Recopilación de Phreaking
Bienvenidos al primer número de SPR (Spanish Phreaking Recopilation). Esto no pretende ser ningún ezine nuevo ni nada por el estilo. Solamente es una recopilación de diversos trucos y métodos que han ido apareciendo en la red. Por supuesto no he incluido grandes trabajos, considero que es suficiente con reagrupar pequeñas cosas. Así que no me enrrollaré más. Espero que sea del agrado del público. Ahh, si alguien echa en falta algún documento, que me lo comunique.

Contenido
* Phreak (Por La Vieja Guardia)
* Trucos para cabinas (Autor desconocido)
* Reprogramación del OKI 900 (t800@redestb.es)
* Reprogramación del OKI 1325 (t800@redestb.es)
* Blue-box y demás (Autor desconocido)
* Phreak con Moviles analógicos (Por Cacique & ICE-Kid)
* Tarjetas telefonicas (Juan Manuel García López)
* Otro emulador de Tarjetas de (T) (Autor desconocido)

Phreak
El phreaking empezó en los inicios de la década de los 60 cuando un tal Mark Bernay descubrió como aprovechar un error de seguridad de Bell. Este error se basaba en la utilización de los mecanismos loop-arround-pairs como via para realizar llamadas gratuitas.

Lo que Bernay descubrió fue que dentro de Bell existían unos números de prueba que servian para que los operarios comprobaran las conexiones. Estos números solían ser dos y consecutivos, y estaban enlazados de tal manera que si se llamaba a uno este conectaba con el otro. Así pues si alguien en EEUU marcaba una serie de estos números de prueba consecutivos podria hablar gratuitamente .

Este descubrimiento fue potenciado sobre todo por los jóvenes de aquel entonces, los cuales solo lo utilizaban con el fin de ahorrase dinero a la hora de hablar con sus amigos. Pero la cosa cambio cuando cierto numero de estos descubrieron que Bell era un Universo sin explorar y al que se le podria sacar mas partido que el de unas simples llamadas gratuitas. Asi pues de los rudimentarios loop-arround-pairs se paso a la utilización de ciertos aparatos electrónicos, los cuales son conocidos ahora como boxes. La primera box que se encontró fue hallada en 1961 en el Washington State College, y era un chisme con una carcasa metálica que estaba conectado al teléfono... automáticamente fue llamado Blue Box (caja azul).

Estas boxes lo que hacian era usar el nuevo sistema de Bell para redirigir las llamadas: los tonos. Esto es, cuando se marcaba un número, este lo identificaba Bell como una combinación de notas musicales que eran creadas por 6 tonos maestros, los cuales eran los que controlaban Bell y por lo tanto eran secretos...o al menos eso pretendían. El como los phreakers llegaron a enterarse del funcionamiento de estos tonos fue algo muy simple y estúpido : Bell, orgullosisima de su nuevo sistema lo publicó detalladamente en dos revistas que iban dirigidas única y exclusivamente a los operarios de la esta compañía telefónica, lo que paso es que no cayeron en la cuenta de que todo suscriptor de esa revista recibió también en su casa un ejemplar que narraba el funcionamiento de Bell...increíble pero cierto .

Bien, una vez que los phreakers conocieron los secretos la compañía telefónica no les fue muy dificil reprodicir esos tonos y utilizarlos de la misma forma que lo hacia Bell. Las primeras Blue boxes eran unos aparatos que tenian unos tubos de vacío (precursores de los transistores) que emitían tonos. También eran conocidas como MFs (multifrequency trasmitters). Pero desde aquel entonces las Blue Box han evolucionado mucho...

Más o menos por esas fechas Bell ya estaba bastante ocupada intentando acabar con lo que ahora de conoce como Red Boxes (cajas rojas), que eran unos artilugios mas simplones que las Blue Boxes pero que también eran muy utilizados. Solian ser un teléfono de campo militar o uno corriente modificado que se conectaban a un aparato Bell. Su funcionamiento era muy simple (pero efectivo), mandaban una señal lo suficientemente corta para que la centralita pensara que la llamada no había sido descolgada cuando en realidad si lo había sido. Por ejemplo, supongamos que instalamos una cajita roja en casa de un amigo, al que luego llamamos por un teléfono público. Nuestro colega no tendrá más que apretar un botoncito para mandar una señal y poder hablar gratis. Mientras en la centralita local no se ha registrado que el teléfono de nuestro amigo se haya levantado sino que sigue sonando como si no hubiera nadie en casa. Y este era el mayor handicap de las Red Boxes, que solia ser sospechoso que una persona hubiera estado esperando 30 o 40 minutos a que en el destino levantaran el teléfono. También existía otra Red Box que imitaba el sonido que hacen las monedas al caer, haciendo creer a la compañía telefónica que la llamada habia sido pagada

Al poco tiempo salió una variación de la Red Box inicial que fue llamada Black Box, la cual hacia que el teléfono dejara de sonar antes de ser descolgado, de esta manera en la centralita no se facturaba la llamada ya que habia sido cancelada antes de que el destinatario descolgara el teléfono.

En realidad no existe ningún nombre especifico para cada Box, quiero decir, que lo que uno llame Reb Box otro puede llamarla de otra forma siendo lo mismo, aunque normalmente la Blue Box, la Red Box y la Black Box suelen ser siempre llamadas por estos nombres debido a que fueron las primeras en salir y las mas famosillas...pero no las únicas (piensa en todos los colores que te sepas y podrás sacar una box por cada uno mas o menos).

La más famosa y evolucionada era la Blue Box. Para no pagar la llamada los phreakers lo que hacían era llamar a un número de información de otra ciudad o a un número comercial gratuito (1-800 en EEUU, 900 en España...) y después redirigian la llamada utilizando los tonos de su MF. Profundicemos: cuando se realizaba una llamada lo primero que hace la centralita es leer los primeros dígitos marcados que son los que indican que tipo de llama es (larga distancia, urbana...). Supongamos que la llamada realizada es de larga distancia. Para ello la centralita la conecta con una línea de larga distancia que en ese momento este desocupada, la cual emite constantemente un silbido de 2600 ciclos (mmmmh...¿de que me suena este numero?) el cual significa que la línea esta preparada para recibir una llamada. Cuando el phreaker termina de marcar el resto de los números (llamados dígitos de dirección) la llamada ha finalizado. La centralita deja al emisor (el phreaker) que marque su número deseado, y la línea vuelve a silbar 2600 ciclos para permitir entrar a la llamada. Es entonces cuando nuestro amigo marcaba un numero gratuito, por ejemplo el 1-800 de cualquier empresa. La centralita local de la zona de la empresa a la que hemos llamado detecta una llamada interurbana a un numero gratuito, y dirige la llamada hacia allí. Es en ese momento, antes de que la empresa responda, es cuando el phreaker pulsa el botón de su MF, mandando un silbido de 2600 Hz, que es interpretado por la centralita primera como que la llamada ha sido cortada, puesto que la línea silbaba, cosa que hacia cuando estaba libre. Pero mientras tanto en la centralita de la zona de la empresa no se habia detectado nada, sino solamente una llamada a un numero gratuito que no habia finalizado aún. Asi pues,el phreaker podía marcar pacientemente el número que quisiera, ya que tenia una línea de larga distancia para el solito y de gratis. Ufff, no se si se ha entendido bien...si esta complicado decirlo que intentare enfocarlo de otra manera, ok?

Las blue boxes no solo servían para realizar llamadas gratuitas, sino que proporcionaban a sus usuarios los mismos privilegios que los operadores de Bell.

Lo realmente curioso, y desastroso para Bell, es que algunas personas eran capaces de silbar 2600 ciclos de forma completamente natural. El primer phreaker que utilizaba este método fue Joe Engressia (ciego) que ha los 8 años y por azar silbó por el auricular de su teléfono cuando escuchaba un mensaje pregabado y la llamada se corto. Realizo esto varias veces y en todas se le cortaba. La razón es un fenómeno llamado Talk-Off, que consiste en que cuando alguien silba y alcanza casualmente los 2600 hz, la llamada se corta, como si fuera una Blue Box orgánica . Joe aprendió como potenciar su habilidad para silbar 2600 Hz y ya con 20 años era capaz de llamar, producir los 2600 Hz con su boca y silbar los tonos del número al que quería llamar... ¡increíble!.

Fue avisado de que sus aficiones telefónicas eran ilegales y se mudo a otro estado para ahorrarse problemas. Se mudo a Memphis, ciudad que tenia distritos telefónicos independientes, y se dedico a realizarse como phreaker. Empezaron a vigilarle y le cogieron; pasó la noche en la cárcel. Fue solamente acusado de poseer una caja azul y de robo intencionado de servicios...en realidad su único delito fue su amor por Bell, la cual se negó a devolverle la línea. Joe Engressia trabaja actualmente para Bell Mountain .

Otro phreaker que utilizaba el método de Engressia, fue John Draper, más conocido por Cap´n Cruch, nick que sacó a raiz de un silbato que regalaban con la marca de cereales Cap´n Cruch, el cual, podría utilizarse como instrumento para hacer phreaking. Draper hacia algo parecido a lo que que hacia Joe Engressia, soplaba su silbato y la línea se quedaba libre . También se dedico a proveer a machismos chicos invidentes cajas azules y les enseño a manejarlas, lo que le hizo muy popular. Una vez que Draper fue a Inglaterra habló con uno de sus amigos ciegos que vivía en Nueva York. Este le dijo que habia descubierto el código que utilizaban los operarios de Bell para comprobar la conexión con Inglaterra. Ese código era 182 + un número de teléfono británico. Las llamadas efectuadas por esa línea eran gratuitas . El descubrimiento se divulgo rápidamente por toda la comunidad phreaker que querían probar la nueva vía, pero como casi ninguno conocía a nadie en Inglaterra se dedicaron todos a llamar a Cap´n Crunch. Hay que decir que por aquel entonces una llamada intercontinental no era algo muy común, y mucho menos si era transatlántica, para empezar porque la mayoría de las veces la llamada podría tardar más de medio ida en llegar a su destino. Cuando una familia se comunicaba con otro pariente de otro continente solían hacerlo un par de veces al año como mucho, debido a las dificultades que conllevaba esto. Por esa razón la GPO (Oficina de correos Británica, que en ese momento se encargaba de la telefonía bretona) se sorprendio de que un turista recibiera del orden de unas 5 o 6 llamadas al dia, por lo que le investigaron. Draper soltó la excusa de que era muy popular en EEUU y por eso la cantidad de llamadas...no convenció mucho a las autoridades inglesas, y Cap´n Crunch tuvo que pedirle a sus amigos que dejaran de llamarle.

Una de las más extravagantes formas de difusión del phreaking fue la que llevó a cabo Cap´n Crunch cuando fue arrestado y encarcelado a mediados de los años 70. Dentro de la cárcel se vio obligado a transmitir sus conocimientos por cuestiones de vida o muerte, es decir, o les explicaba a los reclusos las mas diversas técnicas del phreaking o le machacaban...el resultado es evidente. Draper enseño a los reclusos de la prisión en la que se encontraba a cambio de seguir vivo. De esa manera todo recluso que salía de allí era un phreaker en potencia, que había tenido como maestro a uno de los mejores, por no decir el mejor.

Muchos phreakers evolucionaron mas tarde al hacking, como es el caso del pionero Mark Bernay, que bajo el nick de The Midnight Skulker (El vigilante de medianoche) se rió de todos los fallos de seguridad de su empresa, dejando mensajitos sarcásticos a cualquiera que metiera la pata...fue traicionado y encerrado . Pero eso no significa el phreaking haya muerto, ni mucho menos, simplemente que con el avance de las tecnologías también avanzaron ellos. Ahora se sigue practicando este fantástico arte, aunque tanto han mejorado las tecnologías de un lado como de otro...ya no basta con realizar un truco parecido al de los loop-arround-pairs para mantener una conversación gratuita, ahora es 'algo' más difícil, pero siempre que exista una valla alguien la saltará...o sea, que nadie piense que el hacking mató al phreaking porque no es asi, los dos viven en perfecta armonía y en pleno auge.

Reprogramar el OKI 900
Hi! Dudes, aqui teneis como reprogramar vuestro telefono movil OKI Modelo 1150 , tambien conocido como OKI 900

Proximamente instrucciones para el modelo 1325.

Encender el telefono con la tecla PWR mas de 1 segundo

Pulsar RCL+MENU al mismo tiempo

Introducir con el teclado *12345678# y pulsar dos veces seguidas STO

En la pantalla se ver la revisiOn del software y el nUmero de serie en HEX

Ahora introducir el número de abonado empezando con 2148 XX XX XX (siendo X el nUmero del abonado sin el 908)

A continuación pulsar la tecla STO

Pulsar la tecla BAJAR VOLUMEN hasta que aparezca en la pantalla --> Num AID

Introducir con el teclado 23552, acontuaciOn pulsar la tecla STO

Pulsar la tecla BAJAR VOLUMEN hasta que aparezca en la pantalla -->IPC no.0323

Pulsar la tecla BAJAR VOLUMEN hasta que aparezca en la pantalla -->ACCOLC No.XX

Introducir con el teclado los numeros 05 y pulsar STO

Pulsar la tecla BAJAR VOLUMEN hasta que aparezca en la pantalla -->PS DDC 0323

Pulsar la tecla BAJAR VOLUMEN hasta que aparezca en la pantalla -->NPS DCC 0023

Pulsar la tecla BAJAR VOLUMEN hasta que aparezca en la pantalla -->Option bit.

Aparecera 0001001 (por defecto). Cambiarlo si no es correcto y pulsar STO.

Pulsar la tecla BAJAR VOLUMEN hasta que aparezca en la pantalla -->Dispaly OWN.

Pulsar 0908, y acontinuación la tecla STO.

Apagar el telefono con la tecla PWR.

Para comprobra si la programación ha sido correcta pulsar, despues de encender, la secuencia RCL # #

Reprogramar el OKI 1325
1.- Encender el teléfono ( Si esta apagado o sin bateria no funcionará ),Je

2.- Pulsar al mismo tiempo las teclas RECALL y MENU

3.- Marcar antes de 20 segundos *122345678#. El display indica=20 ENTER NEW PW & STO

4.- Pulsar STORE. El display indica: Re-enter PW & STO

5.- Pulsar STORE otra vez

6.- Pulsamos el cursor del volumen inferior ( Situado en el lateral del telefono ), Hasta que aparezca PROGRAMAR TEL

7.- Transcurridos unos segundos aparecerá en pantalla NUMERO, marcar el numero del abonado comenzando con el 2148 xx xx xx. Pulsar STORE para grabarlo

8.- Con el mismo cursor del volumen pasamos a la siguiente pantalla, apareciendo VISUAL, marcar a continuación 908 xx xx xx ( Evidentemente donde esta la x nosotros ponemos un numero :-) ), Pulsar STORE

9.- Pulsar el cursor del volumen y vermos en pantalla NUM. AID. marcar el numero 23552 y pulsar STORE

10.- Volver a pulsar el cursor de volumen, hasta ver IPCH NO. marcar el numero 0323, pulsar la tecla STORE

11.- Oprimir nuevamente el cursor de volumen, aparecerá en pantalla ACCOLC NO, marcar el 05, y a continuacion STORE

12.- Pulsar el cursor de volumen apareciendo PS DCC, marcar 0323 y STORE

13.- Pulsar el cursor de volumen y aparecera OPTION BIT, marcar=20 00010001 y STORE

Ahora apagamos el teléfono y ...

!!! Correcto ya está programado !!!

Moviles Analógicos
Aquí os dejo un articulito que hemos hecho para enseñar un poco en que consisten las comunicaciones celulares, y que se puede hacer con ellas.

Hemos usado algunas revistas muy conocidas, así que si a alguno le suena lo que hemos escrito, que no se alarme, es muy posible que lo hayais leido en otro sitio

Bueno, empezemos, y si alguien tiene alguna duda, que la haga, que intentaremos solucionarsela ( si podemos ;-D ).

Teléfonos celulares Por Cacique & ICE-Kid.

Las comunicaciones celulares, tan de moda ultimamente (regalan celulares hasta con los cereales del desayuno X-DDDD) tienen un funcionamiento parecido al de las llamadas telefónicas convencionales.

Las llamadas se hacen a traves de las MTSO (Mobile Telecommunications Switching Office). Las MTSO manejan todas las llamadas desde y para celulares y ademas, manejan la tarificación. Son parecidas a nuestras centrales telefónicas convencionales.

Una llamada proveniente de la MTSO es enviada a una célula y de cada célula, la señal viaja hasta el teléfono celular. Estas células, son repetidores que cubren la superficie de un area. Cuando nos movemos por esta area, la señal de nuestro teléfono, es manejado por esta célula que la pasa a la MTSO desde donde accede a la red telefónica normal. Cuando nos aproximamos al borde del area de cobertura de una célula, la señal pasa inmediatamente a otra célula donde la llamada continua sin interrupción. Esto se denomina Cellular Hand-Off.

Las comunicaciones celulares, se reparten entre muchas células, de forma que parece una gran colmena de abejas.

La mayoría de las células están situadas en las areas en que son necesitadas, por eso vemos tantas células en las orillas de las carreteras. Cada célula tiene su propio transmisor receptor que la conecta con la red telefónica local. Cuando la llamada viaja de una célula al MTSO, la información del celular (número de abonado, frecuencia, numero de serie electrónico etc...) pasa unida a la transmisión telefónica para de esta forma tarificar la llamada. Conociendo la posición geográfica de la célula, se puede llegar a descubrir la posición de un movil que esté activo. Esto es importante, pues se puede localizar a una persona cuando realiza una llamada.

Los teléfonos celulares son realmente computadores, terminales de red, unidos por una gran red celular. Al ser computadoras, obviamente los teléfonos celulares también son programables. Esto, en la mente de un hacker significa que no hay razón para limitar un teléfono movil a las "pobres" funciones que su fabricante le ha dado. También significa, que un teléfono movil, puede ser Hackeado }:-)).

Para hackear un movil, se necesita acceder a una zona de su memoria, la cual contiene el soft que los técnicos metieron allí para posteriormente poder reprogramar el movil.. Esta zona suele estar escondida tras un password como en los OKI 900.

Para localizar este password no hace falta tratar con la más sofisticada ingeniería social, simplemente se puede encargar el Manual Técnico y estudiarle detenidamente. Hemos dicho Manual Técnico, no Manual del Usuario, tenerlo en cuenta.

Algunos teléfonos móviles contienen un modo secreto que les convierten en un poderoso scanner celular. Usando desensambladores, se pueden sacar del soft del teléfono, incluso 90 comandos secretos para controlar el celular.

Normalmente, también se puede controlar el teléfono con un ordenador personal, ya que los fabricantes suelen incluir un interface que haga esto más facil para resolver posibles averias dentro de los teléfonos.

Sigamos con el OKI900. Este celular tiene una ROM de 64-Kbytes en la cual almacena su soft y que tiene cerca de 20 kbytes libres. Todo este espacio se puede llenar de nuevos programas. }:-))

Esto que viene ahora, puede ser pura ciencia ficción. Pero imaginaros un programa en estos 20ks. Imaginaros un programa que se pudiera transmitir junto con la información del celular, a la célula. Imaginaros un programa con algunos comandos que pudieran influir en esa célula, o quizás en el teléfono receptor (siempre que fuera otro celular). Tan solo imaginaros las posibilidades. De todas formas, ya os lo he dicho. Quizás solo sea ciencia ficción } ...

Ahora vamos a lo interesante. ¿Cómo hacer llamadas gratis con un movil?. Bueno, realmente no son gratis. La comunicación se tarifica.La cuestión está en aprovechar las inevitables emisiones de radio de baja potencia de un celular, para construir un teléfono que con la pulsación de unos cuantos botones, sea capaz de scanear el espectro RF para conseguir el numero de serie electrónico de una víctima. Se debe estar muy cerca de la víctima para conseguir este número de serie, así que un buen lugar para hacerlo, pueden ser los puentes situados sobre las grandes autopistas de entrada a las ciudades, por donde una gran cantidad de yuppies colgados a sus celulares suelen pasar para ir o volver de su trabajo.

Una vez que consigamos este numero de serie electrónico, nuestro siguiente paso, será reprogramar nuestro teléfono para que las comunicaciones que hagamos sean con ese numero de serie. De esta manera, nuestras comunicaciones serán tarificadas a la víctima.

Algunos os preguntareis: ¿Y no recibiremos las llamadas de la víctima en nuestro celular? Pues si, es posible, aunque con solo conectar el movil para realizar llamadas, no debemos preocuparnos. También alguno os preguntareis si cuando la víctima descuelgue su celular para realizar alguna llamada y nosotros estemos realizando otra, nos podremos oir. La respuesta es no, puesto que la señal que enviemos nosotros es de ida, es decir, no vuelve a nosotros y de todas formas, cada llamada utiliza un canal privado. De esta manera no nos podrán oir.

Tarjetas Telefónicas
por Juanma
Después de que los bancos nos llenaran los bolsillos de tarjetas de banda magnética, llegan los teléfonos y nos ofrecen unas nuevas tarjetitas, del mismo tamaño, pero completamente distintas. Esos trocitos de plástico que parece que llevan una peseta de las antiguas incrustada en una de sus caras son las tarjetas chip. Desde aquí pretendemos alumbrar un poco sobre el misterio que encierran.

Una tarjeta chip es, en su modelo más sencillo, una memoria EPROM (Eraseable Programmable Read-Only Memory) de 256 bits que pueden ser leídos y, algunos de ellos, escritos. Hay modelos más complejos, que incluyen zonas que no pueden ser leídas si no se proporciona una clave, o que tienen incluso un microprocesador con sistema operativo propio (definido en el estándar ISO7816). Las tarjetas de teléfono pertenecen al primer modelo, pero no por ello son inseguras. El hecho de que no haya campos protegidos contra lectura se explica porque no hay nada confidencial en ellas (al contrario de, por ejemplo, en las tarjetas de los bancos).

Una EPROM se borra sometiéndola a radiación ultravioleta. Para garantizar la inviolabilidad de la tarjeta, el chip está recubierto de resina opaca a dicha luz. Así, resulta imposible borrar los bits de la EPROM, impidiendo de esta forma la grabación en la tarjeta del contenido que nosotros deseemos. Además, aun en el caso de que consiguiésemos que la luz ultravioleta llegase al chip, con ello pondríamos a cero TODOS los 256 bits. Alguien pensó en ello e incorporó un fusible (que ya viene fundido de fábrica) cuya misión es la de impedir la grabación en los primeros 96 bits de la tarjeta, zona denominada "del fabricante", y que sirve como DNI de la tarjeta (Sí. Llevan número de serie individual) y como identificación del fabricante y demás. Al no poder reescribir esta zona, la tarjeta quedaría inservible, ya que no sería reconocida. Si alguien comenzó a leer este artículo únicamente pensando que podría ahorrarse unos duros en teléfono, aquí acaba para él. La respuesta es «no se puede» recargar una tarjeta, lo que si pondemos es emularla (para mas informacion ver seccion de ficheros). Si, por el contrario, el lector es curioso, lo que viene a continuación son algunos detalles de funcionamiento.

Conector
La distribución de los contactos del conector es la siguiente:



Contacto
Significado
1
Vcc = +5V
2
-R/W
3
CLK
4
RST
5
GND
6
Vpp = +21V
7
I/O
8
FUS

El bus de datos es de un solo bit (contacto 7), y no hay bus de direcciones. Las posiciones de memoria van siendo leídas/escritas secuencialmente. Si se desea leer/escribir una posición determinada, se ha de hacer un "reset" a la tarjeta (contacto 4) y comenzar leyendo desde el bit 1 hasta la posición elegida. El contacto 2 a nivel alto indica petición de escritura. A nivel bajo, lectura. Los contactos 1, 5 y 6 son los correspondientes a la alimentación de la tarjeta. GND es el voltaje de referencia. Vcc es el voltaje de la circuitería, +5V, y Vpp es el voltaje necesario para escribir bits en la tarjeta. El contacto Vpp está normalmente a +5V salvo cuando se escribe, que pasa a +21V. El contacto 8 (FUS) es utilizado únicamente en fábrica para impedir la escritura en los 96 primeros bits. El contacto 3 (CLK) es mediante el cual se comunica a la tarjeta cuál debe ser su ritmo cardiaco. Algunos fabricantes de tarjetas no emplean los contactos 6 y 8, ya que, en algunos modelos, no es necesario el voltaje +21V para programar el chip.

Mapa de memoria

A estas alturas, al lector ya se le habrá ocurrido pensar cómo se pueden introducir 1000 o incluso 2100 pts. en 256 bits, máxime cuando 96 de ellos están ya ocupados para la identificación de la tarjeta. Veamos detalladamente qué es lo que hay en esos 256 bits:

Bits 1-8 (byte 1): Byte de comprobación. Su valor es 216 menos la suma de los bits 9 a 96.
Bits 9-16 (byte 2): 83h
Bits 17-32 (bytes 3-4): FFFFh
Bits 33-40 (byte 5): Identificador de la marca del fabricante. En las tarjetas españolas
vale 90h, 30h o 5Ah, según el fabricante de que se trate.
Bits 41-64 (bytes 6-8): Número de serie. En las tarjetas etiquetadas como 30h y 5Ah en el
byte 5, se calcula como Byte 6 * 10000h + Byte 7 * 100h + Byte 8. En las demás, se
ignora.
Bits 65-80 (bytes 9-10): Valor inicial de la tarjeta:
1000 pts. -> 148Ah
2000 pts. -> 2504h
2100 pts. -> 2506h
Bits 81-88 (byte 11): 1Eh
Bits 89-96 (byte 12): País. España es 22h, pero hay otros países cuyas tarjetas utilizan el
mismo mapa de memoria.

Hasta aquí la zona del fabricante. A partir de aquí comienza la zona de datos propiamente dicha: 160 bits, de los cuales los diez primeros (bits 97-106) se funden (ponen a uno) en fábrica para probar la tarjeta.

A medida que vayamos consumiendo la tarjeta, se irán poniendo más bits de esta zona a uno, pero no uniformemente. Dentro de los 150 bits disponibles hay dos zonas, y su mapa depende del valor de la tarjeta:

En las tarjetas de 1000 pts., los bits 107 a 206 son unidades "lentas". Cada bit puesto a uno en esta zona vale 5 pts. En total, 500 pts. Los bits 207 a 256 son unidades "rápidas". Un bit a uno en esta zona vale 10 pts. En total, otras 500 pts. En las tarjetas de 2000 pts., los bits 127 a 166 son unidades de 5 pts. (total: 200 pts.), y los bits 167 a 256 son unidades de 20 pts. (total: 1800 pts.). Se desconoce la utilidad de los bits 107 a 126 en estas tarjetas. Posiblemente no se usen. En las tarjetas de 2100 pts., el funcionamiento es como el de las de 2000 pts., salvo que la zona "lenta" corresponde a los bits 107 a 166 (300 pts.). La decisión de utilizar unidades"lentas" o "rápidas" corresponde al aparato lector. El autor de este artículo desconoce el criterio empleado.

Sin embargo, aparece algún interrogante:

- Las tarjetas de 1000 pts. son, aparentemente, más flexibles que sus hermanas mayores, ya que el tamaño de las unidades de cobro es más uniforme que en las de 2000 y 2100 pts.

- Al término de las unidades menores, ¿qué ocurre? Si no hay "duros" para usar, se supone que la unidad mínima de cobro es la unidad rápida. En una tarjeta de 2100 pts. con los "duros" agotados, unallamada urbana que sobrepase mínimamente las 20 pts. nos costará la friolera de ¡40 pts.! frente a las teóricas veintipocas. No obstante, esto es sólo una suposición que se revela inmediatamente de la estructura de los datos de la tarjeta, estando en estos momentos pendiente de confirmar.

- Como ahora la llamada mínima en una cabina es de 20 pts., es de sospechar que en las tarjetas de 1000 pts. se consuma primero alguna unidad de 10 pts. De esta forma, se terminarán antes las unidades de 10 pts. que las de 5 pts., y así los redondeos serán mínimos. Por tanto, en cada llamada con una tarjeta de 1000 pts. se pierden a lo más 4 pts. (de 0 a 4, dependiendo de lo que le falte al importe de la llamada para llegar a múltiplo de 5 pts.), y en media 2 pts. por llamada. En una tarjeta de 2100 pts. las pérdidas medias han de ser mayores (las unidades lo son, y el redondeo es por abajo). Desde luego, es nefasto utilizar una tarjeta de 2100 pts. sólo para llamadas urbanas de 25 pts.: las 30 primeras serían a 25 pts, las 30 restantes (¿por qué 30?) serían a 40 pts.

- ¡Ojo con dejar 5, 10 o 15 pts. al final en una tarjeta! Es posibleque no puedan ser utilizadas, ya que la llamada mínima es de 20 pts. Existe la posibilidad de vaciar la tarjeta en la cabina cuando está casi terminada, con el fin de emplear el crédito restante junto con otro medio de pago, pero es una posibilidad que está muy poco documentada en las cabinas.

Espero que esto ayude a todos un poco a utilizar más inteligentemente las tarjetas. Seguiremos investigando.

Otro emulador
Aqui teneis otro esquema para emular una tarjeta de telefonica, no esta probado.

- ESTAÑO 60/40
- 2 RESISTENCIAS DE 1K OHMS [¦¦¦]
- 1 CAPACITORES ELECTROLITICOS 0.1 MICROFARADIOS (CERAMICO) [¦]
- 2 CAPACITORES ELECTROLITICOS 0.00 47 MICROFARADIOS (CERAMICO) [¦]
- 2 TRANSISTORES 2N 2222 [Ú]
- 1 CIRCUITO INTEGRADO TL-081
- 1 DIODO VARICAP BB 122 [¹]
- 1 TARJETA CHIP DE 25 CREDITOS (NUEVA)
- 1 CABLE 1 MICRON (30 CM) (EL DE BOBINA DE MOTORES SCALECTRIC)

PLANO GENERAL:

----- --------
T +---------+ +-------+
1¦ ++ ++ ¦5
A ¦ ++ +-+ ¦
C +---------+ ¦ ++ +--------+
R +-------+ +-+ ¦ +++-------+
H 2¦ +++---+ ¦++ ¦6
J +--------+¦ ¦+--------+
I +--------+¦ ¦+--------+
E 3¦ +++-----+++ ¦7
P +-------+ +-+ +-+ +-------+
T +---------+ ¦ ¦ +---------+
4¦ ++ ++ ¦8
A ¦ ++ ++ ¦
+---------+ +---------+


Ó ; ¦
+-------¦
+---¦¦¦-------+ ¦ ¦ ¦
¦ ++ ¹ ¦ ¦
¦ +---------¦ ¦ ¦
¦ +----+ ¦ ¦ ¦
¦[8¦ == ¦- ¦ ¦ ¦
+--¦ TL ¦---+ +-------+
-¦ 081¦[4]¦ +------+
-¦ ¦---¦ /
+----+ ¦ /
¦¦¦-Ú
¦ *\
¦ +----
¦ /
+--Ú
*\
+----

*=marca

Bueno... Luego de Estudiar el Plano.. fijate bien como soldar.. que sea con una punta fina en lo posible y rapida (que no caliente mucho).
La tarjeta SIM es un chip a través del cual nos identificamos ante nuestro operador GSM y a través de este con otros operadores. Representa la línea GSM que tenemos contratada, ya que la pongamos en uno u otro terminal mantenemos el numero de abonado.

La SIM, consta de un código de seguridad de acceso llamado PIN, el cual está formado por cuatro dígitos. Dicho código podemos cambiarlo a voluntad e incluso anular su petición.

Está formada por un microprocesador, una memoria ROM y otra RAM de 8K, en la que se encuentran:

Una agenda de 90 o 100 posiciones para almacenar nombres y números de teléfono.
Una agenda de 14 o 16 posiciones donde quedarán almacenados los SMS recibidos.
Una agenda de 10 posiciones donde almacenar 10 nombres y números para crear una restricción de llamadas a dichos números. Sólo con PIN 2.
La SIM consta de un código de acceso, el PIN 1, de 4 dígitos, de manera que si lo introducimos 3 veces erróneamente se bloquea. En este caso nos pide el PUK 1 que consta de 8 dígitos, si lo introducimos correctamente nos desbloquea el PIN 1. Si el PUK se introduce erróneamente 10 veces, la SIM se bloquea indefinidamente.

Disponemos también de un PIN 2 para activar la la marcación fija (agenda de 10 posiciones) o control del coste, restricciones,etc. Si lo introducimos 3 veces mal, nos pide el PUK 2 que consta de 8 dígitos, el cual, una vez introducido correctamente, nos desbloquea el PIN2. Si el PUK 2 se introduce erróneamente 10 veces, el PIN 2 se bloquea indefinidamente.

La podemos encontrar en dos tamaños: ISO, grande o Plug-in pequeña


Datos Generales de las Tarjetas Sim
CPU: Tecnología CMOS, cod. de operación compatible con SAB 8051
ROM: 15 KByte usuario + 2 Kbyte CMS
RAM: 256 bytes
EEPROM: 8 KBytes o 16 KBytes
Página EEPROM: Flexible, de 1 a 32 bytes en operaciones de escritura/borrado
Tensión de programación: Generada internamente
Tiempo de prog. EEPROM: 3,5 ms para escritura o borrado
Modo ahorro de energía: Sm
Características de seguridad: Sensores de alta/baja tensión y baja frecuencia. Filtro de alta frecuencia
Interfaz serie: Cuatro según ISO 7816-3: desde 9600 bps a 76800 bps

Características especiales

Seguridad

Mecanismos de seguridad hardware en el componente.
Protección de integridad de datos mediante bytes de redundancia lineal.
Protección contra búsqueda extensiva de CHV.
Zona de espejo de seguridad ante extracción indebida de la tarjeta.
Flexibilidad

Tarjeta multi-aplicación abierta: grado de profundidad de ficheros indefinido.
Formato de tarjeta reversible: ID-1/ PLUG-IN (patente FNMT).
Mecanismo de extensión del Sistema Operativo en EEPROM.
Flexibilidad tras personalización: órdenes Crear Cabecera/ Crear Datos.
Extensión indefinida de ficheros.
Parámetros de CHV configurables en personalización.
Ocultación / exposición de ficheros.
Optimización en el espacio

Extensión indefinida de ficheros.
Opción de búsqueda extensiva de claves, para evitar repetición de ficheros de seguridad.
Pseudónimos, para evitar duplicidad de datos en distintos ficheros.
Garantía de tamaño mínimo para las aplicaciones.
Optimización en el tiempo de vida

Mediante el uso de ficheros de "alta actualización". De esta forma, el período de vida de la memoria de la tarjeta no se limita a las 100.000 actualizaciones garantizadas por el componente.

Personalización

Modo de alta velocidad a 38.400 bps.

Herramientas

Con el fin de ayudar a evaluar, comprender e incluso definir las posibilidades que ofrece la tarjeta SIM, la FNMT ha desarrollado un kit completo de aplicación en Windows: el SICOTIC.


Normalización

La tarjeta MIMo-SIM sigue los requerimientos físicos, eléctricos y funcionales definidos en ISO 7816-1/-2/-3 y EN 726-3, así como las recomendaciones ETSI-GSM 11-11.


Fuente: www.elhacker.net