Speicherschutz ausgehebelt

27.04.2014 18:02 von Andre Grosse Bley

Artikel abonnieren
-Werbung-

Im letztem Beitrag gab Betreutes Basteln einen Einblick in die Massnahmen, die dem Bastler den Zugriff zum Flash und damit zur Firmware des Echostar HDC601DER vermiesen sollen. Nun könnte man das Flash mit Heißluft entfernen, sich unter dem Stereomikroskop mit dem Fädelstift austoben...

... oder einfach einen alten Bastelrechner, der nach einem Musikevent mit einer sonst im Keller verstaubenden DVB-C Karte ausgestattet wurde, einschalten, um nachzuschauen, was der Echostar HDC601DER dort so sucht:

[zone 0x20]log: AdsAcquire DS2 : dsfreq=346000000 hz. (ReAcqire=0)(FastAcqire=0)
  <--DS2 LockStatus Notification: QAM: Lock, FEC: Lock (EvCode=0x1c000)

Zuerst gab's kein FE_HAS_SIGNAL, was aber schnell behoben war. Dämliche IEC-Antennenverbinder!

185 PIDs auf diesem Transponder. Dank der Horizon, die sogar netterweise die PID mit ausgibt, weiss ich aber, wonach ich suchen muss. 17 PIDs, die dvbsnoop als DSM-CC identifiziert.

Diese alle abzuklappern ist dann trotz verregnetem Sonntag nicht grade eine Option. Faulheit siegt. Also den ganzen Transponder für eine Weile mitschneiden, grep -abo echostar ins Blaue absetzen. Bingo! Als Nächstes einen großzügigen Ausschnitt um die Fundstelle anlegen, damit dvbsnoop sich synchronisieren kann und die PID einfach so ablesen:

------------------------------------------------------------
TS-Packet: 00000013   PID: (Unkown PID), Length: 188 (0x00bc)
from file: blah
------------------------------------------------------------
  0000:  47 05 1b 18 00 00 00 00   G.......
  0008:  00 01 00 00 f0 00 00 01   ........
  0010:  00 00 00 00 00 00 00 65   .......e
  0018:  63 68 6f 73 74 61 72 66   chostarf
  0020:  73 00 00 00 00 00 00 00   s.......
  0028:  00 48 00 00 00 bc 01 01   .H......


"echostarfs" klingt vielversprechend. Aus dem Mitschnitt die nun bekannte PID (trotz Unknown ist sie ablesbar!) ausfiltern und dem Decoder, der für die Horizon bei zwei Bier entstanden ist, als Eingabe geben. Mit der aus den einzelnen Paketen in der richtigen Reihenfolge zusammengebauten Datei beschäftige ich binwalk.

Raus kommen drei squashfs, ein Bootloader(?) und ein "Linux version 2.6.31-3.3 (echostar@echostar.com) (gcc version 4.4.5 (Broadcom stbgcc-4.4.5-2.0) ) #2 SMP none" Kernel. In der Datei ist noch einiges mehr drin - die fünf Teile ergeben nicht annähernd die Gesamtgröße der Ursprungsdatei. Aber sie bringt eine Art Inhaltsverzeichnis mit...

Das ganze ist natürlich nur ein Update, nicht der gesamte Inhalt des Flashs. Also fehlen mindestens die Zertifikate, die Einstellungen, diverse im Werk gesetzte Daten, und vermutlich die Firmware des Kabelmodems. Aber die gibt's eh mit der richtigen IP zum unverschlüsselten Download mittels TFTP. Aber - das Betriebssystem, die Dateisysteme, die Applikation, alles liegt vor. Wer weiss, was dort wartet und uns den Zugang zu den restlichen Daten ermöglicht.

Es ist schon lustig. Auf der einen Seite wird viel Aufwand in der Fertigung getrieben, um den Zugang zu erschweren. Aber jeder Haushalt im Versorgungsgebiet des Anbieters kann sich die aktuellste Firmware unverschlüsselt aus dem Signalgewirr extrahieren. Oder gelten DSM-CC carousels nun als Verschlüsselung?

Wie ich die Hersteller kenne, würde die serielle Console bei einem verschlüsseltem Download sicher den verwendeten Schlüssel ausgeben. Oder sind die ganzen Hinweise auf die Frequenz, die PID etc. nicht aus Schlampigkeit vorhanden? Sollte man Absicht unterstellen?

Leider haben die gängigen gehypten Einplatinenlinuxrechner keine Transportstream-Interfaces. So ein Hypeberry PI an drei Leitungen der STB angeklemmt hat schon mehr Bastelfaktor als eine kommerzielle DVB-C Karte. Wobei, ein DVB-Channel Demodulator an einem SAA7146 anzuschliessen...

Aber wer weiss, vielleicht kommt so ein Einplatinenrechner schneller als ich denke zum Einsatz.

Zurück

Kommentare

Kommentar von 400836 | 13.10.2014

Das war das erste was ich gelesen habe was in eine brauchbare Richtung geht...
Vielleicht mal die Leute vom AV Forum anschreiben die haben da noch nen post aus 2012....
Custom rom einspielen oder video von HDD auslesen hat bisher scheinbar nie geklappt...
Wie hast du die HDD 00en koennen die von mir verwendeten Versuche liefen immer fehl...
Mein interesse liegt im umbau des Um Receivers in ein Mediacenter...evtl. in ehemaliger xbox classic huelle
Sofern ihr Nrw naehe NL seid kann ich euch 2 C-Modems zur Verfuegung stellen beide heil und urspruenglich im gleichen Anschluss registriert.

Kommentar von Alex | 03.01.2016

Sehr interessant. Hast du mal versucht, Echostar wegen des Source-Codes anzufragen? Wenn die GPL-Software nutzen (zumindest den Linux Kernel) müssen sie den ja bereitstellen...

Arbeitest du noch dran oder ist das Projekt eingeschlafen?

Antwort von Andre Grosse Bley

Leider habe ich kein Breitbandkabel im Haus, nur vor dem Haus. Daher nutze ich die verfügbare Zeit momentan für andere Dinge, die ich auch irgendwann mal hier veröffentliche.

Die Geräte habe ich zwar noch, aber stauben hier in einem Karton ein.

Echostar hat auf zwei Anfragen nicht geantwortet. Ich denke, das ganze basiert eh sehr auf dem Broadcom Referenz Design.

Einen neuen Kommentar schreiben