Sandra Project

Os presento a Sandra, un nuevo desarrollo para FunCard es una flash con una característica especial.

1. Cual es la principal novedad ?

Con Sandra puedes cambiar la repuesta a cualquier instrucción de una forma sencilla, no necesitas saber programar ni conocer que hace cada instrucción.

2. Para que vale ?

La principal utilidad para la que fue diseñada es RESOLVER FUTUROS ataques muy rápidamente. Con Sandra NO EVITARAS LOS ATAQUES, pero si TENDRÁS UNA SOLUCIÓN FÁCIL Y RÁPIDA.

3. Porque tenemos que cambiar la respuesta de una instrucción ?

En los ataques de los proveedores utilizan el Media High Way, normalmente mandan entre 10 y 20 instrucciones, el propósito es encontrar una respuesta diferente entre una tarjeta emuladora y una tarjeta original, cuando la encuentran aparece en la pantalla el famoso mensaje "Inserte Tarjeta de Abonado" conocido popularmente por "ITA".

Estas instrucciones dañina no tienen ningún objetivo practico, solo intentan encontrar una diferencia en las respuestas. Hoy en día las tarjetas emuladoras están llegando a unos niveles muy altos en sus objetivos, pero siempre hay agujeros que tapar.

Hay veces que la solución para resolver un ataque es sencilla, otras veces es un poco mas complicada, con Sandra la solución será casi inmediata y fácil de encontrar.

4. Efectividad de Sandra ?

Sobre el papel podría solucionar un porcentaje muy alto de ataques, naturalmente es posible que alguno no se pueda resolver pero eso todavía esta por ver, todo depende del tipo de ataque utilizado.

5. Cuando se debería utilizar ?

Sandra esta pensada para cuando se produce un ataque nuevo por parte de un proveedor, es cuando se puede apreciar su valor. Naturalmente también funciona como el resto de las flashes y se podría utilizar durante los tiempos calma .... ;)

6. Cual es el funcionamiento exacto de Sandra ?

En Sandra tendremos que definir una lista de instrucciones, yo la llamo "BLACK LIST", en esta lista estarán las instrucciones que serán interceptadas y se responderá según esta definido en esta lista.

Si Sandra esta activada, así opera cuando llega una instrucción:

* Recorre la lista para ver si esta la instrucción esta en la lista

* SI esta en la lista:
= Responde como esta definido y no sigue el tratamiento normal.

* NO esta en la lista:
= Sigue el tratamiento normal de una instrucción.

7. Como se construye un parche ?

Una vez que tenemos la instrucción a parchear solo falta crear el archivo para grabarlo con el Apollo. La forma mas sencilla es trabajar con archivo .bin de 512 bytes que editaremos con cualquier
editor hexadecimal, después de construir el parche lo pasaremos a .hex.

También se puede editar con el bloc de notas un archivo .hex e introducir la lista de instrucciones a interceptadas.

8. Formato de la BLACK LIST ?

En Sandra tenemos disponible 511 bytes para introducir instrucciones. El formato es muy sencillo:

- En el byte 0 del parche esta el numero de instrucciones de la lista.

- A continuación están las instrucciones definidas, una instrucción esta compuesta por:
* 5 bytes de cabecera
* X bytes de datos
* 2 bytes de status

- Después del status de una instrucción esta la cabecera de la siguiente si hay otra instrucción.

9. Como se introduce un parche ?

Los parches se pueden introducir de dos formas: con el Apollo o el Phoenix, en este apartado se explicara la forma de hacerlo con el Apollo.

Solo hay que cargar el fichero .hex creado con el parche en el apartado de EEPROM INTERNA de nuestro programa favorito y pulsar el botón programar. Es importante resaltar que cuando se programa la FLASH se BORRA la EEPROM INTERNA, pero cuando se programa la EEPROM INTERNA NO se BORRA la FLASH.

10. Como se activa/desactiva el tratamiento de la lista ?

Por defecto Sandra no esta activada, por lo tanto no se comprueban las instrucciones que llegan. Para activar la comprobación de la black list se puede hacer de dos formas:

* Cambiando un byte en la posición en la eeprom 8171:
Si enviamos esta instrucción con un Phoenix se activara:
C1 20 1F EB 01 01
Si enviamos esta instrucción con un Phoenix se desactivara:
C1 20 1F EB 01 00

* Utilizando el mando a distancia:
Con el PIN 9990 se activara
Con el PIN 9991 se desactivara

11. Nuevas instrucciones

Además de las ya conocidas 0x22 para lectura de la eeprom externa y 0x20 para escritura en la eeprom externa, tenemos una nueva pareja muy interesante para realizar pruebas o introducir parches con el Phoenix.

Con la instrucción 0x26 podremos leer bytes de la eeprom interna, con la 0x24 escribiremos en la eeprom interna. Este es el formato de las instrucciones:

* Ins 0x26:
C1 26 P1 P2 P3
= P1 = Low address
= P2 = High address
= P3 = Bytes to read

Ejemplo: C1 26 00 10 03 = Leer 3 bytes a partir del offset 00 10

* Ins 0x24:
C1 24 P1 P2 P3
= P1 = Low address
= P2 = High address
= P3 = Bytes to write

Ejemplo: C1 24 00 00 06 01 C1 40 01 81 8E
= Escribir 01 C1 40 01 81 8E a partir del offset 00 00

Utilizando la instrucción 0x24 podemos meter los parches con el Phoenix sin tener que utilizar el Apollo.

La lectura del numero de instrucciones y la lista de instrucciones definidas en la eeprom interna se realiza en tiempo real, es decir, no se necesita resetear la tarjeta para tener los nuevos valores, lo que facilita las cosas para realizar las pruebas muy fácilmente.

12. Flash solo para decos oficiales.

Esta flash esta diseñada para DECOS OFICIALES, no debería funcionar en los decos libres, sobre todos los que tienen un módulo ASTON, estos decos no necesitan utilizar Sandra porque no reciben ataques por el MHW (Media High Way).

13. Control MultiProveedor ULTRA.

Sandra puede tener un máximo de 16 proveedores, esta probado en un deco Español sin modificar. Se recomienda poner en la posición uno al proveedor de cada país, en el caso de España el 00 0C.

Cuando se intenta ver el numero de proveedores y la tarjeta ha pasado a modo ataque solo aparecerá el proveedor en primera posición, eso no significa que NO los podamos ver los que faltan.

Para ver la lista completa se debe arrancar en un canal libre de ataques, el mosaico de cada proveedor es un ejemplo.

14. Significado de las luces

El funcionamiento es muy parecido a los FoM 1.0, pero tiene algunas cosas nuevas:

* El Led Rojo: Cada vez que cambiemos de canal y la tarjeta comprueba que existe un ataque por el MHW se produce un destello, entonces la tarjeta pasa a modo ataque realizando un tratamiento especial en algunas instrucciones.

* Los cuatro leds Verdes:
# Si tenemos activado el tratamiento de la lista, nos indica el numero de instrucciones definidas en la lista.

Por ejemplo si tenemos 1 instrucción:   Verde4 Verde3 Verde2 Verde1
                                                                X
Por ejemplo si tenemos 5 instrucciones: Verde4 Verde3 Verde2 Verde1
                                                 X              X

# Cada vez que una instrucción es interceptada y no se sigue el tratamiento normal se produce un destello y se iluminan los 4 LEDS VERDES.

15. El núcleo principal de Sandra

El núcleo principal de la flash esta basado en los fuentes de FoM 1.0, es decir un 95% del código es trabajo suyo. Desde aquí les vuelvo a dar las gracias por un trabajo magnifico que nos ha echo y nos hará pasar grandes ratos.

Por lo tanto el tema de configuración, edición, características de la flash es prácticamente igual a la original FoM 1.0.

16. Que tipo de eeprom necesito ?

Cualquier eeprom formato FoM 1.0 funcionara bien.

17. Que pasa si no activo el tratamiento de la lista ?

Esta versión de Sandra soporta de forma nativa todo los ataques conocidos, por lo tanto no debería provocar un ITA si la eeprom esta bien configurada como todos sabéis. El uso de la lista es para cuando hay un ataque, en los días de calma se recomienda desactivar el tratamiento de la lista.

18. Ejemplo practico del ultimo ataque

Para terminar aquí tenéis un ejemplo para que sea mucho mas fácil comprender todo lo explicado en el documento.

1º Tenemos en el deco una FunCard programa con Sandra.

2º El día X, se produce un ataque y nos aparece ITA en la pantalla.

3º Sacamos la tarjeta y activamos el log para capturar las instrucciones.

4º Volvemos a poner la FunCard en el deco para conseguir otro ITA.

5º Retiramos la tarjeta y leemos el log obtenido.

6º Esta es la parte mas divertida, es como los pasatiempos de los periódicos donde tenemos que encontrar las diferencias entre dos imágenes.

7º Deberemos enviar todas las instrucciones capturadas a una tarjeta original
y ver las diferencias en los resultados obtenidos con nuestra FunCard.

8º Normalmente suele ser solo una instrucción la que causa el problema, pero pueden ser varias.

9º En el caso del ultimo ataque:

C1 3C 01 0E 2C 71 00 00 00 00 00 00 00 27 16 DF 31 20 20 EF 2C 01
09 D1 6B 6B AB C0 77 2B B1 A1 D9 AB 92 F0 4D 35 C2 AB 82 8E 2C 02
91 3E 45 35 7C == 90 00 En una Funcard

C1 3C 01 0E 2C 71 00 00 00 00 00 00 00 27 16 DF 31 20 20 EF 2C 01
09 D1 6B 6B AB C0 77 2B B1 A1 D9 AB 92 F0 4D 35 C2 AB 82 8E 2C 02
91 3E 45 35 7C == 90 1A En una original

10º Ya tenemos una instrucción diferente, ahora tenemos que construir el parche, aquí hay varias formas de hacerlo como se ha explicado anteriormente cada uno que elija la que mas le gusta, el resultado final un fichero .hex seria algo como esto:

01 C1 3C 01 0E 2C 71 00 00 00 00 00 00 00 27 16 DF 31 20 20 EF 2C 01
09 D1 6B 6B AB C0 77 2B B1 A1 D9 AB 92 F0 4D 35 C2 AB 82 8E 2C 02 91
3E 45 35 7C 90 1A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

11º Ahora solo falta introducir el parche en la Funcard, con el Apollo o el Phoenix es indiferente.

12º Después deberemos activar el tratamiento de la "Black List".

13º Solo nos queda observar los resultados obtenidos, si todo ha ido bien ya NO saldrá el mensaje ITA, y aparecerá un parpadeo de los 4 leds verdes para decir que la instrucción de la lista ha sido interceptada.

Si todavía sigue apareciendo ITA, deberemos buscar otra instrucción con resultado diferente a una original y añadirla a la lista. Es importante indicar el numero de instrucciones en el primer byte de la eeprom interna, si hay 5 instrucciones en la lista, en el primer byte deberá aparecer 5.

14º Normalmente la duración de este proceso no debe durar mas de 5 minutos, si se tiene un poco de practica seguro que es muy sencillo y divertido solucionar un próximo ataque.

19. Conclusiones finales.

Menudo "ladrillo" que me ha quedado, igual es un poco pesado de leer. He intentado hacer un FAQ con la mayoría de preguntas posibles y su respuestas, de todas formas seguro que algunas se han quedado en el aire, si tenéis alguna duda ya sabéis preguntar...

Pues nada solo nos queda esperar pacientemente el próximo ataque y pasar a la practica real todo lo explicado en este documento, así comprobaremos realmente si es útil esta nueva alternativa y si su funcionamiento real es tan potente como parece sobre la practica.

Si alguien se ha creído que esto será la PANACEA, esta EQUIVOCADO, es una nueva forma de afrontar un problema, desde luego no será siempre eficaz ante todos los ataques. Por lo tanto deberemos seguir investigando el funcionamiento del sistema para completar un conocimiento mas profundo.

20. ANEXO.

* IMPORTANTE: Recordad ACTIVAR EL TRATAMIENTO DE LA LISTA DESPUÉS DE PROGRAMAR UN PARCHE, si NO se hace es como si NO se hubiese programado, para activarlo esta explicado en el APARTADO 10.

* NOVEDAD en la PHASE D0: Añadido la posibilidad de utilización de comodines en los parches, con esta posibilidad los parches serán más flexibles. Un ejemplo del uso de comodines:

Con este parche si se cambian los bytes "12 61" por cualquier otro valor serán interceptados por el uso de comodines, el valor del comodín es "FF". Cuando un byte de la zona de datos tiene "FF" significa que NO se compara con el buffer de entrada de una instrucción.

* NOVEDAD en la PHASE D1: Añadida de forma nativa un "protección" contra cualquier evento falso, no es eficaz al 100%.

* NOVEDAD en la PHASE D2: Eliminado bug en el algoritmo principal de Sandra, no se trataban bien las parejas de instrucciones.

* NOVEDAD en la PHASE D3: Suprimido la función del PIN 7799, ya no esta activo el modo información cuando se pulsa PERSO+6.

* NOVEDAD en la PHASE D4: Implementado una nueva forma de 'pasar por taquilla' llamado "Compra Real", por defecto NO ESTA ACTIVADO, si lo activamos nos protegeremos de los eventos falsos, aunque en la phase D1 ya exista una protección, recomiendo activar este modo cuando existan ataques con eventos falsos, es mucho más robusto y nos protegerá muy bien contra ataques que utilizan eventos falsos.

Como funciona, por definición NO PODREMOS VER NINGUNA TAQUILLA, a no ser que la compremos, a partir de la compra la podremos ver cuantas veces queramos.

El secreto esta en observar el cartel que nos presenta cuando entramos en una taquilla, pueden aparecer dos mensajes:

La primera vez pulsaremos "OK" para comprar esa taquilla, nos aparecerá el mensaje "Ya encargado", después cambiamos de canal y volvemos a la taquilla para verlo tranquilamente. Con la compra se quedara grabado el numero de evento y en otro pase nos saldrá el segundo mensaje, pulsaremos "OK" para ver la taquilla.

Para activar esta forma de compra se puede hacer de dos formas, con el script para FunMagic 1.40 o con el mando a distancia.

* Utilizando el mando a distancia:
Con el PIN 9992 se activara
Con el PIN 9993 se desactivara

* NOVEDAD en la PHASE D6: Implementado la posibilidad de programar un parche utilizando el mando a distancia, es un proceso un poco largo, pero sencillo, quien NO tenga un Apollo ahora podrá arreglar su FunCard después de un ataque.

Para programar un parche con el mando a distancia se tiene que introducir una tira de números, uno detrás de otro. Hay unas reglas que cumplir siempre.

Los datos de un parche se convierten de hexadecimal a decimal, con la calculadora de windows se hace muy fácilmente, el número final debe tener 4 dígitos, ejemplos: dato=02,PIN=0002 dato=C1,PIN=0193

Como siempre con un ejemplo se aprende mas fácilmente, tenemos un parche que tiene como datos, 01 y A1, la tira de números a introducir seria esta:

9996 , 0002 , 0193 , 0052 , 0000 , 0000 , 0003 , 0003 , 0018 , 0097 , 0144 , 0000 , 0193 , 0050 , 0001 , 0000 , 0016 , 0004 , 0255 , 0255 , 0255 , 0255 , 0255 , 0255 , 0255 , 0255 , 0255 , 0255 , 0255 , 0255 , 0255 , 0255 , 0144 , 0000 , 9996 , 9990

9996 , 0001 , 0193 , 0056 , 0000 , 0009 , 0017 , 0158 , 0042 , 0004 , 0053 , 0121 , 0180 , 0063 , 0199 , 0131 , 0157 , 0035 , 0092 , 0122 , 0065 , 0134 , 0107 , 0234 , 0144 , 0002 , 9996 , 9990

Quien tenga un Apollo no tendrá nunca que introducir estas tira de números, quien no lo tenga le recomiendo paciencia y seguro que todo sale a la primera.

9990	Activar Parche
9991	Desactivar Parche
9992	Activar Compra Real
9993	Desactivar Compra Real
9996	Inicio/Fin de Parche

Apartado 0º, Esta versión NO funcionara en una Funcard normal, es necesario grabarla en una AVR3, el formato de eeprom externa es exactamente el mismo que la versión para Funcard normal. La versión GT de Sandra es parecida a Sandra D8 salvo algunas adaptaciones para que funcione en una AVR3.

La diferencias entre una Funcard normal y una AVR3 son el conexionado entre el ATMEL y la eeprom externa y el conexionado entre el ATMEL y los contactos de la tarjeta.

¿ Que tarjeta utilizar ?, una AVR3-2 nos puede valer, este tipo de tarjeta tiene dos modos de funcionamiento, mediante jumpers puedes cambiar el conexionado interno de la tarjeta, modo FunBlocker o modo AVR3, el primer modo se utiliza para grabar el ATMEL y la eeprom externa, al segundo modo se cambia cuando se introduce en el decodificador para actuar como AVR3.

En esta versión cuando se graban el ATMEL y la eeprom externa debe estar configurado como FunBlocker y cuando se introduce en el decodificador debe estar en modo AVR3.

¿ Cual es la intención de esta versión ? Simplemente poder utilizar las tarjetas actuales que se usan en V*A Dig*tal para el sistema S*CA. Quien NO tenga una AVR3 puede seguir con su Funcard normal de toda la vida sin ningún problema. Otro propósito de esta versión es seguir avanzando en el estudio e implementación de NUEVAS SOLUCIONES, quizás necesarias dentro de unos meses.

En la versión GT para AVR3 es NECESARIO la utilización de una tarjeta original para que comience a funcionar, mas detalles en el apartado 4º.

Como habéis comprobado NO HE UTILIZADO LA PALABRA BLOCKER, que esta versión funcione en una AVR3 no implica que la lógica interna sea la de un BLOCKER, por tanto no se debe considerar otro BLOCKER, mas bien es un diseño de emuladora que utiliza una tarjeta original como apoyo.

Para terminar la introducción, agradecer a mi amigo Somarda su ayuda y rutinas para hacer funcionar una AVR3, ya sabéis el dicho... Tu solo NO puedes ... con amigos SI ....

Apartado 1º, Por defecto la tarjeta responderá que tiene DOS proveedores, es la respuesta normal en España. Sin embargo en otros países es diferente, por ejemplo en Francia es TRES proveedores, Italia CUATRO proveedores y U.K CINCO proveedores. En estos países es NECESARIO cambiar un parámetro en la eeprom externa.

Para cambiarlo se debe utilizar el NUEVO fichero de configuración que viene en este paquete, tienes que grabar el fichero 'Sandra_Conf.ini' en el directorio 'InteBytes' de FunMagic 1.40, después abrir la eeprom externa y pulsar el botón de 'Bytes Inteligentes', seleccionar el campo 'Numero Proveedores visibles' y poner el numero de proveedores de la tarjeta original dependiendo el país de uso.

Apartado 2º, La forma de compra es muy parecida a la que ya tenia la Phase D4, pero existen algunas diferencias. La primera es que se permite el visionado de las taquillas con preview. Después de pulsar 'OK' para comprar nos aparece una pantalla para introducir un PIN, no hay que introducir ningún PIN nunca, solo tenemos que pulsar 'A' y se realizará la compra. Todo este proceso se puede hacer desde el menú SERV + A y comprar anticipadamente cualquier evento.

Todavía hay otra forma de compra, esta es mas sencilla todavía, solo funciona en las taquillas que tienen preview ( las que sale la imagen sin tenerla comprada ), con solo esperar 20 segundos la compra se hace automáticamente, desaparece el cartel de compra y la imagen sufre un pequeño corte.

Apartado 3º, primero dar las gracias a mi amigo BreakWall por explicarme como funciona este menú poco usado en nuestro descodificador pero muy útil. Cuando se compra un evento es grabado en la eeprom externa, ahora podremos ver que eventos tenemos comprados, tan solo debes pulsar SERV + D en cualquier taquilla, este proceso tarda unos 10 segundos en mostrar los eventos comprados.

Apartado 4º. Eliminado todo el funcionamiento de los leds que se hacia uso en una FunCard normal. Estos tipos de tarjetas suelen tener uno o dos leds, por el momento no se utilizan. Solo realizan su función en el menú especial de FunMagic las opciones: AutoLog y Taquillas X, el resto de opciones no tienen efecto en esta versión. El formato de eeprom sigue siendo el mismo que en versiones anteriores. Sigue siendo necesario grabar la eeprom externa con datos buenos para su correcto funcionamiento.

Aunque la gran mayoría de tarjetas AVR3 tengan eeprom externas mayores de 8 KB, 16 KB incluso 32 KB, solo se necesitan los 8 primeros KB el resto se deja sin usar, tanto la lectura como la grabación se recomienda seleccionar una eeprom de 8 KB.

¿ Que original necesito ? muy sencillo, una que funcione en el descodificador, es decir si no produce ningún ITA entonces será valida para la versión GT.

¿ Para que se utiliza una original ? la razón fundamental es conseguir una tarjeta mas segura.

Para comprender para que utiliza Sandra una original antes hay que explicar el concepto BLOCKER, se dice que un BLOCKER intercepta instrucciones, las modifica y valiéndose de una original SIN MODIFICAR Y SIN CONOCER NINGÚN DATO DE LA ORGINAL ES CAPAZ DE ABRIR LOS CANALES, en un BLOCKER el peso de la decodificación lo lleva la tarjeta original.

La versión GT de Sandra no se puede considerar un Blocker, por la sencilla razón que el peso de la descodificación lo lleva la flash, la tarjeta original solo sirve de apoyo, la función principal de la tarjeta original es tapar muchos agujeros que tiene una emuladora, por supuesto que en esta versión se producirán ITAS pero serán mas difíciles de conseguir que en la versiones ZX y normal.

Otra razón de peso para NO considerar la versión GT como un Blocker es que necesitamos las claves tradicionales para poder ver los canales, si no tenemos unas claves buenas y a pesar de tener una original perfectamente valida no podremos abrir los canales.

Si a una original le damos la nota de 100 porque no debería producir ITA nunca, a la versión normal de Sandra le podemos dar un 50, a la versión GT un 65 y a un autentico Blocker un 99. Aunque tenga una nota baja no es importante, porque tenemos el sistema de Black list para solucionar un ataque casi instantáneamente y sobre todo fácilmente sin depender de quien ha desarrollado la versión.

Aunque la nota de un Blocker transparente sea alta y funcione perfectamente con las tarjetas actuales, probablemente un Blocker NO funcionara con las próximas V7. El funcionamiento de un Blocker se basa en dos pilares fundamentales, el uso del nano 04 y el bug 38/3C/3A de las tarjetas originales, si alguno de los dos pilares no existe en las futuras tarjetas el Blocker NO funcionara, el sentido común nos dice que las nuevas tarjetas al menos tendrán los arreglados los bugs conocidos de versiones anteriores.

Sandra F0 GT la podemos considerar como un diseño nuevo, ni es una tarjeta emuladora ni un Blocker, algo que esta en la mitad del camino entre estos tipos de diseños.

En los siguientes párrafos se explica como funciona por dentro Sandra GT, de gran interés para la gente que le gusta investigar y comprender que hace exactamente.

Esta son las instrucciones que NUNCA llegaran a la tarjeta original y por tanto serán tratadas por la flash:

INSTRUCCIÓN 0x34: Especificación de la Petición de Datos
INSTRUCCIÓN 0x32: Petición de datos
INSTRUCCIÓN 0x16: Enumeración de Proveedores
INSTRUCCIÓN 0x12: ProviderID (Ident)
INSTRUCCIÓN 0x3C: ECM ControlWords cifrada
INSTRUCCIÓN 0x3A: ECM ControlWords descifrada
INSTRUCCIÓN 0x30: Transacciones protegidas por PIN
INSTRUCCIÓN 0x40: EMM Manejo de los Abonos

INSTRUCCIÓN 0x22: Lectura de la eeprom externa
INSTRUCCIÓN 0x20: Escritura en la eeprom externa
INSTRUCCIÓN 0x26: Lectura de la eeprom interna
INSTRUCCIÓN 0x24: Escritura en la eeprom interna

La primera lista son las instrucciones normales tratadas por la flash, en la segunda lista están las instrucciones especiales para otros propósitos que no existen en una original.

El resto de instrucciones que NO ESTAN EN LA LISTA SON TRATADAS POR LA ORIGINAL, por tanto cualquier ataque utilizando instrucciones que no estén la primera lista serán inofensivas para la versión GT.

La tarjeta original es la encargada de dar ATR y dar el numero de serie, no se creara ningún registro ni se actualizara la tarjeta original. Las claves nuevas se quedaran en la eeprom externa.

Mi consejo es que los datos de la original sean los mismo que los que contiene la eeprom externa, pero no es necesario para que funcione.