Projeto de pesquisa sobre vulnerabilidades em tecnologia que afetam o DRM PlayReady da Microsoft levanta algumas questões sobre divulgação responsável.

Nos últimos anos, Adam Gowdiak, fundador e CEO da AG Security Research (anteriormente Security Explorations) tem realizado pesquisas sobre a segurança de conteúdo digital, especificamente plataformas de streaming de vídeo, principalmente  em plataforma Java e TV/streaming. 

Recentemente Gowdiak demonstrou que um invasor pode obter chaves de conteúdo protegidas pela tecnologia de prevenção de cópia de arquivos de mídia PlayReady da Microsoft e usar essas chaves para downloads não autorizados de filmes de serviços de streaming populares, como Netflix, HBO’s Max, Amazon Prime Video e Sky Showtime.

Segundo a Microsoft, o PlayReady é a tecnologia de proteção de conteúdo mais amplamente implantada no mundo. O método de invasão utilizado pelo pesquisador, aproveita vulnerabilidades nas tecnologias Protected Media Path (PMP), que reforçam a segurança de conteúdo em ambientes Windows, e na tecnologia do compilador Warbird, que é projetada para dificultar a engenharia reversa de componentes do Windows.

Gowdiak tem informado a Microsoft sobre suas descobertas desde 2022, que retornou informando inicialmente que era um problema de implementação, e não uma vulnerabilidade em sua tecnologia.

Segundo o próprio pesquisador, a partir de abril de 2024 a Microsoft começou a mostrar mais interesse nas descobertas de sua pesquisa inclusive classificando em abril de 2024 e o seu trabalho pode ser elegível para uma recompensa por meio de seu programa de recompensa por bugs, porém inicialmente Gowdiak se recusou a compartilhar detalhes técnicos, pois não concordava com essa abordagem, argumentando que nove meses foram gastos na pesquisa e que enviar as descobertas por meio de um programa de recompensa por bugs significaria abrir mão da propriedade intelectual e do know-how decorrentes da pesquisa sem qualquer garantia de pagamento.

Ao invés disso, Gowdiak sugeriu um acordo comercial com a Microsoft, que segundo ele seria mais justo, em que onde a gigante da tecnologia compensaria o trabalho com uma quantia de dinheiro acordada por ambas as partes. No entanto, como não conseguiram chegar a um acordo, Gowdiak decidiu em novembro de 2024 fornecer à Microsoft — sem esperar nada em troca — detalhes técnicos que deveriam facilitar para a empresa confirmar o impacto da pesquisa e abordar as vulnerabilidades.

Gowdiak também tornou públicas algumas informações técnicas algumas semanas após compartilhar suas descobertas com a Microsoft, mas garantiu que não seria fácil para alguém abusar dos detalhes disponíveis publicamente para pirataria ou outras atividades ilegais.

O pesquisador disse que o objetivo da divulgação pública era conscientizar sobre os problemas descobertos entre usuários e plataformas de streaming, e desencadear alguma ação da Microsoft (ou seja, confirmar e corrigir as descobertas) e acabou ficando frustrado com a maneira como a Microsoft lidou com suas descobertas.

No entanto, encontramos um terceiro que concordou em compartilhar alguns insights da perspectiva de organizações que dependem de programas de recompensa por bugs para incentivar divulgações responsáveis ​​de vulnerabilidades. Casey Ellis, fundador e consultor da plataforma de recompensa por bugs Bugcrowd e cofundador do projeto de divulgação de vulnerabilidades disclosure.io, descreveu essa história como “um bom exemplo de por que a divulgação coordenada é tão importante e por que a divulgação completa sempre existirá como um modo de falha”.

“O fato de que a pesquisa de segurança eventualmente será publicada coloca a responsabilidade tanto no pesquisador quanto na empresa receptora, e cria uma função de força orgânica para garantir que os bugs sejam devidamente considerados, corrigidos se necessário, e o público notificado do risco”, disse Ellis.

Em relação à pesquisa de hacking de DRM da Microsoft, Ellis disse: “Embora eu simpatize com as circunstâncias em torno dessas descobertas e já tenha visto situações semelhantes muitas vezes antes, desencorajo fortemente essa abordagem. A ideia de balançar uma pesquisa incompleta com a promessa do resto em pagamento transforma uma conversa de boa-fé em uma que começa a soar muito como extorsão.”

Questionado sobre suas ideias sobre o uso de programas de recompensa por bugs para alguns tipos de vulnerabilidades e oferecer vias alternativas de divulgação para pesquisas mais extensas, Ellis disse que concorda totalmente com a abordagem, mas apenas quando a pesquisa foi auto comissionada.

“Esta é uma das razões pelas quais a distinção entre programas públicos e privados de recompensa por bugs existe, e por que eu tenho consistentemente pressionado pela padronização dos termos de divulgação de vulnerabilidades com um escopo totalmente aberto e cronogramas de divulgação coordenados como base para programas públicos de recompensa por bugs”, disse Ellis.

“É um reflexo do fato de que vulnerabilidades e pesquisas de segurança acontecem, sejam convidadas por empresas ou não, e que a decisão de estar vinculado a termos de divulgação é, na prática e na realidade, uma decisão que fica 100% a critério do hacker individual”, explicou Ellis.

“Esta é uma questão da física de como a informação e a própria internet funcionam, e é tolice fingir o contrário. À medida que leis anti-hacking como a CFAA são alteradas para refletir o papel de hackers que operam de boa-fé, e à medida que leis anti-direitos autorais como a DMCA são modernizadas com isenções para refletir o mesmo, espero que vejamos mais dessa conversa borbulhando”, ele acrescentou.

O especialista concluiu: “A pesquisa de segurança não é uma solução única para todos. Se uma vulnerabilidade existe em um software acessível publicamente e um pesquisador a descobre, o que o pesquisador decide fazer daquele ponto em diante é, em última análise, sua decisão. As empresas podem estabelecer programas públicos de recompensa por bugs para incentivar os tipos de comportamento que desejam, mas, em última análise, é um exercício de soft power, não um meio garantido de controle. Esta é uma das razões pelas quais termos de divulgação razoáveis ​​e incentivos corretamente definidos são tão importantes em programas públicos de recompensa e divulgação de vulnerabilidades.”

Para saber mais, clique aqui.