Masz nc+, masz problem

Urządzeniem, które tylko odrobinę ustępuje popularności routerom, jest odbiornik telewizji satelitarnej. Wystarczy wyjechać poza obszar działania sieci kablowych, by na większości domów znaleźć talerz anteny satelitarnej. Co – biorąc pod uwagę, że spora część odbiorników ma łączność z internetem i domową siecią – robi z dekodera TV Sat interesujący obiekt dla bezpiecznika. Twórca Security Explorations, Adam Gowdiak, poinformował o ogłoszeniu wyniku prac nad dekoderami wykorzystywanymi przez platformę NC+. Aktualizacja: zgodnie z wcześniejszymi zapowiedziami, opracowany przez SE framework do badania bezpieczeństwa dekoderów, został już udostępniony.

To nie pierwsza przygoda tego zespołu z urządzeniami NC+. W 2012 również badali set-top-boxy NC+, znaleźli w nich błędy – które zostały w dużej mierze zignorowane przez producenta. Po kilku latach postanowili dowiedzieć się, jak producent dekoderów poradził sobie z błędami wykrytymi w układach STMicroelectronics. W związku z tym, że nie otrzymali odpowiedzi, postanowili zbadać temat samodzielnie. Na warsztat wzięli dwa popularne dekodery – ITI-2849ST oraz ITI-2850ST. Jak się okazało, nie wszystkie wykryte wcześniej błędy zostały załatane, a dodatkowo znalazły się nowe, w „poprawionej” wersji dekodera – ITI-2851ST.

Co znaleziono?
Pełna lista znalezionych problemów wykracza poza ramy jakiegokolwiek artykułu – przygotowana przez S-E analiza ma 128 stron (w tym okładka), i dokładnie prowadzi czytelnika przez odnalezione błędy. Z ciekawszych rzeczy, dzięki błędom w oprogramowaniu dekodera, można:

• uzyskać dostęp do informacji o subskrybcjach wszystkich użytkowników nc+ (7 lat temu było ich ponad 820 tysięcy): numerach faktur, kwotach, okresach rozliczeniowych i numerach kart dekodujących. Pozwala to w miarę dokładnie oszacować przychody platformy i analizować wykorzystanie promocji przez klientów;
• dostać dostęp do mechanizmu znakowania treści (watermarking) – dzięki któremu platforma może wykryć, kto był źródłem wycieku nagrania lub transmisji (i od razu wiemy, że taki watermarking istnieje);
• wyeksploatować błąd w mechanizmie multiroom, uzyskując nieautoryzowany dostęp do dekodera – a przy okazji – nieautoryzowany dostęp do treści premium;
• zmusić dekoder do wykonania dowolnego kodu (również z uprawnieniami administratora);
• utrudnić automatyczną aktualizację urządzeń (a przez to – usunięcie przez operatora błędów wskazanych w analizie)
• zapisywać stream mpeg-4 dowolnego programu – w jakości Full HD
• uzyskać, na poziomie API, dostęp do NC+ GO na urządzeniu uznanym przez operatora za niegodne ze względów bezpieczeństwa
• poprzez podsunięcie niewłaściwego numeru karty (a mamy je dzięki błędowi nr 1), uzyskać dostęp do treści poza naszym pakietem abonamentowym
• a jednocześnie – dzięki dostępowi do danych subskrybentów – złożyć zamówienie w cudzym imieniu, na cudzy koszt

Dodatkowo, jak się dowiedzieliśmy od autorów raportu, ITI wie o tych ostatnich błędach od 2012 roku. W trakcie testów udało się uzyskać dostęp do wszystkich istniejących materiałów NC+ GO TV (pakiety, kolekcje, 700 premier z wypożyczalni) – bowiem zabezpieczenia treści robione były po stronie klienta. Dodatkowo, sama możliwość złożenia zamówienia w cudzym imieniu została zweryfikowana w praktyce – za zgodą „ofiary”, testerzy wypożyczyli film w wypożyczalni VOD. Co więcej, przeprowadzono jeszcze kilka innych testów związanych ze składaniem zamówień – i twórcy raportu wykryli kolejne błędy, które w sumie pozwalają na przeprowadzenie ataku na wszystkich abonentów platformy.

Jak dobrano się do firmware?
W przypadku większości urządzeń, dostęp do firmware wymaga dobrania się do wbudowanego dysku, wlutowanego flasha, podpięcia się pod chip – generalnie, grzebania przy sprzęcie. Badacze zajmujący się sprzętem aktualizowanym drogą radiową mają łatwiej – w sygnale z satelity co jakiś czas przesyłany jest aktualny firmware – po to, by odbiorniki mogły się same aktualizować. Transmisja jest zaszyfrowana, ale klucz nie zmienił się od co najmniej 2012 roku, więc Security Explorations nie miała problemu z jego rozkodowanie.

Proof of concept?
W związku z brakiem zainteresowania opisanym przeze mnie raportem, Adam Gowdiak wysłał wczoraj następujące oświadczenie:

Due to no interest in our SAT TV security research, the remaining
bits of SRP-2018-02 material including the following:
– technical details of a new ST chipset vulnerability,
– Proof of Concept code for the above vulnerability,
– Proof of Concept codes for set-top-box and ST chipset access,
– SLIMCore assembler and compiler stubs generator tools,
– responses (or their lack of) to our inquiries from 20+ companies
(content providers, STB vendors and CAS vendors)

are scheduled to be released to the public next week.

Co NC+ robi źle?
Pod względem technicznym – zapraszam do podsumowania na stronę 107 raportu. Pod względem kontaktów z researcherami – nc+ działa tak, jak funkcjonowała branża IT 20 lat temu. Wtedy albo chowano głowę w piasek (przypadek nc+), albo pozywano badaczy zgłaszających problemy z bezpieczeństwem.

Głównym stratnym na źle zabezpieczonych dekoderach jest nc+ – oraz dostawcy treści, którzy ufają, że operator wywiąże się ze swoich zobowiązań i prawidłowo zabezpieczy sygnał telewizyjny przed nieuprawnionym kopiowaniem. Problem polega na tym, że błędy w zabezpieczaniu danych klientów powodują, że złośliwy osobnik może dokonywać zakupów treści w cudzym imieniu i na cudzy koszt – a to już problem, który powinien zostać zaadresowany szybko.

Zachowanie polegające na ignorowaniu zgłoszeń specjalistów od bezpieczeństwa okazało się w przeszłości strzałem w kolano – i najpierw doprowadziło do niekontrolowanego „hobbystycznego” dystrybuowania exploitów na niezałatane dziury, a następnie – do powstania czarnego rynku tychże. Sugerujemy pójście w ślady najlepszych i uruchomienie programu „bug bounty” dla badaczy zgłaszających problemy z bezpieczeństwem. A przynajmniej poważne traktowanie ich zgłoszeń i naprawianie wskazanych palcem błędów…

Więcej:

• SRP-2018-02 – najnowsze informacje oraz pełen framework do badania bezpieczeństwa
• opisywany raport na temat podatności potwierdzonych w 2018 r.
• informacje na temat błędów odkrytych w 2012

proof-of-concept potrafi:

• administrative access (OS root, JVM root and kernel level access) to STi7111 based set-top-box devices (ITI-2850ST, ITI2849ST and ITI-2851S)
• full read/limited2 write access to file system
• full read/write kernel and ST chipset I/O space access
• smart card interface interception (APDU req / resp logging)
• runtime firmware interception of STi7111’s embedded crypto processor
• firewall disabling
• java and system level directory tree listing
• java and system level file/directory tree transfer
• access to information about system configuration (serial number, software version, hardware type, network configuration)
• access to information about MPEG services
• access to SI MPEG sections (PAT, PMT)
• simple MPEG sniffing by PID value
• access to information about various cryptographic keys (Conax, hdcp)
• access to information about user’s subscription’s status (Conax card entitlements)
• access to Electronic Program Guide (EPG)
• DSMCC carousels mounting
• MPEG stream capture of arbitrary HD programming
• access to vulnerable STi7111 processor (SlimCORE and TKD crypto core)
• inspection of TKD crypto core memory
• inspection of chipset security fuses
• execution of custom TKD crypto core commands
• loading and execution of SlimCORE code (images) produced by SlimCORE assembler tool
• Conax CWPK chipset pairing key extraction
• plaintext Control Word keys extraction
• the possibility to implement custom framework commands (run custom code on a device)

Aktualizacja: Tekst został zaktualizowany 15.02 po otrzymaniu doprecyzowania ze strony twórców raportu. Dziękujemy!