[討論] 我們與資安的距離

作者monoceros629 (獨角獸)

看板Soft_Job

標題[討論] 我們與資安的距離

時間Wed Apr 17 04:07:51 2019

最近有一部公視的戲劇叫「我們與惡的距離」，還蠻紅的。上周日剛播完七、八集，讓台劇版的人氣衝上站上第二，大約7000人在台劇版吧。這部戲有在公視+和catchplay上架，每周日晚上九點和公視同時直播。前兩個星期都有造成公視+和catchplay因負載過大，出現當機的情形我有小研究一下，catchplay的片源是放在Amazon S3，然後有做CDN 可是即使做了CDN也有可能負載過大，所以還需要動態的調整CDN的負載，這真的很技術。不過我今天要講的不是這個問題兩三個星期前，我看完一、二集時就試著想要破解看看，能不能先看未上架的影片用網路監控工具就發現會一直從S3下載片段回來，再組合然後我又發現catchplay的命名規則很簡單稍微改個連結，就下載到了連公視還沒播出的資料，當下確定全部影片都已上傳到AWS S3了。不過最後我卡在對影片格式不熟，也對前端技術不夠熟不過最後我卡在對影片格式不熟，也對前端技術不夠熟所以組起來的mp4，撥放是一片黑，因為我也不是那麼急，這件事就放著了。直到今天，公視目前播到第8集，我竟然在網路上看到完整的第9集。證明己經被破解了，我認為這件事很嚴重，對公視來說，大幅影響首播的人氣對Catchplay來說，付大錢買版權，結果播的比盜版網站還慢。 ※ 編輯: monoceros629 (39.12.128.139), 04/17/2019 04:23:49

→ bakedgrass: 想到以前馬英九的治國週記...你要領小禮物了嗎？04/17 05:53

※ 編輯: monoceros629 (39.12.128.139), 04/17/2019 07:00:25

推 ldkrsi: 很公視的風格XD 04/17 07:18

→ CCWck: 你與違反著作權法的距離只差一點點了 04/17 08:47

→ allenxxx: 你與地板上肥皂的距離? 04/17 08:51

推 hooll111: 抓資安漏洞 Amazon應該獎勵他 04/17 08:54

→ vi000246: 這篇要低調一點雖然我連7.8集都還沒看 04/17 09:02

推 fhsh810305: 這又不是Amazon的漏洞.... 我們離資安的距離真的很遠 04/17 09:16

推 polonine: 影片DRM加密是在Codec上做加密，再封裝成fMP4,方便透過c 04/17 09:25

→ polonine: dn發佈，你沒解密Key也沒用,不怕你下載 04/17 09:25

→ alog: 這個問題在提早有影音檔可以看而不是DRM 04/17 09:32

推 alog: 聽原po的描述我猜在 Cloudfront 那段沒做更細緻的權限控制 04/17 09:34

→ alog: https://i.imgur.com/xSnI3hY.jpg 04/17 09:34

推 alog: 另外一個問題是如果你想抓盜版必須期望當初在建這個CDN 04/17 09:36

→ alog: 分發時有先記得開一組Log Bucket 04/17 09:36

推 lovebridget: 放了告到爽啊順便炒知名度 04/17 09:38

推 alog: 不然上CDN 外部存取進來是沒有記錄的 04/17 09:39

→ lovebridget: 跟專利一樣巴不得你去踩 04/17 09:39

→ alog: 原po有空的話其實可以回報lol 04/17 09:40

推 polonine: 技術本身不一定是外流的主要原因，技術人員本身就要有更 04/17 09:53

→ polonine: 好的道德標準，比平常人更容易接觸到原始資料或大眾的個 04/17 09:53

→ polonine: 資 04/17 09:53

推 crossdunk: 冰與火之歌前幾季才剛出第一集後面都有了= = 04/17 10:13

推 a0960330: 原po不要回報，在台灣回報資安漏洞只會被關而已 04/17 10:54

推 ktecv2000: 繼蚊香社流出後這是是公視流出ㄇ 04/17 10:56

推 mcmj5566: 試了一下的確可以只是沒有字幕XD 但我還是乖乖等週日播 04/17 10:57

→ mcmj5566: 出支持一下國產作品 04/17 10:57

推 Huffman: 看一下張啟元用1元購買統聯車票的事件 04/17 12:39

推 es8603: 小心被"解決不了問題只好解決提出問題的人" 04/17 13:57

→ jack10220: 八卦那有貼相關新聞了 04/17 14:08

→ for5566: 查了一下，這應該是內部人員自己流出的，CDN上的都有DRM 04/17 14:08

→ for5566: 加密，實務上也沒有需要把未加密的檔放在cdn，放在S3上有 04/17 14:08

→ for5566: 可能，但S3權限預設就不公開，也看不出有理由把它設公開 04/17 14:08

→ dreamnook: 請你直接跟公視聯絡吧O.O 04/17 14:34

推 lisa68: 已上新聞 04/17 14:43

→ TWBilly: 我通知一下在AWS的朋友 04/17 14:53

→ monoceros629: 有DRM的話，我就不知道是內部流出，還是DRM被破解 04/17 15:14

→ monoceros629: 了 04/17 15:14

→ monoceros629: 不過如果小心一點的話，就算有DRM，還是不應該讓未 04/17 15:16

→ monoceros629: 上架的影片檔能被下載 04/17 15:16

推 SuperCry: catchplay好像給薪不是很大方 04/17 15:40

噓 andy199113: 阿就不是cdn問題阿 04/17 17:29

推 andy199113: CDN使用亞馬遜和阿里雲影片提早上架，有DRM加密 04/17 17:43

→ andy199113: 程式碼js沒有加密 + DRM可能有漏洞被解出串流影音金鑰 04/17 17:45

→ andy199113: 依照國外應該是播出完後才正式上架但這OTT直接上架 04/17 17:46

→ andy199113: 應該不是對岸字幕組特地弄字幕而是官方字幕檔也上架 04/17 17:47

推 zaramaru2: 你是ctf大師吧? 04/17 18:46

推 vn509942: 解決不了問題，先解決白帽 04/17 19:00

推 polonine: 我個人還是偏向內部流出的可能性較大，若DRM被破解的話 04/17 19:32

→ polonine: ，不會只有這一部片出問題 04/17 19:32

→ darkMood: 沒什麼，如果考慮所有的惡意，人類無法生存，希望有 04/17 20:01

→ darkMood: 惡意的人都被雷劈死，被砂石車輾死，被太陽曬死，哈 04/17 20:01

推 bill750121: 應該就在codec上加密了吧... 04/17 20:12

→ monoceros629: 這好像是catchplay 第一次投資自製劇，所以之前都 04/18 06:04

→ monoceros629: 是直接上架就能看，不像這次是上架但是不給看 04/18 06:04

推 bitcch: 每一集的key應該都是獨立的吧就算影片抓下來也撥不了 04/18 21:35

→ williamtsai: 其實可以直接用 m3u8 載，只要你有 token 就好了，不 04/19 12:11

→ williamtsai: 過他好像有把音軌放在別的地方，我目前是估計他所有 04/19 12:11

→ williamtsai: 集數都共用一個 token，所以只要有合法 token 就可以 04/19 12:11

→ williamtsai: 把還沒公佈的集數爬下來 04/19 12:11

→ williamtsai: 等，我是用公視+ 不是 catchplay XD 04/19 12:12