Engadget ha pubblicato ieri
una intervista a "Viodentia", programmatore noto per essere l'autore di
FairUse4WM, tool capace di violare la tecnologia Microsoft DRM e usato in queste settimane dalla community per sproteggere i file offerti nei music store PlaysForSure-compatibili. La diffusione del software ha costretto Microsoft al rilascio di due patch consecutive per la componente individualized blackbox (IBX) di PlaysForSure, utili a bloccare due successive versioni del tool di decrypting. Viodentia parla del business della musica digitale e di PlaysForSure, e commenta l'ultimo memo inviato dal colosso ai partner per annunciare la disponibilità dell'
ultima patch anti-FairUse4WM.
Microsoft: Nuova Patch Anti-FairUse -
Microsoft vs FairUse4WM: Round 3 -
Altre D: FairUse4WM ha generato un po' di caos. Quanto c'è voluto per violare Microsoft PlaysForSure DRM? Chi ha lavorato sul programma? Viodentia: Trovare un modo per estrarre le informazioni chiave ha richiesto un paio di settimane di tempo libero. Passare dal prototipo ad un tool più generale ha richiesto invece circa due mesi. Sono l'unico sviluppatore, anche se i miei amici sono serviti come beta tester iniziali e casse di risonanza, e dopo la release ho conosciuto persone disposte ad offrire il loro aiuto.
D: Quali sono le vulnerabilità di base in PlaysForSure che ti hanno consentito di violare la protezione? Viodentia: Non c'è nulla da nascondere – Microsoft non ha seguito le pratiche standard di sicurezza, e ha lasciato alcuni dati sensibili non crittati nello stack, durante le chiamate alle routine esterne a kernel32.dll. Anche quando correggeranno questo problema modificando malloc() in alloca(), sarà molto difficile verificare tutte le altre routine per le chiamate DLL. A livello teorico, dovrebbero inviare le chiavi di decrittazione fuori dal loro stesso controllo, la loro unica difesa è usare una tecnica di offuscamento.
D: Microsoft ha team che lavorano 24 ore su 24 per correggere la vulnerabilità, e dal lato legale hanno iniziato a coinvolgere i loro avvocati, inviando richieste C&D ai siti che ospitano il tuo software. Cosa ne pensi? Viodentia: Ritengo che stiano rispettando i loro obblighi contrattali, e io già prevedo un prossima tecnologia di offuscamento migliorata. Certamente non approvo che Microsoft rivendichi diritti d'autore sul mio programma, ma realisticamente io non posso farci molto, né potrebbe un avvocato, per conto dei siti mirror che ospitano il programma, contro le loro leggi locali.
D: Microsoft deve ancora correggere la vulnerabilità – è possibile riparare PlaysForSure senza riprogrammarlo ex-novo? Viodentia: Appena rilascerò qualcosa, Microsoft certamente sarà in grado di fare lo stesso. Credo che nessuna delle due parti abbia una opzione definitiva.
D: Che pensi dell'ultimo memo di Microsoft, in cui il colosso afferma di aver bloccato la versione 1.2 del software?
Viodentia: Mi riservo un'analisi completa per quando avrò esaminato il nuovo IBX nel dettaglio.
Rilascerò una nuova versione di FairUse4WM durante la settimana.D: Come pensi che FairUse4WM influisca sull'industria? Non ti preoccupa che il cracking di PlaysForSure possa sancire la fine dei servizi subscription-based? Viodentia: Credo che FairUse4WM sia qualcosa di positivo per l'industria – dimostra che se non esiste una effettiva protezione sui contenuti non crolla la terra. Dubito che i servizi a sottoscrizione possano subire un danno, i programmi che sfruttano il "buco" analogico sono già diffusi largamente. Il valore dell'abbonamento sta nella possibilità di aver accesso continuato ai nuovi titoli, cosa che è indipendente dalla protezione.
D: Microsoft dovrebbe aver pronto un nuovo schema DRM sviluppato appositamente per il media player Zune. Viodentia: Non ho alcuna idea delle politiche adottate da Microsoft. Se dovesse capitarmi sotto mano un dispositivo Zune...
D: So che molte persone che lavorano per Microsoft ed i suoi partner ci leggono – cosa vuoi dire loro? Viodentia: Credo che il più grande errore del design PlaysForSure/WM sia la sua portata troppo ampia. Integrando obsolescenza forzata ai prodotti e restrizioni di piattaforma, si va infatti a perdere di vista la gestione stessa dei diritti dei contenuti. Il mio suggerimento per i progettisti futuri è semplice:
non preoccupatevi della debolezza della decriptazione client-side, al contrario offrite delle specifiche pubbliche ai licenziatari che usano le firme digitali, gestite le PKI tramite una organizzazione non-profit, e fate pressione legale e sociale sui programmi che non sono conformi a tutto questo. Accettate che le persone riescano a patchare in maniera insignificante il sistema, se le restrizioni non sono onerose la maggior parte delle persone non si prenderà questa briga. Se i file WM fossero già interoperabili e i termini di licenza più chiari, non ci sarebbe scopo alcuno per un programma come FairUse4WM.