CSS weer gekraakt, nu via uiterst beknopte perl-code

Na DeCSS is de beveiliging van DVD-protector CSS wederom gekraakt, zo meldt CNET. Al eerder zorgde DeCSS voor grote opschudding; een programma waarmee eenvoudig de beveiliging van DVD afgehaald kon worden. Op deze manier is het mogelijk films te rippen om er bijvoorbeeld een DivX-bestand van te maken. Na een enorme rechtzaak werd alle sites verboden een link naar de code te plaatsen, maar studenten hebben het nu opnieuw geprobeerd. Via een zeer beperkt aantal regels source wordt nu hetzelfde bereikt, vooral met het doel de verspreiding ervan te legaliseren.

Aangezien de nieuwe code absoluut niet op DeCSS lijkt, zou in ieder geval een nieuwe rechtzaak noodzakelijk zijn om nieuwssites te verplichten de code te verwijderen. Bovendien worden er ook totaal geen copyrights geschonden, volgens een betrokken advocaat. Het is alleen maar leerzaam, laat zien dat de beveiliging erg slecht is en is bovendien zo eenvoudig en kort dat het legaal is. Het idee hierachter is dat het gewoon aan een ander via bij wijze van spreken een bierviltje overgedragen kan worden, zodat het onder vrijheid van meningsuiting zou vallen. Overigens weet ik niet of de rechter het met dat laatste argument eens zal zijn...:

"It is nice to have a short" program, said Winstein, an undergraduate in electrical engineering and computer science at the Massachusetts Institute of Technology. "You can write these seven lines of code on a piece of paper and give it to someone. It's ridiculous to say that that's not protected speech."
Because the new program does not resemble DeCSS, the seven-line text file may not be covered by the current court cases, said Robin Gross, staff attorney for the Electronic Frontier Foundation, the digital rights organization representing 2600 in its case. "What it really shows is how futile injunctions against individual programs are," Gross said. "The code itself doesn't violate any copyrights. They would have to bring an entirely new case against this code."

In het door Debugdevil ingestuurde artikel staat ook dat de mogelijkheid tot het kijken onder het decoderen nog niet helemaal vlekkeloos werkt. Zelfs op een machine met 933 MHz schijnt het beeld nog wat schokkerig te zijn. Op dit moment is de source code trouwens nog beschikbaar via deze site.

Reacties (56)

TerraGuy 8 maart 2001 17:07

Als ik op die link klik dan krijg ik dit te zien:

$_='while(read+STDIN,$_,2048){$a=29;$b=73;$c=142;$t=255;@t=map{$_%16or$t^=$c^=(
$m=(11,10,116,100,11,122,20,100)[$_/16%8])&110;$t^=(72,@z=(64,72,$a^=12*($_%16
-2?0:$m&17)),$b^=$_%64?12:0,@z)[$_%8]}(16..271);if((@a=unx"C*",$_)[20]&48){$h
=5;$_=unxb24,join"",@b=map{xB8,unxb8,chr($_^$a[--$h+84])}@ARGV;s/...$/1$&/;$
d=unxV,xb25,$_;$e=256|(ord$b[4])<<9|ord$b[3];$d=$d>>8^($f=$t&($d>>12^$d>>4^
$d^$d/8))<<17,$e=$e>>8^($t&($g=($q=$e>>14&7^$e)^$q*8^$q<<6))<<9,$_=$t[$_]^
(($h>>=8)+=$f+(~$g&$t))for@a[128..$#a]}print+x"C*",@a}';s/x/pack+/g;eval

Klopt dit wel? Ik zie dit ook altijd als ik op Japanse sites zit. Maar goed, ik ben dan ook niet 'into programming', maar als dit programeertaal moet wezen dan begin ik er niet eens aan.

------Edit-------

..dat het gewoon aan een ander via bij wijze van spreken een bierviltje overgedragen kan worden.

Dat vind ik toch wel knap, dat, als je in een cafe zit met wat biertjes achter de kiezen, je deze code zonder fouten kan reproduceren op een bierviltje.

mth @TerraGuy • 8 maart 2001 17:41

Yes, weer een mirror erbij!

Perl staat sowieso niet bekend als een erg leesbare taal (no flame intended). Bovendien hebben ze zwaar geoptimaliseerd op lengte ipv leesbaarheid. Bijna alle programma's zijn vele malen leesbaarder dan dit.

N8w8 @mth • 8 maart 2001 18:23

Het motto van perl is niet voor niets "There's more than 1 way to do it" (oid).
Je kan het zo (on)leesbaar maken als je zelf wilt.

Ik begrijp wel dat iets als s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg; onoverzichtelijk lijkt voor sommige mensen, maar het is in feite een regeltje wat heel logisch in elkaar zit, en voor mij goed leesbaar is.

Hangt dus helemaal van je kennis/vaardigheden af.

The Source @TerraGuy • 9 maart 2001 00:27

Lijkt me toch het beste als een MOD het stukje code weghaalt. Ben je iig niet strafbaar als de code ooit nog eens verboden wordt.

mth @The Source • 9 maart 2001 02:06

Als het nu niet verboden is, waarom dan weghalen?

DeCSS is door een Amerikaanse rechter verboden, maar dit is geen DeCSS, al heeft het dezelfde functionaliteit. Daarnaast is DeCSS in de USA verboden, maar voor zover ik weet niet in Nederland. Hier hebben we geen DMCA die het omzeilen van beveiligingen verbiedt ongeacht de reden van het omzeilen.

Verwijderd @TerraGuy • 8 maart 2001 17:15

volgens mij is het meer een scripttaal dan een programmeertaal (wat niet meteen zegt dat het beperkt is...), en dit is een zeer slecht voorbeeld van wat een programmeertaal is, dus gebruik dit ajb niet als referentie

Verwijderd @TerraGuy • 8 maart 2001 17:20

Dit is dus allemaal "gecomprimeerd". Ze hebben uiterst korte (en onbegrijpelijke) variabel identifiers gebruikt en geen spaties.

Dan is het ook niet zo vreemd dat het op 7 regels past.

Ralph Smeets @TerraGuy • 9 maart 2001 10:23

Okay, ik heb gisteren even (ongeveer twee uur) naar de code zitten te kijken. Ik begrijp nog steeds niet wat ze doen, daar er te veel dingen tegelijkertijd gebeuren. Wat deze jongens gewoon hebben gedaan is gebruikmaken van de kracht om op een regel 'n array op te bouwen, die uit elementen bestaat die het resultaat zijn van assignments..... Voorbeeld:

@a = ( 0,1,2) : Initializeer $a[0] met 0, $a[1] met 1 etc.
@a = ( 0,1,2,@b=(3,4,5)) : @b=(3,4,5), @a wordt (0,1,2,3,4,5)
Of nog gekker:
$t=(@a = ( 0,1,2,@b=(3,4,5)))[3] : @a=(0,1,2,3,4,5),
@b=(3,4,5) en $t = 3;

Daarnaast gooien ze hun hele programma in de $_, die altijd de inhoud van 'n lijn bevat. Op het laatste doen ze 'n s/x/pack+/g; op de $_ waardoor alle x-en in pack veranderen. Dus dingen als:
print+x"C*",@a; wordt print unpack "C*",@a;

Deze $_ wordt erna geevalueerd met eval. In feite runnen deze jongens 'n perl script in 'n perlscript. Waarom is me nog altijd 'n raadsel.

Als iemand me het 'map' commando kan uitleggen, want uit de perl documentatie kom ik niet wijs.

Verder is het misschiens 'n idee om 'n thread of GoT te starten om deze code tot op de laatste bit te analyzeren. Of brengt dat Tweakers.net in problemen?

The Legend

8 maart 2001 16:54

Het is toch ook redelijk naief om te denken dat je een beveiliging onkraakbaar kan maken, ipv dat ze geld steken in oplossingen die zorgen dat DVD's en CD's goedkoper worden, daar hebben zowel de consument als de producent veel meer aan.....

Vrieskist @The Legend • 8 maart 2001 18:35

Dit roept heel tweakers.net nu al 2 jaar en niemand die er naar luisterd

Verwijderd 8 maart 2001 19:21

Wellicht ten overvloede:
Op onderstaande link (1 niveau hoger dan
de link naar de perl-code) staat echt ALLES over
DVD decodering

http://www.cs.cmu.edu/~dst/DeCSS/Gallery/

Verwijderd 8 maart 2001 16:55

Dit vind ik wel heel extreem. In 7 regels code kan je erg weinig doen lijkt me, dus dat zegt wel heel veel over de kwaliteit van het CSS-algoritme.

jkf @Verwijderd • 8 maart 2001 20:35

Als het aantal regels code om iets te decoderen iets zegt over de kraakbaarheid van een encryptietechniek dan zijn we echt de sigaar

want RSA is te doen met slechts 2 regeltjes perl:

print pack"C*",split/\D+/,`echo "16iII*o\U@{$/=$z;[(pop,pop,unpack"H*",<>
)]}\EsMsKsN0[lN*1lK[d2%Sa2/d0<X+d*lMLa^*lN%0]dsXx++lMlN/dsM0<J]dsJxp"|dc`

(van http://world.std.com/~franl/crypto/rsa-guts.html)

Alleen de keys zijn wat moeilijker te vinden dan bij CSS. Die 5 regeltjes perl vinden de key overigens ook niet (net zomin als de 2 regeltjes voor RSA)

Ralph Smeets @Verwijderd • 8 maart 2001 17:29

We spreken hier over perl! In dat taaltje kun je heel veel doen in 7 regels. En zeer zeker als je ze voor de volle 80 karakters gebruikt! Zo zie je maar weer, perl is kan gewoon voor alles gebruikt worden!

Aaargh! @Ralph Smeets • 8 maart 2001 19:34

En zeer zeker als je ze voor de volle 80 karakters gebruikt!

We hebben het over perl, niet over een of andere DOS programma.
er is geen 80 karakter limiet voor regels, een regel eindigd bij een newline.
je kan een heel OS schrijven in 1 regel!, gewoon alle newlines uit de sourcecode strippen, het word een onleesbare meuk het is 1 regel!

Verwijderd @Aaargh! • 8 maart 2001 21:32

Sterker nog, dat gebeurt ook!
XP= eXtended Parse

Sorry, kon het niet laten...

roelkw @Aaargh! • 9 maart 2001 07:35

We hebben het over perl, niet over een of andere DOS programma.
er is geen 80 karakter limiet voor regels, een regel eindigd bij een newline.
je kan een heel OS schrijven in 1 regel!, gewoon alle newlines uit de sourcecode strippen, het word een onleesbare meuk het is 1 regel!

Idd, da's wel waar, maar hier wordt alles toch afgebroken na 80 tekens geloof ik hoor.
Dat maakt 't eigenlijk nog alleen maar knapper, 8*70=560 tekens, misschien iets meer, iets minder. Dat is toch nix!
Zo blijkt maar weer dat de codering van tegenwoordig ook niet veel meer voorstelt!

Verwijderd @Verwijderd • 8 maart 2001 17:03

Hoewel duidelijk mag zijn dat de kwaliteit van het CSS algoritme slecht is, is je aanname dat je weinig kan doen in 7 regels perlcode niet goed.

Kijk voor de grap eens naar de code en zie dat er erg veel gedaan wordt

Verwijderd @Verwijderd • 8 maart 2001 17:12

Alhoewel ik het met je eens ben dat het een knap stukje coding is (ben zelf niet echt een Perl-kenner overigens), blijft het weinig coding voor een algoritme waarmee de muziekindustrie met zijn miljardenomzetten zijn inkomsten tegen de grote boze wereld wil beschermen.
Anders gezegd, op het moment dat je een nieuw medium op de markt brengt, en je wil dat beveiligen, dan hoef je toch maar één blik in de gameswereld te werpen om te zien dat je van goede huize moet komen. Of in ieder geval met een beter stukje techniek dan hetgeen ze nu hebben gebruikt.

Overigens zag ik laatst de sourcecode voor DeCSS en dat past ook op een half A4'tje

Verwijderd @Verwijderd • 8 maart 2001 17:25

Dit zegt niet zoveel over de kwaliteit van CSS, dit zegt een heleboel over de kracht van Perl!

mavink @Verwijderd • 8 maart 2001 21:50

Het zijn geen 7 statements, het is gewoon een flink programma dat op 7 regels geperst is door lekkere korte variabele-namen te gebruiken, newlines en spaties weg te halen, etc.

Het zou best een inzending voor de "obfuscated perl contest" kunnen zijn; dat is een wedstrijd waarbij je probeert het meest onleesbare stukje code te maken. Daar komen ook altijd dit soort dingen uit.

bokkie11 8 maart 2001 17:59

die lui bij css zullen zich wel lekker lullig voelen zeg
7 regels die een beveiliging van jaren werk kan omzeilen

echt belachelijk, als je die beveiliging goed wilt hebbe huur dan die studenten in ik denk dat die wel een iets beter beveiliging kunnen maken...

Aaargh! @bokkie11 • 8 maart 2001 19:40

Probleem was dat je voor technologie met zware encryptie in de VS een export vergunning nodig hebt.
met de huidige zwakke DVD encryptie is dat niet nodig

MeNTaL_TO @Aaargh! • 9 maart 2001 12:36

Export is sowieso verboden (staat op de dvd zelf)
Geen idee of dit ook in Nederland strafbaar is.

Verwijderd @MeNTaL_TO • 9 maart 2001 14:41

nrr in nederland is dit niet verboden

Verwijderd @bokkie11 • 8 maart 2001 18:21

Studenten willen dat niet, tenminste de studenten die er verstand van hebben. Beetje eigen glazen ingooien in de kwestie "information deserves to be free"

dacht het niet, alvast kreeg ik er _VEEL_ geld voor, nou ja, er zijn natuurlijk grenzen

(ik ben dus ook geen echte hacker

)<div class=r>[Reaktie gewijzigd door [Felix]]</div>

DMT @bokkie11 • 8 maart 2001 19:59

Nou dat zien we wel weer dat het jaren werk is geweest. Volgens mij hebben ze jaren zitten vergaderen met een krat halve liters. En de laatste maand maar eens wat op papier gezet

lambi80 8 maart 2001 16:58

Het blijkt wederom weer dat mensen simpelweg niet van hun fouten leren; ook de beveiliging van CD-ROM's wordt keer op keer omzeilt, wat ze ook bedenken.
Dit zal met DVD niet anders zijn. Waarom stoppen ze er niet gewoon. Het overgrote merendeel van de doelgroep voor DVD films weet toch niet hoe het werkt, waar ze het moeten vinden, geen tijd voor, geen zin etc etc. Dat een relatief zeer kleine groep zich wel bezig houdt met het kraken en al dan niet illegaal verspreiden ervan, dat laat je als filmdistribiteur tock koud

shredder @lambi80 • 8 maart 2001 18:52

Je moet wel degelijk beveiligen. Als het niet beveiligd is kun je krakers (lees hier: copieerders) veel moeilijker strafrechtelijk vervolgen. Hetzelfde geldt voor hacken. Je computer of gegevens moeten op een minimale manier beveiligd zijn. Lees de wet computercriminaliteit er maar op na.

picobyte 8 maart 2001 17:00

Op het moment dat een beveiliging op een disk wordt meegeperst en de sleutel in de afspeel app(aratuur)zit is het al een verloren strijd voor de filmbonzen

DMT 8 maart 2001 17:12

Als we zojuist een artikel hebben gehad over Aimster dat al laat zien dat je iets niet mag kraken hoe eenvoudig het ook is.
Waarom zou dat met dit dan wel mogen?

Niet dat ik er op tegen ben, integendeel.
Maar ik denk niet dat het gewoon ineens legaal is omdat de code zo kort is.

Verwijderd 8 maart 2001 17:14

Klik es met rechtermuisknop op die link en dan opslaan als/save as

wat je te zien kreeg was de code

lexkam 8 maart 2001 17:39

DVD = Decoderen Voor Dummies

Erg lullig voor CSS als je code met 'slechts' 7 regeltjes om zeep wordt geholpen. Deze jongens (m/v) krabben zich nu ff achter het oor

Op dit item kan niet meer gereageerd worden.

CSS weer gekraakt, nu via uiterst beknopte perl-code

Lees meer

Reacties (56)

Sorteer op:

Weergave: