Que es el Cardsharing

Cardsharing es un metodo a traves del cual los receptores pueden obtener acceso a una red de televisión de pago, utilizando una tarjeta de suscripción legitima. Normalmente, la tarjeta está conectada a un PC o receptor con conexion ethernet, el cual debe estar conectado a una red local o Internet, y configurado como servidor para proporcionar acceso a otros clientes que dispongan de un receptor o pc configurado con sus datos. Este receptor que hace de cliente, actua como si tuviera la tarjeta en su propio receptor, incluso si se conecta a varios servidores con diferentes tarjetas actua como si tuviera varias tarjetas insertadas en el.

[editar]Legalidad del Cardsharing

[editar]Protocolos

Para hacer cardsharing, hay que conectar diferentes dispositivos (decos, pcsat, pcs, etc) entre ellos para compartir la información de la tarjeta, para ello se utilizan distintos protocolos por los que enviar las Instrucciones desde un sitio a otro, estos protocolos son reglas de comunicación que permiten el flujo de información entre decodificadores distintos que manejan lenguajes distintos. A continuación os detallaré algunos de los más populares actualmente:
Radegast Posiblemente es el protocolo más antiguo de todos, por esto mismo es compatible con la mayoría de aparatos que es posible hacer cardsharing aunque su poca seguridad comparado con otros protocolos más modernos han hecho que se use muy poco y solamente para casos específicos.
Newcamd El más popular de todos por la gran cantidad de receptores que lo implementan ya que la mayoría de receptores que no son Linux solo implementan en sus firmwares newcamd y radegast y si hay que elegir entre uno de los dos, la mejor elección sería este.Ambos protocolos tienen una antigüedad parecida pero newcamd tiene una seguridad más avanzada, además de tener bastante más soporte en Internet.
Gbox En en un principio solo se utilizaba en receptores linux y ademas de forma privada, no era público en Internet. Poco a poco y con el paso del tiempo su uso se ha extendido enormemente llegando a poder utilizarse en PCsat y en receptores que hagan sharing a través del puerto serie. Tiene una muy buena seguridad, una gran comunidad de gente que lo utiliza por lo que hay buen soporte en la red y tiene algunas prestaciones que los anteriores protocolos no podían hacer y que aquí no vienen a cuento. La principal pega de gbox es que empezó siendo privado y sus autores no querían que saliese públicamente a la red por lo que ahora que es algo que está bastante extendido no le dan soporte ni sacan nuevas actualizaciones.
CCcam Uno de los más modernos y potentes de todos los protocolos que estamos viendo ya que puede ser cliente de todos los protocolos anteriores pero no puede “servir” a ninguno de ellos. Últimamente ha tenido un gran crecimiento debido al buen soporte y nivel de actualizaciones que tiene aunque tiene una pega que es insalvable para muchos de nosotros es que solo puede ser usado en Dreambox y desde hace muy poco en otros dispositivos pero los de Dream hacen lo posible para evitar su compatibilidad con cccam de otros receptores.
Mbox Relativamente moderno y que últimamente debido a los problemas que han tenido otras emus que usan gbox o cccam ha crecido mucho. Habrá que estar atento al desarrollo de este protocolo ya que al ser una especie de continuación de gbox y sumado a las pegas de cccam con decos que no son Dreambox puede ser el que acabe utilizando más gente.
sBox

Disponemos para cualquier distribución linux de la aplicación fail2ban. ¿Cual es el cometido de esta aplicación? Lo vemos a continuación:

[editar]¿Qué es Fail2ban?

Fail2ban lee los logs (por ejemplo) /var/log/pwdfail o /var/log/apache/error_log y veta todas aquellas ips que fallan un determinado número de veces. Este veto se realiza actualizando el firewall (tipicamente iptables).

Es una aplicación muy practica en cualquier servidor que use una distribución Linux. A la hora de efectuar este manual, he de decir que se ha llevado a cabo en ubuntu y con la version de CCcam 2.1.2. Aunque se puede adaptar a cualquier distribución, es cuestión de ser observador y de saber donde se registran los logs.

[editar]¿Como podemos usarlo en nuestro server CCcam y que ventajas nos aporta?

Durante la vida de un servidor, sabemos que va entrando gente y saliendo. Muchos de ellos nunca borran la antigua cline que le asignaste, con lo cual, siempre estará intentando conectarse. Supuesto el caso que alguien ha dado tu cline a otra persona e intentan conectarse dos personas. Ademas de esto, hay gente, digamos, maliciosa, que intenta entrar por puertos abiertos buscando cualquier agujero o inseguridad.

[editar]Pongamonos manos a la obra:

Lo primero que hariamos seria instalar la aplicación en nuestra distribución linux, lo hariamos o bien a traves de algun gestor de paquetes de instalación, como pudiera ser el synaptic, o bien -como a mi me gusta- mediante consola:

Abrimos una consola (linea de comandos, parecido al ms-dos).

Ejecutamos:

apt-get install fail2ban

Con eso tendriamos instalada la aplicación en nuestro servidor. El ejecutable estara en /etc/init.d/fail2ban y el log en /var/etc/fail2ban.log.

Iremos a /etc/fail2ban/

y editaremos, siempre a mano y no copia-pega, de la siguiente manera:

En consola y como root o con sudo en ubuntu:

vim jail.conf

Se nos abrira un editor basico, pulsando la tecla i (insertar) nos permitira editar el archivo, nos vamos hasta el final del archivo y añadimos lo siguiente:

[cccam_errordefirma]
enabled = true
port = 12000
filter = cccam-errordefirma
logpath = /var/log/daemon.log
bantime = 1800
maxretry = 10
[cccam_comandoerroneo]
enabled = true
port = 12000
filter = cccam-comandoerroneo
logpath = /var/log/daemon.log
bantime = 1800
maxretry = 10
[cccam_doblelogin]
enabled = true
port = 12000
filter = cccam-doblelogin
logpath = /var/log/daemon.log
bantime = 1800
maxretry = 10

El tiempo de baneo viene indicado por bantime = xxxx, en segundos en este caso 1800 que si las mates no me fallan son 30 minutos. Modificable a gusto del consumidor.

Tened presente, ademas, el puerto que estais usando para vuestro server, por defecto aqui viene el 12000, si usais otro, debereis indicarlo ahi.

Insisto en no hacer cortar y pegar, introducirlo a mano.

Nos vamos ahora a crear los filtros en /etc/fail2ban/filter.d/
En consola:

vim cccam-errordefirma.conf

Se nos abre el editor sencillo, pulsamos la tecla i (insertar) y escribimos lo siguiente (lo estamos creando, por eso estará vacio):

[Definition]
failregex = CCcam: kick <HOST>, signature failed
ignoreregex =

Cuando terminemos tecla ESC + wq + ENTER y ya lo tenemos creado.

Volvemos a poner en consola:

vim cccam-comandoerroneo.conf

Se nos abre el editor sencillo, pulsamos la tecla i (insertar) y escribimos lo siguiente (lo estamos creando, por eso estará vacio):

[Definition]
failregex = CCcam: kick <HOST>.*, bad command
ignoreregex =

Cuando terminemos tecla ESC + wq + ENTER y ya lo tenemos creado.

Volvemos a poner en consola:

vim cccam-doblelogin.conf

Se nos abre el editor sencillo, pulsamos la tecla i (insertar) y escribimos lo siguiente (lo estamos creando, por eso estará vacio):

[Definition]
failregex = CCcam: double login .*, .* \(<HOST>\)
ignoreregex =

Cuando terminemos tecla ESC + wq + ENTER y ya lo tenemos creado.

Ya tendriamos los filtros creados, hacerlo a mano y vigilar los espacios creados.

Una vez terminado y comprobado, nos vamos a /etc/init.d/ y ejecutamos de la siguiente manera:

./fail2ban restart

Nos deberia dar un mensaje de [OK].
Si ejecutamos:

./fail2ban status

Nos chivaria el estado del mismo, si está corriendo o no.
A tener en cuenta:
En CCcam.cfg, tenemos que tener la opción:

DEBUG: yes

Nunca iniciar nuestro cccam con la opción -d, no estariamos escribiendo en /var/log/daemon.log que es de donde se surte el fail2ban.

• CAID

• Proveedor

• SID

• CW

• ECM

• EMM
Todas estas “palabras”: CAID, proveedor, SID, EMM, ECM y CW son muy utilizadas en el mundo del sharing. El objetivo de este tema es comprender el significado de cada una, primero individualmente para, posteriormente, analizarlas de forma conjunta.

La interacción de todas ellas explican el funcionamiento del sistema denominado cardsharing, tienen relación directa con la codificación y posterior decodificación que utilizan las distintas plataformas de pago para distribuir la señal en sus emisiones.
• CAID

Son las siglas en inglés de “Conditional Access IDentification”, traducido sería “Identificación del Acceso Condicional” y tiene como fin identificar un sistema de encriptación siendo de obligado cumplimiento por el estándar DVB-CA (Digital Video Broadcasting Control Access).

A modo de ejemplo ponemos el CAID correspondiente a diversos sistemas de encriptación:

0100 = Seca

0500 = Viaccess

1800 = Nagravisión

0d02 = Cryptoworks
• Proveedor

También supeditado por el cumplimiento del stándar DVB-CA, una vez identificado el CAID, cada proveedor se identificará con seis números.

Ejemplos ficticios de proveedores, como veis, siempre precedidos de su respectivo CAID para una correcta identificación:

0100:004601

0100:00006F

0500:028020

1800:000000

1800:000010

0d02:0000b0

0d02:0000a9
• SID

Son las siglas en inglés de “Service IDent”, que traducido sería “Identidad del Servicio”. Es el número de indetificación que el proveedor otorga a un canal determinado dentro de su plataforma y es único en todo momento.

Así, por ejemplo tenemos:

El SID 17103 corresponde al canal TVP Historia.

El SID 4911 corresponde al canal ORF 1.

Y el SID 4912 corresponde al canal ORF 2.

Este valor lo encontraremos en páginas de información de frecuencias de satélites, no obstante, en el cardsharing nos acostumbraremos a trabajar en formato hexadecimal así tendremos que:

El SID 17103, del ejemplo anterior, será mostrado como 42CF.

El SID 4911 nos lo mostrará como 132F.

Y el SID 4912 pues como 1330.

Nota: la conversión de decimal a hexadecimal del ejemplo anterior la hemos realizado, simplemente, utilizando la calculadora de windowse en modo científico marcando decimal y después hex para obtener el equivalente.

Ahora haremos un alto en este punto para hacer incapié en los conceptos que hemos visto hasta ahora: CAID, Proveedor y SID:

Pues bien, la identificación del canal de una plataforma determinada viene dada por la siguiente estructura:

[CAID]+[Proveedor]+[SID] = Canal solicitado.

Mejor, vamos a poner un ejemplo:

Si queremos solicitar el canal MCM France pues vendrá dado por los siguientes valores:

CAID 0100 –> Seca Mediaguard

Proveedor 003311 –> CanalSat France

SID 20A0 –> MCM France

Por lo tanto obtenemos que:

[0100] [003311] [20A0] –> MCM France.
• CW

Que son las siglas de “Crypted Word” que traducido sería “Palabra Cifrada”. Son el resultado final de todo el proceso de recepción y decriptación de EMM y ECM que llegan provenientes del proveedor, si dicha decriptación es correcta originará sendas CW únicas que permitirán descodificar la señal de video por un período de tiempo determinado (generalmente unos 10 segundos). No obstante, conocer su valor en un momento dado no tiene ninguna importancia por estas dos razones:

1. Porque se actualiza con mucha frecuencia, aproximadamente en intervalos de 3 o 4 segundos.

2. A un valor CW le sigue otro asignado aleatoriamente y que no tiene ninguna relación con la CW anterior.

Durante cada envio de una CW válida hasta la siguiente el receptor debe procesar y obtener un “valor en claro” con la suficiente velocidad como para que no provoque cortes o parones en la apertura de un canal. Esto en el futuro lo denominaremos como ECM caché.

La CW puede volver a ser encriptada por seguridad (de hecho así se transmite entre servidor y cliente). Aquí interviene de nuevo la codificación.
• ECM

Siglas de “Entitlement Control Message”, que traducido sería “Derecho de Mensaje de Control” y contiene la CW encriptada.

La ECM solamente se decodificará cuando el receptor disponga de los derechos para ello, es decir, que posea una tarjeta de abonado al corriente de pago o que esté conectado via ethernet en modo “cliente” a otro receptor de nuestra propiedad que hará las veces de “servidor”.
• EMM

Siglas de “Entitlement Management Message”, que traducido sería algo así como “Mensaje de Gestión de los Derechos”. A diferencia de la ECM se genera con mucha menos frecuencia y contiene datos directamente relacionados con un abonado, comunes a un grupo de abonados o de todos los abonados al sistema en general.

Estos datos que van incluídos en la EMM, a modo de ejemplo, pueden ser del tipo: Orden de alta, baja o cambio de paquete de suscripción, cambio de algún factor erróneo detectado en el sistema de codificación, inclusión de un nuevo paquete de suscripción opcional, derechos de suscripción para un nuevo canal puesto en marcha, compra de un evento, etc…

Esta gran cantidad de datos diversos contenidos en la EMM, que además tienen estructuras diferentes, podríamos clasificarlos en tres grandes grupos: EMMga, EMMsa y EMMua.

Vamos a explicar muy brevemente su diferencia:

1. EMMga (global address): Dirigidas a todos los abonados de la plataforma como, por ejemplo, el lanzamiento de un nuevo canal o grupo de canales al que nos podemos suscribir, o bien la corrección de algún fallo detectado en el sistema de encriptación.

2. EMMsa (shared address): Dirigidas a un grupo de abonados que tienen algo en común, como por ejemplo añadir un canal adicional a un paquete al que todos están suscritos, o bien que los abonados a un paquete determinado se les permita la visualización de otro paquete adicional de forma promocional.

3. EMMua (unique address): Dirigidas a un solo abonado de forma individual como, por ejemplo, la compra de un evento, la suscripción a un paquete determinado o la modificación del actual, así como la puesta al día de los derechos en el caso de que el receptor haya estado largo tiempo apagado o sin conexión.