Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Microsoft niet van plan drm aan te passen

Microsoft niet van plan drm aan te passen

Door Harm Hilvers, vrijdag 14 januari 2005 14:51
Bron: eWeek, views: 15.743

Windows security (klein)Twee dagen geleden heeft Panda Software bekendgemaakt twee Trojaanse paarden te hebben ontdekt, deze stukken malware zijn verstopt in Windows Media Video-bestanden. Deze bestanden zijn beveiligd via Digital Rights Management (drm) en om de video's af te spelen is het dus noodzakelijk dat er licenties gedownload worden. In plaats van de benodigde licentie werden er echter virussen en spyware gedownload en geïnstalleerd. Microsoft heeft laten weten geen plannen te hebben om aanpassingen door te voeren aan de manier waarop Windows Media Player omgaat met downloads van drm-licenties. Volgens het softwarebedrijf is er namelijk geen sprake van een lek in de software. Er is daardoor ook geen technologische oplossing voor handen, aldus Mike Coleman, lead productmanager van Microsofts Windows-divisie. Het is belangrijker om gebruikers voor te lichten en duidelijk te maken wat goed gedrag is bij het downloaden van bestanden. Daarnaast wijst Coleman op securityfeatures in Windows XP Service Pack 2, die het onmogelijk maken dat popups geopend worden en ActiveX-objecten zonder tussenkomst van de gebruiker geïnstalleerd worden.

Volgende 16:55 Sun presenteert tegenvallende kwartaalomzet
Vorige 14:49 Onderzoeken naar beursgang Google afgehandeld
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 53 reacties zichtbaar530 Off-topic / Irrelevant: 50 reacties zichtbaar50+1 On-topic: 44 reacties zichtbaar44+2 Informatief: 17 reacties zichtbaar17+3 Spotlight: 7 reacties zichtbaar7
«  1  2  »

Door Krisp, vrijdag 14 januari 2005 14:55

Score: 2
Daarnaast wijst Coleman op securityfeatures in Windows XP Service Pack 2, die het onmogelijk maken dat popups geopend worden en ActiveX-objecten zonder tussenkomst van de gebruiker geïnstalleerd worden.

Toch jammer als je geen Windows XP hebt.......

Door zeekoe, vrijdag 14 januari 2005 15:04

Score: 1
Als je geen windows gebruikt heb je sowieso geen last van ActiveX, en als je een oudere versie van windows gebruikt, dan sta je ook vrij om niet-verouderde browsers te gebruiken; er zijn er genoeg (opera, mozilla, enz), dan heb je ook geen last meer van ActiveX.

Door Zamman, vrijdag 14 januari 2005 15:12

Score: 2
geinig hoor, je verstuurt een paar van die bestanden per email, er zijn altijd een paar idioten die het openen, van daaruit installeer je een wormvirus op de pc en laat je de file vanaf hen het verder spreiden. Een mediafile wordt nog steeds makkelijk geopend, het is immer geen script of programma?

En als je een kritsich aantal downloads van je mailers hebt gedowned kan je uiteraard andere backdoors laten ophalen voor andere spamactiviteiten bijvoorbeeld. Dan kan je er nog aan verdienen ook.

edit
was als reactie op boner bedoeld
/edit

Door _Thanatos_, vrijdag 14 januari 2005 21:18

Score: 1
Sja, gewoon geen windows mediaplayer gebruiken, maar een ander programma, die gewoon begint met afspelen ipv eerst allerlei dingen op internet op te zoeken...

Door Lizard, vrijdag 14 januari 2005 21:44

Score: 1
Ja, maar dat gaat met die drm bestanden dus niet werken...

Die zijn Windows Media player only.

Door Polaris, zaterdag 15 januari 2005 08:58

Score: 1
Als we allemaal afspreken ze niet te gebruiken draait MS snel genoeg bij. Jammer alleen dat de gebruikers hier niet hecht genoeg voor georganiseerd zijn.

Door PHi_Mephisto, vrijdag 14 januari 2005 17:28

Score: 1
En ook jammer dat ze het toelaten om het systeem zo 'ziek' te laten worden. Besmet, maar niet zichtbaar/merkbaar.. 'U mag de buurman geen hand meer geven, want dat vergroot de kans op griep'.

Zo goed, Big Brother?

Door Yucko, vrijdag 14 januari 2005 18:06

Score: 1
Tja, als straks op deze manier een of andere worm verspreid wordt om bv. een dDoS op Microsoft uit te voeren, dan zullen ze het wel ineens willen aanpassen }>

Door boner, vrijdag 14 januari 2005 14:57

Score: 2
En gelijk hebben ze. Er zijn oplossingen genoeg om dit soort aanvallen tegen te gaan. Dus waarom dan vele miljoenen uitgeven om iets aan te passen. En dan heb je ook nog iets als backward compatibility problemen. Dus zou je jezelf alleen maar verzwakken voor niks.

Door SemTeX, vrijdag 14 januari 2005 15:03

Score: 3
Inderdaad, waarom zou je van die rechten beperkende DRM toestanden kopen en gebruiken als er ook fatsoenlijke alternatieven zijn.
Ik vind dat een groot deel van de entertainment industrie zich tegenwoordig echt niet meer redelijk gedraagt tov hun klanten. Ik hoef gewoon geen muziek waarvan de verkoper zegt dat ik er maar een maand naar mag luisteren en andere vergelijkbare toestanden.

Door LolitaLapin, vrijdag 14 januari 2005 16:41

Score: 2
Ik hoef geen muziek waarvan de uitgever bij voorbaat al meent dat ik een potentieel crimineel ben, die tegen zichzelf beschermt moet worden.

Door Frank-L, vrijdag 14 januari 2005 17:53

Score: 0
Dan koop je zeker ook geen kleding die in de winkel met anti-diefstal-tags is beveiligd?
Of boeken met een anti-diefstap-strip?

Door pfismvg, vrijdag 14 januari 2005 21:02

Score: 2
FrankL
Dan koop je zeker ook geen kleding die in de winkel met anti-diefstal-tags is beveiligd?
Of boeken met een anti-diefstap-strip?
Zolang ze die tags maar verwijderen of deactiveren nadat je betaald heb :+

Door thegve, vrijdag 14 januari 2005 17:36

Score: 1
Ik HOEF wel muziek die ik een maand mag gebruiken, maar dan wel tegen huurtarieven E 0.10 tot E 0.25 per nummer dus. Kan je muziek uitproberen en later besluiten of je het wel of niet koopt. Maar ja, dat kost MS klanten (platenmaatschappijen) natuurlijk klanten, omdat die geen bagger muziek meer downloaden omdat ze van te voren al weten dat het bagger muziek is, en hiermee kost het MS ook weer klanten...

Door TheGhostInc, vrijdag 14 januari 2005 15:07

Score: 2
Er zijn oplossingen om kwaadwillende software te stoppen, maar in dit geval is de software zelf niet kwaadwillend. De enige oplossing is het niet gebruiken van de automatische licentie update feature.
Virusscanners, ad-ware en andere beveiligingssoftware worden ineens een stuk kritischer.

Normaal kun je veel ellende voorkomen door niet op foute sites te komen, maar met dit soort bestanden kun je dat al niet meer voorkomen.
Daarnaast staat IE nu niet bekend om de veiligheid, en zover ik weet gebruikt WMP automatisch IE voor dit soort geintjes. Firefox of Opera kunnen je ook niet helpen.

* 786562 TheGhostInc

Door sanderev66, vrijdag 14 januari 2005 21:58

Score: 1
dat is niet helemaal waar, WMP heeft zijn eigen webengine :D en die lijkt let wel *lijkt* veel op IE. Daar wordt het natuurlijk niet veiliger op ;)

Door Roland684, vrijdag 14 januari 2005 15:57

Score: 1
Dus het is niet vreemd dat iets dat bedoeld is om licenties te controleren ook gebruikt kan worden om, zonder tussenkomst van de gebruiker, software te downloaden en starten?

Door WinL, vrijdag 14 januari 2005 15:08

Score: 3
Kan iemand mij nu uitleggen in hoeverre dit een bug in de code is?
Als het geen bug is dan kun je het vergelijken met spam die je zelf installeert. Het OS weet niet of het een nieuwe versie van patience is, ofdat het spyware is.
Het kan ook zijn dat het een echte bug is die aangepast zou kunnen worden.
Wel is het zo dat de meeste gebruikers van WM10 ook de beschikking hebben over WinXPSP2. Als deze risico's inperkt (of helemaal weghaalt) is het ook goed.
Ik vind het artikel maar wazig, het is niet echt concreet over gevolgen en risico's.
Kan iemand bij enige technische verduidelijking in normaal Nederlands geven, graag?

Door PabloPb, vrijdag 14 januari 2005 15:23

Score: 3
Naar mijn weten is dit meer een "exploit" / "feature" en dus geen bug per definitie.in plaats van naar de codec site te gaan gaat ie naar een andere site met malware/virusen etc...
Vergelijk het met een url die in het bestand gewijzigd word van www.microsoft.com/codecs/ naar iets van www.pornandvirus.com

Door YaPP, vrijdag 14 januari 2005 15:20

Score: 3
Het is belangrijker om gebruikers voor te lichten en duidelijk te maken wat goed gedrag is bij het downloaden van bestanden.
PARDON..?!? Met andere woorden, WMP gaat nogal slordig met het downloaden van licensies om, maar het is de fout van de gebruiker?

Volgens mij is het eerder andersom, Microsoft heeft de expertise in huis, de gebruiker niet. Zij maken een OS dat zich richt op mensen die de computer gebruiken zoals ze een TV en een Magnotron gebruiken. Nu draaien ze de rollen ineens op, schuiven ze alles op de gebruiker af (dat deze de kennis maar moet hebben), en beweren ze dat Microsoft zelf niet verantwoordelijk is.


toevoeging: met SP2 heeft Microsoft een hoop beveiliging aangescherpt, waarschuwings schermen toegevoegd, etc.. om te voorkomen dat de gebruiker domme dingen doet.. Nu lijkt de wereld weer ff helemaal omgekeerd.

Door m00se, vrijdag 14 januari 2005 15:33

Score: 0
Precies!

Uiteindelijk zal deze houding MS de nek omdraaien, en dan gaan mensen naar alternatieven (MAC OS of Linux (voor de techneut/tweakers/etc)) kijken.

Door catfish, vrijdag 14 januari 2005 15:37

Score: 1
verklaar u eens nader, want de redenering klopt niet, MS maakt niet alle licences, dus programma X gaat z'n licence downen op site Y, hoe moet WMP nu na gaan of site Y legitiem is? een lijst aanleggen is een mogelijkheid, maar om nu te zeggen dat het MS z'n fout is?

volgens mij hebben ze toch wat gelijk, vele mensen zitten maar wat te klikken zonder de boodschappen te lezen en gaan achteraf klagen...

Door FireWood, vrijdag 14 januari 2005 15:55

Score: 1
Net zoals firefox, gewoon verplichten naar de juist site te gaan andere compleet weren.

Door YaPP, vrijdag 14 januari 2005 16:22

Score: 2
verklaar u eens nader, want de redenering klopt niet, MS maakt niet alle licences, dus programma X gaat z'n licence downen op site Y, hoe moet WMP nu na gaan of site Y legitiem is
Misschien door:
- alleen bestanden te downloaden die ook echt een licensie zijn..?
- of niet automatisch openen in IE?
- of de default optie "nee" maken? (als je op enter drukt)
- de URL weergeven waar de licensie van gedownload wordt? (weet de gebruiker ook dat deze niet naar een exe file verwijst)

dat is nog het minst wat ze kunnen doen. Het alternatief is immers dat WMA niet meer veilig afgespeeld kan worden.. |:(
volgens mij hebben ze toch wat gelijk, vele mensen zitten maar wat te klikken zonder de boodschappen te lezen en gaan achteraf klagen...
Als je dat weet, kun je daar toch op anticiperen? ipv het op deze manier "afstraffen"?

Verder, zie onderdaan de reactie van 'ebx' :)

Door Zarc.oh, vrijdag 14 januari 2005 16:24

Score: 3
Waarom the fuck kan er software geinstalleerd worden als je een licentie wilt hebben? Een licentie is geen uitvoerbare code!
Dit lijkt mij een fout in het ontwerp van de licentiemethode van WMP.

Door Guru Evi, vrijdag 14 januari 2005 16:41

Score: 1
Ze moeten toch zelf ook hun zooi kunnen installeren om automagisch je illegale MP3's te verwijderen?

Door thegve, vrijdag 14 januari 2005 17:41

Score: 1
Ten eerste zijn het WMA's, en geen MP3's (tot zover het mierenneuken). En verder blijven de WMA's zover ik weet (ik heb der ook nog nooit een gezien ofzow :)) gewoon op je schijf staan, maar speelt ie gewoon niet meer af na een tijdje. Lijkt me apart dat je door je explorer venster aan het bladeren bent en opeens allemaal bestanden ziet verdwijnen...

Door fremar, vrijdag 14 januari 2005 18:41

Score: 2
ja, dat wijst op een of ander gat in de software, wat microsoft dus wel moet fixen.
WMP gaat een licentie downloaden, dat is dus gewoon een file, in een of ander format wat in de DRM specificaties is vastgelegd. Je zou verwachten dat die licence file dan ergens wordt opgeslagen en alleen maar als input geopend wordt dopor WMP om te lezen. Geen kans op uitvoering van wat voor code dan ook, tenzij er een buffer overflow of zo'n soort bug in WMP zit.
Wat ook kan, is de slordigheid waarmee windows applicaties in elkaar zitten: WMP download de license file, maar ipv hem zelf meteen als input te openen, voert hij hem aan Windows, in de trant van "ik heb deze file, voer maar uit zoals dit filetype uitgevoerd hoort te worden", en dan blijkt het ding een executable te zijn, dus windows denkt, "mooi, die voeren we uit". Zo werkte diverse mail-exploits, en het zou me niets verbazen als dat met WMP net zo goed het geval is.

Dus wat moet er aan DRM toegevoegd worden (als je al DRM wilt maar dat is een heel andere discussie). Licenties zouden bv met een SSL certificate beveiligd moeten worden en er zou de gebruiker een dialoog getoond moeten worden: dit en dit gedownload van die en die site, wilt u dit installeren?
En dan vervolgens er ook voor zorgen dat wat het ook voor file is, de file alleen neergezet wordt in de directory met DRM licenties, en niets wordt er uitgevoerd.

Maar ja, ze zullen DRM wel gebouwd hebben dat het zo hoort dat een deel van de licentie uitvoerbare code bevat om iets "leuks" te doen...

Edit: foutje, de licenties werken al met certificate signing, alleen zoals anderen al opmerken: iedereen kan een certificaatje kopen, dus het zegt niet zo veel als iets gesigned is. Blijft natuurlijk dat de software na downloaden moet kijken wat de gedownloade file is en of het wel een geldige DRM licentie file is, en anders meteen de prullenbak in.

Door LolitaLapin, vrijdag 14 januari 2005 16:45

Score: 1
Waarom mag een licentie een executable zijn? Da's de eigenlijke vraag.

Mij lijkt het, dat er alleen een code hoeft te worden ontvangen en niet een programma dat de rechten heeft om onzin uit te halen met systeembestanden.

Door urdvurk, vrijdag 14 januari 2005 16:51

Score: 1
verklaar u eens nader, want de redenering klopt niet, MS maakt niet alle licences, dus programma X gaat z'n licence downen op site Y, hoe moet WMP nu na gaan of site Y legitiem is? een lijst aanleggen is een mogelijkheid, maar om nu te zeggen dat het MS z'n fout is?

MS maakt inderdaad niet alle licenties. Het systeem is erop gebaseerd dat licenties worden gedownload bij vertrouwde partners. Of iets dergelijks. Eenieder kan verzinnen dat dit niet zo'n heel goed systeem is, want wat nou als de partner in kwestie niet zuiver op de graat is?

En jawel, op een gegeven moment gaat het fout.

Het is dus wel degelijk de fout van MS. Het systeem dat ze hebben verzonnen is namelijk niet goed. Dat wil zeggen, voor MS is het een prima systeem, maar het beperkt de mogelijkheden van de gebruiker en stelt deze bovendien bloot aan veiligheidsrisico's.

Maar goed, dat is natuurlijk niets nieuws. :)

Door PHi_Mephisto, vrijdag 14 januari 2005 17:35

Score: 1
Inderdaad wel grappig. Ik stap naar VeriSign, ik krijg een licentie en klaar. Ik misbruik 't ding totdat het wordt ingehouden en vraag een nieuwe aan. Andere naam, ander adres misschien, who cares? Alles verloopt toch virtueel.

Door urdvurk, zaterdag 15 januari 2005 10:40

Score: 1
De spreekwoordelijke spijker op z'n spreekwoordelijke kop. :)

Door TheFonz, vrijdag 14 januari 2005 17:43

Score: 2
MS maakt niet alle licences, dus programma X gaat z'n licence downen op site Y, hoe moet WMP nu na gaan of site Y legitiem is?

Inderdaad, daar zit 'm het hele probleem. Met andere woorden: dit systeem werkt niet en zal nooit werken. Dat had Microsoft zich natuurlijk ook van te voren kunnen bedenken, en daarom is het Microsoft's fout. Het is gewoon een onveilig ontwerp, net zoals Active X een onveilig ontwerp is.

Wat wel werkt is "trusted computing", maar dat betekent dat Microsoft alles controleert wat er op mijn PC gebeurt en daar zit ik niet op te wachten. Het lijkt wel alsof Microsoft ons met deze flaters probeert warm te maken voor trusted computing: "als je van al die virussen af wil: verkoop je ziel aan ons en wij zorgen dat ze weg gaan".

Door whizzy81, maandag 17 januari 2005 13:56

Score: 0
Het lijkt wel alsof Microsoft ons met deze flaters probeert warm te maken voor trusted computing
en dat noemt men bij microsoft dus gewoon marketing


:r :r :r

Door realmhl, vrijdag 14 januari 2005 15:33

Score: 0
mijn WMP downloade wel vaak zogenaamde "codecs" 10 keer voor hetzelfde type bestand (mp3) zou dit ook wat zijn of nie

Door m00se, vrijdag 14 januari 2005 15:35

Score: 1
Nee da's gewoon info over illegale bestanden die naar MS en RIAA wordt gestuurd :+

Door dmantione, vrijdag 14 januari 2005 15:41

Score: 3
Er is een reden waarom ze dit niet fixen. Dat kan namelijk wel eens de bruikbaarheid van alle in het wild uitgezette met DRM beveiligde wmv-bestanden om zeep helpen.

Dus doet repareren meer pijn dan de zaak zo laten. Oplettende gebruikers kunnen immers toch ruiken dat er iets niet in de haak is. :Z

De werkelijkheid kan wel eens zijn dat wmv/wma een slechte naam krijgt en open alternatieven hier ook een buitenkansje krijgen alla Firefox.

Door Diago, vrijdag 14 januari 2005 15:50

Score: 0
Hup, terug naar de ontwerptafel ermee :o

Door Tyrian, vrijdag 14 januari 2005 15:51

Score: 2
Dat hele DRM is toch vrij nutteloos voor gebruikers. Het is min of meer opgelegd door de platenindustrie, die bang zijn voor illegale kopiën. Als gebruiker ben je beter uit met Ogg Vorbis of MP3, zowel qua vrijheid, geluidskwaliteit en nu dus ook veiligheid.

Door sanderev66, vrijdag 14 januari 2005 22:00

Score: 1
ID3 tag virusjes? Tja, als gebruiker ben je écht véél veiliger.

Door Roland684, vrijdag 14 januari 2005 16:00

Score: 1
It's not a bug, it's a feature!

Na vrijwel alle office bestanden zijn dus nu de media-bestanden aan de beurt om virussen in zich te gaan herbergen. Dank je wel Microsoft :(
Wat is de volgende stap? Automatisch url's gaan openen in plain text documenten?

Door ebx, vrijdag 14 januari 2005 16:05

Score: 3
Nu zijn ze zelf gestopt met het patchen van gekende bugs, ziet er weer goed uit voor MS :)

De hele bug draait rond het feit dat als ik nu een WMV maak, daar een DRM opzet, en als verifiactieurl eens een url opgeef dat eigelijk geen licentiefile, maar een kwaadaardige code is, dan hang je, ook al draai je het wonderveilige SP2.

Het enigste wat MS moet doen is een eenvoudige controle, nl. of de gedownloade licentiefile ook wel een licentiefile is. Dan zou het opgelost zijn :s

* aan boner, zo'n aanpassing kost geen miljoenen

En als ze daarop reageren met het antwoord dat ze eerst een SP2 opgepast popup gaan krijgen, vind ik dat vrij zwak, aangezien je bij SP2 voor alles een opgepast popup krijgt ..
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 16:55 Sun presenteert tegenvallende kwartaalomzet
Vorige 14:49 Onderzoeken naar beursgang Google afgehandeld
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011