Разработчики систем доступа о насущных вопросах безопасности

Mы попросили ведущих разработчиков систем условного доступа рассказать поделиться своим мнением по ряду вопросов касающихся защиты услуг платного телевидения в сегодняшних условиях.


На вопросы Теле-Спутника ответили Тур Хельге Кристианен исполнительный вице-президент, главный архитектор систем, Conax Кристофер Шаутен, руководитель отдела продуктового маркетинга Nagra, Давид Мординсон, системный инженер Cisco Systems, Виталий Николаев, ведущий специалист ООО «Цифра», Эйнар Вогму , руководитель подразделения управления продуктами, системы Multiscreen, Conax, Ола Сандстан , руководитель подразделения управления продуктами, CAS,Conax

 

ТС: Какие направления работы компании вы считаете наиболее актуальными и важными в настоящий момент? Почему?

Тур Хельге Кристиансен
Тур Хельге Кристиансен

Тур Хельге Кристиансен : Индустрия телевидения развивается невероятно быстро, при этом так же быстро появляются новые технологии и возможности. Если говорить о конкретной актуальной области в данной отрасли, я бы отметил растущий рынок видеослужб на базе стандартов UHD/4K и HDR и обеспечивающих эффект полного присутствия. Это приводит к изменению передающих платформ, в том числе к появлению новых алгоритмов уплотнения/разуплотнения, телевизионных дисплеев и форматов, и одновременно возникают новые задачи в области защиты. Сообщество голливудских студий MovieLabs разработало набор рекомендаций в области защиты информации (ECP — Enhanced Content Protection) для ценного контента, например формата UHD/4K, улучшенного HD, а также для служб VOD ранних версий. Эти рекомендации требуют максимальной из возможного на сегодня технологического уровня защиты и сигнализируют отрасли , что к вопросам безопасности надо по-прежнему относиться очень серьезно.

Кристофер Шаутен
Кристофер Шаутен

Кристофер Шаутен: Важнейшая задача NAGRA сегодня — дать возможность операторам платного ТВ открыть мир высокоскоростных мультисервсиных сетей с использованием различных устройств, с трансляцией в 4К — Ultra HD. Операторам очень важно получить доступ к этим возможностям. Интернет коренным образом изменил правила игры видеопотребления, и от традиционных провайдеров сейчас ожидают гораздо большего. Успешными будут только те операторы, которые эти ожидания оправдают, предоставив прогрессивные, гибкие и защищенные мультиэкранные услуги. Мы помогаем им достичь этой цели и успешно конкурировать с существующими и новыми видеопровайдерами, предлагая широкий набор сетевых решений для абонентских приставок, решений для защиты и мультиэкранных услуг. Эти решения должны соответствовать постоянно меняющимся требованиям контент-провайдеров к безопасности, например таким, как MovieLabs Enhanced Content Protection Specification — они очень высоко поднимают уровень требований к защите премиального контента.

Давид Мординсон
Давид Мординсон

Давид Мординсон: В области защиты видеосервисов задача Cisco -создание надежной системы, обеспечивающей простую интеграцию и открытые интерфейсы. Мы видим тенденцию рынка — фокус смещается от традиционного просмотра телепередач к потреблению мультимедиа посредством различных приложений с привлечением разнообразных пользовательских гаджетов и устройств, с использованием самых разных распределительных сетей.

В связи с этим Cisco разработала новое приложение VideoGuard Everywhere, позволяющее сервис-провайдерам и праводержателям быстро разворачивать новые защищенные сервисы, настроенные для работы с любыми устройствами без сложностей, связанных с введением мульти-DRM.

Постоянно растущая скорость коммуникации пользовательских устройств с сетями и рост ширины доступной полосы пропускания открывают новые возможности для операторов, но в то же время способствуют росту пиратства.

Сервис-провайдеры ищут способы сократить эксплуатационные расходы, расширить свою аудиторию, повысить лояльность абонентов и уменьшить их отток. Они хотят поставить распространение различных пользовательских устройств на горизонтальном рынке на службу своему бизнесу: монетизировать дополнительные услуги, например персонализированную рекламу; оптимизировать системные операции и иметь возможность гибко модернизировать платформу с тем, чтобы быстрее конкурентов развертывать новые приложения. Все это ставит обеспечение безопасности во главу угла.

 

 ТС: Каковы наиболее уязвимые звенья в цепочке доставки контента от студии до абонента?

Тур Хельге Кристиансен: В течение многих лет системы защита цепи доставки контента от головной станции оператора платного ТВ до устройства клиента непрерывно совершенствовалась. Это привело к тому, что внимание пиратов в сфере информационных технологий переключилось от несанкционированного доступа к картам и ключам контента к краже самого контента. Мы наблюдаем растущую тенденцию незаконного распространения видеоконтента в сети Интернет. В простейшем виде это осуществляется путем захвата высококачественного видео с телевизионного экрана с помощью камкодера и загрузки этого видео на торрент-сайты для незаконного распространения среди других пользователей. Единственной эффективной мерой противодействия такому воровству является добавление цифровых водяных знаков в видеоконтент, чтобы обеспечить возможность отслеживать источник нелегального распространения материалов. Компания Conax запустила полное комплексное решение на основе цифровых водяных знаков, в том числе службы определения цифровых водяных знаков, позволяющие операторам ТВ идентифицировать нелегальные источники распространения материалов и принимать необходимые меры по пресечению их деятельности, вплоть до предъявления судебных исков.

Кристофер Шаутен: Наиболее уязвимым звеном в цепи доставки контента от производителя фильмов по-прежнему остается утечка напрямую из студии. Это и кибератаки, и съемка «экранок», и копии фильмов, которые предоставляются профессионалам киноиндустрии, в частности критикам или участникам жюри каких-либо наград. Эти копии загружаются на сайты-файлообменники, которые и обворовывают студии и провайдеров платного ТВ — первых получателей дохода «ниже по течению». С этими атаками борется служба кибербезопасности сервиса (как, например, Kudelski Security), а также применяется технологии так называемых цифровых водяных знаков и сопутствующие сервисы.

С другой стороны, самое уязвимое звено в цепи доставки контента живых спортивных трансляций — одного из ключевых драйверов платного ТВ — это захват и ретрансляция в Интернет спортивных событий. Видео захватывается на выходе легальных пользовательских приставок, с компьютера или непосредственно с онлайн-потока, что с технической точки зрения находится уже за пределами области защиты традиционной системы условного доступа или DRM.

Сейчас для борьбы с этим явлением студии и владельцы спортивных прав устанавливают новые, более жесткие требования к защите контента для всей индустрии. Основной драйвер процесса — трансляции в 4K — Ultra HD, и Nagra с новыми технологиями и услугами решает сложные и интересные задачи, которые ставит перед нами рынок. Решение NAGRA anyCAST COMMAND исключает шаринг в вещательных средах, в то время как решение anyCAST CONNECT проверено независимыми экспертами и удовлетворяет всем требованиям Голливуда для защиты 4K-контента в сетях. Оба эти решения используют аппаратную защиту NOCS3 и могут быть дополнены услугами антипиратского мониторинга от Kudelski Security. Также Nagra для предотвращения кражи контента использует технологию цифровых водяных знаков и услуги обнаружения пиратского контента.

Давид Мординсон: Пока сигнал идет от студии до пользовательского устройства, он проходит несколько небезопасных точек, большей частью там, где контент конвертируется из одной части в другую. Например, когда контент перекодируется или хранится в незакодированном виде на устройстве, предназначенном для воспроизведения. Наиболее уязвимое звено этой цепи — пользовательское устройство, особенно устройство Generic CE, также называемое неуправляемым устройством. Меры, для исключения утечки в точке приема , основаны на технологиях защиты услуги, персонализации контента, обнаружения клонирования устройства, блокирования Jailbreak/Rooting, защиты приложения путем запутывания кода, усиления общей клиентской среды и так далее. Вопрос не только в том, где самое уязвимое звено в этой цепи, но также и в том, как уязвимость будет закрыта от атак со стороны контент-пиратов, желающих, например, распространять контент оператора посредством интернет-стриминга. Борьба с ними может потребовать внедрения правоприменительных механизмов и обеспечения контроля со стороны центра обработки данных, что позволит сервис-провайдеру отслеживать и контролировать риски. Это не является панацеей от контент-пиратства, но помогает упреждать атаки и предпринимать контрмеры до того, как пираты нанесут серьезный ущерб доходам сервис-провайдера.

 

ТС: Сегодня защита видео, доставляемого на разные экраны, требует интеграции множества DRM в рамках одного зонтичного решения. Каковы, на ваш взгляд, перспективы сокращения числа используемых DRM и каким образом это может произойти?

Эйнар Вомгу
Эйнар Вомгу

Эйнар Вогму: Передача контента на несколько дисплеев предполагает высокую степень фрагментации технологий в части адаптивных протоколов потоковой передачи и систем DRM еще более высокого уровня. Традиционно оператору приходилось использовать комбинацию протоколов потоковой передачи, в том числе HLS и Smooth Streaming, для получения доступа ко всем устройствам. Сегодня, с появлением поддерживаемого большинством крупных игроков отрасли стандарта MPEG-DASH, который наверняка станет единым стандартом для адаптивной потоковой передачи, можно говорить о том, что мы движемся в правильном направлении. Однако в пространстве DRM мы, кажется, движемся в обратном направлении, в сторону фрагментации. Производители устройств все чаще внедряют собственные системы DRM в устройства клиентов, создавая тем самым препятствия для использования других DRM на этих устройствах. Например, мы видим, как компания Microsoft встраивает PlayReady в устройства на базе Windows и Internet Explorer, и Google делает то же, встраивая Widevine в ОС Android в браузер Chrome. Конечно, не отстает и Apple, устанавливая FairPlay в устройства на базе iOS. Предустановленные клиенты DRM для операторов бесплатны и являются для них великолепной возможностью запуска служб ОТТ без значительных вложений в клиентские системы DRM. Нам также известны примеры того, как производители устройств создают препятствия для использования сторонних DRM на своих платформах, вынуждая применять их собственные системы DRM. Наиболее ярким примером этого является прекращение действия интерфейса NPAPI в браузере Chrome, в результате чего эффективно блокируется Silverlight. Все эти тенденции вынуждают операторов использовать несколько DRM для доступа к соответствующим устройствам.

Кристофер Шаутен: Распространение нескольких систем DRM появилось как неизбежное зло для операторов, которые хотели поддерживать столько различных устройств, сколько возможно. Новые технологии позволяют операторам обеспечивать безопасность на нескольких платформах, что упрощает их деятельность и снижает расходы. Приложение NAGRA anyCAST CONNECT может использоваться для ТВ-приставок, Smart TV (для телетрансляции, OTT и IPTV), так же, как и для открытых устройств, таких как ПК, Mac, смартфоны и планшеты. Приложение представляет собой плеер, который также реализует дополнительные услуги, относящиеся к телевидению. При необходимости решение безопасности anyCAST также может поддерживать сторонние DRM, что позволяет операторам охватить устройства, использующие DRM, базирующиеся на какой-либо определенной платформе, например Microsoft PlayReady на приставке Xbox. Это дает операторам возможность предоставить одно решение, поддерживающее DVB, IPTV, операторские OTT-услуги и OTT-услуги третьих поставщиков, например Netflix. При этом приложение будет поддерживать anyCAST CONNECT — DRM одобренноеNetflix. Это позволит сократить количество различных приложений и оптимизировать безопасность ТВ-приставки.

 Давид Моринсон: Хотел бы перефразировать вопрос. Здесь будет правильнее говорить о мульти-DRM-подходе, нежели об интеграции нескольких DRM. Сегодня сервис-провайдеры ищут возможность предоставлять свой сервис на максимально широкую аудиторию конечных пользовательских устройств.

Для этого им требуется платформа, поддерживающая практически все популярные DRM, из-за ограничений определенных конечных пользовательских устройств или браузеров. Несколько технологий, которые использующих VideoGuard Everywhere от Cisco позволяюn сервис-провайдеру минимизировать воздействие этого тренда.

C VideoGuard Everywhere сервис- провайдер может например предоставлять услуги на PC, Mac, Android, iOS, Windows Mobile, Roku, Smart TV, Xbox и другие игровые приставки, используя для этого один и тот же поток HLS. Даже если вкакие то пользовательские устройства и приложения имеют прединтегрированную DRM, VideoGuard Everywhere все равно может управлять устройством через единый шлюз безопасности. Данное решение развернуто на многих сетях по всему миру, больших и малых, и в одной системе обсуживает 4 млн активных устройств.

 

ТС: Какие аппаратно-программные механизмы безопасности должны быть реализованы в современной DVB-приставке для ее максимальной защиты? В какой мере их реализация зависит от поставщика системы безопасности?

Ола Сандстан
Ола Сандстан

Ола Сандстан: Сегодня устройства пользователей представляют собой самое слабое звено в цепочке защиты. Пользовательские устройства с низким уровнем защиты можно легко использовать для общего доступа к картам, атак на приставки STB или нелегального распространения как живых трансляций так и сохраненного контента. Conax уделяет особое внимание вопросам безопасности, которые неразрывно связаны с безопасностью самих устройств. Параметры целостности и безопасности пользовательских устройств компания Conax проверяет с помощью независимых мировых лабораторий в области информационной безопасности.

Получаемые из лабораторий данные, мы используем для присвоения уровня безопасности каждому клиентскому устройству. Этот уровень отражает степень надежности системы защиты устройства с учетом защищенности чипсетов. В ходе испытаний, проводимых ведущими независимыми лабораториями, чипсеты проверяются на предмет способности работать с нашей системой защиты Conax Chipset Pairing. Мы ведем список чипсетов, проверенных по параметрам безопасности, которые надежно работают с нашими решениями в области защиты, и предоставляем его нашим партнерам-производителям, которые могут использовать их для разработки своих продуктов.

Кристофер Шаутен: Наиболее важным фактором при рассмотрении безопасности для ТВ-приставки является то, что система разрабатывается, продается, поддерживается и обеспечивается гарантией одним производителем. Безопасность необходима начиная от системы на чипе приставки (SoC) до смарт-карты или программного обеспечения клиента системы условного доступа. Многие системы условного доступа полагаются на простую схему безопасности SoC, реализованную разработчиком чипа.

NAGRA работает напрямую со всеми основными разработчиками чипов, чтобы внедрить в каждый SoC собственную технологию NAGRA On-Chip Security (NOCS). В настоящее время используется третье поколение технологии, предлагающее продвинутую проприетарную криптографию со встроенными средствами обеспечения безопасности, а также anyCAST PROTECT — систему условного доступа, не требующую смарт-карты. Этот подход гарантирует сосредоточение ответственности за всю систему безопасности «от и до» в одних руках. Оператор целиком может рассчитывать на нас, и если что-то пойдет не так, то не будет перекладывания вины друг на друга между разными участниками.

Несмотря на то, что NAGRA считает применение NOCS способным обеспечить высокий уровень безопасности по сравнению с безопасностью, использующей схему, реализованную производителем чипсета, мы готовы предоставить возможность использования обеих систем параллельно для обеспечения высочайшего уровня защиты NOCS на сегодня и гарантии независимости от поставщика CAS в будущем.

NAGRA также предлагает решения для защиты домашних сетей, позволяющих защитить обмен контента между приставками и другими подключенными устройствами, а также обеспечить потоковое вещание через домашнюю Wi-Fi-сеть на другие экраны. Для этого используется архитектура Nagra JoinIn на базе индустриальных стандартов.

Давид Мординсон: Отвечая на этот вопрос, следует дифференцировать его для двух категорий приставок: устаревших и новых, с более продвинутыми спецификациями. Так как технический уровень STB диктует нам, какая защита необходима, то, чем выше функционал приставки, тем более высокий уровень защиты требуется. Лучшую защиту дает комбинация из программного и аппаратного решений. «Железо» обеспечивает удовлетворительную защиту премиального контента, тогда как программная составляющая обеспечивает гибкость решения и потенциал его развития на будущее.

Если говорить о минимальных требованиях к оборудованию, то наши рекомендации таковы: нужно использовать сертифицированный Secure Video Processor, выпускаемый серийно вендором CAS/DRM (а не в общей серии) с трехуровневой схемой ключей, защитой загрузчика и закрытым JTAG. Продвинутые программные технологии безопасности, например для приставок на Linuх, должны включать в себя запутывание кода, самоконтроль целостности, концепцию движущегося объекта (постоянное изменение места и времени размещения программных элементов) и т.п.

 

ТС: В чем заключается особенность системы защиты приставок STB на основе чипсетов Android?

Кристофер Шаутен: В то время как Android включает в себя эффективную архитектуру безопасности, она не лишена уязвимости, и операторы должны принимать это во внимание. Высокая популярность Android делает устройства на этой ОС привлекательными для хакеров, активно ищущих точки уязвимости. Чем более широко используется Android, тем больше возможностей у пиратов и хакеров. Открытость платформы Android при ее взаимодействии с Интернетом приводит к уязвимости для взлома и дает потенциальную возможность для выведения ТВ-приставки из строя или захвата операторской платформы ТВ-приставок для последующего шантажа.

Хакеры будут пытаться проникнуть в STB по открытым каналам или использовать непреднамеренное скачивание пользователем приложений, содержащих вредоносное ПО. Если Android-среда приставки скомпрометирована, то DVB-часть ТВ-приставки также подвергается риску атаки. Защита таких приставок заключается в закрытии дыр в системе безопасности и в разделении разных сред друг от друга. Здесь нужно применять аппаратные решения, основанные на передовых технологиях, которые не допустят влияния IP-приложений приставки на безопасность DVB-части.

Давид Моринсон: Популярность платформ на Android растет, поэтому инструменты взлома становятся доступнее, упрощается получение прав суперпользователя (rooting ) для манипулирования устройством, поэтому существует необходимость решения, которое исключит эти риски экономически целесообразным образом. Сisco предлагает соответствующие решения.

Ола Сандстад: Система Android обладает достаточно надежной архитектурой защиты. Несмотря на это, точки уязвимости все же существуют, и операторы должны это учитывать. Интерес хакеров к устройствам на основе Android и их попытки использовать эти бреши в защите вызваны именно популярностью системы Android. Чем более широко будет распространяться система Android, тем больше будет вероятность того, что атаки пиратов и хакеров окажутся удачными.

Открытая и доступная из сети Интернет среда Android, применяемая в приставках STB, провоцирует хакерские атаки, в результате которых может полностью отключиться STB или даже может быть взломана операторская платформа STB с целью шантажа оператора. Это достигается проникновением в STB через открытые каналы или при непреднамеренной загрузке абонентом приложений, содержащих вредоносное ПО. Когда Android-платформа приставки скомпрометирована, то риску атаки подвергается и ее вещательная платформа.

Основная проблема в том, что требования Google в части лицензирования системы Android — Compatibility Definition Document (CDD) — могут противоречить требованиям безопасности, предъявляемым к гибридным приставкам STB владельцами контента. Эти конфликты могут приводить к образованию опасных брешей в системах защиты.

В соответствии с требованиями Android CDD поддержка таких процессов, как ADB (Android Debug Bridge), и связанных с ним сервисов, платформ Monkey, Systrace, поддержка внешних USB-хостов для портов USB-A и Bluetooth в системе Android TV являются обязательными. Это делает непростой задачей выполнение требований к защите клиентских приставок STB, предъявляемых владельцами контента.

Вместе с лицензией GMS (Google Mobile Services) операторы получают «полный пакет», а именно все приложения и службы, которые Google предлагает через Google Play Store. Однако получить лицензию GMS можно только при полном соответствии приемника требованиям Android CDD и его беспрепятственном доступе ко всем приложениям Google Play Store. Операторы не имеют права блокировать приложения, доступные на этом ресурсе. Это создает предпосылки для внедрения в приемное устройство вредоносного ПО. Хотя приложения, добавляемые в Google Play Store, должны иметь цифровую подпись и сертификат подлинности, полный контроль над миллионом приложений, размещаемых в Google Play Store, представляется трудной задачей.

С точки зрения безопасности все, что не требуется для работы STB, следует заблокировать, минимизировав потенциальные варианты атаки, а операторам желательно иметь полный контроль над предлагаемыми приложениями. Но при использовании Android такой сценарий представляется маловероятным и операторы должны искать другие способы устранения слабых мест в системе защиты.

К стандартным технологиям изоляции относятся «песочницы» (sandbox), контейнеры и собственные системы изоляции Linux, такие как ARM TrustZone, а также закрытые брандмауэром сетевые коммуникационные каналы между контейнерами и отдельными и выделенными процессорами системы защиты.

«Песочницы» и контейнеры Linux позволяют пользователю одновременно запускать разные процессы, которые не могут влиять друг на друга; при этом гарантируется, что программные приложения и процессы будут локализованы в особой области гибридной приставки STB. Это необходимо для защиты гибридной приставки STB от неизвестных или вредоносных приложений и ПО. При этом такую область можно использовать как «безопасную зону» для оценки уровня безопасности приложений и другого ПО, в том числе различных обновлений. Сетевой обмен между этими контейнерами регламентируется уникальными правилами брандмауэра.

Область TrustZone и аналогичные собственные решения могут обеспечить высокий уровень изоляции между вещательной платформой и ОТТ-средой в гибридной приставке STB. Однако эти программные решения безопасности при всех их преимуществах не дают уровня защиты, достигаемого с помощью аппаратных решений.

Компания Conax уверена, что разделение необходимо усиливать. Она предлагает уникальное аппаратное решение по разделению сред, эффективность которого выше в сравнении со стандартными решениями разделения, доступными на сегодняшний день.

ТС: Как вы оцениваете уровень безопасности платформ Smart TV?

Эйнар Вогму: Системы интеллектуального телевидения (Smart TV) являются еще одним примером высокофрагментированной среды с многочисленными платформами, поддерживающими различные форматы потоковой передачи и системы DRM. Первая система Smart TV была запущена в 2009 году и имела ограниченный функционал. С тех пор появилось несколько поколений платформ, в том числе Samsung Smart Hub и Tizen, LG Web OS и NetCast, платформы Viera от компании Panasonic и т.д. Несмотря на то, что в 2010—2011 годах системы DRM были добавлены в большинство из перечисленных платформ, некоторые из них отличаются ограниченным уровнем безопасности и неполной функциональностью. Чтобы предоставлять услуги с использованием на этих платформах, необходимо знать, какие функции и характеристики они поддерживают в плане форматов потоковой передачи, режимов работы плеера, а также иметь представление о способе реализации клиента DRM и методах его защиты. Как и на других платформах, для этого существуют более или менее безопасные способы.

Давид Мординсон: Принимая во внимание то, что Smart TV создается и контролируется ТВ-вендорами, его безопасность можно считать достаточной, как у любой должным образом спроектированной системы. Тот факт, что Smart TV имеет встроенный плеер с аппаратными компонентами, позволит в дальнейшем усиливать безопасность воспроизведения.

Сегодня главная проблема в этом поле — не слабые места в безопасности плееров Smart TV, а фрагментация этого рынка. Поддержка Smart TV в последнее время становится обязательным требованием для ОТТ-платформ. VideoGuard Everywhere с его multi-DRM-компонентом может предоставить решение по безопасности, подходящее для различных вендоров. Но развертывание приложений на Smart-TV-платформах разных вендеров требует индивидуальной разработки для каждой платформы/модели, что очень дорого.

 

Кристофер Шаутен: Существующий уровень безопасности тесно связан с внедрением доминирующей и интегрированной в Smart TV DRM Microsoft PlayReady. Эта DRM не отвечает новым требованиям к защите контента, установленным Голливудом, — Advanced Content Protection. Одно из ключевых требований — безопасность прохождения видео на основе аппаратных средств безопасности — не может быть реализовано до тех пор, пока производитель CAS или DRM не сможет использовать всю аппаратную часть чипсета (Root of Trust), используемого в Smart TV. Производитель SoC MStar с начала следующего года внедряет технологию NAGRA NOCS во все Smart TV стандарта 4К. Это даст операторам платного ТВ возможность предлагать свои услуги на Smart TV с той же легкостью, с которой это делают OTT-операторы, такие как Netflix, сохраняя контроль за безопасностью телевизора и домашнего домена.

Анна Бителева

© Телеспутник

Комментарии

Оставить сообщение