Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Satellite Cardsharing Forensics Η δορυφορική τηλεόραση έχει μπεί στην καθημερινή μας ζωή. Δυστυχώς όμως έχει κάποια προβλήματα -όπως η κρυπτογράφηση του.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Satellite Cardsharing Forensics Η δορυφορική τηλεόραση έχει μπεί στην καθημερινή μας ζωή. Δυστυχώς όμως έχει κάποια προβλήματα -όπως η κρυπτογράφηση του."— Μεταγράφημα παρουσίασης:

1 Satellite Cardsharing Forensics Η δορυφορική τηλεόραση έχει μπεί στην καθημερινή μας ζωή. Δυστυχώς όμως έχει κάποια προβλήματα -όπως η κρυπτογράφηση του τηλεοπτικού σήματος και η απαίτηση συνδρομής για την αποκρυπτογράφηση και θέαση του- τα οποία έχρηζαν βελτίωσης. Ευτυχώς η κοινότητα αποφάσισε να βελτιώσει αυτές τις υπηρεσίες έτσι ώστε να στοιχίζουν από το τίποτα ( ο τζάμπας δεν πέθανε τελικά) έως ένα ποσοστό της νόμιμης συνδρομής. Σήμερα θα δούμε αυτούς τους τρόπους, πως και αν μπορούν να εντοπιστούν και τι ευρήματα μπορούν να βρεθούν από την εγκληματολογική εξέταση. 26/3/12Ιωάννης Πάσχος1

2 Θέματα • Ποιος εισαι εσύ? • Λόγοι για τους οποίους γίνεται η υποκλοπή • Συστήματα – τρόποι υποκλοπής • Εγκληματολογική εξέταση • Νομικά θέματα 26/3/12Ιωάννης Πάσχος2

3 Ποιός είσαι εσύ? • Αξ/κος ΕΛ.ΑΣ ε.α. • Ιδρυτής του Εργαστηρίου Εξέτασης Ψηφιακών Πειστηρίων της ΕΛ.ΑΣ. • Δικαστικός Πραγματογνώμονας εγγεγραμένος στον Πίνακα Πραγματογνωμόνων Αθηνών • Ειδικότητα Εξεταστή πειστηρίων από ΕΛ.ΑΣ • Πιστοποιημένος εκπαιδευτής INTERPOL • CFCE (International Association of Computer Investigation Specialists) • Europol • Μπλα, μπλα, μπλα ποιο είναι το θέμα μας? 26/3/12Ιωάννης Πάσχος3

4 Λόγοι για τους οποίους γίνεται η υποκλοπή • Δύο λόγοι – Ο εξής ένας: Οικονομικότερο (aka τζάμπα) • Δύο κατηγορίες – Προσωπική χρήση (Θέαση δωρεάν ή θέαση σε περισσότερες από μια TV) – Επαγγελματική χρήση (κονόμα). Συστήματα με εκατοντάδες χρήστες. 26/3/12Ιωάννης Πάσχος4

5 Συστήματα – τρόποι υποκλοπής • Card cloning (Gamma Card) • Card splitter • Αναμετάδοση εικόνας και σήματος • Video Streaming • Διαμοιρασμός κλειδιών – Custom (μηχανήματα που έρχονται σεταρισμένα) – Emulators. Cccam, Newcamd 26/3/12Ιωάννης Πάσχος5

6 Gamma Card • Δεν λειτουργούν πια σε NOVA, λόγω αλλαγής συστήματος Irdeto • Secure Silicon. Πάντρεμα αποκωδικοποιητή με μηχάνημα. 26/3/12Ιωάννης Πάσχος6

7 Card cloning (Gamma Card) • Λευκές κάρτες οι οποίες προγραμματίζονται • Διαθέτουν 72kb flash και 72kb EEPROM • Χρησιμοποιούνται για θέαση συνδρομητικών καναλιών • Δημιουργία απεριόριστων αντιγράφων. Μπουκέτα που ξεκλειδώνει ορολογία forums 26/3/12Ιωάννης Πάσχος7

8 Card cloning (Gamma Card) • Κάθε κάρτα περιέχει πολλά κλειδιά (μπορεί και 500), αλλά κλειδώνει σε 1 τυχαία. • Πρόβλημα στον εντοπισμό όλων των καρτών, λόγω του ότι τα υπόλοιπα κλειδιά είναι κρυπτογραφημένα. • Εντοπισμός μέσω αγοράς καρτών και κλείσιμο (διαγραφή από τη βάση) των αντίστοιχων καρτών 26/3/12Ιωάννης Πάσχος8

9 Gamma Card Programming Χρήση λογισμικού gamaloader, Bestt Update files σε forums κλπ Απλή και σύντομη διαδικασία 26/3/12Ιωάννης Πάσχος9

10 Gamma readout =================================================================================== Card #1, 02 Jun :41:33 ** Gamma card =================================================================================== 1st ATR in ascii: ;ü! IRDETO ACS V4.1ù 1st ATR in hex: 0x3b9f210e f e319d 2nd ATR in ascii: ;ü!GAMMACARD V 1.4ù 2nd ATR in hex: 0x3b9f210e47414d4d e349d Serial NR and MNF data - CMD: c RAW response: 0x Serial NR: Manufacturer data: T98765A ATR= Answer To Reset Sets up communication parameters FULL READOUT ATR’s 26/3/12Ιωάννης Πάσχος10

11 Card Splitter Μέσω δικτύου ethernet Μέσω ασύρματου δικτύου 26/3/12Ιωάννης Πάσχος11

12 Card Splitter • Χρήση εντός ίδιου κτιρίου • Περιορισμένη απόσταση(wireless), τοπικο επίπεδο με αναμεταδότες. • Δύσκολος/αδύνατος εντοπισμός 26/3/12Ιωάννης Πάσχος12

13 Αναμετάδοση εικόνας και σήματος • Αποκωδικοποίηση δορυφορικού τηλεοπτικού σήματος και αναμετάδοσή του ως αναλογικό. • Συνταγή – Δορυφορική Κεραία λήψης – Αποκωδικοποιητής – Εκπομπή σε αναλογική συχνότητα – Λήψη του καναλιού από τηλεοράσεις – ανακατεύουμε με λίγη θρησκεία /3/12Ιωάννης Πάσχος13

14 Αναμετάδοση εικόνας και σήματος • Και το αποτέλεσμα: 26/3/12Ιωάννης Πάσχος14

15 Στο ιερό για να είναι ευλογημένα τοποθετούνται τα boxes 26/3/12Ιωάννης Πάσχος15

16 Video streaming • Αποκωδικοποίηση σήματος και αναμετάδοσή του μέσω διαδικτύου. • Περιοριμένη βέβαια απόδοση • Αδύνατη η προσωπική επιλογή καναλιού • Εντοπισμός μέσω διαδικτύου • Θρύλε ολέ!! 26/3/12Ιωάννης Πάσχος16

17 Θρύλε ολέ!!!! 26/3/12Ιωάννης Πάσχος17

18 Διαμοιρασμός κλειδιών Google it 26/3/12Ιωάννης Πάσχος18

19 Διαμοιρασμός κλειδιών • Custom boxes – Boxes με ειδικό software. – Αναβάθμιση – εγκατάσταση μέσω διαδικτύου • Εντοπισμός – Αγορά δεκτών δύσκολη η αντιμετώπισή του • Ευρήματα – Θέση σε λειτουργία του δέκτη και εύρεση δ/σεων IP κλπ 26/3/12Ιωάννης Πάσχος19

20 Custom boxes Servers σε Κορέα 26/3/12Ιωάννης Πάσχος20

21 Πολύ Custom boxes  • Casper Dual tuner 26/3/12Ιωάννης Πάσχος21

22 Dreambox • Δορυφορικός αποκωδικοποιητής • Linux • Αρκετά Images τα οποία διαφέρουν σε look and feel • Περιλαμβάνουν διαφορετικά plugins. • Τα Plug-in μπορούν να προστεθούν ή αφαιρεθούν είτε από το μενού είτε μεσω telnet • Οι emulators είναι plugins όχι συνδεδεμένα με τα images. 26/3/12Ιωάννης Πάσχος22

23 Dreambox Images • Gemini Pli Nabilosat 26/3/12Ιωάννης Πάσχος23

24 Emulators • Εξομοιώνουν το Card Access Module • Είναι δηλαδή υπεύθυνα για την αποκρυπτογράφηση • Server η/και Client 26/3/12Ιωάννης Πάσχος24

25 Dreambox tool

26 Card sharing Εντοπισμός • Μέσω διαδικτύου – Port scanning – Forums • Μέσω (aka καρφωτή) • Ερώτηση για κάποιες φήμες (Forthnet) δεν είναι αποδεκτή (στου κουφού την πόρτα...) 26/3/12Ιωάννης Πάσχος26

27 Cccam Webinfo • Αρχείο Webinfo Αρχείο Webinfo 26/3/12Ιωάννης Πάσχος27

28 Εγκληματολογική Εξέταση • Εντοπισμός IP. • Εντοπισμός password • Σύνδεση • Setup shares • Tarballs • Τι ψάχνουμε? 26/3/12Ιωάννης Πάσχος28

29 Εντοπισμός IP 26/3/12Ιωάννης Πάσχος29

30 Password Default passwords Passwords (FTP and telnet) user: root PW: relook (Mostly used) user: relook PW: relook (on some official images and Highland) On some Enigma's: user: root PW: dreambox Sometimes Fantacy uses PW: fantacy On some Ajax images PW: ajax On ***** and some other enigma's: user: root PW: ipbox Sifteam images: user: root PW: sifteam 26/3/12Ιωάννης Πάσχος30

31 Password • Συνήθως ο προγραμματισμός γίνεται σε κάποιο PC και στη συνέχεια μεταφέρονται τα αρχεία ρυθμίσεων μέσω FTP ή telnet • Αν υπάρχουν άλλα πειστήρια έρευνα σε εκείνα για ανεύρεση του μέσα από αρχεία ρυθμίσεων ή άλλα αρχεία. 26/3/12Ιωάννης Πάσχος31

32 Password Αν όχι? Το image τρέχει με root δικαιώματα οπότε /3/12Ιωάννης Πάσχος32

33 Password change Αλλαγή σε default. Password == dreambox 26/3/12Ιωάννης Πάσχος33

34 Τι πρέπει να προσέξουμε? • Dual Boot με 2 λειτουργικά images – Το ένα αθώο το άλλο ένοχο – Το password μπορεί να ισχύει για ένα από τα δύο – Η διαδικασία μπορεί να πρέπει να επαναληφθεί • Boot from external device – Full forensic image • Live system. Προσοχή στα ατυχήματα 26/3/12Ιωάννης Πάσχος34

35 Image the box • Σύνδεση με telnet και προσπάθεια με την εντολή dd. BΙΙΙΙΙΙΙIG FAILURE. • Αντίγραφο λογικών αρχείων με χρήση tar, προκειμένου να μπορεί να εξαχθεί Hash value και να εξεταστεί ως πειστήριο. • Δεν υπάρχει πρόβλημα εφ’ όσον γνωρίζουμε τι κάνουμε και το καταγράφουμε 26/3/12Ιωάννης Πάσχος35

36 Αξιολόγηση μεθόδου • Τι χάνουμε? – Οχι φυσικό αντίγραφο – Δεν υπάρχει ανάκτηση διαγραμμένων αρχείων • Τι έχουμε? – Αντίγραφα όλων των αρχείων (εκτός ορισμένων συστήματος) – Αρχεία ρυθμίσεων – Διατήρηση ημερομηνιών και ωρών στο tar.gz αρχείο – Δεν ενημερώνει Access Time για αλλοίωση • Εύρεση μέσου που θα εγγραφούν 26/3/12Ιωάννης Πάσχος36

37 Εγγραφή tarball • Σε εξωτερική συσκευή (αν υπάρχει) • Δημιουργία share σε άλλο μηχάνημα windows (εξυπηρετεί FTK, Encase κλπ) ή Linux και mount • Στους φακέλους που θα εξαιρεθούν μην ξεχάσετε να μη συμπεριλάβετε το mnt  26/3/12Ιωάννης Πάσχος37

38 Τι ψάχνουμε? • Για dreambox αρχεία ρυθμίσεων από emulators • Cccam.cfg • Newcamd • Newcs.xml 26/3/12Ιωάννης Πάσχος38

39 Αρχεία Ρυθμίσεων CCcam • The CCcam.cfg βρίσκεται σε /var/etc folder. • Δύο τμήματα local settings και lines • Local Settings • SERVER LISTEN PORT : • ALLOW WEBINFO: yes • WEBINFO USERNAME : username • WEBINFO PASSWORD : password • Lets you monitor your server stats using CCcamInfoPHP • SERIAL READER : /dev/ttyUSB0 • Tells CCcam to use a cardreader, use ttySCI0 for internal readers 26/3/12Ιωάννης Πάσχος39

40 Cccam.cfg •Lines section • Προσθήκη χρήστη F: user password { 0:0:5 } – 3 hops, reshare 4 times more – Reshare μεγαλύτερο από 5 είναι πρόβλημα αν οχι και το 5 • Προσθήκη Server C: ip/dyndns_server port user password • Newcamd == N line: • N: ip/dyndns port user password deskey hops_away • radegast server R line: • R: IP/dyndns port CAID(4digits) providerID(6digits) hops_away • To connect to a Camd3 server you have to add a L line: • L: IP/dyndns port CAID(4digits) providerID(6digits) hops_away 26/3/12Ιωάννης Πάσχος40

41 Newcs.xml Yes newcs 26/3/12Ιωάννης Πάσχος41

42 dummy dummy localhost on off Phoenix on Com1 No 2 1 26/3/12Ιωάννης Πάσχος42

43 Αρχεία Ρυθμίσεων Newcamd • CWS = username1 userpas lan testserver • Line parts in plain English 1) — ip address of the server • 2)10000 — port of the server (the same as the one defined on newcs.xlm) 3)username1 userpas1 — username and pass of the client (the same as the one defined on newcs.xlm) 4) — access code (the same as the one defined on newcs.xlm) 5)lan — leave this as lan 6)cardserv – name of the cardsharing server (the same as the one defined on newcs.xlm) 26/3/12Ιωάννης Πάσχος43

44 Ευρήματα διάφορα Config files • Camx: Keys Directory: /var/keys/ - Softcam.Key Autoroll.Key Prgram file : /var/bin/ Config Files : /var/etc/ AU Files : /var/keys/Autoroll.Key ________________________________________ • GBox: Keys Directory: /var/keys - seca,nagra,via,irdeto,conax Prgram files: /var/bin - gbox Config Files: /var/keys - gbox_cfg AU Files: /var/keys/roms/ ________________________________________ • Camd3: Keys Directory: /var/keys - camd3.keys Prgram files: /var/bin - camd3 Config Files: /var/keys - camd3.conf - camd3.config AU Files: /var/keys/ - seca_hash.bin - seca2_hash_0070.bin seca2_mask_0070.bin - camd3.keys ________________________________________ 26/3/12Ιωάννης Πάσχος44

45 Ευρήματα διάφορα Config files • Newcamd: keys directory: /var/scce -keylist, ppua, rsakeylist & tpscrypt of /var/tuxbox/scce (newcamd 6.01, kan oude dir gebruiken) Program files: /var/bin - newcamd, cardserv, cardspider, betadserv Config files: /var/tuxbox/config - newcamd.conf, cardserv.cfg, betad.cfg AU files: /var/scce/ - nagrarom3.bin, nagraram3.bin, nagraepr3.bin, sttestrom3.bin, stmaprom3.bin, nagrarom7.bin, nagraram7.bin, nagraepr7.bin, nagrarom10.bin, nagraram10.bin, nagraepr10.bin, nagrarom11.bin, nagraram11.bin, nagraepr11.bin, rsakeylist ________________________________________ • Mgcamd: keys directory: /var/keys - SoftCam.key & AutoRoll.key Program files: /var/bin - mgcamd Config files: /var/keys - mg_cfg AU files: ________________________________________ • Scam: Keys Directory: /var/keys - seca2,nagra,via, - irdeto,conax Prgram files: /var/bin - scam Config Files: /var/keys - softcam.cfg AU Files: var/keys/ - seca2 - /nagra_rom ________________________________________ • Radegast : keys directory: /var/keys - SoftCam.key & AutoRoll.key Program files: /var/bin - rdgd, camd.rdgd, netpilot Config files: /var/etc - radegast.cfg AU files: Need a patched driver for older conax cards • ________________________________________ • CCcam: • Keys Directory: /var/keys - Softcam.Key, AutoRoll.key & constant.cw • Program Files: /var/bin - CCcam, capmtserver • Config Files: /var/etc - CCcam.cfg • AU Files: /var/keys - Autoroll.key 26/3/12Ιωάννης Πάσχος45

46 Είδη ευρημάτων σε λοιπά πειστήρια • ftp log files and passwords • Αρχεία με πελατολόγια • Διάφορες εκδόσεις αρχείων ρυθμίσεων. • Διαγραμμένα αρχεία στατιστικών (και μη) 26/3/12Ιωάννης Πάσχος46

47 Αποτέλεσμα 26/3/12Ιωάννης Πάσχος47

48 Προβλήματα • Πρόβλημα με image dreambox και άλλους αποκωδικοποιητές • Image from serial port? 26/3/12Ιωάννης Πάσχος48

49 Νομοθεσία ΠΔ /11/2002 • Νόμος 2121/93 • ΠΔ /11/2002 – παράνομη συσκευή: κάθε εξοπλισμός ή λογισμικό που έχει σχεδιαστεί ή προσαρμοστεί ώστε να επιτρέπει στον κάτοχό του την πρόσβαση σε προστατευόμενη υπηρεσία σε καταληπτή μορφή, χωρίς την έγκριση του φορέα που κατέχει την άδεια παροχής της προστατευόμενης υπηρεσίας. 26/3/12Ιωάννης Πάσχος49

50 Resources • Ολα για Oscam – • Cardsharing – – – 26/3/12Ιωάννης Πάσχος50

51 Αυτάαααα • Αφού αντέξατε ως εδω... Αφού αντέξατε ως εδω... • • 26/3/12Ιωάννης Πάσχος51


Κατέβασμα ppt "Satellite Cardsharing Forensics Η δορυφορική τηλεόραση έχει μπεί στην καθημερινή μας ζωή. Δυστυχώς όμως έχει κάποια προβλήματα -όπως η κρυπτογράφηση του."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google