*Possible* CCcam Caution

[CG121]

Just seen this on some German boards...

Rumor: CCCam has a backdoor designed by the developer.

The backdoor allows the reading of the card data (serial number).

Access to the back door is possible even without user / pass. Just the IP or dyndns address is needed.

From the backdoor, access to the peer data is also available.

Rumors say that the CCCam developer has written an easy Windows software that allows to gather from the backdoor the card serials and dyndns of the peers and sell this data to NDS, Irdeto, etc…
put this together with my own personal feelings that dyndns has either been hacked or struck a deal with NDS to pass on the addresses of people cardsharing and we may have an answer.After all ive yet to find anyone who was not using dyndns who has had their card turned off.

This could explain how NDS has found the cards being shared on the networks and shut down the account of the client.

Solution? Switch to OScam. It's openware and its development can be seen by all. Ian

Update

One guy from the oscam developers confirmed this evening that it could be true cause there are some unknown commands in the cccam code !

So please be carefull until there comes some light behind !

Hallo liebe Zebrademer, gleich mal vorweg, für das was ich euch jetzt erzähle, musste ich mir einen neuen Account machen, da ich hier etwas public mache, was, aus mir völlig unerklärlichen Gründen, non public gehalten wird. Würde ich es mit meinem normalen Nick schreiben, so wäre meine Zeit in diversen NP-Foren abgelaufen. Aber da es alle Sharer angeht, sehe ich nicht ein, dass diese Info zurück gehalten wird. Nun zum Thema: Wie ihr ja sicherlich gemerkt habt, ist der Support der CCcam eingeschlafen. Seit Anfang dieses Jahres gab es keine neuen Versionen mehr und es werden wohl auch keine mehr kommen. Viel mehr haben die Programmierer eine neue Geschäftsidee, welche ihnen ordendlich die Taschen voll macht. Alle CCcam Versionen ab version 1.6.1 besitzen eine Backdoor, welche es erlaubt, über den Serverport, Daten abzufragen. So erhält man z.b. die CCcam.cfg und auch Daten der lokalen Karten, ohne das man in der Config freigegeben ist. Also für jeden zugänglich, der IP und Port kennt. Die Programmierer haben dafür ein Tool geschrieben, welches unter Angabe einer IP oder dynamischen DNS Adresse und des richtigen Server Listening Ports, nach Seriennummern von Smartcards sucht. Nach dem der Server die Daten geliefert hat, wird die CCcam.cfg des Servers nach weiteren Adressen durchsucht und auch diese werden ihrer Kartenseriennummern beraubt. Die Ergebnisse lassen sich auf dem Bildschirm mit verfolgen und in eine Datei schreiben. So werden Seriennummer, IP und Datum mit Uhrzeit erfasst. Wer sich jetzt fragt, was der Scheiß soll, dem wird wohl schnell klar, dass sich hiermit eine menge Geld verdienen lässt. Die Programmierer bieten das Tool PayTV Providern und Anbietern von Verschlüsselungssystemen zum Kauf an, so dass diese aktiv nach Cardsharern suchen können, die unerlaubt ihre Karten übers Internet teilen. Es steht fest, das dieses Tool schon Käufer gefunden hat. Bestätigt ist, dass Irdeto zugeschlagen hat, und auch die News Corp. hat erkannt wie wertvoll es ist. Letztere dürfte besonders für uns deutsche Sharer gefährlich werden. Ob Sky Deutschland bereits aktiv sucht, kann ich nicht bestätigen, aber DigiTürk schaltet bereits seit einiger Zeit enttarnte Karten ab. Dies wird in viele Foren diskutiert, nur konnte sich niemand erklären wie DigiTürk diese Karten gefunden hat. Naja, ihr wisst es nun. Da in letzter Zeit auch aus Deutschland immer häufiger von Problemen mit CCcam berichtet wird, könnte man dieses Tool, besonders in verbindung mit der -n Option (dazu gleich mehr) als mögliche Ursache nennen. Da die NP Szene auch an dieses Tool gekommen ist, versuchen wir gerade durch Paketanalyse heraus zu finden, wie dieses Tool vorgeht, doch sind wir bis jetzt noch nicht sehr weit gekommen, da der gesamte Verkehr verschlüsselt statt findet und bis jetzt noch nicht vom normalen CCcam-Traffic unterschieden werden kann. Uns liegt das Tool leider nur in kompilierter Form vor. Hier mal ein Screenshot der Help-Ausgabe: ENTFERNT VON ... Erschreckend ist, die bereits erwähnte -n Option, bei der auch die Newcamd Verbindungen, also N: lines abgefragt werden. Hier ist ja schon länger bekannt, wie leicht sich Seriennummern der Karten auslesen lassen. Nur wird dabei die CCcam neu gestartet und somit verlängert sich die Scanzeit und der Share wird gestört. Ich werde dann morgen noch ein Video erstellen, welches das Tool in Aktion zeigt.

 

[bod]

as we have seen before...CCcam is flawed...maybe intentionally to lure all the would-be c/s peeps....

as i posted earlier.....CCcam has its vulnerabilities even when using OSCAM.....

alot of things are possible ..........but as with many things in the hacking scene, things are done just for the fun of it, and then to brag about it or publicly allow others to use the exploit....
eg. dev team-iphone, chickHen -psp, etc etc....

but one big flaw with CCcam is with the use of OScam , users have the ability to dupe sharers into unknowingly re-sharing thus increasing their ecms beyond normal parameters, (do you like that word witchy), that would then be like waving a red flag at sky/nds...

https://www.digitalworldz.co.uk/index.php?threads/245560/

 

[nozzer]

This could explain how NDS has found the cards being shared on the networks and shut down the account of the client.

There may well be a backdoor in CCcam but the methods nds used to find cards is well known and nothing to do wih either CCcam or the Dyndns service.

Dyndns is a service used ONLY for associating a DNS name with a particular IP address. When you request a particular dns name its looked up and the actual IP address returned (dns lookup). No data from any actual IP (server) will pass through Dyndns systems so Dyndns staff have no idea what an IP is actually being used for, therefore that part of the above post is obviously just pure bullshit !!!

 

[CG121]

Indeed, I wouldn't say DynDNS has any involvement in this either.
(It was a direct quote from another person (Ian) on another forum.)

Stretching my imagination, it could be said that DynDNS could return a list of previous IP addresses associated with hostnames already known to be c/s, but that's about all...(should the domain no longer be resolveable)

With regards to CCcam, once a hostname/ip and port are known, this exploit could return hostnames/ports/users etc of all shares (both local and remote) which (if connected to people that are using external shares) could potentially snowball into many servers being probed..(resulting in yet more shares)

In quoting from another source, the point being made is not how $ky captured people with doctored ECMs, but the fact a backdoor does appear to exist in CCcam v1.6.1+...

I was just passing that on as a heads up to anyone that was planning to use CCcam..

 

[CG121]

Various videos (same video, different codec) have appeared which appear to show this backdoor exploit in action...

A mp4 exists over on wizard...

 

[fta101]

I will try this on my provider, if it does spit out my IP, what can he do to fix it??? Use another CCCAM version??? If it exists ??