|
Funeral
#1.5
31 октября 1999 |
|
Iron - взлом телефонных карт для бесконечных звонков.
music:Midisoft/Energy Minds (C) 1998 Ьу Alien AKA Dimik ---------------------------------FUNeral-- ОТ АВТОРА
ция не может являться конфиденциальной, и ее публикация не является нарушением чьих- либо прав, т.к. это всего лишь перевод на русский язык и выжимка из открытых между- народных стандартов, а также описание конкретных принципов работы отдельно взя- той таксофонной карты. Я не использовал никаких внутренних служебных документов компании "CПT". Это результат моих иссле- дований. При желании любой человек может проделать всю эту работу и придти к анало- гичным выводам. Я всего лишь хочу сэконо- мить время людям, интересующимся современ- ными карточными технологиями. Автор не не- сет ответственности за использование дан- ного документа кем-либо в противозаконныx целях, и за убытки, понесенные при исполь- зовании изложенной информации. Эту инфор- мацию можно использовать в любых законных целях без ограничений. Если у Вас есть, что добавить или уточнить, просьба сооб- щить мне. По всем вопросам можно писать мне на адрес dimik@infopro.spb.su ВВЕДЕНИЕ Не так давно на Российского потребителя обрушился целый поток новых платежныx средств: таксофонные карты,магнитные карты метро, банковские карты, и т.д. Коснемся пока только таксофонных карт. Наверное, каждый задавался вопросом, как же устроена и как работает таксофонная карта, и можно ли ее обмануть. Ответ на второй вопрос по- ка умолчим, а вот на первый попробуем от- ветить в доступной и популярной форме. В данном документе приведен только алгоритм чтения карточек, но ничего не сказано про их запись, то есть про сам процесс умень- шения количества оставшихся единиц. Пос- кольку эксперименты с уменьшением соб- ственных денег мне по понятным причинам проводить не хочется, информация по этому поводу у меня скудна и не проверена. Пос- кольку при желании наиболее общую информа- цию можно найти в Интернете, то разговор пойдет конкретно про таксофонные карты компании "Санкт-Петербургские таксофоны". Для других карт приведенная информация мо- жет не соответствовать действительности. Если Вы захотите разобраться в работе так- софонныx карточек в своем городе, то жела- тельно сначала прочитать документ на ftp://nic.funet.fi/pub/doc/telecom/phonecard/chips, где описаны наиболее часто встречающиеся в мире карточки. Таксофонная карта соответствует стандарту ISO 7816 в части 1 и 2. ISO 8716-1:1987 Карточки идентификационные. Карточки на интегральных схемах с контактами. Часть 1. Физические характерис- тики. CTK 1 код B 4 с. изд.1 ISO 8716-2:1988 Карточки идентификационные. Карточки на интегральных схемах с контактами. Часть 2. Размеры и расположение контактов. CTK 1 код D 7 с. изд.1 Кристалл на карте представляет собой электрически программируемое ПЗУ с после- довательным побитным выводом информации, изготовленное по технологии NMOS. В этом ПЗУ используется 128 бит. Чтобы перепрог- раммировать карту, нужно стереть информа- цию из ПЗУ, но чип защищен от ультрафиолетового облучения специальной смолой. Даже если Вам удастся стереть чип, то нужно будет перепрограммировать спе- циальную область производителя - первые 64 бита, а она защищена от записи плавким предохранителем, который пережигается на фабрике при производстве чипа. Основной способ обмана таксофонов - изготовление эмуляторов, т.е. устройств, эмулирующих работу настоящей карты. Это довольно легко сделать на современных однокристальных ми- кроЭВМ. Основной способ защиты таксофонов от таких эмуляторов - измерение межэ- лектродныx сопротивлений, емкостей и срав- нение их с номинальными, что позволяет таксофону отличить эмулятор от настоящей карты. РАСПОЛОЖЕНИЕ И НАЗНАЧЕНИЕ КОНТАКТОВ НА КАРТЕ. ,-------------+-------------, │ 1 │ 5 │ +------- │ /-------+ │ 2 +----+ + б │ +--------│ │--------+ │ 3 +----+----+ 7 │ +-------/ │ -------+ │ 4 │ 8 │ '-------------+-------------' 1 : VCC = 5V - Питание 2 : Reset (входной) - Сигнал инициализации карты. 3 : Clk (входной) - Тактовые импульсы 4 : Не используется 5 : GND (земля) 6 : Не используется 7 : I/O - (вход и выход) - Побитовый ввод и вывод с карты. 8 : Не используется Все сигналы соответствуют ТТЛ уровням. Обратите внимание, что центральная плас- тинка соединена с землей. ЧТЕНИЕ ИНФОРМАЦИИ С КАРТЫ Внутри карточки находится счетчик адреса разрядностью 9 бит. То есть после чтения каждых 512 бит все начинается сначала. Счетчик может быть только увеличен. Если Вы хотите считать бит с адресом меньше те- кущего, то счетчик нужно сбросить в 0, а затем увеличить до необходимого значения. Операция сброса выглядит так: Надо устано- вить высокий уровень сигнала Reset (2 кон- такт карты), а затем установить и сбросить сигнал Clk. После сброса сигнала Reset на выходе (7 контакт карты) будет доступен бит с адресом 0. _____________ _____│ │_______________________________ Reset : : : ____ : ____ ____ ____ _____:_____│ │__:_│ │____│ │____│ │____ Clk : : : : : : : : : _____:_____:_______:_:____:____:____:____:____:_____ _____:__n__│___0___:_│____1____│____2____│____3_____ Address : : : : : _____: :______:_________:_________:_____ _____ХХХХХХХХХХХХХХХ______│_________│_________│_____ Data Bit n Bit 0 Bit 1 Bit 2 Bit 3 Теперь нужно подавать тактовые импульсы на вход Clk (3 контакт карты). По фронту импульса происходит увеличение на единицу внутреннего счетчика адреса. По спаду так- тового импульса следующий бит данных появ- ляется на выходе. Обычно удобнее представ- лять информацию в виде байтов. Для этого каждые 8 считанных бит группируют в байт, считая, что первым считывается наименее значащий бит. Таким образом, последова- тельно считывая 1,0,0,1,0,1,1,1, получим байт OxE9. ЧТЕНИЕ ЧЕРЕЗ ПАРАЛЛЕЛЬНЫЙ ПОРТ КОМПЬЮТЕРА Поскольку все сигналы соответствуют уровню ТТЛ, то логично использовать для чтения информации обыкновенный принтерный порт. Не думаю, что надо приводить здесь полное техническое описание работы парал- лельного порта, назначение контактов и описание портов ввода-вывода - это все можно найти в специальной технической ли- тературе. АППАРАТНЫЕ СРЕДСТВА Аппаратные средства представляют собой ответную часть разъема параллельного пор- та, кусок монтажного провода и считывающее устройство, которое может представлять со- бой обыкновенный кусок текстолита с отвер- стиями, в которые вставлены штырьки. Прав- да, в этом случае карточку надо будет при- жимать руками. Соединим контакты парал- лельного порта с контактами карточки в соответствии с приведенной таблицей: параллельный порт ╎ карточка --------------------╎---------- 2 : D0 (выходной) ╎ 2 : Reset 3 : D1 (выходной) ╎ 3 : Clk 11 : Busy (входной) ╎ 7 : I/O 25 : Gnd ╎ 5 : Gnd Здесь не указан контакт 1 карточки - пи- тание +5В. Его можно взять с разъема кла- виатуры или просто от батарейки. ПРОГРАММНЫЕ СРЕДСТВА Используем порт LPT1. Запись в принтер- ный порт осуществляется через порт 0x378. Записанный байт появляется на выходных контактах. Мы используем бит 0 для сигнала Reset и бит 1 для сигнала Clk. Чтение вы- полняется через порт 0x379. В самом стар- шем бите появится инвертированное значение с входного контакта 11 (Busy). Короче, го- товая программа лежит в файле readcard.c. ЧТО ИМЕННО ЗАПИСАНО НА КАРТЕ Теперь мы и подошли к самому интересному месту - назначению каждого бита, записан- ного на карте. Естественно, что на картах других городов это назначение будет дру- гим, но мы, как обещали, говорим о питер- ских карточках. На карточке используются только 16 байт. Все остальные равны OxFF. В процессе исследований было считано около 300 карточек. ПРИМЕРЫ ПАМЯТИ КАРТ Эта карта на 50 единиц закончилась. Номер 0050415503. Годна до 30.09.98 E9, 30, FF, 01, F1, E2, 80, C0 00, 00, 00, 00, 00, FF, 18, EA Эта карта на 400 единиц также пуста. Но- мер 0400155921. Годна до 30.09.98 E9, 30, FF, 01, 88, A7, 9B, E8 00, 00, 00, 00, 00, FF, D9, 79 Вот карта на 1000 единиц. Осталось 998. Номер 1000013039. Годна до 31.12.99 E9, 30, FF, 01, F7, 3F, 59, DC 00, 01, 7F, 0F, 3F, FF, 68, 6B Потом я позвонил по этой карте. Осталось 6 единиц. E9, 30, FF, 01, F7, 3F, 59, DC 00, 00, 00, 00, 3F, FF, 68, 6B Наконец, она закончилась. E9, 30, FF, 01, F7, 3F, 59, DC 00, 00, 00, 00, 00, FF, 68, 6B НАЗНАЧЕНИЕ ПОЛЕЙ 1. Первые 4 байта - какой-то идентифика- тор. На всех картах E9, 30, FF, 01. 2. Следующие 4 байта - серийный номер кар- ты. Расположив биты в байтах в обратном порядке, а затем и сами байты, получим 32 разрядное целое без знака. К примеру, бай- ты F7, 3F, 59, DC с обратным порядком бит выглядят как EF, FC, 9A, 3B. Получим номер карты OxЗB9AFCEF или 1000013039 в десятич- ном виде. Нетрудно заметить, что номер, напечатанный на карте, всегда состоит из 10 цифр, а первые 4 цифры - емкость кар- точки. 3. Следующие 5 байт - количество единиц, оставшихся на карточке. Формат хранения очень интересный: используется количество единичных битов в байте, начиная с младше- го. Соответственно значение байта 07 соответствует 3 единицам, значение 1F - пяти, а 7F - семи единицам. Максимальное количество единиц, хранящихся в байте - семь. Соответственно используется восьме- ричная система счисления. Таким образом, байты 00, 01, 7F, 0F, 3F соответствуют 01746 в восьмеричной системе или 998 еди- ниц в десятичной системе. Максимальное ко- личество единиц может выражаться числом 77777 в восьмеричной или 32767 в десятич- ной системе. 4. Следующий байт всегда равен FF. Похоже, он не используется. 5. Два последних байта, по-видимому, выра- жают CRC или другой контрольный код для первых 8 постоянных байт, т.к. при расхо- довании единиц они не меняются, но на каж- дой карточке они свои. Пока их назначение не ясно. Обнаружилось, что срок годности не запи- сан на карте. По всей видимости, он как-то связан с номером карты. Возможно, каждому сроку годности соответствуют определенный диапазон номеров. Как уже говорилось, из 10 цифр номера первые 4 выражают емкость карты. Остав- шиеся 6 не идентифицируют карту однознач- но, т.к. уже выпущено более миллиона карт. сроку годности соответствуют определенный диапазон номеров. Как уже говорилось, из 10 цифр номера первые 4 выражают емкость карты. Остав- шиеся 6 не идентифицируют карту однознач- но, т.к. уже выпущено более миллиона карт. Всего при подобной системе нумерации может существовать 6 миллионов карт: На 25 единиц с номерами от 0025000000 до 0025999999. На 50 единиц с номерами от 0050000000 до 0050999999. На 100 единиц с номерами от 0100000000 до 0100999999. На 200 единиц с номерами от 0200000000 до 0200999999. На 400 единиц с номерами от 0400000000 до 0400999999. На 1000 единиц с номерами от 1000000000 до 1000999999.
риведенная в этом документе информа-
Другие статьи номера:
Похожие статьи:
В этот день... 25 апреля