I sistemi DRM (Digital Rights Management) sono tecnologie utilizzate per proteggere e gestire i diritti digitali su contenuti come musica, film, ebook, software e altro ancora. Il loro obiettivo principale è proteggere i diritti di proprietà intellettuale, limitare l’uso non autorizzato e contenere la distribuzione illegale di contenuti digitali. Una tra le più famose e utilizzate è Widevine di Google, ampiamente sfruttata da un ampio numero di applicazioni e dispositivi hardware.
Non c’è però solamente la soluzione di Google per proteggere i contenuti multimediali distribuiti online. Microsoft, ad esempio, propone PlayReady DRM: si tratta di una piattaforma utilizzata principalmente nel contesto delle piattaforme di distribuzione di contenuti digitali, come servizi di streaming video e musica.
PlayReady DRM provvede a crittografare i contenuti durante la trasmissione ed essi possono essere memorizzati in formato criptato sui dispositivi di riproduzione. Il sistema utilizza inoltre delle licenze per concedere eventualmente l’accesso ai contenuti multimediali protetti. Una licenza contiene informazioni su come, quando e dove un utente può utilizzare un determinato contenuto. Ciascuna licenza contiene anche le chiavi di decodifica che vengono fornite al dispositivo o all’applicazione di riproduzione autorizzati.
Le chiavi di decodifica di Sky NOW sono trapelate online: cos’è successo
Una delle piattaforme di streaming più note che utilizza PlayReady DRM per la protezione dei suoi contenuti è Sky NOW. Il servizio, disponibile anche in Italia, permette di accedere a un ampio bouquet di contenuti: intrattenimento, cinema e sport. L’offerta contenutistica di NOW è ricca ed è fruibile da un vasto numero di dispositivi, sia da postazione fissa che in mobilità. Lanciato per la prima volta nel 2012 nel Regno Unito, NOW è disponibile anche in altri Paesi europei, tra cui Italia e Germania.
TorrentFreak racconta che a gennaio 2023 un ricercatore indipendente, esperto nelle attività di reverse engineering sui sistemi DRM, ha contattato Sky Group per informare che le chiavi di decodifica dei flussi NOW erano disponibili online. “Ci sono alcuni soggetti che stanno vendendo su Telegram le chiavi di decodifica per i canali Sky italiani, tedeschi e inglesi“, informava il ricercatore. “Le chiavi sono realmente funzionanti e permettono la decodifica degli stream ISML“.
Gli stream ISML (Interactive Streaming Markup Language) sono oggetti in formato XML che definiscono la struttura e il comportamento degli elementi di uno stream multimediale. Il ricercatore, qualificatosi con lo pseudonimo di “Mark K“, fa sapere che gli stream ISML protetti con PlayReady DRM non utilizzano la rotazione delle chiavi crittografiche. Così, un utente in possesso delle chiavi di decodifica non deve neppure possedere un account NOW per accedere ai contenuti in streaming.
Il problema della mancata rotazione delle chiavi
La rotazione delle chiavi in un sistema DRM è una pratica di sicurezza che prevede la regolare sostituzione delle chiavi di cifratura utilizzate per proteggere i contenuti digitali. Quest’accortezza ha lo scopo di mitigare i rischi derivanti dalla compromissione delle chiavi o dall’attacco da parte di terze parti. Senza la rotazione, la pubblicazione delle chiavi crittografiche utilizzate per criptare i contenuti rende possibile la decodifica dei contenuti protetti e il conseguente accesso ai materiali protetti da copyright senza autorizzazione.
La frequenza con cui avviene la rotazione delle chiavi dipende dalle politiche di sicurezza del sistema DRM e dall’importanza dei contenuti da proteggere. In generale, la rotazione delle chiavi dovrebbe essere eseguita regolarmente per garantire un livello adeguato di sicurezza.
Il ricercatore contesta proprio questo punto a Sky Group: la società non sembra servirsi di un meccanismo di rotazione delle chiavi. Così, gli strumenti per la decodifica dei flussi NOW sono rimasti online per almeno 6 mesi e, addirittura, risultano pubblicati in un repository GitHub (adesso rimosso).
La demo di un riproduttore multimediale online utilizzata per mostrare la decodifica dei flussi protetti con il DRM PlayReady
Per dimostrare il leak subìto dalla piattaforma di streaming, gli autori della scoperta hanno generato una serie di URL contenenti il riferimento alla licenza e alla chiave di decodifica in formato Base64. Per riprodurre lo streaming (da browser Microsoft Edge), come riporta TorrentFreak, si sono appoggiati al riproduttore multimediale di test offerto da Bitmovin, un’azienda specializzata nella tecnologia di streaming video e nella fornitura di soluzioni per la gestione dei contenuti multimediali.
Il riproduttore multimediale Bitmovin è progettato per fornire una riproduzione affidabile e di alta qualità dei contenuti video in streaming. Non è stato scelto a caso: supporta una vasta gamma di formati, inclusi HLS (HTTP Live Streaming), MPEG-DASH (Dynamic Adaptive Streaming over HTTP), Smooth Streaming e altri; codec come H.264 (AVC), H.265 (HEVC), VP9 e AV1, oltre alle principali piattaforme DRM come Widevine e PlayReady.
Qualche domanda finale
Restano sul tavolo tante domande. Come sono trapelate online le chiavi di decodifica di una piattaforma come NOW? È la tecnologia DRM PlayReady a soffrire di qualche problema di sicurezza che ha portato all’esposizione delle chiavi o esse sono state in qualche modo sottratte all’origine? Perché, come si chiede il ricercatore “Mark K“, le chiavi non sono state tempestivamente modificate?
L’uso ma anche la semplice pubblicazione delle chiavi di decodifica integrano una fattispecie di reato
Precisiamo che la pubblicazione delle chiavi di decodifica sul Web e su altre piattaforme non dà alcun diritto ad abusarne. Anzi, sia la condivisione che l’uso non autorizzato delle chiavi di decodifica di una piattaforma di streaming sono considerati una violazione dei diritti di proprietà intellettuale altrui e rappresentano attività soggette a sanzioni.
L’avvocato Fulvio Sarzana tiene infatti a rimarcare come la semplice promozione delle chiavi di decodifica in questione, per non parlare dell’utilizzo, integrano già una fattispecie di reato. “L’articolo 171-octies della legge 633/41 vieta espressamente anche la diffusione e l’utilizzo personale delle chiavi“, osserva Sarzana invitando ad astenersi da qualunque attività che potrebbe portare a sanzioni sui diversi piani.
La nuova legge antipirateria approvata a marzo 2023, aggiunge Sarzana, inasprisce le pene sia per chi diffonde contenuti protetti dalla normativa sul copyright senza averne titolo, sia per coloro che ne fruiscono senza autorizzazione. La novità è che chi utilizza chiavi di decodifica a scopo personale può incorrere in una sanzione amministrativa fino a 5.000 euro.
La legge italiana sul diritto d’autore protegge i diritti degli autori e dei titolari dei diritti di proprietà intellettuale mentre la Direttiva europea sul copyright (Direttiva UE 2019/790) rafforza la protezione dei contenuti digitali online e introduce disposizioni specifiche per combattere la pirateria e l’uso non autorizzato dei contenuti protetti.