Konfigurace digitálního přenosového řetězce s implementovaným podmíněným přístupem (CA) je extrémně flexibilní a umožňuje operátorům libovolně konfigurovat k jakým kanálům má zákazník přístup a také ve kterých okamžicích ho má a ve kterých naopak ne.
Realita ovšem není tak jednoduchá, jelikož operátor ve spolupráci s poskytovatelem CA systému se snaží maximálně zamezit neautorizovanému přístupu, tedy tomu bez originální a zaplacené smart karty.
Jednou z technik je časové omezení autorizací uložených na kartě. Jinými slovy, neobnoví-li operátor předplatné na kartě, časem karta přestane poskytovat klíče. Pro tuto funkcionalitu je ovšem třeba, aby operátor byl schopen vzdáleně modifikovat obsah karty. K tomu slouží speciální typ servisních dat přenášený ve streamu. Tato data obsahují zprávy pro smart kartu, které její procesor zpracuje a zařídí se podle nich. Zde leží jedno z obchodních tajemství poskytovatelů CA systémů a také jedno z potenciálních míst k napadení.
Pokud se podaří vygenerovat a poslat kartě zprávu o prodloužení předplatného, mohl by zákazník sledovat programy, které nemá zaplaceny. Zprávy jsou ovšem šifrovány v zařízeních s podmíněným přístupem pomocí přísně střežených klíčů a pak jsou dešifrovány klíčem uloženým v kartě. Jejich falšování je prakticky nemožné bez znalosti klíčů. Vzhledem k omezenému výpočetnímu výkonu procesoru karty je ovšem zpráva šifrována nejen kartou ale i přijímačem stejně jako u audio-video streamu. To aby bylo lepší zabezpečení bez vysokých nároků na procesor karty.
Jedním z oblíbených způsobů útoku na smart kartu, byl tzv. blocker. Šlo o zařízení vložené mezi kartu a CA modul, jež analyzovalo komunikaci mezi kartou a modulem a zablokovalo přenos určitých typů zpráv. Většinou zprávy znehodnocující nebo blokující kartu či omezující předplatné.
Integrovaná bezpečnost
Poskytovatelé systémů CA se tomuto snaží bránit například vkládáním tzv. bezpečnostního elementu přímo na hlavní procesorový čip přijímače. Mimo jiné slouží k jedinečné identifikaci přijímače a také pomáhá při zabezpečení citlivých dat přímo v paměti, jež může být přečtena hackerem. Další účinnou obrannou technikou některých poskytovatelů CA je používání rozmanitých technik zabezpečení a šifrování pro různé zákazníky a trhy. Tím je eliminován problém při prolomení CA u jednoho operátora a zpřístupnění nabídky všech, kteří daný systém používají.
Poskytovatelé CA navíc existujícím zákazníkům systémy postupně mění, čímž opět efektivně brání napadení, jelikož omezují dobu, po kterou je systém k dispozici na trhu. Koncový zákazník většinou obdrží od operátora novou přístupovou kartu, případně celý nový modul CA.
Velmi oblíbený způsob napadení celého řetězce je tzv. sdílení karet (card sharing). Jde o zařízení, které emuluje chování karty v přijímači, přičemž na klíče se dotazuje přímo originální karty zasunuté ve sdílené čtečce. Emulátor však umožňuje i ostatním emulátorům přístup, tím zákazník efektivně nemusí vlastnit kartu a stačí mu pouze vzdálený přístup ke sdílené kartě poskytující klíče.
Kolik klíčů, tolik…
Způsobů boje s touto zranitelností je několik. Jednou z nich je omezení počtu klíčů poskytnutých kartou za jednotku času. Tím se zásadně omezí počet přijímačů sdílejících jednu kartu bez vlivu na legální uživatele. Další možností je využití bezpečnostního elementu na čipu a zašifrování kanálu mezi procesorem a kartou klíčem, který je unikátní pro daný přijímač.
Modul CA může být přítomen ve dvou základních formách, jako nedílná součást softwaru a hardwaru přijímače nebo jako fyzický modul připojený přes tzv. common interface (CI).
CI je standardizované rozhraní pro připojení modulů CA a v současné době je velmi oblíbené výrobci přijímačů, kteří tímto jednoduše připraví své zařízení na příjem placeného vysílání.
Zákazník pouze vloží modul CA s kartou, obojí získané od poskytovatele, a může sledovat šifrované vysílání. Případný bezpečnostní element je součástí fyzického modulu CA a karta je tudíž párována s tímto modulem. Někteří poskytovatelé CA vidí CI jako možnou bránu napadení jejich systému, a tedy finanční ztrátu, a proto vyvíjejí nadstavbové zabezpečující funkce do modulu CA, které brání útočníkům v jeho napadení přes rozhraní CI.
Šifrované nahrávání
V současné době je velmi oblíbená funkce umožňující nahrávat digitální vysílaní na pevný disk. Zde ovšem vstupují do hry majitelé práv k vysílaným pořadům, a ti chtějí mít možnost rozhodovat o tom, zda daný pořad bude možno zaznamenat či jak dlouho bude nahrávka použitelná. Pochopitelně nahrávka bude použitelná pouze v přijímači, ve kterém byla pořízena.
Toto opět řeší systémy CA poskytovatelů. Digitální signál nese informaci pro smart kartu, zda je možno daný pořad nahrát, případně zda je nějaký limit použitelnosti nahrávky. Další krok je zajištění, aby nahrávka nebyla uložena v otevřené formě na disku. Zákazník by totiž mohl disk vyjmout a v jiném zařízení nahrávku získat a například sdílet na internetu.
Uložení přímo šifrovaného streamu není řešení, jelikož šifrovací klíče se poměrně rychle mění, a tudíž nahrávka by již po málo minutách byla nepoužitelná. Přijímač tedy musí nahrávku dekódovat pomocí aktuálního klíče a pak ji znovu zakódovat permanentním klíčem a tento uložit do karty pro pozdější přehrání. Tato funkcionalita v současné době není k dispozici ve variantě vloženého modulu CA do rozhraní CI z důvodu nedostatečné podpory zabezpečení nahrávek rozhraním CI.
Možnost nahrávání na pevný disk u jednoduchých přijímačů neumožňující příjem šifrovaných pořadů je poměrně obvyklá. Různí výrobci se staví k zabezpečení nahrávek různě. Někteří ponechávají nahrávky zcela volně přístupné, jiní používají speciální formát disku nečitelný běžnými prostředky. Jiní šifrují nahrávky, přičemž je umožňují přehrát pouze na stejném zařízení, kde byla nahrávka pořízena.
Další funkce je sledování pořadu s časovým posunem. Program je zde ukládán na disk, odkud je současně přehráván se zpožděním. Většinou je tato nahrávka nechráněna, což může být ve specifických případech použito k napadení zabezpečení a získání záznamu.
PŘEDPLATNÉ
ČLÁNKY DO MAILU