Недра таксофона


    Подопытные кролики в офисе МГТС

    Давненько хотел написать данную статью, но только после того как на хабре не так давно прошла серия статей про фрикинг и взлом таксофонов, таки решился сделать это. Это шевельнуло во мне те, давно забытые нотки. То самые, благодаря которым начал заниматься электроникой, программированием и стал, кем сейчас являюсь. В посте «Взлет и падение начинающего фрикера» в комментариях началось обсуждение конструктивных особенностей таксофонов, по этому решил опубликовать тут переработанную и дополненную статью «кишки таксофона». Разбираем, что у таксофона внутри. Не забываем, что статья 2006 года выпуска!

    Разбираемся в устройстве таксофона


    Вероятно, каждый фрикер, от начинающего до опытного, мечтает заглянуть внутрь таксофона. И не просто заглянуть, а чтобы ему еще и рассказали о том, для чего какая железка нужна, о тонкостях системы защиты. Задача почти не разрешимая. Возможно, конечно, упереть таксофон, но разобраться, как он функционирует весьма сложно. Когда работал в журнале «Хакер», пользуясь возможностью журналиста, я связался с компанией МГТС на тему написать об устройстве таксофона. И, о чудо!, телефонная компания МГТС предоставила нам такую возможность и подробно проконсультировала нас на предмет того, как же он работает. Сейчас мы развенчаем многие слухи или, наоборот, подтвердим некоторые из них.

    Встреча и знакомство


    Мы встретились с пресс-секретарём МГТС и нас повели дворами к офису МГТС. За давностью лет, не могу вспомнить географию места (это был 2006 год!). По моему было м. Бауманская. И далее нас встретили сотрудники МГТС. Мы поднялись на второй этаж, где в холле висят практически все поколения таксофонов, которые устанавливались в г. Москве


    Аллея славы

    После чего мы пришли в кабинет, и узрел рабочее место телефонных пиратов работников, которое приведено в заходнике статьи. Изначально мне отказывались показывать и рассказывать о внутренностях таксофона, но я был настойчив и гласил, что такова была договорённость встречи и в конце концов они сломались и началась экскурсия в недра!

    Подопытный кролик



    Вскрываемый объект

    Рядовой таксофон, стоящий во многих городах, оказывается, не так прост, как кажется. Это в некотором смысле полноценный компьютер, в котором реализованы все антифрикерские и антивандальные достижения технического прогресса: ударопрочный корпус; литой картоприемник, который достаточно сложно сломать; различные системы защиты от вскрытия, как программные, так и аппаратные. Для вскрытия таксофона справа у него есть кодовый замок, код которого для каждого таксофона свой. Таксофон регистрирует проникновение встроенными датчиками открытия и отзванивается на АТС, сообщая о нем. При этом монтеры должны набрать на клавиатуре таксофона секретный пароль, который и скажет АТС о том, что он был вскрыт санкционировано. Если это не будет сделано, автоматика вызовет на место наряд милиции и человек, посягнувший на таксофон, будет задержан. Аналогично работает и монетоприемник, отличие состоит лишь в том, что вместо кодового замка используется обычный замок под ключ.

    И так, мы открываем санкционировано, первое знакомство.

    Вскрываем и что же там?

    Таксофон состоит из двух частей: лицевой и начинки корпуса. Пробежимся по базовым узлам, после вскрытия:


    Раскрытый таксофон

    Итак, по пунктам:

    1. Кодовый замок
    Используется для открытия таксофона Как в сейфе, кручу-верчу — запутать хочу.
    2.Замок инкассации
    Открывает кассу для выгребания дядей мелочи. Та же петрушка, как и в замке открытия.
    3. Провод кардридера
    Служит для соединения картридера с материнской платой таксофона.
    4.Отверстие для монет
    Сюда кидается денежка
    5. Отсек возврата монет
    Сюда падает сдача или левые монеты
    6. Емкость инкассации
    Используется для хранения полученных денег
    7. Шлейф подключения линии
    Нужен для связи с АТС (боюсь, за давностью лет не вспомню, что я имел в виду, когда это писал).



    Продолжим знакомство с потрошками, перейдём к внутренностям лицевой части


    Внутренности лицевой части

    1. Криптоключ
    С его помощью проверяют, настоящая ли карточка Ниже чуть детальнее остановлюсь, что же это такое. Внешне выглядит как обычная полноразмерная SIM-карта
    2. Разъем клавиатуры
    В него вставляется шлейф от клавы
    3. Картоприемник
    Место засовывания карточки
    .Детально картридер будет разобран ниже.
    4. Коммуникационная плата
    Связывает таксофон с АТС. Вместо неё может стоять GSM модем
    5. Разъем дисплея
    К нему коннектится ЖК дисплейчик
    6. Микросхема встроенных часов
    Внутренний таймер, по нему сверяется дата карточки и время звонка на АТС Ниже можно заметить цилиндр — это батарейка.
    7. Процессор
    Мозг таксофона
    8.Датчик открытия таксофона
    Если с приятелем откроешь таксофон, то придёт пативэн
    9. Описание расположения элементов

    Схема расположения разъемов, микросхем и т.д.



    Внутренности основного корпуса


    Потрошка корпусной части

    1. Контроллер монетоприемника
    Детектирует, какая денежка упала
    2. Звуковой контроллер с динамиком
    Звучит при ошибке или в будущем будет звонить
    3. Монетоприемник
    Глотает монеты и определяет их номинал
    4. Предварительное хранилище монет
    Сначала монеты попадают в предварительное хранилище, потом ссыпаются в инкассатор
    5. Механизм возврата монет
    По этой горке монеты попадают юзеру обратно
    6.Наклейка описания


    Основные узлы


    Итак, в общих чертах мы просмотрели, как выглядит таксофон. Теперь давайте пройдёмся по его основным узлам, и узнаем для чего же они нужны. Следует заметить, что я не разработчик этого устройства.Лишь записывал со слов инженеров, так как это понял, кое что искал самостоятельно в интернете, так что данная информация может быть не совсем корректной. Рад буду, если кто-то меня поправит.

    Модем


    Модемный отсек

    В каждом московском таксофоне стоит модем, который вечером или при открытии связывается с АТС. В модеме используется микросхема 73M2921, обеспечивающая скорость обмена до 9600 бит/с. Над модемом находится плата коммутации с линией. Обычно это просто плата согласования с линией, однако, если нет возможности подвести к таксофону телефонную линию, вполне может стоять и GSM-модем.

    Центральный процессор


    Процессор P51XAG30KFA

    Основу таксофона составляет центральный процессор P51XAG30KFA. Это 16-разрядный процессор, способный адресовать до одного мегабайта программной памяти, клон самой распространенной архитектуры С51. Ранние версии таксофонов тоже делались на С51-архитектуре младших моделей. Продолжение традиции скорее всего связано с переносимостью кодов, дающей возможность не переписывать заново прошивку к каждому таксофону.

    Криптография


    Микросхема криптозащиты

    Все системы защиты в таксофоне по силам обойти даже начинающему фрикеру, кроме одной — встроенной криптозащиты. В таксофоне имеется ключ криптографии, по которому идентифицируется таксофонная карточка. Путем прямой эмуляции таксофонной карточки обойти это место защиты практически нереально. На этом этапе обламываются все эмуляторы, сделанные по описанным в интернете хакерским правилам.
    Принцип действия достаточно прост. Таксофонная карточка представляет собой Неперезаписываемое ПЗУ, в котором хранится её серийный номер и перезаписываемое (можно менять биты выставленные в единицу в ноль, всё). Часть каточки занято некоторым дампом, о котором говорит m0n5ter в своей статье

    Вторая мера защиты состояла в том, что в неперезаписываемой части памяти карты хранился некий код, сгенерированный на основе серийного номера и оригинального номинала карты (возможно, чего-то еще). Алгоритм формирования этого кода так и остался для нас загадкой. Этот код не давал нам достичь полного совершенства и генерировать каждый раз свежие дампы прямо на лету в микроконтроллере, приходилось прошивать дампы от настоящих использованных карт. Тогда мы надеялись, что собрав достаточное количество дампов памяти карточек, мы сможем вычислить алгоритм хеширования. Но, как я уже написал, надеждам этим сбыться было не суждено.


    Вот этот криптоключ и проверяет соответствие дампа в перезаписываемой части серийному номеру. Вычислить ключи — практически невозможно (мы-то знаем цену этому «невозможно» :))) (передаю привет darksimpson ;) ))

    Примечание: На самом деле, ещё есть одна засадная система — это проверка длительностей импульсов, которая даёт карточка и качество фронтов. Это эмулировать технически ооочень сложно.

    Картоприемник


    Кардридер. Оранжевая полоска — детектор выводимых проводов.

    Предмет множества слухов во фрикерских кругах – это картоприемник. Из слухов подтвердилось лишь то, что существует датчик выводимых проводов, который легко обходится, если припаять микросхему эмулятора непосредственно на контактные площадки таксофонной карточки. Других систем распознавания эмулятора у картоприемника нет.

    Серверная


    Серверы МГТС

    Каждый таксофон в нормальном режиме работы отзванивается на телефонный узел и передает информацию о звонках, использованных в нем телефонных картах и о своей работоспособности. Делает он это ночью, когда меньше всего нагружена телефонная сеть. При этой операции в таксофоне могут выполняться различные настройки и модификации софтовой части. На данном этапе зачастую выявляются эмуляторы и отслеживается, куда совершались звонки. Когда звонки делаются по России, вычислить человека, использующего этот эмулятор, несложно. Если таксофон не отзвонился, то это означает, что он либо неисправен, либо его просто нет на месте. На следующий день к таксофону выезжает мастер разбираться с причиной его «молчания».

    Мифы о вечных карточках


    Карточка монтажника

    Каждому монтажнику выдается такая карточка с подписью «для служебного пользования». В свое время ходили слухи, будто эта карточка вечная. К сожалению, нет, карточка не вечная. На ней записано очень большое количество единиц, но они в конце концов исчерпываются. Карточка утилизируется, и монтеру выдается новая.

    Фрикерская молодость


    К моей чести, мечта похачить таксофон сподвигло меня на изучение электроники и программирование микроконтроллеров. Свело со многими интересными людьми, и даже попал на работу в «Хакер». Таксофон я так и не поломал (не жалею), хотя попыток было много. Но получил громадный опыт. Даже изготовил печатную плату толщиной в карточку, но правда немного ошибся с длинной


    Печатная плата

    В результате пады находятся как раз в металлическом картоприёмнике, но затолкать её удавалось. Один из экспериментов того времени был такой. У карточек есть пины: data, clock и reset (плюс питание). Так вот, первичное считывание идёт с карточки с данными, а потом идёт перебрасывание с помощью тумблера пина data на пустую карточку (разумеется остальные пины соединены параллельно). Всё было смонтировано в коробке. Помню делал наверное дня три (школолошником ещё был).
    Февраль. Мороз минус 30 точно! Ночь, момент истины! Воткнул платку, считывание прошло успешно. Видать тогда не было ни датчиков проводов, ни проверки на фронты (был бы адов завал фронтов из-за ёмкости проводов), ни потребляемого тока (питаем же две карточки! И! Барабанная дробь: переключаем тумблер! И…

    Я чуть в штаны не наложил. Тогда узнал что в таксофоне есть зуммер. При чём весьма мощный. Ночь, улица фонарь, орёт таксофон и рядом с ним кекс с какой-то коробкой, из которой идут провода в таксофон. Самое забавное, что благодаря каплям припоя, моя карточка застряла в недрах таксофона. И тогда не догадался взять с собой пассатижи и доставал сие устройство зубами из стального картоприёмника. Как там не оставил свои губы — не знаю.

    Эх, романтика. Сейчас так приятно вспомнить фрикерскую молодость. Пусть и не очень результативную, хотя как посмотреть.

    Итог


    Вывод в журнале был весьма наивен, но забавен.
    Вывод из журнала:
    К сожалению, в рамках одной статьине могу рассказать обо всех тонкостях устройства таксофона, тема достаточно обширная и будоражит умы многих хакеров во всем мире. По мере возможности постараюсь освещать ее в своем lj-сообществе (ru_radio_electr), а также делиться информацией по мылу. Одно могу сказать точно: фрикерство в виде изготовления эмуляторов умерло. Как утверждают в МГТС, последний эмулятор был зафиксирован 3 года назад. Криптографию не победить одним маленьким контроллером. Для этого нужно быть просто гением. Конечно, нет ничего невозможного, но для неопытных людей это будет непосильная задача, а профессионалам это просто неинтересно. Рекомендую оставить идею изготовления эмулятора таксофонных карт и искать более простые способы бесплатных звонков.


    Я лишь скажу, спасибо МГТС и вообще телефонным сетям за наше счастливое детство! И большое человеческое спасибо компании МГТС, что таки дало заглянуть в недра того, что мы так хотели поломать. Эти и другие фотографии в полном размере можно посмотреть тут
    Справедливости ради, оригинальная статья обитает тут (30-я стр. PDF, 71 мегабайт! ).

    З.Ы. DIHALT может меня справедливо обвинить в некропостерстве, но с другой стороны, в последнее время постить старьё совершенно не хочется (а ведь столько всего можно написать:RFID, комп в масле и многое другое). Поскольку вдохновение того времени прошло, а написать уже вдохновения нет. Эта статья просто как бы продолжение фрикерских статей от разных авторов. Они меня и вдохновили на подвиг.

    З.З.Ы. Помните, лучшая благодарность автору за пост: оставленный комментарий!
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 54
    • 0
      Боян!
      • +5
        Шаркая ножкой

        Да, о чём честно признаюсь. Однако, 50% текста, новое все картинки новые (старые-переработанные), плюс концовка с карточкой — не было в журнале. Так что статеечка вполне себе тянет на эксклюзивную!
        • 0
          А по мне так неплохо. Столько настольгии сразу.
        • +7
          Зато какой!
        • +2
          «Внешне выглядит как обычная полноразмерная SIM-карта»
          по-моему это Mini-SIM
          • 0
            В смысле?
            • +3
              Полноразмерная SIM-карта по размерам — как смарт карта (коей и является). То, что вставлено в держатель — «выломанная» Mini-SIM карта
              • +2
                Это я знаю. Будем считать, что я выразился в бытовом плане, имел в виду, что не микросим. За замечание спасибо, оно по делу.
          • 0
            Прям с головой из кресла в историю:)

            Момент о застрявшей карточке зимней ночью у таксофона напомнил фрагмент из детектива)

            Вот интересно, какова себестоимость данного чуда техники и кто занимается или точнее занимался их разработкой?
            • +1
              Сколько всего люди делали ради бесплатных звонков. С сегодняшними ценами на связь проще и дешевле просто позвонить с какого-нибудь скайпа.

              PS Понятно, что есть еще вариант, в котором человек звонит с таксофона, чтобы его сложно было вычислить, но сейчас это, на мой взгляд, неактуально: по-моему, даже бывают таксофоны с видеоглазками.
              • +2
                Сколько всего люди делали ради бесплатных звонков. С сегодняшними ценами на связь проще и дешевле просто позвонить с какого-нибудь скайпа.


                Не совсем верно. Мней двигала не жажда халявы (я мог звонить и из дома), а исключительно спортивный интерес: могу ли я сделать эмулятор. Жетончиковые таксофоны хакались на раз, я научился их взламывать в младших классах без всяких статей: просто в момент блокировки динамика надо было резко дёрнуть рычаг сброса: таксофон разблокировался и связь непрерывалась. При чём никакого практического смысла от взломов не было, просто игрался.
                • +2
                  Куда ему звонить то :) Ладно бы приехал из далекой деревни в столицу :) Чисто поприколу же.

                  А у нас таксофонов таких было раз два и все. Крайне редко встречались. Зато стояли УТКшки связьинформовские. Это были переделанные старые совковые таксофоны (у нас само слово таксофон даже не распространено было, их тут зовут автоматами) внутри нет реально ничего, только номеронабиратель цифровой. А карточки были с кодом, его вначале набираешь, потом набираешь номер кому надо звонить и звонишь. Ломать там нечего было :(
                • 0
                  Мне в руки попадал куда более простой таксофон который был сделан на каком то Pic не то 16 не то 18 вроде бы 28 ногом. Никакой проверки проводов там и в помине не было в картоприёмнике. Без модемов и прочего. Но победить мы его тогда так и не смогли из за нехватки информации и «инструментов».
                  • +6
                    Спасибо за статью. Жду с нетерпением статью «Недра банкомата».
                    • 0
                      Монитор, клавиатура (полноразмерная), купюприемник, сейф, комп с виндой (Celeron 1 GHz), сейф.

                      Рад бы сфотографировать, только вот соседи из числа продажников могут не понять шутки, все-таки это их епархия.
                      • 0
                        Да, вот как-то практика показала, что не жалуют любителей гипорно банковские служащие. Но оно и понятно.
                        • 0
                          Я не в банке работаю. А в отделе компании, другой отдел которой занимается производством и продажей АТМ (банкоматов)
                          Сидим мы рядом.
                          А в 20ти метрах от меня стоят всякие там Cineo
                    • 0
                      Да, было время — все ходили и пытались что-то сделать с этими железными коробками ))

                      А помните телефонную базу данных, в которой были прямые номера этих городских таксофонов? Звонишь туда, а там квартира! Вот жесть наверно была — все звонили по первому телефону в списке))))
                      • 0
                        Расстроился, увидев, что таксовофон внутри весь нерусский. Надписи на английском, монтаж аккуратный. Никакого патриотизьму при закупках оборудования!

                        Показали бы советский, дубовый, что ли — тот, что двушки глотал! :)
                        • 0
                          Сами платы походу у нас где-то делают, присмотритесь.
                        • 0
                          А что за алгоритм шифрования?
                          И странно, что не смогли вскрыть — казалось бы, фомкой снимаем аппарат, дома достаём сим, получаем тест-агрегат
                          • 0
                            … снимаем аппарат, удираем от наряда, дома достаем…
                            • 0
                              ну почему же — написано, на следующий день идут проверять, почему аппарат не ответил.
                              мы ж сперва его отрубаем-с
                              • 0
                                У многих моделей предусмотрена сигнализация при вскрытии корпуса, обрыве линии, обрыве трубки.
                                Даже советские мониторились со станции на факт обрыва, но их это не спасало к сожалению… На обрыв линии дяди Степы приезжали в течение 10-15 минут, однако у нашей деревенской АТС был договор с ОВО :)
                                • 0
                                  А то и быстрее. Тут или ты или тебя :D
                                  • 0
                                    Воровство таксофонов не соответствовало нашему кодексу чести, с УК шутки плохи.
                            • 0
                              При использовании асимметричного шифрования это ничего не даст. Например, в таксофоне хранится открытый ключ, которым можно только проверить валидность карточки, но не сгенерировать новую. А закрытый ключ лежит в сейфе в самом глубоком подвале МГТС.
                              • 0
                                Размер имеет значение. Ключ какого размера? 0.5к уже ломается
                                • 0
                                  Предлагаете брутфорсить?
                                  1. Многократное хеширование замедлит процесс на несколько порядков.
                                  2. Проверка может идти в недрах криптомодуля (смарт-карта же), что вообще сделает брутфорс нереальным.
                                  • 0
                                    Не может, а наверняка именно там…
                                  • 0
                                    По всей видимости, декодирование происходит в самой карточке, наружу выдается результат проверки. Естественно, процессор там слабенький — первую половину кодов будешь до скончания века сверять. И это при том что ответ не закодирован вшитым закрытым ключом.

                                    Гораздо интереснее было бы подменить этот криптомодуль на свой, который бы всегда выдавал верный ответ… однако, выявится очень быстро — таксофон стучит коды карточек на сервер, при следующей сверке будет выявлено несоответствие кода карт и тогда таксофон рассмотрят подробней, с чего это вдруг он стал пропускать карточки которые не проходят проверку.

                                    Да и вообще… все эти технологии не сравнятся со свободным доступом непосредственно к линии по своей простоте. Надо только ходить со своей трубкой-телефоном. Едва ли там ведется контроль целостности изоляции подводящего провода, как это делается с секретными линиями спецсвязи.
                                    Сейчес-то и нет необходимости палится с огромной трубкой-телефоном, это может быть простая блютуз-гарнитура или её аналог связывающийся с блоком подключаемым к линии, а для отвода глаз можно держать оригинальную трубку таксофона у уха. Хотя едва ли понадобится этот отвод глаз… обычно такое делается в скрытых от посторонних глаз местах.
                                  • 0
                                    Только если содержимое карточки подписано, то при его изменении подпись нужно обновить. И скорее всего это будет делаться с помощью этой симки, а не с помощью подвала МГТС.
                                    • +1
                                      Насколько я понял, содержимое карты не переподписывается. Изменяется только счетчик единиц, остальное Read-only. Никто не мешает сделать эмулятор-клон карты, который будет волшебным образом восстанавливать девственность запас единиц. И он даже будет работать, до первой проверки отчетов таксофона. Потом эта карта попадет в бан-лист.
                                      • 0
                                        Не совсем так. RO только серийник. Во всю остальную область можно «писать» (точнее менять единицы на ноль, но не обратно, пережигать перемычки). И там есть некий слепок-дамп, который меняется.
                                        • 0
                                          А как там тогда выжигаются биты для карточки на 1000 единиц, например? Или таких уже нет?
                                          • 0
                                            Если вы перейдёте по ссылочке, которую я оставил ниже, то таких вопросов не будет. Цитирую:

                                            Как уже говорилось, из 10 цифр номера первые 4 выражают емкость карты. Оставшиеся 6 не идентифицируют карту однозначно, т.к. уже выпущено более миллиона карт. Всего при подобной системе нумерации может существовать 6 миллионов карт:
                                            * На 25 единиц с номерами от 0025000000 вплоть до 0025999999
                                            * На 50 единиц с номерами от 0050000000 вплоть до 0050999999
                                            * На 100 единиц с номерами от 0100000000 вплоть до 0100999999
                                            * На 200 единиц с номерами от 0200000000 вплоть до 0200999999
                                            * На 400 единиц с номерами от 0400000000 вплоть до 0400999999
                                            * На 1000 единиц с номерами от 1000000000 вплоть до 1000999999
                                            • –1
                                              Ваш ответ совершенно ничего не объясняет. Вижу три возможных варианта перезаписываемой зоны карточки:
                                              1. только выжигаемые биты
                                              2. численное значение, которое меняется (возможно с подписью)
                                              3. выжигаемые биты и численное значение (как в ультралайтах метро)
                                              И если использовать первый вариант, то не совсем понятно, как быть с карточками на 1000 единиц, ведь нужно тогда 1000 выжигаемых битов, что весьма немало.
                                              • 0
                                                Вы задаёте забавные вопросы. Прочитайте по ссылке. Вот ещё хорошая статья: www.hackersrussia.ru/Cards/Syncro/Piter/Piter.php

                                                Там везде одно и тоже, и тексты повторяют друг друга, и если вы потрудитесь ПРОЧИТАТЬ, то узрите это:

                                                3. Следующие 5 байт — число единиц, оставшихся на карточке. Формат хранения очень интересный: используется количество единичных битов в байте, начиная с младшего. Соответственно значение байта 07 соответствует 3 единицам, значение 1F — пяти, а 7F — семи единицам. Максимальное количество единиц, хранящихся в байте — семь. Соответственно используется восьмеричная система счисления. Таким образом, байты 00, 01, 7F, 0F, 3F соответствуют 01746 в восьмеричной системе или 998 единиц в десятичной системе. Максимальное число единиц может выражаться числом 77777 в восьмеричной либо 32767 в десятичной системе.


                                                Т.е. можно иметь карточку в 32767 единиц!

                                                Почему я могу воспользоваться гуглом и желанием найти это и прочесть, а вы нет?

                                                • 0
                                                  Да, только с такой системой хранения можно уменьшать на произвольное значение каждую цифру числа, но не само число. Вот было у вас 77777, потом уменьшили до 70777, а как потом записать 67777 — не очень понятно. Поэтому у меня остаётся вопрос — как сделать карту на 1000 единиц не имея в наличии 1000 выжигаемых битов, чтобы при этом её норминал можно было уменьшить на произвольное число единиц (мы ведь не будем уменьшать проездной на 7 поездок вместо одной, правда?). По-моему с точки зрения теории информации это в принципе невозможно.
                                                  • –1
                                                    Мне лень включать мозг :). Ибо раньше писал софт и знал как там всё работает. Найдите ответ сами на свой вопрос.
                                                    • +1
                                                      Нельзя вычитать сразу со старшего разряда, иначе так и будет. любое вычитание со старшего разряда просто восстанавливает состояние всех младших разрядов. Если надо считать с точностью до 1 единицы — за один раз вычитается максимум по 7 единиц.
                                                      • 0
                                                        Спасибо за информацию.
                                                  • +2
                                                    Там имеется внутри некий счетчик минут, а снаружи это выглядит как многоразрядный счетчик. Выжигаем 8 едениц с младшего разряда — все, дальше выжигать не можем — некуда. Тогда мы идем выжигаем единицу старшего разряда, которая своим выжиганием восстанавливает единицы младшего разряда, которые мы может выжигать дальше.
                                                    Реально, процесс «выжигания» единиц таковым выглядит только снаружи карточки изнутри же, это обычный EEPROM с двоичным счетчиком, который перезаписывается каждое вычитание. Ресурса вполне хватает.
                                                    • 0
                                                      Спасибо. Теперь понял.
                                          • 0
                                            Обновить дамп нельзя. Можно только единицу делать нулём. Есть серийный номер и подпись его в дампе. Она сохраняется постоянно и есть область, где храниться данные о количестве минут на карточке. Вот смотрите (это не относится к московским карточкам, но суть та же) www.shram.com.ua/megafaza/r_card.shtml

                                            5. Два последних байта, по-видимому, выражают CRC либо другой контрольный код для первых 8 постоянных байт, т.к. при расходовании единиц они не меняются, но на
                                            каждой карточке они свои. Пока что их назначение никак не ясно. Обнаружилось, что срок годности никак не записан на карте. По всей видимости, он как-то связан с номером карты.
                                            Возможно, каждому сроку годности соответствуют определенный диапазон номеров.


                                            Тут два байта. Но в московских по моему больше. Подделать их — весьма нетривиальная задача.
                                      • +5
                                        Спасибо большое! Было очень интересно прочитать!
                                        Какт заметили выше, с нетерпением жду цикла статей: «Недра банкомата», «Внутренности аппарата с газировкой» и «Турникеты в метро — это просто»!
                                        • –4
                                          А я — доведенный ипотекой до крайности человек, вполне корыстно интересуюсь недрами банкоматов… в последнее время )
                                        • 0
                                          Любопытно, а как выглядел внутри совсем старый таксофон — тот, который был с диском за две копейки работал? Он был целиком на отечественной элементной базе?
                                            • 0
                                              Он был целиком на отечественной элементной базе?


                                              Такие вещи даже глупо спрашивать.
                                              • 0
                                                И совсем не факт, соцстраны много хороших компонентов поставляли.
                                                • 0
                                                  Он топорный был, там на своей справились бы :)
                                            • +1
                                              Где-то в 1999-2000м году я очень просто «взламывал» таксофон на почтовом отделении на Урале. DIHALT должен помнить, к ним продавались еще таксофонные карты с рисунками Аркаим и т.п.
                                              Сзади будки висели сопли, подходящие к таксофону. Я перекидывал эти сопли на будку, где стоял обычный дисковый телефон и звонил на халяву =)
                                              • 0
                                                У нас в 2000-х стояли такие. «Взламывал» легко: втыкаем карту, звоним, ждем 1-2 секунды после ответа, выдергиваем карту и продолжаем разговор. Правда нужна была хорошая реакция, потому как если ждать дольше — разговор прерывался, если меньше — просто не начинался. Одной карты хватало на год — полтора. Потом начали ставить таксофоны, которые периодически проверяли присутствие карты, но это другая история

                                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.