www.MegaLab.it

Protected Media Path, Protected Environment e software revocati

Uno dei sistemi di controllo più efficienti per la limitazione delle facoltà di scelta dell'utente escogitato da Microsoft per Windows Longhorn/Vista è il Protected Media Path. Il PMP è un progetto derivato dalla precedente iniziativa di Redmond chiamata Secure Audio Path, lavora sia sull'audio che sul video, offre un livello di sofisticazione maggiore e garantisce che l'implementazione di restrizioni DRM per i contenuti audiovisivi risulti significativamente più efficace.

I partecipanti al WinHEC hanno descritto l'iniziativa PMP come sostanzialmente motivata dallo sforzo di convincere gli Studios di Hollywood ad autorizzare la fruizione dei DVD di nuova generazione (Blu-ray o HD DVD che siano) su piattaforme Windows. Secondo i ricercatori, senza lo sforzo della maggior parte dell'industria informatica per venire incontro alle richieste degli Studios, c'è il rischio che i PC basati su Windows vengano tagliati fuori dal mercato prossimo venturo dei contenuti ad alta definizione. Giustificazione francamente debole per la bugia che porta con sé, visto che una cosa del genere non si è mai vista in passato e sarebbe tutta da verificare, ma Microsoft evidentemente pensano che una balla neanche tanto ben congegnata basti a giustificare al pubblico questo genere di ricerche, e tant'è...

Controllo selettivo dell'output e restrizioni "kernel level"

Lo schema del Protected Media Path include tutta una serie di caratteristiche che Microsoft pianifica di introdurre col tempo. Una di queste è COPP, che permette alle applicazioni di disabilitare selettivamente l'uso di particolari schede video o di un particolare canale di output su dette schede. Tale funzionalità, definita come "controllo selettivo dell'output" nel settore dell'elettronica di consumo, dà la possibilità al software e ai media cifrati di negare la compatibilità e l'esecuzione con hardware che non includa simili funzionalità. Infatti, se un produttore non implementa il controllo selettivo dell'output sulla sua scheda video, tale scheda non riceverà mai il logo "Windows approved", e potrebbe venire intenzionalmente esclusa dal supporto delle applicazioni basate su DRM che gireranno su Vista. Inoltre, PMP permetterà di gestire l'autenticazione e la comunicazione protetta del software con le periferiche secondo le specifiche che verranno pubblicate dal TCG, specifiche di cui abbiamo precedentemente parlato.

Esiste poi un ulteriore livello di restrizione, ancora più invasivo ed inappellabile, creato dalla tecnologia PMP: un layer di esecuzione "sicura" a livello di kernel, in cui opereranno driver e programmi certificati da Microsoft, chiamato Protected Environment. Tutti i componenti caricati nell'ambiente Protected Environment dovranno essere certificati e autenticati. Inoltre, il codice di programma dovrà essere realizzato seguendo le politiche imposte da Microsoft, e dovrà passare il vaglio di Redmond per poter girare nel PE.

Molto significativamente, il Protected Environment sarà soggetto ad una "Global Revocation List", gestita da Microsoft e distribuita, in revisioni successive, attraverso Windows Update e altri canali. Se un software appare nella revisione attualmente installata della global revocation list, PE non lo caricherà, o avvertirà le applicazioni che un componente revocato è stato caricato sul sistema.

Nell'ottica del PE, i driver che lavorano a livello di kernel potranno essere classificati in tre categorie diverse. Prima di tutto vi sono i driver pensati per essere eseguiti esclusivamente nel PE. Tali driver dovranno essere certificati e sottoposti a licenze restrittive, il codice dovrà essere vagliato dai controllori Microsoft che potranno, a totale discrezione dell'azienda, qualora parte di tale codice sia stata scritta in contravvenzione con le pratiche di coding accettate e incoraggiate da Redmond, revocare la certificazione.

In seconda istanza, vi sono i driver che non sono stati pensati per lavorare nel PE. Anche se tali driver non c'entrano un fico secco con le restrizioni DRM o non utilizzano funzioni di output di alcun tipo, Microsoft richiede che essi siano certificati, e si riserva il diritto di revocare la certificazione a proprio piacimento. Ad esempio, se Microsoft decide che un driver di una periferica di memorizzazione esterna su porta USB non è il linea con i suoi standard di sicurezza (magari perché il driver permette a programmi come i debugger di ottenere privilegi kernel-level), il driver può essere inserito nella revocation list. Se un driver viene revocato, l'ambiente PE non può più essere stabilito sul sistema su cui esso viene caricato. Così, se l'utente deve eseguire applicazioni che necessitino del PE per funzionare (come ad esempio i software per la fruizione dei contenuti ad alta definizione di cui parlavamo all'inizio), egli sarà fortemente incentivato a non utilizzare driver presenti nella Global Revocation List. Infine, sul gradino più basso vi sono i driver non certificati, che saranno inseriti di default nella lista dei componenti revocati.

Cosa importante da sottolineare, i driver che non sono ancora stati vagliati da Microsoft e che quindi non risultano certificati o revocati, possono comunque essere caricati anche in presenza del PE, almeno fin quando non arrivano all'attenzione di Microsoft. Come conseguenza pratica, gli utenti possono continuare a produrre software che vìolano le policy di sicurezza del PMP fintanto che questi stessi software non divengono di pubblico dominio.

Eliminare le possibili scappatoie

Allo stato attuale del progetto, il Protected Media Path (con inclusivo il PE) inserito in Windows Vista non farà uso delle capacità dell'hardware del Trusted Computing per impedire il reverse engineering, quindi sono ancora possibili attacchi di tipo software ai meccanismi di protezione, ancorché questi siano stati resi più resistenti ed efficaci in virtù del loro funzionamento ad un più basso livello di astrazione rispetto al codice macchina che controlla da vicino l'hardware del PC. Nulla vieta di ipotizzare però che future versioni o Service Pack di Windows potrebbero cominciare ad utilizzare il Trusted Platform Module, il modulo per la comunicazione cifrata e protetta tra hardware e software recentemente integrato da Intel nei suoi Pentium D, per impedire la modifica del codice di controllo del PMP, e a quel punto la cosa si farebbe molto più complicata (addirittura, si parla dell'uso del TPM per il Windows Product Activation di Windows Update, cosa che, se si realizzasse, renderebbe virtualmente impossibile escludere l'uso del chip mentre si continua ad usare Windows).

Il PE stabilito dal Protected Media Path con la "Global Revocation List" è esattamente quel che Microsoft ha sempre sognato, perché dà un potere enorme Compagnia (e alle Major) per obbligare l'utente ad utilizzare solo il software che piace a Redmond. In un ambiente siffatto, ad esempio, se l'utente non utilizza i Media Player certificati, potrà essere costretto a dover disinstallare i software non certificati per poter usufruire dei contenuti ad alta definizione.

Nonostante ciò, la possibilità di raggirare i controlli e infrangere il copyright è comunque ancora presente. È possibile, in linea teorica, creare e certificare driver che "rompono" deliberatamente lo schema di controllo di PMP/PE ed essi risulteranno efficaci fintantoché Microsoft non saprà nulla della loro esistenza. Persino se Microsoft venisse a conoscenza del driver e lo includesse nella revocation list, basterebbe utilizzare una revisione precedente della lista in cui il driver "grimaldello" passi inosservato per fregare PMP/PE.

Appare evidente, allo stato attuale delle considerazioni che è possibile fare sulla tecnologia, che chi ha potere avrà ancora più potere, e potrà controllare in modo estensivo in che maniera l'utente potrà utilizzare il sistema. Nel mentre, non fermerà di certo chi ad esempio vorrà, avendone le capacità, produrre copie non protette di film originali e rilasciarle al pubblico.