Velkommen til DRM: Et helvede på jord, som alle forbrugere udsættes for, og som de finder sig i, ofte i langt højere grad end fornuften burde tillade.

Rettighedshavere overalt i verden frygter at nogen uretmæssigt (dvs. uden at betale for det) kommer til at gratis (dermed uretmæssigt) optage viden, underholdning eller på anden måde fornøjelse af deres intellektuelle rettigheder (primært en bog, kunstværk, film eller andet – ofte som nogen andre end dem selv – har skabt).

Derfor har man opfundet begrebet DRM – “Digital Rights Management”. Det lyder som en ledelsesform, men er en pænere måde at sige “kopibeskyttelse”, eller – i det som det i praksis er for dig – en måde at spænde så meget ben for dig, at du kun har ringe muligheder for at benytte det du har købt (eller licenseret, for du har aldrig – sådan rigtigt – købt noget som helst).

Lad mig lige fortælle dig lidt om hvad det er der sker, når nogen lægger DRM på de ting de udbyder: ærlige kunder lider.

Da CD’en kom for mere end 25 år siden, var der ingen kopibeskyttelse på. Det var et digitalt format, hvilket for første gang betød at man kunne kopiere noget uden kvalitetstab (vi glemmer lige software et øjeblik). Det kunne man ikke tidligere – når det var fra LP til kassettebånd, eller kassettebånd til kassettebånd, så blev kopien ringere end originalen.

Det betragtede rettighedshaverne som begyndelsen på enden, og da internettet begyndte at fungere ordentligt, blev der selvfølgelig også rå-kopieret i massive mængder over i MP3-format, og services som Napster, Megaupload osv. Det skete dels fordi nogen folk er nærige – men også i betragtelig grad fordi det bare var 1000 gange nemmere at skrive “Metallica” i søgefeltet på Napster, frem for at skulle ned og stå i kø hos HMV.

Der blev lavet flere forsøg med DRM på CD’ere, og der var bl.a. en kæmpe sag om Sony, som installerede et root-kit på folks computere, for at de kunne få lov til at afspille en af de 22 millioner CD’ere som Sony havde valgt at beskytte med deres hjemmebryggede DRM. Softwaren – som blev presset ned over den uvidende bruger, uden at spørge – “ringede” til Sony når man var på nettet, misbrugte andres copyrightede kode for at beskytte Sonys copyright, indsamlede folks email-adresse m.v. Det var i 2005-2006, altså for en evighed siden set inden for IT. Det endte rigtigt grimt for Sony.

Den fejl ville man ikke lave to gange, så da tiden kom til DVD’en, skulle der selvfølgelig en “officiel” DRM på. Det betød at man krypterede hele disc’en, og gjorde det sværere at kopiere selve skiven. Problemet er at for at kunne se indholdet, skal indholdet jo dekodes. Så man lavede en “hemmelig” chip, som kom i alle DVD-afspillere, indeholdt en nøgle og en process til at afkode det hele. Det tog godt nok 3 år, før nogen brækkede koden ud af en DVD afspiller, men så var det også game over for den beskyttelse. Det blev kendt som DeCSS, og der var meget juridisk armlægning omkring dette. Men uanset hvad, så var det effektivt slut med beskyttelsen.

En interessant note her er, at går din DVD i stykker, har du i praksis mistet retten til at se din film. Dette gøres helt horribelt, urimeligt og grotesk i forbindelse med lånte DVD’er fra biblioteket, som – måske rimeligt nok – er væsentligt dyrere at købe, da de gratis lånes ud til manges fornøjelse. Men når lille Silas vælger at slibe den op ad jeres vandskurede væg, koster det tusindvis af kroner at erstatte den, selv om selve DVD-mediet koster mindre end 1 krone at producere. Det er simpelthen både sygt og urimeligt – der er allerede betalt for brugsret én gang, nu skal der betales igen. Hvad med om man i stedet tilbød en ombytning af den defekte skive til en brugbar? Det er ikke optimalt, men bedre end ingenting. Det gør man f.eks. med pengesedler i din bank.

Selve DVD beskyttelses-problemet er at man sælger en vare i et pengeskab, men er nød til at give kunden nøglen med på en eller anden måde. De skal jo kunne få fat i deres vare. Derfor får du også nogen håndjern med, og dem skal de så bruge til at lænke sig til pengeskabet, inden kan åbne det, og få adgang til varen. Mega smart, leverandøren er nu sikker på at du ikke bare stikker af med “din” vare. Måske brugbart – men mega irriterende – for dig.

Imidlertid vil der altid – ALTID – sidde nogen derude som finder ud af hvordan det sikkerhedsmæssige hænger sammen, og løser problemet med at åbne alle pengeskabene, uden brug af håndjernene. Varen er nu fri, og dermed vinder piraterne på convenience, og de lovlydige forbrugene taber.

For som lovlydig forbruger er ulempen, at du skal slæbe rundt på det åndssvage pengeskab uanset hvor du vil bruge produktet inden i pengeskabet. Nå ja, og der var det med håndjernene også.

Al den snak om pengeskabe bliver måske lidt abstrakt, men vi kan tage et helt kort eksempel må absurditeten i DRM:

Jeg vil godt læse en bog. Jeg prøver på biblioteket, som jeg kan tilgå online. Da jeg er et mageligt asen, vælger jeg selvfølgelig min bog i ebogs-format. Det resulterer i at jeg for det første skal vente i ugevis på at bogen bliver ledig (altså, de har ikke flere digitale kopier af min bog hjemme på ebiblioteket?), og så skal jeg reagere inden for 3 døgn hvis jeg vil have “min” reserverede ebog.

Nuvel, efter at have logget ind med mit CPR-nummer og den 4-cifrede pinkode som systemet er begrænset til at tillade (vi er i 2018, niv mig i armen), kan jeg så bekræfte lånet af min virtuelle ikke-fysisk-eksisterende digitale kopi af en bog. Og den kan jeg så nu læse i ….. trommehvirvel ….. min browser. I MIN BROWSER. Hvordan mon det fungerer, når jeg foretrækker at læse bogen i min seng med min ebook læser? Ja, det virker sjovt nok slet ikke.

Der er dog muligheden for at installere deres app på min telefon. Okay, vi nærmer os noget potentielt brugbart – det ligner da lidt min ebogslæser, selv om jeg foretrækker en eink skærm til at læse på. Så ind med deres app på min Android telefon, logger på med de ultra svage credentials de understøtter, og bliver præsenteret for min lånte bog. Trykker “download”, spændingen stiger. Bogen er nu hentet! Og hvad så … æh, ingen forklaringer. Hvor er min bog? Hvad skal jeg gøre? Ingen anelse, bogen er downloaded, og appen kan ikke mere. Intet jeg klikker på gør noget som helst. Fuck jer, og jeres latterlige DRM. Rend mig langt ind i helvede.

Så kan jeg jo bare vælge at købe den. Ja, det er da en vældig god idé. Faktisk var jeg nede ved min boghandler, for lige at støtte det lokale erhvervsliv. De havde faktisk bogen – ja, altså som god gammeldags fysisk bog. Men jeg vil ikke have en fysisk bog, hvad skal jeg med den? Hvor skal jeg opbevare den? Jeg kan heller ikke fritekst-søge i den. Tilmed koster den over det dobbelte. Så en dyrere og ringere vare – ellers tak.

Ekspedienten fortalte mig, at jeg ikke kunne købe den i digitalt format hos dem, men i deres portal på nettet. Der røg så muligheden for det med det lokale erhvervsliv, da portalen er landsdækkende. Men fint nok, ind på deres portal. Hurra, der kan jeg købe den. Fedt, og det er endda i epub format uden DRM.

Jeg kunne have risikeret at den kom i PDF format, beskyttet af Adobes DRM beskyttelse. Du ved, den der beskyttelse, hvor du skal registrere dig som bruger hos Adobe og kun kan læse den med Adobes specielle læser program. Jeg allerede én gang tidligere fået kompromitteret min konto hos Adobe, da de i 2013 fik hacket 150 millioner brugerkonti – så måske er tilliden til Adobe ikke kæmpe stor her. Derudover løser det slet ikke mit problem: det får jeg den ikke over på min ebogslæser af, da den ikke understøtter Adobes DRM.

Men godt at min ønskede bog er tilgængelig i epub-format og uden DRM …. hov vent – nej, det er den ikke. Den er godt nok teknisk set i et format som jeg kan smide over på min ebogslæser. Men den er watermarked, dvs. de har på snedig vis brændemærket mig ind i den kopi af den ebog som jeg henter.

“Hold nu op, Lars. Der er bare ikke noget der er godt nok. Nu har du da fået det du ville?”

Så jeg kan få noget som jeg teknisk set godt kan bruge, men der er stadig håndjern med: jeg har fået direkte strafansvar, hvis min kopi af den ebog ender op på et BitTorrent site. Det står der godt nok ingen steder, men det er reelt set det der kan ske, når nogen hacker din computer, knækker din kode til portalen eller stjæler din ebogslæser – og så vælger at dumpe indholdet på nettet. Usandsynligt? Måske.

Det fremgår heller ikke hvilke data der ligger i vandmærket. Er det mit navn? Mine credit-card informationer? Et ordrenummer? Lidt mere info, tak. Ingen steder som sælger bogen, har oplysninger om hvad deres vandmærke indeholder. Og kun Politiken Books er ærlige nok til at skrive at jeg er ansvarlig for at ingen andre får adgang til “min” ebog. Jeg har forespurgt på det website hvor jeg ville købe den, og deres rare kundeservice var hurtige til at svare “Godt spørgsmål! Jeg har sendt det videre til vores e-bogs distributør, så du lige får de helt korrekte oplysninger.” Endnu har jeg til gode at få at vide hvad vandmærket indeholder.

Så samlet set bliver det så faktisk også “et nej tak herfra” til en vandmærket bog. Jeg kan i hvert fald ikke overskue konsekvenserne, hvis min kopi ender ude på nettet.

Kan jeg ikke bare få min ebog, uden alt det fnidder? Åbentbart ikke, medmindre jeg vil have en papirbog. Den er ikke kopibeskyttet eller vandmærket – men min fornemmelse siger mig at det kun er fordi det ikke er praktisk muligt.

Lad os lige skifte emne en lille smule, og kigge på Netflix, som virkeligt har været en game-changer i forhold til både DVD og TV i almindelighed. Det er virkeligt smart – du streamer bare alt det fjernsyn du vil! Bortset fra at det gør du ikke. For her er der også DRM. Selve kopibeskyttelsen er faktisk lavet rigtigt fint, så man ikke rigtigt bemærker det – – deres app virker ret godt. Men de begrænser også udbuddet af film og TV alt efter hvor du er i verden. Da jeg er i EU, så skal jeg finde mig i 1) det er dyrere at have Netflix end i USA 2) udvalget af TV serier er sølle 25% af hvad de tilbyder i USA. (Kilde: https://www.finder.com/global-netflix-library-totals)

Prisen kan man diskutere, men at de begrænser deres service, det er simpelthen helt ude i skoven. Modreaktionen fra forbrugerne er selvfølgelig at de bare flytter deres IP-adresse til USA via en VPN tjeneste, eller slet og ret bare henter det de vil på ulovlig vis. Og VPN-løsningen er ulovlig, men nu er din dyrere-end-i-USA tjeneste i det mindste den samme som i USA. Dem der gør det betragter næppe dem selv som TV-pirater – de har jo betalt. Igen er vi ude i at kunde og leverandør slås – æv, hvor er det ærgeligt.

Jeg husker en dansk streamingtjeneste, som jeg afprøvede for et par år siden. Igen var vi ude i at tingene skulle afspilles i en browser. DRM delen dikterede at et eller andet plugin skulle tale med et eller andet driver halløj, og hvis det ikke virkede så fik man kun lyd i stereo. Igen med begrundelsen at ellers ville jeg jo bare stjæle en perfekt digital kopi, som jeg kunne give bort. Efter at have skiftet browser to gange, og installeret alt muligt uhyrligt DRM software, måtte jeg konstatere at det bare ikke virkede. Efter to timers frustration, hvor jeg faktisk gerne ville have set film – og bruge mit surround anlæg samtidig – opgav jeg. Min prøveperiode blev sjovt nok ikke til et abonnement hos dem.

Min co-founder i NetSection Security fortalte mig om et computer-spil han købte for efterhånden en del år siden. Han havde glædet sig i rigtig lang tid til at det kom, og var blandt de første der fik det. Det var sovset ind i DRM beskyttelse, og det i sådan en grad, at spillet konstant gik ned med mærkelige fejl. Til sidst opgav han at spille det. Efter et halvt år, overgav spilproducenten sig, og lancerede en udgave uden DRM-beskyttelsen. De havde godt nok holdt nogen pirater væk, men deres ægte fans havde de slagtet i samme omgang. Piraterne havde selvfølgelig et stabilt spil, for de fjerner jo bare kopibeskyttelsen – og ofte er piratudgaverne tilgængelige før den officielle launch af et spil. Det er da pirat-convenience, hva?

DRM er også når en producent effektivt låser deres forbrugere ud af deres eget udstyr, f.eks. i forbindelse med reperation. Apple har I årevis gjort alt hvad de kan for at forhindre folk i at rode med deres eget grej, og det dækker over alt fra firmware der er låst til pentalobe specialskruer som folk ikke har skruetrækkere til. Alligevel ligger folk i kø i sovepose i frostvejr, for at være den første der kan købe nyeste udgave af deres udstyr. Nuvel, er man ligeglad med prisen på grejet, er man nok også ligeglad med prisen på reparationerne. (Det skal lige siges at PC producenterne også er grove – prøv f.eks. at opgradere dit trådløse netkort i din bærbare computer – så er der gode odds for at maskinen blokerer for opstart hvis ikke producenten tilbyder samme netkort i deres sortiment).

En nyere skandale inden for DRM, er John Deere’s kampagne for at holde amerikanske landmænd ude af deres egne traktorer. Sådan en landmand, han er vandt til at løse problemer hér og nu. Hvis en mark den skal pløjes, så forventer han at han selv kan få lov til at skifte tændrør, svejse ting sammen der er gået i stykker eller udskifte et print der har en fejl – i hvert fald hvis alternativet er at vente tre dage på at betale overpris for at en mand fra John Deere kommer ud og fikser det. Nu hvor der er meget elektronik i traktorerne, har producenten valgt at udelukke ejerne fra at ændre i tingene på deres købte udstyr, og det er der nu et kæmpe slagsmål om. Adw, hvor er det ulækkert. Sælg nu en vare, og lad folk bruge den som de vil.

Sådan er det også med min Audi, vi er bare ude i endnu mere griseri. Da jeg købte bilen, var det en valgmulighed at få motorvarmer monteret. En dejlig luksus i vintertiden. Det tilvalgte jeg, selv om prisen var rimeligt hamper. Først flere år senere, går det op for mig at alle bilerne med den model motor jeg har, indeholder fabrikskmonteret motorvarmer (motoren kan ikke varme bilen nok op), og det eneste jeg har fået for mit 5-cifrede beløb er en fjernbetjening og et flueben i noget software. Bilens systemer er også låste – jeg kan f.eks. ikke skifte radioen ud, for bilen skal “kodes” til det, uagtet at det er samme radio som den defekte jeg udskifter. “Jamen, den skal aktiveres på vores server i Tyskland”. Hvorfor? Begrundelsen fra officielt hold, er at det forhindrer tyveri af komponenter i bilerne. Men biltyvene i østlandene har for længst løst problemet, men jeg der er reel ejer kan bare betale ved kassen for … ja, for hvad? Og skulle jeg endelig gjort det ad anden vej, og rettet nogen indstillinger, så er Audi heldigvis så flinke at de lige nulstiller hele molevitten hvis jeg skulle komme forbi deres værksted og de får sat deres computer til min bil. Mit lille uafhængige og lokale værksted skal have alt muligt special-grej for bare at kunne tale med bilen. Det er også DRM, bare på en anden måde.

Tesla er også slemme, på trods af at store dele af deres software er baseret på open source teknologi. Alt er lukket, medmindre du betaler licens for adgang til dokumentation på din egen bil. Det lugter af good-guy, for de andre bilfabrikanter stiller slet ikke den slags til rådighed. Men hvis det var ægte, hvorfor så ikke bare give alle helt fri adgang til det? De solgte i en periode en Tesla-model, som reelt set indehold et større batteri der var kunstigt droslet ned – helt normal praksis på alt muligt slags hardware. Du kunne så betale et helt vildt beløb for at få “opgraderet” din bil (altså brugsret over den fulde kapacitet på dit eget batteri). Man kunne selvfølgelig fristes til at hacke sin egen bil, men finder Tesla ud af at du har rodet med din bil, risikerer du at de deaktiverer opdateringer til bilen, og låser dig ude af deres lade-netværk. Helt vildt er det at en Tesla skrotbil bliver deaktiveret totalt, og det gør de på afstand – så held og lykke med at genopbygge sådan en fætter. Det er også DRM, og det er fandme sjofelt.

Men DRM må jo være en success, for ellers fortsatte man vel ikke med det? Jeg tror det bunder ud i uvidenhed, fra både leverandør og købers side. Lidt i samme klasse som at DSB fortsatte med at hæve prisen på kaffe i togene ind til ingen til sidst købte kaffe overhovedet, og at alle passagerene stiltiende så til mens det skete. I mine øjne er passagerne mindst lige så medskyldige, og ikke fordi de ikke havde lyst til at købe alt for dyr kaffe.

Endnu har jeg til gode at se en DRM løsning der har holdt (og som ikke har generet forbrugeren). Problemet ender altid ud med at vi er ovre i pengeskabet, håndjernene og nøglen der udleveres samtidig. Du kan ikke sikre det, det er bare umuligt. Det er kun en forbandelse for dem der skal benytte systemet på ærlig vis.

Spille-konsollerne som Playstation og Xbox har altid været en rimelig god indikator for hvor godt DRM kan fungere. Der er tale om grej som forbrugerne har direkte adgang til, og som er lukrativt for leverandøren at sikre. Konsoller får rigtig meget opmærksomhed fra nogen af de mest hardcore hackere i verden – der er nemlig ret god prestige i at være den der gennemskuer og frakobler sikkerhedslaget i den nyeste gaming-konsol.

Og hvilke konsoller har så overlevet med DRM intakt? Historisk set INGEN. Overhovedet ingen. De hacks der er lavet er så vilde, at man nærmest ikke kan forstå det. Sony’s PlayStation 3 blev f.eks. kompromitteret fordi nogen sløsede programmører havde implementeret noget signeringssoftware forkert, så det brugte samme “tilfældige” værdi hver gang. (Er du teknisk interesseret, så kig her, det er fed læsning for nørder). Xbox 360 blev hacket, fordi nogen fandt ud af at man kunne sænke processorens hastighed, og variere strømforsyningen til den (glitching) – så godkendte den at køre programkode som ellers ikke burde køre.

Og det sker, fordi det teknisk set er umuligt at udlevere en vare under lås og nøglen samtidig, uden at nogen – givet nok tid – splitter det hele ad og leverer en løsning uden låsen.

Vi nærmer os – laaaaaaaangsomt – et punkt hvor de services vi bruger nu ikke længere er pakket ind i et 600kg tungt Franz Jäger pengeskab, men er nede på en Master Lock hængelås i 50g klassen. Det er med andre ord ikke helt så utåleligt som tidligere, men DRM og tåbelige begrænsninger er der stadig. Og det kæmper imod den convenience som køberne af et produkt kunne have.

Der er sådan set kun en langsigtet måde at løse det på: overvej hvilke og hvor meget du vil finde dig i det. Og vælger du nogen fra, så lad dem vide at du gør det, og hvorfor du gør det.

Når jeg køber mobiltelefon kigger jeg f.eks. altid på om jeg kan udskifte firmwaren med noget andet. Ja, ja, jeg ved godt det er nørdet. Men det giver en indikator for hvor åben producenten er over for den slags. Og jeg kan rigtigt godt lide at have valget mellem standard firmware og så noget open source. Det drejer sig om valgmuligheden – friheden, om du vil – til at bruge mit udstyr som jeg vil.

Hvad angår ebogen, så kunne man godt fjerne vandmærket – lidt teknisk snilde har man vel – men så har jeg omgået DRM, og det er ulovligt. Jeg tvivler på at jeg nogen sinde får læst den bog på den måde jeg gerne ville.

Denne her artikel er

Lars Karlslund

Med 20 års driftserfaring inden for IT, startede jeg NetSection Security i 2015, hvor vi laver IT sikkerhed og udvikler SectionGuard – cloud baseret endpoint sikkerhed. Har du brug for uvildig, pragmatisk rådgivning om din virksomheds sikkerhed, så kontakt mig!

These problems are partially solvable, by patching your systems. Everyone is basically scrambling to get patches for Meltdown in place, and Microsoft has just released an urgent patch for this.

This patch has shown problems with several antivirus vendors, as their kernel drivers cause BSODs after the patch is installed. As a result of this, Microsoft is only pushing the update to customers with antivirus that specifically sets a certain registry key, and thus takes responsibility for applying the patch.

SectionGuard does not have this driver problem, and is not affected by the patch.

To get the patch:

• If you’re not running a 3rd party AV product which sets the key, you need to set a registry key manually
• If you’re running a 3rd party AV product which sets the key, you need to upgrade your AV and the updated AV will set the key

But as SectionGuard is not a traditional antivirus product, and can co-exist with or without an antivirus product, we’ve decided not to set the above mentioned registry key. The dilemma here is, that we might break your incompatible 3rd party antivirus product.

The Microsoft patch page for KB4056891 describes the registry settings needed, should you chose to implement these manually.

Then you need to do a regular Windows Update, and the patch will be applied.

For a comprehensive list of AV vendor support and registry key info, you can look at the spreadsheet by Kevin Beaumont on Google Sheets

If you want to know more details on the exploits in the CPUs, there’s an excellent explanation about the security implications on The Register

One of the many ways hackers try to get their malware onto your computers, is by sending emails containing documents with macros. Most savvy users have enough knowledge by now to not activate macros in foreign documents.

But recently, hackers have begun using the Dynamic Data Exchange (also known as DDE) feature, exploiting it to run commands on your computer. Originally, DDE is used to exchange data between different Microsoft programs, but attackers have now found a way of abusing it by adding a custom field inside a document, instructing it to launch malicious code.

The problem exists in all of your Microsoft Office applications. That’s Word, Excel, Access but also inside an email you’re reading, or a calendar invite.

On the good side, users are currently receiving a warning which informs them of the given file containing DDE links, which may direct to different documents. But the warning is new to most users, possibly tricking them into pressing “Yes” instead of “No”.

Since the DDE feature is not considered suspicious, traditional anti-virus doesn’t block files with DDE fields. Like macros, the feature can be both good and bad, depending on who crafted the document.

Should you say “Yes” to the above, you get another warning:

Another “Yes” will possibly land you in a world of trouble. (Above screenshot is of a benign calc.exe test command-line, so that’s just “popping calc”). Threats in the wild are already obfuscating the command-line to make it look innocent.

What should you do?

Basically, just say no.

But to mitigate this exploit entirely, you can disable the DDEAuto feature completely. There’s a good chance you never need it.

If you want to do this automatically, there’s a .reg file on GitHub that fixes this for several versions of Microsoft Office:

https://gist.github.com/wdormann/732bb88d9b5dd5a66c9f1e1498f31a1b

Always remember

• Consider external files or links sent to you carefully
• Take warning pop-ups seriously, even though they are new to you

But the worst problem still remains …

Albeit the current warning window raises the red flag, what if in the future attackers don’t even need that confirmation in the form of simple “Yes” or “No”? That is the real nightmare threat.

And this is exactly why we created SectionGuard.