Satellite Cardsharing Forensics

Ιωάννης Πάσχος 1

Satellite Cardsharing Forensics

Η δορυφορική τηλεόραση έχει μπεί στην καθημερινή μας ζωή. Δυστυχώς όμως έχει κάποια προβλήματα -όπως η κρυπτογράφηση του τηλεοπτικού σήματος και η απαίτηση συνδρομής για την αποκρυπτογράφηση και θέαση του- τα οποία έχρηζαν βελτίωσης. Ευτυχώς η κοινότητα αποφάσισε να βελτιώσει αυτές τις υπηρεσίες έτσι ώστε να στοιχίζουν από το τίποτα ( ο τζάμπας δεν πέθανε τελικά) έως ένα ποσοστό της νόμιμης συνδρομής. Σήμερα θα δούμε αυτούς τους τρόπους, πως και αν μπορούν να εντοπιστούν και τι ευρήματα μπορούν να βρεθούν από την εγκληματολογική εξέταση.

26/3/12


Θέματα

• Ποιος εισαι εσύ?• Λόγοι για τους οποίους γίνεται η υποκλοπή• Συστήματα – τρόποι υποκλοπής• Εγκληματολογική εξέταση• Νομικά θέματα

26/3/12


Ποιός είσαι εσύ?• Αξ/κος ΕΛ.ΑΣ ε.α.• Ιδρυτής του Εργαστηρίου Εξέτασης Ψηφιακών Πειστηρίων της

ΕΛ.ΑΣ.• Δικαστικός Πραγματογνώμονας εγγεγραμένος στον Πίνακα

Πραγματογνωμόνων Αθηνών• Ειδικότητα Εξεταστή πειστηρίων από ΕΛ.ΑΣ• Πιστοποιημένος εκπαιδευτής INTERPOL• CFCE (International Association of Computer Investigation

Specialists)• Europol• Μπλα, μπλα, μπλα ποιο είναι το θέμα μας?

26/3/12


Λόγοι για τους οποίους γίνεται η υποκλοπή

• Δύο λόγοι– Ο εξής ένας: Οικονομικότερο (aka τζάμπα)

• Δύο κατηγορίες– Προσωπική χρήση (Θέαση δωρεάν ή θέαση σε

περισσότερες από μια TV)– Επαγγελματική χρήση (κονόμα). Συστήματα με

εκατοντάδες χρήστες.

26/3/12


Συστήματα – τρόποι υποκλοπής

• Card cloning (Gamma Card)• Card splitter• Αναμετάδοση εικόνας και σήματος• Video Streaming• Διαμοιρασμός κλειδιών– Custom (μηχανήματα που έρχονται σεταρισμένα)– Emulators. Cccam, Newcamd

26/3/12


Gamma Card

• Δεν λειτουργούν πια σε NOVA, λόγω αλλαγής συστήματος Irdeto

• Secure Silicon. Πάντρεμα αποκωδικοποιητή με μηχάνημα.

26/3/12


Card cloning (Gamma Card)

• Λευκές κάρτες οι οποίες προγραμματίζονται• Διαθέτουν 72kb flash και 72kb EEPROM• Χρησιμοποιούνται για θέαση συνδρομητικών καναλιών• Δημιουργία απεριόριστων αντιγράφων.

Μπουκέτα που ξεκλειδώνει ορολογία forums

26/3/12


Card cloning (Gamma Card)

• Κάθε κάρτα περιέχει πολλά κλειδιά (μπορεί και 500), αλλά κλειδώνει σε 1 τυχαία.

• Πρόβλημα στον εντοπισμό όλων των καρτών, λόγω του ότι τα υπόλοιπα κλειδιά είναι κρυπτογραφημένα.

• Εντοπισμός μέσω αγοράς καρτών και κλείσιμο (διαγραφή από τη βάση) των αντίστοιχων καρτών

26/3/12


Gamma Card Programming

Χρήση λογισμικού gamaloader, Bestt Update files σε forums κλπΑπλή και σύντομη διαδικασία

26/3/12


Gamma readout=================================================================================== Card #1, 02 Jun 2009 14:41:33 ** Gamma card =================================================================================== 1st ATR in ascii : ;ü! IRDETO ACS V4.1ù 1st ATR in hex : 0x3b9f210e49524445544f204143532056342e319d 2nd ATR in ascii : ;ü! GAMMACARD V 1.4ù 2nd ATR in hex : 0x3b9f210e47414d4d4143415244205620312e349d Serial NR and MNF data - CMD:0102000000003c RAW response : 0x0102000000000014343031323334353637385439383736354100000004 Serial NR : 4012345678 Manufacturer data : T98765A

ATR= Answer To Reset

Sets up communication parameters

FULL READOUT

ATR’s

26/3/12


Card Splitter

Μέσω δικτύου ethernetΜέσω ασύρματου δικτύου

http://www.smartwi.net/

26/3/12


Card Splitter

• Χρήση εντός ίδιου κτιρίου• Περιορισμένη απόσταση(wireless), τοπικο

επίπεδο με αναμεταδότες.• Δύσκολος/αδύνατος εντοπισμός

26/3/12


Αναμετάδοση εικόνας και σήματος

• Αποκωδικοποίηση δορυφορικού τηλεοπτικού σήματος και αναμετάδοσή του ως αναλογικό.

• Συνταγή– Δορυφορική Κεραία λήψης– Αποκωδικοποιητής– Εκπομπή σε αναλογική συχνότητα– Λήψη του καναλιού από τηλεοράσεις– ανακατεύουμε με λίγη θρησκεία .........

26/3/12


Αναμετάδοση εικόνας και σήματος

• Και το αποτέλεσμα:

26/3/12


Στο ιερό για να είναι ευλογημένα τοποθετούνται τα boxes

26/3/12


Video streaming

• Αποκωδικοποίηση σήματος και αναμετάδοσή του μέσω διαδικτύου.

• Περιοριμένη βέβαια απόδοση• Αδύνατη η προσωπική επιλογή καναλιού• Εντοπισμός μέσω διαδικτύου• Θρύλε ολέ!!

26/3/12


Θρύλε ολέ!!!!

26/3/12


Διαμοιρασμός κλειδιώνGoogle it

26/3/12


Διαμοιρασμός κλειδιών• Custom boxes– Boxes με ειδικό software.– Αναβάθμιση – εγκατάσταση μέσω διαδικτύου

• Εντοπισμός– Αγορά δεκτών δύσκολη η αντιμετώπισή του

• Ευρήματα– Θέση σε λειτουργία του δέκτη και εύρεση

δ/σεων IP κλπ

26/3/12


Custom boxesServers σε Κορέα

26/3/12


Πολύ Custom boxes • Casper Dual tuner

26/3/12


Dreambox

• Δορυφορικός αποκωδικοποιητής• Linux • Αρκετά Images τα οποία διαφέρουν σε look and

feel• Περιλαμβάνουν διαφορετικά plugins.• Τα Plug-in μπορούν να προστεθούν ή αφαιρεθούν

είτε από το μενού είτε μεσω telnet• Οι emulators είναι plugins όχι συνδεδεμένα με τα

images.

26/3/12


Dreambox Images

• http://www.sat-universe.com/forumdisplay.php?f=14

GeminiPliNabilosat

26/3/12

http://www.sat-universe.com/forumdisplay.php?f=14

http://www.sat-universe.com/forumdisplay.php?f=14


Emulators

• Εξομοιώνουν το Card Access Module• Είναι δηλαδή υπεύθυνα για την

αποκρυπτογράφηση• Server η/και Client

26/3/12

Dreambox tool


Card sharing Εντοπισμός

• Μέσω διαδικτύου– Port scanning– Forums

• Μέσω email (aka καρφωτή)• Ερώτηση για κάποιες φήμες (Forthnet) δεν

είναι αποδεκτή (στου κουφού την πόρτα...)

26/3/12


Cccam Webinfo

• Αρχείο Webinfo

26/3/12


Εγκληματολογική Εξέταση

• Εντοπισμός IP.• Εντοπισμός password• Σύνδεση• Setup shares • Tarballs• Τι ψάχνουμε?

26/3/12


Εντοπισμός IP

26/3/12


PasswordDefault passwordsPasswords (FTP and telnet)

user: rootPW: relook(Mostly used)

user: relookPW: relook(on some official images and Highland)

On some Enigma's:user: rootPW: dreambox

Sometimes Fantacy uses PW: fantacyOn some Ajax images PW: ajax

On ***** and some other enigma's:user: rootPW: ipbox

Sifteam images:user: rootPW: sifteam

26/3/12


Password

• Συνήθως ο προγραμματισμός γίνεται σε κάποιο PC και στη συνέχεια μεταφέρονται τα αρχεία ρυθμίσεων μέσω FTP ή telnet

• Αν υπάρχουν άλλα πειστήρια έρευνα σε εκείνα για ανεύρεση του μέσα από αρχεία ρυθμίσεων ή άλλα αρχεία.

26/3/12


PasswordΑν όχι?

Το image τρέχει με root δικαιώματα οπότε.............

26/3/12


Password changeΑλλαγή σε default.Password == dreambox

26/3/12


Τι πρέπει να προσέξουμε?

• Dual Boot με 2 λειτουργικά images– Το ένα αθώο το άλλο ένοχο– Το password μπορεί να ισχύει για ένα από τα δύο– Η διαδικασία μπορεί να πρέπει να επαναληφθεί

• Boot from external device– Full forensic image

• Live system. Προσοχή στα ατυχήματα

26/3/12


Image the box

• Σύνδεση με telnet και προσπάθεια με την εντολή dd. BΙΙΙΙΙΙΙIG FAILURE.

• Αντίγραφο λογικών αρχείων με χρήση tar, προκειμένου να μπορεί να εξαχθεί Hash value και να εξεταστεί ως πειστήριο.

• Δεν υπάρχει πρόβλημα εφ’ όσον γνωρίζουμε τι κάνουμε και το καταγράφουμε

26/3/12


Αξιολόγηση μεθόδου

• Τι χάνουμε?– Οχι φυσικό αντίγραφο – Δεν υπάρχει ανάκτηση διαγραμμένων αρχείων

• Τι έχουμε?– Αντίγραφα όλων των αρχείων (εκτός ορισμένων

συστήματος)– Αρχεία ρυθμίσεων– Διατήρηση ημερομηνιών και ωρών στο tar.gz αρχείο– Δεν ενημερώνει Access Time για αλλοίωση

• Εύρεση μέσου που θα εγγραφούν

26/3/12


Εγγραφή tarball

• Σε εξωτερική συσκευή (αν υπάρχει)• Δημιουργία share σε άλλο μηχάνημα windows

(εξυπηρετεί FTK, Encase κλπ) ή Linux και mount

• Στους φακέλους που θα εξαιρεθούν μην ξεχάσετε να μη συμπεριλάβετε το mnt

26/3/12


Τι ψάχνουμε?

• Για dreambox αρχεία ρυθμίσεων από emulators

• Cccam.cfg• Newcamd• Newcs.xml

26/3/12


Αρχεία Ρυθμίσεων CCcam• The CCcam.cfg βρίσκεται σε /var/etc folder. • Δύο τμήματα local settings και lines

• Local Settings

• SERVER LISTEN PORT : 12345 • ALLOW WEBINFO: yes• WEBINFO USERNAME : username• WEBINFO PASSWORD : password• Lets you monitor your server stats using CCcamInfoPHP

• SERIAL READER : /dev/ttyUSB0• Tells CCcam to use a cardreader, use ttySCI0 for internal readers

26/3/12


Cccam.cfg• Lines section

• Προσθήκη χρήστη F: user password 3 0 0 { 0:0:5 } – 3 hops, reshare 4 times more– Reshare μεγαλύτερο από 5 είναι πρόβλημα αν οχι και το 5

• Προσθήκη Server C: ip/dyndns_server port user password

• Newcamd == N line:

• N: ip/dyndns port user password deskey hops_away

• radegast server R line:

• R: IP/dyndns port CAID(4digits) providerID(6digits) hops_away

• To connect to a Camd3 server you have to add a L line:

• L: IP/dyndns port CAID(4digits) providerID(6digits) hops_away

26/3/12

Newcs.xml<newcamdserver>

<enabled>Yes</enabled>

<name>newcs</name>

<deskey>01 02 03 04 05 06 07 08 09 10 11 12 13 14</deskey>



26/3/12

<user>

<name>dummy</name>



<password>dummy</password>

<hostname>localhost</hostname>

<port>12000</port>

<au>on</au>

<sidoverride>off</sidoverride>

<readers><allow>Phoenix on Com1</allow></readers>

<spider>No</spider>

 <rate>2</rate>



<cardlevel>1</cardlevel></user></newcamdserver>

26/3/12


Αρχεία Ρυθμίσεων Newcamd

• CWS = 192.168.0.1 10000 username1 userpas1 01 02 03 04 05 06 07 08 09 10 11 12 13 14 lan testserver

• Line parts in plain English1)192.168.0.1 — ip address of the server • 2)10000 — port of the server (the same as the one defined on newcs.xlm)3)username1 userpas1 —

username and pass of the client (the same as the one defined on newcs.xlm)4)01 02 03 04 05 06 07 08 09 10 11 12 13 14 — access code (the same as the one defined on newcs.xlm)5)lan — leave this as lan6)cardserv – name of the cardsharing server (the same as the one defined on newcs.xlm)

26/3/12


Ευρήματα διάφορα Config files • Camx:Keys Directory: /var/keys/ - Softcam.Key Autoroll.KeyPrgram

file : /var/bin/Config Files : /var/etc/AU Files : /var/keys/Autoroll.Key________________________________________

• GBox:Keys Directory: /var/keys - seca,nagra,via,irdeto,conaxPrgram files: /var/bin - gboxConfig Files: /var/keys - gbox_cfgAU Files: /var/keys/roms/________________________________________

• Camd3:Keys Directory: /var/keys - camd3.keysPrgram files: /var/bin - camd3Config Files: /var/keys - camd3.conf - camd3.configAU Files: /var/keys/ - seca_hash.bin - seca2_hash_0070.binseca2_mask_0070.bin - camd3.keys________________________________________

• Evocamd:Keys Directory: /var/keys - Autoupdate.Key & Keylist.txtPrgram files: /var/bin - evocamdConfig Files: /var/keys - camd_cfg

26/3/12


Ευρήματα διάφορα Config files • Newcamd:keys directory: /var/scce -keylist, ppua, rsakeylist & tpscrypt of/var/tuxbox/scce (newcamd 6.01,

kan oude dir gebruiken)Program files: /var/bin - newcamd, cardserv, cardspider, betadservConfig files: /var/tuxbox/config - newcamd.conf, cardserv.cfg, betad.cfgAU files: /var/scce/ - nagrarom3.bin, nagraram3.bin, nagraepr3.bin,sttestrom3.bin, stmaprom3.bin, nagrarom7.bin, nagraram7.bin,nagraepr7.bin, nagrarom10.bin, nagraram10.bin, nagraepr10.bin,nagrarom11.bin, nagraram11.bin, nagraepr11.bin, rsakeylist________________________________________

• Mgcamd:keys directory: /var/keys - SoftCam.key & AutoRoll.keyProgram files: /var/bin - mgcamdConfig files: /var/keys - mg_cfgAU files:________________________________________

• Scam:Keys Directory: /var/keys - seca2,nagra,via, - irdeto,conaxPrgram files: /var/bin - scamConfig Files: /var/keys - softcam.cfgAU Files: var/keys/ - seca2 - /nagra_rom________________________________________

• Radegast :keys directory: /var/keys - SoftCam.key & AutoRoll.keyProgram files: /var/bin - rdgd, camd.rdgd, netpilotConfig files: /var/etc - radegast.cfgAU files: Need a patched driver for older conax cards

• ________________________________________• CCcam:• Keys Directory: /var/keys - Softcam.Key, AutoRoll.key & constant.cw• Program Files: /var/bin - CCcam, capmtserver• Config Files: /var/etc - CCcam.cfg• AU Files: /var/keys - Autoroll.key

26/3/12


Είδη ευρημάτων σε λοιπά πειστήρια

• ftp log files and passwords• Αρχεία με πελατολόγια• Διάφορες εκδόσεις αρχείων ρυθμίσεων.• Διαγραμμένα αρχεία στατιστικών (και μη)

26/3/12


Αποτέλεσμα

26/3/12


Προβλήματα

• Πρόβλημα με image dreambox και άλλους αποκωδικοποιητές

• Image from serial port?

26/3/12


ΝομοθεσίαΠΔ 343 14/11/2002

• Νόμος 2121/93• ΠΔ 343 14/11/2002 – παράνομη συσκευή: κάθε εξοπλισμός ή λογισμικό

που έχει σχεδιαστεί ή προσαρμοστεί ώστε να επιτρέπει στον κάτοχό του την πρόσβαση σε προστατευόμενη υπηρεσία σε καταληπτή μορφή, χωρίς την έγκριση του φορέα που κατέχει την άδεια παροχής της προστατευόμενης υπηρεσίας.

26/3/12


Resources

• Ολα για Oscam– http://streamboard.gmc.to:8001/

• Cardsharing– http://www.eurocardsharing.com/– http://www.sat-share.tv/– http://www.freecardshare.net/

26/3/12

http://streamboard.gmc.to:8001/

http://streamboard.gmc.to:8001/

http://www.eurocardsharing.com/

http://www.eurocardsharing.com/

http://www.sat-share.tv/

http://www.sat-share.tv/

http://www.freecardshare.net/

http://www.freecardshare.net/


Αυτάαααα• Αφού αντέξατε ως εδω...

• [email protected]• [email protected]

26/3/12

mailto:[email protected]



Satellite Cardsharing Forensics

Documents

Transcript of Satellite Cardsharing Forensics