|
Система DSS™,
применяемая в DirecTV,
в момент своего запуска в 1994 году использовала смарт-карту
т.н. серии F на микропроцессоре Motorola ( 68HC05SC21 , 6K ROM,
3K EEPROM и 128 байт RAM). Однако, карта имела весьма слабую
защиту и компания в 1995 году ее заменила на
новою серию - H,
которая имеет очень много сходства с картой, примененной
компанией BSkyB (серии 10
и 11). По всей вероятности, инженеры BSkyB
использовали опыт Hughes Network Systems.
Карта содержит два чипа, один
из которых - микроконтроллер (Siemens, 8051-совместимый, 8K ROM, 4K
EEPROM и 256 байт RAM), а второй - так называемый ASIC -
заказная логическая матрица, которая в этих картах
осуществляет кодирование-декодирование команд. (См.
рентгеновский снимок справа)
Детали алгоритма шифрования в
логической матрице долгое время были неизвестны, но
пиратские карты для DSS™ все же появились (одновременно с
картами для BSkyB). Если быть более точным, то использовались
оригинальные карты с перерезанным проводником у ASIC (см. справа). ASIC
позволил декодировать команды, а дальше в дело вмешивался
либо персональный компьютер, либо отдельный чип - блокер,
который блокирует передачу различных "нежелательных"
команд карте (как, например, окончание подписки и т.п.).
Блокеры для DSS™ обычно делались на чипе Dallas 5000 или на
AVR® (AT90SC) фирмы
Atmel. Такие системы часто называли еще L-картами.
Для
повышения "живучести" карту серии H разработчики
оснастили специальными командами для перезагрузки
программного обеспечения самой карты. Эти команды в
определенных кругах получили название "нанокоманд"
(nanocommands), по тому что код команды начинался с 09. В
настоящее время подобные команды чаще называют backdoor. С
помощью нанокоманд владелец канала имел возможность
периодически менять, например, алгоритм работы карт и т.п.
В конце 1997 года группа,
называющая себя 3M или "Три Мушкетера", разобралась в
системе нанокоманд и им удалось загрузить в карту "троянского
коня" - программу, которая позволяла читать ключи из EEPROM
карты,
менять часть основной программы карты и т.д. Код- имплант
помещался в EEPROM, в той части, которая не используется или
используется редко, а основная программа выполняла
переход на новый код. Такой способ дал возможность делать
"карты-вездеходы" в течении 5 минут - нужен простой
интерфейс (смарт-маус с кварцем на 6 МГц), программа типа
WinExplorer и файл-скрипт с командами, которые загрузят код в
карту. Название группы стало названием технологии - 3M.
Разумеется это не прошло
незамеченным. DirectTV немедленно нанес несколько довольно
серьезных ударов по
пиратам. Дело в том, что карта DSS™ имеет 2 байта т.н.
предохранителей (fuses). Их переустанавливает
процессор карты при чтении-записи EEPROM. Используя ту же backdoor
была изменена программа карты так , что в случае отличия в
предохранителях программа карты зацикливалась - выводила
код FF на I/O карты и делала переход на самое себя.(looping, или
99ing).
Карта с петлей не откликается
ни на какие сигналы, не выдает ATR, в общем, выглядит как
абсолютно мертвая.
Через некоторое время сразу несколько групп, например - Triton,
сообщили о выпуске специальных устройств -
разблокираторов или unlooper /un-99ing (справа). Такое
устройство подает на карту сигналы в определенной
последовательности и выводит карту из клинча. Стоимость
устройств - от 1500 до 2500 долларов.
Кроме того, был разработана новая версия "троянца"
- Stealth, который обманывал контрольную программу DSS и выдает
ей правильные коды предохранителей карты.
Из сайтов, содержащих наиболее полную информацию о DSS,
отмечу некоторые - www.dishplex.com
, www.dr7.com , www.satcentral.com, www.dsscentral.com
С конца 1999 года DirecTV использует
только карты новой серии - HU, в которых изменен механизм
работы backdoor. А в первых числах января 2001 года, в
процессе довольно мощной контр операции DirecTV, были выведены из строя почти все модифицированные
карты H-серии - невзирая на Stealth-алгоритмы.
Загруженная в карту новая программа четко отличала
пиратскую карту от настоящей и пережигала плавкие
перемычки-предохранители внутри карты. Плавкие перемычки
это часть системы
безопасности смарт-карты, восстановить их невозможно и такие
карты выводятся из строя навсегда.
DISH
Network использует более серьезную и
современную систему кодирования Nagravision,
разработанную швейцарской фирмой Kudelski-Group, которой
кстати, принадлежат торговые марки Nagra и NagraVision.
Замечу, что эта система имеет очень мало общего с
аналоговой Nagra.
Все обслуживание системы кодирования из
соображений секретности выполняет только сама Kudelski-Group.
Карта сделана на базе SGS
Thompson ST16CF54B : 8-бит процессор, 16K пользовательской ROM, 8K
системной ROM, 512 байт RAM и 4K EEPROM.
Карта имеет несколько новшеств
на фоне других систем ограничения. Во первых - это блочный
протокол T1 стандарта ISO 7816-3 (почти все карты других систем
используют протокол T0). Во вторых - неординарная скорость
обмена. В распространенном интерфейсе smartmouse с кварцем 3.57
Мгц карта работает на скорости 111 861 бит/сек и его
использовать не удается. Затруднена таже запись протокола
- штатная синхрочастота тюнера - 4.61 Мгц, что дает скорость
обмена 144 063 бит/сек, также нестандартную для компьютера.
И, наконец, самое главное - карта уже с завода имеет в
себе 64-х битный секретный номер своего тюнера и с другим
тюнером, кроме "родного" карта не работает. Но важнее
то, что в
процессе работы содержимое Т1-блоков данных между картой и
тюнером зашифровано комбинационным ключом тюнер-карта.
Ключ, в принципе, можно найти в дампе памяти тюнера, но
только до до активации карты. В процессе активации тюнер
загружает новое программное обеспечение со спутника и
ключ перемещается в неизвестное пока место. Правда, к текущему
моменту уже отработаны команды для получения секретного ключа тюнера из
активированной карты.
Для DISH Network теоретически
существует несколько видов взлома. Разработан блокер,
который продолжает жизнь карты после конца подписки (
на AVR®, см.
справа). Однако, практически все
версии блокера страдают дефектом blackouts -
периодически, раз в 8-10 минут, сигнал теряется на 2-3 секунды.
Это связано с тем, что блокер не пропускает все EMM-команды,
тем самым разбивая правильную последовательность команд и
тюнеру иногда приходится реинициализировать обмен с
картой.
Разработана также и технология
E3M - переделка оригинальной карты в "вездеход", однако,
стоимость E3M-переделки на сегодня -$250-$300, а надежность не
подтверждена, так как в январе 2001 довольно большое число модифицированных
карт было зациклено в ходе первой ECM
такого рода. Кроме того, широко доступной информации по E3M нет.
Эмулятор карты построен на том же AVR® и не имеет автоапдейта ключей. Для загрузки ключа
нужно использовать интерфейс или перепрограммировать чип
эмулятора. Ключи меняются довольно часто - несколько раз в неделю,
но довольно быстро появляются в Интернет. Появилась даже
разновидность эмулятора - Keypad AVR или EK-1, имеющего небольшую
клавиатуру для быстрого ввода кодов.
Новые ключи для EK-1 рассылаются по e-mail. Стоимость таких
устройств - $100-$160.
В конце
января 2001 года DISH Network провела
довольно успешную операцию - код
карты был изменен так, что одна из
команд была зашифрована неизвестным
алгоритмом. В результате все
предыдущие системы работать
перестали, но довольно быстро
появилась новая система - AVR3 (или mcg305
как ее обычно называют). Система
очень напоминает L-карту или блокер, в
ней используется настоящая карта,
однако все функции выполняет
процессор эмулятора, карта лишь
декодирует шифрованую команду. Карта
отрезана от любых других команд, так
что ей ничего не грозит, однако и
ключи в эмулятор автоматически не
поступают - их нужно вводить вручную,
точнее - перепрограммировать
процессор эмулятора.
<< Вернуться В начало
>> |
