Wie umgehen Piraten die Schutzmechanismen von Netflix und anderen Anbietern?

Hinter den Kulissen tobt jedoch ein Kampf zwischen milliardenschweren Konzernen (Netflix, Disney+ usw.), die mit modernsten Verschlüsselungsalgorithmen ausgestattet sind, und Pirateriegruppen, die nach Wegen suchen, um an kostenlose Inhalte zu gelangen.

Wenn eine neue Serie, die erst vor wenigen Stunden erschienen ist, auf Piratenseiten auftaucht, fragt man sich unwillkürlich, wie es den Piraten immer wieder gelingt, die großen Filmstudios auszutricksen. Sie sind sogar noch erfolgreicher als diese. Piratengruppen, die "Risse" für Spiele vorbereiten.

Was ist DRM überhaupt?

Um zu verstehen, wie Raubkopierer Schutzmechanismen umgehen, müssen wir zunächst verstehen, was sie angreifen. Die zentrale Abkürzung ist DRM (Digital Rights Management). Man könnte es als Schloss bezeichnen, aber das ist zu allgemein. Im Wesentlichen handelt es sich um ein ganzes Ökosystem von Protokollen, die festlegen, wer welche Inhalte wo und wie ansehen darf.

Am weitesten verbreitet ist Googles Widevine, das von den meisten Streaming-Plattformen (Netflix, Disney+, HBO Max) verwendet wird. Daneben gibt es Apples FairPlay und Microsofts PlayReady. Diese Systeme verschlüsseln eine Videodatei, die Ihr Browser oder Ihr Mobilgerät nur mit einem gültigen digitalen Schlüssel entschlüsseln kann.

L1, L2, L3... Was bedeuten diese Markierungen?

Widevine L3 ist die schwächste Schutzstufe. Die Entschlüsselung erfolgt ausschließlich auf Softwareebene (im Browser). Da die Schlüssel über den Arbeitsspeicher übertragen werden, lassen sie sich relativ leicht abfangen. Die Folge: Netflix beschränkt die Auflösung auf Geräten mit L3-Schutz auf 480p oder maximal 720p.

Widevine L1 gilt als der Nonplusultra des DRM-Schutzes. Die Entschlüsselung erfolgt in einer isolierten, sicheren Prozessorumgebung (TEE). Die Schlüssel verlassen die Hardware niemals in lesbarer Form. Dies ermöglicht die 4K-Wiedergabe mit HDR-Unterstützung.

Piraten versuchen gar nicht erst, den AES-128-Algorithmus (Advanced Encryption Standard (128-Bit) – einer der weltweit am häufigsten verwendeten Datenverschlüsselungsalgorithmen – selbst zu knacken. Mit der heutigen Rechenleistung würde das Jahrtausende dauern. Stattdessen suchen sie nach Wegen, ihn zu umgehen.

Ein Angriff auf das Herzstück der Hardware

Jüngste Erkenntnisse in Sicherheitskreisen, insbesondere Forschungsprojekte wie Wideshears, haben gezeigt, dass selbst die L1-Schicht nicht undurchdringlich ist. Während ältere Methoden auf softwarebasiertes Key Interception (L3) setzten, zielt Wideshears direkt auf die Qualcomm Trusted Execution Environment (QTEE) ab.

Wideshears nutzt Sicherheitslücken in sogenannten Trusted Applications (TA) aus, die innerhalb des Prozessors ausgeführt werden. Hacker haben herausgefunden, dass sie durch bestimmte Befehle im Speicher Datenlecks auslösen können.

Der Prozess beinhaltet die Suche nach Schwachstellen in der TA (Technical Access) – das heißt, Fehler im Code, der die Schlüssel im sicheren Bereich des Prozessors verwaltet, müssen identifiziert werden. Anschließend muss der sogenannte Root-Schlüssel oder die Keybox extrahiert werden, die für jedes Gerät einzigartig ist. Mithilfe dieses Schlüssels können die Angreifer den gesamten Entschlüsselungsprozess auf ihrem Computer nachbilden. Schließlich erfolgt die Extraktion aus dem SFS (Secure File Storage). Mithilfe von Wideshears gelang es den Forschern und Angreifern, Daten aus dem sicheren Speicherbereich zu extrahieren, in dem die am besten geschützten Zertifikate gespeichert sind.

Das bedeutet, dass Piraten keinen physischen Zugriff mehr auf den Bildschirm benötigen, um „aufzunehmen“, sondern stattdessen die originale, unverfälschte 4K-Datei direkt mit diesen gestohlenen Hardware-Schlüsseln herunterladen können.

Wer hat mehr Munition?

Die meisten modernen Raubkopien mit dem Label WEB-DL basieren auf der Verwendung gestohlener CDM-Schlüssel (Content Decryption Module). Piratengruppen (EVO, NTG oder neuerdings Anonymous-Zellen) nutzen Sicherheitslücken in bestimmten Android-Geräten für das sogenannte CDM-Dumping aus. Dabei werden Sicherheitslücken im Betriebssystemkern ausgenutzt, um die Entschlüsselungsschlüssel vom Prozessor zu extrahieren.

Sobald die Piratengruppe einen gültigen Widevine-L1-Schlüssel erlangt hat, kann ihre Software die Netflix-Server davon überzeugen, dass ihr Computer ein zertifizierter Smart-TV oder ein High-End-Smartphone ist. Der Server sendet das Video dann in höchstmöglicher Qualität (4K, Dolby Vision), das die Piraten anschließend mithilfe des gestohlenen Schlüssels unverschlüsselt speichern.

Netflix und Google sind nicht machtlos. Sobald sie feststellen, dass ein bestimmtes Zertifikat für massenhafte Piraterie missbraucht wird, entziehen sie es. Daher ist die Piraterie von Filmen und Serien, insbesondere in 4K-Auflösung, zu einer Frage von Wirtschaftlichkeit und Verfügbarkeit geworden. Jeder gestohlene CDM-Schlüssel (jedes Zertifikat), der den Zugriff auf 4K-Inhalte ermöglicht, hat eine begrenzte Gültigkeitsdauer. Sobald eine Piratengruppe einen Film in 4K veröffentlicht, erkennen die Sicherheitssysteme von Netflix die Verwendung dieses Zertifikats und setzen es innerhalb weniger Tage (manchmal sogar Stunden) auf die Sperrliste.

Deshalb heben sich Piratengruppen ihre besten L1-Tasten oft für große Veröffentlichungen auf (z. B. eine neue Staffel von Stranger Things oder House of the Dragon). Weniger wichtige Serien werden nur in 1080p veröffentlicht, wofür die weniger wertvollen L3-Tasten verwendet werden, die leichter zu ersetzen sind. Sie nennen das „Munition sparen“.

Wenn Netflix und andere Anbieter die Oberhand gewinnen, sind Piratengruppen gezwungen, eine als WEB-Rip bezeichnete Datei zu veröffentlichen. In diesem Fall benötigen sie leistungsstarke Capture-Karten, die das Videosignal abfangen, sobald es das Gerät über ein HDMI-Kabel verlässt. Obwohl diese Geräte mit HDCP (High-bandwidth Digital Content Protection) ausgestattet sind, gibt es Splitter, die diesen Schutz aufheben. Das Bild wird anschließend neu codiert, was nur zu minimalem Qualitätsverlust führt. Dennoch erreicht WEB-Rip in den Augen von Piraterie-Puristen niemals den Status von WEB-DL.

Oder Piraten? Stunden und Stunden Schauen sie fern?

Natürlich nicht. Stellen Sie sich vor, man müsste jede einzelne Serie oder jeden Film, der auf Streaming-Plattformen erscheint, manuell entschlüsseln. Unmöglich. Stattdessen werden Skripte verwendet, die den Prozess weitgehend automatisieren.

Das Skript initiiert eine Anmeldung bei Netflix mit einem gültigen (gestohlenen oder gekauften) Konto. Es ruft automatisch Metadaten ab, wählt Inhalte aus und prüft alle verfügbaren Untertitel- und Audiosprachen. Zur Lizenzautorisierung verwendet das Skript einen gültigen CDM-Schlüssel aus der Datenbank. Anschließend werden verschlüsselte Videofragmente heruntergeladen, in Echtzeit entschlüsselt und zu einer finalen Datei (üblicherweise im MKV-Format) zusammengesetzt. Sobald die Datei fertig ist, wird sie automatisch auf private Server (Seedboxen) hochgeladen und von dort über Torrents an öffentliche und private Seiten verteilt.

Wie lange dauert der gesamte Prozess? Fünf Minuten oder weniger für eine 45-minütige Folge der Serie.

Warum gelingt es Netflix nicht, den Widerstand von Piraten zu unterdrücken?

Es mag seltsam erscheinen, dass Unternehmen mit Milliardenbudgets eine Hackergruppe nicht aufhalten können. Der Grund liegt in der Natur der digitalen Verbreitung selbst. Damit ein Nutzer Inhalte ansehen kann, muss sein Gerät diese entschlüsseln. Und überall dort, wo Inhalte entschlüsselt werden, besteht theoretisch die Möglichkeit, dass dieser Vorgang abgefangen wird.

Darüber hinaus kämpft Netflix an tausend Fronten. Das Unternehmen muss alles unterstützen, von den neuesten iPhones bis hin zu zehn Jahre alten Smart-TVs und günstigen Android-TV-Boxen aus China. Jedes dieser Geräte stellt eine potenzielle Schwachstelle dar. Würde Netflix den Zugriff auf alle Geräte außer den sichersten komplett blockieren, verlöre das Unternehmen Millionen von Abonnenten mit älteren Geräten. Piraten nutzen diese Lücke zwischen Sicherheit und Zugänglichkeit aus.

Künstliche Intelligenz hilft auch Piraten.

In den seltenen Fällen, in denen Pirateriegruppen die Streaming-Giganten nicht überlisten und 4K-Filme und -Serien nicht vor ihnen verbergen können, besteht immer noch die Möglichkeit des „Upscalings“. Wie bereits erwähnt, ist 1080p-Content um ein Vielfaches einfacher abzufangen als 4K-Material. In diesem Fall können UI-Modelle verwendet werden, um die Auflösung künstlich auf 4K zu erhöhen und gleichzeitig Rauschen zu reduzieren und die Schärfe zu verbessern.

Die Ergebnisse sind manchmal so gut, dass der durchschnittliche Benutzer keinen Unterschied zwischen der ursprünglichen 4K-Übertragung und dem durch die Benutzeroberfläche optimierten Material feststellen kann.

Wasserzeichen sind tief in den Pixeln verborgen.

Da technische Schutzmaßnahmen oft versagen, setzen Netflix und andere Anbieter auf forensische Markierung. Dabei handelt es sich um unsichtbare digitale Signaturen, die in das Videosignal eingebettet sind. Diese Zeichen sind für jeden Abonnenten bzw. jede Region einzigartig.

Wenn eine Raubkopie online auftaucht, können Netflix-Techniker die Datei analysieren und feststellen, von welchem Konto die Inhalte gestohlen wurden. Allerdings haben Raubkopierer Gegenmaßnahmen entwickelt – Algorithmen, die mehrere verschiedene Aufnahmen desselben Inhalts vergleichen und Elemente entfernen, die nicht in allen Aufnahmen vorhanden sind (z. B. Wasserzeichen).

Kann dieser Krieg einen endgültigen Sieger hervorbringen?

Der Kampf um die Entschlüsselung von Netflix ist ein Paradebeispiel für ein technologisches Wettrüsten. Jedes Mal, wenn Konzerne höhere Schutzmauern errichten, nutzen Piraten längere Wege oder graben unterirdische Tunnel. Obwohl DRM-Systeme wie Widevine L1 extrem fortschrittlich sind, gibt es keine absolute Sicherheit.

Es wird in diesem Krieg wohl keinen endgültigen Sieger geben. Vor zehn Jahren, ganz am Anfang der Streaming-Branche, hieß es, Piraten stünden kurz vor dem Aussterben. Nicht etwa, weil sie den Kopierschutz nicht knacken könnten, sondern weil das legale Angebot gut und leicht zugänglich war. Seitdem haben alle Streaming-Anbieter regelmäßig die Preise erhöht, das Angebot reduziert, fragmentiert und Ähnliches. Die Idee, bei drei oder mehr solchen Plattformen angemeldet sein zu müssen, ist nicht mehr so attraktiv (und günstig) wie früher.

Und das ist Futter für die Piraterie, die wieder auf dem Vormarsch ist.