Masz nc+, masz problem

Urządzeniem, które tylko odrobinę ustępuje popularności routerom, jest odbiornik telewizji satelitarnej. Wystarczy wyjechać poza obszar działania sieci kablowych, by na większości domów znaleźć talerz anteny satelitarnej. Co – biorąc pod uwagę, że spora część odbiorników ma łączność z internetem i domową siecią – robi z dekodera TV Sat interesujący obiekt dla bezpiecznika. Twórca Security Explorations, Adam Gowdiak, poinformował o ogłoszeniu wyniku prac nad dekoderami wykorzystywanymi przez platformę NC+. Aktualizacja: zgodnie z wcześniejszymi zapowiedziami, opracowany przez SE framework do badania bezpieczeństwa dekoderów, został już udostępniony.

To nie pierwsza przygoda tego zespołu z urządzeniami NC+. W 2012 również badali set-top-boxy NC+, znaleźli w nich błędy – które zostały w dużej mierze zignorowane przez producenta. Po kilku latach postanowili dowiedzieć się, jak producent dekoderów poradził sobie z błędami wykrytymi w układach STMicroelectronics. W związku z tym, że nie otrzymali odpowiedzi, postanowili zbadać temat samodzielnie. Na warsztat wzięli dwa popularne dekodery – ITI-2849ST oraz ITI-2850ST. Jak się okazało, nie wszystkie wykryte wcześniej błędy zostały załatane, a dodatkowo znalazły się nowe, w „poprawionej” wersji dekodera – ITI-2851ST.

Co znaleziono?
Pełna lista znalezionych problemów wykracza poza ramy jakiegokolwiek artykułu – przygotowana przez S-E analiza ma 128 stron (w tym okładka), i dokładnie prowadzi czytelnika przez odnalezione błędy. Z ciekawszych rzeczy, dzięki błędom w oprogramowaniu dekodera, można:

  • uzyskać dostęp do informacji o subskrybcjach wszystkich użytkowników nc+ (7 lat temu było ich ponad 820 tysięcy): numerach faktur, kwotach, okresach rozliczeniowych i numerach kart dekodujących. Pozwala to w miarę dokładnie oszacować przychody platformy i analizować wykorzystanie promocji przez klientów;
  • dostać dostęp do mechanizmu znakowania treści (watermarking) – dzięki któremu platforma może wykryć, kto był źródłem wycieku nagrania lub transmisji (i od razu wiemy, że taki watermarking istnieje);
  • wyeksploatować błąd w mechanizmie multiroom, uzyskując nieautoryzowany dostęp do dekodera – a przy okazji – nieautoryzowany dostęp do treści premium;
  • zmusić dekoder do wykonania dowolnego kodu (również z uprawnieniami administratora);
  • utrudnić automatyczną aktualizację urządzeń (a przez to – usunięcie przez operatora błędów wskazanych w analizie)
  • zapisywać stream mpeg-4 dowolnego programu – w jakości Full HD
  • uzyskać, na poziomie API, dostęp do NC+ GO na urządzeniu uznanym przez operatora za niegodne ze względów bezpieczeństwa
  • poprzez podsunięcie niewłaściwego numeru karty (a mamy je dzięki błędowi nr 1), uzyskać dostęp do treści poza naszym pakietem abonamentowym
  • a jednocześnie – dzięki dostępowi do danych subskrybentów – złożyć zamówienie w cudzym imieniu, na cudzy koszt

Dodatkowo, jak się dowiedzieliśmy od autorów raportu, ITI wie o tych ostatnich błędach od 2012 roku. W trakcie testów udało się uzyskać dostęp do wszystkich istniejących materiałów NC+ GO TV (pakiety, kolekcje, 700 premier z wypożyczalni) – bowiem zabezpieczenia treści robione były po stronie klienta. Dodatkowo, sama możliwość złożenia zamówienia w cudzym imieniu została zweryfikowana w praktyce – za zgodą „ofiary”, testerzy wypożyczyli film w wypożyczalni VOD. Co więcej, przeprowadzono jeszcze kilka innych testów związanych ze składaniem zamówień – i twórcy raportu wykryli kolejne błędy, które w sumie pozwalają na przeprowadzenie ataku na wszystkich abonentów platformy.

Jak dobrano się do firmware?
W przypadku większości urządzeń, dostęp do firmware wymaga dobrania się do wbudowanego dysku, wlutowanego flasha, podpięcia się pod chip – generalnie, grzebania przy sprzęcie. Badacze zajmujący się sprzętem aktualizowanym drogą radiową mają łatwiej – w sygnale z satelity co jakiś czas przesyłany jest aktualny firmware – po to, by odbiorniki mogły się same aktualizować. Transmisja jest zaszyfrowana, ale klucz nie zmienił się od co najmniej 2012 roku, więc Security Explorations nie miała problemu z jego rozkodowanie.

Proof of concept?
W związku z brakiem zainteresowania opisanym przeze mnie raportem, Adam Gowdiak wysłał wczoraj następujące oświadczenie:

Due to no interest in our SAT TV security research, the remaining
bits of SRP-2018-02 material including the following:
– technical details of a new ST chipset vulnerability,
– Proof of Concept code for the above vulnerability,
– Proof of Concept codes for set-top-box and ST chipset access,
– SLIMCore assembler and compiler stubs generator tools,
– responses (or their lack of) to our inquiries from 20+ companies
(content providers, STB vendors and CAS vendors)

are scheduled to be released to the public next week.

Co NC+ robi źle?
Pod względem technicznym – zapraszam do podsumowania na stronę 107 raportu. Pod względem kontaktów z researcherami – nc+ działa tak, jak funkcjonowała branża IT 20 lat temu. Wtedy albo chowano głowę w piasek (przypadek nc+), albo pozywano badaczy zgłaszających problemy z bezpieczeństwem.

Głównym stratnym na źle zabezpieczonych dekoderach jest nc+ – oraz dostawcy treści, którzy ufają, że operator wywiąże się ze swoich zobowiązań i prawidłowo zabezpieczy sygnał telewizyjny przed nieuprawnionym kopiowaniem. Problem polega na tym, że błędy w zabezpieczaniu danych klientów powodują, że złośliwy osobnik może dokonywać zakupów treści w cudzym imieniu i na cudzy koszt – a to już problem, który powinien zostać zaadresowany szybko.

Zachowanie polegające na ignorowaniu zgłoszeń specjalistów od bezpieczeństwa okazało się w przeszłości strzałem w kolano – i najpierw doprowadziło do niekontrolowanego „hobbystycznego” dystrybuowania exploitów na niezałatane dziury, a następnie – do powstania czarnego rynku tychże. Sugerujemy pójście w ślady najlepszych i uruchomienie programu „bug bounty” dla badaczy zgłaszających problemy z bezpieczeństwem. A przynajmniej poważne traktowanie ich zgłoszeń i naprawianie wskazanych palcem błędów…

Więcej:

proof-of-concept potrafi:

  • administrative access (OS root, JVM root and kernel level access) to STi7111 based set-top-box devices (ITI-2850ST, ITI2849ST and ITI-2851S)
  • full read/limited2 write access to file system
  • full read/write kernel and ST chipset I/O space access
  • smart card interface interception (APDU req / resp logging)
  • runtime firmware interception of STi7111’s embedded crypto processor
  • firewall disabling
  • java and system level directory tree listing
  • java and system level file/directory tree transfer
  • access to information about system configuration (serial number, software version, hardware type, network configuration)
  • access to information about MPEG services
  • access to SI MPEG sections (PAT, PMT)
  • simple MPEG sniffing by PID value
  • access to information about various cryptographic keys (Conax, hdcp)
  • access to information about user’s subscription’s status (Conax card entitlements)
  • access to Electronic Program Guide (EPG)
  • DSMCC carousels mounting
  • MPEG stream capture of arbitrary HD programming
  • access to vulnerable STi7111 processor (SlimCORE and TKD crypto core)
  • inspection of TKD crypto core memory
  • inspection of chipset security fuses
  • execution of custom TKD crypto core commands
  • loading and execution of SlimCORE code (images) produced by SlimCORE assembler tool
  • Conax CWPK chipset pairing key extraction
  • plaintext Control Word keys extraction
  • the possibility to implement custom framework commands (run custom code on a device)

Aktualizacja: Tekst został zaktualizowany 15.02 po otrzymaniu doprecyzowania ze strony twórców raportu. Dziękujemy!

About lmj

Łukasz Jachowicz (honey). Pierwszy raz w internecie w 1991 lub 1992. Pierwszy raz z własnym serwisem (codziennie aktualizowanym!) – w 1996. Pierwszy raz z własnym serwisem oraz grupą wiernych fanów – w 2000/2001. Do dziś bez stałego łącza do internetu (choć by chciał – ale dystans ok. 90 metrów do skrzynki nie do przeskoczenia dla operatora). Przez wiele lat popularyzator idei otwartości w oprogramowaniu i standardach wykorzystywanych przez administrację publiczną. Zwolennik otwartości dostępu do możliwie szerokiego zakresu danych publicznych. Autor analiz i policy papers dotyczących otwartości danych publicznych i zarządzania internetem. Miłośnik (choć nie bezkrytyczny) Linuksa. Przez wiele lat zawodowo zajmował się analizowaniem styku polityki i technologii. Twórca 7thGuarda, Rębaczy i rosnącej liczby odcinków podkastu Cyber Cyber. Zawodowo związany z Mediarecovery, gdzie zajmuje się bezpieczeństwem IT i informatyką śledczą.

View all posts by lmj →

2 Comments on “Masz nc+, masz problem”

  1. Trzeba raz wyczyscic najwieksze koncerny z pieniedzy moze wtedy laskawie zauwaza jak wazna jest ochrona .ktora oferuje Pan Adam i docenic Jego geniusz.Matoly dostaja sie na stanowiska do CYBER OCHRONY a geniusze czekaja aby SWIAT o nich uslyszal to skandal na skale swiatowa!!!!!!!!

Comments are closed.