home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / etc / hardware / hasdss.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  9.6 KB  |  208 lines
  1.  
  2.  
  3. Has DSS Been Hacked?
  4. By John McCormac - Editor Of Hack Watch News 
  5.  
  6. According  to available information, the Digital Satellite  System
  7. smart card has been hacked. The pirate cards will enter the market
  8. in soon. The price for the basic tier pirate card will be $150.
  9.  
  10. Four  tiers of pirate cards are planned. The first tier will  only
  11. include the basic programmes. The second tier  card  will  include
  12. the subscription movie channels. The third  tier  card  will  give
  13. access to the sports packages. The last card will give  access  to
  14. all services and will include a ceiling of $500 in  Pay  Per  View
  15. credits.
  16.  
  17. The  best  description for what is in formation is  an  "Alternate 
  18. Access  Control  System".  The pirates  will  be  supplanting  the 
  19. official DSS management with their own. Subroutines that marry the 
  20. pirate card to an individual IRD will be included to prevent or at 
  21. least deter piracy of the pirate card.
  22.  
  23. This  has  been  a major problem in Europe. The  majority  of  the 
  24. pirate  smart  cards  for VideoCrypt are  based  on  the  PIC16C84 
  25. microcontroller.  Despite its security, this chip was  popped  and 
  26. the programs  are routinely extracted. As a result of  this,  the
  27. program for hacking VideoCrypt spread rapidly throughout  Europe.
  28. A repeat of this situation is the last thing that the DSS  pirates
  29. want.  Therefore  they may go for a more  secure  processor.  Some
  30. sources have commented that one of the Dallas microcontrollers  or
  31. the new Zilog microcontrollers might be used.
  32.  
  33. The main pirate operations will take place outside the USA. Canada 
  34. has  been  mentioned as one particular site. Others  sources  have 
  35. mentioned   islands   in  the  Caribbean.  Piracy   of   satellite 
  36. television  signals  is  a  serious business in  the  US  for  the 
  37. channels, the pirates and the Law.
  38.  
  39. The Hack And How It Might Have Happened 
  40.  
  41. You have got to wonder at the kind of mind that would put a patent 
  42. number  on  a smart card. It is just like telling a  burglar  what 
  43. kind  of  lock your door uses. And yet this is  exactly  what  has
  44. happened with the DSS card. The text that appears on the  card  is
  45. as follows:
  46.  
  47. 'This  card  is  the property of News Datacom  Ltd.  and  must  be 
  48. returned  upon  request.  Incorporates  Videoguard  (tm)  security 
  49. system.  Provided  for  reception of authorized  101  W  longitude 
  50. satellite  services.  Protected  by  U.S  Patent  4,748,668,   and 
  51. others.'
  52.  
  53.  
  54. That patent referred to on the smart card is the Fiat Shamir  Zero 
  55. Knowledge Test. It is an authentication algorithm that the decoder 
  56. runs to see that the smart card inserted is a genuine smart  card.
  57. The same authentication algorithm is used in the analog VideoCrypt
  58. system  in Europe.  This  may not be  the  only  commonality.  To
  59. understand what  may have occurred, we have to go back  to  early
  60. 1994.
  61.  
  62.  
  63. In  Europe,  the VideoCrypt system, using the issue 07  card,  was 
  64. hacked.  The  full source code of the hack  had  been  distributed 
  65. freely on the Internet and via BBSes. The Digital Satellite System 
  66. was preparing for launch in the USA. It was gut wrenching time for
  67. the executives in DSS. The common element between Europe and  the
  68. US  was News Datacom. The DSS executives were worried  about  the
  69. security of their new system. Would what happened in Europe happen
  70. in the US?
  71.  
  72.  
  73. Slowly  but  surely  the  press  barrage  started.  The  satellite 
  74. television  trade  press began to run articles about the  new  DSS 
  75. system.  They  were,  in  hacker terms,  content  free  text.  The 
  76. majority of these articles were written by clueless people without 
  77. any  knowledge of what really happened in Europe. One  article  in
  78. particular  stated  that VideoCrypt had been  unhacked  since  its 
  79. introduction in Europe in 1989. Yeah right! And the 500,000 Pirate 
  80. VideoCrypt  smart cards and the Omigod emulator programs  did  not 
  81. exist.  It was a replay of what had happened in Europe - the  puff 
  82. pieces in the trade press and the inevitable hacks.
  83.  
  84.  
  85. Well  the 500,000 pirate VideoCrypt cards were very real and  they 
  86. forced  Sky to issue their new card ten months ahead of  schedule. 
  87. There was an even greater problem. The 08 card they had planned to 
  88. launch  was almost identical to the hacked 07 card.  Instead  they 
  89. had to go for the 09 card.
  90.  
  91.  
  92. The  09 Sky card was different from the 07 in  two major ways.  It 
  93. had  a  different  architecture  and  it  had  a  very   different 
  94. algorithm.  Sky  started to distribute this new card  in  February 
  95. 1994 but they did not switch over to the card until 18th May 1994.
  96. That day is known as Dark Wednesday by European hackers.
  97.  
  98.  
  99. The  connection  here  is  the timing. It  would  have  been  very 
  100. convenient for News Datacom to draw heavily on the Sky 09 card for 
  101. the new DSS card. Most of the ROM routines could have been  easily
  102. adapted for the new system. The main changes would of course  have
  103. been in the EEPROM. The EEPROM of the smart card is the area  that
  104. contains the main cryptographical routines.
  105.  
  106.  
  107. The operation to pop the 09 Sky card in Europe took a few  months. 
  108. It  involved completely reverse engineering the smart  card.  Some 
  109. preliminary  code  was  sold in June last year at  an  auction  in 
  110. London.  It was a start but it took a further four  months  before 
  111. the system  was totally compromised. Perhaps the  most  important
  112. part of the operation was the discovery of a back  door  in  the
  113. smart card's code.
  114.  
  115.  
  116. When VideoCrypt was developed, the overall structure of the system 
  117. was,  compared to systems like VideoCipher II, simplistic. It  was 
  118. also reliable. But the designers may never have expected it to  be
  119. handling over two million subscribers.
  120.  
  121.  
  122. As  a direct result of this loading, the designers of the  system, 
  123. News  Datacom,  had  to incorporate some newer  levels  of  access 
  124. control  into  the system. Upgrading the decoders was out  of  the 
  125. question.  There were too many and it would be very  difficult  to 
  126. track  all of them down. Most of the standalone decoders had  long 
  127. ago disappeared into Mainland Europe.
  128.  
  129.  
  130. News Datacom's solution was clever and at the same time  extremely 
  131. stupid.  They incorporated a method of programming the  card  over 
  132. the air  into  the  code of the 09 Sky card.  The  over  the  air
  133. instructions  were  included in the standard access  control  data 
  134. packets. They looked just like more card identity numbers but they 
  135. were not. The hackers labeled them "Nanocommands".
  136.  
  137.  
  138. The  over  the air programming scheme was clever in that  it  gave 
  139. them  more  control over the cards - they could  easily  implement 
  140. ECMs by updating the card's EEPROM and they could actively  change
  141. the channel authorization. In effect they could even run a limited
  142. form of Pay Per View.
  143.  
  144.  
  145. Of  course there is a downside. All of the security of  this  card 
  146. relied  on  the  hackers not finding out the  core  algorithm  and 
  147. obtaining  a  working knowledge of the card addressing.  The  core 
  148. algorithm had been sold at auction in June 1994. The rest was only 
  149. a matter of time.
  150.  
  151.  
  152. The  cracks in the edifice were beginning to show. By the  end  of 
  153. July, VideoCrypt was crumbling. The Phoenix hack had worked.  This 
  154. hack  relied  on an understanding of how the access  control  data
  155. packets were encrypted and structured. (The Phoenix hack  allowed
  156. hackers to activate or reactivate all channels on Sky cards  using
  157. a computer and eventually a standalone programmer)
  158.  
  159.  
  160. Naturally  when Sky tried to retaliate against the  Phoenix  hack, 
  161. they used the Nanocommands. The hackers were watching. It was true 
  162. electronic warfare. Sky and News Datacom versus the hackers.
  163.  
  164.  
  165. Gradually  the function of each nanocommand was ascertained.  Even 
  166. now it is difficult to believe what happened next.  One was  found 
  167. to read  a byte from the EEPROM as the input for a round  of  the
  168. algorithm.  Another  of the nanocommands was found to act  like  a 
  169. BREAK command. It would dump the current result out as the key.
  170.  
  171.  
  172. The  hackers had the algorithm and knew the result just  prior  to 
  173. the  byte from the EEPROM being used. They could dump out the  the 
  174. result  just after the EEPROM byte had been processed through  the 
  175. algorithm. Since they then had the main components, it was  simply 
  176. a case  of  starting  the algorithm from  the  first  result  and
  177. stepping  through the values 0 to 255 as the input byte. The  hack 
  178. has become known as the Vampire Hack.
  179.  
  180.  
  181. Of course this attack was not perfect. The resulting data from the 
  182. Vampire hack of the 09 Sky card did not make sense. The  processor 
  183. used  in  the smart card was based on the 6805 but  the  data  was
  184. definitely not 6805. There was a little bit more decryption to  be 
  185. done yet. But eventually it the hackers cracked it.
  186.  
  187.  
  188. Now  what  happened  with  DSS? The speed of  the  hack  seems  to 
  189. strongly  indicate  that the same card type was used for  the  DSS 
  190. system. This would mean that the same techniques that were used to 
  191. pop the 09 Sky card could be employed on the DSS card.
  192.  
  193.  
  194. The real test of the pirate cards lies ahead. As with the European 
  195. VideoCrypt,  the DSS smart card may be over the air  programmable. 
  196. This  would  mean that DSS could update their cards over  the  air
  197. without having to immediately issue new cards. The  pirate  cards
  198. would of course require upgrading.
  199.  
  200.  
  201. The  main  difference is that the American  hacking  industry  has 
  202. experience  of  such  upgrading.  The  technology  used  to   hack 
  203. VideoCipher  II can be used for this upgrading. The  pirate  cards 
  204. may  well  come  with  a  modem  module  that  can  be   used   to
  205. automagically update the card.
  206.  
  207.  
  208.