Стив Кристиан, Verimatrix: «С атак на приставки и смарт-карты фокус сместился на пиратское распространение контента»

Сегодня изменился характер актуальных угроз. С атак на приставки и смарт-карты фокус сместился на пиратское распространение контента. Это не единственный тип угрозы, но именно он заботит операторов более всего. Пять лет назад основную проблему представляли атаки на смарт-карты и физическую архитектуру чипсета. Со стороны операторов тогда еще было много беспокойства по поводу возможности взлома за счет анализа электрических сигналов и извлечения секретных ключей. Отличительной особенностью таких атак была их высокая стоимость в сочетании с ограниченной территорией применения результатов. Технологические атаки занимают массу времени и требуют дорогостоящего оборудования, но использовать их результаты можно только в рамках одной сети, а в каждой другой атаку надо повторять. Для пиратов гораздо привлекательнее варианты взлома, которые могут использоваться во множестве сетей по всему миру.

Мы считаем HDCP 2.2 более безопасной версией, она не была взломана, и обойти ее достаточно сложно. Кроме того, контент не всегда проходит через HDMI-порт. Если, например, он принимается на Smart TV, то там нет цифрового выхода, а если на iPad, то мы можем закрыть HDMI-выход.

Да, более всего премиальный контент передается в сетях IPTV, так как традиционные вещательные сети часто не имеют всего необходимого для организации UHD-вещания.

Говоря о UHD, я имею в виду не просто 4К, но также применение технологий HDR и HFR, типичных для премиального контента.

Да, у некоторых операторов США, например у DirecTV, у швейцарского Swisscom, во французской сети Quick и в ряде небольших европейских сетей IPTV. Мы готовим наших клиентов к полнофункциональным UHD-сервисам, которые в ближайшее время и будут составлять костяк премиального контента.

Однако не хочется, чтобы создавалось впечатление, что все пиратство сводится к перехвату контента. Тем более что действия злоумышленников, вызывающие у вещателей наибольшее беспокойство, меняются чуть ли не каждый год. Поэтому мы говорим о постоянно изменяющемся ландшафте угроз. Сейчас на первое место вышла опасность перехвата контента, а с ней возросла значимость наложения водяных знаков.

Несомненно. Как минимум последние пару лет мы следуем спецификации Movie Labs, требующей как аппаратной защиты, так и наложения водяных знаков. Она была разработана для защиты премиального UHD-контента, но инструменты обеспечения безопасности, введенные в соответствии с ее требованиями, теперь используются и для массового контента. Она сформировала новый стандарт создания ТВ-приставок и систем доступа, который потребовал изменения архитектуры чипсетов. Их разработчики сейчас фокусируются на реализации безопасной среды исполнения (Trusted Execution Environment, TEE). Наши решения в области безопасности также в значительной мере базируются на применении TEE.

Производители чипсетов предоставляют аппаратные элементы, а мы — ПО, которое позволяет собрать систему безопасности из различных элементов, причем это может быть сделано по-разному. А тот факт, что оркестровка системы выполнена программным образом, позволяет периодически ее менять. Одно из условий поддержки должного уровня безопасности — упреждающее изменение оркестровки этих элементов. Такие проактивные действия позволяют свести на нет результаты атаки, даже если она оказалась успешной. Пиратам приходится целиться в движущуюся мишень, что гораздо сложнее.

Сегодня все разработчики CAS адаптируют решения к новым реалиям, но минус систем со смарт-картами в том, что в их отношении невозможны регулярные упреждающие изменения — они требуют физической замены смарт-карт, а это очень дорого.

Я ожидал, что, анализируя сегодняшнее положение дел, Cartesian выявит какие-то преимущества смарт-карт применительно к отдельным ситуациям. Однако исследование показало, что во всех случаях, когда требуется усиление степени защиты для противодействия какому-либо виду пиратских угроз, всегда необходимо задействовать механизмы, заложенные в чипсетах. Получается, что финансовые вложения целесообразны только в усовершенствование чипсетов. И бескарточные решения при любом сценарии угроз оказываются как минимум не хуже карточных. И это принципиальное отличие от вывода пятилетней давности, который звучал так: бескарточные системы хороши, но карточные вызывают больше доверия. Сейчас выводы почти противоположные.

Не могу сказать, что все безоговорочно это принимают, но сейчас мы имеем независимое мнение от Cartesian и используем его в качестве аргумента. А сторонники смарт-карт таких весомых контраргументов предъявить не могут. И если пять лет назад мы непрерывно вели подобные разговоры, то сейчас убеждать кого-то в преимуществах бескарточной технологии приходится гораздо реже.

Да, регулярно. Этому могут быть разные причины. Например, в Индии сети ШПД развиты слабо и контент можно получить только на приставки в вещательных сетях. Это касается и трансляций соревнований по крикету, которые очень популярны в этой стране. Поэтому в Индии с ее миллиардным населением ключи доступа к трансляциям крикета могут стать для пиратов серьезным источником дохода. Короче говоря, сегодня можно встретить любую категорию пиратства, которая оказывается актуальной в каком-то регионе мира в отношении какого-то типа контента. Вопрос только в пропорциях.

Слабость некоторых чипсетов заключается в возможности извлечь открытое видео. Во многих моделях сейчас реализуется так называемый безопасный видеотракт, в котором исключена возможность взаимодействия ПО, записанного в открытой части чипсета, с декодированным видео. В STB, корректно построенном на таком чипсете, видео появляется на его выходе только после наложения водяных знаков и HDCP-защиты, то есть более дорогие чипсеты отличаются наличием TEE и защищенного видеотракта.

Путем переноса секретных операций из основного в криптопроцессор. И чем лучше он защищен, тем дороже чипсет.

В гораздо более ограниченном наборе команд, более сложном языке программирования, значительно меньшем физическом объеме памяти, в сложности отладки программ. Нет надобности размещать в криптопроцессоре пользовательский интерфейс или программный гид. Туда заносятся ключи и инструкции от системы безопасности. Они занимают не более 1% от общего объема ПО, но должны быть скомпонованы оптимальным образом.

Android — проблематичная платформа с точки зрения безопасности. Более того, эта платформа открыта для любых непроверенных приложений. Поэтому клиентам, желающим работать с Android, мы не рекомендуем выбирать лицензированную версию этой ОС, предусматривающую свободное использование всего магазина приложений. Лучше использовать Android Open Source Version, так как это позволяет реализовать уровень безопасности, который оператор сочтет нужным.

Одновременно мы предлагаем некоторые расширения, основанные на аппаратных возможностях чипсетов, которые позволяют защитить транслируемое видео и повысить уровень DRM-защиты. Это некий код, который мы можем внедрить в TEE. В новых Android-чипсетах есть TEE, но официальные релизы платформы не позволяют нам внедрять туда свой код. А в модифицированной, нелицензируемой версии OC Android это возможно, более того, мы можем добавить туда и свои аппаратные модули. Поэтому эта версия является оптимальной в плане возможностей обеспечения безопасности.

Нелицензируемая версия может. Лицензируемая – нет. Одна из причин — невозможность интегрировать водяные знаки в такую платформу.