Discussione Password SLE 4442

Non vorrei rovinare il thread, ma secondo la mia esperienza, non state impiegando il vostro tempo in modo produttivo. Le possibilità di ottenere la PSC si restringono, secondo me, ad 1 caso e mezzo, almeno per i comuni mortali che non hanno grandi laboratori hardware a disposizione (vedi video su Chris Tarnovsky ):

1) Puoi sniffare il traffico. Ed in questo caso basta comperarsi a pochi euro una logger/season che andava molto di moda all'epoca di D+ (come giustamente suggeriva un utente qualche post più indietro)

1/2) Hai dimestichezza con glitching (di clock o voltaggio) e puoi/sai usare i vecchi unlooper dell'epoca del sat-hacking.

A meno che non individuiate un bug nel protocollo, cosa che vedo molto difficile dato che questa tipologia di card sono vecchie ed usate di frequente, non tirete mai fuori la PSC soltanto con un lettore ed un software standard..
 
Non vorrei rovinare il thread, ma secondo la mia esperienza, non state impiegando il vostro tempo in modo produttivo. Le possibilità di ottenere la PSC si restringono, secondo me, ad 1 caso e mezzo, almeno per i comuni mortali che non hanno grandi laboratori hardware a disposizione (vedi video su Chris Tarnovsky ):

1) Puoi sniffare il traffico. Ed in questo caso basta comperarsi a pochi euro una logger/season che andava molto di moda all'epoca di D+ (come giustamente suggeriva un utente qualche post più indietro)

1/2) Hai dimestichezza con glitching (di clock o voltaggio) e puoi/sai usare i vecchi unlooper dell'epoca del sat-hacking.

A meno che non individuiate un bug nel protocollo, cosa che vedo molto difficile dato che questa tipologia di card sono vecchie ed usate di frequente, non tirete mai fuori la PSC soltanto con un lettore ed un software standard..

la sfida è questa... e comunque.. si abbiamo tutto qello che hai menzionato... ma non basta..perche ora tutti i posti sono video sorvegliati..
 
Preciso e ribadisco che sono ignorante in materia, da quel che leggo provo a trarre una mezza conclusione.
Il mio intento era sniffare il psc senza dover inserire la card nel lettore originale "video sorvegliato" .. poi un utente parla di leggere la card e dargli un comando (da qui ipotizzo siano comandi standardizzati) e dunque non è necessaria la presenza in loco.
Il season lo avevo avvistato, ma pensavo fosse solo un modo carino per non stagnare sulla card (e il pbc pensavo di farlo io tale e quale) ma a questo punto questo season serve anche ad altro ... e se ho capito bene mi permette di fare quel che è il mio intento.
 
Ultima modifica:
forse no...? o forse non si è capito quello che si sta cercando di fare..? :D
Si è capito quello che si cerca di fare, ma visto che la tua risposta è stata che i posti sono video sorvegliati, allora la logica conseguenza è che in realtà non hai tutto a disposizione, perché l'impossibilità di accedere al dispositivo fisico non ti permette di effettuare il log che a te serve.
E qui mi aggancio a ciò che chiede alepunx nel suo ultimo post.

Il PSC non lo sniffi, perché non c'è un comando che dice: dimmi il PSC.
Esiste solo un comando che dice "verifica questo psc", in cui tu passi il psc e la card compara ciò che tu invii con quello che lei ha memorizzato nell'area protetta e ti restiuisce il risultato della verifica, positivo o negativo. Se il PSC è giusto, allora la card resetta l'error counter, altrimenti ti restituisce l'error counter -1, fino al blocco totale della card. Se esistesse un comando di quel genere, allora sarebbe inutile avere la memoria protetta perché chiunque potrebbe leggerlo.
I comandi per pilotare quella card sono standard ed ecco perché puoi leggerla con diversi lettori e diversi programmi, ma non ne trarrai nessun beneficio, perché tu non sai il PSC originale di quella card. L'unica cosa che otterrai è il dump del contenuto della card in un modo meno user friendly rispetto al vederlo sul software di alto livello che tu usi.
Queste informazioni puoi ricavartele leggendo il datasheet e/o l'application note del chip che sono tranquillamente disponibili in rete.
Chiarito questo, dovrebbe esservi chiaro il perché, in modo ironico, vi ho detto che state spendendo male il vostro tempo.

Io ho usato, come sviluppatore, quel tipo di card (intendo quelle generiche a memoria protetta), perciò posso dirvi che se chi ha programmato quelle card è stato un minimo furbo, all'interno dei dati stessi ha inserito degli ulteriori meccanismi di verifica per evitare la compromissione della card anche avendo il PSC giusto.. Ma questo è un altro discorso,ancora e sarebbe cmq uno step successivo.
 
ok, chiarito che si deve sniffare il traffico dalla macchina originale non cè altro da fare che trovare un modo più o meno pittoresco per camuffare il tutto agli occhi della videocamera.
A questo proposito utilizzerò un analizzatore logico (sull'amazzone ora è scontato a 10 euro spedito!) e tramite software cercherò di analizzare la traccia e ricavarne il psc.
Poi in un secondo momento, spero che tu Hyde abbia ragione sul fatto dei dati criptati all'interno della main, perchè potrà suonare strano, ma più dell'uso improprio, la parte interessante e divertente è la comprensione dei dati!
 
Anch'io sono alle prese con lo stesso studio e il modo meno riconoscibile dalla videosorveglianza sarebbe quello suggerito dall'utente @_Ptr_ , ovvero l'emulazione su una smartcard programmata ad hoc. Ci sarebbe però da lavorarci sopra, in quanto l'emulatore disponibile su github (sempre che sia funzionante...) non sembra compatibile con i micro di solito installati sulle vecchie funcard satellitari: ho provato a compilarlo e sembra andare a buon fine solo mettendo come target l'atmega8 o similari. Se ci fosse qualche esperto di AVR in grado di aiutarci...
 
Ultima modifica:
Anch'io sono alle prese con lo stesso studio e il modo meno riconoscibile dalla videosorveglianza sarebbe quello suggerito dall'utente @_Ptr_ , ovvero l'emulazione su una smartcard programmata ad hoc. Ci sarebbe però da lavorarci sopra, in quanto l'emulatore disponibile su github (sempre che sia funzionante...) non sembra compatibile con i micro di solito installati sulle vecchie funcard satellitari: ho provato a compilarlo e sembra andare a buon fine solo mettendo come target l'atmega8 o similari. Se ci fosse qualche esperto di AVR in grado di aiutarci...
Ed ecco una cosa interessante, l'emulazione.
Esiste quindi il modo di emulare una 4442? se si dove posso trovare info a riguardo?
Meglio di tutto sarebbe riuscire ad emulare una 4443 ...
Purtroppo non ho mai lavorato con queste cose e mi ritrovo a 0.
Avevo visto la titanium e la platinum smartcard, ma non ho idea di come utilizzarle.
 
Ed ecco una cosa interessante, l'emulazione.
Esiste quindi il modo di emulare una 4442? se si dove posso trovare info a riguardo?

Di interessante solo il sorgente all'indirizzo https://github.com/sonovice/sle4442 e il datasheet della Siemens, oltre a qualche sorgente per le vecchie funcard satellitari, che però sono un po' diverse: le SLE4442 seguono un protocollo sincrono pur essendo aderenti allo standard ISO 7816.
 
Una delle prove che vorrei fare (se possibile) sarebbe quella di emulare una sle4443 e nella main inserirci il contenuto della mia 4442 ... sono curioso di vedere cosa succede
 
  • Mi piace
Reazioni: faccetta
Anch'io sono alle prese con lo stesso studio e il modo meno riconoscibile dalla videosorveglianza sarebbe quello suggerito dall'utente @_Ptr_ , ovvero l'emulazione su una smartcard programmata ad hoc. Ci sarebbe però da lavorarci sopra, in quanto l'emulatore disponibile su github (sempre che sia funzionante...) non sembra compatibile con i micro di solito installati sulle vecchie funcard satellitari: ho provato a compilarlo e sembra andare a buon fine solo mettendo come target l'atmega8 o similari. Se ci fosse qualche esperto di AVR in grado di aiutarci...

Ho acquistato di recente una funcard ma purtroppo non è possibile l'emulazione della card. Il pin RST della smartcard è fisicamente collegato al pin di reset del microcontrollore interno. Il problema principale è che il reset di una SLE4442 è attivo alto (cioè normalmente rimane basso e quando voglio resettare la card lo porto alto) mentre il reset del microcontrollore funziona al contrario (normalmente rimane alto e quando voglio resettare il micro lo porto basso). L'emulazione è quindi impossibile, dato che il micro rimarrebbe in reset per tutta la durata di un comando valido.

Ho provato anche a modificare una goldcard su basetta, montando un ATMEGA8 con i pin opportunamente collegati ai contatti della smartcard per farlo funzionare con il codice presente su https://github.com/sonovice/sle4442 . Con un lettore (Infinity Usb Unlimited) l'emulazione "funziona" (almeno la lettura la fa correttamente, la scrittura non ho provato) mentre con un altro lettore (il noto lettore cinese N99) riesco solo a fare l'ATR ma la lettura si inceppa.

Probabilmente c'è qualche debolezza nel codice, proverò ad analizzare cosa non va (magari lo riscrivo da zero).
 
Ho acquistato di recente una funcard ma purtroppo non è possibile l'emulazione della card. Il pin RST della smartcard è fisicamente collegato al pin di reset del microcontrollore interno. Il problema principale è che il reset di una SLE4442 è attivo alto (cioè normalmente rimane basso e quando voglio resettare la card lo porto alto) mentre il reset del microcontrollore funziona al contrario (normalmente rimane alto e quando voglio resettare il micro lo porto basso). L'emulazione è quindi impossibile, dato che il micro rimarrebbe in reset per tutta la durata di un comando valido.

Ho provato anche a modificare una goldcard su basetta, montando un ATMEGA8 con i pin opportunamente collegati ai contatti della smartcard per farlo funzionare con il codice presente su https://github.com/sonovice/sle4442 . Con un lettore (Infinity Usb Unlimited) l'emulazione "funziona" (almeno la lettura la fa correttamente, la scrittura non ho provato) mentre con un altro lettore (il noto lettore cinese N99) riesco solo a fare l'ATR ma la lettura si inceppa.

Probabilmente c'è qualche debolezza nel codice, proverò ad analizzare cosa non va (magari lo riscrivo da zero).
Io non ho idea se la cosa possa o no funzionare ... ma il mio motto di quest'anno è "non funziona ... ma se funziona" e di conseguenza lasceresti un bel segno in questo spazio dell'internet.
 
  • Mi piace
Reazioni: faccetta
Non so a che punto siate arrivati con altre questioni e non voglio sapere cosa ne dobbiate fare, però io mi son scritto un decoder per sigrok per il protocollo delle SLE44xx. Potete trovarlo qui ed utilizzare un qualsiasi logic analyzer supportato da sigrok per sniffare il pin.

Ho provato a farlo mergiare nel master di sigrok, ma la PR è stagnante da un bel po', dunque dovete utilizzarlo come indicato nel repo.

A me era servito per una perizia giudiziaria, dunque veramente non so a cosa possa servire a voi, però magari vi torna utile non usare quel cesso del buspirate che funziona una volta su 10
 
Non so a che punto siate arrivati con altre questioni e non voglio sapere cosa ne dobbiate fare, però io mi son scritto un decoder per sigrok per il protocollo delle SLE44xx. Potete trovarlo qui ed utilizzare un qualsiasi logic analyzer supportato da sigrok per sniffare il pin.

Ho provato a farlo mergiare nel master di sigrok, ma la PR è stagnante da un bel po', dunque dovete utilizzarlo come indicato nel repo.

A me era servito per una perizia giudiziaria, dunque veramente non so a cosa possa servire a voi, però magari vi torna utile non usare quel cesso del buspirate che funziona una volta su 10

Ottimo, grazie! Sarà molto utile nello studio.
 
Non so a che punto siate arrivati con altre questioni e non voglio sapere cosa ne dobbiate fare, però io mi son scritto un decoder per sigrok per il protocollo delle SLE44xx. Potete trovarlo qui ed utilizzare un qualsiasi logic analyzer supportato da sigrok per sniffare il pin.

Ho provato a farlo mergiare nel master di sigrok, ma la PR è stagnante da un bel po', dunque dovete utilizzarlo come indicato nel repo.

A me era servito per una perizia giudiziaria, dunque veramente non so a cosa possa servire a voi, però magari vi torna utile non usare quel cesso del buspirate che funziona una volta su 10
bel lavoro, appena avrò la possibilità proverò senz'altro!
 
Sono riuscito a "fixare" il codice per l'emulazione di una SLE4442, lo trovate qui https://github.com/Ptr-srix4k/sle4442
Se lo si compila con "#define BACKDOOR" si ottiene una carta che viene sbloccata con qualsiasi PSC.

È chiaro che serve una basetta tipo quella delle goldcard per connettere l'ATMEGA8 ai contatti della smartcard, se non ci fosse stato il casino del coronavirus avrei provato ad ordinare una basetta ad hoc con JLCPCB. In alternativa si può acquistare una goldcard (tipo da qui https://www.networkshop.it/en/wafer-card-dil-a.html), togliere il PIC e saldare direttamente i contatti dell'ATMEGA8.
 
Ultima modifica:
Fammi capire, quindi posso usare il goldcard (opportunamente modificato) per emulare una 4442 senza aver bisogno del PSC, ma posso anche successivamente all'utilizzo, rileggere l'atmega8 e vedere il PSC "grubbato" in chiaro?

Appena ho tempo provo a realizzare un pcb al volo per collaudare il tutto, se funge ne farò una versione definitiva più carina.

Ad ogni modo che dire ... OTTIMO LAVORO!
 
Ciao Ptr ma come dovrebbe funzionare io sono negato in programmazione ,ma si farebbe tutto solo leggendo la sle o bisonga andare in loco sotto le telecamere ??
Messaggio unito automaticamente:

io ho parecchia roba dai tempi di telepiù vafer fancard smartmaus possono essere utili ??
 
Ultima modifica:
Ciao Ptr ma come dovrebbe funzionare io sono negato in programmazione ,ma si farebbe tutto solo leggendo la sle o bisonga andare in loco sotto le telecamere ??
Messaggio unito automaticamente:

io ho parecchia roba dai tempi di telepiù vafer fancard smartmaus possono essere utili ??
Da quel che leggo il wafer modificato sarà in tutto per tutto una sle4442, quindi potrai utilizzarla abbastanza agevolmente anche sotto le telecamere (avrai solo i 2 fili di alimentazione da nascondere ... semplice) e se ho capito bene, tratterà il psc in chiaro che potrai usare sulla tua 4442 originale ... praticamente (spero di aver capito bene) lo puoi utilizzare come "sniffer" 2.0.
Se così fosse, bhè, dategli una medaglia!
Ps. forse ho detto una cazzata sull'alimentazione ... quella la prende dal lettore, quindi nemmeno dovrebbe servire.
 
io una medaglia la darei volentieri ,ho vafer e il resto ma non so come fare il programma da metterci dentro. ..
Messaggio unito automaticamente:

ma la vafer non monta un pic 16f84 e una eprom a parte ..non e un atmega 8 ???
 
Ultima modifica:
Allora,
- NON è possibile utilizzare una funcard o una goldcard su SCHEDA. Come ho spiegato, il reset di quelle carte è collegato direttamente al PIN di reset dei rispettivi MCU, che è attivo basso, mentre quello delle SLE4442 è attivo alto.
- È possibile utilizzare una funcard/goldcard, su BASETTA, in maniera tale da sfruttare i contatti della basetta stessa. In questo caso il PIC (o l'AT90) va tolto e bisogna collegare l'ATMEGA8 come indicato nella sezione "schematic" presente su github.
- Il microcontrollore va programmato con un programmatore apposito (il programmatore USBASP costa poco ed è facile da usare). Se serve posso fare degli script per facilitarne la programmazione. Tutta la toolchain è open-source. Non si possono usare i programmatori di wafercard.
- Al momento l'unica cosa che si può fare è l'emulazione di una card che accetta qualsiasi PSC, il grab del PSC è una cosa che attualmente nel codice non si può fare (ma è semplice, magari oggi pomeriggio la aggiungo).

Come vedete, la cosa non è "plug and play", serve qualche sforzo in più. Per adesso è un piccolo step, prima di realizzare qualcosa di più semplice ce ne vuole (sarebbe stato utile creare una basetta ad hoc e ordinarla su JLCPCB, ma dalla Cina è tutto bloccato).
Messaggio unito automaticamente:

Aggiunta la possibilità di fare il grab del PSC (molto più facile del previsto!).
Dato che la scrittura sulla EEPROM interna del micro dura 8.5ms e data la necessità di disabilitare tutti gli interrupt per eseguire una scrittura sulla EEPROM, una volta che il lettore invia il PSC, l'emulazione viene disabilitata e il micro rimane impegnato a scrivere sulla EEPROM. In questo caso la verifica del PSC da parte del reader non sarà corretta (la card è bloccata e non dà nessuna risposta) ma tanto non ci interessa, dato che il PSC oramai l'ha già inviato e noi stiamo salvando tutto sulla EEPROM.

Il PSC viene salvato all'indirizzo 0x00, 0x01 e 0x02 sulla EEPROM, può essere letta utilizzando il programmatore dell'AVR (tipo l'USBasp citato sopra).

Badate bene: io questo codice (e quello precedente) l'ho testato con dei lettori di card che avevo in casa, non l'ho provato ad utilizzare su un hardware "vero" (tipo una lavanderia, uno skipass, ecc.).
 
Ultima modifica:
Io intanto ho acquistato sia la wafer che l'atmega8.
Appena li avrò in mano, dissaldo il pic e collego quei 2/3 pin alla basetta come da schema.
Poi per la programmazione ci penserò dopo (certo, se ci fosse qualche script per rendere il tutto più user friendly sarebbe proprio il massimo).
Mi chiedevo se per programmare l'atmega fosse sufficiente un ch341a.
 
Io intanto ho acquistato sia la wafer che l'atmega8.
Appena li avrò in mano, dissaldo il pic e collego quei 2/3 pin alla basetta come da schema.
Poi per la programmazione ci penserò dopo (certo, se ci fosse qualche script per rendere il tutto più user friendly sarebbe proprio il massimo).
Mi chiedevo se per programmare l'atmega fosse sufficiente un ch341a.
non credo Ale... io lo ho... nel software non c'è l'atmega 8...