Hi !
Verstehe ich das richtig das cat /proc/stb/tpm/0/ca/* die ganzen Infos der Box liefert inklusive Seriennummer und MAC Adresse so wie es das Webif im Bios anzeigt ?
Aber was liefert das cat /proc/stb/tpm/0/serial ?
Ist das die Seriennummer des Security Chips und funktioniert das auch bei den V2 Modellen mit dem verlötenen IC statt der verklebten SIM Karte?
LG
gutemine
Ja scheint so und ist auf den V2 Geräten auch so.
Hi,
die Personalisierung (Serial, MAC, etc) einer Box erfolgt vollständig über das TPM, deshalb finden sich die Infos auch an genau dieser Stelle.
Deshalb haben ja auch clones immer in großen Mengen alle die selbe Serial & Mac ...
Hi,
ja.. das TPM ist intern nicht anders.. nur halt jetzt gelötet, weil es immer kontaktprobleme mit den readern gab 
cu
Danke für die Infos.
Nachdem mein Crowdtesting Ansatz beim Eintwickeln schon seit fast einem Jahr kaum mehr funktioniert muss ich ja mit Ablaufdatums in den Binaries arbeiten, damit die Leute sich überhaupt noch mit den aktuellen Versionen befassen, oder Spendenaufrufen damit sie wenigstens schlechtes Gewissen haben wenn sie nichts zur Entwicklung beigetragen haben.
Das funktioniert aber auch nicht wirklich, ich bin also beim Überlegen wie man trotzdem verhindert das Testkits einfach anderweitig hochgeladen werden ohne aktuelle Infos und ohne das je irgendein Feedback kommt. Technisch wäre es analog zu einem License Key am einfachsten wenn sich die Leute einen Testkey generieren/holen müssen, der dann aber boxspezifisch sein müsste, weil wenn es nur ein Passphrase ist die man eingeben muss dann wird die gleich mitverteilt. Ist zwar nicht schön wenn man das machen muss, aber ich kann und will nicht den fehlenden Input der Tester durch Mehrarbeit von meiner Seite kompensieren, außerdem müsste ich mir dann auch noch alle boxen besorgen, etc.
Mal sehen ob das was bringt. Ich glaubs zwar eher nicht, aber mein schlechter Ruf hält das schon aus es wenigstens auszuprobieren.
Zur Not kann ich immer noch auf das Wikipedia Modell umsteigen - wenn nicht bis zu xx.xx.20xx 1 Mio $ gespendet wurden drehen wir alles ab.
DANN wäre es mir nämlich egal ob die User testen und mithelfen 
Ich habs ausprobiert, das /proc ist zu leicht zu faken. Muss man nur ein tmpfs drüber mounten und ein paar echos in die entsprechend Files machen, so wie ich es mache damit man VU+ und ClarkTeck Images auf der Dreambox booten kann.
Und ich will nicht über den tpmd dameon gehen 
aber mein schlechter Ruf hält das schon aus
Ist der Ruf erst ruiniert lebt es sich völlig ungeniert 
Aber ja doch. Außerdem bilde ich mir auf meine Sachen nichts ein, das meiste kann wer anderer genauso, es geht aber darum ob ICH es kann.
Das aktuellen Projekt zum ubidump ist ein gutes Beispiel - UBIFS gibt es seit 5 Jahren und solange gibt es kein User Space Tool um es zu extraieren. Und warum ? Weil es schwer ist!
So liest man und so dachte ich auch und so habe ich es auch 3x probiert und bin glorios gescheitert - bis ich es auf MEINE Weise probiert habe 
Deswegen bin ich nicht gescheiter oder ein besserer Programmierer als alle anderen - nur ignorant genug es einfach trotzdem zu probieren - so wie 2 Fahrradmechaniker es um 1903 an einem Strand probiert haben nach dem heute ein Flugzeugträger benannt ist.
Und wenn ich ein Problem habe - und seien es zu wenig Tester, dann versuche ich es zu lösen statt nur zu jammern, auch wenn das manchmal unangenehm ist, oder den Leuten nicht gefällt oder man ein klein wenig provozieren muss, um den gewünschten Effekt oder das gewünschte Ergebnis zu erhalten.
Und wenn ich ein Problem habe - und seien es zu wenig Tester, dann versuche ich es zu lösen statt nur zu jammern
Hat es etwas gebracht?
Habe ich schon alles ausprobiert ?
...ich bin also beim Überlegen wie man trotzdem verhindert das Testkits einfach anderweitig hochgeladen werden ohne aktuelle Infos und ohne das je irgendein Feedback kommt. Technisch wäre es analog zu einem License Key am einfachsten wenn sich die Leute einen Testkey generieren/holen müssen...
Ich hatte vor einiger Zeit aus demselben Grund meine Plugins mit Keys geschützt und der Effekt war zuerst auch der von Dir gewünschte: die Benutzer mussten aktiv werden und mir eine Mail senden, um einen Key zu bekommen und viele hatten bei der Gelegenheit auch gleich ein Feedback zu den Plugins geschrieben, was so vorher nur selten der Fall war.
Die Keys waren abhängig von der MAC der Box. Um den Aufwand zu minimieren, hatte ich mir ein Outlook Script geschrieben, das die Mails mit den Key-Anfragen automatisch nach den "MAC Nummern" durchsucht, dazu die passenden Keys generiert und diese automatisch an den Absender per Mail zurück geschickt hatte.
Eine 100%-igen Schutz gibt es natürlich nicht und es werden immer einige Wege finden, diesen zu umgehen und die Plugins zu hacken. Die überwiegende Mehrheit geht aber den offiziellen Weg, zumal man auch nicht weiß, was so ein gehacktes Plugin sonst noch alles auf der Box macht. Daher würde ich dort keinen allzu großen Aufwand treiben.
Das Ganze hatte aber auch zur Folge, dass schnell von einer "Zwangsregistrierung" die Rede war oder dass ich angeblich die Mail-Adressen der Benutzer verkaufe bis hin zu Gerüchten, dass man einen Key nur bekommt, wenn man etwas spendet. Das war natürlich alles Quatsch, aber das wird Dir vernutlich auch passieren, wenn du diesen Weg gehst.
Danke für das Feedback.
Ich habe schon eine Menge Sachen geprogged die lieber auf meiner Harddisk bleiben, und manche Sachen mache ich auch auf Vorrat wie z:B. die Flashfäule (besser nicht fragen was das ist)
Insofern probiere ich halt gerade auch solche Sachen aus. Im Moment habe ich gerade ein TAN Modell geprogged so ähnlich wie beim e-Banking wenn du dir einen für die Online Banküberweisung holst, das funktioniert über die Systemzeit, sprich der key ist nur 5min gültig - und nein Zeot umsetzen hilft dir da nicht
Damit brauche ich nicht wissen wer der User ist und welche Box er hat, aber er muss sich trotzdem einen TAN holen, und das könnte man leicht über ein webschript in einem Board machen, so ähnlich wie die Captchas die verwendet werden um die Bots fernzuhalten.
Die Logik ist da relativ simpel und leicht zu proggen und es ist schwer auszuhebeln. Keys pro Boxen mag ich nicht wirklich machen, schon weil dann Leute mit mehreren Boxen oder die ständig Neuflashen arm dran wären.
Bin da nicht so gut drin, hab aber eine blöde Frage vielleicht läßt sich auch etwas daraus machen.
Wenn DMM jeder Box eine Seriennummer verpassen würde, die eine original Box identifiziert, dann müßte die Box doch nur nachfragen, ob sie registriert ist, bevor sie die Software installiert?
Es hat doch schlieslich jeder einen Internetanschluß und wenn nicht, kann man keine Software installieren.
Dazu müßten die Programmierer nur einen "Code" in ihrem Programm einfügen, der die Box veranlaßt, daß zu überprüfen und erst wenn das OK da ist, kann die Software installiert werden.
Somit wird verhindert Software auf Cloneboxen zu installiern.
Ist ja nur mal eine blöde Idee von mir. Weiß auch nicht, ob sich daraus etwas ergeben könnte, bin schließlich kein Programmierer.
Sollte auch nur ein denkanstoß sein.
Wir haben eine security smartcard ohne die weder 2nd-stage bootloader noch treiber, noch enigma2 funktioniert.
Das ist bereits eine "etwas" komplexere Lösung und die wird trotzdem wieder und wieder ausgehebelt.
Das was du vorschlägst bietet absolut keinen Schutz.
Na ja ich drehe das eher um, ich checke in meinen Tools ob gehebelt wurde
Das ist so wie beim Tatort - nur wenn sich wer verdächtig verhält wird ermittelt.
Aber selbst das ist nicht mehr 100%ig. Nicht umsonst haben plötzlich verdächtig viele User aus Ländern wo DMM gar nicht hin liefert 'Originalboxen mit OE 2.0' Images.
Umgekehrt weis ich von meiner Multibooterei auch ziemlich genau wie man diese Maßnahmen auch auf Originalboxen auslösen kann und was man tun muss damit es ruhig bleibt.
Nicht umsonst verweigern meine Sachen z.B. bei unmarkierten Bad Blocks im Flash. das ist zwar lästig aber ich will nicht schuld sein wenn Originalboxen durch meine Sachen sich wie Klone verhalten.
Aber das ist nicht worum es mir hier geht und ich will auch nicht aus dem Nähkästchen plaudern.
