Peter's Insider Blog

Der Online TV Recorder ist eine gute Lösung für Leute die keinen Videorekorder zuhause haben. Man kann sich bei dieser Seite registrieren und die Filme und Serien, welche aufgenommen werden sollen in Auftrag geben und das Ganze völlig kostenlos und legal. Wegen dem Urheberrecht dürfen Aufnahmen, die in den Auftrag gegeben worden sind, jedoch nur von dem Auftraggeber heruntergeladen werden. Um dies sicherzustellen wird ein ausgeklüggeltes System aus Verschlüsselung und Datenbank verwendet. Um die Dateien zu entschlüsseln muss ein Dekoder heruntergeladen werden in welchen man seinen Benutzernamen und Passwort eingeben muss, dieser kontaktiert anschliessend eine Webseite, welchen einen md5-Hash oder ähnlich zurückgibt mit welchem die heruntergeladene Datei entschlüsselt wird. Soweit habe ich es jedenfalls herausgefunden. Die Webseite gibt den Hash nur einmal aus, wird also während dem Entschlüsselungsvorgang abgebrochen ist die Datei oder zumindest ein Teil von ihr verloren.

Also Denke ich probier wir das Ganze mal aus, ich gebe meine Benutzerinformationen und das Inputfile an und klicke auf Decode, siehe da meine Firewall schlägt an und meldet einen Verbindungsversuch, welchen ich erstmal abwehre, die Datei kann nicht enschlüsselt werden. Beim nächsten Mal lasse ich das Programm passieren und meine Sendung wird einwandfrei und in guter Qualität entschlüsselt, leider aber im WMV-Format.

Sehen wir uns das mal unter der Lupe an, mit Lupe ist hiermit Hacker's Best Friend gemeint, das kommerzielle Programm IDA Pro, welches vorallem in der Virenanalyse zum Einsatz kommt. Ich öffne den Decoder also in IDA, und sehen wir da, kryptisch aussehende Daten und den verdächtigen String UPX1, d.h. das Programm ist mit dem Binary Packer UPX gepackt worden, welcher unteranderem für Viren verwendet wird, dass das Binary klein und unlesbar wird, sprich nicht gleich zu disassemblieren. Also starten wir das Programm UPX mit dem Parameter d wie decompress, und schau das Programm des Mannes, dessen Technologie auch von der NASA für Spirit und Co verwendet wird entpackt das Programm ohne zu meckern.

Erneut geöffnet in IDA blickt uns lesbarer Intel-Assembler Code entgegen. Als erstes suche ich der Einfachheit halber nach einer URL und man glaubts kaum, Volltreffer!. Jetzt brauche ich nicht einmal mehr den Netzwerk Sniffer Ethereal einzusetzen um auf die URL zu kommen. Ich tippe sie einfach in meinen Browser ein und fülle die Lücken mit Email, Passwort und Dateiname, der Browser liefert einen 32-Bit MD5, RIPEMD-128 ähnlichen Hash zurück, welcher höchstwahrscheinlichst zufällig generiert wird, in der Datenbank gespeichert und die Datei mit diesem verschlüsselt.

Ich kopiere den Hash und alterniere die URL des Decoder Binary mit einem HEX-Editor in eine URL auf meinem Server, und lade eine Datei an den Pfad die den Hash enthält, so kann ich die Datei trotzdem entschlüsseln! Das Programm läuft weiter als hätte es nichts gemerkt, hat es ja auch nicht, Passwort, Dateinamen und Email sind jetzt egal, alles was zählt ist der Hash, welcher der Schlüssel ist um die Videodatei zu entschlüsseln. Als nächstes werd ich wahrscheinlich die verwendete Kryptographie aufs Korn nehmen, wann steht in den Sternen.