giovedì 10 marzo 2016

Un primo approccio al watermark: gli EPUB di Macrolibrarsi

La continua ricerca di nuove frontiere che consentano alle case editrici di tutelare i propri interessi sta portando alla scoperta di nuovi meccanismi di protezione più o meno sofisticati quali il DRM e il watermarking. Quest’ultimo, la cui prima implimentazione è più recente, consiste nell’applicare un “sigillo” alla copia digitale di un libro, contenente tutte le informazioni identificative del “proprietario”.
Dal punto di vista della sicurezza, esistono tre tipi di watermark: fragile, semifragile e robusto.
In questo articolo analizzeremo un watermark molto fragile, cercando di rendere evidente la quantità di informazioni che potrebbe contenere un prodotto digitale.
Ho dunque acquistato regolarmente un ebook (in formato .epub) sul sito di Macrolibrarsi, dopo ovviamente aver verificato che contenga una protezione watermark:


…e ho subito ricevuto il link di download via e-mail:


L’ho quindi scaricato e ho subito proceduto con l’estrazione dei file presenti all’interno del file .epub utilizzando il noto software “unzip”…


…ottenendo così due cartelle: META-INF e OEBPS. Nella prima troviamo un singolo file “container.xml” che non contiene informazioni particolarmente interessanti; i contenuti dell’ebook, quali immagini e testi, li troviamo invece nella seconda cartella:


Il file “_license0.xhml” è il primo che ho scelto di analizzare ed effettivamente contiene la nostra prima traccia di watermark:


Passando in rassegna gli altri file, si può dedurre che TUTTI i file .html contengono queste informazioni pericolose, quindi il nome dell’acquirente, l’indirizzo e-mail, la data di acquisto e il numero dell’ordine.


Ma il watermark non si trova necessariamente sotto forma di “testo”, infatti nella cartella “img” troviamo l’immagine “_img_license0.png”, la quale, una volta aperta, si presenta in questo modo:


Per essere sicuri che nessun altro file sia stato “marchiato” con altre tecniche, un mio amico, che ha contribuito a questa “ricerca” e che ringrazio moltissimo, mi ha fatto notare che da una semplice analisi della data di modifica dei file è possibile determinare quali file sono stati modificati il giorno dell’acquisto (ovvero il 9 marzo 2016) e da ciò si può dedurre nell’aggiunta arbitraria di informazioni identificative. Con un semplice comando si conferma la nostra ipotesi:


Infatti, come abbiamo potuto verificare, gli unici file a cui è stato aggiunto il watermark, sono il file _license0.xhtml, tutti gli .html e l’immagine _img_license0.png. È opportuno quindi, per ulteriore sicurezza, durante la rimozione del watermarking, modificare la data di modifica, specialmente nel caso in cui viene effettuata questa operazione nello stesso giorno dell’acquisto dell’ebook.
Ho provveduto a raccogliere tutte le informazioni riguardo la posizione del watermaking negli ebook EPUB di Macrolibrarsi, riuscendo così a creare un semplice (e buggato) script che effettua per noi questa procedura di rimozione.

Nessun commento:

Posta un commento