Bezpečnost sítí: Analogové a digitální vysílání II

Digitální vysílání umožňuje operátorům šifrovat přenosy televize a rozhlasu a adresovat každého jednoho zákazníka pomocí jím vydané smart karty.

Bezpečnost sítí: Analogové a digitální vysílání II


Konfigurace digitálního přenosového řetězce s implementovaným podmíněným přístupem (CA) je extrémně flexibilní a umožňuje operátorům libovolně konfigurovat k jakým kanálům má zákazník přístup a také ve kterých okamžicích ho má a ve kterých naopak ne.

Realita ovšem není tak jednoduchá, jelikož operátor ve spolupráci s poskytovatelem CA systému se snaží maximálně zamezit neautorizovanému přístupu, tedy tomu bez originální a zaplacené smart karty.

Jednou z technik je časové omezení autorizací uložených na kartě. Jinými slovy, neobnoví-li operátor předplatné na kartě, časem karta přestane poskytovat klíče. Pro tuto funkcionalitu je ovšem třeba, aby operátor byl schopen vzdáleně modifikovat obsah karty. K tomu slouží speciální typ servisních dat přenášený ve streamu. Tato data obsahují zprávy pro smart kartu, které její procesor zpracuje a zařídí se podle nich. Zde leží jedno z obchodních tajemství poskytovatelů CA systémů a také jedno z potenciálních míst k napadení.

Pokud se podaří vygenerovat a poslat kartě zprávu o prodloužení předplatného, mohl by zákazník sledovat programy, které nemá zaplaceny. Zprávy jsou ovšem šifrovány v zařízeních s podmíněným přístupem pomocí přísně střežených klíčů a pak jsou dešifrovány klíčem uloženým v kartě. Jejich falšování je prakticky nemožné bez znalosti klíčů. Vzhledem k omezenému výpočetnímu výkonu procesoru karty je ovšem zpráva šifrována nejen kartou ale i přijímačem stejně jako u audio-video streamu. To aby bylo lepší zabezpečení bez vysokých nároků na procesor karty.

Jedním z oblíbených způsobů útoku na smart kartu, byl tzv. blocker. Šlo o zařízení vložené mezi kartu a CA modul, jež analyzovalo komunikaci mezi kartou a modulem a zablokovalo přenos určitých typů zpráv. Většinou zprávy znehodnocující nebo blokující kartu či omezující předplatné.

Integrovaná bezpečnost
Poskytovatelé systémů CA se tomuto snaží bránit například vkládáním tzv. bezpečnostního elementu přímo na hlavní procesorový čip přijímače. Mimo jiné slouží k jedinečné identifikaci přijímače a také pomáhá při zabezpečení citlivých dat přímo v paměti, jež může být přečtena hackerem. Další účinnou obrannou technikou některých poskytovatelů CA je používání rozmanitých technik zabezpečení a šifrování pro různé zákazníky a trhy. Tím je eliminován problém při prolomení CA u jednoho operátora a zpřístupnění nabídky všech, kteří daný systém používají.

Poskytovatelé CA navíc existujícím zákazníkům systémy postupně mění, čímž opět efektivně brání napadení, jelikož omezují dobu, po kterou je systém k dispozici na trhu. Koncový zákazník většinou obdrží od operátora novou přístupovou kartu, případně celý nový modul CA.

Velmi oblíbený způsob napadení celého řetězce je tzv. sdílení karet (card sharing). Jde o zařízení, které emuluje chování karty v přijímači, přičemž na klíče se dotazuje přímo originální karty zasunuté ve sdílené čtečce. Emulátor však umožňuje i ostatním emulátorům přístup, tím zákazník efektivně nemusí vlastnit kartu a stačí mu pouze vzdálený přístup ke sdílené kartě poskytující klíče.



Úvodní foto: © auremar - Fotolia.com



Vyšlo v Computerworldu 20/2012
Celé toto vydání lze zkoupit elektronicky








Komentáře