El post que buscas se encuentra eliminado, pero este también te puede interesar

Curso Phreaking (cabinas telefonicas)

Aclaro que esto no es obra mia (al final estan los creditos y la fuente), pero como no vi casi nada sobre phreaking me pareció interesante postearlo.
No me hago responsable por el mal uso que se le pueda dar.

Phreaking
Curso de cabinas (Capítulo 1)



Empezamos

Hola a todos.

El curso de cabinas tendrá la siguiente estructura: Bueno, en realidad no tendrá mucha estructura, pero espero no dejarme muchas cosas en el tintero.

Lo que s¡ vais a ver van a ser dos clases de textos: unos puramente descriptivos, al más puro estilo funcionarial. Más o menos como lo escribir¡a alguien que trabajase en Telefonica. El propósito de estos textos no es sólo descriptivo, sino también para que aprendais la jerga del negocio. Lo que ponga en estos textos es verdad, por mucho que os sorprenda a los que nunca os habeis asomado al interior de una cabina.

Los otros textos serán más coloquiales, y analizarán los textos más serios desde el punto de vista del hacker que le quiere encontrar los puntos débiles al sistema. Es posible que en estos textos se incluyan detalles que no están en los textos más serios, y que proporcionen pistas sobre cómo actuar.

Entremezclados veréis algunos diagramas. Algunos hechos en ASCII, otros dibujados y UUEncodeados. Algunos serán más útiles que otros desde el punto de vista del hacker, pero espero que todos sean ilustrativos.

Y finalmente, estoy pensando la manera de organizar clases prácticas (s¡, s¡, clases prácticas), con alguna cabina en un lugar remoto, poco frecuentado por la polic¡a y "los otros". Creo que podré disponer de un coche, pero si somos muchos tendrá que hacer varios viajes, o tendremos que ir con varios coches.

ADVERTENCIA: "LOS OTROS"
~~~~~~~~~~~~~~~~~~~~~~~
Sé de buena tinta que existen mafias que se dedican a desvalijar cabinas de teléfonos. Parecer¡a algo tonto, hasta que os digo que de media, cada cabina recauda unas 15.000 pesetas al d¡a. De media. En zonas costeras, por ejemplo, se llenan las huchas de las cabinas a pie de playa varias veces al d¡a. Por eso, tened cuidado de las mafias.

Y hay otra advertencia que haceros. Normalmente, uno estar¡a vigilando por si viniese la polic¡a. Pero eso no basta. El mayor peligro para el hacker medio son los taxistas. Mayores chivatos no se han visto.

­ Huid de las cabinas que están cerca de paradas de taxis!

­ Buscad las cabinas poco transitadas!

Bien, y hechas estas advertencias, vienen las presentaciones.

Los actores

El SGTM

"Es el conjunto de equipos y terminales a los que se refiere este documento".

No es del todo correcto hablar de "cabinas de teléfonos" a secas. Ellas son sólo la parte más visible de todo un sofisticado sistema que usa la RTC (Red Telefónica Conmutada, o "el teléfono normal y corriente" e Iberpac (la red de paquetes que es la parte española de Internet).

El Sistema de Gestión del Teléfono Modular es el nombre que se le da a todo el sistema.

El TM

"Es el terminal telefónico, que se instalar en la red y que utilizar físicamente un usuario".

Teléfono Modular es el nombre que se le da al teléfono en s¡: la parte superior de color azul (que contiene la electrónica) y la parte inferior de color gris oscuro (que contiene la hucha con la pasta). El TM está alojado en lo que se llama el "mueble". El mueble no es más que la cabina en s¡. Por ejemplo, los muebles "A" son las cabinas de cristal, con puerta. Los muebles "U" son estos nuevos postes que tienen tres TMs. Y así.

El SETM

"Es el sistema que recibir las informaciones de alarma, recaudación y rutina diaria de los TM y UVI de la provincia. Además se encargar de la programación a distancia de los TM, UVI y UATM que dependan de él. A través de la red Iberpac, enviará la información de facturación recogida de los TM regulares, al centro de facturación de la región correspondiente".

Como veremos más adelante, cada TM es manejado por un SETM, un Sistema de Explotación de Teléfonos Modulares.

El SETM es un ordenador HP 9000, con un sistema operativo Unix, que tiene una base de datos con ingentes cantidades de datos referentes a los TMs que controla. Contiene las configuraciones de cada uno de los TMs, contiene los datos estadísticos que los TMs le van mandando cada d¡a con lo que se llama la "rutina diaria" (que veremos más tarde), gestiona las alarmas que generan los TMs (que también veremos más tarde), los informes de aver¡as generados por los autochecks de los TMs, en definitiva, es el cerebro del sistema.

Hay un SETM para cada provincia de España, excepto en Madrid, donde hay dos: un SETM para la zona metropolitana y otro para todas las demás.

Con el SETM se puede examinar en cualquier momento el estado de "la planta", o el conjunto de TMs que controla el SETM. Se puede cambiar la configuración de uno o todos los TMs de esa zona, o incluso darlos de baja del sistema. Se pueden realizar análisis estadísticos de las recaudaciones y las alarmas y las aver¡as, para detectar fraude, pero en la práctica sólo se hace con rigurosidad en Barcelona y un par de sitios más.

Murcia está designada como "campo de pruebas" de los TMs. Allí fue donde se instalaron por primera vez en fase experimental, y es donde se prueban las nuevas versiones de los programas de los TMs (eso también lo explicaré luego).

IMPORTANTE: Al SETM se accede por la RTC. O sea, que cualquiera podría llamar por teléfono a cualquier SETM de España y fingir ser un TM, si se tiene el circuito adecuado. Haría falta un modem v.23. Pero eso vendrá más tarde, ¿eh? De momento, se puede ver que después de todo el asunto es más complicado que un simple hilito atado a una moneda.

NOTA: Al ordenador en s¡ (al HP-9000) lo llaman OCEX (Ordenador Central de Explotación), y al conjunto de ordenador, más programa, más UCM (Unidades Concentradoras de Mensajes) lo llaman SETM. Pero coloquialmente se usa SETM para todo.

La UVI

"Es el elemento que deberá instalarse en la central telefónica en la que está conectado el TM, al otro extremo del par de abonado, entre éste y el circuito de línea. y cuyas funciones son identificar al TM como perteneciente al sistema y facilitarle la conexión al centro de validación v¡a red Iberpac."

El TM rara vez se conecta a la línea telefónica normal. Para estar más seguros de que nadie pincha la línea y la usa como si fuese un TM, se usan Unidades de Validación e Identificación (UVIs). Una UVI no es más que una placa que da permiso a uno o más TMs para que usen la RTC, y proporciona el acceso del TM a la red Iberpac.

Si os fijais cuando descolgais el teléfono, podréis oir un pequeño chirrido en el auricular, y luego os darán el tono para marcar. Ese chirrido era el TM enviando su número de identificación a su UVI, para que le de línea.

Las UVIs en general son poco interesantes desde nuestro punto de vista, porque aunque las podamos configurar si queremos, están más alejadas de nuestro alcance f¡sicamente y no nos proporcionan servicios útiles.

La UATM

"Es una unidad cuya función es concentrar y permitir el acceso a la red Iberpac en aquellos TMs que no puedan estar conectados a una UVI y de las UVIs que no tengan acceso directo a la red Iberpac".

Las Unidades de Acceso para Teléfonos Modulares todavía hacen menos que las UVis. También son sólo una placa de circuitos impresos. Simplemente proporcionan acceso a Iberpac. A lo mejor parece que aquí hay mucho potencial para usar Iberpac gratis, pero en realidad la cosa es más dif¡cil físicamente. Es decir, que se trataría de acceder físicamente a la UATM, pinchar la línea, y tirar un cable hasta algún lugar donde instalar nuestro ordenador. Eso canta bastante. :-) Pero había que mencionar a las UATMs porque son parte del sistema.

El CVF y el CGEC

El CVF "Es un centro de proceso conectado a la red Iberpac, encargado de validar todas las llamadas a crédito que se pretenda realizar desde un TM, mediante consulta a listas negras y grises. Deberá elaborar la información de facturación de dichas llamadas para su transmisión a los centros de gestión de entidades crediticias y a Telefonica".

El CVF, o Centro de Validación y Facturación, como bien dijo Mave, es un ordenador Tandem CLX720 non-stop tolerante a fallos. Tiene un montón de datos sobre tarjetas de crédito. La información que le interesa a Telefonica es el crédito disponible de cada tarjeta, y si está en alguna lista gris o negra. La lista gris quiere decir que el crédito diario de la tarjeta ya se ha usado, y la negra ya es para preocuparse :-)

Es muy dif¡cil entrar en el CVF. Por otra parte, no es el propósito de este curso, as¡ que pasemos a otra cosa.

El SGAT

El Sistema de Gestión de Aver¡as por Teleproceso (SGAT) es "el sistema de Telefonica encargado de teleprocesar todas las gestiones de aver¡as". O sea, según Telefonica, el SGAT es el SGAT. :-) :-)

La cosa no tiene mucho truco. No es más que un programa de ordenador que se dedica a preparar los partes de aver¡as y las rutas de los técnicos por la ciudad para minimizar el número de salidas de los técnicos y el número de kilómetros que se mueven con las furgonetas de reparación.

El SGAT se entera de cuáles son las aver¡as de dos maneras. Una es por las llamadas de responsables ciudadanos que llaman al 002 para notificar la aver¡a. Desde pantallas rotas (no me cabe en la cabeza quién querr¡a hacerlo; el cristal es triple blindado, as¡ que mucho daño tampoco se puede hacer) hasta microteléfonos arrancados. La otra manera de encontrar aver¡as es mediante la notificación del propio TM. El TM es muy sofisticado, y tiene circuitos y programas de autocomprobación. Si algo falla, el TM manda el correspondiente mensaje de aver¡a con la rutina diaria (ya veremos eso más tarde). El SETM recibe el mensaje de aver¡a, y lo transmite a su vez al SGAT. Asimismo, si algún TM deja de mandar su rutina diaria durante un tiempo, el SETM decide reportar una aver¡a, para que un técnico le eche un vistazo.

La verdad, eso está muy bien, porque minimiza el mantenimiento que necesita cada TM, y le proporciona al hacker medio de cierto margen para trabajar. Si uno sabe en que circunstancias el TM emite una alarma o un mensaje de aver¡a, se puede mantener alejado al técnico que pueda descubrir nuestros trapicheos. :-)



*** --- *** --- ***



Y hasta aqu¡ llega esta introducción al SGTM.

Hemos introducido los distintos componentes del sistema y su función. Lo más importante que tenemos que aprender de aquí es que si queremos encontrar esos defectillos que nos son tan útiles para lo nuestro, tenemos que buscar en muchos más sitios además de la ranura de las monedas o la tarjeta.

Y si os encontrais con alguien de Telefonica, ya podéis hablarle más de tú a tú, y no como simples profanos.

La próxima entrega ser más detallista. Describirá el Teléfono Modular en sus aspectos más físicos (en contraste con sus aspectos operativos) y os incluiré el primer diagrama, en forma UUCodeada.

­ Saludotes!


__________
/ ? ? ? ? ? \
|======================|
---| Car&áer |---
|++| ?oftware |++|
|++| ?ystems |++|
- -___________- -

Curso de cabinas (Capítulo 2)

INTRODUCCION

El Teléfono Modular (TM) es un equipo que se instala en cabinas telefónicas públicas para poder ser utilizado por cualquier usuario.

Forma parte, como terminal, del Sistema de Gestión de Teléfonos Modulares (SGTM), que consituye el entorno de operación, gestión y explotación de estos teléfonos. Mediante este sistema se permite identificar al propio equipo, recepcionar y gestionar mensajes de alarmas, rutinas diarias y recaudación comunicados por el TM al Sistema de Explotación de Teléfonos Modulares (SETM).

Trabaja con marcación de impulsos o multifrecuencia y tiene acceso total a la red, por lo que puede conectarse a cualquier tipo de central.

Se alimenta exclusivamente de la l¡nea telefónica, no necesitando ningún tipo de alimentación adicional.

El TM está constru¡do mecánicamente de una forma muy robusta, lo que evita las posibles acciones de vandalismo a las que pudiera ser sometido.

Esto s¡ que es verdad. Tiene un blindaje bastante gordo. Ya os he comentado que el visor, por ejemplo, tiene triple cristal blindado. Desde luego, el que se meta a golpes con un TM lo lleva un poco crudo. El punto más d‚bil, creo yo, es el cable del microteléfono. Se supone que es reforzado y todo eso, pero he visto algunos arrancados. Hay que ser burro. Por otra parte, el cable del microteléfono no va a línea directamente, as¡ que no tiene mucho sentido intervenirlo para, por ejemplo, poner un filtro para eliminar los impulsos de tarificación (tonos de 50 Hz y 12 kHz). Por otra parte, si el microtelófono deja de funcionar, el TM lo puede detectar, y notifica la aver¡a al SETM. Para detectar que el microtelófono funciona, comprueba la integridad de la bobina del auricular, pasando una corriente. Si la corriente es cero, la bobina está rota.

Eléctricamente presenta detecciones para evitar los posibles fraudes, tales como el sistema "hilo", introdcción de tarjetas no válidas, utilización de monedas falsas, etc...

A eso llegaremos más tarde, cuando discutamos los diferentes componentes del TM. Precisamente por eso se llama TM: porque está constru¡do de forma muy modular, y así es más conveniente describirlo: por sus distintos módulos. Y hablando de módulos, tengo que hacer un aviso:

AVISO: Como el TM se puede desmontar sin herramientas en 30 segundos (la demostración es impresionante), es sumamente sencillo cambiar los componentes del TM: validador, placas, lector de tarjetas, etc. Precisamente, el software de cada una de las placas tiene su propia versión, y cuando se quiere actualizar la versión por aquello de la optimización del código, se cambia la tarjeta entera. Y cuando un chip se rompe, se cambia la tarjeta entera, y la estropeada se repara en talleres centralizados. Por lo tanto, si alguna vez os asomais a un TM, no os extrañeis de ver que aunque la posición de cada módulo sea la misma, el módulo puede ser diferente. Por ejemplo, el lector de tarjetas.

También utiliza el sistema de previo pago con cobro ajustado y determinación de crédito mínimo.

Bueno, eso son cuestiones de software. No tiene mucho truco. Sólo horas y codificación (en ASM, por cierto; luego os hablo de los microprocesadores que trae el TM -­perdona, Plof! :-)

Permite la recepción de llamadas.

­Aaaaaah! Recibir llamadas! Esto será nuevo para algunos de vosotros. Pues s¡, cada TM tiene un número de teléfono al que se puede llamar. Ese número lo saben en la centralita a la que está conectado cada TM, y por razones no técnicas, el SETM también sabe a qué centralita está conectado cada TM, y a qué par de abonado. Luego tampoco se usa esa información en la gestión de la planta, pero ah¡ está.



DESCRIPCION GENERAL

El Teléfono Modular (TM) presenta dos zonas debidamente diferenciadas, dado su función:

Parte superior, donde se ubican los elementos que permiten su correcto funcionamiento.

Parte inferior, donde se ubican los elementos destinados a guardar la recaudación efectuada (hucha).

La mitad de arriba es la de color azul, y tiene casi toda la electrónica. Desde luego, tiene la electrónica más interesante. La mitad de abajo tiene la hucha, y es de color gris oscuro. En una presentación del TM, expusieron un TM con la carcasa de metacrilato, y se veía cómo funcionaba. Era bastante chulo.

La mayoría de la gente no tiene la oportunidad de asomarse al interior de un TM, y ver cómo está organizado. Uno podr¡a ir detrás del técnico de reparaciones, mirando por encima de su hombro. Pero sería mucho trabajo. Yo prefiero explicarlo sin rodeos:

VISTA INTERIOR

Indice de componentes:

1. Validador de monedas
2. Placa de almacén
3. Almacén intermedio
4. Rampa de paso de monedas a la hucha
5. Placa analógica
6. Placa de conexión de línea
7. Placa lógica
8. Placa de control de tarjetas
9. Cierre superior
10. Dispositivo electro-mecánico de bloqueo
11. Cierre inferior
12. Hucha
13. Placa de control de hucha

Validador de monedas.

Determina el tipo de moneda controlando sus dimensiones físicas y su material. Dispone de un sistema de detección de presencia de "hilo" que invalida toda moneda introducida que lleve asociado un hilo y que pueda servir para algún tipo de fraude.

Se encuentra fijado al TM mediante unas lengüetas de sujeción.

El validador lo fabrica una empresa del Pa¡s Vasco llamada Azkoyen, cuyo nombre seguro que os suena de haberlo visto en máquinas de tabaco. Es un aparato muy sofisticado, que es capaz de identificar unas 9 caracter¡sticas diferentes de las monedas, sólo haciéndolas rodar por una rampa. Tiene unos fotosensores que miden el diámetro de la moneda, y miden la aceleración de la moneda por la rampa. También se miden sus caracter¡sticas magnéticas. La verdad es que es muy ingenioso.

Merece una mención especial el sistema anti-hilo. Todos conocemos el clásico sistema de atar un hilito a la moneda, y luego tirar de él. Pero esto ya no funciona por dos razones. La primera la discutiremos aquí. La segunda forma parte de la operación del TM, y vendrá más tarde.

Bueno, para empezar desterrad de vuestra mente cualquier idea de cuchillas corta-hilos, porque los dedos de los técnicos cuestan mucho dinero en indemnizaciones, cuando las cuchillas los cortan. :-) La manera en que funciona el sistema anti-hilo es mediante una especie de válvula de plástico que se abre cuando pasa la moneda y se cierra por la fuerza de la gravedad. O sea, que si hay un hilo atado a la moneda, éste impide que se cierre la válvula cuando ha pasado la moneda. Y el validador descubre el pastel. Un sistema óptico detecta si la válvula está abierta o cerrada. A ver si me sale un dibujo en ASCII:


+-+
| |Moneda
| |
| |
___+-+___ _ +-+ _ ___ ___
_O_| \ / |_O_ /O\___ | | __ /O\ _O_| \ / |_O_
|______||______| \ \| |/ / |______||______|
\____/| |\____/ +-+
+-+ | |
| |
| |
O = Sensor óptico +-+

En realidad sólo hay sensor en un lado, pero la idea está ahí.

Y por último, hay que mencionar la rampa de paso de monedas desde la ranura de monedas del TM hasta el validador. Las he visto de varias versiones, pero aquí quiero mencionar dos.

La primera clase es, en mi humilde opinión, de un diseño pésimo. Se trata de un canalillo metálico con corte transversal en forma de "U", por el que ruedan las monedas en posición vertical. Tiene una pendiente poco pronunciada, y es serpenteante. El propósito de este diseño intuyo que ser¡a anti-hilo, ya que ser¡a imposible extraer una moneda que hubiese pasado por la rampa. Vamos, que lo que se intentaba era una rampa de un sólo sentido. Pero tiene un defecto gord¡simo y es que es muy fácil que las monedas se queden atascadas en la rampa, sobre todo si se meten demasiado seguidas. Todo el sistema de cobro por monedas, con su sofisticaci¢n, está a merced de un sólo componente, que además falla muy fácilmente.

La segunda clase de rampa para monedas es mucho más segura, en términos de atasco de monedas. Está diseñada de tal forma que es casi imposible que dos monedas que queden paralelas en la rampa (porque se metan muy seguidas). ¿Y cómo se consigue? Pues vamos a ver... la rampa está en l¡nea recta, para empezar. Está tapada por arriba, de forma que en vez de una "U" es una "O". Además, la rampa está inclinada con respecto a la vertical, es decir, que las monedas se meten en posición obl¡cua (si os fijais en la ranura de las monedas se puede ver). Y la pared izquierda está sujeta por una bisagra, de forma que se puede abrir hacia fuera, empujada por una moneda que no cabe por la rampa. A ver si lo puedo pintar en ASCII:


___
/ /
Esta pared / / La moneda se apoya
se puede abrir / / en esta pared
hacia fuera /__/

Esta rampa tiene una ventaja para los pobres técnicos de Telefonica que cobran una miseria, y es que por alguna extraña razón las monedas saltan a veces fuera de esta rampa, por el lado de la izquierda, sin que haya nada que las empuje aparentemente. Es extraño; nunca he descubierto por qué lo hacen. Pero pasa bastante a menudo. ¿Nunca se os ha tragado la cabina una moneda? Introduc¡s la moneda, y ni se cuenta ni os la devuelven, ni se atasca en ningún lado. Sencillamente, se oye un "clink, clink" y adios moneda. Pues esto que os he explicado es lo que pasa cuando se tragan las monedas. Pero ¿dónde se van las monedas? Pues si tiene suerte el pobre usuario, la moneda cae en el cajet¡n de devoluci¢n. Pero hay que tener mucha suerte. Si la suerte la tiene el técnico de Telefonica, la moneda cae por entre las tarjetas lógica, analógica, de control de tarjetas, en fin, se queda en el recinto superior, pero ahí tirada. Y cuando llega el técnico, se la encuentra ahí. He llegado a ver verdaderas cascadas de monedas cayendo del recinto superior. Todas eran monedas que la cabina se hab¡a ido tragando con el tiempo, y como el TM no hab¡a tenido necesidad de mantenimiento, se hab¡an acumulado hasta llegar a hacer un cortocircuito en alguna de las placas, estropeando el TM. Y al llegar el técnico, ­chooof! 3000 pelas de calderilla. ¿Lo mejor? Ese dinero no es de Telefonica, porque no ha sido contado por el validador; recordemos que se hab¡an salido antes de llegar allí. Por lo tanto, Telefonica ni siquiera sabe que existen. Es como el usuario al que se le cae una moneda debajo de la máquina del tabaco: el técnico que llegue y mueva la máquina, se encuentra monedas ahí tiradas, que no son de nadie.

El procedimiento correcto, según Telefonica, es cobrar esas monedas de todas formas: existe una opción en el programa de mantenimiento del TM que consiste en cobrar monedas a saco: el técnico cierra la puerta, introduce las monedas por la ranura de ocho en ocho, y le da al botón de cobrar. Las monedas caen, una por una, al cofre. Dinero que el usuario hab¡a querido usar para llamar por teléfono, y que no sólo no se le presta el servicio, sino que además Telefonica se queda con el dinero. Me pregunto qué posibilidades habr¡a de procesar al técnico que se queda con el dinero que se encuentra tirado en el recinto superior...

Curso de cabinas (Capítulo 3)

MEDIO DE PAGO: MONEDAS

El equipo permite diferentes medios de pago, pero nunca superpuestos, por tanto, al intoducir un determinado medio de pago (monedas, tarjeta), inhibe los demás.

Aqu¡ está, creo yo, la clave de una de las últimas maneras que se han usado para llamar semi-gratis. El procedimiento era el siguiente: se introduc¡a una tarjeta con banda magnética, hasta al fondo (más adelante describir‚ lo que piensa el TM cuando se introduce una tarjeta). El TM pide que se retire la tarjeta, y entonces es cuando hay que retirarla despacio, para que la lectura de la banda magnética falle. Acto seguido, se introduce una moneda, que al parecer y por razones extrañas, se contaba pero se devolv¡a.

Mi análisis es que es posible que hubiese un 'bug' en el software de la placa de almacén, o en el de la placa lógica, o en ambos. A lo mejor, la placa lógica no sab¡a qué medio de pago hab¡a que anular, ya que la lectura de la tarjeta hab¡a fallado, pero la moneda no, pero la tarjeta se hab¡a introducido antes. Total, un l¡o enorme.

¿Es explotable un fallo de estas caracter¡sticas? ¿Ventajas? Bueno, la única manera que tendría Telefonica de darse cuenta ser¡a simplemente por la baja recaudación en comparación con el número de pasos contados. Este tipo de fallos son mis preferidos, porque no emplean la violencia física, y pueden pasar relativamente desapercibidos, sobre todo si el operario del SETM de la provincia que sea no se preocupa de cruzar los datos que le mandan los TMs. Los TMs no dejan de enviar sus rutinas diarias, y no reportan ninguna aver¡a o alarma. Además, es muy dif¡cil coger al "infractor" infraganti.

¿Inconvenientes? Una vez que se corre la voz, y llega a o¡dos del ingeniero de Telefonica, le resulta relativamente fácil, con las herramientas de desarrollo de que dispone, generar una nueva versión de los programas de la placa de almacén, o la placa lógica, con el error corregido. Ser¡a cuestión de pocas semanas sustituir la mayoría de las placas de almacén de la planta.

En este apartado se sigue la secuencia cuando el usuario introduce monedas.



FUNCIONES ASOCIADAS A LOS MEDIOS DE PAGO

Las monedas son introducidas por la única ranura de entrada, común para todas las monedas, y son dirigidas por el canal de entrada hacia el validador. Ya hemos discutido las diversas formas que puede tener el canal de entrada; la más interesante es la que tiene forma recta, con acusada pendiente.

Al entrar en el validador, atraviesa el mecanismo anti-hilo y su presencia es detectada mediante un sistema óptico. Esta detecci¢n supone la activación de las funciones del validador (hasta esta activaci¢n el validador estaba en reposo, o "dormido".

La moneda en su camino atraviesa un conjunto de sensores ópticos y electromagnéticos, procediendo el validador con la información obtenida por medio de estos sensores a identificar la moneda.

Si la moneda no es válida, NO indica nada la unidad de control, NO activa su electroimán de paso y la moneda es dirigida hacia el cajetín de devolución.

Si la moneda es válida, le indica a la unidad de control, mediante un código por medio de las señales VAL0-3, qué tipo de moneda está siendo seleccionada.

La unidad de control comprueba si el tipo de la moneda lo tiene permitido y si éste es el caso le contesta al validador mediante la señal de confirmación DVAL.

El validador procede a activar el electroimán de paso, el cual dirige la moneda hacia el almacén intermedio. El validador mediante un sensor óptico de paso, detecta que realmente la moneda ha sido dirigida hacia el almacén y se lo comunica a la unidad de control, enviándole nuevamente por medio de las señales VAL0-3, el código de la moneda.

En el caso de que la unidad de control no tuviera permitido dicho tipo de moneda, no contesta al validador y éste en consecuencia no activa el electroimán de paso, dirigiendo la moneda hacia el cajetín de devolución.

Seguidamente la unidad de control se comunica con la placa de almacén, indicándole que ha entrado una moneda y de qué valor. El almacén intermedio guarda la información del valor de la moneda y en qué celdilla ha sido almacenada, procediendo a situar el carro portamonedas en la posición libre más cercana.

Al finalizar su función, la placa de almacén procede a comunicar a la unidad de control el resultado de su acción, terminando el proceso.

La funci¢n que acabo de describir está bien protegida, por medio del seguimiento tan exhaustivo que se realiza de la trayectoria de la moneda. F¡jese el lector cómo, nada más entrar la moneda en el validador, su trayecto es seguido por un montón de sensores.

Yo hab¡a pensado que quizá sería posible alterar el funcionamiento del electroimán de paso, quizá con un imán muy grande pegado a la pared del TM, o mediante una "moneda" de acero, fuertemente imantada. Al fin y al cabo, el electroimán de paso no puede ser muy grande. Pero aunque se consiguiese desviar la moneda, el último sensor óptico nos jugar¡a una mala pasada, porque avisar¡a a la unidad de control de que la moneda NO ha pasado al almacén intermedio. Chasco. Por lo menos, el TM nos devolvería la moneda.



FUNCIONES PURAMENTE TELEFONICAS

El usuario procede a marcar sobre el teclado el número deseado, la unidad de control mediante las señales F1-4 y C1-5 detecta el dígito pulsado al sensar el cruce que se produce en el teclado matricial.

Comunicando al visualizador el d¡gito marcado para su presentación en pantalla, dependiendo del tipo de marcación programado realiza las siguientes acciones:

* En marcación decédica actúa sobre el circuito marcador serie-paralelo, mediante las señales AL y DRO procedentes de la unidad de control, el circuito realiza las aperturas en la línea y cortocircuita el circuito telefónico.

* En marcación multifrecuencia, la unidad de control activa el MUTE del circuito telefónico y activa el generador multifrecuencia para que genere las frecuencias correspondientes al dígito marcado.

Al producirse la marcación de la tercera cifra o antes, comprueba que el crédito almacenado, es igual o superior al crédito m¡nimo correspondiente a esa comunicación; si no cumple esta condición se comunica con el visualizador, con objeto de que represente el correspondiente mensaje y produce una apertura temporizada en la línea actuando sobre el circuito marcador mediante la señal AL.

Bueno, bueno. Aquí, el TM podría tener un punto débil. Hemos le¡do que el MUTE del microteléfono se activa para usar el teclado, DESPUES de que el usuario haya recibido el tono de invitación a marcar. ¿Qué sucedería si el usuario tuviese en su poder un aparatito de esos que venden para los contestadores? Pongámonos en la situación: Se descuelga el microteléfono. Se recibe el mensaje de introducir monedas. Se introducen 25 pesetas, con una moneda. La moneda se valida, se cuenta, y se queda en el almacén intermedio. El TM invita al usuario a marcar el número. El tono de marcaci¢n todav¡a está ahí. Pero el TM espera que el usuario use el teclado del TM para marcar. ¿Qué pasaría si el usuario usase el marcador multifrecuencia que lleva en el bolsillo? ¿Se daría cuenta el TM? Si se da cuenta, la llamada se lleva a cabo, y el dinero se cobra. El usuario no pierde nada. Pero si el TM no se da cuenta, y los tonos de marcación pasan hasta la centralita, ésta realizará la conexión. Y para que el TM no pierda la paciencia, una vez que la centralita ha dado tono de llamada, el usuario podr¡a marcar un número 900 (gratu¡to) en el teclado del TM. De esta forma, el TM creería estar llamando a un número gratuito, pero en realidad estaría llamando a cualquier otro.

Este método podría tener su talón de Aquiles en el siguiente punto:

Una vez finalizada la marcación y si la comunicaci¢n es tasada, el equipo recibe los impulsos de cómputo. Dependiendo del tipo de tarificaci¢n recibida y programada realiza las siguientes acciones:

* Si el impulso recibido es de 12 kHz, el detector de 12 kHz genera durante el tiempo de presencia el impulso de una onda cuadrada de frecuencia igual a la del impulso. La unidad de control detecta esta señal IT12 y comprueba su duración y frecuencia.

* Si el impulso recibido es de 50 Hz, el detector de 50 Hz genera durante el tiempo de presencia del impulso una onda cuadrada de frecuencia doble a la del impulso. La unidad de control detecta esta señal IT50 y comprueba su duración y frecuencia.

Si el impulso es correcto, comunica al visualizador el nuevo valor del crédito para su presentación.

Si el TM se fijase en los impulsos de cómputo incluso creyendo estar llamando a un número gratuito, el anterior método no funcionar¡a. Pero en caso contrario, el truco está conseguido.

A medida que van llegando impulsos de tarificación, la uniad de control va realizando sus cálculos correspondientes y cuando el valor del "debe" alcanza el valor de la moneda de mayor valor almacenada, se lo comunica al almacén intermedio para su cobro.

Esto es a lo que se refer¡a la introducción cuando hablaba de "cobro ajustado": el TM sabe qué monedas se han metido, y cobra con las adecuadas. Recordemos que se pueden introducir hasta ocho monedas. Esto nos permitir hacer llamadas de duración desconocida a priori, sin pagar de más. La mayor¡a de usuarios del TM no conocen esta función, de forma que meten una moneda de 100 pesetas creyendo que las van a gastar, para que luego les digan "No, Fulanito no está", y gastando las 100 pesetas.

Si ocurre esto, bastar¡a con introducir una moneda de 25 pesetas antes de colgar, de forma que el TM cobrar¡a la moneda de 25 pesetas, y no la de 100, que sería devuelta a su propietario.



FUNCIONES ASOCIADAS A LOS MEDIOS DE PAGO

La unidad de control se comunica con la placa que controla el almacén de monedas (placa de almacén) ordenándole una acción de cobro de una moneda de determinado valor.

Con esta información la unidad de almacén activa el motor, haciendo coincidir la celdilla en que se encuentra retenida la correspondiente moneda (si hay varias monedas del mismo valor, el carro se mueve a la moneda mas cercana a su posición de partida) con la posición de cobro.

Una vez posicionado el carro, la placa de almacén activa el electroimán de cobro (señal EC), verificando mediante el detector óptico de paso que la moneda ha sido cobrada, dirigiéndose la moneda por el canal de paso a la hucha hacia el recinto de hucha.

Si no se produce el cobro en el primer intento, automáticamente se vuelve a realizar un segundo intento en la misma celdilla.

Al finalizar su función, la placa de almacén procede a comunicar a la unidad de control el resultado de su acción, terminando el proceso.

Aquí podemos ver una vez más cómo el uso intensivo de sensores ópticos comprueban todos y cada uno de los movimientos de la moneda. No nos hace gracia, francamente.



FUNCIONES PURAMENTE TELEFONICAS

Cuando el crédito disponible está finalizando (22 segundos antes de que finalize), la unidad de control activa el generador multifrecuencia con objeto de emitir un tono audible al usuario que le indica el fin de crédito, y al mismo tiempo se refleja esta situación mediante un mensaje en el visualizador.

La comunicación puede concluir por tres motivos:

* Colgado del microteléfono.
* Anulación del crédito.
* Pulsación de la tecla R de nueva llamada.

Con estas acciones la unidad de control, actuando por medio de la señal AL sobre el circuito marcador, produce una apertura temporizada en la línea y comunica al visualizador los mensajes correspondientes.

Con la acción de nueva llamada, se produce la inicialización de todas las variables excepto las relacionadas con medios de pago, por tanto permanecen invariables los datos y estados referenetes a monedas y tarjetas.

Si la acción es el colgado o en ausencia de crédito, la unidad de control realiza las acciones que se describen en los tres apartados siguientes.



FUNCIONES ASOCIADAS A LOS MEDIOS DE PAGO

La unidad de control se comunica con la placa de almacén ordenándole una acción de cobro final; con esta orden se comunica la cantidad de dinero a cobrar, no la moneda.

Con esta información la unidad de almacén calcula las diferentes monedas que debe cobrar, acercándose lo más posible a la cantidad indicada "cobro ajustado".

La placa de almacén, además de calcular qué monedas debe cobrar, procede a realizar los cobros optimizando los movimientos del carro con objeto de minimizar el consumo.

A medida que se efectúan los cobros, comunica a la unidad de control su resultado y una vez finalizado procede a realizar la devolución de las monedas no cobradas, comunicando a la unidad de control el importe de la devolución para su presentación en pantalla, terminado el proceso.

Curso de cabinas (Capítulo 4)

::: Comienzo de la contribución :::

Acabo de entrar en la conferencia y he visto la movida que hay con esto de las tarjetas chip de Telefonica, pues bien, yo trabajo en una empresa de desarrollos electrónicos y precisamente he diseñado algunos terminales que funcionan con tarjeta-chip.

Según lo que he probado, la tarjeta de Telefónica es compatible con la GPM-256 de la casa GEMPLUS, es una EEPROM de 256 bits donde los primeros 96 bits son zona de cliente (identificación) y los 160 restantes son zona de aplicación (casillas que se tachan). Aunque sea una EEPROM no es borrable, o sea, una vez grabada ya no se puede recargar.

El patillaje de la GPM-256 es el siguiente:



A Entrada función
VCC+----+ +----+VSS B Entrada función
+--+ | | +--+ FUS Control fusible
A++ +-+ | | ++VPP OUT Salida datos
++ +---+ | ++ ST Entrada strobe
ST++ +-----+ ++ VPP Contacto programación
++ +-+ +-+ ++OUT VCC +5V alimentación
+--+ | | +--+ VSS masa (Nota:
B+----+ +----+FUS no confundir con
tierra)

(Siento hacer este dibujo tan penoso pero no tenía otra idea.)

Ya prové una vez a leer la tarjeta y lo hize, pero la única solución para llamar gratis no es tocando la tarjeta (no se puede hacer nada), sino que es realizando un terminal que emule el funcionamiento de la tarjeta de tal manera que la cabina reciba los datos que enviaría la tarjeta. Bueno, al menos es lo que yo creo, quizás estoy equivocado por que en el mundo de la electrónica nunca se sabe...


+--------------------+
Pin | A | B | OPERACION |
|---+---+------------|
| 0 | 0 |RESET |
| 0 | 1 |UP |
| 1 | 0 |No Used |
| 1 | 1 |WRITE |
+--------------------+

FUS: Control de fusible del área de cliente
OUT: Salida de datos
ST: Strobe (Clock)
VPP: Contacto de programación
VCC: +5Vcc
VSS: Masa

OPERATIVA

Inicialmente
+--------------------+ \
1er bit ->|101101011011..... | | Zona de indentificación
| 96 bits ....1101011| | de cliente
|--------------------| /
|00000000000000000000| \
|00000.... | |
| 160 bits | | Zona de aplicación
| ........0000000| |
|00000000000000000000| |
+--------------------+ /
1 = 5Vcc
0 = 0Vcc

La zona de identificación de cliente viene con unos bits marcados de fábrica, y el resto libres para poder grabar lo que se quiera, pero la zona que viene de fábrica nos asegura que nadie más que nosotros tendrá esa combinación, por lo que no se podrán encontrar tarjetas con zona de indentificación de cliente iguales a las nuestras. Cada cliente tiene su código.

Todos los bits de la zona de aplicación están a '0' y cuando se graban lo que se hace es ir poniendolos a '1'. Los bits se tachan individualmente o sea bit a bit.

La manera de desplazarse por la tarjeta es mediante un contador que apunta a un bit, sacando su valor por el PIN 'OUT', sea un 0 o un 1.


RESET: Coloca el contador en el 1er bit de la tarjeta
A=B=0, pulso en ST => OUT=estado del primer bit

UP: Avanza el contador una posición
A=0 B=1, pulso en ST => OUT=estado del bit apuntado

WRITE: Graba un '1' en el bit apuntado
A=B=1, subir VPP, pulso ST, baja VPP => OUT='0'

El pin FUS se utiliza para fundir el fusible (fuse in english), de grabación del área de cliente, una vez fundido no se puede grabar '0' en ese area, se utiliza como medida de seguridad.

Estoy preparando una documentación del hard y soft de las tarjetas GPM256, (Modelo utilizado por T) es posible que aparte de éste se hayan usado otros, pero puedo ASEGURAR que en la actualidad éste se está usando, ya que me he gastado las pelas y he comprado varias. En mi empresa disponemos de un lector universal GCR-200 de la marca GEMPULS, a la hora de "plegar" me he quedado acabando algunas cosillas, y cuando se han ido todos lo he encendido, y he le¡do la tarjeta. Si recordais uno de mis mensajes anteriores la tarjeta se divide en dos zonas, Cliente y Aplicación. Pues ahí va la info (en Hex) que hay en dos tarjetas de 1000 pts que compré.


Tarjeta 1

Byte 0..11 = AD 83 FF FF 90 C8 E0 1F
14 8A 1E 22
Byte 12..31 = FF C0 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00

Tarjeta 2

Byte 0..11 = AE 83 FF FF 90 C8 E0 1D
14 8A 1E 22
Byte 12..31 = FF C0 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 00

Bueno, ya veis que la zona de de cliente se parece, eso es la identificación con la peculiaridad del número de serie de la tarjeta, que hace cambiar algunos bytes, en éstas muy pocos, porque eran tarjetas seguidas. Inicialmente hay 1000 pts, pero después de hacer una llamada local quedan 982 que son redondeadas a 980 como vamos a ver: leemos la tarjeta de nuevo y vemos lo siguiente:


Byte 0..11 = AE 83 FF FF 90 C8 E0 1D
14 8A 1E 22
Byte 12..31 = FF C0 00 00 00 00 00 00
00 00 00 00 00 00 00 00
00 00 00 02

La zona de cliente queda igual, pero en la de aplicación se ha tachado un bit del último byte (0000 0010). Esto significa que al tachar el segundo representa que también se ha anulado el anterior siendo equivalente a 0000 0011 por lo que se ser¡an dos bits tachados o sea, para gastar 20 pts, se tachan dos bits => cada bit vale 10 pts. Pero si hacemos más llamda y al final nos quedan 915 pts, ¿qué ha sucedido?


Byte 0..11 = AE 83 FF FF 90 C8 E0 1D
14 8A 1E 22
Byte 12..31 = FF C0 00 00 00 00 00 00
00 00 00 00 00 04 00 00
00 00 00 E2

1000 pts - 915 pts = 85 pts

el byte 31 es 'E2' => 1110 0010 si cada bit son 10 pts
8 bits * 10 pts = 80pts gastadas

el byte 25 es '04' => 0000 0100 este bit ha de valer 5 pts
para poder hacer un gasto total de 85 pts

de lo que se deduce que la zona de aplicación esta dividida en dos zonas lógicas:


BYTE 13 ..............25...............31
1100 0000 .......0000 0100........1110 0010
| | |
|---100 bits a 5----|---50 bits a 10---|

500pts 500pts = 1000pts

La idea es tener en el bolsillo monedas de 5 pts y de 10 pts para ir a comprar sabiendo que donde iremos no tendrán cambio, por lo que tendremos que pagar perdiendo lo m¡nimo posible, la cabina va contando el coste de la llamada y cuando colgamos, se nos descuenta la cantidad más próxima posible, para 123 pts cobra 12 x 10 pts. + 1 x 5 pts. perdemos 2 pts. En el peor de los casos perdemos 4 pts y en el mejor ninguna.

Esto es una manera de utilizar pocos bits para conseguir mayor resolución pero partiedo de la base de que lo que se cobrará será siempre superior a la cantidad de la moneda mínima, ya que si no, nos quedar¡amos sin monedas de 5 pts, cosa que no puede pasar porque como m¡nimo se cobra 20 pts.

Supongo que la tarjeta de 2000 hace lo mismo pero con casillas de 5 pts, 10 pts y 20 pts. A lo mejor me gasto más perras y la pruebo. Estoy en proceso de fabricación de un EMULADOR portátil de tarjeta GPM256, ya que me será útil para aplicaciones en la empresa donde trabajo, y un emulador de tarjeta también sirve para lo que os imaginais. Pero antes de seguir, quisiera saber si alguno de vosotros sois abogado o conoceis a alguno para saber hasta que punto se raya la legalidad en este tema ya que NO QUIERO meterme en lios.

::: Final de la contribución :::

No tengo casi ningún comentario que hacer. Este intrépido autor ha confirmado experimentalmente lo que el curso venía explicando: que las tarjetas son inalterables, salvo para rebajar el crédito, y que sólo se graba el bit más significativo para ahorrar tiempo de escritura en la tarjeta.

El emulador que está diseñando este chico daría crédito infinito al usuario, ya que en los 22 segundos que se dispone para cambiar de tarjeta cuando la primera se agota, el emulador se podría "resetear", y ser insertado de nuevo en la ranura. Espero que nos haga saber si lo consigue.

*** Final del primer apéndice del cuarto cap¡tulo ***



Bueno gente, espero que les aya gustado. El autor de este texto es anónimo







Ha!!! me olvidaba, aquí les dejo otro texto que encontre :

Fallo en las cabinas verdes pequeñas (Display Grande).

Como ya sabemos existe un truco para llamar gratis, que corre por la red, y el cual no se si será verdadero, pero yo aquí no voy a explicar precisamente eso... Voy a explicar como sacarles el dinero, y esto si que es verdad porque yo lo he probado, pero hay que tener un poco de sangre fría... El único instrumento que se necesita es un destornillador plano de los pequeños pero que sea fuerte, y por supuesto que la cabina no esté muy vigilada, pero en el McDonalds en hora punta es una buena hora... y va en serio, lo que pasa que han de ser dos personas.... una que llame por telefono, y otra mas bien alta que se ponga en el lado derecho de la cabina para cubrir y sacar las pelas.... (Aunque mas vale que esté en un parquing, aeropuerto, etc). Pero dos personas!!!!!.

Como podemos observar la cabina tiene a la derecha al lado de la llave, un cajón rectangular. Bueno, pues si miramos ese cajón de frente, tendremos que meter el destornillador por la izquierda presionando fuertemente hasta que introduzca en la ranura, y con el destornillador introducido, en la parte superior del lado izquierdo, hacemos palanca (con el destornillador introducido unos dos centímetros). Si ya la han abierto antes, no nos costará nada abrirla, pero si no, tendremos que hacer un poco mas de fuerza. Para que el destornillador no parta, deberemos hacerlo en seco, y no empujando. una vez abierto, tiras del cajon, que es de largo como la cabina y vas sacando pelas.... procurando que no te vean, si notas que te han quincao, cierra el cajon de un golpe seco, y nunca nunca lo dejes abierto. Si ves que van a pasar por tu lado y te van a ver, el que está cubriendo, cubre más, y empuja el cajón pero sin cerrarlo y despues sigue con la operación. Una cosa es que no cojas mas dinero del que puedas llevar encima porque pega el cante que da gusto. Cuando hayas cerrado la cabina ya no te pueden decir nada, así que tranquilamente sales por la puerta con tus pelillas.

Ahora están poniendole candados, chapas etc, pero sigue habiendo un monton de cabinas aún limpias.

Suerte y que no te pillen.



El autor de este ultimo texto es : cyberhack


Fuente: www.hackersdelocos.com.ar

3 comentarios - Curso Phreaking (cabinas telefonicas)

makawex
mmmm genial men muchas gracias xD