如何对卫视智能卡进行逆向工程(2008)

克里斯托弗·塔诺夫斯基(Christopher Tarnovsky)向Wired.com展示了智能卡黑客背后的诀窍。史蒂夫·雷恩斯(Steve Raines)/Wired.com圣迭戈-克里斯托弗·塔诺夫斯基(Christopher Tarnovsky)认为自己是正确的。这位软件工程师和前卫星电视盗版者五年来一直处于困境，被控帮助他的前雇主鲁珀特·默多克(Rupert Murdoch)破坏竞争对手，在全球付费电视战争中夺得头把交椅。

但两周前，在针对该雇主NDS集团(NDS Group)的民事诉讼中，陪审团基本上洗清了该公司-进而是塔尔诺夫斯基-的盗版行为，认定NDS只犯有一起窃取卫星信号的事件，Dish因此获得了1500美元的损害赔偿金。

塔尔诺夫斯基说：我就知道这会发生。他们没有任何证据或证据。

这场审判已经酝酿了多年，但引发的问题比答案更多。归根结底，这是双方承认的海盗之间的证词，他们相互指责对方撒谎。现在一切都结束了，去年被NDS解雇的塔尔诺夫斯基急于讲述自己的故事。

37岁的塔诺夫斯基穿着宽松的牛仔裤、人字拖和T恤，在南加州的一个有空调的实验室里接受了Wired.com的电话采访，自从失业后，他一直在那里经营一家咨询公司。在一盒盒智能卡和价值数千美元的用于研究芯片的显微镜和电脑的包围下，他以闪电般的速度兴奋地谈论着他的奇怪之旅，这段旅程始于五角大楼的一个绝密通信中心，以他在付费电视问题上激烈的电子战的双方工作结束。

卫星电视黑客克里斯·塔诺夫斯基(Chris Tarnovsky)向“威胁级别”(Threat Level)记者金·泽特(Kim Zetter)开放了他的实验室，让人们史无前例地窥探智能卡黑客的世界。编辑：Annaliza Savage，摄像机：Steve Raines。

他的故事为国际卫星海盗和那些与他们作战的人提供了一个黑暗的、道德上模棱两可的世界的新曙光。

赌注很高：卫星电视行业的利润高达数十亿美元。仅在今年第一季度，美国市场领军企业DirecTV就宣布从1700多万美国订户那里获得46亿美元的收入。迪什网络从近1400万订户那里赚取了28亿美元。尽管卫星盗版行为与7到10年前民事诉讼中详细描述的事件发生时的峰值相比已经大幅减少，但这两家公司的潜在收入损失了数百万美元，并花费了数百万美元更换系统中使用的不安全智能卡，并追查销售盗版智能卡的经销商。

这些智能卡是围绕NDS的争议的焦点。NDS是一家英以合资公司，是默多克新闻集团(News Corp)持有多数股权的子公司。该公司生产用于付费电视系统的门禁卡，其中最引人注目的是DirecTV，而DirecTV本身也曾是默多克的一家公司。Nagrastar是本案的原告之一，也是NDS的主要竞争对手，该公司生产Dish Network和其他市场亚军使用的门禁卡。

根据诉讼中的指控，在90年代末，NDS提取并破解了Nagrastar卡中使用的专有代码，这一事实NDS并没有提出异议。然而，接下来发生的事情引起了激烈的争议。Nagrastar表示，Tarnovsky使用该代码创建了一种设备，用于将Nagrastar卡重新编程为盗版卡，并将这些卡赠送给急于窃取Dish Network节目的盗版者。塔尔诺夫斯基还被指控在互联网上发布了一份详细的黑客入侵Nagrastar信用卡的路线图。

Nagrastar表示，NDS做出这些滑稽举动的动机很明显：他们自己的芯片，即所谓的P1或F卡，已经被盗版彻底破解，该公司希望与竞争对手公平竞争。

NDS在审判中否认了这些指控。该公司拒绝对这篇文章发表评论，也拒绝证实塔诺夫斯基受雇的细节，只是表示很高兴判决结果是对NDS及其商业道德和正当行为的响亮肯定。

塔尔诺夫斯基在90年代开始了他的海盗生涯，当时他在美国陆军服役。他在比利时为北约总部研究密码计算机，获得了SCI的绝密安全许可，并在福特呆了一年。马里兰州的德特里克为国家安全局向欧洲的卫星传输提供支持。

1996年，当他的上校卖给他一个二手卫星电视系统和两张盗版通行卡时，他正驻扎在德国，但这两张卡都不起作用。塔尔诺夫斯基开始在在线海盗论坛上发帖，并在社区中建立了联系，最终学会了如何修复从英国天空电视台访问英语节目的卡。

离开军队回到美国后，他接到了加拿大海盗罗恩·埃里瑟的电话，他是通过小道消息听说过他的。盗版者在P1卡中发现了一个后门，并正在大力利用它来获取DirecTV内容。但这些牌总是出问题。在一场海盗乒乓球比赛中，DirecTV定期在卫星流中部署电子对抗措施(ECM)，以杀死机顶盒中的卡片。Ereiser需要有人来修理这些卡片。

有严重的黑市资金处于危险之中。在加拿大，盗版美国卫星服务直到2002年才被认为是非法的，经销商辛迪加做的生意足够多，他们可以负担得起大约5万美元，聘请一名程序员对最新的卡进行反向工程。盗版卡的售价约为每张200美元，利润由投资者和工程师平分。塔尔诺夫斯基声称，加拿大海盗交易商一个周末可以赚到40万美元；1998年，当加拿大臭名昭著的海盗雷金纳德·斯库利安(Reginald Scullion)遭到突袭时，当局从他的银行账户和保险箱中查获了550万美元，尽管并不是所有的钱都来自海盗。

Ereiser现在是Nagrastar的顾问，他承认盗版赚的钱很多，但坚称没有人会在一夜之间成为百万富翁。他在接受电话采访时说，这是有利可图的。但是，认为一个月赚了数百万美元的说法完全是胡说八道。

DirecTV的反制措施拖累了这一利润丰厚的交易。每次部署ECM时，Ereiser和其他经销商都会受到客户的长篇大论，要求修复卡并恢复他们的电视节目。

塔尔诺夫斯基在网上被称为“大炮”，他说，埃雷瑟给了他2万美元，让他修复被ECM杀死的卡片，他同意了。每次NDS创建对策时，塔尔诺夫斯基都会分析代码并找到规避对策的方法。他在马萨诸塞州一家半导体公司担任全职软件工程师时做到了这一点。

他说，我会去上班，我会查看IRC(频道)，看看他们是否推出了周四的对策。对我来说，这就像一场国际象棋。我迫不及待地等着他们做出反击，因为我会在几分钟内反击。

塔尔诺夫斯基患有注意力缺陷多动障碍，他说这对详细的工作有帮助。

没过多久，NDS就来求爱了。塔尔诺夫斯基在该公司有个联系人，他开始向他传递有关软件漏洞的信息，甚至提供修补程序来修复这些漏洞。NDS为他提供了一份年薪6.5万美元的工作。他说，到公司去年解雇他时，他的工资和奖金约为24.5万美元，还有10万美元的股票期权。

该公司将他安置在南加州的一个实验室里，配备了一台电脑、一些DirecTV机顶盒、DirecTV卡样本和NDS源代码。起初没有高档的设备，但他与NDS和实验室的关系在他与他们共事的十年中得到了发展。塔尔诺夫斯基说，这份工作是梦想成真。在欧洲居住期间，他曾看过一篇新闻报道，报道中一位法国卫星公司的工程师坐在实验室里，桌上放着一张智能卡。

塔尔诺夫斯基说：我一直认为成为那个人会很酷。我终于得到了这个机会。

塔尔诺夫斯基在NDS有两个角色-找到其软件中的漏洞，并与海盗一起卧底，以发现他们在针对NDS技术做什么。

为了向海盗隐瞒他与NDS的关系，公司里几乎没有人知道他的身份。他使用的名字是迈克尔·乔治(Michael George)，头四年通过其他公司支付报酬，其中包括默多克旗下的图书出版商哈珀柯林斯(HarperCollins)，为期约5个月。

他说：这是非常保密的，因为我们不知道谁能成为内部线人。

他的部分工作是为NDS开发ECM。他将检查盗版NDS卡，以确定它们是如何工作的，然后向以色列的工程师发送指令，让他们为他们制造杀戮。

塔诺夫斯基说：我实际上并没有给枪上膛，也没有扣动扳机，但我成功地制造了子弹。

他说，在他创造的对策中，有一种在海盗中被称为黑色星期日杀戮，这是一个精心策划的计划，在2001年超级碗(Super Bowl)周日之前的一周销毁了数万张盗版DirecTV卡。

黑色星期日攻击代码没有像其他措施那样一次性发送到海盗卡上，而是在两个月的时间里分成大约50多个部分发送到海盗卡上，就像一辆坦克被一件一件地运到战场上，在战场上组装。塔尔诺夫斯基说，他们从未料到我们会这么做。

在海盗们找到启动纸牌的方法之前，这场杀戮并没有持续很长时间。但它在海盗传说中占有经久不衰的地位；他们第一次看到另一边有一个狡猾的头脑在工作。

在塔尔诺夫斯基开始为NDS工作的前几天，该公司开始逐步推出其最新一代智能卡P2，这款卡被认为几乎无法破解。但有消息传给该公司，称为Ereiser工作的两名保加利亚黑客破解了P2。根据NDS'；的指示，塔尔诺夫斯基在卡尔加里会见了埃里瑟卧底，以获取密码。当他到达那里时，Ereiser给了他2万美元，让他为他工作，对抗NDS和DirecTV想出的任何对策，以挫败他们的P2黑客攻击。

NDS认为这是塔尔诺夫斯基保持海盗身份的绝佳机会，但DirecTV坚持进行一些控制。在他们所谓的“约翰尼·沃克行动”(Operation Johnny Walker)中，塔尔诺夫斯基给了埃雷瑟一个创建盗版NDS卡的程序，但对它进行了加密，这样就没有人能复制它了。该程序只能与Ereiser的计算机上的加密狗一起工作，并创建了数量有限的可随时杀死的卡片。

但是，根据Nagrastar的说法，塔诺夫斯基不仅通过卧底和创建ECM来帮助NDS打击盗版，他还对NDS的竞争对手实施盗版，以削弱它们在市场上的地位。

在以色列的NDS工程师在90年代末破解了Nagrastar的代码后，Nagrastar表示，Tarnovsky创建了一个将Nagrastar的卡变成盗版卡的Stinger程序。据称，他在1999年将该程序提供给了一位名叫Al Menard的加拿大人，后者以每张350美元的价格出售重新编程的Nagrastar卡。然后在2000年12月，有人匿名将入侵Nagrastar的卡的代码和详细说明发布到两个网站，其中一个由Menard运营，使Dish Network面临更多的盗版。据法庭证词估计，在这张帖子之后，市场上释放了10万至16.5万张盗版Nagrastar卡。

Nagrastar说，梅纳德开始从海盗卡的销售中寄给塔诺夫斯基现金。2000年8月底，当局根据匿名线报查获了两个箱子，目的地是塔尔诺夫斯基在德克萨斯州租来的一个邮递箱。他们在店内发现一部藏有二万元及二万零一百元的CD及DVD机。

这些盒子是从温哥华摄政音频的一个虚假地址寄到塔诺夫斯基地址的C.T.电子公司的。没有查获的第三个包裹的海关表格显示，它是从梅纳德寄到塔尔诺夫斯基的，还装有电子产品。

塔尔诺夫斯基当时在以色列，他说他对包裹一无所知，直到他接到通知说包裹已经被扣押。他认为这些照片是纳格拉斯塔尔营地的某个人派来的，此人试图陷害他。他说，Nagrastar对毒刺程序的指控是毫无根据的，而且他从未给过梅纳德任何软件。

2001年2月9日，美国海关人员出现在他的家门口。在律师的建议下，他拒绝让他们在没有搜查令的情况下搜查他的房子。塔尔诺夫斯基从未被逮捕或被指控犯有任何罪行，但对他的怀疑正在增加。NDS对塔尔诺夫斯基进行了测谎测试，但只问了两个自私自利的问题，这两个问题从未触及Nagrastar的指控：塔诺夫斯基自从为公司工作以来，是否出售过任何经过修改的NDS智能卡或公司机密？塔尔诺夫斯基回答说没有，并且通过了测试。

他继续为NDS工作了六年。但去年，Nagrastar向NDS出示了一份警长的报告，报告显示，从被扣押的电子设备上提取的指纹属于梅纳德的一名同伙，这再次引发了人们的怀疑，即塔尔诺夫斯基可能在NDS不知情的情况下出售了盗版Nagrastar卡。NDS解雇了他。

塔尔诺夫斯基说，他的被解雇证明他和NDS并没有密谋反对Nagrastar。如果他们是，NDS会做任何事情来让他快乐和安静。他说，Nagrastar输掉这场官司的事实表明，他自己也不是海盗。

尽管他对NDS抛弃他感到愤怒，但在审判结束前，他告诉Wired.com，他希望再次为公司工作。

他当时表示：我希望确保NDS赢得这场诉讼，因为这将洗清我的名声。

当有人建议有人可能认为这是他为NDS撒谎的动机时，他不同意。

那太疯狂了。他说，我可能会进监狱。我决不会为某个公司作伪证。

自从NDS解雇他以来，他一直在为两家半导体公司和一家加密狗令牌制造商提供咨询服务，但他错过了电子战中的生活。如果NDS不想要他，他说他会很高兴再次为Nagrastar跳跃队工作。

他说：我可以为他们设计一整块芯片，就像我为NDS所做的那样。今天，NDS认为他们的技术比其他所有人都优越，而且很可能是这样，因为他们在技术上领先纳格拉17年。但是如果他们使用我的服务，纳格拉可以在一夜之间赶上。

他补充称，就智能卡技术而言，我是一项非常有价值的资产。我对(NDS)的一切都了如指掌，就他们的知识产权模式而言。

去年，当诉讼悬而未决时，他向公司提供了服务。Nagrastar拒绝了。