Urządzeniem, które tylko odrobinę ustępuje popularności routerom, jest odbiornik telewizji satelitarnej. Wystarczy wyjechać poza obszar działania sieci kablowych, by na większości domów znaleźć talerz anteny satelitarnej. Co – biorąc pod uwagę, że spora część odbiorników ma łączność z internetem i domową siecią – robi z dekodera TV Sat interesujący obiekt dla bezpiecznika. Twórca Security Explorations, Adam Gowdiak, poinformował o ogłoszeniu wyniku prac nad dekoderami wykorzystywanymi przez platformę NC+. Aktualizacja: zgodnie z wcześniejszymi zapowiedziami, opracowany przez SE framework do badania bezpieczeństwa dekoderów, został już udostępniony.
To nie pierwsza przygoda tego zespołu z urządzeniami NC+. W 2012 również badali set-top-boxy NC+, znaleźli w nich błędy – które zostały w dużej mierze zignorowane przez producenta. Po kilku latach postanowili dowiedzieć się, jak producent dekoderów poradził sobie z błędami wykrytymi w układach STMicroelectronics. W związku z tym, że nie otrzymali odpowiedzi, postanowili zbadać temat samodzielnie. Na warsztat wzięli dwa popularne dekodery – ITI-2849ST oraz ITI-2850ST. Jak się okazało, nie wszystkie wykryte wcześniej błędy zostały załatane, a dodatkowo znalazły się nowe, w „poprawionej” wersji dekodera – ITI-2851ST.
Co znaleziono?
Pełna lista znalezionych problemów wykracza poza ramy jakiegokolwiek artykułu – przygotowana przez S-E analiza ma 128 stron (w tym okładka), i dokładnie prowadzi czytelnika przez odnalezione błędy. Z ciekawszych rzeczy, dzięki błędom w oprogramowaniu dekodera, można:
- uzyskać dostęp do informacji o subskrybcjach wszystkich użytkowników nc+ (7 lat temu było ich ponad 820 tysięcy): numerach faktur, kwotach, okresach rozliczeniowych i numerach kart dekodujących. Pozwala to w miarę dokładnie oszacować przychody platformy i analizować wykorzystanie promocji przez klientów;
- dostać dostęp do mechanizmu znakowania treści (watermarking) – dzięki któremu platforma może wykryć, kto był źródłem wycieku nagrania lub transmisji (i od razu wiemy, że taki watermarking istnieje);
- wyeksploatować błąd w mechanizmie multiroom, uzyskując nieautoryzowany dostęp do dekodera – a przy okazji – nieautoryzowany dostęp do treści premium;
- zmusić dekoder do wykonania dowolnego kodu (również z uprawnieniami administratora);
- utrudnić automatyczną aktualizację urządzeń (a przez to – usunięcie przez operatora błędów wskazanych w analizie)
- zapisywać stream mpeg-4 dowolnego programu – w jakości Full HD
- uzyskać, na poziomie API, dostęp do NC+ GO na urządzeniu uznanym przez operatora za niegodne ze względów bezpieczeństwa
- poprzez podsunięcie niewłaściwego numeru karty (a mamy je dzięki błędowi nr 1), uzyskać dostęp do treści poza naszym pakietem abonamentowym
- a jednocześnie – dzięki dostępowi do danych subskrybentów – złożyć zamówienie w cudzym imieniu, na cudzy koszt
Dodatkowo, jak się dowiedzieliśmy od autorów raportu, ITI wie o tych ostatnich błędach od 2012 roku. W trakcie testów udało się uzyskać dostęp do wszystkich istniejących materiałów NC+ GO TV (pakiety, kolekcje, 700 premier z wypożyczalni) – bowiem zabezpieczenia treści robione były po stronie klienta. Dodatkowo, sama możliwość złożenia zamówienia w cudzym imieniu została zweryfikowana w praktyce – za zgodą „ofiary”, testerzy wypożyczyli film w wypożyczalni VOD. Co więcej, przeprowadzono jeszcze kilka innych testów związanych ze składaniem zamówień – i twórcy raportu wykryli kolejne błędy, które w sumie pozwalają na przeprowadzenie ataku na wszystkich abonentów platformy.
Jak dobrano się do firmware?
W przypadku większości urządzeń, dostęp do firmware wymaga dobrania się do wbudowanego dysku, wlutowanego flasha, podpięcia się pod chip – generalnie, grzebania przy sprzęcie. Badacze zajmujący się sprzętem aktualizowanym drogą radiową mają łatwiej – w sygnale z satelity co jakiś czas przesyłany jest aktualny firmware – po to, by odbiorniki mogły się same aktualizować. Transmisja jest zaszyfrowana, ale klucz nie zmienił się od co najmniej 2012 roku, więc Security Explorations nie miała problemu z jego rozkodowanie.
Proof of concept?
W związku z brakiem zainteresowania opisanym przeze mnie raportem, Adam Gowdiak wysłał wczoraj następujące oświadczenie:
Due to no interest in our SAT TV security research, the remaining
bits of SRP-2018-02 material including the following:
– technical details of a new ST chipset vulnerability,
– Proof of Concept code for the above vulnerability,
– Proof of Concept codes for set-top-box and ST chipset access,
– SLIMCore assembler and compiler stubs generator tools,
– responses (or their lack of) to our inquiries from 20+ companies
(content providers, STB vendors and CAS vendors)are scheduled to be released to the public next week.
Co NC+ robi źle?
Pod względem technicznym – zapraszam do podsumowania na stronę 107 raportu. Pod względem kontaktów z researcherami – nc+ działa tak, jak funkcjonowała branża IT 20 lat temu. Wtedy albo chowano głowę w piasek (przypadek nc+), albo pozywano badaczy zgłaszających problemy z bezpieczeństwem.
Głównym stratnym na źle zabezpieczonych dekoderach jest nc+ – oraz dostawcy treści, którzy ufają, że operator wywiąże się ze swoich zobowiązań i prawidłowo zabezpieczy sygnał telewizyjny przed nieuprawnionym kopiowaniem. Problem polega na tym, że błędy w zabezpieczaniu danych klientów powodują, że złośliwy osobnik może dokonywać zakupów treści w cudzym imieniu i na cudzy koszt – a to już problem, który powinien zostać zaadresowany szybko.
Zachowanie polegające na ignorowaniu zgłoszeń specjalistów od bezpieczeństwa okazało się w przeszłości strzałem w kolano – i najpierw doprowadziło do niekontrolowanego „hobbystycznego” dystrybuowania exploitów na niezałatane dziury, a następnie – do powstania czarnego rynku tychże. Sugerujemy pójście w ślady najlepszych i uruchomienie programu „bug bounty” dla badaczy zgłaszających problemy z bezpieczeństwem. A przynajmniej poważne traktowanie ich zgłoszeń i naprawianie wskazanych palcem błędów…
Więcej:
- SRP-2018-02 – najnowsze informacje oraz pełen framework do badania bezpieczeństwa
- opisywany raport na temat podatności potwierdzonych w 2018 r.
- informacje na temat błędów odkrytych w 2012
proof-of-concept potrafi:
- administrative access (OS root, JVM root and kernel level access) to STi7111 based set-top-box devices (ITI-2850ST, ITI2849ST and ITI-2851S)
- full read/limited2 write access to file system
- full read/write kernel and ST chipset I/O space access
- smart card interface interception (APDU req / resp logging)
- runtime firmware interception of STi7111’s embedded crypto processor
- firewall disabling
- java and system level directory tree listing
- java and system level file/directory tree transfer
- access to information about system configuration (serial number, software version, hardware type, network configuration)
- access to information about MPEG services
- access to SI MPEG sections (PAT, PMT)
- simple MPEG sniffing by PID value
- access to information about various cryptographic keys (Conax, hdcp)
- access to information about user’s subscription’s status (Conax card entitlements)
- access to Electronic Program Guide (EPG)
- DSMCC carousels mounting
- MPEG stream capture of arbitrary HD programming
- access to vulnerable STi7111 processor (SlimCORE and TKD crypto core)
- inspection of TKD crypto core memory
- inspection of chipset security fuses
- execution of custom TKD crypto core commands
- loading and execution of SlimCORE code (images) produced by SlimCORE assembler tool
- Conax CWPK chipset pairing key extraction
- plaintext Control Word keys extraction
- the possibility to implement custom framework commands (run custom code on a device)
Aktualizacja: Tekst został zaktualizowany 15.02 po otrzymaniu doprecyzowania ze strony twórców raportu. Dziękujemy!
Trzeba raz wyczyscic najwieksze koncerny z pieniedzy moze wtedy laskawie zauwaza jak wazna jest ochrona .ktora oferuje Pan Adam i docenic Jego geniusz.Matoly dostaja sie na stanowiska do CYBER OCHRONY a geniusze czekaja aby SWIAT o nich uslyszal to skandal na skale swiatowa!!!!!!!!
W Polsce adresuje się koperty, a nie problemy.