предполагают интеграцию в чипсет унифицированного аппаратного модуля, в который должен загружаться программный клиент конкретной CAS или DRM. Причем, в один чипсет могут одновременно загружаться клиенты нескольких CAS и DRM. Сегодня параллельно продвигаются два таких проекта. Один - Embeded CI, его разработка инициирована группой, включающей операторов, вещателей, производителей приставок и других игроков рынка. Другой – совместное решение Nagravision и Broadcom, получившее название NAGRA-On-Chip Security (NOCS). Какая из систем завоюет рынок пока неизвестно, но то, что они появились почти одновременно говорит о том, что идея витает в воздухе.

 Исходно концепция CAS DVB Symilcrypt предполагала использование приставок с одинаковой аппаратной реализацией Host системы со стандартным CSA скремблером, различающихся только картами доступа. Но требования безопасности вынудили разработчиков СУД вводить аппаратные дополнения к стандартному железу. Идея виртуальных СУД возвращает концепцию унифицированного железа, но уже с новым уровнем безопасности.

 

Новые направления работы

 Все крупные разработчики систем доступа не ограничиваются основным бизнесом и предлагают свои решения в смежных сферах. Долгое время на их стендах демонстрировались варианты абонентских MW, по существу - пользовательских интерфейсов, иногда дополненных системой поиска и рекомендаций. Такие решения показывали NDS, Nagra, свое время купившая Open TV, а также Irdeto. Однако последнее время такие демонстрации со стендов исчезли. Леонид Беркович (Viaccess-Orca) объясняет это тем, что сегодня у операторов развивающие сегодня интерактивные услуги делают это на базе полномасштабных ОТТ/IPTV платформ для которых пользовательский интерфейс — лишь небольшая часть, привязанная к конкретной платформе. Поэтому пользовательские интерфейсы, но уже не продвигаются их производителями, хотя и продолжают применяться в операторских сетях.

 На сегодняшний день для производители СУД считают для себя перспективными два направления.

 Во-первых, это анализ данных собираемых в сети Решения в этой области предлагают Viaccess –Orca, Nagra и Verimatrix. Это По наблюдениям Тома Полларда (Verimatrix) операторов интересует информация трех категорий :

К первой относится группа вопросов о QoS — насколько хорошо работает распределительная сеть, есть ли ограничения по полосе пропускания или задержки в сетевых узлах, есть ли сбои в работе абонентских устройств

 Ко второй - статистика потребления. Операторов интересует что смотрят их абоненты, как долго и на каких устройствах. Для оптимизации услуг важно понять предпочтения абонентов не только в плане контента, но и способа его потребления.

 К третьей категории относятся вопросы относительно логики и эргономики интерфейса приставки или приложения. Например, сколько «кликов» обычно делает абонент, чтобы запустить услугу? Выбирает ли он прямой путь или обходной с большим количеством «кликов»? Быстро ли он продвигается по этим пунктам? Эта статистика собирается во основном во время тестовых периодов и сейчас уже реже интересует операторов. Видимо правила формирования эргономичных интерфейсов уже отработаны.

 Второе направление это, конечно, интернет вещей. Сфера IoT включает самые разные направления, требующие разного уровня защиты и разработчики СУД надеются, что их компетенции окажутся востребованными в этом секторе. Это для них очень важное направление, так как в отличие от вещательного сектора, сферу IoT никак нельзя назвать стагнирующей. В какой мере они впишутся в новый рынок во многом зависит от того насколько и каким образом туда впишутся их партнеры – производители чипсетов, и поставщики облачных серверов. Компания Irdeto уже нашла свое место в сегменте защиты автомобилей. Verimatrix и Nagra на прошлогодней выставке IBC еще не раскрывали своих переговоров, но готовились к вступлению на этот рынок. Их оптимизм основан на том что сфера IoT очень широка и там должно найтись место всем.

 

 

 

 



[i] MovieLabs —организация, созданная основными голливудскими студиями для решения разных задач в том числе стандартизации, необходимой для работы студий. 





К списку материалов