Satellite Cardsharing Forensics Η δορυφορική τηλεόραση έχει μπεί στην καθημερινή μας ζωή. Δυστυχώς όμως έχει κάποια προβλήματα -όπως η κρυπτογράφηση του τηλεοπτικού σήματος και η απαίτηση συνδρομής για την αποκρυπτογράφηση και θέαση του- τα οποία έχρηζαν βελτίωσης. Ευτυχώς η κοινότητα αποφάσισε να βελτιώσει αυτές τις υπηρεσίες έτσι ώστε να στοιχίζουν από το τίποτα ( ο τζάμπας δεν πέθανε τελικά) έως ένα ποσοστό της νόμιμης συνδρομής. Σήμερα θα δούμε αυτούς τους τρόπους, πως και αν μπορούν να εντοπιστούν και τι ευρήματα μπορούν να βρεθούν από την εγκληματολογική εξέταση. 26/3/12 Ιωάννης Πάσχος

Θέματα Ποιος εισαι εσύ? Λόγοι για τους οποίους γίνεται η υποκλοπή Συστήματα – τρόποι υποκλοπής Εγκληματολογική εξέταση Νομικά θέματα 26/3/12 Ιωάννης Πάσχος

Ποιός είσαι εσύ? Αξ/κος ΕΛ.ΑΣ ε.α. Ιδρυτής του Εργαστηρίου Εξέτασης Ψηφιακών Πειστηρίων της ΕΛ.ΑΣ. Δικαστικός Πραγματογνώμονας εγγεγραμένος στον Πίνακα Πραγματογνωμόνων Αθηνών Ειδικότητα Εξεταστή πειστηρίων από ΕΛ.ΑΣ Πιστοποιημένος εκπαιδευτής INTERPOL CFCE (International Association of Computer Investigation Specialists) Europol Μπλα, μπλα, μπλα ποιο είναι το θέμα μας? 26/3/12 Ιωάννης Πάσχος

Λόγοι για τους οποίους γίνεται η υποκλοπή Δύο λόγοι Ο εξής ένας: Οικονομικότερο (aka τζάμπα) Δύο κατηγορίες Προσωπική χρήση (Θέαση δωρεάν ή θέαση σε περισσότερες από μια TV) Επαγγελματική χρήση (κονόμα). Συστήματα με εκατοντάδες χρήστες. 26/3/12 Ιωάννης Πάσχος

Συστήματα – τρόποι υποκλοπής Card cloning (Gamma Card) Card splitter Αναμετάδοση εικόνας και σήματος Video Streaming Διαμοιρασμός κλειδιών Custom (μηχανήματα που έρχονται σεταρισμένα) Emulators. Cccam, Newcamd 26/3/12 Ιωάννης Πάσχος

Gamma Card Δεν λειτουργούν πια σε NOVA, λόγω αλλαγής συστήματος Irdeto Secure Silicon. Πάντρεμα αποκωδικοποιητή με μηχάνημα. 26/3/12 Ιωάννης Πάσχος

Card cloning (Gamma Card) Λευκές κάρτες οι οποίες προγραμματίζονται Διαθέτουν 72kb flash και 72kb EEPROM Χρησιμοποιούνται για θέαση συνδρομητικών καναλιών Δημιουργία απεριόριστων αντιγράφων. Μπουκέτα που ξεκλειδώνει ορολογία forums 26/3/12 Ιωάννης Πάσχος

Card cloning (Gamma Card) Κάθε κάρτα περιέχει πολλά κλειδιά (μπορεί και 500), αλλά κλειδώνει σε 1 τυχαία. Πρόβλημα στον εντοπισμό όλων των καρτών, λόγω του ότι τα υπόλοιπα κλειδιά είναι κρυπτογραφημένα. Εντοπισμός μέσω αγοράς καρτών και κλείσιμο (διαγραφή από τη βάση) των αντίστοιχων καρτών 26/3/12 Ιωάννης Πάσχος

Gamma Card Programming Χρήση λογισμικού gamaloader, Bestt Update files σε forums κλπ Απλή και σύντομη διαδικασία 26/3/12 Ιωάννης Πάσχος

Gamma readout FULL READOUT ATR= Answer To Reset ATR’s =================================================================================== Card #1, 02 Jun 2009 14:41:33 ** Gamma card 1st ATR in ascii : ;ü! IRDETO ACS V4.1ù 1st ATR in hex : 0x3b9f210e49524445544f204143532056342e319d 2nd ATR in ascii : ;ü! GAMMACARD V 1.4ù 2nd ATR in hex : 0x3b9f210e47414d4d4143415244205620312e349d Serial NR and MNF data - CMD:0102000000003c RAW response : 0x0102000000000014343031323334353637385439383736354100000004 Serial NR : 4012345678 Manufacturer data : T98765A FULL READOUT ATR’s ATR= Answer To Reset Sets up communication parameters 26/3/12 Ιωάννης Πάσχος

Card Splitter Μέσω δικτύου ethernet Μέσω ασύρματου δικτύου http://www.smartwi.net/ 26/3/12 Ιωάννης Πάσχος

Card Splitter Χρήση εντός ίδιου κτιρίου Περιορισμένη απόσταση(wireless), τοπικο επίπεδο με αναμεταδότες. Δύσκολος/αδύνατος εντοπισμός 26/3/12 Ιωάννης Πάσχος

Αναμετάδοση εικόνας και σήματος Αποκωδικοποίηση δορυφορικού τηλεοπτικού σήματος και αναμετάδοσή του ως αναλογικό. Συνταγή Δορυφορική Κεραία λήψης Αποκωδικοποιητής Εκπομπή σε αναλογική συχνότητα Λήψη του καναλιού από τηλεοράσεις ανακατεύουμε με λίγη θρησκεία ......... 26/3/12 Ιωάννης Πάσχος

Αναμετάδοση εικόνας και σήματος Και το αποτέλεσμα: 26/3/12 Ιωάννης Πάσχος

Στο ιερό για να είναι ευλογημένα τοποθετούνται τα boxes 26/3/12 Ιωάννης Πάσχος

Video streaming Αποκωδικοποίηση σήματος και αναμετάδοσή του μέσω διαδικτύου. Περιοριμένη βέβαια απόδοση Αδύνατη η προσωπική επιλογή καναλιού Εντοπισμός μέσω διαδικτύου Θρύλε ολέ!! 26/3/12 Ιωάννης Πάσχος

Θρύλε ολέ!!!! 26/3/12 Ιωάννης Πάσχος

Διαμοιρασμός κλειδιών Google it 26/3/12 Ιωάννης Πάσχος

Διαμοιρασμός κλειδιών Custom boxes Boxes με ειδικό software. Αναβάθμιση – εγκατάσταση μέσω διαδικτύου Εντοπισμός Αγορά δεκτών δύσκολη η αντιμετώπισή του Ευρήματα Θέση σε λειτουργία του δέκτη και εύρεση δ/σεων IP κλπ 26/3/12 Ιωάννης Πάσχος

Custom boxes Servers σε Κορέα 26/3/12 Ιωάννης Πάσχος

Πολύ Custom boxes  Casper Dual tuner 26/3/12 Ιωάννης Πάσχος

Dreambox Δορυφορικός αποκωδικοποιητής Linux Αρκετά Images τα οποία διαφέρουν σε look and feel Περιλαμβάνουν διαφορετικά plugins. Τα Plug-in μπορούν να προστεθούν ή αφαιρεθούν είτε από το μενού είτε μεσω telnet Οι emulators είναι plugins όχι συνδεδεμένα με τα images. 26/3/12 Ιωάννης Πάσχος

Dreambox Images Gemini Pli Nabilosat http://www.sat-universe.com/forumdisplay.php?f=14 26/3/12 Ιωάννης Πάσχος

Emulators Εξομοιώνουν το Card Access Module Είναι δηλαδή υπεύθυνα για την αποκρυπτογράφηση Server η/και Client 26/3/12 Ιωάννης Πάσχος

Dreambox tool

Card sharing Εντοπισμός Μέσω διαδικτύου Port scanning Forums Μέσω email (aka καρφωτή) Ερώτηση για κάποιες φήμες (Forthnet) δεν είναι αποδεκτή (στου κουφού την πόρτα...) 26/3/12 Ιωάννης Πάσχος

Cccam Webinfo Αρχείο Webinfo 26/3/12 Ιωάννης Πάσχος

Εγκληματολογική Εξέταση Εντοπισμός IP. Εντοπισμός password Σύνδεση Setup shares Tarballs Τι ψάχνουμε? 26/3/12 Ιωάννης Πάσχος

Εντοπισμός IP 26/3/12 Ιωάννης Πάσχος

Password Default passwords Passwords (FTP and telnet) user: root PW: relook (Mostly used) user: relook (on some official images and Highland) On some Enigma's: PW: dreambox Sometimes Fantacy uses PW: fantacy On some Ajax images PW: ajax On ***** and some other enigma's: user: root PW: ipbox Sifteam images: PW: sifteam 26/3/12 Ιωάννης Πάσχος

Password Συνήθως ο προγραμματισμός γίνεται σε κάποιο PC και στη συνέχεια μεταφέρονται τα αρχεία ρυθμίσεων μέσω FTP ή telnet Αν υπάρχουν άλλα πειστήρια έρευνα σε εκείνα για ανεύρεση του μέσα από αρχεία ρυθμίσεων ή άλλα αρχεία. 26/3/12 Ιωάννης Πάσχος

Password Αν όχι? Το image τρέχει με root δικαιώματα οπότε............. 26/3/12 Ιωάννης Πάσχος

Password change Αλλαγή σε default. Password == dreambox 26/3/12 Ιωάννης Πάσχος

Τι πρέπει να προσέξουμε? Dual Boot με 2 λειτουργικά images Το ένα αθώο το άλλο ένοχο Το password μπορεί να ισχύει για ένα από τα δύο Η διαδικασία μπορεί να πρέπει να επαναληφθεί Boot from external device Full forensic image Live system. Προσοχή στα ατυχήματα 26/3/12 Ιωάννης Πάσχος

Image the box Σύνδεση με telnet και προσπάθεια με την εντολή dd. BΙΙΙΙΙΙΙIG FAILURE. Αντίγραφο λογικών αρχείων με χρήση tar, προκειμένου να μπορεί να εξαχθεί Hash value και να εξεταστεί ως πειστήριο. Δεν υπάρχει πρόβλημα εφ’ όσον γνωρίζουμε τι κάνουμε και το καταγράφουμε 26/3/12 Ιωάννης Πάσχος

Αξιολόγηση μεθόδου Τι χάνουμε? Τι έχουμε? Οχι φυσικό αντίγραφο Δεν υπάρχει ανάκτηση διαγραμμένων αρχείων Τι έχουμε? Αντίγραφα όλων των αρχείων (εκτός ορισμένων συστήματος) Αρχεία ρυθμίσεων Διατήρηση ημερομηνιών και ωρών στο tar.gz αρχείο Δεν ενημερώνει Access Time για αλλοίωση Εύρεση μέσου που θα εγγραφούν 26/3/12 Ιωάννης Πάσχος

Εγγραφή tarball Σε εξωτερική συσκευή (αν υπάρχει) Δημιουργία share σε άλλο μηχάνημα windows (εξυπηρετεί FTK, Encase κλπ) ή Linux και mount Στους φακέλους που θα εξαιρεθούν μην ξεχάσετε να μη συμπεριλάβετε το mnt  26/3/12 Ιωάννης Πάσχος

Τι ψάχνουμε? Για dreambox αρχεία ρυθμίσεων από emulators Cccam.cfg Newcamd Newcs.xml 26/3/12 Ιωάννης Πάσχος

Αρχεία Ρυθμίσεων CCcam The CCcam.cfg βρίσκεται σε /var/etc folder. Δύο τμήματα local settings και lines Local Settings SERVER LISTEN PORT : 12345 ALLOW WEBINFO: yes WEBINFO USERNAME : username WEBINFO PASSWORD : password Lets you monitor your server stats using CCcamInfoPHP SERIAL READER : /dev/ttyUSB0 Tells CCcam to use a cardreader, use ttySCI0 for internal readers 26/3/12 Ιωάννης Πάσχος

Cccam.cfg Lines section Προσθήκη χρήστη F: user password 3 0 0 { 0:0:5 } 3 hops, reshare 4 times more Reshare μεγαλύτερο από 5 είναι πρόβλημα αν οχι και το 5 Προσθήκη Server C: ip/dyndns_server port user password Newcamd == N line: N: ip/dyndns port user password deskey hops_away radegast server R line: R: IP/dyndns port CAID(4digits) providerID(6digits) hops_away To connect to a Camd3 server you have to add a L line: L: IP/dyndns port CAID(4digits) providerID(6digits) hops_away 26/3/12 Ιωάννης Πάσχος

Newcs.xml <newcamdserver> <!-- valid value for enabled are: Yes, No - Enable or Disable newcamd server. --> <enabled>Yes</enabled> <!-- valid value for name are: Any name - Used to identify server to remote clients, if the remote client isnt newcamd, this field have no purpouse. --> <name>newcs</name> <!-- valid value for deskey are: any 14x2 numbers - Used to encrypt the communication between the client and the server. --> <deskey>01 02 03 04 05 06 07 08 09 10 11 12 13 14</deskey> <!-- Notes about users: The first user doesnt have au without beeing it set to on (unlike newcamd cardserver). You can add as many user-sections as you want, just put them under eachother. --> 26/3/12 Ιωάννης Πάσχος

<user> <!-- valid value for userfile are: Any username you'd like - Used for client to logon (its case sensitive). --> <name>dummy</name> <!-- valid value for password are: Any password you'd like - Used for client to logon (its case sensitive). --> <password>dummy</password> <!-- valid value for hostname are: IP-address or DNS-name - Used for reverse login to the client. --> <hostname>localhost</hostname> <!-- valid value for port are: 0-65535 - Which port reverse login to the client. --> <port>12000</port> <!-- valid value for au are: On,Off - Wheather the client are allowed to send EMM to the server. --> <au>on</au> <!-- valid value for sidoverride are: On,Off - Wheather the client are allowed to override the SID-filter. --> <sidoverride>off</sidoverride> <!-- valid value for readers are device name, if one <allow> present, other readers will be disabled! --> <readers> <allow>Phoenix on Com1</allow> </readers> <!-- valid value for spider are: Yes,No - Wheather the client are allowed to be newcamd Cardspider. --> <spider>No</spider> <!-- valid value for rate are: 1-60 - number of seconds between each ecm --> <rate>2</rate> <!-- valid value for cardlevel are: 1 - If its set Mgcamd will use all cards over the same port. --> <cardlevel>1</cardlevel> </user> </newcamdserver> 26/3/12 Ιωάννης Πάσχος

Αρχεία Ρυθμίσεων Newcamd CWS = 192.168.0.1 10000 username1 userpas1 01 02 03 04 05 06 07 08 09 10 11 12 13 14 lan testserver Line parts in plain English
1)192.168.0.1 — ip address of the server 2)10000 — port of the server (the same as the one defined on newcs.xlm)
3)username1 userpas1 — username and pass of the client (the same as the one defined on newcs.xlm)
4)01 02 03 04 05 06 07 08 09 10 11 12 13 14 — access code (the same as the one defined on newcs.xlm)
5)lan — leave this as lan
6)cardserv – name of the cardsharing server (the same as the one defined on newcs.xlm) 26/3/12 Ιωάννης Πάσχος

Ευρήματα διάφορα Config files Camx:
Keys Directory: /var/keys/ - Softcam.Key Autoroll.Key
Prgram file : /var/bin/
Config Files : /var/etc/
AU Files : /var/keys/Autoroll.Key
________________________________________ GBox:
Keys Directory: /var/keys - seca,nagra,via,irdeto,conax
Prgram files: /var/bin - gbox
Config Files: /var/keys - gbox_cfg
AU Files: /var/keys/roms/
________________________________________ Camd3:
Keys Directory: /var/keys - camd3.keys
Prgram files: /var/bin - camd3
Config Files: /var/keys - camd3.conf - camd3.config
AU Files: /var/keys/ - seca_hash.bin - seca2_hash_0070.bin
seca2_mask_0070.bin - camd3.keys
________________________________________ Evocamd:
Keys Directory: /var/keys - Autoupdate.Key & Keylist.txt
Prgram files: /var/bin - evocamd
Config Files: /var/keys - camd_cfg
 26/3/12 Ιωάννης Πάσχος

Ευρήματα διάφορα Config files Newcamd:
keys directory: /var/scce -keylist, ppua, rsakeylist & tpscrypt of
/var/tuxbox/scce (newcamd 6.01, kan oude dir gebruiken)
Program files: /var/bin - newcamd, cardserv, cardspider, betadserv
Config files: /var/tuxbox/config - newcamd.conf, cardserv.cfg, betad.cfg
AU files: /var/scce/ - nagrarom3.bin, nagraram3.bin, nagraepr3.bin,
sttestrom3.bin, stmaprom3.bin, nagrarom7.bin, nagraram7.bin,
nagraepr7.bin, nagrarom10.bin, nagraram10.bin, nagraepr10.bin,
nagrarom11.bin, nagraram11.bin, nagraepr11.bin, rsakeylist
________________________________________ Mgcamd:
keys directory: /var/keys - SoftCam.key & AutoRoll.key
Program files: /var/bin - mgcamd
Config files: /var/keys - mg_cfg
AU files:
________________________________________ Scam:
Keys Directory: /var/keys - seca2,nagra,via, - irdeto,conax
Prgram files: /var/bin - scam
Config Files: /var/keys - softcam.cfg
AU Files: var/keys/ - seca2 - /nagra_rom
________________________________________ Radegast :
keys directory: /var/keys - SoftCam.key & AutoRoll.key
Program files: /var/bin - rdgd, camd.rdgd, netpilot
Config files: /var/etc - radegast.cfg
AU files: Need a patched driver for older conax cards ________________________________________ CCcam: Keys Directory: /var/keys - Softcam.Key, AutoRoll.key & constant.cw Program Files: /var/bin - CCcam, capmtserver Config Files: /var/etc - CCcam.cfg AU Files: /var/keys - Autoroll.key 26/3/12 Ιωάννης Πάσχος

Είδη ευρημάτων σε λοιπά πειστήρια ftp log files and passwords Αρχεία με πελατολόγια Διάφορες εκδόσεις αρχείων ρυθμίσεων. Διαγραμμένα αρχεία στατιστικών (και μη) 26/3/12 Ιωάννης Πάσχος

Αποτέλεσμα 26/3/12 Ιωάννης Πάσχος

Προβλήματα Πρόβλημα με image dreambox και άλλους αποκωδικοποιητές Image from serial port? 26/3/12 Ιωάννης Πάσχος

Νομοθεσία ΠΔ 343 14/11/2002 Νόμος 2121/93 ΠΔ 343 14/11/2002 Νομοθεσία ΠΔ 343 14/11/2002  Νόμος 2121/93 ΠΔ 343 14/11/2002  παράνομη συσκευή: κάθε εξοπλισμός ή λογισμικό που έχει σχεδιαστεί ή προσαρμοστεί ώστε να επιτρέπει στον κάτοχό του την πρόσβαση σε προστατευόμενη υπηρεσία σε καταληπτή μορφή, χωρίς την έγκριση του φορέα που κατέχει την άδεια παροχής της προστατευόμενης υπηρεσίας. 26/3/12 Ιωάννης Πάσχος

Resources Ολα για Oscam Cardsharing http://streamboard.gmc.to:8001/ http://www.eurocardsharing.com/ http://www.sat-share.tv/ http://www.freecardshare.net/ 26/3/12 Ιωάννης Πάσχος

Αυτάαααα Αφού αντέξατε ως εδω... forensixgr@gmail.com yiannis@forensics.gr 26/3/12 Ιωάννης Πάσχος