Come fanno i pirati a eludere le protezioni di Netflix e di altri servizi simili?

Ma dietro le quinte si sta svolgendo una battaglia tra multinazionali da miliardi di dollari (Netflix, Disney+, ecc.), armate di algoritmi di crittografia all'avanguardia, e gruppi di pirati che cercano di mettere le mani su contenuti gratuiti.

Quando una nuova serie uscita solo poche ore fa appare sui siti pirata, ci si può solo chiedere come i pirati riescano a superare in astuzia i giganti del cinema ogni volta. Hanno persino più successo di gruppi di pirati che preparano "crepe" per i giochi.

Cos'è esattamente il DRM?

Per capire come i pirati aggirano le protezioni, dobbiamo prima capire cosa stanno attaccando. L'acronimo chiave è DRM (Digital Rights Management). Si potrebbe dire che è un lucchetto, ma è una definizione troppo generica. In sostanza, è un intero ecosistema di protocolli che determinano chi può guardare determinati contenuti, dove e come.

Il più diffuso tra questi è Widevine di Google, utilizzato dalla maggior parte delle piattaforme di streaming (Netflix, Disney+, HBO Max). Esistono anche FairPlay di Apple e PlayReady di Microsoft. Questi sistemi funzionano crittografando un file video, che il browser o il dispositivo smart può decifrare solo se possiede una chiave digitale valida.

L1, L2, L3... Cosa significano queste sigle?

Widevine L3 è il livello di protezione più debole. La decrittazione avviene interamente a livello software (nel browser). Poiché le chiavi transitano attraverso la memoria di sistema, sono relativamente facili da intercettare. Il risultato? Netflix limita la risoluzione a 480p o a un massimo di 720p sui dispositivi con protezione L3.

Widevine L1 è il Santo Graal della protezione DRM. La decrittazione avviene in un ambiente di elaborazione isolato e sicuro (TEE). Le chiavi non lasciano mai l'hardware in un formato leggibile. Ciò consente la riproduzione 4K con supporto HDR.

I pirati non si preoccupano di decifrare l'algoritmo AES-128 (Advanced Encryption Standard a 128 bit), che è uno degli algoritmi di crittografia dei dati più utilizzati al mondo. Con l'attuale potenza di calcolo, ci vorrebbero millenni. Piuttosto, cercano modi per aggirarlo.

Un attacco al cuore stesso dell'hardware

Recenti rivelazioni negli ambienti della sicurezza, in particolare ricerche come il progetto Wideshears, hanno dimostrato che nemmeno il livello L1 è impenetrabile. Mentre i metodi precedenti si basavano sull'intercettazione delle chiavi tramite software (livello L3), Wideshears prende di mira direttamente il Qualcomm Trusted Execution Environment (QTEE).

Wideshears sfrutta le vulnerabilità delle cosiddette Applicazioni Affidabili (TA) che vengono eseguite all'interno del processore. Gli hacker hanno scoperto di poter provocare fughe di informazioni tramite comandi specifici nella memoria.

Il processo prevede la ricerca di vulnerabilità nel TA, ovvero l'identificazione di errori nel codice che gestisce le chiavi all'interno dell'area protetta del processore. Successivamente, è necessario estrarre la cosiddetta chiave radice o Keybox, univoca per ogni dispositivo. Grazie ad essa, i pirati possono ricreare l'intero processo di decrittazione sul proprio computer. Infine, si procede all'estrazione dei dati dall'SFS (Secure File Storage). Con l'aiuto di Wideshears, i ricercatori e i pirati sono riusciti a ottenere i dati dall'area di archiviazione sicura, dove sono memorizzati i certificati più protetti.

Ciò significa che i pirati non hanno più bisogno di accedere fisicamente allo schermo per "registrare", ma possono invece scaricare direttamente il file 4K originale e non alterato utilizzando queste chiavi hardware rubate.

Chi ha più munizioni?

La maggior parte delle versioni pirata moderne etichettate WEB-DL si basa sull'utilizzo di chiavi CDM (Content Decryption Module) rubate. I gruppi di pirati (EVO, NTG o, più recentemente, le cellule di Anonymous) sfruttano le vulnerabilità di specifici dispositivi Android per il cosiddetto "CDM dumping", che consiste nello sfruttare falle di sicurezza nel kernel del sistema operativo per estrarre le chiavi di decrittazione dal processore.

Una volta che un gruppo di pirati ottiene una chiave Widevine L1 valida, il loro software può convincere i server di Netflix che il loro computer è in realtà una smart TV certificata o uno smartphone di fascia alta. Il server invia quindi il video nella massima qualità possibile (4K, Dolby Vision), che i pirati semplicemente memorizzano in forma non crittografata utilizzando la chiave rubata.

Netflix e Google non sono impotenti. Quando si accorgono che un determinato certificato viene utilizzato per la pirateria di massa, lo revocano, ed è per questo che la pirateria di film e serie TV, soprattutto in risoluzione 4K, è diventata una questione economica e di gestione delle scorte. Ogni chiave CDM (certificato) rubata che consente l'accesso a contenuti 4K ha una durata limitata. Non appena un gruppo di pirati pubblica un film in 4K, i sistemi di sicurezza di Netflix rilevano l'utilizzo di tale certificato e lo inseriscono nella blacklist entro pochi giorni (a volte anche poche ore).

Ecco perché i gruppi di pirati spesso riservano le loro chiavi L1 migliori per le grandi uscite (una nuova stagione di Stranger Things o House of the Dragon). Le serie meno importanti vengono pubblicate solo in 1080p, che utilizza le chiavi L3, meno preziose ma più facili da sostituire. Lo chiamano "risparmiare munizioni".

Quando Netflix e altri si aggiudicano i diritti, i gruppi di pirateria sono costretti a rilasciare un file etichettato come WEB-Rip. In questo caso, devono utilizzare potenti schede di acquisizione che intercettano il segnale video in uscita dal dispositivo tramite un cavo HDMI. Sebbene questi dispositivi siano dotati di HDCP (High-bandwidth Digital Content Protection), esistono degli splitter che rimuovono questa protezione. L'immagine viene quindi ricodificata, causando solo una minima perdita di qualità, ma agli occhi dei puristi della pirateria, il WEB-Rip non raggiunge mai lo status di WEB-DL.

Oppure pirati? ore e ore Stanno guardando la TV?

Certo che no. Immaginate se ogni singola persona dovesse decodificare manualmente ogni serie o film presente sulle piattaforme di streaming. Impossibile. Invece, si utilizzano script che automatizzano in gran parte il processo.

Lo script avvia un accesso a Netflix utilizzando un account valido (rubato o acquistato). Recupera automaticamente i metadati, seleziona i contenuti e verifica tutte le lingue di sottotitoli e audio disponibili. Al momento dell'autorizzazione della licenza, lo script utilizza una chiave CDM valida presente nel database. Successivamente, scarica frammenti video crittografati, che vengono decrittografati in tempo reale e assemblati in un file finale (solitamente in formato .mkv). Non appena il file è pronto, viene caricato automaticamente su server privati (seedbox), da dove viene distribuito a siti pubblici e privati tramite torrent.

Quanto tempo richiede l'intero processo? Cinque minuti o meno per un episodio di 45 minuti della serie.

Perché Netflix non riesce a stroncare la pirateria?

Può sembrare strano che aziende con budget miliardari non riescano a fermare un gruppo di hacker. La ragione risiede nella natura stessa della distribuzione digitale. Affinché un utente possa visualizzare un contenuto, il suo dispositivo deve decifrarlo. E ovunque avvenga la decrittazione di un contenuto, esiste la possibilità teorica che questo processo possa essere intercettato.

Inoltre, Netflix sta combattendo una battaglia su mille fronti. Deve supportare qualsiasi dispositivo, dagli iPhone più recenti alle smart TV di 10 anni fa e ai box Android TV economici provenienti dalla Cina. Ognuno di questi dispositivi rappresenta un potenziale punto debole. Se Netflix bloccasse completamente l'accesso a tutti i dispositivi tranne quelli più sicuri, perderebbe milioni di abbonati che possiedono apparecchiature obsolete. I pirati sfruttano proprio questa lacuna tra sicurezza e accessibilità.

L'intelligenza artificiale sta aiutando anche i pirati

Nei rari casi in cui i gruppi di pirateria non riescono a eludere i giganti dello streaming e a impedire la diffusione di film e serie in 4K, rimane sempre l'opzione dell'"upscaling". Come accennato in precedenza, i contenuti a 1080p sono molto più facili da intercettare rispetto a quelli in 4K. In questo caso, è possibile utilizzare modelli di interfaccia utente per aumentare artificialmente la risoluzione a 4K, eliminando al contempo il rumore e migliorando la nitidezza.

I risultati sono talvolta così buoni che l'utente medio non riesce a distinguere tra il trasferimento 4K originale e il filmato migliorato tramite l'interfaccia utente.

Le filigrane si nascondono in profondità nei pixel

Poiché la protezione tecnologica spesso fallisce, Netflix e altre piattaforme si stanno rivolgendo alla marcatura forense. Si tratta di firme digitali invisibili incorporate nel segnale video. Questi caratteri sono unici per ogni abbonato o regione.

Se una copia pirata compare online, gli ingegneri di Netflix possono analizzare il file e determinare da quale account è stato rubato il contenuto. Tuttavia, i pirati hanno sviluppato delle contromisure: algoritmi che confrontano diverse registrazioni dello stesso contenuto e rimuovono gli elementi non comuni a tutte (ad esempio, le filigrane).

Questa guerra può avere un vincitore assoluto?

La battaglia per decrittare Netflix è un classico esempio di corsa agli armamenti tecnologici. Ogni volta che le aziende costruiscono un muro più alto, i pirati usano una scala più lunga o scavano un tunnel sotterraneo. Sebbene i sistemi DRM come Widevine L1 siano estremamente avanzati, la sicurezza perfetta non esiste.

Probabilmente non ci sarà un vincitore assoluto in questa guerra. Dieci anni fa, agli albori dell'industria dello streaming, si diceva che la pirateria fosse vicina all'estinzione. Non perché non riuscissero a eludere le protezioni, ma perché l'offerta legale era valida e accessibile. Da allora, tutti i fornitori di contenuti in streaming hanno regolarmente aumentato i prezzi, ridotto l'offerta, frammentato il servizio e così via. L'idea di dover essere abbonati a tre o più piattaforme di questo tipo non è più così allettante (e conveniente) come un tempo.

E questo non fa che alimentare la pirateria, che è di nuovo in aumento.