You are on page 1of 31

http://club.cdfreaks.com/showthread.php?

t=76565&page=1&pp=25
Chiavi caff [Zanussi, FAGE]
Join Date: Oct 2003
Posts: 25 Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------Ciao ragazzuoli....
Mi presento...sono xPITx e sono un tipaccio molto curioso....
Tempo fa su questo forum fu proposto lo sverginamento del caro sistema COGES e con grossa gioia l'imene si ruppe!
Ora le cose si fanno + difficili...
Abbiamo a che fare con i nuovi sistemi senza contatto a trasponder... (per intenderci le nuove chiavi usate dalla Conpas
zanussi e FAGE)
Parler delle Zanussi (o anche dette Conpas o zip) perch io smanetto su queste (premetto che il sistema FAGE pressoch
identico)
Queste amate chiavette sono dei semplici contenitori di plastica senza alcun contatto esterno che contengono il
meraviglioso e misterioso trasponder della philips PCF7931.
Questo benedetto trasponder che mi ha bruciato 3 anni della mia vita e sopratutto mi ha fatto perdere (e continua a farlo)
ore ed ore di sonno....e un cosettino nero di 12mm di lunghezza per 6mm di larghezza...
E un blocco compatto di materiale particolare, che contiene al suo interno un circuito microscopico composto da un
antennina e un eprom nanometrica...
Il PCF7931 un trasponder a 125khz ed formato da una memoria di 1024 bits (128 byte) e viene letto e scritto con un
apposito programmatore via RF
La memoria divisa in 8 blocchi
Il blocco 0 ed il blocco 1 sono blocchi riservati per i controlli di accesso, i restanti possono essere utilizzati per
immagazzinare quello che si vuole...
Io sono riuscito a procurarmi un raro programmatore in Polonia e con questo ho letto tutta la memoria del trasponder....
Nel caso delle chiavette il credito e visibile senza problemi infatti lo troviamo nel blocco 3
Nel blocco 2 invece troviamo un codice univoco che contraddistingue ogni chiave.
Vi chiedere e nei restanti?
Qui viene il bello....
Come dicevo il blocco 0 ed il blocco 1 contengono dei dati per il controllo accesso...
Ma concentriamoci sul blocco 0 quello + bello!
In questo blocco nei primi 7 bytes c' scritta la password di accesso!!! questa password la chiave di tutto!
Dov' il problema? il problema e che la password non visibile!
Il PCF7931 stato progettato a dovere, infatti il gestore pu decidere di proteggere il trasponder in lettura tramite questa
password (7 bytes) ma sopratutto decidere di rendere quest'ultima non visibile in lettura.
Nel blocco 0 l'ottavo byte funge proprio per questo....
Esempio di Blocco 0:
00 00 00 00 00 00 00 01 FF FF FF FF FF FF FF FF
Come vedete nell'esempio se l'ottavo byte posto a 01 la password (cio i primi 7 bytes) e sostituita in lettura da tutti 00
Se l'ottavo byte fosse impostato a 00 avremmo la nostra password in chiaro ( e con questa si potrebbe fare di tutto!)
Naturalmente nelle chiavette l'ottavo byte e impostato a 01 quindi la pass e nascosta dagli 00.
1

L'unico modo di modificare l'ottavo byte e avere la stessa password che viene celata dagli 00.
Altra cosa nel PCF7931 e possibile anche stabilire quali blocchi devono essere visibili in lettura (in totale ne sono 8).
Nelle chiavette (almeno quelle zanussi) la lettura viene limitata ai primi 4 blocchi, quindi nei restanti il contenuta (non
avendo la password) resta ancora sconosciuto..
Cmq, credo non contengono nulla di interessante...forse non vengono semplicemente utilizzati..
Cosa importante da sapere....la password non viene mai mandata dalla trasponder ma viceversa...
Funziona cosi:
Il lettore del distributore contiene la password esatta, quando inseriamo la chiave il distributore manda al trasponder la
password se questa corrisponder il lettore pu scrivere su di essa.
Scordatevi il metodo COGES (multipippo, eprom con i piedini)....
qui siamo in un altro mondo l'eprom contenuta all'interno del trasponder e grande circa 2mm...
E poi una volta distrutto il materiale esterno del PCF7931 quest'ultimo deve essere buttato...
Sono anni che studio il PCF7931...sono in possesso di Datasheet (introvabile) e programmatore...
Ormai sono alla stremo delle mie forze...accetto ogni suggerimento...e magari scambio di idee con qualcuno che come me
sta lavorando su questa bestia o cmq persone seriamente interessate.
Secondo me l'unico modo e aver accesso alla memoria della eprom senza passare per il circuito di "access controll" cosi da
poter leggere la password, ma davvero mi risulta impensabile visto che quest'ultimo e contenuto nella eprom di 2mm.......
fantascienza...
Sono a disposizione per chiarimenti...
Aspetto vostre opnioni....
xPITx

> Funziona cosi:


> Il lettore del distributore contiene la password esatta, quando > inseriamo la chiave il distributore manda al trasponder la
> password se questa corrisponder il lettore pu scrivere su di
> essa.
Un loop di intercettazione? anche se cripti tu dei dati su cui lavorare li hai, e pure la documentazione.
> l'eprom contenuta all'interno del trasponder e grande circa
> 2mm...
ma staccata dal complesso? penso sia un'ibrido quello che vedi...
> E poi una volta distrutto il materiale esterno del PCF7931
> quest'ultimo deve essere solo buttato...
Dipende da che metodo usi, non e' detto
> Secondo me l'unico modo e aver accesso alla memoria della
> eprom senza passare per il circuito di "access controll" cosi da > poter leggere la password, ma davvero mi risulta
impensabile
> visto che quest'ultimo e contenuto nella eprom di 2mm.......
> fantascienza...
No, ti manca solo metodo, non IL metodo.
Sei stato piu' vicino alla soluzione piu' di quanto pensi.
Chiariamo, non me ne pu fregare di meno del trasponder
ne' come entrarci, mi ha incuriosito il metodo di approccio al problema, e non mi interessa farlo.
Per ci non mi vieta di darti un consiglio, di piu' non domandare perch ....ecc ecc
2

Devi solo cambiare metodo, solo un pochino, dimentica elettronica


brute force, intercettazione (quasi), e comincia ad avere un approccio meno elettronico o meccanico, magari un po' piu'
liquido.
Diciamo da negozio di vernici....
Poi anche se la eprom e' di 2mm vedrai che il problema di interfacciarsi con un piccolo sgorbietto del genere e' moooolto
ma mooolto piu' semplice.
Un'ultima cosa, i vari passaggi li risolvi quando non ti accanisci.
Mo' mettiti al lavoro, vediamo cosa tiri fuori... ;-)
>Plastica nera lucida o opaca?
Plastica lucida. Esattamente il codice del materiale SOT385
>Un loop di intercettazione? anche se cripti tu dei dati su cui >lavorare li hai, e pure la documentazione.
Per l'intercettazione dovrei costruire un piccolo circuito con eprom e bobina da avvicinare al distributore mentre compie
operazioni con la chiave...ma non sono ancora in grado di mettere in atto una cosa del genere.
> l'eprom contenuta all'interno del trasponder e grande circa
> 2mm...
>> ma staccata dal complesso? penso sia un'ibrido quello che vedi...
L'eprom che ho trovato nel trasponder e grande quanto la lettera D sulla tastiera!! e poi su quel minuscolo circuito credo
che oltre all'eprom ci sia l'interfaccia di "Access control" e qualcos'altro che non mi viene in mente...
> E poi una volta distrutto il materiale esterno del PCF7931
> quest'ultimo deve essere solo buttato...
>> Dipende da che metodo usi, non e' detto
L'unico metodo che mi ha permesso di vedere cosa c' all'interno del trasponder senza distruggerlo completamente stato
riscaldare il materiale esterno ad alta temperatura cosi da poterlo frantumare senza troppi sforzi.
>Devi solo cambiare metodo, solo un pochino, dimentica >elettronica
>brute force, intercettazione (quasi), e comincia ad avere un >approccio meno elettronico o meccanico, magari un po' piu'
liquido.
>Diciamo da negozio di vernici....
Non riesco a capire cosa intendi...forse parli di utilizzare qualche acido per sciogliere il materiale esterno...
>Poi anche se la eprom e' di 2mm vedrai che il problema di >interfacciarsi con un piccolo sgorbietto del genere e'
moooolto >ma mooolto piu' semplice.
Scusami ma mi riesce davvero difficile immaginare di interfacciarmi con un eprom contenuta su un circuito di 2mm...
Mi servirebbe un laboratorio e strumentazione per la miniturizzazione..!
>Un'ultima cosa, i vari passaggi li risolvi quando non ti accanisci.
Non so se posso riuscirci...
xPITx
> Per l'intercettazione dovrei costruire un piccolo circuito con
> eprom e bobina da avvicinare al distributore mentre compie
3

> operazioni con la chiave...ma non sono ancora in grado di


> mettere in atto una cosa del genere.
..hai hai hai....
> L'eprom che ho trovato nel trasponder e grande quanto la
> lettera D sulla tastiera!!
E' enorme allora...
> e poi su quel minuscolo circuito credo che oltre all'eprom ci sia
> l'interfaccia di "Access control" e qualcos'altro che non mi viene > in mente...
interessa l'eprom non altro...
> L'unico metodo che mi ha permesso di vedere cosa c'
> all'interno del trasponder senza distruggerlo completamente > stato riscaldare il materiale esterno ad alta temperatura
cosi da > poterlo frantumare senza troppi sforzi.
Si si lo so lo so ...
>Diciamo da negozio di vernici....
> Non riesco a capire cosa intendi...forse parli di utilizzare
> qualche acido per sciogliere il materiale esterno...
acido... che brutta parola...
> Scusami ma mi riesce davvero difficile immaginare di
> interfacciarmi con un eprom contenuta su un circuito di 2mm...
> Mi servirebbe un laboratorio e strumentazione per la
> miniaturizzazione..!
macche'...macche'...fai un search si google
>>Un'ultima cosa, i vari passaggi li risolvi quando non ti accanisci.
> Non so se posso riuscirci...
allora ci devi rinunciare...se non superi queste difficolt la vedo dura...

Join Date: Nov 2003


Posts: 1 Ciao. premetto che sono poko pratico del sistema in questione pero sarei molto interessato a capirne il
funzionamento di queste chiavette zip.
Sapresti indicarmi qualche sito dove poter trovare informazioni sul trasponder (a parte il sito philips che ho gi
consultato)..
PEnsi si possa riuscire a leggere e riscrivere il contenuto del chip?

Join Date: Nov 2003


Posts: 1 Chiave PCF7931
-------------------------------------------------------------------------------Ciao, io sono interessato a queste "bastarde" chiavette da circa 2 anni, ma nn sono mai riuscito a trovare niente riguard
(..le ho smontate, ho cercato i datasheet etc etc.)

Cortesemente potresti farmi avere i datasheet della chiave ?


Te ne sarei molto grato !
La mia e-mail : pytony@tin.it

-------------------------------------------------------------------------------Uhmm... Bene,molto bene anzi benissimo!!


Ieri immettendo su google robot (aah.. quello era Jeeg!..) la sigla del nostro bel RF-ID-COSO scopro con piacere che c'e'(ci
sono)altre teste perse come me, che smanettano su questi piccolini e misteriosi (ma non per
molto....ah...ah...ah...,ahhhhhh,,,aahhhhhhhhhhh, ehmmm scusate.)aggeggini. Dunque,da una veloce lettura del forum
denoto alcune cose:vedo(mi riferisco a xPITx) che sei veramente avanti con i lavori( ovviamente ti sarei molto grato se
potessi avere una bella copia dei data sheet!! he!! he!!) io ho pensato che l'unica soluzione e' creare un nuovo supporto che
contenga oltre al trasponder anche una bobina di rame da 0,23mm attorno a questo e con un circuito apposito leggere cio'
che invia lo zip-scrittore , e quindi anche la password. Sto' lavorando al circuito......
Per quanto riguarda il brute force (beh ...7 byte uhm......2*10e56........2per2 quattro etcc.. etcc..=72057594037927936
soluzioni) mi sa' che e' decisamente da accantonare.
P.S. per quanto riguarda la soluzione di accedere alla eprom, inteso proprio come chip, beh io ho a che fare con i
chip(prima ancora di venire sotterrati nell'epossidica) e vi assicuro che e' praticamente impossibile(anche una volta
disciolto il package con qualsiasi tipo di acido,alcol,brio blu'(lo sciogli macchia!),breeze(there's free spirit in
everyone!),ace (candeggina:...guarda mamma.......STRAPP...!!)sapone marsiglia,dudemon etcc..) interfacciarsi con questa
in maniera hardware.
Ciao

Join Date: Nov 2003


Posts: 17 Mi sa ke xPITx nn si fa pi vivo, ha postato 2 volte ad ottobre e poi basta, quei datasheet farebbero molto
comodo... mi sa ke se li tiene stretti, e sul sito della sony nn esistono (di questo trasponder) ma solo del 7935 e up ma nn
7931 (qello ke c interessa, io forse trovato qualcosa su un sito straniero, ma nn ho ancora avuto tempo d guardare cosa ho
scaricato.
Riguardo sunglass mi sa ke ha un po' dell sbooorone, fa tanto il saputello ma nn parla kiaramente... beh, pazienza.
Allora buon lavoro a tutti, se riesco a combinare qualcosa sicuramente ve lo faccio sapere
byez

Join Date: May 2000


Posts: 202 bene bene bene... pensavo di essere il solo a pormi questo quesito ma vedo che non cos.... GRANDI!!!
Cmq sono alle prime armi e per adesso mi documento un p andandomi a cercare il 3td che descrive il sistema COGES
tanto x chiarirmi le idee di base.
Ciao

Join Date: Oct 2003


Posts: 25 A quanto pare esistono altri pazzi...
per TECNOBYTE:
Il circuito che descrivi tu (cio un grabber) e una delle soluzioni che vanno sperimentate... naturalmente una delle +
plausibili.
Quindi se ci stai lavorando fammi sapere come procede la cosa....
Per quanto riguarda il brute... penso sia decisamente da accantonare...

L'interfacciamento fisico con la eprom (che su di un ibrido di 2mm) e praticamente impossibile ma vorrei sperimentare
un p con il microprobing quindi chiedo a Tecnobyte se mi sa consigliare qualche prodotto serio per sciogliere la resina
epossidica.
Per tutti quanti: il datasheet un po pesante quindi non credo di poterlo mandare a tutti, lo uploado da qualche parte e vi
faccio sapere.
xPITx

Join Date: Nov 2003


Location: nice island
Posts: 7 Chi non muore... ...si rivede!
-------------------------------------------------------------------------------...e allora:
Per quanto riguarda il microprobering,il problema non e' tanto il discioglimento della epox , bensi' l'interfacciamento vero
e proprio con l'eprom , because mentre in un normale IC ci sono i famosi filini d'oro che collegano le piazzuole di
input/output del chip con i piedini esterni,nel nostro bel transponderozzo non c'e' nulla di tutto cio' , quindi niente
piedini ,niente piazzuole e niente filini, ma ,immagino,solo un chip 2x2 interamente "passivato"(ricoperto) di SIo2 , come
tutti i chip!
Per il grabbering:test in corso.
Non dimenticare i DS!
P.S. dai un' okkiata
...non capisco il perch, ma per vedere questo link bisogna fare il refresh!!!
Attachments Pending Approval issunaz.jpg

Join Date: Oct 2003


Posts: 25 Non mi riferivo certo ad un interfacciamento fisico...!
Vorrei sperimentare con i raggi UV come suggeritomi dall'amico sunglass, per l'azzeramento del bit di sicurezza...anche se
ho molti dubbi...
Per quanto riguarda il grabbering fammi sapere al + presto.
P.S. il link che hai messo non funziona...puoi rimetterlo?

Join Date: Oct 2003


Posts: 25 Sono riuscito a vedere il link.....uhm un bel lettore conpas...molto interessante....ma la foto e tua? stai
sperimentando con quello?
Fammi sapere anche in pvt.
xPITx

Join Date: Dec 2003


Posts: 13

mi ci butto anche io, l'approccio suggerito da sunglass da "negozio di vernici" l'unica cosa che mi viene in mente usare
la vernice conduttiva per creare delle piste per poter interfacciare la eeprom, quando ha parlato di raggi UV? e poi sempre
che sia una eeprom cancellabile con raggi UV, cosa risolveresti? cos perderesti la pass e tutto il contenuto...
e adesso le domande:
come pensi che vengono modificati i dati sulla eeprom in una transazione normale?
se si riuscisse a leggere la eeprom come suggerisce sunglass pensi che i dati al suo interno sarebbero ancora criptati oppure
vedresti nei primi byte la pass e alla fine lo 01?
io il circuito non l'ho mai visto, ma mi sembra strano che la eeprom non abbia piedini, al massimo il transponder non ha
contatti ma una volta aperto...
se avete foto del transponder circuito eeprom o altro potete upparle?

Join Date: Oct 2003


Posts: 25 Mi sa che non leggete prima di scrivere...
Il mio primo post spiega tutto.
- Il trasponder si riesce a leggere senza problemi
- Non c' nessun tipo di criptaggio
- Conosco benissimo (e nel posto lo spiego dettagliatamente)
l'organizzazione della memoria.
- Non possibile interfacciarsi in nessun modo con la eprom (quindi lasciate perdere queste considerazioni!)
Detto questo se leggete bene il post si capisce che l'unico ostacolo e la password di 7 byte che non permette la scrittura.
Quindi tutti i discorsi che si fanno sono solo rivolti a quest'ostacolo e basta.
Naturalmente tutte le sperimentazioni vanno provate, anche se qualcuna risulta valida (vedi grabber) invece altre sono da
scartare a priori.
Provare con gli UV non significa intervenire su tutta la memoria dell'eprom ma cercare di indirizzare questi solo sulla
matrice che contiene il bit di sicurezza come si interviene nel caso delle smartcard (naturalmente non ho ancora avuto
modo di provare).
Secondo il mio parere (che vedo condiviso anche dall'amico TECNOBYTE) il modo migliore per poter svelare la pass non
intervenire direttamente sull'eprom del trasponder ma cercare con un circuito apposito di grabbare la password quando
viene inviata dal distributore.
Quindi prego di non postare domande del tipo "ma si riesce a leggere la memoria?", "possiamo interfacciarci con la
eprom?" come ho gi detto nel post tutto chiaro basta leggere bene.
Ultima cosa il PCF7931 non della Sony (come qualcuno si ostina a scrivere) ma della Philips!

Join Date: Dec 2003


Posts: 13
mi piacerebbe sapere come fai ad indirizzare gli uv. hai presente come sono fatte le eeprom che si possono cancellare con
uv? prima di di tutto non sono eeprom, ma rom, secondo devono avere il core a vista ed esposto e non un package in resina
completo, terzo se riesci a cancellare una matrice della memoria lasciando inalterato il resto probabilmente ti danno una
laurea ad onoris visto che che su un integrato di 2x2 fai che la rom 1x1 a stare abbondante dovresti mascherare una parte
di mm quadro con precisione di 0.2-0.3 micron visto che questo il processo produttivo adottato, se ti va bene, ma
probabilmente anche meno, (tutto questo senza contare i problemi di rifrazione-riflessione degli uv, e che i dati da
cancellare potrebbero essere in layer sovrapposti a dati che vuoi tenere quindi cancelli tutto) quindi ti do' un consiglio:
scordati gli uv.
7

il metodo del grabbing mi sembra uno dei pi fattibili, ma io non tralascerei anche la possibilit di interfacciarsi se non
alla eeprom al circuito di controllo a cui l'induttanza collegata per dovrei vedere come fatto il tutto pu darsi che si
possa fare qualcosa o anche che non serva a niente questo non lo so.
Per il grabbing vedo che c' chi ha le idee un po' confuse, facciamo chiarezza: prima di tutto anche con un grabber devi
conoscere per filo e per segno il protocollo di comunicazione tra il lettore e la chiave se no non capiresti niente, poi
l'induttanza del grabber avvicinata al lettore restituir delle variazioni di tensione in regime PAS con freq 125 khz; ogni
64 periodi codificato 1 bit, precisamente ogni variazione di tensione in aumento a met del periodo corrisponde ad un 1 e
in diminuzione a 0, anche avendo loggato tutta la stringa di 0 e 1 bisognerebbe avere sottomano il protocollo, tradurlo in
binario o tradurre in esadecimale la stringa per vedere le corrispondenze.
Detto questo spero di esservi stato utile e vediamo di non litigare visto che io il tuo post l'ho riletto 3 volte prima di postare
e quindi ti ho chiesto perch ritenevo potesse essere utile allo scopo.
Se mi puoi mandare il datasheet del PCF7931 mi fai un favore, poi se vuoi lo uppo e vi posto un link pubblico cos lo
possono avere tutti, mandalo
grazie

Join Date: Nov 2003


Posts: 2 Non mi e' chiara una cosa: la famosa password di 7 byte del blocco 0 e' unica per tutte le chiavi o dipende dal
codice univoco della chiave del blocco 2?
Inoltre, a cosa serve il blocco 1?
Perche dici che i blocchi 0 e 1 sono per i controlli di accesso se il codice univoco della chiavetta e' nel 2?
In che formato e' memorizzato il credito nel blocco 3?
(probabilmente tutto queste mie domande non serviranno a capire come interfacciarsi, ma almeno inizio a capirci qualcosa
del funzionamento...)
Ciao e grazie

Join Date: Oct 2003


Posts: 25 Naturalmente non volevo assumere un tono litigioso...
Volevo solo evitare che si facessero sempre le stesse domande (certo non mi riferivo a te).
Cmq per quanto riguarda gli UV hai perfettamente ragione, anch'io ero molto scettico sulla possibilit di azzerare il
singolo bit, cosa molto diversa dal dover azzerare tutta la memoria (che non serve nel mio caso) , ho letto con molto
interesse il tuo post e a quanto pare ne sai molto sull'argomento, quindi non posso far altro che starti a sentire.
Naturalmente anche la soluzione del grabber non cosi semplice, penso sia la pi plausibile ma non certo semplice da
realizzare.
Per quanto riguarda l'aspetto puramente fisico del trasponder, riuscire ad avere lo schema intatto del suo contenuto
significa poter sciogliere il materiale esterno dello stesso senza rovinare l'interno.
Io conosco cosa contiene il trasponder perch ne ho aperto + di uno con il classico metodo distruttivo: fiamma, lima
(rovinandone i collegamenti).
Il trasponder contiene l'antenna, un resistenza (o condensatore) e un piccolissimo circuito ibrido di 2mm, su cui sono
presenti i seguenti microcircuiti (analog interface, access control, eprom).
Ora per ipotesi anche riuscendo a sciogliere completamente la resina esterna del trasponder potremmo interfacciarci
tramite i sottili filamenti che partono dall'antenna al circuito ibrido.
Anche riuscendo a far questo non si otterrebbe proprio nulla perch quello che leggiamo passa sempre per l' "access
control", che proprio quello che ci oscura i bit della password.
Qualcuno potr domandarsi il perch allora non collegarci subito dopo l' "access control", b molto semplice e
praticamente impossibile perch come ho gi scritto questo dispositivo insieme all'eprom ed alla analog interface sono
assemblati insieme sull'ibrido di 2mm, quindi a meno di non essere in possesso di sofisticatissime apparecchiature di
microincisione non resta che chiacchierarne ironicamente.
Il datasheet lo metto in upload in questi giorni appena trovo qualche server libero, se ne conoscete qualcuno fatemelo
sapere.

Join Date: Dec 2003


Posts: 13
ti ringrazio, ma ti assicuro che non sono un espertone, mi sono semplicemente documentato un po' sull'argomento anche
se non nascondo di avere gi un po' di esperienza nel campo, cmq i trasponder roba nuova per me, bene quindi
appurato che bisogna andare di grabber, alla luce di quello che hai osservato tu aprendo il trasponder, ne deduco quindi
che sunglass faceva tanto il sapientone ma alla fine non sapeva neanche di cosa stiamo parlando...
l'altro componentino che vedi dentro il trasponder dovrebbe essere un condenstare che completa l'oscillatore LC a 125khz
il prossimo passo sarebbe studiarmi il datasheet oltre ad assicurarmi che il chip su cui lavorer uguale al tuo, visto che
sto aspettando una conferma, per il protocollo mi sembrava di aver trovato qualcosa il rete ma dovrei riguardare e cercare
meglio, poi un'altro problema non da niente come loggare la serie di bit sparati fuori dall'induttanza, 125 khz di freq
altina e i giochi si chiudono in qualche millesimo di sec, quindi bisogna trovare "qualcosa" che riesca a scrivere tutti quei
bit cos in fretta!
fra l'altro l'induttanza per il grabber la vendono gi fatta, ovvero vendono antenne standard per sistemi contactless a 125
khz
se lo mandi a me lo metto su un disco remoto pubblico che ho gi attivato, poi posto il link, cos lo vedono tutti!
snake1
Join Date: Dec 2003
Posts: 13
Quote:
Originally posted by uain
Non mi e' chiara una cosa: la famosa password di 7 byte del blocco 0 e' unica per tutte le chiavi o dipende dal codice
univoco della chiave del blocco 2?
Inoltre, a cosa serve il blocco 1?
Perche dici che i blocchi 0 e 1 sono per i controlli di accesso se il codice univoco della chiavetta e' nel 2?
In che formato e' memorizzato il credito nel blocco 3?
(probabilmente tutto queste mie domande non serviranno a capire come interfacciarsi, ma almeno inizio a capirci qualcosa
del funzionamento...)
Ciao e grazie
da quello che ho capito la pass uguale per tutte le chiavette del gestore, il codice univoco del trasponder potrebbe essere
un serial number senza nessuna funzione aggiuntiva, quello che intendi tu se il lettore calcoli la password della chiavetta
partendo dal serial number, mi sembra una cosa troppo complicata, ci impiegherebbe pi tempo e alla fine si tratterebbe
sempre di un confronto di passw, senza contare la logica aggiuntiva per calcolare una pass partendo da 2 key di cui 1
variabile

Join Date: Oct 2003


Posts: 25 Per uain:
La password unica per ogni gestore.
Nei blocchi 0 e 1 sono memorizzare informazioni importantissime per l'accesso a tutti i dati dell'eprom (queste
informazioni sono visibili tranne naturalmente la pass).
Il codice univoco della key serve per idendificare la stessa sui distributori del gestore proprietario.
Quindi se utilizzo una key di un gestore non posso utilizzarla sui distributori di un altro gestore.
Il credito e le altre informazioni non sono criptate ma memorizzate nell'eprom naturalmente in esadecimale e visibili.
Per snake1:
9

L'induttanze si trovano senza problemi, il problema come spieghi bene tu sta proprio nella progettazione di un grabber che
riesca a lavorare bene a 125khz, naturalmente c' bisogno dello studio del protocollo di comunicazione, sul datasheet
qualcosina si capisce...
Stasera vedo di postarlo.

Join Date: Dec 2003


Posts: 13
ok aspetto fiducioso...

Join Date: Oct 2003


Posts: 25 Come avevo promesso ecco il rarissimo datasheet...
Tenetevelo caro!
Il file zip di 3mb prottetto da password (che dovete chiedermi in pvt).
PCF7931 Datasheet (il link non + disponibile!)
xPITx

Join Date: Nov 2003


Location: nice island
Posts: 7 STRAORDINARIO!
--------------------------------------------------------------------------------

N.B. pensavo che non avrei mai utilizzato questa emoticon,evidentemente sbagliavo!
analisi in corso (MUBLE....MUBLE....)
Ciao

Join Date: Nov 2003


Posts: 17 Ma com' ke quando clicco sul link per il download e parte il dl mi dice ke sono 38,1 MB?

Join Date: Oct 2003


Posts: 25 Semplice perch quello non pi il datasheet.
Evidentemente mi hanno segato il file, ed il link ora punta a qualcos'altro.
Appena posso posto un nuovo link

Join Date: Nov 2003


Posts: 17 xPITx scrive:
Quote:
10

Per quanto riguarda l'aspetto puramente fisico del trasponder, riuscire ad avere lo schema intatto del suo contenuto
significa poter sciogliere il materiale esterno dello stesso senza rovinare l'interno.

Posso fare una doamnda riguardo alla composizione interna del trasponder?!
Usare i Ragggi X come stato fatto per le kiavi coges nn funziona? una foto per ogni lato e ai l'immagine 3D del
trasponder...
oppure il materiale di copertura del trasponder nn lascia passare i raggi?
premesso ke nn ho l pi pallida idea di cosa possa essere l'epoxy e il composto d silicio (SiO2) ke lo compongono per la
maggior parte.
La mia era solo un'idea
bye

Join Date: Nov 2003


Location: nice island
Posts: 7 Infarinatura generale
-------------------------------------------------------------------------------..per chi non li avesse ancora letti:
http://www.tagtechnology.it/tecnologia/articolo.htm
http://www.logicboard.it/catalogo_traspon.htm
..penso che facendo una lastra al piccolino, non si vedrebbe granche' se non la disposizione del chip , della bobina e del
condensatore;
..riguardo i chip fatti ad hoc per comunicare col trasponderozzo sembra predominare l'U2270 di cui e' online il data-foglio.
Ciao

Join Date: Oct 2003


Posts: 25 I raggi X non servono...
Il contenuto del trasponder e noto, quello che interessa particolarmente e riuscire a sciogliere lo strato esterno per avere il
circuito nudo e che continui a funzionare.
Questo per poter provare alcune cosette....
Purtroppo non conosco qualche liquido che si capace di sciogliere il materiale di cui riporto la composizione:
leadframe epoxy, glass fibre filled 5 mg
plastic/encapsulation partially brominated epoxy 260 mg
Composition of partially brominated epoxy
Br 1 %
epoxy 15 %
Sb 4 %
SiO2 80 %
Se c' qualcuno bravo in chimica si faccia avanti...

11

Join Date: Dec 2003


Posts: 2 Facciamoci transpondare!
-------------------------------------------------------------------------------Ciao a tutti sono lieto di vedere tanta gente al
lavoro continuiamo cosi' sono con voi anch'io.....
....e spero di portare qualche contributo!!

Join Date: Dec 2003


Posts: 13
Correggetemi se sbaglio, guardando i link postati sopra mi sembra di capire che il grabber li te lo vendono gi fatto, con
tanto di memoria, bisogna vedere se compatibile con il philips e se riesce a loggare le trasmissioni stando in prossimit
del lettore della macchinetta, altrimenti sarebbe bello poter cambiare l'antenna del grabber e prenderne una piccolina gi
fatta da integrare nella chiavetta in modo che si inserisca nella fessura insieme a questa cos da essere pi vicina al
programmatore della macchinetta
queste sono le chiavi con cui ho a che fare:
http://www.fage.it/lay_gen.cfm?languageID=IT
una cosa non capisco nella descrizione, cosa vuol dire:
"Codifica chiavi con strumento mod.P4000"
??
Join Date: Dec 2003
Posts: 13
ma a cosa ti serve aprire il trasp funzionante? non avevamo appurato che era inutile intervenire fisicamente sul circuito?
Se usate l'acido Fluoridrico (HF) state attenti!! un acido bastardo e pericolosissimo, assolutamente evitare qualsiasi
contatto anche se diluito, quando ti accorgi che l'hai toccato di solito gi troppo tardi

Join Date: Oct 2003


Posts: 25 Per snake1:
E sola una mia curiosit avere il circuito nudo e funzionate, ma come ho gi detto...naturalmente non la considero una via
percorribile.
Cosa intenti per "vendono il grabber gi fatto"?, probabilmente ti riferisci al programmatore portatile di trasponder, che
non un grabber, cmq esistono programmatore/lettori di trasponder portatili che sono compatibili con svariati trasponder
compresi quelli della philips.
Altra cosa le chiavi FAGE utilizzano anch'esse il PCF7931, probabilmente l'organizzazione della memoria diversa ma il
concetto sempre quello, quindi l'ostacolo finale anche per le FAGE rimane identico (la password di 7 bytes).
Dai poco conto a questo:
"Codifica chiavi con strumento mod.P4000"
Non altro che lo strumento per formattare le chiavi, con i valori impostati dal gestore.
Per GringoTM:
Sinceramente non conosco altri componenti che utilizzano lo stesso materiale, l'unica cosa che posso darti e il codice ed il
produttore dello stesso: Sumikon EME6210, Sumitomo

12

Join Date: Dec 2003


Posts: 13
per xpitx
quindi di quello che c' in quel link non c' niente che possa fare anche la funzione di grabber? neanche riadattandolo un
po'?
per gringo
GENIALE! non ci avevo pensato al tuo metodo! per anche la strada del protocollo non la tralascerei, a me sembra che il
protocollo sia pi o meno standard per tutti i trasp. e dai datasheet si pu intuire qualcosa.
Per il tuo metodo invece, non si potrebbe usare un altro trasponder "vergine" inserito nella chiavetta da noi che abbia il
compito di loggare tutte le trasmissioni e basta?
L'HF bastardo perch se ti sporchi non senti niente, non brucia, ti lascia una macchia rosa poco visibile sulla pelle, poi
l'acido penetra nella carne e quando arriva alle ossa manda in soluzione il calcio delle ossa, e addio dito, mano o chi per
esso se non te ne accorgi subito!

Join Date: Oct 2003


Posts: 25 Il protocollo di comunicazione noto, sul datasheet qualcosa si capisce...infatti da quest'ultimo sono riusciti a
costruire il programmatore (lo stesso in mio possesso).
Quindi l'impresa del grabber non praticamente impossibile, almeno per qualcuno che mastica bene l'elettronica digitale.
GringoTM dice: "Pi semplice intercettare in analogico"
B risulta davvero impensabile riuscire ad avere accesso ai capi dell'antenna del lettore.
Il grabber rimane l'unica strada pensabile al momento.
(ben felice di essere smenito naturalmente...)
Ma errato pensare ad un grabber con un'altro trasponder per il logging.
N.B.:
In realt un logging di una comunicazione tra chiave e distributore es. una ricarica, non sarebbe cosi enorme.
Infatti in una ricarica i dati passati alla chiave sono pochi, quindi lo studio dei bit della password avendo un paio di
logging risulterebbe alquanto semplice.

Join Date: Dec 2003


Posts: 13
perch pensate che non sia possibile con il trasponder di log? nella mia chiave penso proprio che non avrei molti
problemi a inserire un altro trasp. simile a qualche mm dal primo, sono due gusci termosaldati e aprendoli si scava un po'
di plastica con una fresetta e il posto per il secondo trasp. fatto, l'unica cosa sapere come deve essere il secondo trasp e
fare in modo che faccia il log come vogliamo noi
per la pass, penso che i bit che non variano saranno parecchi, tutti i formati istruzione non cambiano mai, cambieranno
solo i dati trasmessi dall'istruzione, cmq pu darsi che con un po' di fortuna e molto studio si possa anche estrapolare la
pass dalla stringa di bit

Join Date: Oct 2003


Posts: 25 Il problema non sta nell'alloggio per il secondo trasponder ma proprio nel trasponder.
Il trasponder un componente che risponde ai precisi criteri di protocollo.
Se avvicini due trasponder al lettore/programmatore (in questo caso a quello del distributore) il lettore escluder sempre e
comunque l'altro prendendo in cosiderazione solo il primo che risponde.
Altro problema, immaginiamo anche per un attimo che la cosa sia fattibile...
Cosa succede...

13

Il distributore (nel caso di una ricarica) manda al trasponder il segnale di scrittura, insieme a questo manda la password ed
il credito di ricarica...
Il trasponder riceve per primo il bit di inizio preparazione scrittura e successivamente la password del distributore che
viene immediatamante controllata (check) con quella che il trasponder contiene...solo se il confronto risulta vero allora il
distributore scrive il credito di ricarica.
Con questo cosa voglio dire?
Se abbiamo un secondo trasponder che riesca a loggare questi dati, quando riceve la password dal distributore si
comporter esattamente come il trasponder della chiave...cio verificher la sua password con quella che ha ricevuto dal
distributore.
Quindi come ho gi detto il trasponder risponde a precisi comandi.
E' molto pi sensato pensare ad un grabber progettato con la solita bobina un oscillatore un circuito "anolog converter" e
una semplice memoria di immagazzinamento (es. 24c16)
Naturalmente visto il ridotto spazio di intervento almeno la bobina (antenna) dovrebbe essere inserita su una basetta di
grandezza compatibile con la fessura del distributore.
E' ovvio che la chiave nel nostro caso non ci serve a nulla, infatti avendo un grabber progettato in questo modo basterebbe
posizionare l'antenna all'interno della fessura del distributore ed inserire dei soldi nel distributore in modo che
quest'ultimo mandi il segnale e dati (compresa la password), alla chiave...naturalmente ad attendere il segnale non ci sar
la chiave ma il nostro grabber.

Join Date: Oct 2003


Posts: 25 Ecco un programmatore casalingo...

Ecco una descrizione visiva (spero completa) del mio lavoro..

Join Date: Dec 2003


Posts: 13
che storia! bello!
ho capito, ma se tu inserisci il grabber nella fessura e metti i soldi non penso proprio che riscirai a beccare qualcosa.
perch il lettore non invier niente fino a quando non riconosce che inserita una chiavetta, quindi per me devi poter
loggare una normale trasmissione lettore-chiavetta, per questo dicevo di mettere un altro trasponder o un'antenna nella
chiavetta.
vero quello che dici riguardo al trasp per vero anche che non sono tutti uguali, non so se in pratica possibile ma la
mia idea avere un secondo trasponder "passivo" che non risponde a niente e semplicemente logga tutte le variazioni di
tensione->bit che arrivano ai capi del suo solenoide, non mi sembra una cosa impossibile, ripeto che il trasponder in
questione potrebbe anche essere di altra marca e tipo rispetto al philips
Join Date: Oct 2003
Posts: 25 Quote:
ho capito, ma se tu inserisci il grabber nella fessura e metti i soldi non penso proprio che riscirai a beccare qualcosa.
perch il lettore non invier niente fino a quando non riconosce che inserita una chiavetta
Non proprio esatto...infatti quando inserisci del credito nel distributore questo manda comunque il segnale...anche se non
c' nessuna chiave...
Sono sicuro di questo perch anche quando inserisci del credito senza chiave il led di comunicazione del lettore si attiva
quindi manda dati.
Per quanto riguarda la questione del secondo trasponder...non insensata l'idea di usare un trasponder diverso passivo che
serva semplicemente da memoria di immagazzinamento...il problema trovare un trasponder in grado di fare questo

Join Date: Dec 2003


14

Posts: 13
eh gi, hai centrato il problema!!
per concordi che in quel caso non servirebbe neanche il grabber, fai tutto con un lettore-programmatore.
per la storia del led non ci ho mai fatto caso per so per certo, che normalmente spento, quando metto la chiave alla
rovescia arancione, quando metto la chiave dritta si accende, verde

Join Date: Nov 2003


Posts: 2 Probabilmente quando inserisci i soldi, si limita a controllare se esiste una chiavetta infilata (magari effettuando
una richiesta di credito residuo), e solo successivamente accredita il valore della moneta nella chiavetta, se presente.
In entrambi i casi (semplice controllo della presenza della chiave, o richiesta di credito residuo), comunque effettua solo
operazioni di lettura per cui non e' richiesta la password, che magari utilizza solo in un secondo momento per aggfiornare
il credito residuo.

Join Date: Nov 2003


Location: nice island
Posts: 7 Foto utili.
-------------------------------------------------------------------------------Questo tipo mi sembra il piu' diffuso... fatemi sapere..
Chiavetta zan
Ciao e buon lavoro

Join Date: Oct 2003


Posts: 25 Quote:
Questo tipo mi sembra il piu' diffuso... fatemi sapere..
Questo l'unico tipo diffuso della conpass zanussi (o zip) ed naturalmente quella su cui studio e su cui ho deciso di
aprire questo ormai lunghissimo post.
Non esiste nessun altro tipo se non le altre chiavi della FAGE che sono un p diverse come forma, ma come ho gi ripetuto
decine di volte montano lo stesso il PCF7931.

Join Date: Dec 2003


Posts: 13
oggi ho visto quella della fage aperta, ed effettivamente come dici tu, fra l'altro ho visto che ci sta un altro trasponder
cos:

___________________/------- \
|o11111o22222ooooooooooooo|
|o11111o22222ooooooooooooo|
-------------------------------\_____ |
dove 1 il philips e 2 il nostro di log

15

Join Date: Nov 2003


Location: nice island
Posts: 7 ...no logging ... .. no party!
-------------------------------------------------------------------------------...Ciao a tutti.
..purtroppo il logging sullo lettore/scrittore non si e' potuto eseguire perche' non si aveva una chiavetta con lo stesso
VENDOR ID;
..il cuore dello scrittore/lettore e' rappresentato da un 89c51,noto microcontrollore della phi*ips con I/O TTL che non
avrebbe offerto molta resistenza al logging delle proprie porte....
...comunque,se qualcuno ha qualche idea , avanti!
Ciao

Join Date: Dec 2003


Posts: 13
acc! non riesci a procurarti una chiave compatibile?

Join Date: Dec 2003


Posts: 2 A proposito dell' 89c51...
-------------------------------------------------------------------------------Quote:
..il cuore dello scrittore/lettore e' rappresentato da un 89c51,noto microcontrollore della phi*ips con I/O TTL che non
avrebbe offerto molta resistenza al logging delle proprie porte....
E' possibile trovare il datasheet sul sito:
www.farnellinone.it
Ciao a tutti e buon lavoro!

Join Date: Dec 2003


Posts: 1 Chi mi puo dire dove reperire materiale e schemi per l'hardware di lettura e scrittura per poter iniziare, o qualche
sito per ordinare online?Grazie

Join Date: Nov 2003


Location: nice island
Posts: 7 Parte 1
+
Parte 2
saluti e buon anno!
Join Date: May 2000
16

Posts: 14 Grazie
-------------------------------------------------------------------------------mille.... Tecnobyte
ho letto un po.... carino
vorrei provare a riprodurre la basestation.....
dato che non ne possiedo una...... :P
tu a che punto sei ?
CIAO
WebRaider

Join Date: May 2000


Posts: 14 La domanda sorge spontanea.....
ma la password non dovrebbe essere all'interno di questo microcontrollore p89c61 ???
credo si possa leggere dal datasheet non c' alcuna protezione in lettura
o no ?
CIAO

Join Date: May 2000


Posts: 14 ho dato un occhiata anche al datasheet del U2270 sembra la base station che ci serve...

Join Date: Jan 2004


Location: italy
Posts: 8 Sprotezione a d.o.c per le chiavi del caffe LIOMATIC
-------------------------------------------------------------------------------Salve a tutti, sono riuscito a sproteggere le chiavi liomatic. Funzionano alla grande. Penso che questa sprotezione vada
bene per tutte. Domani quando mi riconnetto vi posto il tutto.. Ora devo andare al lavoro .. Saluti a tutti

Join Date: Jan 2004


Posts: 16
salve mi presento sn g3n1us.
innanzi tutto ho trovato ci:
http://www.semiconductors.philips.c...e/transponders/
nulla di che ma magari pu servire!
aspetto fiducioso il lavoro di lucifero 2000...
nel frattempo volevo chiedervi...una volta trovata la password per programmare il trasponder basta un qlc programmatore
per trasponder?
reperibile in commercio?
dite che il vendor id(la password del produttore e nn del distributore )non serva?
Sostanzialmente...se trovo la pass del gestore(e solo quella)poi me lo programmo facilmente?
che mi venuta un idea per sgamare la pass...nn tecnica ma nn so se potrebbe fungere... una pazzia...c provo poi v fo
sapere!
aspetto fiducioso risposte al mio poste il lavoro di lucifero2000))

17

Join Date: Jan 2004


Location: italy
Posts: 8 Chiavi chiavine ecco la soluzione LIOMATIC
-------------------------------------------------------------------------------Scussate per il ritardo nel post ma avevo perso il sito.!
Allora le liomatic dicevamo
Bene io ho eseguito questa procedura, diciamo un po' artigianale ma funzionante!
Le liomatic hanno il solito chip dove e' contenuto quello che ci interessa.! Premetto che e' molto dura modificarne il
contenuto se non si hanno gli strumenti giusti, pero' diciamo che questa sprotezione se la possono fare un po' tutti ed e'
molto semplice. Ecco come segue.
Per prima cosa riportate alla luce il chip che si trova nella base inferiore della chiave. Il tutto tramite molatura ed accurata
pulitura.
Successivamente eseguire delle piccolissime saldature sui piedini della eprom condei fili sottilissimi.
A questo punto collegare la chiave ad un qualsiasi lettore eprom multipipo. Quello che serve o meglio serviva per
aggiornare le schede piratate di tele+. Tramite il solito programmino vedrete che riuscirete a leggere i dati della chiave,
che opportunamente prima avrete ricaricato di es 5 10 euros. A questo punto spendete il soldo della chiave con caffe paste
e lattine. Quando avete finito il credito ricollegate la chiave al multipipo, cancellate la eprom e ricopiate i dati che avevate
salvato in passato. Eccovi di nuovo il credito disponibile per una nuova spesa.
Nella chiave da me modificata ho schermato i fili sottilissimi collegati alla eprom con del nastro adesivo liquido
spennellato a dovere sia nei fili che nel foro praticato. Potete reperirlo in ferramenta.
NUlla di piu' semplice anche se vi consiglio un paio di chiavi, una per le prove e una per la modifica finale
Sono sempre a disposizione
Premetto un ultima cosa se riuscite ad interfacciare il lettore/scrittore multipipo come sto' cercando di fare beh fatemelo
sapere, non ci sara' piu' il problema di bucare la chiavetta!!
Saluti a tutti
Buon caffe' dallo zio liomatic

Join Date: Jan 2004


Posts: 16
lucifero ho 3 domande!
1)la tua chiave un trasponder vero?cio contact less?
2)dov esattamente il chip??ci puoi mandare una foto?
3)come colleghi il multipippo e che piedini?
tnx

Join Date: Nov 2003


Posts: 17 G3n1us cos a intuito penso ke lucifero stia parlando di kiavette molto simili a quelle della COGES ke nn hanno
niente a ke fare con le fage zanussi a transponder passivi ke si stanno trattando in queto forum
bye

18

Join Date: Jan 2004


Posts: 16
infatti quel che pensavo ankio!
cio da quel che si dice il chip del trasponder
1)nn cosi facilmente raggiungibile...
2)non ha piedini!!!!!
quindi come lo attacchi il multipippo?
penso che il chip liomatic sia diverso...
ovvero sia un trasponder....ma non quello della philips!
magari il suo ha una eeprom collegata a un trasponder rf ma non integrata come nel caso del philips!
quindi basta accedere al chip ,riprogrammarlo e poi lui lavora lo stesso col suo amico trasponder....
Purtroppo non il ns caso!
Lucifero illuminaci!

Join Date: Jan 2004


Location: italy
Posts: 8 Appena torno al lavoro vi faccio un post con la foto della chiave e il nome del chip.
La eprom si trova vicino la base nella parte inferiore.
Sapete come si fa ad interfacciare un multipipo senza perforare la chiavetta?

Join Date: Nov 2003


Posts: 17 per quanto mi risulta nn puoi
bye
Join Date: Jan 2004
Posts: 16
t servirebbe un programmatore a rf...ma non ho capito bene che tipo di chip hai...
se hai un chip normale..(nn a rf)l'unico modo il multipippo o simili...
se hai un chip rf nn capisco come t c sei interfacciato col multipippo!
L'unica che mi viene in mente(visto che se hai dovuto bucare la chiavetta sar contact less) che il chip come quelli
vecchi della coges e che magari a valle di un trasponder rf.
lucifero appena puoi illuminaci))

Join Date: Jan 2004


Location: italy
Posts: 8 Per praticita' vi allego lo schema della scheda contenuta nelle liomatic .
Il chip e' un coges07
Attachments Pending Approval liomatic.jpg

Join Date: Jan 2004


Posts: 16
ahh ecco ...mistero svelato... un coges...lucifero dov lo skema?
te lo sei dimenticato?
nessuna news sulle rf?
possibile che in tutto il mondo ne parliamo solo noi????

Join Date: Jan 2004


Posts: 16
19

pegeuot
-------------------------------------------------------------------------------ragazzi date un okkaita qua:
http://www19.big.or.jp/~fischer/406coupe/whats.htm
e scoprite la Peugeot 406 Coupe che trasponder monta nelle chiavi!!!
si vede il nome nella foto!!!
nn c crederete mai.... proprio lui...!
cio nn pregiudica nulla....
noi nn dobbiamo grabbare la pass dal trasponder base...dobbiamo ricavarla dalla chiave...quindi la stessa cosa!

Join Date: Nov 2003


Posts: 17 una domanda g3n1us, sei riscito a leggere l'articolo??
a me lo visualizza solo in caratteriorientali (nn so se cinese o giappo)...
bye
-------------------------------------------------------------------------------be...io so il giapponese!
no ske ...apparte tutto nn serve leggerlo...
basta guardare la foto della chiave e leggete il nome del trasponder!
era solo x info...utilita zero!
)

Join Date: Jan 2004


Location: italy
Posts: 8 Skema liomatic
-------------------------------------------------------------------------------Come faccio per farvi visualizzare la foto?
Una volta effettuato l'Attachment? Poi?
Attachments Pending Approval liomatc2.jpg

Join Date: Jan 2004


Posts: 16
o metti le foto su internet e posti il link o fai:
Attach file: sfoglia selezioni il fai e poi post reply!
cmq puoi poi uisare la funzione edit!

Join Date: Jan 2004


Location: italy
Posts: 8 io l' attachment l' ho fatto ma poi non visulaizza nulla!
Se faccio la funzione edit e guardo le proprieta' del file mi reinderizza a una pagina che dice
Invalid attachment specified. If you followed a valid link, please notify the webmaster
Altri consigli?
20

Join Date: Jan 2004


Posts: 16
leggi:
Valid file extensions: gif jpg png

Join Date: Jan 2004


Location: italy
Posts: 8 il Files e' in formato jpg e si chiama liomatc2.jpg
sono 27k
Faccio l' edit ma mi da il solito errore .
se volete ve lo posto tramite e mail a qualcuno e si diverte lui a pubblicarlo, a me non mi riesce
Se c'e qualche volontario scrivetemi la mail
Attachments Pending Approval login.gif

Join Date: Feb 2004


Posts: 1 Air Key
-------------------------------------------------------------------------------Scusate l'intromissione, volevo chiedere se qualcuno s qualcosa sulla chiave in oggetto, distribuita dalla otr o dalla
microhard.
Si basa sullo stesso componente da voi esaminato?
Grazie in anticipo......
Maestrale
Attachments Pending Approval keys.jpg

Join Date: Jan 2004


Posts: 16
io nn so..vediamo gli altri...

Join Date: Oct 2003


Posts: 25 Solo per chi davvero interessato vendo programmatore professionale + software per PCF7931.
Premetto subito che il prezzo alto.
Contattatemi in pvt
Join Date: Jan 2004
Location: italy
Posts: 8 Non sparare sul prezzo,
fai la tua richiesta
Gradita foto
Il Programmatore funziona senza aprire la chiave?

21

Join Date: Jan 2004


Posts: 16
ottima domanda!
e rimuove la pass?

Join Date: Apr 2004


Posts: 2 Ricapitoliamo
-------------------------------------------------------------------------------Ho letto tutto il vostro ammirabile lavoro...alla fine pero' siete tutti spariti..alla fine ce l'avete fatta? io ho un po' di
confusione in testa...acido...limatura ecc..Chi mi potrebbe spiegare a mo' di punti quello che bisognerebbe fare?
1)apro la chiave
2)sciolgo la plastica nera?
3)poi??
Ciao a tutti e aspetto risp!!
__________________
Byez (#thelords)

Join Date: Oct 2003


Posts: 25 ..."Rimuove la pass?"...
Sono stato l'artefice di questo post, ho spiegato in dettaglio tutti i miei studi su questo trasponder, ci sono stati moltissimi
interventi...alcuni davvero interessanti e con il giusto approccio tecnico...altri meno...altri ancora inutili...
e qualcuno domanda ancora cose del genere: "Rimuove la pass?"
Probabilmente non leggete.
Vi rimando all'inizio di questo lunghissimo post, al mio primo messaggio, probabilmente se riflettete bene...certe domande
evitereste di farle.
P.S.: ...naturalmente il programmatore funziona senza aprire la chiave!
xPITx

Join Date: Jan 2004


Posts: 16
rispondimi in pvt o via mail!
cmq ho letto tutto...compreso datasheet...
vorrei capire secondo te come si fa a capire se rimuove la pass o no xke
1)puo essere un prog universale che programma tutto,pass compresa!ma allora cosa serve la pass?
2)puo servire la pass per entrare..ma allora a cosa serve sto prog?

Join Date: Apr 2004


Posts: 2 bho
-------------------------------------------------------------------------------xPITx io i post li ho letti...vorrei avere risposta e anche sapere il prezzo del programmatore (la mia mail
lordmaster@freemail.it )
ciao e fammi sapere!
22

__________________
Byez (#thelords)
#tHeLoRdS
Join Date: Apr 2004
Posts: 1 Smonto la chiave.....immetto la sigla del transponderozzo....dopo qualche"remata"mi si presenta questo
bellissimo forum,che ho letto(per non dire divorato)e trovo tutto molto ma .....mooooolto.....interessante.
Faccio i complimenti a tutti x il lavoro svolto.

Join Date: Apr 2004


Posts: 5 ciao a tutti, io ho una chiavetta della cog*s e vi allego la foto della stessa, ho anche una chiavetta di cui non
conosco la marca e vi allego anche la foto di questa.
La coges ha il culetto blu e l'altra interamente gialla.
Solo a guardarle credo che siano completamente diverse.
Sapete dirmi a questo punto di questa discussione durata mesi e mesi e mischiata ad un intenso lavoro, se qualcuno ha un
programmatore che mi ricarica la chiave senza bisogno di aprirla? Se c' bisogno di aprirla sapete spiegarmi il
procedimento?
Per xPITx:
Il tuo programmatore su che tipo di chivi funziona? mi potresti mandare una foto del programmatore e della chiave su cui
va con il prezzo a questa mail? (beybe.iwkya@tin.it)
Ah tierni conto che ho la 56K quindi se puoi tineiti sotto i 2 MB ok? ti ringrazio.
per tutti:
se avete un programmatore se sapete qualche metodo funziuonante, testato. Fatemi sapere. Anche alla mia e-mail (scritta a
pit 5 righe pi in alto)
Grazie a tutti
Grazie di tutto
e
Grazie x l'att.
Attachments Pending Approval image1.jpg

Join Date: Jan 2004


Posts: 16
coges
-------------------------------------------------------------------------------x la coges la apri e c colleghi un multipippo...c' un tread apposta x questo...cerca su qst forum!
X l'altra attendiamo risposta da xpit!

Join Date: Oct 2003


Posts: 25 Viste le numerose domande sull'utilit del programmatore sono costretto a ripetere cose gi scritte e ampiamente
dettagliate, lo faccio nella speranza che alcune domande non vengano nuovamente riproposte.
Prima cosa fondamentale:
Il titolo di questo post chiarisce immediatamente che l'argomento dello stesso riferito alle chiavi a trasponder (senza
contatti) della zanussi e fage, quindi domande su come si interviene su quelle coges o altre sono purtroppo fuoriluogo.
Seconda cosa fondamentale:
Il PCF7931 (trasponder presente nelle chiavi in oggetto) protetto da password in scrittura! questo post nato con lo
scopo di unire l'esperienze di diverse persone (purtroppo poche) per riuscire a capire se sia possibile o meno bypassare o
brutare in qualche modo la password.
23

Terza cosa fondamentale:


Tutto questo (almeno da parte mia) non nato per bere a sbafo litri di caff schifoso, ma solo per passione e studio o se
preferite, solo per il gusto di capirne gli ingranaggi nascosti.
Quarta cosa fondamentale:
Qualcuno domanda: << Ma se non si conosce la pass allora a che serve il programmatore?>>
Ecco qui rimando alla lettura della "Terza cosa fondamentale"...
Il programmatore serve per leggere e scrivere il trasponder e cosa importante per STUDIARLO!.
Se la password non fosse stato un problema pensate che avrei scritto questo post tempo f?
Spero di aver fatto cosa gradita.
P.S.: Continuate a chiedere i datasheet e non vi accorgete nemmeno che leggendo tra i messaggi trovate il link dove
reperirli!!!
Tempo fa li ho fatti girare e gentilmente TECNOBYTE li ha pubblicati su uno spazio web, ecco i link:
PCF7931 pag 1 to 14
PCF7931 pag 15 to 28

Join Date: Apr 2004


Posts: 5 programmatore x zanussi di PIT
-------------------------------------------------------------------------------ciao pit, ascolta non volevo che ti arrabbiassi cos...
cmq
in messagggio tuo ho letto che vendi il propgrammatore con software ad un prezzo che dicevi fosse alto...
io sono interessato e mi piacerebbe vedere una foto del progrmmatore e saperne il prezzo
se ancora in vendita fammi sapere alla mia e-mail ok?
grazie x l'att

Join Date: Jan 2004


Posts: 16
interessa anke a me!
fammi sapere via mail

Join Date: Oct 2003


Posts: 25 Link per il download di un immagine del programmatore

Join Date: Apr 2004


Posts: 5 visione immagine
-------------------------------------------------------------------------------ciao pit, ho visto il tuo programmatore
La chiave basta metterla sopra al componente esterno che si vedde in alto? (non riesco a capire cos')
Se no dove si mette?

24

Per curiosit... che programma usi per utilizare questo circuito?


Cmq sono interessato al prezzo.
Se puoi scrivilo qui oppure mandami una e-mail a beybe.iwkya@tin.it
Grazie x l'att

Join Date: Oct 2003


Posts: 25 Il trasponder va inserito nel foro del cilindro esterno.
Il software utilizzato stato scritto dai creatori del programmatore.
Il prezzo di 250 euro
P.S.: Mi sembra di aver chiarito tutto quindi si faccia avanti solo chi seriamente interessato.

Join Date: Apr 2004


Posts: 5 prog
-------------------------------------------------------------------------------Il prezzo tratabile?
Join Date: Apr 2004
Posts: 5 precisazione chiavve
-------------------------------------------------------------------------------Ti chiedo scusa x la mia puntigliosit ma devo esserne sicuro, questo programmatore funziona con la chiave gilalla che ho
allegato in uno dei miei precedenti post?
P.S.=Scusa se non la allego ma non trovo pi l'immagine
Grazie x l'att

Join Date: Oct 2003


Posts: 25 Questo un programmatore per il trasponder PCF7931.
Non ho idea di quale sia la tua chiave visto che non posso vederne l'immagine.

Join Date: May 2004


Posts: 1 .....appunto da quanto ho capito il programmatore serve per scrivere e leggere la chiave ma poiche' esiste una
password che la protegge (motivo pure questo della nascita di questo 3ad) attualmente con il programmatore non si puo'
fare nulla.
O sbaglio?

Join Date: May 2004


Posts: 2 Chiave Zanussi
Ho finito ora di leggere tutti gli interessanti commenti e gli studi riguardante la chiave zanussi ed il trasponder al suo
interno.
Se vi pu essere di aiuto per risolvere il problema della password, io lavoro in una grande societ di elettronica e di mezzi
a disposizione ne ho infiniti( Pulse Generator, Spectrum Analyzer, RF Generator e cos via).....
Fatemi sapere se vi pu essere di aiuto qualcosa, sar ben lieto di collaborare........
25

CIAO CIAO
P.s. anche io ho gi usato la strada dei raggi x per vedere all'interno del case, e subito dopo all'incisione x scoperchiarlo...
b, devo dire che questa volta si sono impegnati a fare qualcosa di difficile.....non come la COGES!!!

Join Date: May 2004


Posts: 4 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------Ciao a tutti, ma fatemi capire, le chiavine di cui parlate sono queste:
http://digilander.libero.it/dibe84/chiavi.gif
perch io e dei miei amici siamo riusciti ad aprirla e a grattare via tutta la merda ke c' sopra e ora c' il circuitino "nudo"
ma c una eprom minuscola ma volendo possibile collegare ai piedini dei cavetti e interfacciarla con qualche lettore! il
problema quale?? io sto pensando di comprare il multip*po ma dite che va bene?
p.s.: non chiedete cosa c' scritto sulla eprom percH ora nn ce l'ho sotto mano.... al massimo posso dirvelo nei prossimi
giorni... cmq nn vorrei sparare cazzate ma mi pare che non ci sia scritto nulla.....
e scusate la mia ignoranza ma perch vi ponete il problema se siano o no criptate.... non basta caricarla di 10 ? e salvare
l'intero contenuto della chiavina per poi ricopiarlo nella chiavina quando i soldi sono finiti?? senza la "password" non si
riesce a scrivere neppure tramite il pc?!?! illuminatemi!
grazie!

Join Date: Jan 2004


Posts: 16
Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------gia peccato che interfacciarla con un multipippo non una passeggiata...
e in + quel coso ha prima della eeprom un access control che se non gli dai la password giusta non t fa leggere
nulla...l'unico sistema un programmatore rf!

Join Date: May 2004


Posts: 4 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------ok, cmq le kiavine sono quelle li!?!?
lo so ke nn dev'essere propriamente una passeggiata
per in che senso un access control? nn si pu collegare direttamente ai piedini della eprom?
e dove lo trovo un programmatore rf???
grazie 100000000000

Join Date: Nov 2003


Posts: 17 Re: Chiavi caff [Zanussi, FAGE]
26

-------------------------------------------------------------------------------guarda ke cmq le kiavi zan*ussi e f*ge non sono quelle della foto, quelle sono le Co*es (si vede anke chiaramente la scritta
sull'adesivo blu dalla foto), all'interno hanno un blocco d resina rossa o nera, tolta la resina s vedono kiaramente 2
resistenze e il chip facilmente interlacciabile con il multipipo... non hanno assolutamente nessu access control...

Join Date: May 2004


Posts: 2 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------...Ho letto il thread dall'inizio, peccato che non si veda UNA immagine che sia UNA.
Cque chi ha suggerito la tecnica dei raggi-x? ...mi ricorda i primi tempi delle coges
Secondo me il modo migliore loggare il traffico macchinetta -> chiavetta mediante qualche trucchetto.
L'ideale collegare un PIC alla eeprom philips che si metta a memorizzare tutti i dati che passano e li mantiene in
memoria, cos non bisogna andare con un portatile vicino ad una macchinetta, ma con un po' di antisgamismo si va l con
la nostra chiave-loggher e si memorizza tutto quello che passa.
Se qualcuno gentilmente posta una immagine RX magari si pu capire dove collegare i fili, altrimenti mi tocca tornare dal
mio amico dentista
Join Date: Jun 2004
Posts: 3 dubbi specifici
-------------------------------------------------------------------------------Ciao a tutti,ieri per l'ennesima volta ho riletto il primo post di xpitx x cercare di farmi venire in mente qualche
cosa...morale,mi venuto un dubbio,anzi due.
1)
"Cosa importante da sapere....la password non viene mai mandata dalla trasponder ma viceversa... Funziona cosi:
Il lettore del distributore contiene la password esatta, quando inseriamo la chiave il distributore manda al trasponder la
password se questa corrisponder il lettore puo scrivere su di essa."
Non mi chiaro il punto "se questa corrisponde il lettore pu scrivere su di essa"..il distributore manda la key ke viene
prontamente letta dalla chiavetta e successivamente viene matchata con quella nascosta dagli 00.Domanda:che apparato
svolge questo controllo??E' il trasponder stesso ke ha "incorporato" un controllore (magari dedicato)di questo tipo??? Da
quel poco ke sapevo io,per realizzare dispositivi di questo genere bastava un' antenna(che c'),un pic(che non so se
incorporato nel trasponder). Qui fa tutto il trasponder?????
2)se l'apparato che nel distributore conosce il codice, basterebbe avere in mano quello x scoprire qlcosa di pi oppure
anke l nascosto??? Avete fatto qualche prova???
Grazie!

Join Date: Jun 2004


Posts: 3 info+dubbio
-------------------------------------------------------------------------------Riporto qui sotto un p di notizie prese da materiale Fage:

27

JEDY READER l'accessorio che consente il pagamento delle vendite attraverso l'uso delle chiavi (FageKey) e
delle carte (FageCard) a radiofrequenza.
La chiave contiene un codice di sicurezza segreto (PIN), pi altri due codici di controllo (codice gestore e codice
locazione), che sono verificati dalla RENDIRESTO nel momento in cui la chiave viene inserita nel Lettore.
Anche nella RENDIRESTO devono essere programmati gli stessi codici, in caso contrario la chiave non
accettata.
Codice di sicurezza(codice gestore). Esso deve essere identico a quello programmato sulle chiavi.
Il codice compreso fra 0 e 65500
Codice di sicurezza(codice locazione). Esso deve essere identico a quello programmato sulle chiavi. Inserire un numero fra
0 e 32000. Non utilizzare numeri superiori a
32000.
Codice di sicurezza PIN 1 (Personal Identification Number).
Per modificare il codice PIN 1 necessario inserire quello attuale (il P3000
visualizza *****) e premere F per verificare se esso corretto; quindi inserire
il nuovo PIN 1 e premere F per confermare.
Codice di sicurezza PIN 2. Sono valide le stesse indicazioni riportate per il
PIN 1. L?unione del PIN 1 e PIN 2 costituisce il codice PASSWORD di 10
cifre della chiave contactless, sfruttando la massima sicurezza disponibile.
Se preferite invece utilizzare solo un codice di cinque cifre, possibile
lasciare il PIN 2 con valore 00000, il sistema eseguir il riconoscimento delle
chiavi solo attraverso il PIN 1.
Per modificare il PIN 2 si deve procedere come gi indicato per il PIN 1.

Ora il dubbio:
1)si parla di potenziali 10 byte di password mentre dall'analisi di xPitx si parlava di 7 byte..Qlcuno sa spiegarmi questa
incongruenza???

Join Date: Jun 2004


Posts: 2 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------Questa un'immagine x-ray della chiave... che ho fatto io... vi piace la qualit?
cmq che bisogna fare per entrare?
faccio due fori che vadano a collegarsi con i due pin d' ingresso del chip?
io non ho il trasponder!!! e se non si pu autocostruire non vale il gioco!
Attachments Pending Approval Im22.jpg

Join Date: Nov 2003


Posts: 17 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------Domanda, perk nn riesco a vedere l'immagine?
28

dopo le facione vedo solo:


Attachments Pending Approval
im22.jpg
ma nn vedo niente...

Join Date: Jun 2004


Posts: 3 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------Uhhmmm,questo forum mi sembra un pochino lento....xpitx ke fine ha fatto??? Non riesco a contattarlo...SE QUALCUNO
DI VOI HA LA SUA MAIL,PU FARMELA AVERE o tramite forum o scrivendomi a: carl0xxx@yahoo.com
grazie....

Join Date: Oct 2003


Posts: 25 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------Clicca sul mio nick e riuscirai a contattarmi.
xPITx

Join Date: Oct 2003


Posts: 25 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------Dreadnought scrive:
<<Secondo me il modo migliore loggare il traffico macchinetta -> chiavetta mediante qualche trucchetto. L'ideale
collegare un PIC alla eeprom philips>>
Ho pi volte spiegato l'impossibilit tecnica di un collegamento con l'eeprom del PCF, ripeto che qui non stiamo avendo a
che fare con normali eprom stile coges! naturalmente l'idea del logging tra distributore e key stata gi ampiamente
discussa in post precedenti purtroppo la cosa risulta molto difficoltosa.
carl0 scrive:
<<Non mi chiaro il punto "se questa corrisponde il lettore pu scrivere su di essa"..il distributore manda la key ke viene
prontamente letta dalla chiavetta e successivamente viene matchata con quella nascosta dagli 00.Domanda:che apparato
svolge questo controllo??E' il trasponder stesso ke ha "incorporato" un controllore (magari dedicato)di questo tipo??? Da
quel poco ke sapevo io,per realizzare dispositivi di questo genere bastava un' antenna(che c'),un pic(che non so se
incorporato nel trasponder). Qui fa tutto il trasponder????? >>
SI. Il PCF7931 munito anche di una unit di "Access Control" che svolge proprio questo simpatico compito.
scrive ancora:
<<se l'apparato che nel distributore conosce il codice, basterebbe avere in mano quello x scoprire qlcosa di pi oppure
anke l nascosto??? Avete fatto qualche prova???>>
Ti posso dire che molto probabilmente la password in chiaro, ma naturalmente spero a nessuno venga in mente di
distruggere un distributore per accedere ai circuiti interni!!! ripeto che tutto questo nasce per studio e non certo per
vandalismo o semplice scrocco.

29

Per rispondere all'altro messaggio di carl0 sulle informazioni prese dal sito fage, devo chiarire un'altra cosa:
Tutte quelle aziende che utilizzano delle contactless key con a bordo il PCF7931 fanno dei programmini ad hoc per la
gestione personalizzata delle stesso, quindi naturalmente ognuno aggiunge opzioni diverse al PCF.
Quello che c' da chiarire per e che io studio questo trasponder superando le varie personalizzazioni che ne fanno le
aziende, io ne studio la struttura principale, l'organizzazione interna la memoria ect...
Perch, si vero che ognuno pu personalizzarlo come vuole ma tutti devono rispondere allo stesso funzionamento (la
famosa password di 7 bytes).
P.S.: mi hanno chiesto in privato se il fatto che ho messo in vendita il programmatore sia dovuto ad una mia eventuale
rinuncia...rispondo francamente: si e no, ma sopratutto perch ne ho + di uno.
xPITx

Join Date: Jun 2004


Posts: 1 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------ok, gioco anch'io.
mi serve il programmatore

Join Date: Jun 2004


Posts: 2 Re: Chiavi caff [Zanussi, FAGE]
------------------------------------------------------------------------------- possibile autocostruirsi il trasponder per collegarsi alla chiave?
si trovano gli schemi nella rete?

Join Date: Jul 2004


Posts: 2 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------Quote:
Originally Posted by lucifero2000
il Files e' in formato jpg e si chiama liomatc2.jpg
sono 27k
Faccio l' edit ma mi da il solito errore .
se volete ve lo posto tramite e mail a qualcuno e si diverte lui a pubblicarlo, a me non mi riesce
Se c'e qualche volontario scrivetemi la mail

Join Date: Jul 2004


Posts: 2 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------Quote:
30

Originally Posted by lucifero2000


Per praticita' vi allego lo schema della scheda contenuta nelle liomatic .
Il chip e' un coges07

Join Date: Jul 2004


Posts: 2 Re: Chiavi caff [Zanussi, FAGE]
-------------------------------------------------------------------------------ragazzi cmq un sacco di link n sono piu reperibili.....
ciauuuuuu

31