- Registrado
- 9 May 2022
- Mensajes
- 30
- Reacciones
- 72
Buenas compañeros.
Traigo información fresquita y actualizada sobre la situación de los "cortes", "ataques", o como queráis llamar la situación que vivimos actualmente.
Antes de nada, informaros que voy a anonimizar y a pasar muy por encima sobre la situación, ya que no quiero que mis contactos se puedan ver implicados.
Lo primero es desmentir algo. Hay rumores que circulan por ahí que dicen:
Y ahora... ¿quién tiene realmente la culpa de todo esto? Facil: Se llama "La Liga Tech". ¿Y quienes son? Pues un grupo de expertos en comunicaciones, seguridad, criptografía, etc, que ha contratado La Liga (son cerca de 100 tíos), y entre otras muchas funciones que tienen, la principal es el pillar las tarjetas que se "comparten". Y lo están consiguiendo.
Pero... ¿cómo lo hacen? Pues tienen varias formas, muy diversas, y que, por desgracia, no se pueden evitar con los métodos tradicionaes de cardsharing que se han estado utilizando hasta la fecha. Empecemos a verlo.
Lo primero: el DCW lleva cierta información, que a través de un determinado software de Kudelski, identifica el ID de tarjeta que lo ha producido. Teniendo en cuenta esto, vemos el primer método:
Hay algún método mas pero es "residual". Los tres que he citado anteriormente son los más utilizados, por orden de mayor a menor.
Y luego están los "ataques", que consisten en dos métodos:
Vale... pero, entonces, la cosa pinta chunga, no? Pues sí, para que os voy a engañar. El cardsharing tal y como lo conocemos, ha muerto.
¿Y qué podemos hacer?
Pues no es sencillo, pero hay que cifrar el tráfico del ECM>DWC desde su origen, hasta su destino (que es el mismo que el origen, pero pasando por una tarjeta). Se acabó compartir caché con desconocidos, y se acabó dejar libre uso de los decos a los usuarios finales. Todo pasa por tener en una red privada los multis, las tarjetas y toda la infra, y conectar los decos por VPN a esta infra mediante algún protocolo de cifrado que tenga algo de fortalieza (256-CBC es suficiente). Y bueno, la mayoría de los decos buenos tienen OpenVPN. Montar una red privada con OpenVPN se puede hacer con ciertos conocimientos, pero no es complicado en exceso. Pero es la única manera. Cifrado. Y de esta forma, pasarás desapercibido.
Nosotros estamos funcionando así hace ya 5 meses, y hasta la fecha, 0 tarjetas marcadas. Pero claro, no nos anunciamos, no intercambiamos con desconocidos, y los decos los ponemos nosotros cerrados y configurados con VPN, de forma que los ECM>DWC nunca pueden ser capturados.
Lo se, es una mierda, pero es lo que hay. Y mientras haya gente a sueldo de La Liga cuyo trabajo sea pillar a los que comparten tarjetas, así será.
Bueno. Tengo poco tiempo libre, pero intentaré contestar todas las dudas que tengáis.
Un saludo!
Traigo información fresquita y actualizada sobre la situación de los "cortes", "ataques", o como queráis llamar la situación que vivimos actualmente.
Antes de nada, informaros que voy a anonimizar y a pasar muy por encima sobre la situación, ya que no quiero que mis contactos se puedan ver implicados.
Lo primero es desmentir algo. Hay rumores que circulan por ahí que dicen:
- Movistar es capaz de saber cuántas consultas haces a las tarjetas. Cuando te pasas, te marca las tarjetas y luego te "ataca" cuando hay partidos.
Y ahora... ¿quién tiene realmente la culpa de todo esto? Facil: Se llama "La Liga Tech". ¿Y quienes son? Pues un grupo de expertos en comunicaciones, seguridad, criptografía, etc, que ha contratado La Liga (son cerca de 100 tíos), y entre otras muchas funciones que tienen, la principal es el pillar las tarjetas que se "comparten". Y lo están consiguiendo.
Pero... ¿cómo lo hacen? Pues tienen varias formas, muy diversas, y que, por desgracia, no se pueden evitar con los métodos tradicionaes de cardsharing que se han estado utilizando hasta la fecha. Empecemos a verlo.
Lo primero: el DCW lleva cierta información, que a través de un determinado software de Kudelski, identifica el ID de tarjeta que lo ha producido. Teniendo en cuenta esto, vemos el primer método:
- Decos "chinos" no fiables: Creo que esto ya lo sabéis, y es que hay varios decos chinos que "escupen" caché. Y decos buenos y fiables con OpenATV y Enigma2 a los que se les mete firmwares "no oficiales" con Oscams configurados con CacheEX piratilas. ¿Y dónde escupen el caché estos decos? Facil... ¿Cómo creéis que hay chinos que te venden clines a 10€ al año? Pues porque no tienen una sola tarjeta. Se alimentan del caché que les llega de los cientos o miles de decos que tienen "pinchados", además de nubes de intercambio, y voilá! Ya tienen para dar clines by the face. Y aquí viene la parte chunga: Estos señores de La Liga Tech se hacen pasar por "clientes" que contratan estas cline, ponen decos con La Liga, y mediante TCPDUMP vuelcan las tramas que intercambian (CCCAM va sin cifrar, y son SYN-ACK llanos y simples, sin secuencia). Los DCW se sacan como churros. Entonces, le pasan el decryptor de Kudelski (que además, es un SaaS que le cobra a La Liga por uso), y ale, ya tienen el ID de tarjeta que lo ha generado. Tarjeta marcada :)
- Peers de intercambio "no fiables". Estos chicos de La Liga Tech saben mucho. De hecho, casi seguro que hay alguno por aquí que "escalará" este mensaje al Security Lead en cuanto lo vea. Y montan multis haciéndose pasar por proveedores para pedir intercambio de caché. Y claro... en cuanto les mandas caché, te pillan las DCW y ya sabes: Tarjeta marcada.
- Los sniffer que hay en la red de Telefónica. Esto si no lo sabéis, pues ya os cuento: La mayoría de operadores saca estadísticas "anónimas" sobre el tráfico que pasa por su red. Y ya sabéis, Telefónica y O2, que son los mismos, "esnifa" las conexiones de fibra residenciales. Eso si, de forma completamente anónima, para sacar estadísticas de uso. Y si, es legal. Y una de las reglas que tienen configurada es la captura de los SYN-ACK de los DCW y ECM del protocolo CCCAM, NEWCAMD y MGCAM. Sí, si tienes un deco, y tienes red de Telefónica, y pones clines, todas las tramas que genera se mandan a un saco y de ahí va a La Liga Tech para su investigación. Luego vuelcan los DCW y los pasan por el decryptor de Kudelski, y ale. Otra tarjeta marcada.
Hay algún método mas pero es "residual". Los tres que he citado anteriormente son los más utilizados, por orden de mayor a menor.
Y luego están los "ataques", que consisten en dos métodos:
- Cuando La Liga Tech identifica una tarjeta que se está compartiendo ilegalmente, mandan notificación a Movistar+. Éste marca la tarjeta pero no la desactiva, por varios motivos. El primero, porque legalmente no pueden identificarte por los datos que obtienen "anónimamente". Y el segundo, porque no quieren perder tu dinero como cliente. Así que, lo que hacen es poner en modo "marcado" las tarjetas. Para ello, en su app de gestión de Nagra3, meten las tarjetas marcadas en unos grupos de gestión, y enviando actualizaciones (shared EMM) a dichos grupos, cuando la tarjeta recibe estos EMM, internamente activa un modo mediante el cual en determinadas franjas horarias, y al recibir ciertos ECM con un patrón que identifican, cambian la tarjeta al modo ataque y normal a voluntad. Y el modo ataque inyecta CW falsos que petan en los demuxer. Y así te revientan el cardsharing. Así es como aunque tú desactives los EMM, se activa y desactiva el modo ataque a voluntad (normalmente 5 minutos de oscuridad, 10 de luz).
- Los multis fake que tienen los de La Liga Tech leen de dispositivos que inyectan FAKE CW's, lo que ocasiona que jodan todo el caché que intercambian, y así en cascada.
Vale... pero, entonces, la cosa pinta chunga, no? Pues sí, para que os voy a engañar. El cardsharing tal y como lo conocemos, ha muerto.
¿Y qué podemos hacer?
Pues no es sencillo, pero hay que cifrar el tráfico del ECM>DWC desde su origen, hasta su destino (que es el mismo que el origen, pero pasando por una tarjeta). Se acabó compartir caché con desconocidos, y se acabó dejar libre uso de los decos a los usuarios finales. Todo pasa por tener en una red privada los multis, las tarjetas y toda la infra, y conectar los decos por VPN a esta infra mediante algún protocolo de cifrado que tenga algo de fortalieza (256-CBC es suficiente). Y bueno, la mayoría de los decos buenos tienen OpenVPN. Montar una red privada con OpenVPN se puede hacer con ciertos conocimientos, pero no es complicado en exceso. Pero es la única manera. Cifrado. Y de esta forma, pasarás desapercibido.
Nosotros estamos funcionando así hace ya 5 meses, y hasta la fecha, 0 tarjetas marcadas. Pero claro, no nos anunciamos, no intercambiamos con desconocidos, y los decos los ponemos nosotros cerrados y configurados con VPN, de forma que los ECM>DWC nunca pueden ser capturados.
Lo se, es una mierda, pero es lo que hay. Y mientras haya gente a sueldo de La Liga cuyo trabajo sea pillar a los que comparten tarjetas, así será.
Bueno. Tengo poco tiempo libre, pero intentaré contestar todas las dudas que tengáis.
Un saludo!
Última edición:
