Hledání

Kategorie

Odkazy

Nástroje

Archiv

Telefonování zdarma

V tomto článku je detailně popsána telefonní karta a návod, jak si vytvořit svou vlastní telefonní k

Zfalšování telefonní karty

Rozebereme si to hezky popořádku. Pro méně zasvěcené nejprve článek z Chipu 5/97, str. 180: ...Od telefonních karet není možné očekávat nic víc nežli obyčejnou paměť. Zbývá se jen podívat na to, jak je tato paměť organizována a jak se s ní pracuje. V případě této karty (té naší české) jde o 256 bitů paměti typu EPROM, jejíž strukturu je možné vidět v tabulce. (Paměťová mapa EPROM telefonních karet typu 1)

byte

bit

význam

0
0..7

kontrolní součet: X=216-součet hodnot bitů 9..96

1
8..19

$83 (karta typu 1)

2..3
20..31

$8XXX - celkový počet kreditů + 2 v BCD kódu, např. $8012 pro 10 kreditů, $8152 pro 150 kreditů

4
32..40

kód výrobce, 00h Shlumberger, 40h Gemplus

5..9
41..79

sériové číslo

10
80..87

konstanta 11h (nedokumentováno)

11
88..95

kód země (55h Česká republika)

12..30
96..247

První dva ze 152 bitů v této oblasti slouží pro testovací účely, ostatní jsou vybrané (1) a nevybrané (0) kredity (telef. impulzy)

31
248..255

$00 nebo zvláštní účely

Zde vidíme, že prvních 96 bitů paměti tvoří hlavičku, která v sobě nese takové informace, jako je počet jednotek, sériové číslo, kontrolní součet atd. Zbylých 160 bitů paměti se označuje jako pole jednotek a slouží k zaznamenávání počtu protelefonovaných impulzů. Ty se zde zaznamenávají v podobě jednotkových bitů, přičemž platí, že co jeden bit nastavený na jedničku, to jedna odepsaná jednotka. Dále platí nepsané pravidlo, že blok jednotkových bitů by měl tvořit souvislou posloupnost od počátku pole jednotek. Za zmínku též stojí fakt, že první dvě jednotky jsou vždy odepsány už při výrobě karty jako součást výstupní kontroly. Při bližší prohlídce hlavičky zjistíte, že díky tomuto testování jsou karty vždy vyráběny na počet jednotek, který je o 2 vyšší než je hodnota vyražená na obalu karty. Přímo z právě popsané struktury těchto karet (dalo by se vlastně říkat též pamětí) je ihned patrné, proč se prodávají karty na max. 150 jednotek. Víc by se jich totiž na kartu nevešlo. Proč 150 a ne 158? To proto, že poslední bajt z pole jednotek je vyhrazen pro zvláštní účely (označení prázdné karty apod.)

Nyní, když už víme, jaké informace a jak jsou v kartě ST1200 uloženy, zbývá pouze dořešit otázku přístupu k této paměti. Pro tento účel se používá jednoduchý sériový protokol, se kterým je možné provádět tři základní operace: resetovat kartu, provést přesun na další bit a nastavit daný bit do stavu logická 1. První dvě operace jsou určeny zejména ke čtení obsahu karty, kdy je na výstupní pin DATA v synchronizaci se spádovou hranou hodin (ty generuje telefonní automat) zaslán vždy další bit v pořadí msb...lsb počínaje adresou nula. Pomocí operace reset je možné kdykoliv nulovat vnitřní čítač karty a číst ji znovu od začátku. Poslední ze zmíněných akcí, kterou je zápis jednotky, se používá při odpisu impulzu. Ačkoliv by to mělo být z daného obrázku patrné, pro jistotu ještě dodávám, že operace zápisu a čtení využívají stejný čítač adres. Pokud tedy chceme nějaký bit nastavit do hodnoty logická 1, pak nejdříve musíme pomocí n taktů hodin nastavit adresu na danou pozici a poté provést zápis. To, jestli se po skončení zápisu přesune čítač na další bit nebo ne, je dáno tím, zda spádová hrana hodin přijde před (nebo současně se) spádovou hranou signálu R´/W nebo až po ní. V prvním případě zůstane hodnota čítače nezměněna, zatímco ve druhém případě se tento ukazatel přesune na další bit. Kartu ST1200 chrání před hackerskými útoky především princip, na kterém je založena její paměť. Celý trik bránící nežádoucímu :-) dobíjení karty je zde vystavěn na tom, že použitá paměť je typu EPROM. To znamená, že pomocí komunikačního protokolu (a potažmo elektronického působení vůbec) je do ní možné zapsat pouze hodnotu jedna (prakticky to asi bude invertovaná nula). Daný bit reprezentující telefonní jednotku tak můžeme pouze odpálit bez možnosti návratu zpět. Čistě teoreticky by mělo být možné kartu po odleptání ochranných pryskyřic a po následném vystavení tvrdému UV záření smazat. Tato věc má však jeden háček, a tím je pojistka (FUSE) chránící oblast hlavičky před zápisem. Ta je propálena při výrobě karty po naprogramování hlavičkové části. Pokud bychom tedy kartu výše popsaným způsobem smazali, pak bychom zároveň přišli o hlavičku, kterou by už díky zmíněné pojistce nebylo možné obnovit. Dodejme ještě, že tato pojistka také úspěšně brání zvýšení počátečního počtu jednotek zapsáním jedničky do 24. bitu hlavičky (z 50jednotkové karty bychom tak vyrobili 150jednotkovou). At tak či onak, přes nějaké ošálení vytelefonované karty cesta za bezplatnými telefonáty zjevně nevede. Samozřejmě, mohly se vyskytnout ojedinělé případy, kdy se různým trápením karty podařilo část jednotek obnovit, ale to jsou spíše světlé výjimky. Hlavní cesta k napadení systémů založených na těchto kartách nevede přes manipulaci s existující kartou, nýbrž přes vytvoření vlastního exempláře. Zde bych se rád zaměřil na dva základní typy těchto padělků s možným naznačením obranných mechanizmů, které na ně zabírají. První typ, označovaný podle svého vzhledu jako vrabčí hnízdo, v podstatě představuje napodobení karty pomocí stejných stavebních prvků, z jakých se skládá originál. Najdeme zde tedy čítač adres, paměť EEPROM a něco málo kombinační logiky kolem. Hlavní nevýhoda těchto padělků vyplývá z toho, že klasická součástková základna je přece jen o něco málo větší než původní čip na kartě. I když zruční hackeři většinou všechny obvody dovedně zbrousí a zalepí do celistvého bloku ukrytého na spodní straně karty, přece jen je na první pohled vidět, že jde o padělek. Navíc do automatů firmy Landis&Gyr (ty novější modré s kovovou stříbrnou klávesnicí) není možné tyto karty vzhledem k jejich rozměrům zastrčit. Tam, kde by snad selhaly mechanické ochrany, kartu tohoto typu většinou spolehlivě odhalí detektor kovů a magnetického pole (pokud pracuje tak, jak má) Druhý typ padělků používá oblíbené procesory PIC 16C84 či podobné, které mají tu zásadní výhodu, že po zbroušení je lze bez větších problémů zalepit přímo do původní karty. Odpadají tak starosti s mechanickými zábranami. Na tyto karty s těmito procesory jsou většinou krátké i detektory kovů a magnetického pole. Na první pohled tedy samé výhody a mohlo by se zdát, že tyto karty jsou neodhalitelné. To však neplatí zcela stoprocentně, neboť jejich hlavní problém se jmenuje rychlost! Zatímco vrabčí hnízda mohou bez problémů pracovat na zhruba stejných frekvencích jako originální karty, zde to díky nezanedbatelné délce instrukčního cyklu dost dobře není možné. Navíc tyto karty musí mít problémy s ošetřením takzvaných asynchronních událostí. To je okamžik, při kterém se najednou mění více vstupních signálů. Zatímco kombinační logika vrabčího hnízda takové stavy hravě zvládá, procesorem řízený model na nich většinou úspěšně pohoří. Jedna taková vychytávka týkající se atypického resetování je uvedena v zobrazeném komunikačním protokolu. Podle internetovských undergroundových zdrojů byl tento průběh dlouhou dobu příčinou bezesných nocí mnoha hackerů.

Protokol telefonní karty

Tolik článek Chipu, následují mé vlastní poznatky

Je to pravda. Ten komunikační protokol funguje, zkoušel jsem to. Telefonní karty se od začátku patrně nezměnily. I ta nejstarší a ještě nevybitá funguje v nových automatech. Starší telefonní automaty nemají žádné detektory kovů a magnetického pole, o těch nových moc nevím. Mohou mít tyto detektory a navíc mohou mít měřič kapacit (kapacity vstupů se u originálu a padělku liší). Nutno zohlednit při stavbě falešné karty! Použití procesoru se raději vyhneme, málokdo má potřebné vybavení. Naproti tomu vrabčí hnízdo zvládne každý, kdo se trochu zajímá o číslicovou elektroniku. Musíme se však vypořádat s některými problémy, hlavně pokud kartu hodláme používat v nových typech telefonů.

Vlastní stavba

Jistě se všichni netrpělivě těšíte na schéma zapojení falešné karty alias vrabčího hnízda. Tak tady je. Zapojení jsem navrhl tak, aby přesně respektovalo komunikační protokol. Sem je to tedy bez problémů.

Čtečka telefonních karet

Seznam součástek

Postup stavby

Zapojení možno postavit na desce univerzálního tištěného spoje, protože je poměrně jednoduché. Čím menší, tím lépe. Místo EEPROM dejte patici, do které se EEPROM zasadí po naprogramování. Zatím to nepřipojujte ke kartě, k tomu teprve dojdeme.

Naprogramování EEPROM

Jsou dvě možnosti, jak ji naprogramovat. První (a tu preferuji) spočívá v tom, že do EEPROM zkopírujeme obsah běžné telefonní karty, ze které je odtelefonovaná jedna jednotka. Zařízení k tomu nutné si samozřejmě budete muset udělat, ale je velice jednoduché a EEPROM s ním můžete dobíjet vždy, když ji vytelefonujete. Výhodou je, že se obejdete bez drahého programovacího zařízení apod. Druhá možnost je programovat EEPROM v programamátoru. K tomu potřebujete vědět, co do ní naprogramovat. Zde je výpis obsahu jedné mé 50jednotkové karty, jedna jednotka je již odepsána. Naprogramujte tedy přesně toto:

10111010100000110001000001010010 01000000011001011100100001001100 00010000101100110001000101010101 11100000000000000000000000000000 00000000000000000000000000000000 00000000000000000000000000000000 00000000000000000000000000000000 00000000000000000000000000000000

Je také možné si obsah karty vymyslet s pomocí tabulky paměťové mapy, nebo si zhotovit čtečku telefonních karet.

Obrana proti měřiči kapacit

Je to sviňárna! Bránit se může jen ten, kdo sám vlastní digitální měřič kapacit. Náš výrobek bude mít mezi vývody samozřejmě vyšší kapacitu než originál. Proto použijeme drobné cívky napojené těsně ke kontaktním ploškám naší karty (viz obr.). Cívečky musí mít vhodnou indukčnost, aby kompenzovaly vyšší kapacity dalších obvodů. Tady je vlastní měřák kapacit asi nutností (to vše za předpokladu, že telefon opravdu kapacity měří! Možná, že ne! To já nevim.). Pro zvýšení indukčnosti cívek je možné použít pilin z feritového jádra. Pokud budete falešnou kartu používat pouze ve starších typech telefonů, tato starost odpadá.

Obrana proti detektoru kovů a mag. pole

Opět není jisté, zda nové telefony tímto detektorem disponují, ale asi ano. Starší telefony ne, tam je to bez starostí. Zde je jedno jediné účinné řešení. Používat co nejtenčích drátků, tenčí než vlas. Ty pak vést k nejbližšímu okraji karty. Rovněž cívky na kompenzaci kapacit by zde byly na obtíž, proto je umístíme pod kontaktní plošky, odkud před tím odpreparujeme originální čip.

Dokončení

Tím se dostáváme ke konečnému bodu realizace. Použijeme tedy vytelefonovanou kartu a vyjmeme kontaktní plošky včetně čipu. Ten zahodíme. Nyní ke kontaktním ploškám přiděláme tenké drátky a to tak, že je přilepíme malým množstvím vodivého lepidla. Jinak NE! Drátky vedeme co nejkratší cestou do míst, kde byl čip a zde je zkroutíme jako na obr. a tím vytvoříme cívky. Musí ovšem být co najdál od sebe a přitom "schované" pod kontaktními ploškami! Toto uspořádání uvedeme do mechanicky stálého stavu nanesením vrstvy NEVODIVÉHO lepidla apod. Drátky vedeme pod izolepou k nejbližšímu okraji karty a odtud co nejrychleji ven. Drátky nutno zajistit proti potrhání a zkratu. Venku, prakticky mimo kartu, pak drátky připojíme na zařízení sestavené podle schématu. Pokud je EEPROM naprogramovaná a vše je v pořádku, můžeme telefonovat. Jednotky samozřejmě budou ubývat, takže EEPROM budeme opakovaně programovat.

Důvody, proč to nemusí fungovat

Jelikož v následujících bodech nejsem dostatečně informován, uvádím je zde jako možné příčiny neúspěchu s tím, že se mi ozve někdo, kdo aspoň něco vyjasnil. 1.Při odpisu jednotky je na pinu DATA hodnota logická 0 2.Obvody mají velkou spotřebu proudu 3.Telefon využívá nedokumentované zvláštnosti chování komunikačního protokolu Bleee! To je vše. Dotazy, náměty, připomínky - v pici ;) Závěrem: padělané telefonní karty existují a fungují, nedávno kvůli tomu někoho zavřeli (ne, tohle nepíšu v cele).

Napojení se na sousedovu linku Výhodu mají obyvatelé panelových domů, ale pro ostatní tato možnost není vyloučena. Jistě jste si všimli, že kabely od jednotlivých telefonů se sbíhají do takové krabice, od které vede kabel do země (a do ústředny). Tyto krabice bývají nejčastěji na sloupech nebo v paneláku v suterénu. Pokud se vám podaří tuto krabici otevřít (což někdy není problém), najdete tam svorkovnici, ke které jsou připojeny telefony. Když zjistíte, které dráty jsou od vašeho telefonu, stačí je přepojit na souseda a jeho dráty napojit místo vašich. V tu chvíli vlastníte sousedovo telefonní číslo a vše, co provoláte, jde na jeho účet. Předpokládá se, že soused nebude doma! Jednoduché, účinné! Napojit se tímto způsobem na telefonní budku nedoporučuji. Budky mají v ústředně vlastní počítadla.

Konkurence SPT Telecom Jak již jsem se zmínil, u konkurence se pro spojení telefonu s ústřednou používá bezdrátový přenos. To má jednu výhodu: můžete odposlechnout sousedovo logování do ústředny a poté volat na jeho účet a nikdo vás nezjistí. To je ale vše, co o tom vím. Pokud víte víc, napište, můžem to tady rozebrat!

Ricrdsson | 09.3.2009, 20:39 | trvalý odkaz

Komentáře:

Autor:
E-mail: WWW:
Obsah příspěvku:

[ANTISPAM] 2+2=  

Běží na blogovacím systému Xicht.cz