Telefonování zdarma
Zfalšování telefonní karty
Rozebereme si to hezky po pořádku. Pro méně zasvěcené nejprve článek z Chipu 5/97, str. 180: …Od telefonních karet není možné očekávat nic víc nežli obyčejnou paměť. Zbývá se jen podívat na to, jak je tato paměť organizována a jak se s ní pracuje. V případě této karty (té naší české) jde o 256 bitů paměti typu EPROM, jejíž strukturu je možné vidět v tabulce. Paměťová mapa EPROM telefonních karet typu 1
Bajt číslo Bit číslo Význam
1 1-8 kontrolní součet: X=216-součet hodnot bitů 9-96
2 9-16 $83 (karta typu 1)
3-4 17-32 $8XXX – celkový počet kreditů + 2 v BCD kódu, např. $8012 pro 10 kreditů, $8152 pro 150 kreditů
5 33-40 kód výrobce
6-10 41-80 sériové číslo
11 81-88 konstanta $11 (nedokumentováno)
12 89-96 kód země ($55 Česká republika)
13-31 97-248 První dva ze 152 bitů v této oblasti slouží pro testovací účely, ostatní jsou vybrané (1) a nevybrané (0) kredity (telef. impulzy)
32 249-256 $00 nebo zvláštní účely
Zde vidíme, že prvních 96 bitů paměti tvoří hlavičku, která v sobě nese takové informace, jako je počet jednotek, sériové číslo, kontrolní součet atd. Zbylých 160 bitů paměti se označuje jako pole jednotek a slouží k zaznamenávání počtu protelefonovaných impulzů. Ty se zde zaznamenávají v podobě jednotkových bitů, přičemž platí, že co jeden bit nastavený na jedničku, to jedna odepsaná jednotka. Dále platí nepsané pravidlo, že blok jednotkových bitů by měl tvořit souvislou posloupnost od počátku pole jednotek. Za zmínku též stojí fakt, že první dvě jednotky jsou vždy odepsány už při výrobě karty jako součást výstupní kontroly. Při bližší prohlídce hlavičky zjistíte, že díky tomuto testování jsou karty vždy vyráběny na počet jednotek, který je o 2 vyšší než je hodnota vyražená na obalu karty. Přímo z právě popsané struktury těchto karet (dalo by se vlastně říkat též pamětí) je ihned patrné, proč se prodávají karty na max. 150 jednotek. Víc by se jich totiž na kartu nevešlo. Proč 150 a ne 158? To proto, že poslední bajt z pole jednotek je vyhrazen pro zvláštní účely (označení prázdné karty apod.)
Nyní, když už víme, jaké informace a jak jsou v kartě ST1200 uloženy, zbývá pouze dořešit otázku přístupu k této paměti. Pro tento účel se používá jednoduchý sériový protokol, se kterým je možné provádět tři základní operace: resetovat kartu, provést přesun na další bit a nastavit daný bit do stavu logická 1. První dvě operace jsou určeny zejména ke čtení obsahu karty, kdy je na výstupní pin DATA v synchronizaci se spádovou hranou hodin (ty generuje telefonní automat) zaslán vždy další bit v pořadí msb…lsb počínaje adresou nula. Pomocí operace reset je možné kdykoliv nulovat vnitřní čítač karty a číst ji znovu od začátku. Poslední ze zmíněných akcí, kterou je zápis jednotky, se používá při odpisu impulzu. Ačkoliv by to mělo být z daného obrázku patrné, pro jistotu ještě dodávám, že operace zápisu a čtení využívají stejný čítač adres. Pokud tedy chceme nějaký bit nastavit do hodnoty logická 1, pak nejdříve musíme pomocí n taktů hodin nastavit adresu na danou pozici a poté provést zápis. To, jestli se po skončení zápisu přesune čítač na další bit nebo ne, je dáno tím, zda spádová hrana hodin přijde před (nebo současně se) spádovou hranou signálu R’/W nebo až po ní. V prvním případě zůstane hodnota čítače nezměněna, zatímco ve druhém případě se tento ukazatel přesune na další bit. Kartu ST1200 chrání před hackerskými útoky především princip, na kterém je založena její paměť. Celý trik bránící nežádoucímu 
dobíjení karty je zde vystavěn na tom, že použitá paměť je typu EPROM. To znamená, že pomocí komunikačního protokolu (a potažmo elektronického působení vůbec) je do ní možné zapsat pouze hodnotu jedna (prakticky to asi bude invertovaná nula). Daný bit reprezentující telefonní jednotku tak můžeme pouze odpálit bez možnosti návratu zpět. Čistě teoreticky by mělo být možné kartu po odleptání ochranných pryskyřic a po následném vystavení tvrdému UV záření smazat. Tato věc má však jeden háček, a tím je pojistka (FUSE) chránící oblast hlavičky před zápisem. Ta je propálena při výrobě karty po naprogramování hlavičkové části. Pokud bychom tedy kartu výše popsaným způsobem smazali, pak bychom zároveň přišli o hlavičku, kterou by už díky zmíněné pojistce nebylo možné obnovit. Dodejme ještě, že tato pojistka také úspěšně brání zvýšení počátečního počtu jednotek zapsáním jedničky do 24. bitu hlavičky (z 50jednotkové karty bychom tak vyrobili 150jednotkovou). At tak či onak, přes nějaké ošálení vytelefonované karty cesta za bezplatnými telefonáty zjevně nevede. Samozřejmě, mohly se vyskytnout ojedinělé případy, kdy se různým trápením karty podařilo část jednotek obnovit, ale to jsou spíše světlé výjimky. Hlavní cesta k napadení systémů založených na těchto kartách nevede přes manipulaci s existující kartou, nýbrž přes vytvoření vlastního exempláře. Zde bych se rád zaměřil na dva základní typy těchto padělků s možným naznačením obranných mechanizmů, které na ně zabírají. První typ, označovaný podle svého vzhledu jako vrabčí hnízdo, v podstatě představuje napodobení karty pomocí stejných stavebních prvků, z jakých se skládá originál. Najdeme zde tedy čítač adres, paměť EEPROM a něco málo kombinační logiky kolem. Hlavní nevýhoda těchto padělků vyplývá z toho, že klasická součástková základna je přece jen o něco málo větší než původní čip na kartě. I když zruční hackeři většinou všechny obvody dovedně zbrousí a zalepí do celistvého bloku ukrytého na spodní straně karty, přece jen je na první pohled vidět, že jde o padělek. Navíc do automatů firmy Landis&Gyr (ty novější modré s kovovou stříbrnou klávesnicí) není možné tyto karty vzhledem k jejich rozměrům zastrčit. Tam, kde by snad selhaly mechanické ochrany, kartu tohoto typu většinou spolehlivě odhalí detektor kovů a magnetického pole (pokud pracuje tak, jak má) Druhý typ padělků používá oblíbené procesory PIC 16C84 či podobné, které mají tu zásadní výhodu, že po zbroušení je lze bez větších problémů zalepit přímo do původní karty. Odpadají tak starosti s mechanickými zábranami. Na tyto karty s těmito procesory jsou většinou krátké i detektory kovů a magnetického pole. Na první pohled tedy samé výhody a mohlo by se zdát, že tyto karty jsou neodhalitelné. To však neplatí zcela stoprocentně, neboť jejich hlavní problém se jmenuje rychlost! Zatímco vrabčí hnízda mohou bez problémů pracovat na zhruba stejných frekvencích jako originální karty, zde to díky nezanedbatelné délce instrukčního cyklu dost dobře není možné. Navíc tyto karty musí mít problémy s ošetřením takzvaných asynchronních událostí. To je okamžik, při kterém se najednou mění více vstupních signálů. Zatímco kombinační logika vrabčího hnízda takové stavy hravě zvládá, procesorem řízený model na nich většinou úspěšně pohoří. Jedna taková vychytávka týkající se atypického resetování je uvedena v zobrazeném komunikačním protokolu. Podle internetovských undergroundových zdrojů byl tento průběh dlouhou dobu příčinou bezesných nocí mnoha hackerů.
Tolik článek Chipu, následují mé vlastní poznatky:
Je to pravda. Ten komunikační protokol funguje, zkoušel jsem to. Telefonní karty se od začátku patrně nezměnily. I ta nejstarší a ještě nevybitá funguje v nových automatech. Starší telefonní automaty nemají žádné detektory kovů a magnetického pole, o těch nových moc nevím. Mohou mít tyto detektory a navíc mohou mít měřič kapacit (kapacity vstupů se u originálu a padělku liší). Nutno zohlednit při stavbě falešné karty! Použití procesoru se raději vyhneme, málokdo má potřebné vybavení. Naproti tomu vrabčí hnízdo zvládne každý, kdo se trochu zajímá o číslicovou elektroniku. Musíme se však vypořádat s některými problémy, hlavně pokud kartu hodláme používat v nových typech telefonů
Vlastní stavba
Jistě se všichni netrpělivě těšíte na schéma zapojení falešné karty alias vrabčího hnízda. Tak tady je. Zapojení jsem navrhl tak, aby přesně respektovalo komunikační protokol. Sem je to tedy bez problémů.
Seznam použitých součástek: IO1 – paměť typu EEPROM, 256 bit. Nevím, co se vám podaří sehnat, musíte případně podle toho upravit schéma. IO2 – běžný 8 bit čítač do 256. Možno použít dva 4 bit. IO3 – dvě hradla AND a dva invertory (NOT) C1 – keramický kondenzátor 100nF a více. Pro odrušení. L1 – cívečka, která má eliminovat vliv C1 na kapacitu mezi výstupy karty +5V a GND.
Postup stavby
Zapojení možno postavit na desce univerzálního tištěného spoje, protože je poměrně jednoduché. Čím menší, tím lépe. Místo EEPROM dejte patici, do které se EEPROM zasadí po naprogramování. Zatím to nepřipojujte ke kartě, k tomu teprve dojdeme.
Naprogramování EEPROM
Jsou dvě možnosti, jak ji naprogramovat. První (a tu preferuji) spočívá v tom, že do EEPROM zkopírujeme obsah běžné telefonní karty, ze které je odtelefonovaná jedna jednotka. Zařízení k tomu nutné si samozřejmě budete muset udělat, ale je velice jednoduché a EEPROM s ním můžete dobíjet vždy, když ji vytelefonujete. Výhodou je, že se obejdete bez drahého programovacího zařízení apod. Druhá možnost je programovat EEPROM v programamátoru. K tomu potřebujete vědět, co do ní naprogramovat. Zde je výpis obsahu jedné mé 50jednotkové karty, jedna jednotka je již odepsána. Naprogramujte tedy přesně toto:
10111010100000110001000001010010
01000000011001011100100001001100
00010000101100110001000101010101
11100000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
00000000000000000000000000000000
Je také možné si obsah karty vymyslet s pomocí tabulky paměťové mapy, nebo si zhotovit čtečku telefonních karet.
Obrana proti měřiči kapacit
Je to sviňárna! Bránit se může jen ten, kdo sám vlastní digitální měřič kapacit. Náš výrobek bude mít mezi vývody samozřejmě vyšší kapacitu než originál. Proto použijeme drobné cívky napojené těsně ke kontaktním ploškám naší karty (viz obr.). Cívečky musí mít vhodnou indukčnost, aby kompenzovaly vyšší kapacity dalších obvodů. Tady je vlastní měřák kapacit asi nutností (to vše za předpokladu, že telefon opravdu kapacity měří! Možná, že ne! To já nevim.). Pro zvýšení indukčnosti cívek je možné použít pilin z feritového jádra. Pokud budete falešnou kartu používat pouze ve starších typech telefonů, tato starost odpadá.
Obrana proti detektoru kovů a mag. pole
Opět není jisté, zda nové telefony tímto detektorem disponují, ale asi ano. Starší telefony ne, tam je to bez starostí. Zde je jedno jediné účinné řešení. Používat co nejtenčích drátků, tenčí než vlas. Ty pak vést k nejbližšímu okraji karty. Rovněž cívky na kompenzaci kapacit by zde byly na obtíž, proto je umístíme pod kontaktní plošky, odkud před tím odpreparujeme originální čip.
Dokončení
Tím se dostáváme ke konečnému bodu realizace. Použijeme tedy vytelefonovanou kartu a vyjmeme kontaktní plošky včetně čipu. Ten zahodíme. Nyní ke kontaktním ploškám přiděláme tenké drátky a to tak, že je přilepíme malým množstvím vodivého lepidla. Jinak NE! Drátky vedeme co nejkratší cestou do míst, kde byl čip a zde je zkroutíme jako na obr. a tím vytvoříme cívky. Musí ovšem být co najdál od sebe a přitom „schované“ pod kontaktními ploškami! Toto uspořádání uvedeme do mechanicky stálého stavu nanesením vrstvy NEVODIVÉHO lepidla apod. Drátky vedeme pod izolepou k nejbližšímu okraji karty a odtud co nejrychleji ven. Drátky nutno zajistit proti potrhání a zkratu. Venku, prakticky mimo kartu, pak drátky připojíme na zařízení sestavené podle schématu. Pokud je EEPROM naprogramovaná a vše je v pořádku, můžeme telefonovat. Jednotky samozřejmě budou ubývat, takže EEPROM budeme opakovaně programovat.
Důvody, proč to nemusí fungovat
Jelikož v následujících bodech nejsem dostatečně informován, uvádím je zde jako možné příčiny neúspěchu s tím, že se mi ozve někdo, kdo aspoň něco vyjasnil. 1.Při odpisu jednotky je na pinu DATA hodnota logická 0 2.Obvody mají velkou spotřebu proudu 3.Telefon využívá nedokumentované zvláštnosti chování komunikačního protokolu Bleee! To je vše. Dotazy, náměty, připomínky – v pici 
Závěrem: padělané telefonní karty existují a fungují, nedávno kvůli tomu někoho zavřeli (ne, tohle nepíšu v cele).
Napojení se na sousedovu linku
Výhodu mají obyvatelé panelových domů, ale pro ostatní tato možnost není vyloučena. Jistě jste si všimli, že kabely od jednotlivých telefonů se sbíhají do takové krabice, od které vede kabel do země (a do ústředny). Tyto krabice bývají nejčastěji na sloupech nebo v paneláku v suterénu. Pokud se vám podaří tuto krabici otevřít (což někdy není problém), najdete tam svorkovnici, ke které jsou připojeny telefony. Když zjistíte, které dráty jsou od vašeho telefonu, stačí je přepojit na souseda a jeho dráty napojit místo vašich. V tu chvíli vlastníte sousedovo telefonní číslo a vše, co provoláte, jde na jeho účet. Předpokládá se, že soused nebude doma! Jednoduché, účinné! Napojit se tímto způsobem na telefonní budku nedoporučuji. Budky mají v ústředně vlastní počítadla.
Konkurence SPT Telecom
Jak již jsem se zmínil, u konkurence se pro spojení telefonu s ústřednou používá bezdrátový přenos. To má jednu výhodu: můžete odposlechnout sousedovo logování do ústředny a poté volat na jeho účet a nikdo vás nezjistí. To je ale vše, co o tom vím. Pokud víte víc, napište, můžem to tady rozebrat!
completter, anarchy@seznam.cz
Falešné karty
Existují vůbec? Mnoho lidí se stále naivně domnívá, že Telecom je bůh a jeho automaty jsou tak dokonalý, že z nich nejde volat zadarmo. Opak je samozřejmě pravdou. Kdo má IQ=10, tak zjistil, že třeba na 158 jde volat nonstop a hoši a tam jsou veselí a hravý ) … Komu jde o to, aby si zavolal někam jinam než na tyhle „hot line“, tak má několik možností:
koupit si nechutně drahou telekomáckou kartu (momentálně už 4 Kč/jednotku)
půjčovat si kartu od kámoše nebo volat z normálního telefonu
sehnat někde nekonečnou kartu
Samozřejmě, za c) je správně . Stačí jen počáteční investice a potom budete nějaký ten pátek z automatu vysmátý. Jedna věc je ale být vysmátý a druhá mít nekonečnou tlf kartu. Cena na „trhu“ se pohybuje od 2000,- výše, záleží na kolikátýho překupníka padnete. Pro někoho pakatel, pro někoho dost pěněz na to, aby si ji udělal sám. Takže jak na to co?
Musím říct, že já vlastníkem takový karty nejsem, ale rád se jím stanu. Doufám, že dál popsaný experimenty a postřehy vám poslouží k tomu, aby jste se o to začali zajímat a zkusili také experimentovat. O zkušenosti se potom můžete podělit i s ostatními.
Upozornění: Za veškeré škody, které další četbou způsobíte, si budete odpovědný sami.
Jak tedy doplnit na tlf kartu jednotky? Jedna z cest může vést přes vymazání obsahu čipu UV zářením (je to EEPROM) a jeho novým naprogramováním. Čip je však zalit umělou hmotou a pokud se na něj přece jen dostanete, tak se nepodaří znovu naprogramovat výrobní údaje, protože tato oblast je chráněna pojistkou (FUSE – vývod č.8), která je po ověření funkčnosti karty u výrobce přepálena.
Další cesta vede přes emulátor karty sestrojený buď z nějaké EEPROM nebo pomocí mikroprocesoru. Obě možnosti jsou velice jednoduchý. Automat si však testuje fyzikální vlastnosti materiálu karty a kolikrát nechce vzít ani pravou! Jak uvádí literatura, „při amatérské konstrukci je téměř nemožné v tomto směru napodobit originál“ (AR). Z toho vyplývá, že to musí dělat profík ))). Tady taky literatura končí a o další konstrukci bohužel mlčí.
Jedna možnost, jak oblafnout automat, mě napadla po seznámení s funkcí karty. Není přece nic jednoduššího, než znemožnění zápisu použité jednotky (bitu) na kartu. Přeruší-li se programovací napětí Vpp = 21V (časové průběhy jsou dole) a přivede se na něj normálních 5V, bit se nebude moci zapsat a jednotka tak neubude. Experiment ukázal, že tento způsob funguje, ale má jednu mouchu. Spíš masařku. Automat je totiž docela chytrej a jakmile zjití, že se na kartě neodečetla jednotka, okamžitě přeruší hovor a napíše porucha přístroje ).
Časové průběhy komunikace podle ISO 7816
Vlastní funkce je jednoduchá. Po vložení karty je paměť neustále načítána (0-255-0). Načtení každého bitu trvá 2×20 ms. Pro přečtení obsahu karty potřebuje 2x20x256 = 10240 ms = 10,2 s. To je teoreticky nejdelší doba, po kterou jde takto upravenou kartou volat. Pokud vám na kartě zbývá už jen pár jednotek, zkracuje se ta doba až na polovinu.
Výhoda: Upravit kartu jde za 15 minut. Stačí jen vývod č.6 zabarvit fixou a néjlépe ho ještě propojit s ploškou č.1 (+5V) nebo s č.5 (GND kdo nestaví nepochopí).
Nevýhoda: Můžete volat max. 10 s. Buď se naučte rychle mluvit nebo mužete zavolat třeba 100x. Vícekrát nedoporučuju, protože to muže začít být divný…
Jak sem se už zmínil, kartu by šlo také sestrojit (kromě jiného) pomocí emulátoru. Tento způsob je mnohem složitější, úspěch není zaručen a sám sem ho zatím nezkusil (nemam čas, ale až ho budu mít, tak to určitě zkusim). Faktem je, že na tomto principu pracují všechny nekonečný karty o kterých sem slyšel a které se taky prodávají.
Při brouzdání internetem sem narazil na pár zapojení. Tady je jedno z nich.
Tvůrce využil EEPROM, kde je uložena kopie originální karty. Emulátor by se měl chovat jako normální karta, takže se normálně odepisují jednotky. Nevýhodou je, že až se karta vyčerpá, je potřeba pamět vyjmout a znovu do ni nakopírovat obsah nové karty. Navíc se jedná o docela velký zařízení, kde jsou tři ne zrovna malý šváby. Jak autor dodává, emulátor nebyl zkoušen v provozu a krom toho má automat ještě nějaký ochrany (viz dále), takže se neví, jestli to vůbec bude fungovat… Podobných zapojení sem viděl víc, některý byly dokonce zkoušeny i v terénu, ale žádný se „nechytlo“. Telefonní budka vždycky oddolala. No uvidíme, jak dlouho to vydrží. Z toho mám takový pocit, že to dělali najaký amatéři a vůbec do toho nesvítili. S těma EEPROMkama to holt asi není jednoduchý.
Podle mě by se fungující emulátor sestrojil nejlíp pomocí nějakého jednočipového mikroprocesoru, jako je řada PIC. To jsou velice jednoduchý procesory mající pár (desítky) instrukcí. Vypadají jako trochu delší NANDy a mají jen několik nožiček. Obsahují však často dva 8-bitové porty, pamět EEPROM pro programy a data, řadič přerušení, mají různé STAND-BY módy a vyrábějí se i typy se zabudovaným A/D převodníkem. To všechno je schované v malém broučkovy, který si můžete doma naprogramovat pomocí PC. Aby jste se mohli pustit do stavby tlf karty s PICem, budete potřebovat pár věcí:
naučit se je programovat – není problém, je to docela jednoduchý (50 instrukcí, mnoho literatury (583kB), překladač (356kB) a manuál k překladači (1,39MB) – je to pro PIC16C84
sehnat programátor – na internetu se jich válí spousta. tenhle(342kB) je jednoduchý (pár součástek), připojuje se k PC a je pro PIC16C84, který je pro tyhle experimenty docela šikovnej…
sehnat slabý kuprexit (tloušťka 0,75mm), všechno to dát dohromady a obejít všechny ochrany, co jsou v automatu.
Nejtěžší bude to poslední. Kuprexit 0,75mm se schání špatně, ale můžete použít i 1mm. Zkusit to můžete třeba v GM. Největší problém je s těma ochranama (od toho asi taky jsou )). V tomto směru nevím nic jistého. Jistě vím to, že si na nich spousta „kutilů“ vylámala zuby. Z několika zdrojů (takže na tom něco bude) jsem se dověděl o induktivní ochraně. Kolem otvoru, do kterého se vkládá karta, má být namotáno několik závitů drátu. A protože konstrukce karty s mp PIC si žádá, aby ten PIC byl na kartě samozřejmě venku a nestrkal se do útrob automatu (nevejde se tam), tak uvnitř cívky poteče proud. Na cívce se bude indukovat napětí a automat pozná, že mu strkáte falešnou kartu a nepřijmeji. Líp vám to snad objasní obrázek.
Řešení tohoto problému by mělo být v natření povrchu karty vodivým lakem a jeho uzemění. Cívka pak nebude moci přes uzeměný „obal“ karty cokoliv naindukovat. Jiným řešením je umístění PICu blízko kontaktů (a tedy uvnitř automatu). Aby se tam vešel, musí se obrousit a zapustit do umělý hmoty, což je dost drastický. Další ochrana je údajně kapacitní. Automat si má kromě obsahu karty kontrolovat kapacitu mezi vývody. To by snad mělo jít kompenzovat. Další ochranou má být detekor kovů. O tom nevim nic. Posledním oříškem je rychločtení. Telecom chtěl jistotu proti těm, co zkoušejí nabodobit originální karty a udělal změny v komunikaci mezi automatem a kartou. Vím, že spousta karet po zavední této ochrany přestala fungovat. Karta je sice správně načtena, ale jakmile se má odečíst jednotka, karta je odmítnuta a spojení se přeruší. Telecom totiž zřejmě nedodržuje protokol ISO 7816, podle kterého by měla probíhat komunikace. Proto když chcete stavět tlf kartu, můžete úplně klidne zapomenout na všechny časové diagramy, co jste viděli. Správně by mohl být ten, který sem našel na jedný nejmenovaný stránce.
Jak ste si už možná všimli, průběhy jsou trošku rozdílné, co je ale hlavní, vypadají docela reálně. Zajímavá je hlavně ta poslední část – past na hackery (kdo to je???:))). Po zápisu bitu je v dalším cyklu jakýsi velice rychlý RESET, který by mohl dělat problémy. Při konstrukci karty s PICem by ten úzký impuls nemusel být zachytitelný. Mohlo by to jít ošetřit softwarově tím, že po zápisu bitu se karta automaticky resetovala po sestupné hraně hodin, aniž by kontrolovala, jestli nějaký resetovací impuls skutečně přišel.
Telefonní karty
Určitě je znáte všichni. Setkáváte se s nimi dnes a denně a to ať už v podobě klasických telefonních nebo GSM-SIM aktivačních karet. A právě o těch prvních bude dnes řeč.
Kolik z vás už asi napadlo, jestli by tu malou plastovou kartičku o rozměrech 85.6x54x0.76mm nešlo nějak „oblbnout“ a volat tak zadarmo. Teoreticky by to neměl být problém, prakticky to problém je. Proč to se dozvíte dále.
Předtím, než se podíváme na telefonní karty blíže, podívejme se trochu na historii a použití čipových karet. V polovině 80. let se objevila nová generace čipových a „smart-card“ karet (čipy do těch úplně prvních vynalezl v roce 1974 Roland Moreno). Zatímco ty první byly a jsou hloupé (a budou?), ty druhé mívají u sebe mikroprocesor nebo podobnou hračku, čili poskytují vyšší úrověň zabezpečení. Tyto karty nahradili některé magnetické kreditní karty a začali se používat ve veřejných telefonních automatech k platbě místo mincí. S kartami, které mají mikroprocesor jste se mohli setkat u bankomatů, šifrovacích karet pro kabelové TV-dekodéry (třeba německá Premiere), dále pak v podobě zdravotních karet (hlavně Anglie) a dnes nejčastěji v mobilních telefonech GSM. Rozsah použití těchto karet je velmi široký. I ty nejhloupější karty bez mikroprocesoru se dají použít třeba jako hardwarový klíč ke dveřím, auto-alarmu, ochraně dat v počítači (sestrojíte čtečku, napíšete program a pokud karta nemá správné sériové číslo „Hastala Vista Baby“)
Čipové karty se řídí normou ISO 7816. To se týká především fyzikálních vlastností a odolnosti proti mechnickým a elektromagnetickým vlivům (7816-1). Velikosti karty a umístění čipu je popsáno v části 7816-2. Konečně se dostáváme k části 7816-3, která popisuje komunikační protokoly. Ty se mohou podle druhu použití od normy velmi lišit (záleží také na výrobci). Ale zpět k hlavnímu tématu dnešního článku: Jaký je zádrhel v doplnění nových jednotek na kartu? Nebo udělat z 50jednotkové karty 150jednotkovou!!! Zádrhelů je několik. Pro doplnění nových jednotek by bylo potřeba čip (čipy v tel. kartách jsou 256bitové sériové EPROM, vyráběné technologií NMOS) vymazat UV zářením. Proti tomuto způsobu vymazání je však čip chráněn pryskyřicí, která nepropouští UV záření. Pokud by vám toto povedlo pořád nemáte vyhráno. Jak je patrné z přiložené tabulky, smazalo by se i prvních 96bitů, kde jsou uloženy výrobní údaje. Tato oblast je ale chráněna pojistkou (vývod 8 – FUSE), která je přepálena po prvním naprogramování u výrobce. Nové naprogramování použité karty je tedy nemožné, co takhle sestavit emulátor! Myšlenka pěkná, v praxi proveditelná (zvládl by to každý kdo umí pájet a nakupovat součástky), ale v automatu nefunkční. Ten si totiž otestuje i fyzikální vlastnosti karty a uznejte – podaří se vám napodobit originál? Těžko. I přesto není k zahození vědet, jak využít prázdnou kartu doma.
Stejný typ karet jako u nás se používá ve Švédsku, Finsku, Norsku, Portugalsku atd. Obdobné typy používající se např. v Německu nebo na Slovensku mají 128bitové EEPROM vyráběné technologií CMOS, složitější kódování jednotek a trochu jiné vývody. V USA zase některé telefonní společnosti využívají principu centrální evidence používaní karet, což téměř znemožní zneužití, protže na kartě je pouze číslo karty a odkaz na počítač, který pro ni vede evidenci.
0..7
kontrolní součet
8..19
831h pro telefonní karty
20..31
počet jednotek na nové
kartě v BCD kódu
32..40
kód výrobce, 00h Shlumberger,
40h Gemplus
41..79
sériové číslo
80..87
11h
88..95
kód země, 55h Česká republika
96..255
bitové pole, každé použité
jednotce odpovídá zapsaný bit
Nyní se podívejme co vlastně je na kartě. Normálně má nejvyšší hodnotu bit 1, zde je to však naopak – nejdůležitější je bit 0. Představte si situaci: přijdete k automatu, vložíte kartu (automat si kartu „přečte“, vytočíte číslo a co se děje dál? Poté, co volaný zvedne telefon, automat na kartu zapíše 1 (do části 96…255 bitů – tzv. bitové pole). Tím se na kartě odečte jednotka, ale aby to nebylo tak jednoduché, automat si kartu znovu „přečte“ a porovná s předchozím čtením. Pokud na kartě přibyl zapsaný bit, vše je v pořádku a vy voláte, pokud ne, automat přeruší spojení. Zde je možno použít malý fígl. Pokud volaný používá záznamník, nevíte jestli je doma a chtece ušetřit jednotku, stačí přelepit POUZE vývod 6 (Vpp – vstup pro zápis). Poté kartu vložit do automatu, vytočit a počkat na zvednutí. A zde nastane ta pravá sranda. Pokud volaný vezme, víte, že je doma, kartu uvedete do původního stavu a zavoláte znovu. Pokud zvedne záznamník ušetřili jste jednotku na kartě!
Vývod
Význam
Funkce
1
Vcc = 5V
napájení
2
R_/W
vstup
3
Clock
vstup
4
RESET_
vstup
5
GND = 5V
napájení
6
Vpp
vstup
7
Out
výstup
8
Fuse
* význam _ je roven negaci!
A co domácí využití karet? pokud máte vyvolanou kartu, stačí načíst její obsah, ten někam uložit a po spuštění programu požádat o vložení karty. Pokud bude vložena nesprávná karta je na vás co se stane. Bitové pole (bity 96…255) můžete libovolně upravovat pouze za použití zdroje 21V. Kontrolu karty lze pak provádět nejen podle sériového čísla, ale i podle bitového zdroje (lze tam uložit např. heslo)
