INTERVJU: Anders Näsman, Akamai

INTERVJU: Anders Näsman, Akamai

Hoten mot tv-världen

Text & foto: Johan Skaneby

Nät- och IT-brottsligheten blir allt mer sofistikerad. Att skydda sin verksamhet och sitt innehåll har för företag och sändningshus blivit en allt större angelägenhet. Men vad ska vi skydda oss emot? Informationsmanipulation? Kopiering av krypterat material? DDoS-liknande attacker? Och med vilka tekniker kan vi skydda oss? Dessa är några av frågorna som Johan Skaneby, konsult och videospecialist på Eyevinn Technology, reder ut tillsammans med Akamais Senior Solution Engineer Anders Näsman.

Det är en regnig natt på Wayne Manor. Bruce Wayne och Alfred ser på tv tillsammans som de brukar. Plötsligt blir bilden grynig och börjar flimra. En välbekant figur visar sig snart i rutan. Det är ärkefienden Jokern som har tagit över tv-sändningen för att presentera sin nya show ”Jokern och borgmästaren”. Jokern berättar att programmet kommer att sändas senare i kväll så snart stadens borgmästare är kidnappad och kan delta. Wayne reser sig omedelbart för att klä om… [dramatisk musik, och så vidare.]

Hur många gånger i tv- och filmhistorien har inte ovan scenario spelats upp för att återspegla hur maktfull och farlig en skurk kan bli? Men kan det faktiskt ske? Har det skett? Och i sådana fall, hur?

Tv och radio har varit en lika viktig som central del av vår vardag det senaste århundradet. I begynnelsen var ju tv och radio en informationskanal där befolkningen kunde erbjudas underhållning, nyheter och samhällsinformation från en samhällsägd, icke-kommersiell plattform här i Sverige. Den senare delen av förra seklet började vi tillåta fler kommersiella aktörer – och kanaler. Innehållet breddades, men inte den tekniska plattformen. Distribution skedde fortfarande i tämligen slutna domäner för allmänheten – något som naturligtvis förenklade kontrollen av distributionen. Men inte länge till.

Hoten har förändrats över tid

Ni som besökt SVT på Gärdet har säkert noterat skyltarna att detta är en säkerhetsklassad zon. Faktum är att Sverige, precis som övriga länder, måste så långt som möjligt kunna kontrollera marksänd information till befolkningen i händelse av krig och/eller katastrof – därför är naturligtvis detta traditionella distributionsnät fortfarande oerhört viktigt.

Men hoten har ju förändrats över tid. Skyddet av vårt marknät handlade – och handlar fortfarande – i första hand om att skydda anläggningar mot fysiskt sabotage av olika slag, där master, kablar, med mera, förstörs som en del i ett försök att skapa kaos. Men att någon utomstående skulle kunna ta över sändningsfrekvensen, som vi så många gånger sett skurkarna göra i gamla actionfilmer, har inte hänt här, och det beror nog på stelheten i distributionsarkitekturen – det finns helt enkelt inte de publika accesspunkter som skulle behövas.

I dag distribueras mycket tv över internet – något som förändrar hotbilder och de utmaningar som funnits tidigare.

Akamai

Akamai är ett av världens största CDN- och molntjänstföretag med huvudkontor i USA. CDN står för Content Delivery Network och beskriver en arkitektur som möjliggör överföringsprestanda, av till exempel media i vårt fall, över hela världen via ett system av replikerande servrar.

Med digital distribution ökar faktiskt riskerna att något sådant skulle kunna hända.
— ANDERS NÄSMAN, AKAMAI

På Akamais Sverigekontor i Solna träffar jag Anders Näsman, Senior Solution Engineer. Anders Näsman har en lång erfarenhet av både de gamla tv-systemen och de nya. Senast kommer han från Ericsson där han arbetade som produktägare. Det känns verkligen som att jag har träffat rätt person för ämnet säkerhet och hotbilder för internet-distribuerad tv. Vi får börja med att reda ut den skakande inledningen på denna artikel.

Anders Näsman, Senior Solution Engineer på CDN- och molntjänstföretaget Akamais Sverigekontor i Solna.

 Hur är det nu, Anders? Kan man ta över hela tv-sändningen på samma vis som vi ser i filmens värld?

– Med digital distribution ökar faktiskt riskerna att något sådant skulle kunna hända. Ta det här med reklam till exempel. Säg att du lyckas hacka spelaren eller DNS:en så att den inte längre hämtar reklam från reklamservern, utan i stället från en helt annan mer ondskefull källa. Till exempel främmandemakt.com. Problemet blir ännu större i peer-to-peer-nätverk, där alla som konsumerar ett mediaavsnitt också via peer-to-peer-arkitekturen bidrar med sin bit av filmen. Då kan ju varje klient teoretiskt byta ut olika delar av filmen som distribueras till sitt eget innehåll. Det var faktiskt så skivindustrin gav sig på de tidiga fildelarnätverken (BitTorrent) i begynnelsen – som deltagande klient bytte skivbolagen helt enkelt ut slumpvisa segment till ett tresekunders-pip. Så, om man som kommersiell leverantör väljer en sådan teknik, måste man också försäkra sig om att det finns en teknik som förhindrar denna typ av manipulation av segment.

Ja, där har vi ju faktiskt ett omvänt exempel. Innan vi går vidare känner jag ändå att jag behöver förtydliga begrep som DNS och peer-to-peer.

DNS och peer-to-peer

DNS är en internetteknik som översätter faktiska IP-adresser till namn och vice versa. När ni knappar in http://www.tidningenmonitor.se/ så översätts den adressen till ett faktiskt IP-nummer och adress som hemsidan ligger på. Om någon hackar en DNS så kan man alltså hamna någon helt annanstans när man knappar in sin internetadress i URL-fönstret i sin browser.

Peer-to-peer är ett protokoll som BitTorrent använder sig av där helt enkelt alla som tittar eller laddar ner också bidrar med att ladda upp sin bit till helheten. (Det var dessa ”styrfiler” som The Pirate Bay indexerade – inte filmerna i sig). I BitTorrent-tjänsten handlar det om filer, men peer-to-peer-tekniken fungerar även för live-material.

För att förstå de olika punkter som kan utsättas för attacker, läckor eller manipulation, har Anders Näsman pedagogiskt sammanställt en övergripande bild av de olika delarna i produktion och distribution av film och tv. Låt oss titta lite närmare på dessa.

Unwanted syndication – ofrivillig syndikering

Unwanted syndication handlar om att samla ihop och publicera innehåll på en icke godkänd sajt eller plattform, till exempel XBMC eller liknande, för att sedan dra besökare till den sajten eller plattformen. Detta sker oftast per automatik och kallas för ”scraping”. Anders ger oss ett exempel

Vi har pratat med flera innehållsägare, och just mezzanine-stöld (filmmaster) är det man anser vara branschens farligaste problem i dag.
— ANDERS NÄSMAN, AKAMAI

– Låt oss ta ett antal pay-per-view-tjänster som hyr ut samma film, men till olika pris. Med hjälp av automatiserade processer som ”scrapar” de olika pay-per-view-sidorna och använder informationen i en egen databas så kan man nu skapa en egen otillåten sida där besökare får jämföra var det är billigast att hyra filmen. Det betyder ju då att det nu finns reklamintäkter som plötsligt hamnar någon annanstans.

Vi förstår alltså principen. Själva hyrintäkterna består, men det är inte svårt att samla annan parts innehåll på en egen sida för att bygga en reklamfinansierad portal. Det finns även en rad överenskomna, liknande tjänster som vi använder dagligen. Jag, till exempel, använder nyhetssidan Omni.se som samlar alla tidningars innehåll. Smidigt – och vad jag förstår, överenskommet.

Original Mezz theft – stöld av filmoriginal

Det här är kanske den del som bekymrar mest. Den kanske mer dramatiska versionen att ett avancerat brottsligt hackernätverk tar sig in på företaget och laddar hem senaste Game of Thrones eller liknande är inte så vanligt som man förleds att tro när man läser nyheter. Ett betydligt vanligare sätt är faktiskt att någon ur personalen, eller liknande, kanske en missnöjd eller mutbar anställd, ligger bakom läckaget.

– Vi har pratat med flera innehållsägare, och just mezzanine-stöld (filmmaster) är det man anser vara branschens farligaste problem i dag. En aktör på marknaden räknande på detta och kom fram till att det är cirka 400 personer, personal, konsulter, tredjepartsföretag, med flera, inblandade i hanteringen av en filmmaster fram till att den finns online, berättar Anders.

Jag har själv varit och besökt de transkodningshus som hanterar de stora filmbolagens mastrar och slagits av den rigorösa säkerheten. ID-kontroll vid inpassering trots att man är bekant med ägarna sedan flera år. Gallergrindar och rum som man absolut inte får vistas i. Bara en person som är avtalad och betrodd får hantera det rykande färska avsnittet som precis överförts med högsta säkerhet över Atlanten under natten som varit.

Mjukvarubolag har ju precis samma problem, fortsätter Anders. Det kommer ut mjukvaror och kod i förtid. Därför har Google utvecklat ett tekniskt arbetssätt som man kallar Beyond Corp (https://cloud.google.com/beyondcorp/). I den stora internetvärlden brukar man kalla samma sak för Zero Trust – det vill säga, ”lita inte på någon”. Traditionellt sätt så har IT-säkerhet handlat om att skydda insidan mot utsidan enkelt beskrivet. BeyondCorp och Zero Trust är utvecklade strategier för att vem som helst skall kunna arbeta var som helst utan att komma åt materialet.

– Man kan säga att du kopplar upp dig via en tunnel, en VPN (Virtual Private Network), men ändå inte. I själva verket arbetar du med en skärmbild av produktionsmiljön. Du kommer aldrig åt själva filerna som du annars skulle göra i traditionell IT-säkerhet. Filerna finns bara på en server någon annanstans och du tunnlas bara via ditt gränssnitt till den miljön, förklarar Anders.

Att människan själv många gånger är den svaga länken i den tekniska kedjan bekräftas återigen. Oavsett om vi medvetet eller omedvetet deltar i läckaget.

Olaglig distribution

Här har operatörer satt ett stort fokus under lång tid – inte bara av eget intresse, utan även på order av innehållsägare. DRM (Digital Right Management) är kanske den vanligaste formen av skydd och innebär egentligen att distributören av själva långfilmen eller sportsändningen krypterar uppkopplingen och innehållet på ett sätt som gör det omöjligt att spela upp om man inte har själva nyckeln, som automatiskt distribueras till din spelare efter bekräftad inloggning. (Väldigt enkelt beskrivet.)

Det betyder ju att om man på något vis ändå lyckats att ladda hem filen så kommer inte konverteringsprogrammet man försöker använda, för att göra en piratversion i mp4, kunna se innehållet eftersom avkodningsnyckeln saknas. Det finns olika nivåer av DRM också – flera tillåter inte att spela in skärmen heller. Ett exempel på hur tekniken fungerar här finns ju faktiskt när ni swishar. Försök ta en skärmdump på skärmen och skicka till polaren så att han får gå in på samma entrébetalning. Går inte.

Osynlig vattenmärkning – forensic watermarking

Vattenmärkning skulle väl kanske vara ett utdött ord i dag, om det inte vore för säkerhetsaspekterna inom digital distribution. Den klassiska vattenmärkningen av video handlar om att placera en synligt transparent symbol eller ett namn över materialet för att förstöra den kommersiella upplevelsen utan att påverka bearbetningen av materialet. Ett bra exempel är filmer som skickas till textning – dessa kan vara vattenmärkta i bild, vilket inte påverkar översättarens arbete, men förhindrar intresset av att sprida filmen vidare.

Nästan allt innehåll är numera osynligt vattenmärkt redan från produktionsmiljön. Du kan se vilken kamera, vilken redigering, med mera, som materialet passerat.
— ANDERS NÄSMAN, AKAMAI

Annars är ju skärminspelningar, ”screen scraping ”, när det är möjligt, ett väldigt vanligt sätt att ”rippa” media eftersom datorerna i dag är så kraftfulla att de orkar spela in en fullupplöst skärm i tillräckligt antal bilder per sekund (25, 30, 50, 60). Just livesändningar av sport, så kallade ”fulströmmar”, är ju nästan vardag för många sportintresserade. Svaret från leverantörerna är forensic watermarking – ett tekniskt begrepp som skulle kunna översättas till osynlig vattenmärkning. I korthet går det ut på att märka bilden med en visuellt osynlig digital signatur som gör det möjligt att spåra den källa som läckte filmen eller liveströmmen. Det, tror jag, är intressant läsning – särskilt för dem som erbjuder fulströmmar.

– Nästan allt innehåll är numera osynligt vattenmärkt redan från produktionsmiljön. Du kan se vilken kamera, vilken redigering, med mera, som materialet passerat. Det är alltså värt att påpeka att det finns teknik som möjliggör att varje enskild tittare får en unik version som är vattenmärkt med deras ID – även om du till och med bara har filmat tv-skärmen, berättar Anders.

Hur agerar man på den information då? Om de som sprider material inte ens själva vet om att de är avslöjade?

– Det finns företag som sysslar med att spåra innehåll på de här viset. Friend MTS är ett sådant. Deras uppgift är att spåra dessa användare och rapportera källan till de operatörer och innehållsinnehavare som berörs. Därefter är det upp till dessa att agera på informationen. Friend MTS, Irdeto, Verimatrix är alla företag som också har egna tekniker för att lägga in osynlig vattenmärkning i videobilden.

Lösenordsläckage – credential abuse

I ovan beskrivning delas innehåll medvetet, men det kan också ske på andra sätt. Vad händer om någon stjäl ditt lösenord? Faktum är att det i dag finns en marknad för lösenord på DarkWeb, en del av internet utan insyn av myndigheter (eller?) där alla är anonyma. Här kan man köpa lösenord till olika priser beroende på hur tillförlitliga eller säkra dessa lösenord är. Med det menas hur ofta de används, hur många inloggningar som tillåts, med mera. För att bestämma och indexera dessa lösenords värde används automatiserade processer, eller så kallade ”botar”, som testar inloggningssidor kontinuerligt.

Finns det tjänster eller teknik då för att känna av om det är en människa eller en ”bot” som försöker logga in?  Visst finns det. Redan när vi som människa eller bot är i färd med att logga in på en tv-tjänst så kan det finnas en teknik på inloggningssidan som läser av det fysiska beteendet i stunden.

Här ser vi hur det fysiska beteendet avläses på inloggningssidan, i detta fall musrörelser.

– Även om de oseriösa aktörerna känner till den här typen av avkänning så ser vi ändå att en människas inloggningsförsök är väldigt mycket mer unikt än det förväntade mönstret av en bot.

Inte bara rörelser, utan även tidsintervaller och rytm vid inloggning kan kännas av och analyseras. Bilden visar tydligt skillnaderna mellan människa och automatisk process.

– Den information som följer med inloggningsprocessen skickas sedan vidare till respektive operatör taggat med information att detta kan röra sig om ett automatiserat inloggningsförsök, berättar Anders.

Och här avläses och analyseras tidsintervaller och rytm vid inloggning.

Så här långt är jag rätt imponerad av den pågående kampen mellan de olika teknikerna. Att logga in med mobiltelefon och en mängd olika versioner av dessa är också ett populärt sätt att testa inloggningsuppgifter. Enligt Anders finns stora hallar med väggar av mobiltelefoner monterade för just sådana typer av uppgifter. Anders visar hur man som motdrag även kan känna av hur en telefon hålls och vinklas i rummet av människa, något som naturligtvis är omöjligt för en automatiserad process. Akamai vet naturligtvis även av erfarenhet vilka IP-adresser som redan används av automatiserade nätverk och kan blockera tidigt redan på den nivån om det skulle behövas.

Människor och bottar interagerar med gränssnitt på olika sätt. Genom att titta på hur en besökare interagerar med en sajt, kan Akamais Bot Manager avgöra om den här användaren är en besökare av kött och blod.

Att förstöra distributionen – DDoS-attack (Distributed Denial of Service)

Få med intresse för dessa områden har väl undgått att läsa om den kanske vanligaste och brutalaste formen av sabotage – DdoS-attacker. I korthet går det ut på att ett stort antal användare kontaktar en server så många gånger per sekund att servern blir överbelastad och inte kan svara. DDoS är en generisk strategi för att störa distribution i många branscher, inte bara tv-branschen.

– Bland de större attackerna har dessa hittills skett via webkameror, berättar Anders. En hackad firmware fick dessa kameror att agera ”botar”.

Bilden beskriver grundprincipen för ett DDoS-attack. Många gånger används privata datorer utan användares vetskap som en av 10 000-tals förfrågare i ögonblicket. Dessa datorer brukar också benämnas ”zombies”. Internet of Things (IoT) är en besläktad benämning där övrig internetuppkopplad apparatur som kylskåp, larm, värmepumpar, med mera, också hackas och används i dessa nätverk.

Det är IoT (Internet of Things) som är den stora faran, alltså?

– Precis, det är ju inte längre så mycket folks datorer eller telefoner, utan snarare olika enheter och klienter hemma och i samhället som är uppkopplade mot internet. I tv-distribution så består ju ett CDN av många noder (edge) för att sprida överföringsprestanda. Den största attack som vi på Akamai har råkat ut för var på 1,2 terabit per sekund när hackare försökte, men lyckades inte, sänka en stor plattform med en DDoS-attack. (För er som är nyfikna på vilken – googla.)

Anropen når först CDN:et och den trafiken ligger ju utanför kontroll. Här behövs alltid en större kapacitet än vad attacken i sig kräver. Mellan CDN och de kritiska servrarna och tjänsterna som är DDoS-attackens mål så finns däremot en rad verktyg och tekniker att använda för att skilja de äkta anropen från de som är utförda av ”botar”. För Akamais del handlar det alltså lika mycket om kapacitet att hantera anropen mot sitt CDN som att hantera anropen intelligent.

– Det som är mer känsligt är ju DNS:erna. För att ens kunna surfa till en site så behövs det ju en DNS som tar dig dit. En DDoS-attack mot DNS-servrar är ju betydligt känsligare och dessa har ofta inte samma skydd i sin kapacitet. Så, här behövs alltid en noga genomtänkt plan för att klara en attack, menar Anders.

Infrastruktursäkerhet

Det går ju även att plantera skadlig kod i kommersiella produkter. Detta är nu något vi har fått en del rapporter om de senaste åren. Nyligen handlade om en påstådd attack mot leverantörskedjan som tillverkar chip åt stora amerikanska hårdvarutillverkare. Enligt initiala uppgifter skulle Kina placerat in ett designat chip stort som ett riskorn (!) för att kontrollera eller läsa information i servrar och logikkort tillverkade av SuperMicro. Många stora hårdvarutillverkare har dock även förnekat dessa uppgifter, skall tilläggas.

Det tog uppemot 20 timmar innan kanalen var online igen.
— ANDERS NÄSMAN, AKAMAI

– När det gäller infrastruktursäkerhet så adresserar vi först och främst riskerna med Zero Trust. Vad jag känner till annars så är det mest omtalade sabotaget det mot TV5 Monde i Frankrike för tre år sedan, där man råkade ut för hackerattack som ledde till att man lyckades hacka firmware i företagets nätverksswitchar. Det tog uppemot 20 timmar innan kanalen var online igen.

Hur maskiner kommunicerar

Säkerheten på internet förbättras ju av naturliga skäl hela tiden. HTTP har adderats med SSL och blir en ny handskakning mellan servrar som i stället kallas HTTPS. I korthet går det ut på att den sajten som du skriver in – till exempel http://aftonbladet.se, kan gå vart som helst. Men om du skriver https://aftonbladet.se och får en grön markering bredvid ditt sökfält, då har adressen verifierats med ett digitalt certifikat och du vet att du har hamnat rätt.

Det har varit ett oerhört intressant samtal med Anders Näsman – och det är nästan att man är lite orolig för sin egen internetsäkerhet när man har hört om alla möjligheter tillika omöjligheter som finns där ute. Rent generellt kan vi väl konstatera att ta kontrollen över och stänga ner våra medietjänster är skrämmande för många och kampen förs uppenbarligen mellan de olika aktörerna där ute hela tiden. Manipulation av innehåll är inte fullt lika vanligt, även om den faktiskt har skett vid några tillfällen också. Att detektera ”botar” känns väldigt aktuellt. Vad gör Facebook där, till exempel?

Jag tror att vi ska mer varsamma på det innehåll vi faktiskt läser på sociala medier och ser på tv. Cambridge Analytica-affären, det amerikanska valet, trollfabriker här och där, är nog källa till minst lika mycket akut manipulation av information.

BRANSCHNYHET: RCF Group förvärvar DPA Microphones

BRANSCHNYHET: RCF Group förvärvar DPA Microphones

PRODUKTNYHET: RED utökar sensorsortimentet

PRODUKTNYHET: RED utökar sensorsortimentet