Hola a todos,
He puesto este tutorial sacado de otro foro, para que los que estamos aprendiendo, al leer manuales de gurus, sepamos de lo que están hablando. Espero que nos sea util, falta la ROM 180 que ya hablaremos de ella en otros post y espero que mucho.
Saludos




0.- Tipo de tarjetas
Existen cinco tipos de tarjetas, la Rom3, Rom10 y Rom11 para Nagra-1 y Rom101 y Rom110 para Nagra-2 . Cada tipo de tarjeta tiene una revisión (versión de la eeprom) diferente. La Rom3 se quedó en su última revisión como rev340, la Rom10 en revA3E y la Rom11 en revB09.

1.- CAM -> Número de serie de la tarjeta (único)

Código:
04 60XX XXXX XX ROM 3.
04 61XX XXXX XX Mayoritariamente ROM 10 y algunas ROM 3.
04 62XX XXXX XX ROM 11. y ROM 110.
04 64XX XXXX XX ROM 101
04 65XX XXXX XX ROM 110
2.- IRD -> Número de serie o numeración del decodificador

3.- Box*** -> Clave común entre la tarjeta y que también está en el deco. Si no coinciden las dos, no funciona.

4.- ZIP -> Código postal al que pertenece el abonado.

5.- BUG CATCHERS -> Los bugcatchers son parcheos en eeprom de fallos en rom. En Nagra la eeprom se divide en dos zonas una de datos y otra de código y en esta última el proveedor puede grabar código ejecutable por la card, en principio servía para corregir bugs, pero como podéis comprender se le han dado otros usos, son los famosos bugcatchers. El microprocesador de la visa solo busca bugcatcher cuando encuentra en rom una interrupción de sofware.

6.- NUMBUGS -> El tamaño de la tabla de bugcatchers. A medida que el proveedor añade subrutinas que corrijan posibles bugs, este número se va incrementando en la siguiente revisión. Al poner este valor a 00, la visa quedaria abierta puesto que quedarian deshabilitados los saltos a los bugcatchers, quedando la visa totalmente desprotegida.

7.- Backdoor ***s -> Se puede acceder a la tarjeta no solo con las ins encriptadas sino de otra forma en la que no hace falta encriptación, son las llamadas instrucciones backdoor que permiten leer y escribir en la eeprom (teóricamente en cualquier zona de la tarjeta) pero para ello es preciso conocer la clave de paso, son las llamadas claves backdoor. Debido a los sucesivos bugs encontrados en las diferentes versiones de las tarjetas nagra1 se pudo averiguar el valor de esas claves lo que abrió la posibilidad de leerlas y escribir en ellas.

- Las tarjetas de Nagra tienen varios comandos de backdoor incluidos que permiten la carga de EEPROM y otras funciones de utilidad. Estas backdoors (puertas traseras) necesitan dos passwords de 16 bytes antes de poder trabajar con ellas. La primera clave se almacena en ROM y es la misma para todas las tarjetas de Nagravisión con el mismo número de versión. La segunda clave se almacena en la EEPROM y es, probablemente, única para cada tarjeta.

8.- Comandos Backdoor -> Una vez que se conocen las claves de backdoor, existen varias utilidades que suponen un método sencillo de volcar la tarjeta, introducirles código 3M y demás.
Ejemplos:
- Comando $0E: Borra la EEPROM
- Comando $20: Login (Usado para decirle a la CAM cuales son las passwords)
- Comando $B0: Volcar memoria
- Comando $D6: Ejecuta código/escribe en la EEPROM

9.- LoginBackdoor -> Una forma de "entrar" en la tarjeta, una vez que se conoce el password de la misma y poder así ejecutar comandos de Backdoor para modificar datos de la Eeprom. Las claves se chequean y se usan antes de ejecutar cualquier otro comando de backdoor, por lo que sólo es necesario enviarlas una vez.


Código:
21 00 25 ; A0 20 00 00 ;Comando Backdoor: Login
20 ;Longitud de comando
8F AB C2 64 44 9A FE 70 ;Password de ROM
1D E7 62 FA B1 4C 31 06
00 11 22 33 44 55 66 77 ;Password de EEPROM
88 99 AA BB CC DD EE FF
DE ;Checksum
10.- CYCLEBYTE -> Dentro de la zona de codigo, hay un byte importante situado en la posicion C0A0 (en ROM10), es el llamado CYCLEBYTE, su valor cambia en funcion de cual sea la ultima revisión de la tarjeta. Cuando se actualizan las visas, lo que se hace es comprobar ese byte, si ya tiene el valor correcto no se hace nada, y si no se procede a la actualizacion de la visa.

15.- Tiers -> Sería el equivalente al PBM de SECA. Son los diferentes paquetes contratados, con información variada (fecha y hora de contratación, de inicio de expiración, etc ..)

16.- WORMS (Gusanos) -> Código que se usa para "entrar" en la tarjeta. Cuando se descubre algún bug, se construyen estos gusanos para abrir la tarjeta en vez de usar las BackDoor (cuando estas son desconocidas). Se suelen utilizar cuando el proveedor ha actualizado la tarjeta mediante una nueva revisión y es necesario re-abrirlas ....
Un ejemplo podría ser este para abrir las ROM10:


Cita:
Consiste en enviar a la visa un comando cifrado con una EMM*** nuestra y posteriormente un gusano mediante un comando $61 que lleve nuestra EMM*** de forma que sea capaz de desencriptar el primer comando y ejecutarlo. El primer comando será una instrucción de ejecutar código en RAM.

17.- Datatypes -> Registros de longitud variable y que tienen una cabecera que indica que tipo de información contiene: claves del proveedor, derechos de visión … y que se conocen en la jerga como los datatypes. Por ejemplo en el 01 que es único en cada tarjeta está la UA, el número del deco (ird en la terminología nagra, bueno y DVB) la box*** del deco, la fecha. O también en el 07 esta el juego de claves de desencriptación (si os fijaís en un volcado de la Eeprom, vereís que hay 2 Datatypes 07 (juegos de claves 0 y 1).

18.- Blocker --> Código que se añade a la tarjeta para evitar que el proveedor escriba en nuestra tarjeta. Se especifica una dirección de memoria donde se encuentra el blocker (Dirección original:C1 ED que habrá que modificar a CE 00). Los blocker evitan actualizaciones por parte del proveedor dejando pasar unicamente las actualizaciones de las ***s, y siendo asi nuestra mosc autoroll.