AW: Sky Box zerlegen um Pairing zu umgehen
Hallo,
ich finde den Ansatz eigentlich am besten.
Man kann zwar die eigentliche Kommunikation zwischen CAM und CI+ nicht abhören/entschlüsseln, aber das ist ja auch in dem von mir genannten Beispiel vollkommen unwichtig und unnötig. Das Control Word muss dennoch in den CSA-Decryptor wandern und ab da kann es auch nicht mehr mit der Verschlüsselungsschicht Karte-CAM-CI+ versehen sein, bei abgeschlossenen Geräten kommt man da vermutlich nur schwer ran aber bei Geräten wie einer Dreambox sieht das ja noch mal anders aus. Solange also ein Sky CAM dort lauffähig bleibt (wobei nicht ausgeschlossen ist dass man das auch verhindert), hat man zumindest noch einen zugänglichen Teilbereich.
Ich frage mich warum man die Kommunkation zwischen der Karte und dem Modul selbst nicht angreift indem man ein Gerät baut das man dazwischen hängen kann. Als erstes würde mir da ein Oszilloskop einfallen. Aber ich denke ein umgebauter
Pi hätte den Trick auch drauf. Man müsste erstmal herausfinden mit welcher Spannung die Kommunikation erfolgt und welche Modulation genutzt wird. Das sollte ja zu machen sein indem man sich den Baustein auf dem Board anschaut (sofern dort überhaupt ein extra Baustein vorhanden ist und es nicht direkt aus der CPU heraus gelegt wird und man nur noch einen Spannungswandler sieht). Anschliessend könnte man die Daten vom CI Modul zur Karte doch durch den
Pi jagen, speichern und direkt weiter an die Karte schreiben und umgekehrt. Damit hätte man dann schonmal die Kommunikation. Die größere Herausforderung wird wohl sein aus den Einsen und Nullen wieder was nutzbares zu machen. Aber an sich sollte die Schnittstelle und das Protokoll doch soweit auch bekannt sein wenn jeder 10 Euro Leser damit umgehen kann. Dann müsste man nurnoch die unbekannten teile Rausfiltern und sehen was dort passiert.
Wenn wir da auf eine ähnliche Verschlüsselung treffen wie bei HTTPS/SSL mit dynamischen Schlüsseln dann wäre das natürlich nahezu unknackbar. Ist die Frage wie stark die Verschlüsselung wirklich ist, weil die CPU auf der Karte kommt sicher schnell an ihre Grenzen...
Das entscheidende beim jetzigen Pairing ist ja eigentlich der, dass die Karte ein zusätzlich durch die Schicht zwischen CAM<->Karte verschlüsseltes ECM erwartet und auch wiederum nur mit einem wiederum verschlüsselten Control Word antwortet. Für mich ist das noch kein Paring, auch wenn sich das Wort so verbreitet hat, aber spielt ja keine Rolle.
Meiner Meinung nach absolut richtig. Das "Pairing" ist lediglich ein Schlüsselaustausch zwischen der Box und der Karte und deshalb müsste der eigentliche Schlüssel irgendwo in dem Image der Box zu finden sein.
Jetzt spinne ich aber mal etwas herum:
Alternativ könnte es aber noch so sein das die Box einen Schlüssel bei der Karte anfordert, ein Gegenstück errechnet und dann eine entsprechende Antwort liefert.
Was ich mir allerdings auch noch vorstellen könnte ist das die Box das CI+ Modul initialisiert, also gegenüber dem CI+ Modul authorisiert und danach das CI+ Modul diese Schlüssel mit der Karte austauscht und die Schlüssel im Modul bestehen oder irgendwie errechnet. Das würde die Kette wieder so verlängern das ein direkter Schlüsselaustausch zwischen Box und Karte garnicht stattfindet und ein Schlüssel auf dem Image der Box nicht zu finden wäre. Oder irgendein total simpler Algorythmus der mit der BoxID etwas errechnet wo der Hash dann letztendlich dazu führt das ein Freischalten des CI+ Moduls möglich ist. Wäre nicht das erste Mal das hash((Monphase/Gezeitenstand) * Seriennummer) zum gewünschten Ergebnis führen.
Ich könnte mir z.B. vorstellen das ein erfolgreiches authentifizieren der Box gegenüber dem CI+ Modul im Modul erst die Speicherbereiche freischaltet die das CI+ Modul benötigt um mit der Karte zu liebäugeln. Wie hoch die Wahrscheinlichkeit ist die Finger auf die Schlüssel zu legen müsste man dann noch klären. Besonders wenn im CI+ Modul die Chips so abgesichert sind wie die Karte selbst. Irgendwie muss es sich ja rechnen den Typen, der früher die Karten gehackt hat, bei sich einzustellen ...
Ganz besonders geil fände ich übrigens wenn die Karte beim initialisieren den Schlüssel einfach selber aushändigt und die Box den dann nutzt. Klingt erstmal bescheuert, aber lass doch mal die ganzen Cracker über Jahre nach nem Schlüssel auf der Box suchen und das ganze am Ende als todsicher erklären bevor jemand dem Trick auf die Schliche kommt. So und so ähnlich funktioniert in der Regel Security by Obscurity ...
Entscheidend ist doch, dass man bei einer Dreambox doch genau beeinflussen kann wie die Daten durch die Hardeware geschickt werden. Daher ich kann doch durchaus hingehen und bis zur CI+ Schicht einen eigenen Transportstrom mit den notwendigen Daten rein schicken, woraufhin die Schicht CI+<->CAM<->Karte ihre Aufgabe erledigt. Auf diesem Weg kommt man an ein gültiges CW, unabhängig davon wie stark die Verschlüsselung auf dieser Schicht sein mag.
Klingt nach einen sehr guten Ansatz, ist nur die Frage wie man das CI+ Modul ansprechen möchte zum Einen außerhalb eines receivers und zum Anderen wie man an die benötigten Schlüssel kommt. Auch wenn die bei der Dreambox schon vorhanden sein sollten. Sollte so ein übertriebenes Verfahren wie oben beschrieben zum Einsatz kommen wär man auch wieder ganz weit weg davon....
Ich gehe zwar davon aus, dass man bei CI+ dafür gesorgt hat geklaute Keys unbrauchbar zu machen, aber bis dato scheint das ja noch keinen interessiert zu haben. Sonst würde man eben kein CI+ CAM in einer VU+ oder Dreambox zum laufen bekommen, da diese ja eben nicht CI+ zertifiziert sind sondern aus mir nicht bekannten Quellen sich an CI+ Treibern bedient wurde.
Und wenn das Unbrauchbarmachen OTA geschieht könnte man da an der richtigen Stelle solche Nachrichten blocken...
Ich denke aber das die CI+ Module auf Seiten der Hardware so sicher gemacht wurden das man da kaum eine Möglichkeit hat an irgendwelche informationen im RAM/ROM heranzukommen ohne das man die Dinger zerstören müsste was wiederum dazu führt das sich der Speicherinhalt von alleine Verflüchtigt. Sind ja heute in den Karten schon Schichten eingebaut die sich auflösen sobald Luft oder Licht dran kommt...
Sorry fürs beschissene Deutsch, bin tod müde, wollte das aber trotzdem mal loswerden
Gruß,
G.
P.S.: Falls es jemanden interessiert
Sie müssen registriert sein, um Links zu sehen.