Чтобы установить Silverlight, щелкните здесь.*
РоссияИзменить|Все веб-узлы корпорации Майкрософт
Microsoft
|Международная

Исправление для предотвращения вскрытия с помощью программы Freeme

Уведомление владельцев и поставщиков услуг содержимого об исправлении для предотвращения вскрытия с помощью программы Freeme.exe

Ситуация
Специалисты корпорации Майкрософт провели оценку программы Freeme.exe, опубликованной 19 октября 2001 года на веб-узле The Register, и подтвердили, что программа Freeme может использоваться для вскрытия защиты приобретенного или лицензированного пользователями содержимого, защищенного с помощью технологии управления цифровыми правами Windows Media версии 7 (включая 7.1). Важно заметить, что это нарушение безопасности не представляет собой угрозы с точки зрения пиратского использования личных данных на компьютерах пользователей. Кроме того, это нарушение безопасности затрагивает только содержимое, защищенное с помощью набора разработчика SDK для Windows Media Rights Manager версии 7, а не версии 1.

Специалисты корпорации Майкрософт также подтвердили, что это нарушение безопасности будет обнаружено при получении действующей лицензии. Это означает невозможность преодоления системы защиты содержимого, которое не было лицензировано или приобретено пользователем, так как если содержимое защищено с помощью технологии управления правами Windows Media, то пользователь получает лицензию отдельно от содержимого.

Корпорация Майкрософт очень серьезно относится к любым нарушениям безопасности в системе управления цифровыми правами. Ее основной целью является обеспечение защиты продуктов от хакеров сегодня и в будущем. Так как любая система управлений цифровыми правами может быть скомпрометирована, корпорация Майкрософт разработала такую систему, которая поддерживает динамические обновления для подобных случаев вскрытия защиты. Для этого механизма обновлений не требуется установка новой версии проигрывателя Windows Media или набора разработчика SDK для формата Windows Media.

Корпорация Майкрософт выпустила исправление от вскрытия с помощью программы Freeme, а также усилила систему безопасности, чтобы усложнить будущим хакерам использование уже опубликованных данных.


Краткие сведения об исправлении
Устранить это нарушение безопасности в системе управления цифровыми правами Windows Media можно с помощью восстановления - процедуры, во время которой скомпрометированный компонент системы безопасности Windows Media (особенно модуль содержимого, защищенный с помощью подсистемы управления цифровыми правами) заменяется новым безопасным модулем. При этом пользователю потребуется обновить компоненты системы безопасности, чтобы можно было воспроизводить защищенное содержимое, загруженное от владельца или распространителя содержимого. Однако эта процедура разработана таким образом, что не нужно предоставлять никакие сведения о пользователях или используемом ими содержимом.

Процедура исправления для защиты от вскрытия с помощью программы Freeme включает следующие этапы:
  • упаковка нового содержимого или повторная упаковка уже зашифрованного содержимого для запроса обновленного компонента системы безопасности;
  • обновление серверов лицензий для запуска процедуры обновления и выдачи лицензий для обновленных компонентов;
  • обновление компонента системы безопасности в проигрывателе Media во время приобретения пользователями защищенного содержимого.

Для обновления системы управления цифровыми правами Windows Media необходимо выполнить три следующие шага.
  1. Обновление заголовка содержимого. При упаковке нового или повторной упаковке существующего содержимого добавьте или измените идентификатор версии компонента системы безопасности (специалисты также называют его "номером версии индивидуализации") в заголовке содержимого, чтобы запустить обновление компонента системы безопасности.
  2. Обновление сервера лицензий. Обновите сертификат на сервере лицензий, чтобы он мог выдавать лицензии новым компонентам системы безопасности.
  3. Запуск обновления. Запустите обновление компонента системы безопасности, когда клиент посылал запрос на сервер лицензий.

В начало страницы В начало

Сведения о реализации:
Обязательно следует выполнить следующие шаги для защиты от вскрытия с помощью программы Freeme. Первый шаг обновления заголовка содержимого могут выполнить владельцы содержимого или поставщики лицензий, а второй и третий шаги должны выполнять поставщики лицензий. Владельцам содержимого настоятельно рекомендуется выполнить повторную упаковку всего содержимого с помощью самой последней версии компонента системы безопасности 2.2, чтобы гарантировать его защиту.

1. Обновление заголовка содержимого
Эта процедура выполняется организацией, которая упаковывает содержимое. В этом шаге упаковщик содержимого добавит атрибут или изменит его, если он уже использует "индивидуализацию", в заголовок защищенного файла Windows Media. Обратите внимание, что эта процедура ОТЛИЧАЕТСЯ от повторного шифрования содержимого.

Чтобы обновить заголовок, выполните следующие инструкции:
В заголовке защищенного содержимого установите для свойства WMRMHeader.IndividualizedVersion значение "2.2". Это свойство WMRMHeader.IndividualizedVersion показывает самую низкую версию компонента системы безопасности управления цифровыми правами Windows Media, которая необходима для воспроизведения этого содержимого. Если для этого свойства установлено значение 2.2, клиенты будет вызывать подсистему управления цифровыми правами для проверки правильности версии своего компонента системы безопасности. Если в подсистеме имеется индивидуализированный компонент системы безопасности с номером версии 2.2, то сервер лицензий сможет выдать лицензию, связанную с общим ключом нового компонента системы безопасности.

2. Обновление серверов лицензий
Каждый поставщик лицензий должен обновить конфигурацию своего сервера лицензий, чтобы гарантировать, что:
  • он не выдает лицензии пользователям, имеющим скомпрометированные компоненты системы безопасности на своих ПК;
  • он может выдавать лицензии пользователям, имеющим обновленные компоненты системы безопасности на своих ПК.

Чтобы обновить конфигурацию, выполните следующие действия.
  1. С компьютера, на котором запущен сервер лицензий, перейдите на веб-узел http://licenseserver.windowsmedia.com/.
  2. На этой странице щелкните ссылку "Download the latest License Server information", чтобы автоматически обновить конфигурацию сервера лицензий.

Кроме того, конфигурацию серверов лицензий можно обновить вручную, выполнив следующие действия.
  1. Создайте новый ключ реестра "2.2.0.1" в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys.

  2. Для вновь созданного ключа реестра укажите значение "WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fw=="

  3. Установите для ключа реестра "2.1.0.0" в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys значение "WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy=="

  4. Установите для ключа реестра "2.1.0.1" в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WM Rights Manager\LicenseServer\VerificationKeys значение "WRZPSd6hM7Q9ZakF9NO3ydZA7UN888SR*!j!cH!wrd18zsbXVdR4fy=="

ПРИМЕЧАНИЕ. При этом сервер лицензий не будет выдавать лицензии для устаревших компонентов.

ПРИМЕЧАНИЕ. Если сервер лицензий не обновлен (с помощью вышеописанных шагов), а обновленный клиент (клиент, обновленный с помощью нового компонента безопасности) выполняет запрос на сервер лицензий, то на сервере лицензий произойдет сбой и клиент получит сообщение об ошибке. Обязательно обновите (или попросите об этом соответствующего сотрудника) сервер лицензий, чтобы обновленные клиенты смогли получать лицензии.

3. Запуск обновления нового компонента системы безопасности на сервере
В этом шаге выполняется обновление сервера лицензий, чтобы он мог определять номер версии компонента безопасности управлений цифровыми правами, то есть выполнял запрос лицензии, а также перенаправление на веб-страницу обновлений, если версия компонента ниже "2.2.0.1".

Когда проигрыватель Media запрашивает лицензию на содержимое, он отправляет данные об оборудовании на сервер лицензий. При этом не передаются никакие сведения о пользователях или используемом ими содержимом. В этих данных содержится свойство ClientAttribute (WMRMChallenge.ClientAttribute), которое называется SECURITYVERSION. Это свойство определяет версию компонента системы безопасности управления цифровыми правами. Если значение атрибута SECURITYVERSION меньше "2.2.0.1", то сервер лицензий должен перенаправить клиента на веб-страницу корпорации Майкрософт ( http://drmlicense.one.microsoft.com/Indivsite/indivit2.htm), с которой можно выполнить обновление компонента системы безопасности управления цифровыми правами на компьютерах пользователей.

Примечание. Даже если для защищенного содержимого требуется автоматическое предоставление лицензии, пользователи, получающие лицензии, будут по-прежнему получать уведомления о необходимости установки нового компонента системы безопасности. При этом для установки этого компонента будет необходимо их согласие.

Примечание. Пример сценария обновления содержимого для указания нового номера версии индивидуализации и обновления лицензии содержимого с версии 1 до версии 7.1 можно найти в наборе разработчика SDK для WMRM 7.1.

В начало страницы В начало

Возможности пользователя
Если номер версии системы безопасности в заголовке содержимого выше, чем номер версии системы безопасности модуля содержимого, защищенного на компьютере, сервер лицензии направит пользователя в службу индивидуализации корпорации Майкрософт для обновления подсистемы управлений цифровыми правами и установки нового компонента системы безопасности. Если пользовать использует проигрыватель Windows Media, то отобразится следующее диалоговое окно индивидуализации. Пользователь может выполнить обновление или отказаться от него.

Бесплатное исправление

Если щелкнуть ссылку Learn More, откроется веб-страница  http://www.microsoft.com/windows/windowsmedia/software/v8/privacy.asp, на которой можно получить сведения о политиках конфиденциальности корпорации Майкрософт.
  • Если пользователь решит не выполнять обновление, он не сможет приобретать или воспроизводить новое содержимое, для которого требуется самая высокая версия системы безопасности.
  • Если пользовать решит выполнить обновление, то служба индивидуализации загрузит на его компьютер новый модуль защищенного содержимого (содержащий исправление размером приблизительно 110 КБ). Затем сервер лицензий может выдать лицензию, связанную с общим ключом вновь загруженного модуля защищенного содержимого.

В начало страницы В начало

Лучшие решения
Кроме вышеописанных процедур, рекомендуется использовать лучшие решение, описанные в наборе разработчика SDK для Windows Media Rights Manager. Вот некоторые из них.
  1. Используйте для шифрования каждой части содержимого мультимедиа собственный уникальный ключ.
  2. Периодически изменяйте начальное значение для генерации ключа.
  3. Выдавайте только лицензии с использованием системы управления цифровыми правами Windows Media 7.1.
  4. Используйте динамические заголовки для содержимого, чтобы обеспечить возможность быстрого обновления содержимого в будущем.

В начало страницы В начало


 

Microsoft