Kolnsoft FAQ - 2002-08-08

           ===================>    Kolnierzyk    <===================

                              VIII 1998-VIII 2002l

                               koln@poczta.onet.pl

                  ===================>    <===================


        "It's nice to be important, but it's more important to be nice"
                                                                Scooter

    Witam :)

    Oto opis wynikow moich badan nad oprogramowaniem automatow. Tekst sklada
    sie z dwoch czesci:

    - czesc pierwsza zawiera opis oprogramowania plyty glownej niebieskiego
    Urmeta oraz skutkow wynikajacych z jego dzialania (lub nie :). Wszedzie,
    gdzie nie napisalem inaczej, opisana jest wersja 2.9. Dodalem pare infor-
    macji "sprzetowych".

    - czesc druga zawiera opis softu plyty glownej srebrnego Urmeta. Opis do-
    tyczy wersji 2.60 programu glownego i 2.06 programu bootujacego, jesli nie
    napisalem gdzies inaczej oczywiscie. Zaktualizowalem i poprawilem infor-
    macje zwiazane z kartami elektronicznymi. Gdy znajde troche czasu i checi,
    napisze tu cos na temat komunikacji automatu z centrum nadzoru i jeszcze
    pare innych ciekawych rzeczy... :) Odwleka sie to i odwleka, ale kiedys
    to w koncu napisze :)

    Uzycie wiadomosci tu zawartych jak zwykle na wlasna odpowiedzialnosc.
    Najnowszej wersji tego tekstu, o ile beda nowsze wersje, nalezy szukac
    na stronie Hrabiego: http://phreak.hack.pl (nowy adres dawnego phreak.
    zone.to). Gwiazdki na marginesie oznaczaja uaktualnienia wzgledem pop-
    rzedniej wersji. I jeszcze jedno: przed ewentualnym napisaniem do mnie
    maila prosilbym o zapoznanie sie z ostatnim rozdzialem tego tekstu.

    SPIS TRESCI:
    CZESC I - Urmet niebieski TSP 91
      N1. WSTEP
      N2. OGOLNA BUDOWA PROGRAMU
 *    N3. PRZERWANIA
 *    N4. REJESTRY UKLADOW PERYFERYJNYCH
      N5. KARTY ZWYKLE
      N6. TABLICE KART
      N7. PRZYPOMNIENIE MENU GLOWNEGO AUTOMATU
      N8. KARTY SERWISOWE
      N9. KARTY SERWISOWE W WERSJI 5.8
      N10.KARTY SERWISOWE W WERSJI 3.0
      N11.INNA (NIZ HRABIEGO) METODA DZWONIENIA Z KART SERWISOWYCH
      N12.DIAGNOSTIC MENU - KODY DIAGNOSTYCZNE
      N13.POWODY ZGLOSZENIA DO CENTRUM NADZORU (C90)
      N14.PROGRAMOWANIE WARTOSCI DOMYSLNYCH W EEPROM
      N15.TARYFIKACJA
      N16.KOMUNIKACJA Z MODULEM CZYTNIKA
      N17.JAK ZROBIC NIEKASOWALNA KARTE
 *    N18.KOMUNIKACJA Z CENTRUM NADZORU (C90)
      N19.SPOSOB NA UNIEMOZLIWIENIE KOMUNIKACJI Z CENTRUM NADZORU
 *    N20.SPECIAL TEST MODE
      N21.BUFORY KLAWIATURY
      N22.INNE (NIZ 2.9) WERSJE OPROGRAMOWANIA
      N23.NOWY CZYTNIK I OPROGRAMOWANIE DO NIEGO (3.0?)
      N24.NAPISY
      N25.INSTRUKCJA WYMIANY EPROMU
      N26.ZAKLOCANIE AUTOMATU TELEFONEM KOMORKOWYM
      N27.DOSWIADCZENIE
      N28.PODSUMOWANIE
    CZESC II - Urmet srebrny TPE 97/U
      S1. WSTEP
      S2. OGOLNA BUDOWA PROGRAMU
      S3. WYJATKI
      S4. REJESTRY UKLADOW PERYFERYJNYCH
      S5. KODY KLAWIATURY
      S6. PAMIECI ZNAMIONOWE (BOLLINO) I METRYCZKA APARATU
 *    S7. KARTY ZWYKLE
 *    S8. ALGORYTM ROZPOZNAWANIA RODZAJU KARTY ELEKTRONICZNEJ
      S9. LISTY KART
 *    S10.ZABEZPIECZENIA KART ZWYKLYCH
      S11.KARTY KREDYTOWE
      S12.MENU GLOWNE AUTOMATU
 *    S13.KODY ALARMOW
      S14.MENU AUTOTEST
 *    S15.KARTY SERWISOWE
 *    S16.ZABEZPIECZENIA KART SERWISOWYCH
 *    S17.PRZYCISK "TEST"
 *    S18.FORMAT DANYCH KART ELEKTRONICZNYCH
      S19.PRYWATNE STG :)
      S20.INNE (NIZ 2.60) WERSJE OPROGRAMOWANIA
    WSPOLNE
      W1. GDY TPSA MA PODEJRZENIA
 *    W2. LINKI
 *    W3. ZAKONCZENIE




============ CZESC I - Urmet niebieski TSP 91 ================================

N1. WSTEP
    Tak wiec zaczelo sie w sierpniu 1998, gdy Hrabia opublikowal programy
    Urmeta i powstal Shroom FAQ, z ktorego zaczerpnalem podstawowe wiadomosci.
    Na poczatek musialem sobie napisac deasembler, bo w sieci nie znalazlem
    odpowiedniego (Uwaga! Najlepszy deasembler to IDA - The Interactive
    Disassembler, jest do sciagniecia z phreak.hack.pl). Potem sciagnalem
    jeszcze jakis symulator, nie najlepszy zreszta. Zamowilem sobie tez
    ksiazke o 68HC11. Kod zrodlowy po zdeassemblowaniu mial przy zalozonym
    przeze mnie formacie zapisu okolo 430 kB. Teraz, z komentarzami, ma ponad
    890 kB... Linii samego kodu, czyli instrukcji, jest 12164. Przedstawione
    ponizej wyniki to rezultaty analizy samego programu, a nie doswiadczen
    w praktyce na automacie, chyba ze napisalem inaczej. Prawdopodobnie znaj-
    da sie czasem jakies pomylki lub niescislosci, ale absolutnie bezbledne
    przeanalizowanie od podstaw takiej ilosci kodu jest raczej niemozliwe.
    Dlatego jesli ktos ma pelniejsze/dokladniejsze informacje na opisane
    tu tematy, chetnie umieszcze uaktualnienie.

N2. OGOLNA BUDOWA PROGRAMU
    Program zbudowany jest dosc sprytnie, tak ze daje sie latwo konfigurowac.
    Na poczatku kodu programu, przed napisami, znajduja sie rozne tablice
    i dane konfiguracyjne. Tak wiec zmiana jednego bajtu moze mocno zmienic
    dzialanie programu. Poza tym calosc oparta jest na przerwaniach. Komuni-
    kacja z czytnikiem, klawiatura, wyswietlaczem oparte sa na przerwaniach
    zegarowych. Rowniez na przerwaniach oparta jest taryfikacja. W zwiazku
    z tym glowny program ustawia tylko pewne zmienne, ktore odczytywane sa
    okresowo przez odpowiednie przerwania zegarowe, odpowiedzialne za obsluge
    jakiegos podzespolu automatu. Na przyklad glowny program ustawia w odpo-
    wiedniej zmiennej numer napisu do wyswietlenia, zmienna ta co jakis czas
    jest odczytywana przez procedure obslugi przerwania, a odpowiadajacy war-
    tosci tej zmiennej napis jest wyswietlany na LCD.

N3. PRZERWANIA
 *  Ponizej umiescilem krotki wykaz przerwan uzywanych przez oprogramowanie.
 *  Pozostale, ktorych tutaj nie wymienilem, maja puste procedury obslugi
 *  (co oznacza brak reakcji na wystapienie przerwania). Na poczatku wiersza
 *  znajduje sie adres wektora przerwania, nastepnie adres procedury obslugi
 *  wskazywany przez ten wektor (w nawiasach kwadratowych), dalej jest an-
 *  gielska nazwa przerwania, a na koncu napisalem do czego przerwanie jest
 *  uzywane.
 *
 *  Dla trybu pracy procesora "Normal Expanded Mode" (w tym trybie zwykle
 *  procesor pracuje) tabela wektorow znajduje sie pod adresami z zakresu
 *  0xFFD6..0xFFFF:
 *
 *    0xFFDA: [0xBF24] - Pulse Accumulator Input Edge  - Obsluga taryfikacji
 *                                                       50 Hz
 *
 *    0xFFE2: [0xB800] - Timer Output Compare 4 (TOC4) - Obsluga komunikacji
 *                                                       z czytnikiem
 *
 *    0xFFE6: [0xC908] - Timer Output Compare 2 (TOC2) - Sprawdzanie pradu
 *                                                       linii, obsluga tary-
 *                                                       fikacji i polaczen,
 *                                                       zarzadzanie czytni-
 *                                                       kiem i stanem karty
 *
 *    0xFFE8: [0xBCD9] - Timer Output Compare 1 (TOC1) - Obsluga taryfikacji
 *                                                       16 kHz i klawiatury
 *
 *    0xFFEA: [0xBA99] - Timer Input Capture 3 (TIC3)  - Obsluga komunikacji
 *                                                       z czytnikiem
 *
 *    0xFFEC: [0xBED1] - Timer Input Capture 2 (TIC2)  - Obsluga DTMF-u
 *
 *    0xFFEE: [0xBF16] - Timer Input Capture 1 (TIC1)  - Pomocnicza obsluga
 *                                                       taryfikacji 16 kHz
 *
 *    0xFFF8: [0xD44F] - Illegal Opcode Trap           - Bledna instrukcja
 *
 *    0xFFFA: [0xC000] - COP Watchdog Time-Out         - Przepelnienie licz-
 *                                                       nika bezpieczenstwa
 *
 *    0xFFFC: [0xC000] - COP Clock Monitor Fail        - Zatrzymanie taktowa-
 *                                                       nia procesora
 *
 *    0xFFFE: [0xC000] - Reset                         - Reset - procesor wy-
 *                                                       chodzi ze stanu us-
 *                                                       pienia po podniesie-
 *                                                       niu sluchawki, otrzy-
 *                                                       maniu rozmowy przy-
 *                                                       chodzacej, takze ok-
 *                                                       resowo co jakis czas
 *
 *  Dla trybu pracy procesora "Special Test Mode" (patrz rozdzial "Special
 *  Test Mode") tabela wektorow znajduje sie pod adresami z zakresu
 *  0xBFD6..0xBFFF:
 *
 *    0xBFD6..0xBFFE: [0xAA7E] - wszystkie przerwania  - Programowanie re-
 *                                                       jestru CONFIG
 *
N4. REJESTRY UKLADOW PERYFERYJNYCH
 *  Ponizej zamiescilem odwzorowanie rejestrow ukladow peryferyjnych w przes-
 *  trzen adresowa mikrokontrolera niebieskiego automatu (brzmi strasznie ;)).
 *  Po dokladniejsze informacje na temat rejestrow i ukladow peryferyjnych
 *  odsylam do danych producenta (M68HC11 Reference Manual - powinien byc na
 *  phreak.hack.pl). Na poczatku znajduje sie adres, pod jakim widoczny jest
 *  rejestr, nastepnie jest nazwa rejestru, a na koncu umiescilem angielskie
 *  rozwiniecie nazwy rejestru.
 *
 *    0x1000:     Rejestr PORTA   - Port A Register
 *    0x1001:     -
 *    0x1002:     Rejestr PIOC    - Parallel I/O Control Register
 *    0x1003:     Rejestr PORTC   - Port C Register
 *    0x1004:     Rejestr PORTB   - Port B Register
 *    0x1005:     Rejestr PORTCL  - Port C Latch Register
 *    0x1006:     -
 *    0x1007:     Rejestr DDRC    - Data Direction for Port C Register
 *    0x1008:     Rejestr PORTD   - Port D Register
 *    0x1009:     Rejestr DDRD    - Data Direction for Port D Register
 *    0x100A:     Rejestr PORTE   - Port E Register
 *    0x100B:     Rejestr CFORC   - Output Compare Force Register
 *    0x100C:     Rejestr OC1M    - Output Compare 1 Mask Register
 *    0x100D:     Rejestr OC1D    - Output Compare 1 Data Register
 *    0x100E:     Rejestr TCNT    - Timer Counter Register
 *    0x100F:     c.d.
 *
 *    0x1010:     Rejestr TIC1    - Timer Input Capture 1 Register
 *    0x1011:     c.d.
 *    0x1012:     Rejestr TIC2    - Timer Input Capture 2 Register
 *    0x1013:     c.d.
 *    0x1014:     Rejestr TIC3    - Timer Input Capture 3 Register
 *    0x1015:     c.d.
 *    0x1016:     Rejestr TOC1    - Timer Output Compare 1 Register
 *    0x1017:     c.d.
 *    0x1018:     Rejestr TOC2    - Timer Output Compare 2 Register
 *    0x1019:     c.d.
 *    0x101A:     Rejestr TOC3    - Timer Output Compare 3 Register
 *    0x101B:     c.d.
 *    0x101C:     Rejestr TOC4    - Timer Output Compare 4 Register
 *    0x101D:     c.d.
 *    0x101E:     Rejestr TOC5    - Timer Output Compare 5 Register
 *    0x101F:     c.d.
 *
 *    0x1020:     Rejestr TCTL1   - Timer Control Register 1
 *    0x1021:     Rejestr TCTL2   - Timer Control Register 2
 *    0x1022:     Rejestr TMSK1   - Timer Interrupt Mask Register 1
 *    0x1023:     Rejestr TFLG1   - Timer Interrupt Flag Register 1
 *    0x1024:     Rejestr TMSK2   - Timer Interrupt Mask Register 2
 *    0x1025:     Rejestr TFLG2   - Timer Interrupt Flag Register 2
 *    0x1026:     Rejestr PACTL   - Pulse Accumulator Control Register
 *    0x1027:     Rejestr PACNT   - Pulse Accumulator Counter Register
 *    0x1028:     Rejestr SPCR    - SPI Control Register
 *    0x1029:     Rejestr SPSR    - SPI Status Register
 *    0x102A:     Rejestr SPDR    - SPI Data Register
 *    0x102B:     Rejestr BAUD    - Baud-Rate Control Register
 *    0x102C:     Rejestr SCCR1   - SCI Control Register 1
 *    0x102D:     Rejestr SCCR2   - SCI Control Register 2
 *    0x102E:     Rejestr SCSR    - SCI Status Register
 *    0x102F:     Rejestr SCDR    - SCI Data Register
 *
 *    0x1030:     Rejestr ADCTL   - A/D Control/Status Register
 *    0x1031:     Rejestr ADR1    - A/D Result Register 1
 *    0x1032:     Rejestr ADR2    - A/D Result Register 2
 *    0x1033:     Rejestr ADR3    - A/D Result Register 3
 *    0x1034:     Rejestr ADR4    - A/D Result Register 4
 *    0x1035:     -
 *    0x1036:     -
 *    0x1037:     -
 *    0x1038:     -
 *    0x1039:     Rejestr OPTION  - System Configuration Options Register
 *    0x103A:     Rejestr COPRST  - COP Timer Reset Register
 *    0x103B:     Rejestr PPROG   - EEPROM Programming Register
 *    0x103C:     Rejestr HPRIO   - Highest Priority I-Bit and Misc Register
 *    0x103D:     Rejestr INIT    - RAM and I/O Mapping Register
 *    0x103E:     Rejestr TEST1   - Testing Functions Control Register
 *    0x103F:     Rejestr CONFIG  - System Configuration Register
 *
N5. KARTY ZWYKLE
    Karty uzywane przez niebieski automat ulozone sa w 1024 serie po
    65536 kart w serii (tak naprawde 1024 serie to 256 prawdziwych serii
    i 4 mozliwe emisje -> 256*4 = 1024). Sa DWA rodzaje kart zwyklych:

    a) Karta w jednostkach taryfikacyjnych

       Te karty sa powszechnie uzywane. Posiadaja zapisane na sobie unikalne
       dane jak numer serii, numer kolejny w serii, a takze informacje o no-
       minalnej i pozostalej liczbie jednostek, ktore to dane chronione sa
       odpowiednimi algorytmami kontrolnymi. I tu najwieksza niespodzianka:
       NIEMOZLIWE JEST ZROBIENIE POZWALAJACEJ DZWONIC NIEKONCZACEJ SIE KARTY.
       Moze kiedys, w starych wersjach oprogramowania, bylo to mozliwe, teraz
       na pewno nie. Otoz kazda nowa karta posiada w trzeciej, najwiekszej
       czesci, 200 magnetycznych jedynek. W oprogramowaniu automatu istnieje
       nastepujaca tablica:

       Offset       Wartosc (Liczba       Maks. liczba
       tablicy      jedynek/jednostke)    jednostek

         #0           1                     200
         #1           2                     100
         #2           4                     50
         #3           5                     40
         #4           8                     25
         #5           10                    20
         #6           20                    10

       Na karcie zapisana jest liczba od 0 do 7. Jesli wartosc ta wynosi 0,
       karta jest wyrzucana z automatu bez zadnego komentarza na wyswietlaczu
       (zatrzymuje sie tylko na chwile tak jak karty serwisowe). W przeciwnym
       wypadku oprogramowanie odejmuje od niej 1 i daje to offset do powyzszej
       tablicy. Jesli dla przykladu na karcie zapisane jest 7, offset do tab-
       licy wyniesie 6, pod tym offsetem jest wartosc 20, czyli jednostce na
       karcie odpowiada 20 jedynek. Tak wiec na karcie moze byc maksymalnie
       200/20 = 10 jednostek, po prostu jest to karta 10-jednostkowa. Jak wi-
       dac, TPSA nie wykorzystuje w pelni mozliwosci istniejacego oprogramowa-
       nia. Kazdy oczywiscie zaraz chcialby zmienic zapis na karcie tak, zeby
       bylo na niej 200 jednostek, co jest mozliwe, ale na chetnych czeka mala
       niespodzianka, o ktorej bedzie w jednym z nastepnych punktow... Wniosek
       jest nastepujacy: poniewaz na karcie nie jest bezposrednio zapisana
       maksymalna liczba jednostek, nie mozna zrobic karty na dowolnie duza
       ich liczbe. Na dodatek ilosc jednostek z karty jest reprezentowana
       w oprogramowaniu jako wielkosc 1-bajtowa, a wiec daje to teoretycznie
       maksymalnie 255 jednostek. Ktos widzial moze na wyswietlaczu cos w ro-
       dzaju "KREDYT 00025", faktycznie, zdarzalo sie tak skonfigurowane opro-
       gramowanie, tak wiec automat przystosowany jest do wyswietlania PIECIU
       cyfr... Po co wiec byloby piec cyfr, gdy na karcie moze byc maksymalnie
       (teoretycznie) 255 jednostek? Czasem sie to jednak moze przydac, o czym
       za chwile... Ktos moze miec tez ochote zmodyfikowac zawartosc powyzszej
       tablicy, aby wszystkie karty byly czytane jako np. 100... Jest to jak
       najbardziej mozliwe! Nie radze jednak wpisac jako liczbe jedynek/
       jednostke 0. Algorytm obliczania pozostalych jednostek jest nastepu-
       jacy: liczba pozostalych jedynek (pozostalych z poczatkowych 200) jest
       dzielona przez liczbe jedynek/jednostke i jako wynik brana jest czesc
       calkowita. W praktyce jest to realizowane przez instrukcje IDIV, ktora
       w przypadku dzielenia przez 0 daje jako czesc calkowita wyniku 0xFFFF,
       z czego bajt mniej znaczacy jest brany jako liczba pozostalych jednos-
       tek, czyli tutaj 255. Co sie dalej stanie, napisalem w rozdziale "Tab-
       lice kart". Mozna tez wpisac 1, aby karty byly odczytywane jako 200-
       jednostkowe, ale, jak powiedzialem, wiaze sie z tym niespodzianka...
       Jeszcze odnosnie karty niekasowalnej - mozna by bylo sprobowac nagrac
       karte na materiale twardszym magnetycznie niz zwykla karta, tak, zeby
       automat nie byl w stanie skasowac czegokolwiek z karty. Niestety, na
       karcie sa wybijane zabki wskazujace procent jej zuzycia, i karta jest
       w tym miejscu nieczytelna. Poza tym uzywanie takiej karty mocno by
       ograniczal mechanizm opisany w nastepnym rozdziale.

    b) Karta w jednostkach Tax Value

       Tych kart nie ma w obiegu. Posiadaja dane analogiczne do kart opisanych
       powyzej, ale jest jedna zasadnicza roznica. Jak wiadomo, w automacie
       zapisana jest wartosc Tax Value, zwykle ustawiona na 1, ktora okresla
       liczbe kasowanych z normalnej karty jednostek przy kazdym sygnale
       16 kHz z centrali. Natomiast z kart w jednostkach Tax Value kasowana
       jest zawsze jedna jednostka, niezaleznie od wartosci Tax Value.
       W zwiazku z tym sabotaz polegajacy na ustawieniu Tax Value np. na 30
       nie spowoduje zadnych skutkow ubocznych dla takiej karty, rozmawiac
       mozemy tak samo dlugo, jak zwykle. Zalozmy, ze na takiej karcie jest
       5 jednostek. Wtedy dla Tax Value rownego 30 na wyswietlaczu pojawi sie
       30*5 = 150 jednostek do wykorzystania! Za to przy kazdym 16 kHz bedzie
       od tego odejmowane 30 jednostek. Jezeli na takiej karcie bedzie 200
       jednostek, a Tax Value ustawimy na 255, to na wyswietlaczu zobaczymy
       "KREDYT 51000"! Do tego wlasnie przydac sie moze piec cyfr. Podobnie
       jak poprzednio, niemozliwe jest zrobienie niekonczacej sie karty.

N6. TABLICE KART
    W pamieci RAM znajduja sie 3 tablice kart uzywanych przez automat.

    a) Karty, z ktorych nie udalo sie skasowac pelnej wartosci Tax Value

       Tablica ma 21 pozycji, kazda pozycja zajmuje 2 slowa (4 bajty) i zawie-
       ra kolejno numer serii Karty i numer kolejny Karty w serii. Zapisywane
       sa tu karty w przypadku, kiedy na karcie zabraklo jednostek do skasowa-
       nia pelnej wartosci Tax Value lub czytnik w wyniku bledu odmowil skaso-
       wania odpowiedniej liczby jednostek. Wtedy cala karta jest kasowana,
       a brakujaca liczba jednostek zostanie skasowana z nastepnej wlozonej
       karty, chyba ze odlozymy sluchawke i poczekamy chwile az do wylaczenia
       sie wyswietlacza. Automat posiada w oprogramowaniu zabezpieczenie, kto-
       re powoduje, ze wyrzuca on stara karte po skasowaniu ostatniej istnie-
       jacej na karcie pelnej wartosci Tax Value i prosi o nowa karte. Tak
       wiec w praktyce jest to zabezpieczenie tylko przed bledami w pracy
       czytnika.

    b) Karty uzywane przez automat

       Ta tablica ma 562 pozycje, kazda pozycja zajmuje 2 slowa i 1 bajt
       (razem 5 bajtow), i zawiera, oprocz numeru serii karty i numeru
       kolejnego karty w serii, rowniez informacje o pozostalej na karcie
       liczbie jednostek (dokladnie piaty bajt zawiera wartosc: 200 minus
       liczba magnetycznych jedynek pozostalych w trzeciej czesci karty).
       Karty zapisywane sa tu w chwili kasowania z nich pierwszej jednostki,
       a podczas kasowania kolejnych jednostek piaty bajt tablicy jest
       uaktualniany - dodawana jest do niego wartosc odpowiadajaca liczbie
       kasowanych jednostek.

    c) Karty ponownie napelnione

       Tablica ta posiada 221 pozycji, kazda zajmuje 2 slowa (4 bajty) i za-
       wiera numer serii karty i numer kolejny karty w serii, wpisywane sa tu
       te karty, ktore zostaly ponownie napelnione.

    Na powyzsze listy nie sa wpisywane karty serwisowe. Algorytm
    akceptowania karty jest nastepujacy:

    1) Czy karta jest na liscie tych, z ktorych nie udalo sie
       skasowac pelnej wartosci Tax Value?
       NIE - 2)
       TAK - Automat kasuje cala karte (po co - przeciez juz raz byla
             kasowana...), kasuje jej numer z tablicy, wyrzuca karte
             i pisze "KARTA ZUZYTA".

    2) Czy karta jest na liscie kart ponownie napelnionych?
       NIE - 3)
       TAK - Automat kasuje cala karte (tez juz raz byla kasowana -
             patrz punkt nizej), ustawia kod diagnostyczny nr 32
             (o kodach bedzie pozniej), wyrzuca karte i pisze
             "KARTA ZUZYTA".

    3) Czy karta jest na liscie uzywanych przez automat?
       NIE - Dopisuje karte na liste - dopiero w chwili kasowania
             z niej pierwszej jednostki
       TAK - Sprawdza, czy na karcie nie ma wiecej jednostek, niz poprzednio.
             Jesli jest wiecej, karta jest kasowana, ustawiany jest kod 32,
             automat wyrzuca karte i pisze "KARTA ZUZYTA". Jesli jednostek
             nie jest za duzo, lista jest uaktualniana poprzez wpisanie bie-
             zacej liczby jednostek (bo przeciez pomiedzy jednym i drugim
             uzyciem karty moglismy z niej dzwonic uzywajac innego automatu).
             Scisle rzecz biorac, dane o jednostkach karty sa zapisywane
             w tablicy w postaci: 200 minus liczba magnetycznych jedynek po-
             zostalych w trzeciej czesci karty). Przy ponownym uzyciu karty
             do zapamietanej powyzej wartosci dodawana jest znowu biezaca
             liczba pozostalych na karcie jedynek. Jesli wynik przekroczy
             205(!), karta jest kwalifikowana jako ponownie napelniona.
             Tak wiec mozemy bezkarnie dopisac liczbe jednostek odpowiadajaca
             5 jedynkom, czyli np. 2 jednostki na karcie 100-jednostkowej
             (daje to 4 jedynki)...

    Gdy zapelni sie pierwsza tablica, wszystkie dotychczasowe elementy zostaja
    zepchniete w dol z usunieciem ostatniego z nich, a najnowszy zostaje
    umieszczony na samej gorze. Natomiast tablice druga i trzecia sa traktowa-
    ne jak pierscienie. W przypadku zapelnienia sie jako kolejny wolny element
    jest traktowany dotychczasowy najstarszy (na samym dole) i kolejne elemen-
    ty sa zapisywane znowu coraz blizej szczytu tablicy. Oprogramowanie ma
    mozliwosc kasowania dowolnych elementow tylko z pierwszej tablicy, w dwoch
    pozostalych najstarsze elementy sa zastepowane najnowszymi. Przy kasowaniu
    elementu z pierwszej tablicy wszystkie, ktore sa nad nim, spadaja o jeden
    poziom w dol i zmienna zawierajaca liczbe waznych elementow jest zmniej-
    szana o jeden. Natomiast komorka pamieci na szczycie nie jest fizycznie
    zerowana, w zwiazku z tym ostatni element moze byc powtorzony kilka razy.

    W celu skasowania list mozna wyciagnac i z powrotem wlozyc kosc RAM, ale
    wtedy sumy kontrolne RAM nie beda sie zgadzac, przez co automat przetestu-
    je pamiec RAM i ustawi kod diagnostyczny nr 11 oraz m.in. nastapi utrata
    zawartosci "DIAGNOSTIC MENU", "COUNTER MENU" oraz "VISUAL BLACK L."
    z "SW VERSION MENU", o czesci ktorych to menu napisalem ponizej (testowa-
    ne praktycznie). Kazda z tablic posiada tez wlasna sume kontrolna, ktorej
    niezgodnosc powoduje rowniez skasowanie tablicy oraz dodatkowo wypelnienie
    jej zerami (we innych przypadkach jedynie liczba elementow w tablicy jest
    ustawiana na zero i wskaznik na pierwszy wolny element ustawiany jest na
    poczatek tablicy, bez fizycznego kasowania danych).

    A teraz o tym, co sie stanie, gdy jako liczbe jedynek/jednostke wpiszemy
    w EPROMie zero. Jak juz napisalem, wtedy liczba pozostalych jednostek po
    wlozeniu dowolnej karty zostanie odczytana jako 255. Mozemy z tej karty
    normalnie rozmawiac. Nalezy jednak pamietac o tym, ze zmodyfikowalismy
    oprogramowanie plyty glownej, ale nie czytnika! Tak wiec w pamieci czyt-
    nika znajduje sie rzeczywista liczba jednostek. W momencie, gdy zuzyjemy
    liczbe jednostek rowna faktycznie istniejacej na karcie, karta zostanie
    skasowana i wyrzucona, natomiast plyta glowna nic nie bedzie wiedziec
    o potrzebie wymiany karty i nie otworzy wlotu czytnika, tak wiec nie
    bedziemy nawet mogli wlozyc nowej karty (odmiana tego przypadku zostala
    przetestowana praktycznie). Podsumowujac: ustawienie liczby jedynek/jed-
    nostke na zero nie przynosi zadnych korzysci.

    Natomiast gdy uzyjemy karty, na ktorej jest wieksza liczba jednostek od
    liczby nominalnej wynikajacej z podzielnika (a ktora mozna zrobic poprzez
    nagranie w trzeciej czesci karty wiecej niz 200 jedynek magnetycznych -
    metode ta jako pierwszy wymyslil Shadow), stanie sie rzecz nastepujaca:
    przyjmijmy, ze mamy karte z 230 jedynkami. W chwili pierwszego uzycia
    danej karty zostaje ona wpisana na 2 tablice kart z liczba jedynek magne-
    tycznych rowna 200-230=... no wlasnie, wychodzi liczba ujemna, wiec na
    liste zostanie wpisane zero, czyli tak, jak gdyby na karcie bylo 200 mag-
    netycznych jedynek, a nie 230. Teraz dla przykladu podczas rozmowy zostaje
    skasowanych z karty a dodanych do tablicy 10 jedynek, czyli w tablicy
    jest wartosc 10, a na karcie zostaje 220 jedynek. Przy probie ponownego
    uzycia tej karty zostanie wykonana operacja: 10 jedynek z tablicy + 220
    jedynek z karty = 230 > 205 -> karta zostanie uznana za ponownie napelnio-
    na, automat wpisze ja na 3 liste kart oraz podejmie probe skasowania calej
    karty i ustawi kod 32... Aby temu zapobiec, nalezaloby zuzyc na innym
    automacie taka liczbe jednostek, aby podany wyzej wynik nie przekroczyl
    205. Zagadnienie to zostalo przetestowane praktycznie.

N7. PRZYPOMNIENIE MENU GLOWNEGO AUTOMATU
    W tym miejscu dla przypomnienia umieszczam glowne menu automatu.
    Po dokladny opis odsylam do menu.txt Hrabiego (phreak.hack.pl).

    0.  DEFAULT    MENU
    1.  DIAGNOSTIC MENU
    2.  COUNTER    MENU
    3.  DIAL       MENU
    4.  C90        MENU
    5.  TAXATION   MENU
    6.  SW VERSION MENU
    7.  FREE NUM.  MENU
    8.  LOCK NUM.  MENU
    9.  WATCH      MENU

N8. KARTY SERWISOWE
    Kart serwisowych jest PIEC rodzajow:

    a) Karta Maintenance

       Karta ta wyswietla:
       1.  DIAGNOSTIC MENU
       2.  COUNTER    MENU - bez podmenu "CLEAR PARTIAL" i "CLEAR ALL"

       Dokladnie to samo wyswietlane jest po otwarciu automatu.
       Po szczegoly odsylam do menu.txt Hrabiego.

    b) Karta Programming

       Karta wyswietla:
       1.  DIAGNOSTIC MENU
       2.  COUNTER    MENU
       3.  DIAL       MENU
       4.  C90        MENU
       5.  TAXATION   MENU
       6.  SW VERSION MENU - bez podmenu "VISUAL BLACK L.", o czym nizej
       7.  FREE NUM.  MENU
       8.  LOCK NUM.  MENU
       9.  WATCH      MENU

       Po szczegoly, jak poprzednio, odsylam do menu.txt.

    c) Karta ProgrammingVBL

       Jest to karta, ktora nazwalem sobie ProgrammingVBL,
       gdyz wyswietla, oprocz wszystkiego co zwykly Programming,
       dodatkowe podmenu:
       1.  DIAGNOSTIC MENU
       2.  COUNTER    MENU
       3.  DIAL       MENU
       4.  C90        MENU
       5.  TAXATION   MENU
       6.  SW VERSION MENU
           6.1  TELEPHONE  SOFT.
                6.1.1    PO  2.9
    ==>    6.2  VISUAL BLACK L.
                6.2.1    11111 11111       \
                ......   ..... .....         Tablica 1 - 21 pozycji
                6.2.21   11111 11111       /
                6.2.22   00000 00000         A3 / L3
                6.2.23   33333 33333       \
                .......  ..... .....         Tablica 3 - 221 pozycji
                6.2.243  33333 33333       /
                6.2.244  00000 00000         CRC3 / CRC2
                6.2.245  00000 00000         A2 / L2
                6.2.246  22222 22222 222   \
                .......  ..... ..... ...     Tablica 2 - 562 pozycje
                6.2.807  22222 22222 222   /
           6.3  EXIT
       7.  FREE NUM.  MENU
       8.  LOCK NUM.  MENU
       9.  WATCH      MENU

       Objasnienie skrotow:
         A3   - Adres pierwszej wolnej pozycji w 3 tablicy
         L3   - Liczba zapamietanych pozycji w 3 tablicy
         CRC3 - Suma kontrolna 3 tablicy
         CRC2 - Suma kontrolna 2 tablicy
         A2   - Adres pierwszej wolnej pozycji w 2 tablicy
         L2   - Liczba zapamietanych pozycji w 2 tablicy

       Dodatkowe podmenu "VISUAL BLACK L." (Skrot od "Visual Black List")
       wyswietla po kolei zawartosc 1, 3 i 2 tablicy zapamietanych kart,
       czyli:
         1 - Karty, z ktorych nie udalo sie skasowac pelnej wartosci
             Tax Value
         3 - Karty ponownie napelnione
         2 - Karty uzywane przez automat

       W przypadku tablic 1 i 3 wyswietlane sa numery: numer serii i numer
       kolejny karty w serii (numery te to dwa slowa, ktore sa wyswietlane
       obok siebie - kazde slowo w postaci pieciu cyfr), a dla 2 tablicy
       dodatkowo jako trzecia (trzycyfrowa) liczba wyswietlana jest wartosc:
       200 minus liczba magnetycznych jedynek pozostalych na karcie. Wszyst-
       kie numery wyswietlane sa w postaci dziesietnej. Wspolczuje tylko
       temu, kto chcialby przegladac recznie 807 pozycji...

    d) Karta Test

       Ta karta wyswietla:
       0.  DEFAULT    MENU
           0.1  PROG. DEFAULT
                0.1.1    DEFAULT Y
                0.1.2    DEFAULT YE
                0.1.3    DEFAULT YES
                0.1.4    PROG. DEFAULT OK - gdy programowanie sie udalo
                         PROG. DEFAULT KO - gdy wystapil blad
           0.2  EXIT
       1.  DIAGNOSTIC MENU
       2.  COUNTER    MENU
       3.  DIAL       MENU
       4.  C90        MENU
       5.  TAXATION   MENU
       6.  SW VERSION MENU - bez podmenu "VISUAL BLACK L."
       7.  FREE NUM.  MENU
       8.  LOCK NUM.  MENU
       9.  WATCH      MENU

       Karta ta jest uzywana przy produkcji nowych automatow.
       "DEFAULT MENU" ustawia w pamieci EEPROM domyslne ustawienia
       automatu. Szerzej na ten temat w punkcie "Programowanie
       wartosci domyslnych w EEPROM".

    e) Karta Sample

       Ta karta wyswietla tylko:
       0.  DEFAULT    MENU

       Uzycie tej karty powoduje dodatkowo, ze automat, nawet, jesli
       posiada dane do przeslania na centrale i normalnie probowalby je
       przeslac ("ZAJETY"), nie bedzie po jej uzyciu probowal tego zrobic -
       az do odlozenia sluchawki na kilka sekund. Byc moze uzywa sie tej
       karty, gdy automat lezy w serwisie odlaczony od linii, a podpiety
       do zasilania zastepczego, bo wtedy proba komunikacji z centala i tak
       nie ma sensu. Na jakiejs stronie TPSA znalazlem jej opis jako "karta
       technologiczna".

N9. KARTY SERWISOWE W WERSJI 5.8
    Na poczatek musze wszystkich rozczarowac: NIE ISTNIEJA KARTY DO
    PROGRAMOWANIA W WERSJI 5.8 !!! Tak tak, TPSA doszla do slusznego wniosku,
    ze nowe oprogramowanie i tak zostanie predzej lub pozniej zlamane, i nie
    zrobila odpowiednikow kart ze starszych wersji. Jedyne menu pojawia sie
    po otwarciu automatu, ale, jak wiadomo, jego mozliwosci sa bardzo ograni-
    czone (mozna jednak wlaczyc pelne menu! - patrz slammer.faq :). Istnie-
    nieje tylko jedna karta serwisowa:

    a) Karta Check58

       Ta karte nazwalem Check58. Karta ta sluzy do sprawdzania, czy w auto-
       macie jest oprogramowanie 5.8, czy tez inne. Nie slyszalem, zeby
       TPSA wyemitowala takie karty, ale jak wiadomo, nie tylko ona ma mozli-
       wosc ich produkcji :) Istnienie tej karty zawdzieczamy najprawdopodob-
       niej niedopatrzeniu programistow przerabiajacych soft 2.8. Dzialanie
       tych kart zostalo praktycznie sprawdzone. Karta taka po wlozeniu do
       automatu z oprogramowaniem innym niz 5.8 zatrzymuje sie na chwile jak
       karta serwisowa i wypada, nic nie wyswietlajac. Natomiast jesli zosta-
       nie uzyta z softem 5.8, najnormalniej na swiecie wyswietla "KREDYT"
       i zawarta na niej liczbe jednostek. Mozna z niej normalnie rozmawiac,
       nie wolno jej wszakze zuzyc do zera, gdyz wtedy traci swoje wlasci-
       wosci.

    Na marginesie warto dodac, w jaki sposob TPSA rozpoznaje soft, skoro
    nie uzywa kart Check58... Otoz jest to po prostu zaznaczone na kosci
    EPROMu. Monter najpierw otwiera automat i sprawdza wersje oprogramowania,
    a dopiero potem ewentualnie uzywa kart serwisowych.

    Pozostaje problem, jak skonfigurowac automat, skoro nie istnieje karta
    do jego programowania. Glownym problemem jest zaprogramowanie numeru do
    centrum nadzoru i ustawien, ktorych nie mozna zmieniac z poziomu centrali
    (patrz rozdzial "Komunikacja z centrum nadzoru"). Otoz widze nastepujace
    mozliwosci:

      - mozna zmodyfikowac w EPROMie domyslne ustawienia tak, zeby
        odpowiadaly zadanej konfiguracji - przy zmianie wersji EPROMu
        wartosci domyslne zostana zaprogramowane w EEPROM - szerzej
        o tym w rozdziale "Programowanie wartosci domyslnych w EEPROM".
        Wymagaloby to programowania indywidualnie kazdego ukladu
        scalonego, gdyz trzeba by bylo zmieniac przynajmniej numer
        automatu - odpowiednik pozycji "NUM. TELEPHON" w "C90 MENU".
        Jednak w EPROMie 5.8 nie wykorzystano tej mozliwosci, zreszta
        jest ona malo praktyczna.

      - poniewaz pamiec EEPROM, w ktorej pamietana jest konfiguracja,
        znajduje sie w mikroprocesorze 68HC11, mozna zaprogramowac
        ta pamiec w serwisie i do automatu wlozyc juz zaprogramowany
        mikroprocesor. W praktyce trzeba najpierw wyjac stara pamiec
        EPROM, pozniej mikroprocesor, nastepnie nalezy wlozyc nowy
        mikroprocesor i na koncu nowy uklad z pamiecia. Zmiana tej
        kolejnosci grozi zaprogramowaniem w EEPROM wartosci domyslnych.

      - trzecia mozliwosc to posiadanie oprogramowania 2.9 lub starszego
        przerobionego tak, zeby wygladalo jak 5.8 (nie wystarczy zmiana
        naglowka pliku!). Wtedy za pomoca zwyklej karty serwisowej
        mozna zaprogramowac automat, a nastepnie wlozyc prawdziwe 5.8.
        Takie przerobienie wersji nie jest niebezpieczne, gdyz adresy
        danych w pamieci EEPROM we wszystkich wersjach od 2.6 wlacznie
        w gore sa (prawie na pewno) takie same.

      - kolejny sposob zostal wymyslony przez Nola i polega na przerobie-
        niu oprogramowania 5.8 w ten sposob, aby po otwarciu automatu
        wyswietlalo sie pelne menu, z mozliwoscia zaprogramowania wszyst-
        kich ustawien. Po zaprogramowaniu mozna zamienic EPROM na normalny
        5.8.

      - mozna zmienic w pliku z oprogramowaniem 5.8 bajt #0x0049 na #0x00
        (w tym przypadku nieistotne, czy plik jest zakodowany, czy nie),
        co wylaczy sprawdzanie wersji oprogramowania i zablokuje zapro-
        gramowanie z powodu zmiany wersji ustawien domyslnych, tak wiec
        stara konfiguracja pozostanie niezmieniona. TPSA nie wykorzystala
        tej prostej mozliwosci w EPROMie 5.8.

      - wreszcie mozna niczego nie zmieniac w oprogramowaniu i wlaczyc
        sobie pelne menu serwisowe za pomoca metody opisanej przez Slammera
        (slammer.faq) - sprawdzilem i dziala!

N10.KARTY SERWISOWE W WERSJI 3.0
    Na poczatek dobra (srednio dobra) wiadomosc: w najnowszej wersji softu
    do niebieskiego Urmeta zostaly przywrocone karty serwisowe! A teraz
    kilka mniej dobrych wiadomosci: po pierwsze po uzyciu karty Programming,
    ProgrammingVBL, Test lub Sample na wyswietlaczu zadne menu sie nie wys-
    wietla... aby sie wyswietlilo nalezy otworzyc i zamknac automat! Oczywis-
    cie wiaze sie to z ustawieniem odpowiedniego kodu diagnostycznego infor-
    mujacego o otwarciu automatu. A teraz jeszcze gorsza wiadomosc: z menu
    zniknely bez sladu: cale menu "LOCK NUM. MENU", opcje "16 KHz" i "50 Hz"
    z "TAXATION MENU", opcja "DIAL FREQ." z "DIAL MENU". Zablokowane zostalo
    tez cale menu "FREE NUM. MENU"! To ostatnie mozna prawdopodobnie wlaczyc
    uzywajac sposobu opisanego przez Slammera (slammer.faq), choc w praktyce
    jest to chyba malo przydatne bez opcji "16 KHz"... Oczywiscie zostala
    zachowana mozliwosc zdalnego programowania wszystkich usunietych/zablo-
    kowanych opcji. Ponizej przejrzyste podsumowanie - opisalem zmiany wzgle-
    dem wersji 2.9:

    a) Karta Maintenance

       Jako jedyna dziala bez zadnych zmian i wyswietla wlasciwe sobie menu
       od razu po jej uzyciu.

    b) Karta Programming

       Po uzyciu wymaga otwarcia i zamkniecia automatu. Nie wyswietla:
       - DIAL FREQ.        /      DIAL       MENU
       - 16 KHz            /      TAXATION   MENU
       - 50 Hz             /      TAXATION   MENU
       - FREE NUM.  MENU
       - LOCK NUM.  MENU

    c) Karta ProgrammingVBL

       Jak w punkcie b)

    d) Karta Test

       Jak w punkcie b)

    e) Karta Sample

       Po uzyciu wymaga otwarcia i zamkniecia automatu.

    f) Karta Check58

       Zachowuje sie identycznie jak w wersji 2.9.

    Pozostale zmiany w sofcie 3.0 zostaly opisane w rozdziale "Inne (niz 2.9)
    wersje oprogramowania".

N11.INNA (NIZ HRABIEGO) METODA DZWONIENIA Z KART SERWISOWYCH
    Przemek, tzn. moja prawa reka, wpadl na pomysl, ze mozna wylaczyc
    opcje "16 KHz" i dzwonic z automatu metoda na "rozmowe przychodzaca".
    Okazuje sie, ze jest to prawda, i metoda ta dziala w praktyce. Jesli
    wiec ktos woli dzwonic w ten sposob, narobi Telekomunikacji dodatkowego
    zamieszania, gdyz wtedy nie beda sie zgadzac nie tylko liczniki taryfi-
    kacji i liczniki rozmow platnych i bezplatnych, ale rowniez przychodza-
    cych... Metoda ta jest o tyle wygodna, ze nie trzeba programowac wielu
    nieraz numerow, a pozniej ich kasowac (dla tych ktorzy nie wiedza: cal-
    kowite wymazanie numeru z menu jest mozliwe przez trzymanie klawisza
    Redial przez okolo 5 sekund).

N12.DIAGNOSTIC MENU - KODY DIAGNOSTYCZNE
    W menu tym obejrzec mozemy kody diagnostyczne automatu. Sa to wartosci
    sygnalizujace zajscie pewnych zdarzen podczas jego dzialania. Wyswietlane
    sa kody #1..#8, jeszcze jeden, #9, jest tylko w pamieci automatu. Kod
    o numerze #1 odpowiada zdarzeniu najnowszemu, kod #9 - najstarszemu. Jes-
    li zajdzie jakies zdarzenie, odpowiadajacy mu kod dopisywany jest na po-
    zycji #1, a pozostale sa spychane w dol. Nowy kod nie jest jednak dopisy-
    wany w przypadku, gdy poprzedni byl taki sam. Ponizej podaje spis wszyst-
    kich mozliwych kodow. Czesc z nich rozpracowalem sam, czesc uzyskalem od
    Hrabiego, a czesc przepisalem z instrukcji niebieskiego Urmeta otrzymanej
    od Pita, za co dzieki dla niego. Kody 11-17 dotycza plyty glownej, 21-36
    ukladow peryferyjnych, natomiast 81-95 modulu czytnika. Sa jeszcze inne
    kody, o ktorych wczesniej nic nie napisalem, a ktore sie nazywaja "powo-
    dami zgloszenia do centrum nadzoru". Wyobrazmy sobie, ze otworzylismy
    automat, wtedy generowany jest kod diagnostyczny numer 13 (dziesietnie).
    Ale przeciez mozemy wyzerowac kody diagnostyczne w nadziei, ze gdy po
    zamknieciu automatu zadzwoni on do centrum nadzoru, to nie bedzie wiadomo,
    dlaczego dzwonil. Wlasnie zeby temu zapobiec, automat podczas komunikacji
    z centrum nadzoru wysyla kod powodu zgloszenia odpowiadajacy zdarzeniu,
    ktore bezposrednio spowodowalo koniecznosc komunikacji, niezaleznie od
    tego, co jest aktualnie w "DIAGNOSTIC MENU". Ten mechanizm jednak rowniez
    da sie oszukac - patrz rozdzial "Sposob na uniemozliwienie komunikacji
    z centrum nadzoru". Spis omawianych kodow umiescilem w nastepnym punkcie.
    A oto kody diagnostyczne:

    Legenda:
    [-]  = nie dzwoni do centrum nadzoru po ustawieniu kodu
    [!]  = dzwoni natychmiast
    [PZ] = dzwoni po zamknieciu automatu
    [L1] = dzwoni, jesli przekroczono limit 5 zdarzen (wspolny dla wszystkich
           zdarzen oznaczonych L1)
    [L2] = dzwoni, jesli przekroczono limit 11 zdarzen (wspolny dla wszystkich
           zdarzen oznaczonych L2)

    ====================

    [-]   Kod 01 - Przeslano dane do centrum nadzoru ("ZAJETY")
    [!]   Kod 11 - Sprawdzono, czy pamiec RAM sprawna w zakresie
                   #0x6000..#0x7787
                   Nastapila utrata danych pamieci RAM
                   Sprawdzanie pamieci odbywa sie, gdy suma kontrolna pamieci
                   sie nie zgadza, np. gdy wyjeto i z powrotem wlozono uklad
                   scalony zawierajacy RAM
    [!]   Kod 12 - Zaprogramowano w EEPROM wartosci domyslne (z EPROM)
                   Nastepuje to w wyniku uzycia "DEFAULT MENU", po
                   wystapieniu bledu zapisu EEPROM lub po zmianie wersji
                   oprogramowania - szerzej o tym w nastepnym punkcie
    [PZ]  Kod 13 - Otwarto automat
    [L1]  Kod 14 - Proba oszukania automatu - podanie na linie sygnalu 16 kHz
                   dluzszego niz 4 sekundy
                   Podanie na linie ciagle trwajacego sygnalu 16 kHz powo-
                   dowaloby zaliczenie podczas calej rozmowy tylko jednego
                   impulsu taryfikacyjnego
    [!]   Kod 15 - 50 kolejnych podniesien sluchawki bez zrealizowania
                   platnego polaczenia (zablokowany wlot czytnika, uszkodzony
                   mikrofon lub wyswietlacz)
                   Za polaczenie platne jest uwazane takie, podczas ktorego
                   automat otrzyma choc jeden impuls 16 kHz, jesli wiec ktos
                   ustawi "TAXATION MENU"/"16 KHz" na "Disabled", automat
                   jest na 16 kHz gluchy i przy okazji nie odblokowuje
                   mikrofonu przy probach wykonywania normalnych platnych
                   polaczen, w zwiazku z czym kod ten zostanie po 50 probach
                   takich polaczen ustawiony
    [L1]  Kod 16 - Automat odlaczony od linii
    [L1]  Kod 17 - Zbyt niska wartosc pradu linii
    [L1]  Kod 21 - Zablokowany przycisk klawiatury
    [L1]  Kod 22 - Zablokowany przycisk Redial
    [L1]  Kod 23 - Uszkodzony odbiornik impulsow 16 kHz
    [L1]  Kod 25 - Obnizone napiecie akumulatora
    [L1]  Kod 27 - Uszkodzony obwod mikrofonu
    [-]   Kod 28 - Uszkodzony modem DTMF (do komunikacji z centrum nadzoru)
    [!]   Kod 29 - Uszkodzony uklad zegara Philips
    [L1]  Kod 31 - Blad zapisu pamieci EEPROM
    [-L1] Kod 32 - Uszkodzone przetworniki A/D, kod ustawiany rowniez, gdy
                   automat podjal probe skasowania calej karty naraz (gdy
                   probowano uzyc karty falszywej - ponownie napelnionej
                   lub probowano uzyc np. karty Programming w wersji 5.8)
    [!]   Kod 33 - Bledny rozkaz z centrum nadzoru - patrz rozdzial
                   "Komunikacja z centrum nadzoru"
    [!]   Kod 34 - Rejestr CONFIG <> #09
                   O tym bedzie w jednym z nastepnych punktow
    [!]   Kod 35 - Nastapilo przepelnienie jednej ze statystyk
                   Chodzi o statystyki ilosci polaczen lokalnych,
                   miedzymiastowych, bezplatnych, przychodzacych itd.
    [-]   Kod 36 - Blad konca rozmowy telefonicznej
    [!]   Kod 37 - Uszkodzony nadajnik 12kHz dla teletaksy
    [L1]  Kod 81 - Blad wymiany informacji miedzy plyta glowna i modulem
                   czytnika (np. niekompatybilnosc wersji oprogramowania
                   plyty glownej i czytnika)
                   Ustawiany, gdy nie udalo sie z karty skasowac zadanej
                   liczby jednostek
    [L1]  Kod 82 - Brak odpowiedzi czytnika (odlaczony kabelek polaczeniowy)
    [L1]  Kod 83 - Proba oszustwa wykryta optycznie; czujniki optyczne
                   wykryly probe wyjecia karty przed zakonczeniem rozmowy
    [L1]  Kod 84 - Proba oszustwa wykryta magnetycznie; glowica magnetyczna
                   wykryla probe wyjecia karty przed zakonczeniem rozmowy
    [L1]  Kod 85 - Proba oszustwa wykryta mechanicznie; czujniki ruchu bebna
                   wykryly probe wyjecia karty przed zakonczeniem rozmowy
    [L1]  Kod 86 - Uszkodzony jeden z podzespolow czytnika
    [L2]  Kod 87 - Po podniesieniu sluchawki wykryto karte zablokowana
                   w czytniku
    [!]   Kod 88 - W chwili wciagania karty karta zablokowala sie w czytniku
    [!]   Kod 89 - Probowano uzyc karty z niewlasciwej (zablokowanej) serii
    [!]   Kod 91 - Nieprawidlowe dzialanie glowic (glowice zuzyte)
                   Kod ten jest ustawiany, gdy procent kart nieodczytanych
                   przekroczy ustalony prog
    [!]   Kod 92 - 30 kolejnych kart nieodczytanych
    [!]   Kod 93 - Blad otwarcia lub zamkniecia szczeliny wlotowej czytnika
    [L1]  Kod 95 - Wystapila proba skasowania naraz 254 lub 255 jednostek

N13.POWODY ZGLOSZENIA DO CENTRUM NADZORU (C90)
    Ponizej przedstawilem wykaz kodow, o ktorych wspomnialem w poprzednim
    punkcie. Przy wiekszosci z nich umiescilem odpowiadajace im kody diag-
    nostyczne (dziesietnie), ktorych opis zawarty jest powyzej. Opisane sa
    tylko te kody, ktore w kodach diagnostycznych nie posiadaja swojego
    odpowiednika.

    Powod 01 - Ustawiany w celu wymuszenia przeslania danych, gdy
               liczba rozmow PLATNYCH przekroczy "Calls Num."
    Powod 02 - Ustawiany w celu wymuszenia przeslania statystyk,
               jesli ktoras zostala przepelniona (Code 35) lub grozi
               przepelnieniem - przekroczyla 40000 dziesietnie
    Powod 03 - Rozpoczeto rozmowe platna, a poprzednio automat
               byl uszkodzony (informacja o powrocie do stanu
               sprawnosci)
    Powod 04 - Code 13
    Powod 05 - Code 15
    Powod 06 - Code 12
    Powod 07 - Code 11
    Powod 09 - Code 89
    Powod 11 - Code 91
    Powod 12 - Code 92
    Powod 13 - Code 33
    Powod 14 - Code 34
    Powod 15 - Code 93
    Powod 16 - Ustawiany w celu wymuszenia przeslania danych
               po przekroczeniu limitu L1 lub L2 liczby zdarzen
               (patrz punkt wyzej)
    Powod 17 - Code 88
    Powod 19 - Code 29
    Powod 20 - Meldunek okresowy - kod ustawiany tylko, jesli
               w buforze nie ma innych kodow, a poprzednia proba
               komunikacji z centrum nadzoru nie powiodla sie
    Powod 21 - Code 37

N14.PROGRAMOWANIE WARTOSCI DOMYSLNYCH W EEPROM
    Programowanie to nastepuje w trzech przypadkach:
      - po uzyciu "DEFAULT MENU"
      - po wymienie EPROMu na inna wersje
      - po wystapieniu bledu programowania EEPROM

    W pierwszych dwoch przypadkach programowane sa domyslne wartosci:

      - tablica dopuszczonych serii kart - wszystkie serie sa dopuszczone
      - listy numerow "FREE NUMBER", "LOCK NUMBER" i "NATIONAL NUM."
        (pierwsze dwa rodzaje moga zawierac do czterech cyfr, ostatni tylko
        jedna cyfre) - puste, tzn. ich zaprogramowanie wykasuje wszystkie
        dotychczas wpisane wartosci
      - pozostale ustawienia "DIAL MENU" (pozostale, bo o "NATIONAL NUM."
        napisalem juz wyzej)
      - ustawienia "C90 MENU" i "TAXATION MENU"
      - numer wersji EPROMu

    Natomiast w przypadku bledu programowania EEPROM programowane jest
    to, co powyzej, ale z wylaczeniem:

      - "C90 MENU": "NUM. TELEPHON", "NUM. C90" i "ENABLE C90"
      - "DIAL MENU": "DIAL TYPE", "DIAL FREQ."

    Rozdzial ten pisze rowniez po to, aby zwrocic uwage na fakt, ze nieopatrz-
    ne uzycie "DEFAULT MENU" lub wymiana EPROMu na inna wersje spowoduje wyka-
    sowanie numerow bezplatnych, a wiec przez nas ktos moze nie dodzwonic sie
    na pogotowie. Co wiecej, nikt nie dodzwoni sie na pogotowie rowniez uzywa-
    jac karty, gdyz numery bezplatne nie przysylaja 16 kHz, a po wykasowaniu
    listy numerow bezplatnych wszystkie sa uwazane za platne i w zwiazku z tym
    mikrofon sie odblokowuje dopiero po otrzymaniu 16 kHz. Tak wiec nikt nas
    nie uslyszy. Dobrze jest wiec wpisac przynajmniej numery alarmowe, a w
    przypadku wymiany EPROMu i nieposiadania karty serwisowej mozna zmienic
    w pliku z oprogramowaniem bajt #0x0049 (dla oprogramowania od 2.6, przez
    5.8 do 3.0 wlacznie) na #0x00 (w tym przypadku nieistotne, czy plik jest
    zakodowany czy nie), co wylaczy sprawdzanie wersji i zablokuje zaprogramo-
    wanie z powodu niezgodnosci ustawien domyslnych. Stosowane przez niekto-
    rych modyfikowanie naglowka pliku nie zapobiega wykryciu niezgodnosci
    wersji - tak naprawde w ogole nie ma sensu i nic pozytecznego nie daje!
    Adresy danych w pamieci EEPROM we wszystkich wersjach od 2.6 wlacznie
    w gore sa prawie na pewno takie same, tak wiec pozostawienie starych
    ustawien dla nowej wersji nie powinno spowodowac bledow w dzialaniu.
    Natomiast wersje 1.8 i 2.0 nie wygladaja na kompatybilne z poprzednimi.

N15.TARYFIKACJA
    Automat posiada statystyki taryfikacji, ktore mozna obejrzec
    w "COUNTER MENU". Na poczatku kazdej rozmowy zwiekszany jest
    licznik jednej z pozycji:

    a) "LOCAL CALL" - w przypadku, kiedy rozmowa nie zostanie
       zakwalifikowana jako zadna z ponizszych.

    b) "NATIONAL CALL" - jesli wybrany numer zaczyna sie na cyfre
       wpisana jako ktoras z pozycji "NATIONAL NUM."

    c) "INTERNAT CALL" - jesli wybrany numer zaczyna sie od "00" -
       nie ma mozliwosci zmiany tych cyfr poprzez zadne menu.

    d) "ENTRY CALL" - oczywiscie gdy ktos dzwoni do automatu.

    e) "FREE CALL" - jesli wybrany numer znajduje sie na jednej z pozycji
       "FREE NUMBER". Statystyka ta jest bardzo podatna na zafalszowania.
       Statystyki dotyczace liczby rozmow platnych sa zwiekszane w chwili ot-
       rzymania przez automat pierwszego impulsu 16 kHz, tak wiec w momencie
       faktycznego nawiazania polaczenia. Natomiast przy rozmowach bezplatnych
       16 kHz normalnie nie przychodzi, dlatego licznik ten jest zwiekszany
       natychmiast po wybraniu z klawiatury numeru nalezacego do ktorejs z po-
       zycji "FREE NUMBER". Jesli polaczenie nie dojdzie do skutku, bo np. nu-
       mer bedzie zajety albo rozlaczymy sie przed nawiazaniem polaczenia, to
       statystyka i tak zostanie zwiekszona. Jak wiadomo, numer bezplatny ma
       maksymalnie 4 cyfry i po jego wybraniu blokowana jest klawiatura,
       z jednym wyjatkiem - po "0800", jesli znajduje sie w jednej z pozycji
       "FREE NUMBER", mozna wybrac jeszcze 6 cyfr. Numeru, po ktorym mozna
       bedzie jeszcze wybrac cyfry, ani liczby tych cyfr, nie mozna zmienic
       poprzez zadne menu. Mozna jednak zmodyfikowac odpowiednie bajty konfi-
       guracyjne w oprogramowaniu, zeby bylo to np. "0700" i zeby mozna bylo
       jeszcze po nim wybrac 80 cyfr... Zeby to jednak zadzialalo, trzeba
       jeszcze wpisac "0700" jako "FREE NUMBER". Pojawia sie jeszcze jeden
       problem. Standardowo po numerze bezplatnym automat na pierwszy sygnal
       16 kHz sam odsyla do centrali 12 kHz dla teletaksy, jesli jest wlaczona
       opcja "CHECK TAX" w "TAXATION MENU", i nie zrywa polaczenia. Normalnie
       to wystarcza, bo gdy dzwonimy pod rzeczywiscie bezplatny numer, centra-
       la nie wysyla sygnalow 16 kHz do automatu. Jesli zadzwonimy pod "0700",
       sygnaly 16 kHz beda przychodzic co kilka sekund, wiec dlugo i tak nie
       porozmawiamy... chyba ze znowu zmienimy odpowiedni bajt konfiguracyjny,
       aby po bezplatnym numerze 12 kHz odbijane bylo do centrali np. 200 ra-
       zy, albo lepiej w nieskonczonosc :) No, jeszcze trzeba znalezc automat,
       gdzie "0700" nie jest zablokowane na poziomie centrali, ale okazuje
       sie, ze TPSA ma spore trudnosci z blokowaniem "0700" na centralach
       analogowych, gdyz wiaze sie to z zablokowaniem wszystkich numerow
       zaczynajacych sie od zera... Wiec nic nie blokuja. Ale wrocmy do
       poprzedniej mysli. Okazuje sie, ze teletaksa w zasadzie jest zbedna,
       gdyz automat i tak sam zrywa polaczenie w chwili, kiedy wyczerpie sie
       limit automatycznie odbijanych 12 kHz (ale dzieje sie tak tylko w wers-
       ji 2.9 i 3.0!). Poniewaz dla rozmowy przychodzacej limit ten jest zaw-
       sze rowny zero, automat zrywa polaczenie w chwili otrzymania pierwszego
       sygnalu 16 kHz. Jedyne sensowne zastosowanie teletaksy opisalem w roz-
       dziale "Inne (niz 2.9) wersje oprogramowania". A odnosnie blokowania
       klawiatury, zmiana innego jeszcze bajtu konfiguracyjnego powoduje, ze
       klawiatura nie jest blokowana nigdy, czyli ani po numerze bezplatnym,
       ani normalnie platnym, dzieki czemu mozna wybrac np. numer wewnetrzny.

    W czasie trwania rozmowy po kazdym sygnale 16 kHz zwiekszany jest wlasciwy
    licznik sposrod "LOCAL PULSE", "NATIONAL PULSE" i "INTERNAT PULSE". Licz-
    nik ten zwiekszany jest za kazdym razem o wartosc Tax Value. Wyjatkiem
    jest jednak uzycie karty w jednostkach Tax Value - wtedy licznik zwiek-
    szany jest zawsze o 1. Istnieje (niewykorzystana) mozliwosc mnozenia
    przez odpowiednia stala wartosci Tax Value osobno dla rozmow lokalnych,
    krajowych i miedzynarodowych. Tak wiec, mimo, ze Tax Value wynosi np. 2,
    przy rozmowach miedzynarodowych kasowane moze byc kazdorazowo np. 3 razy
    wiecej jednostek, czyli przy kazdym 16 kHz kasowane bedzie 6 jednostek.
    Dzieki temu centrala moze wysylac 16 kHz z taka sama czestotliwoscia nie-
    zaleznie od rodzaju numeru, a automat, zaleznie od rodzaju rozmowy, sam
    bedzie kasowal odpowiednia liczbe jednostek przy kazdym 16 kHz. Przy kaz-
    dym sygnale 16 kHz zwiekszany jest o 1 rowniez licznik "TAXATION". Mowiac
    "licznik" dokonalem pewnego uproszczenia, gdyz naprawde kazda pozycja za-
    wiera dwa liczniki: "Total" i "Partial". Licznik "Total" zawiera calkowita
    liczbe rozmow/jednostek taryfikacyjnych, natomiast licznik "Partial" jedy-
    nie liczbe liczona od ostatniej komunikacji z centrala. W pamieci RAM
    znajduje sie tez ciekawa tablica zawierajaca 1024 liczniki rozmow. Przy
    rozpoczeciu kazdej platnej rozmowy jeden z licznikow jest zwiekszany,
    a ktory, to zalezy od... numeru serii (ale nie numeru karty w serii)
    uzywanej do rozmowy karty! Tablicy tej nie mozna obejrzec poprzez zadne
    menu, za to jest wysylana po kawalku do centrali przy kazdej z nia komu-
    nikacji. Poza tym oprogramowanie jest zabezpieczone przed wpisaniem jako
    Tax Value wartosci 0. Wpisanie zera jest niemozliwe, ale gdyby jednak,
    np. na skutek bledu, sie udalo, platna rozmowa zostanie przerwana natych-
    miast po jej rozpoczeciu. A teraz o tym, co sie stanie, gdy uzyjemy karty,
    dla ktorej liczba jedynek/jednostke wynosi 1, czyli na karcie moze byc
    maksymalnie 200 jednostek. Otoz, gdy wlozymy taka karte do automatu, nor-
    malnie zobaczymy "KREDYT". Jednak przy probie skasowania pierwszej jed-
    nostki ukaze sie nagle "KARTA ZUZYTA" i karta zostanie cala skasowana...

N16.KOMUNIKACJA Z MODULEM CZYTNIKA
    Jak wiadomo, fizycznie jednostki z karty kasowane sa dopiero przy jej
    wyrzucaniu z czytnika. Mimo to, przy kazdym sygnale 16 kHz odpowiednia
    liczba jednostek (normalnie rowna Tax Value) jest przesylana do modulu
    czytnika. Modul czytnika sumuje kolejno otrzymywane wartosci i wynikowa
    liczba jednostek jest kasowana z karty przy jej wyrzucaniu. Przy kazdej
    takiej komunikacji wyslana do czytnika wartosc jest przez czytnik zwra-
    cana w celu weryfikacji. I tak, na przyklad, jesli Tax Value wynosi 2
    i do czytnika wyslano 2, ale czytnik zwrocil tylko 1, to nastepnym
    razem do czytnika zostanie wyslana, zamiast 2, wartosc 3.

N17.JAK ZROBIC NIEKASOWALNA KARTE
    Od wersji softu 2.8 istnieje mozliwosc zrobienia karty, ktorej niebieski
    Urmet nie bedzie potrafil skasowac! Niestety, nie da sie takiej karty
    wykorzystac do dzwonienia za darmo :( Po pierwsze, jak wiadomo, soft
    od wersji 2.8 kasuje karty z podzielnikiem rownym #1 (odpowiadajacym
    kartom o nominalnej liczbie jednostek 200) - normalnie wyswietlany jest
    "KREDYT", ale po przyjsciu pierwszego impulsu taryfikacyjnego kasowana
    jest cala karta. Po drugie mozna zrobic karte o wiekszej niz nominalna
    liczbie jednostek, tak jak to opisalem w punkcie "Tablice kart" - metode
    produkcji takich kart wymyslil Shadow. Po trzecie czytnik niebieskiego
    Urmeta nie potrafi skasowac naraz wiecej niz 200 jednostek, przy czym
    "naraz" nalezy rozumiec jako kasowanie z uzyciem pojedynczego rozkazu
    kasowania, bo mozna skasowac np. 250 jednostek wysylajac 10 rozkazow
    kasowania po 25 jednostek kazdy. Teraz robimy karte z podzielnikiem #1
    (karta 200) i nagrywamy na niej wiecej niz 200 jednostek, np. 250. Wkla-
    damy karte do automatu i widzimy na wyswietlaczu wartosc kredytu. Wybie-
    ramy numer i po przyjsciu 16 kHz automat probuje skasowac naraz cala kar-
    te, wypisuje "KARTA ZUZYTA" i ja wyrzuca, ale poniewaz karta ma wiecej
    niz 200 jednostek, czytnik zwraca tylko blad i nie kasuje karty! Wkladamy
    teraz karte z powrotem do automatu i... pojawia sie "KARTA ZUZYTA" i au-
    tomat wyrzuca karte... Ale idziemy do innego automatu i znowu widzimy
    250 jednostek na wyswietlaczu! Okazuje sie, ze w pierwszym automacie
    karta zostala wpisana na liste kart, z ktorych nie udalo sie skasowac
    pelnej jednostki Tax Value i automat ja probuje kasowac i wyrzuca przy
    probie drugiego i kolejnego uzycia, ale na innym automacie karta wyswiet-
    la znowy swoja rzeczywista ilosc jednostek. Efekt tej zabawy jest taki,
    ze ustawiane sa kody diagnostyczne 32 (proba skasowania calej karty) i 81
    (blad wymiany informacji miedzy plyta glowna i modulem czytnika, ustawia-
    ny, gdy nie udalo sie z karty skasowac zadanej liczby jednostek). Jezeli
    na karcie bylo 254 albo 255 jednostek, ustawiany jest kod 95 (wystapila
    proba skasowania naraz 254 lub 255 jednostek). Podsumowujac: karta taka
    jest tylko ciekawostka bez mozliwosci pozytecznego zastosowania. Wszystko,
    co napisalem w tym rozdziale, testowalem praktycznie.

N18.KOMUNIKACJA Z CENTRUM NADZORU (C90)
    Automat komunikuje sie z centrum nadzoru gdy zrealizuje liczbe rozmow
    okreslona w "CALLS NUM." w "C90 MENU" (pod uwage brane sa tylko rozmowy
    platne) lub jesli zajdzie zdarzenie, dla ktorego zaprogramowana jest
    natychmiastowa komunikacja z centrum. Jesli proba nawiazania polaczenia
    sie nie powiedzie, automat po uplywie pewnego czasu probuje ponownie.

    Podczas komunikacji automat przesyla do centrum nadzoru:

      - sume kontrolna list numerow "FREE NUMBER" i "LOCK NUMBER", wartosci
        Tax Value, tablicy numerow serii kart dopuszczonych do obiegu i tab-
 *      licy cyfr poczatkowych zablokowanych numerow - inaczej dekad (bedzie
        o tym za chwile). Tak wiec niezauwalazna zmiana tych parametrow jest
        niemozliwa, chyba ze przywrocimy oryginalne wartosci przed najblizsza
        komunikacja z centrum nadzoru
      - wartosci kodow diagnostycznych "CODE"
      - jezeli automat dzwoni do centrum z powodu uzycia karty z niewlasciwej
        (zablokowanej) serii, to zamiast niektorych pozycji "CODE" przesylany
        jest numer serii tej karty i numer karty w serii
      - liczbe okreslajaca, ktory raz od czasu zainstalowania
        (lub przepelnienia licznika) automat dzwoni do centrum nadzoru
      - wartosci wszystkich licznikow z "COUNTER MENU"
      - fragment (normalnie 30 pozycji) tablicy 1024 licznikow rozmow zwiek-
        szanych w zaleznosci od numeru serii karty (ale nie numeru karty
        w serii), ktora to tablice opisalem juz w punkcie "Taryfikacja"
      - kod powodu zgloszenia do centrum nadzoru, ktorego ustawienie
        spowodowalo komunikacje z centrum

    Centrum nadzoru moze przekazywac do automatu:

      - wartosc Tax Value
      - listy numerow "FREE NUMBER" i "LOCK NUMBER"
      - numery serii kart dopuszczonych do obiegu (przy probie uzycia karty
        z zablokowanej serii zatrzymuje sie ona na chwile tak jak karta ser-
        wisowa, po czym wypada bez zadnego napisu na wyswietlaczu, ustawiany
        jest tez kod diagnostyczny 89)
      - date i czas systemowy dla zegara Philips
      - tablice, ktorej kolejne pozycje odpowiadaja kolejnym cyfrom poczat-
        kowym numerow, a ostatnia pozycja odpowiada za numery miedzynarodowe
        ("00"). Ustawienie pozycji w tablicy blokuje wszystkie (z wyjatkiem
        wpisanych jako "FREE NUMBER") numery zaczynajace sie od cyfry, ktora
        odpowiada tej pozycji. Dla przykladu, jesli w tablicy ustawimy pozyc-
        je odpowiadajaca cyfrze "5", wszystkie numery zaczynajace sie na "5"
        zostana zablokowane! Nie ma mozliwosci zaprogramowania tego z poziomu
        menu. Inaczej mowiac tablica ta sluzy do konfiguracji aktywnych de-
        kad.

    W uzywanej przez TPSA wersji centrum nadzoru (C90) istnieje blad uniemoz-
    liwiajacy wprowadzanie jako pozycje "LOCK NUMBER" numerow 4-cyfrowych!
    Nawet wiec jesli monter wpisze za pomoca karty serwisowej numer 4-cyfrowy,
    podczas najblizszej komunikacji z centrum nadzoru zostanie stwierdzona
    niezgodnosc sum kontrolnych miedzy lista numerow automatu i centrum nadzo-
    ru i automat otrzyma z powrotem liste numerow zablokowanych z centrum nad-
 *  zoru - maksymalnie 3-cyfrowych! Ostatnio jednak blad ten zostal (przynaj-
 *  mniej w czesci kraju) naprawiony.

    Do automatu z centrum nadzoru moze byc wysylane 6 rozkazow, i co ciekawe,
    ich lista jest taka sama dla wszystkich wersji od 2.6 wlacznie (starszych
    nie badalem). Tak wiec ewentualny bledny rozkaz jest spowodowany raczej
    bledem transmisji niz niezgodnoscia wersji oprogramowania automatu
    i centrum nadzoru.

    Oto rozkazy z centrum nadzoru:

      Rozkaz 0x00 - Nic nie robi
      Rozkaz 0x01 - Programuje date i czas systemowy
      Rozkaz 0x02 - Programuje Tax Value, numery serii kart dopuszczonych do
                    obiegu, tablice cyfr poczatkowych zablokowanych numerow
 *                  (tablice zablokowanych dekad), listy numerow "FREE NUMBER"
                    i "LOCK NUMBER"
      Rozkaz 0x03 - Programuje to co powyzej oraz date i czas systemowy
      Rozkaz 0x04 - Programuje Tax Value
      Rozkaz 0x05 - Programuje Tax Value oraz date i czas systemowy

    Jako parametr rozkazu przekazywana jest informacja, czy po udanej
    komunikacji nalezy "uporzadkowac" rozne zmienne, czyli:

 *    - przesunac wskaznik na kolejne przeznaczone do wyslania 30 elementow
        tablicy 1024 licznikow rozmow zwiekszanych w zaleznosci od numeru
        serii karty (ale nie numeru karty w serii)
      - zwiekszyc licznik liczby polaczen z centrum nadzoru (!)
      - wyzerowac wartosci Partial licznikow statystyk polaczen
      - wykasowac przeslany juz kod powodu zgloszenia do centrum nadzoru
      - wyczyscic licznik platnych rozmow od ostatniego polaczenia
        z centrum nadzoru, ktory po przekroczeniu wartosci "CALLS NUM."
        spowoduje kolejna komunikacje
      - ustawic kod diagnostyczny 01 (Przeslano dane do centrum nadzoru)

    Jak widac, mozliwe jest podszycie sie pod centrum nadzoru bez wykrycia
    tego przez prawdziwe, gdyz mozemy nie porzadkowac podanych wyzej zmien-
    nych. Po drugie mozna wyslac do automatu rozkaz #00, ktory nic nie robi,
    ale uporzadkowac po nim zmienne (normalnie sluzy on do poszukiwania auto-
    matow, ktore dawno sie nie meldowaly do centrum nadzoru). Z powyzszego
    opisu wynika rowniez, ze jesli po dzwonieniu przy uzyciu karty serwisowej
    nie przywrocimy poprzednich ustawien automatu, to choc mozna mu zdalnie
    przywrocic zawartosc "FREE NUM. MENU" (i tak sie wlasnie dzieje - jesli
    suma kontrolna numerow bezplatnych sie nie zgadza, programowane sa orygi-
    nalne przy najblizszej komunikacji z centrum nadzoru), to odblokowanie
    opcji "16 KHz" jest niemozliwe! Wtedy przychodzi monter i przy okazji
    instaluje soft 3.0...

N19.SPOSOB NA UNIEMOZLIWIENIE KOMUNIKACJI Z CENTRUM NADZORU
    Metoda ta pozwala zmusic automat do zapomnienia powodow zgloszenia do
    centrum nadzoru, ktore normalnie wymuszaja natychmiastowa komunikacje
    z centrum w przypadku zajscia waznych zdarzen. Dzieki niej mozemy np.
    wylaczyc komunikacje z centrum po otwarciu automatu. Ogolnie rzecz
    biorac mozna spowodowac zapomnienie dowolnych kodow powodow zgloszenia
    (opisanych w ktoryms z poprzednich rozdzialow). Metoda zostala teore-
    tycznie wymyslona przez Pita (to znaczy on jako pierwszy ja wymyslil),
    a nastepnie sprawdzona przeze mnie w oprogramowaniu oraz (wielokrotnie)
    praktycznie. Aby spowodowac zapomnienie wspomnianych kodow, nalezy za-
    programowac w "C90 MENU" pozycje "ENABLE C90" na "Disabled", a nastepnie
    ponownie na "Enabled". Przy zmianie tego ustawienia zerowana jest liczba
    kodow powodow zgloszenia i jedyny slad zdarzen pozostaje w "DIAGNOSTIC
    MENU". Wymazanie "DIAGNOSTIC MENU" i uzycie opisywanej metody spowoduje
    wiec, ze w centrum nadzoru nikt nigdy nie dowie sie o zaistnialych zda-
    rzeniach i najwyzej zauwazy wyzerowanie kodow diagnostycznych (czyli po-
    mysli, ze ktos bawil sie karta Programming). Jak wynika z softu, istnieje
    rowniez drugi sposob, choc mniej praktyczny, na osiagniecie powyzszego
    celu. Nalezy w "C90 MENU" zaprogramowac pozycje "NUM. C90" na pusta (trzy-
    mamy Redial przez 5 sekund), a nastepnie ponownie wejsc do "NUM. C90"
    i zaprogramowac wlasciwy numer do centrum nadzoru. Oczywiscie sprawa
    komplikuje sie, gdy zamieniamy EPROM na 5.8. Do uruchomienia menu polecam
    wtedy metode opisana przez Slammera w slammer.faq.

N20.SPECIAL TEST MODE
    Poprzez przelaczenie jednej ze zworek na plycie glownej procesor jest
    uruchamiany w specjalnym trybie, ktory sie nazywa "Special Test Mode"
 *  (standardowo procesor pracuje w trybie "Normal Expanded Mode"). Procesor
    68HC11 posiada rejestr o nazwie CONFIG. W rejestrze tym wykorzystywane
    sa cztery mniej znaczace bity:
      - NOSEC - ustawienie go wylacza zabezpieczenie pamieci EEPROM i RAM
        przed niepowolanym dostepem; ustawiony na 1
      - NOCOP - ustawienie go wylacza COP Watchdog System - system ten
        zawiera licznik, ktory zwieksza sie samoczynnie i po osiagnieciu
        pewnej wartosci resetuje procesor; oprogramowanie zeruje co jakis
        czas ten licznik, jednak gdy sie zawiesi, licznik przekroczy wartosc
        graniczna i procesor zostanie poprzez zresetowanie odwieszony;
        ustawiony na 0
      - ROMON - ustawienie go wlacza wbudowana pamiec ROM procesora;
        ustawiony na 0
      - EEON - ustawienie go wlacza wbudowana pamiec EEPROM procesora;
        ustawiony na 1
    Jak widac, dla prawidlowej pracy automatu rejestr CONFIG musi miec
    wartosc 9. Uruchomienie procesora w "Special Test Mode" powoduje
    sprawdzenie wartosci tego rejestru i ewentualne ustawienie na 9,
    uzywane jest to przy wymianie procesora w automacie na nowy.
    Po uruchomieniu automatu pojawia sie:
    - "CONFIG OK" - gdy rejestr CONFIG ustawiony jest prawidlowo,
    - "CONFIG CPU" - gdy rejestr CONFIG ma nieprawidlowa wartosc.
      W tym momencie rejestr CONFIG jest programowany, a po zakonczeniu
      programowania pojawia sie: "PRESS RESET" i procesor zawiesza prace
      czekajac na zresetowanie.

N21.BUFORY KLAWIATURY
    Automat posiada dwa bufory klawiatury. W pierwszym pamietane sa
    wszystkie klawisze, wlacznie z "*", "#" i Redial, a w drugim tylko
    cyfry. Obydwa bufory maja miejsce na 32 znaki. W zwiazku z tym
    klawisz Redial nie dziala, gdy wprowadzony numer jest dluzszy niz
    32 cyfry.

N22.INNE (NIZ 2.9) WERSJE OPROGRAMOWANIA
    Dostepne w sieci zawartosci EPROMow, choc w "SW VERSION MENU"
    wyswietlaja numery wersji tylko w postaci np. 2.9, posiadaja
    zakodowane dokladniejsze informacje na swoj temat (spis wedlug
    kolejnosci wprowadzania wersji do uzytku):

      - 1.8 -> brak   22.01.1993
      - 2.0 -> 2.01   08.04.1993
      - 2.6 -> 2.62   22.06.1995
      - 2.7 -> 2.71   13.12.1995
      - 2.8 -> 2.81   10.05.1996
      - 2.9 -> 2.90   17.07.1997
      - 5.8 -> 5.81   10.05.1996 !!?? - identycznie jak w 2.8
      - 3.0 -> 3.00   17.02.2001

    Jedyna roznica miedzy wersja 2.9 i 2.8 jest taka, ze do 2.9 wprowadzono
    liczbe automatycznie odbijanych sygnalow 12 kHz po numerze bezplatnym,
    po przekroczeniu ktorej automat zrywa polaczenie, nawet jesli teletaksa
    jest nieobecna. Polaczenie nie jest jednak zrywane, gdy automat jest
    nieczynny (a mozna przeciez wtedy czasami dzwnic na numery bezplatne).
    W wersji 2.8 natomiast nie bylo zadnego limitu, tak wiec korzystanie
    z karty serwisowej do rozmow bylo ulatwione o tyle, ze nie trzeba
    bylo blokowac opcji "16 KHz" w "TAXATION MENU". Tu wlasnie nasuwa sie
    jedyne sensowne zastosowanie teletaksy - jezeli zablokujemy opcje
    "16 KHz", automat bedzie ignorowal sygnaly 16 kHz, a wiec nie bedzie
    odsylal centrali 12 kHz i teletaksa zerwie polaczenie. W wersji 2.8
    problem taki nie istnial, gdyz, jak juz napisalem (a wczesniej napisal
    Hrabia), blokowanie "16 KHz" nie bylo konieczne.

    Wersja 2.7 (i starsze) nie kasuje kart z podzielnikiem rownym #1 (maksy-
    malnie 200 jednostek) i pozwala sie oszukiwac na "rozmowe przychodzaca".
    Poza tym posiada blad, na ktory zwrocil mi uwage Nol, a ktory polega
    na tym, ze po zaprogramowaniu w EEPROMie wartosci domyslnych z EPROMu,
    na przyklad poprzez uzycie "DEFAULT MENU" (szerzej o tym wyzej w punkcie
    "Programowanie wartosci domyslnych w EEPROM"), jako pierwsza z pozycji
    "NATIONAL NUM." programuje sie cyfra "8" zamiast "0". Blad ten wystepuje
    takze we wszystkich wersjach starszych niz 2.7.

    Wersja 5.8 jest oparta na 2.8 (do tego stopnia, ze nawet daty w naglowku
    nie zmieniono...). Jak wszyscy wiedza, kasuje ona karty serwisowe ze
    starszych wersji. Pojawila sie nowa karta serwisowa Check58, a inne karty
    serwisowe nie istnieja. Poza tym, poniewaz w wersji 2.8, na ktorej oparta
    jest 5.8, nie istnieje ograniczenie liczby 12 kHz odsylanych do centrali
    po 16 kHz dla numeru bezplatnego i automat w zwiazku z tym nie zrywa po-
    laczenia, teoretycznie mozliwe jest wybranie numeru bezplatnego zanim po-
    jawi sie dialtone i pozniej, po pojawieniu sie dialtone, wybranie wlas-
    ciwego numeru za pomoca tone-dialera. Jednak obecnie, na cyfrowych cent-
    ralach, opoznienie dialtone po podniesieniu sluchawki jest malo realne,
    a jesli juz sie zdarzy, po chwili pojawia sie nie dialtone, a sygnal za-
    jetosci. Centrala analogowa z kolei czesto nie przyjmuje DTMF, tak wiec
    w praktyce metoda ta ma nikle szanse zastosowania. Charakterystyczna rze-
    cza jest odziedziczony po wersji 2.8 napis "USZKODZONY" (w miejsce napisu
    "NIECZYNNY" z wersji 2.9), co mozna w prosty sposob wykorzystac do roz-
    roznienia najpopularniejszych obecnie wersji oprogramowania: 2.9 od 5.8,
    szerzej o tym mozna przeczytac na stronie phreak.hack.pl. Poza tym nie
    zdradzilem jak dotad pewnej istotnej i interesujacej rzeczy, ale wielu
    ludzi juz dawno na to wpadlo (niektorzy nie calkiem swiadomie, naczytali
    sie bardzo starych tekstow i nie wiedzieli, ze pewne rzeczy sa dawno nie-
    aktualne :)). Mianowicie w wersji 5.8 z powrotem dziala metoda darmowego
    dzwonienia na "rozmowe przychodzaca"! Chcialbym tu zaznaczyc, ze wersja
    5.8 jest bezposrednia przerobka wersji 2.8, a w wersji 2.8 metoda ta nie
    dzialala!!! Wniosek jest taki, ze osoba przerabiajaca soft celowo przyw-
    rocila ta metode do lask zmieniajac jeden z bajtow konfiguracyjnych!
    Wlasnie to rzucilo mi sie w oczy podczas porownania softu 5.8 i 2.8 i nie
    musze chyba opisywac mojego zdumienia, gdy pierwszy spotkany automat
    z softem 5.8 przypomnial mi bardzo dawne czasy :)) Cala wiec kosztowna
    operacja wymiany oprogramowania stracila sens zanim sie jeszcze zaczela
    i spowodowala tylko ulatwienie w dzwonieniu za darmo, bo o telefon komor-
    kowy znacznie latwiej dzis niz o karte serwisowa... I byc moze dlatego do
    najnowszej wersji (3.0) przylozono sie naprawde solidnie i dopilnowano,
    aby nie miala juz zadnych takich pulapek...

    Wersja 3.0 to najnowszy wynalazek, jest ona najlepiej zabezpieczona przed
    naduzyciami. Jest to zupelnie nowa kompilacja, a nie przerobka ktorejs
    z poprzednich wersji. Zmiany i zabezpieczenia dotyczace kart serwisowych
    (bardzo daleko idace) opisalem w rozdziale "Karty serwisowe w wersji
    3.0". Druga bardzo wazna zmiana miala na celu uniemozliwienie korzystania
    z kart o nominalach 50 i 100 jednostek, w praktyce jednak uniemozliwila
    korzystanie z kart, ktore posiadaja wiecej niz 25 jednostek, niezaleznie
    od ich rodzaju. Innymi slowy mozliwe jest uzywanie karty 100-jednostkowej,
    na ktorej pozostalo mniej lub dokladnie 25 jednostek, natomiast niemozliwe
    jest uzywanie karty nagranej z podzielnikiem odpowiadajacym karcie 25-jed-
    nostkowej, ale posiadajacej 26 jednostek (zwiekszona liczba magnetycznych
    jedynek w trzeciej czesci karty - metoda opracowana przez Shadowa :)).
    Gdy karta posiada wiecej niz 25 jednostek, zatrzymuje sie na chwile tak
    jak karty serwisowe, po czym jest wyrzucana bez zadnego napisu na wyswiet-
    laczu. Karty z podzielnikiem odpowiadajacym karcie 200-jednostkowej (ale
    posiadajace np. 8 jednostek, czyli mniej niz 25) zostaja zaakceptowane,
    ale sa cale kasowane przy probie skasowania pierwszej jednostki (zupelnie
    jak w wersji 2.8, 2.9 i 5.8). Nie da sie tez dzwonic metoda na "rozmowe
    przychodzaca". Poza tym poprawiona zostala nieco obsluga ukladu zegara
    RTC (Philips) i czesciowo usuniety zostal kod odpowiadajacy za obsluge
    usunietych opcji menu. Dwie z procedur (w tym jedna zwiazana z kasowaniem
    jednostek) zupelnie zmienily miejsce w kodzie, moze dla utrudnienia ana-
    lizy porownawczej? Powrocil tez stary i nieistotny zbytnio blad polegajacy
    na tym, ze po zaprogramowaniu wartosci domyslnych w EEPROMie jako pierwsza
    z pozycji "NATIONAL NUM." w "DIAL MENU" programuje sie cyfra "8" zamiast
    "0" (o programowaniu wartosci domyslnych jest w ktoryms z powyzszych punk-
    tow). W wersji tej wystepuje tez napis "USZKODZONY", dlatego najlatwiej
    mozna ja odroznic od wersji 5.8 posiadajac karte z liczba jednostek wiek-
    sza niz 25. Ostatnia interesujaca rzecz to napis "OPEN/CLOSE DOOR", ktory
    pojawil sie przed standardowymi napisami "DEFAULT MENU", ale nie jest
    nigdzie wykorzystywany. Byc moze mial on sluzyc do dodatkowego zabezpie-
    czenia przed programowaniem wartosci domyslnych, a byc moze mial byc wys-
    wietlany po uzyciu kart serwisowych wymagajacych otwarcia i zamkniecia
    automatu... Na koniec mala uwaga praktyczna: jesli mamy karte np. 100-jed-
    nostkowa z wieksza niz 25 liczba pozostalych jednostek, to aby moc ja
    jeszcze wykorzystac, nalezy przeciac pasek magnetyczny w miejscu odpowia-
    dajacym 25 jednostkom, wtedy automat nie wezmie pod uwage zapisu poza
    przecieciem i zaakceptuje karte (za pierwszym razem karta zostanie wyrzu-
    cona jako nieczytelna, trzeba ponowic probe).

N23.NOWY CZYTNIK I OPROGRAMOWANIE DO NIEGO (3.0?)
    Ostatnimi czasy pojawila sie nowa konstrukcja czytnika wraz z nowym opro-
    gramowaniem, poki co rzadko spotykana. Nowy czytnik posiada mozliwosc
    przesuwania karty zarowno do przodu jak i do tylu - dzieki temu posiadl on
    mozliwosc fizycznego kasowania jednostek z karty na biezaco podczas roz-
    mowy (zamiast kasowac je dopiero przy wyrzucaniu karty). Dzwiek wydawany
    przez nowy czytnik rozni sie nieco od standardowego. Zgodnie z tym, co
    powiedzial mi Shadow, mozliwosc przesuwania karty w obu kierunkach musia-
    la wymusic zmiany w elektronice czytnika oraz oczywiscie w programie
    strujacym jego praca.

    Do zmian czysto software'owych nalezy zaliczyc sprawdzanie podzielnika
    karty i nieakceptowanie kart z podzielnikami odpowiadajacymi liczbie
    jednostek wiekszej od 25. Dzieki temu karty nagrane z podzielnikiem odpo-
    wiadajacym maksymalnej liczbie np. 100 jednostek, na ktorych pozostalo
    25 jednostek lub mniej, nie sa juz akceptowane (tak jak mialo to miejsce
    przy starym czytniku i programie plyty glownej 3.0) - dzialanie to zostalo
    wymierzone w osoby nagrywajace karty na czesciowo zniszczonych nosnikach.
    Druga wazna zmiana to wprowadzenie dodatkowego algorytmu sprawdzania pra-
    widlowosci zapisu kart - dzieki temu wiekszosc kart nagrywanych prywatnie
    przestala byc akceptowana, dotyczy to nawet kart zielonych prawidlowo
    dzialajacych na automatach srebrnych (o kartach zielonych jest napisane
    w dziale o srebrnym Urmecie). Nalezy dodac, ze mimo wprowadzonych zmian
    mozliwe jest korzystanie nie tylko z kart zielonych, ale i czerwonych -
    oczywiscie tych, ktorych zapis jest zgodny w wprowadzonym nowym algoryt-
    mem. Byc moze wspomniany nowy algorytm to nic innego jak wbudowana w czyt-
    nik aktualna biala lista, zawierajaca dozwolone zakresy numerow kart -
    choc to akurat jest malo realne, gdyz biala lista powinna byc jednakowa
    zarowno dla automatow niebieskich, jak i dla srebrnych.

N24.NAPISY
    Jest jeszcze kilka napisow (oprocz znanych powszechnie), ktore nie
    zostaly omowione ani powyzej, ani u Hrabiego w menu.txt:
      - "W NAPRAWIE"/"MAINTENANCE" - takie dwa napisy pojawiaja sie na
        zmiane po otwarciu automatu, a po nacisnieciu "#" wyswietla sie
        menu takie, jak po uzyciu karty "Maintenance".
      - "O.S.: KO RAM" - taki napis pojawia sie, gdy pamiec RAM jest
        niesprawna lub po prostu jej ukladu nie ma w automacie.
      - "x       " - napis ten, a dokladnie 5 pikseli ulozonych w krzyzyk
        w lewym gornym rogu wyswietlacza, przestal byc zagadka! Kiedy po
        przekroczeniu liczby rozmow okreslonej w "CALLS NUM." lub zajsciu
        zdarzenia wymagajacego natychmiastowego poinformowania automat
        probuje nawiazac polaczenie z centrum nadzoru i mu sie to nie
        uda, np. z powodu zajetej linii centrum nadzoru, zapamietuje ten
        fakt i po uplynieciu pewnego czasu ponownie probuje nawiazac
        polaczenie. Wlasnie wtedy, podczas nawiazywania polaczenia,
        wyswietlany jest ten napis.
      - "DISABLED CARD" - ten napis tez jest dziwny; nie jest on w ogole
        wykorzystywany i wystepuje w zupelnie w innym miejscu programu
        niz wszystkie inne napisy. Byc moze mial byc uzywany w przypadku
        proby uzycia karty o niewlasciwym (zablokowanym) numerze serii.
      - "REMOVE CARD", "THANK YOU" - te napisy mozna obejrzec przy
        uruchamianiu pelnego menu serwisowego metoda opisana przez
        Slammera (slammer.faq) - normalnie po wyswietleniu ich polskich
        odpowiednikow automat zmienia napis lub wylacza wyswietlacz
        i wersje angieskie nie zdazaja sie wyswietlic.
      - "OPEN/CLOSE DOOR" - napis ten pojawil sie w sofcie 3.0, byc moze
        mial on sluzyc do dodatkowego zabezpieczenia przed uzyciem "DEFAULT
        MENU", a byc moze mial byc wyswietlany po uzyciu wiekszosci z kart
        serwisowych jako informacja o koniecznosci podjecia dodatkowych
        dzialan :) W efekcie koncowym nie sluzy on do niczego (nie jest
        wykorzystywany).

N25.INSTRUKCJA WYMIANY EPROMU
    Ponizsze informacje sa sprawdzone praktycznie i czesciowo oparte na dos-
    wiadczeniach Nola. Przy prawidlowym wykonaniu gwarantuja 100% niezauwa-
    zalnosci wymiany EPROMu z poziomu centrali. Otoz aby wymienic pamiec
    EPROM, nalezy przede wszystkim otworzyc automat. Dobra wiadomoscia jest
    to, ze mozemy uniknac ustawienia kodu diagnostycznego 13 oznaczajacego
    otwarcie automatu. Czujnik otwarcia znajduje sie u dolu po lewej stronie.
    Jezeli po przekreceniu zamka lekko uchylimy drzwiczki z prawej strony tak,
    zeby ich lewa krawedz dalej byla docisnieta do obudowy, mozemy przez pow-
    stala szpare wlozyc reke i odlaczyc kabelek czujnika. Jest on wpiety
    gdzies w srodku plyty glownej i jego znalezienie nie stanowi problemu.
    Po odlaczeniu czujnika automat caly czas mysli, ze jest zamkniety. W po-
    dobny sposob mozemy pozniej podlaczyc czujnik przy zamykaniu automatu.
    Nastepnie PRZY ODLOZONEJ SLUCHAWCE otwieramy drzwiczki do konca i dla
    pewnosci resetujemy automat. Teraz juz mozemy spokojnie wymienic EPROM.
    Sens tej metody jest nastepujacy: Nol dokonal slusznego spostrzezenia,
    ze przy odwieszonej sluchawce i zamknietych drzwiczkach (lub odpietym
    czujniku otwarcia :) procesor nie pracuje i automat jest uspiony. Budzi
    sie dopiero po wlaczeniu sie czujnika otwarcia drzwiczek lub podniesieniu
    sluchawki. Raz na jakis czas (rzedu godziny) budzi sie tez zeby sprawdzic,
    czy nie ma czegos do przekazania do centrum nadzoru w przypadku, gdyby
    wczesniej polaczenie z centrum nadzoru sie nie powiodlo. A wiec gdy auto-
    mat spi, mozna bez zadnych negatywnych konsekwencji wyjac EPROM i wlozyc
    nowy. Nastepnie dla pewnosci resetujemy automat, przymykamy drzwiczki tak,
    aby oszukac czujnik otwarcia, podpinamy kabelek tegoz czujnika i zamykamy
    automat. Nalezy tylko pamietac o tym, zeby sluchawka byla caly czas od-
    wieszona. I to cala filozofia :)

    Jeszcze pare rad praktycznych:

      -  Do otwierania automatow w zimie dobrze jest wziac sobie
         odmrazacz do zamka... (no i klucze :)

      -  Jezeli wymieniamy EPROM tylko na probe i chcemy pozniej
         przywrocic oryginalny, duzym ulatwieniem jest wlozenie naszego
         probnego EPROMu w podstawke do ukladow scalonych i dopiero z ta
         podstawka na plyte glowna. Kazdy, kto choc raz wymienial EPROM
         wie, ze wlozenie wszystkich nozek naraz moze byc problemem -
         podane rozwiazanie jest duzym ulatwieniem.

      -  Jezeli chcemy wymienic uklad na stale, dobrze jest pomyslec nad
         naklejka na uklad taka jak oryginalna albo przynajmniej zakleic
         okienko kwarcowe zwykla nalepka celem zapobiezenia rozprogramo-
         waniu sie EPROMu.

      -  Dobrze jest pamietac, ze przy zmianie wersji EPROMu programowane
         sa domyslne ustawienia konfiguracyjne. Co z tego wynika i jak
         z tym walczyc opisalem gdzies wyzej w rozdziale "Programowanie
         wartosci domyslnych w EEPROM".

      -  Jezeli z jakichs wzgledow potrzebujemy wlaczyc pelne menu
         serwisowe w uszkodzonym automacie (wtedy czytnik nie przyjmuje
         kart i nie da sie wlozyc Programminga), mozna do uruchomienia
         menu wykorzystac metode opisana w slammer.faq przez Slammera :)

      -  Zamiast meczyc sie z odlaczaniem kabelka czujnika otwarcia,
         mozna otworzyc automat nie zwazajac na czujnik, nastepnie dopiero
         wtedy odlaczyc czujnik, wykonac reset, wymienic EPROM, powtornie
         zresetowac automat dla pewnosci, podlaczyc kabelek czujnika
         i zamknac automat. Pozostaje tylko jeden problem - automat zechce
         zadzwonic do centrum nadzoru. Aby mu to wyperswadowac, nalezy uzyc
         metody opisanej we wczesniejszym rozdziale "Sposob na uniemozliwie-
         nie komunikacji z centrum nadzoru". Nalezy sie tylko pospieszyc, aby
         po zamknieciu automatu nie zdazyl on rozpoczac komunikacji... Dobrze
         jest wtedy wymazac tez kody diagnostyczne, zeby do centrum nadzoru
         nie trafil kod 13 (otwarcie automatu) - TPSA pomysli wtedy najwyzej,
         ze ktos bawil sie karta serwisowa. Gorzej, gdy wymieniany EPROM to
         5.8, wtedy wymazanie kodow diagnostycznych jednoznacznie sugeruje,
         ze nie zrobiono tego karta serwisowa...

N26.ZAKLOCANIE AUTOMATU TELEFONEM KOMORKOWYM
    Kiedys potrzebowalem numer automatu, wiec zadzwonilem z niego na swoja
    komorke, ktora lezala na automacie po prawej stronie nad czytnikiem.
    Kiedy komorka zaczela sie laczyc, karta nagle wypadla i automat stwier-
    dzil, ze jest zepsuty. Po dluzszym nacisnieciu widelek wszystko wrocilo
    do normy, popatrzylem wiec do kodow diagnostycznych, a tam ustawiony
    kod 84 "Proba oszustwa wykryta magnetycznie; glowica magnetyczna wykryla
    probe wyjecia karty przed zakonczeniem rozmowy". Okazalo sie, ze laczaca
    sie z siecia komorka skutecznie oglupila automat, ktory myslal, ze chce
    go oszukac. Moje szczescie polegalo na tym, ze wczesniej nigdzie z tej
    karty nie dzwonilem. Gdybym dzwonil, procesor czytnika, wiedzac, ze
    z karty nalezy przy wyrzucaniu skasowac jakies jednostki, po wystapieniu
    "proby oszustwa" skasowalby cala karte... A tak po prostu ja wyrzucil bez
    kasowania czegokolwiek. Wniosek jest stad taki, ze gdy dzwonimy uzywajac
    karty, nie powinnismy klasc swojej komorki na automacie, a zwlaszcza nad
    czytnikiem, gdyz jesli podczas naszej rozmowy ktos zadzwoni do nas na
    komorke, automat rozlaczy nas i skasuje nam przy tym cala karte. Dotyczy
    to oczywiscie tylko automatow niebieskich i zdarza sie gdzies w jednej
    piatej z nich.

N27.DOSWIADCZENIE
    Kiedys podobno dzialalo cos takiego, ze gdy kredyt dobiegal do zera
    i wlozylo sie w ramach wymiany pusta karte, to automat dawal sie oszukac.
    Nie sprawdzalem tego w starych wersjach oprogramowania, ale postanowilem
    sprawdzic cos innego: co sie stanie, gdy przy wymianie wlozy sie karte
    serwisowa? Okazalo sie, ze nie stalo sie nic specjalnego: automat zerwal
    polaczenie i wyswietlil menu...

N28.PODSUMOWANIE
    Odnosnie niebieskich automatow chyba wszystko juz zostalo wymyslone,
    a ich zywot powoli dobiega konca, choc pojedyncze egzemplarze, zwlaszcza
    w budynkach roznych firm i instytucji, pewnie jeszcze dlugo beda dawaly
    spore mozliwosci dzwonienia za darmo... :)




============ CZESC II - Urmet srebrny TPE 97/U ===============================

S1. WSTEP
    Opisane ponizej zagadnienia sa wynikiem moich prac nad softem srebrnego
    Urmeta wspieranych pomoca kolegow po fachu. Zadziwiajace, jak wiele mozna
    osiagnac w ciagu kilkunastu tygodni przy wspolpracy z paroma znajacymi sie
    na rzeczy osobami i uzywajac dobrego deasemblera, a od czasu do czasu zer-
    kajac tez do instrukcji automatu i centrum nadzoru. Jesli masz dokladniej-
    sze informacje na tematy opisane ponizej lub znalazles jakies bledy lub
    niescislosci, chetnie zamieszcze uaktualnienie.

S2. OGOLNA BUDOWA PROGRAMU
    Program plyty glownej napisany jest w jezyku wysokiego poziomu i podzielo-
    ny jest na bloki, z ktorych pierwszy blok to tzw. program bootujacy, ktory
    sprawdza integralnosc bloku glownego programu i w razie jego uszkodzenia
    moze sciagnac go z centrum nadzoru (STG97). Drugi blok to program glowny,
    jest on chroniony suma kontrolna, zawiera miedzy innymi tablice dekodujace
    dla algorytmu DES, napisy w szesciu jezykach uzywane przez automat (choc
    teoretycznie na napisy przewidziany jest osobny blok w pamieci FLASH/plik
    w centrum nadzoru) i oczywiscie wszystkie procedury do obslugi automatu.
    Uproszczone wersje wielu procedur z bloku glownego znajduja sie w bloku
    bootujacym, w zakresie pozwalajacym na komunikacje z centrum nadzoru
    i zaprogramowanie sciagnietych danych w pamieci FLASH, a takze kodowanie
    danych algorytmem DES. Pozostale bloki to dane konfiguracyjne. Kazdy blok
    moze byc osobno sciagniety z centrum nadzoru, gdzie znajduje sie w osobnym
    pliku. Dane znajdujace sie w pamieci FLASH nie sa w zaden sposob kodowane
    i nadaja sie wprost do deasemblacji. Najlepszym do tego celu narzedziem
    jest IDA - The Interactive Disassembler, a dzien wlozony w nauke tego
    narzedzia zwroci sie dnia nastepnego :) Prawde mowiac, nie wyobrazam sobie
    deasemblowania takiej ilosci kodu jakims innym prostszym deasemblerem. IDA
    mozna sciagnac ze strony Hrabiego - phreak.hack.pl. Do obslugi automatu
    uzywany jest mikrokontroler Hitachi H8-3003, posiada on przestrzen adre-
    sowa 16MB. Budowa programu jest dosc elastyczna, w pamieci RAM istnieje
    tablica adresow najwazniejszych funkcji wraz z miejscem na parametry ich
    wywolania. Tablica ta inicjalizowana jest przez program bootujacy, pozniej
    niektore funkcje sa podmieniane na bardziej rozbudowane przez program
    glowny, a pozniej uzywane sa tylko odwolania do tej tablicy (troche mi to
    przypomina tabele metod wirtualnych w programowaniu obiektowym). Tak wiec
    przejecie inicjalizacji tablicy pozwala na zamiane wywolania danej funkcji
    na inna funkcje od razu w calosci programu :) Przy rozpoczynaniu deasem-
    blacji powstaje problem od czego zaczac. Dobrym punktem zaczepienia w na-
    szym przypadku moga byc napisy wyswietlane przez automat. Niestety, proby
    wyszukania w kodzie bezwzglednych adresow napisow nie daly zadnego rezul-
    tatu, zastosowalem wiec inne podejscie. Napisy kolejnych wersji jezykowych
    przesuniete sa wzgledem siebie o staly offset, ktorego wartosc musi byc
    uzywana przez procedure zmieniajaca biezacy jezyk napisow. No i nie pomy-
    lilem sie :) W ten sposob doszedlem do procedury wyswietlajacej zadany
    napis, a wiedzac, gdzie i pod jakim warunkiem co sie wyswietla, mozna juz
    zrobic wszystko. I jeszcze jedna bardzo wazna uwaga: mikrokontroler Hita-
    chi H8-3003 posiada architekture i liste instrukcji oparte na uP Motorola
    68000, a z tego wynika bardzo wazna rzecz: kazda instrukcja ma dlugosc
    wyrazona przez parzysta liczbe bajtow i kazda instrukcja musi sie zaczynac
    pod parzystym adresem! Rowniez odczyt lub zapis zmiennej o dlugosci slowa
    lub podwojnego slowa musi nastepowac pod parzyste adresy. Zmienne o roz-
    miarze bajtu moga byc umieszczane pod adresami nieparzystymi. Jesli nie
    spelnimy tych warunkow, spowodujemy blad adresowania i prawdopodobnie
    rowniez crash systemu czytaj automatu.

S3. WYJATKI
    Ponizej znajduje sie krotki wykaz wyjatkow uzywanych przez oprogramowanie.
    Pozostale w mniej lub bardziej skomplikowany sposob nie robia dokladnie
    nic. Na poczatku wiersza znajduje sie adres wektora wyjatku, pozniej numer
    wyjatku wraz z adresem wskazywanym przez wektor wyjatku (w nawiasach kwad-
    ratowych), a na koncu krociutki opis.

      0x000000: Exception 0x00 [0x001000] - RESET

      0x000034: Exception 0x0D [0x001D22] - IRQ 1 - Przerwanie zewnetrzne 1

      0x000038: Exception 0x0E [0x001D5A] - IRQ 2 - Przerwanie zewnetrzne 2

      0x00003C: Exception 0x0F [0x001D92] - IRQ 3 - Przerwanie zewnetrzne 3

      0x000090: Exception 0x24 [0x001E84] - IMIA 3 - Przerwanie zegarowe
                                            wywolywane co 5 milisekund

      0x0000B0: Exception 0x2C [0x002020] - DEND 0A - Kontroler DMA: koniec
                                            przesylania danych kanalem 0A

      0x0000D0: Exception 0x34 [0x001F80] - RECEIVE ERROR 0 - Interfejs SCI
                                            kanal 0: komunikacja z czytnikiem:
                                            blad odczytu bajtu

      0x0000D4: Exception 0x35 [0x001F8C] - RECEIVE DATA FULL 0 - Interfejs
                                            SCI kanal 0: komunikacja z czytni-
                                            kiem: otrzymano bajt

      0x0000E0: Exception 0x38 [0x001F9C] - RECEIVE ERROR 1 - Interfejs SCI
                                            kanal 1: komunikacja z modemem:
                                            blad odczytu bajtu

      0x0000E4: Exception 0x39 [0x001FD2] - RECEIVE DATA FULL 1 - Interfejs
                                            SCI kanal 1: komunikacja z mode-
                                            mem: otrzymano bajt

      0x0000E8: Exception 0x3A [0x002000] - TRANSMIT DATA EMPTY 1 - Interfejs
                                            SCI kanal 1: komunikacja z mode-
                                            mem: pusty rejestr danych wysyla-
                                            nych do modemu

      0x0000F0: Exception 0x3C [0x0020F4] - A/D CONVERSION COMPLETE - Zakon-
                                            czono przetwarzanie A/D (np. od-
                                            czyt temperatury zewnetrznej).

S4. REJESTRY UKLADOW PERYFERYJNYCH
    Mikrokontroler, jak sama nazwa wskazuje, zawiera w swojej obudowie oprocz
    mikroprocesora rowniez zintegrowane uklady peryferyjne. Ponizej umiescilem
    odwzorowanie rejestrow ukladow peryferyjnych w przestrzen adresowa mikro-
    kontrolera Hitachi - tak jak jest to w automacie (zebranie tych informacji
    w jedna calosc wcale nie bylo takie proste). Po dokladniejsze informacje
    na temat rejestrow i ukladow peryferyjnych odsylam do danych producenta.
    Na poczatku znajduje sie adres, pod jakim widoczny jest rejestr, pozniej
    nazwa rejestru, a na koncu nazwa ukladu peryferyjnego, do ktorego nalezy
    dany rejestr.

      @0xFFFFFF27:     Rejestr ?
      @0xFFFFFF2F:     Rejestr ?

      @0xFFFFFF60:     Rejestr TSTR        - ITU (all channels)
      @0xFFFFFF61:     Rejestr TSNC        - ITU (all channels)
      @0xFFFFFF62:     Rejestr TMDR        - ITU (all channels)
      @0xFFFFFF63:     Rejestr TFCR        - ITU (all channels)
      @0xFFFFFF64:     Rejestr TCR0        - ITU channel 0
      @0xFFFFFF65:     Rejestr TIOR0       - ITU channel 0
      @0xFFFFFF66:     Rejestr TIER0       - ITU channel 0
      @0xFFFFFF6E:     Rejestr TCR1        - ITU channel 1
      @0xFFFFFF6F:     Rejestr TIOR1       - ITU channel 1

      @0xFFFFFF70:     Rejestr TIER1       - ITU channel 1
      @0xFFFFFF78:     Rejestr TCR2        - ITU channel 2
      @0xFFFFFF79:     Rejestr TIOR2       - ITU channel 2
      @0xFFFFFF7A:     Rejestr TIER2       - ITU channel 2

      @0xFFFFFF82:     Rejestr TCR3        - ITU channel 3
      @0xFFFFFF83:     Rejestr TIOR3       - ITU channel 3
      @0xFFFFFF84:     Rejestr TIER3       - ITU channel 3
      @0xFFFFFF85:     Rejestr TSR3        - ITU channel 3
      @0xFFFFFF87:     Rejestr TCNT3L      - ITU channel 3

      @0xFFFFFF90:     Rejestr TOER        - ITU (all channels)
      @0xFFFFFF91:     Rejestr TOCR        - ITU (all channels)
      @0xFFFFFF92:     Rejestr TCR4        - ITU channel 4
      @0xFFFFFF93:     Rejestr TIOR4       - ITU channel 4
      @0xFFFFFF94:     Rejestr TIER4       - ITU channel 4
      @0xFFFFFF97:     Rejestr TCNT4L      - ITU channel 4

      @0xFFFFFFAB:     Rejestr RSTCSR      - WDT

      @0xFFFFFFB0:     Rejestr SMR         - SCI channel 0
      @0xFFFFFFB1:     Rejestr BRR         - SCI channel 0
      @0xFFFFFFB2:     Rejestr SCR         - SCI channel 0
      @0xFFFFFFB3:     Rejestr TDR         - SCI channel 0
      @0xFFFFFFB4:     Rejestr SSR0        - SCI channel 0
      @0xFFFFFFB5:     Rejestr RDR0        - SCI channel
      @0xFFFFFFB8:     Rejestr ?
      @0xFFFFFFB9:     Rejestr ?
      @0xFFFFFFBA:     Rejestr ?
      @0xFFFFFFBB:     Rejestr ?
      @0xFFFFFFBC:     Rejestr SSR1        - SCI channel 0
      @0xFFFFFFBD:     Rejestr RDR1        - SCI channel 0

      @0xFFFFFFC5:     Rejestr P4DR/P4DDR  - port 4
      @0xFFFFFFC7:     Rejestr ?
      @0xFFFFFFC8:     Rejestr P5DR/P5DDR  - port 5
      @0xFFFFFFC9:     Rejestr P6DR        - port 6
      @0xFFFFFFCA:     Rejestr ?           - port 6
      @0xFFFFFFCB:     Rejestr P6DR        - port 6
      @0xFFFFFFCD:     Rejestr P8DDR       - port 8
      @0xFFFFFFCE:     Rejestr P7DR        - port 7
      @0xFFFFFFCF:     Rejestr P8DR        - port 8

      @0xFFFFFFD0:     Rejestr P9DDR       - port 9
      @0xFFFFFFD1:     Rejestr PADDR       - port A
      @0xFFFFFFD2:     Rejestr P9DR        - port 9
      @0xFFFFFFD3:     Rejestr PADR        - port A
      @0xFFFFFFD4:     Rejestr PBDDR       - port B
      @0xFFFFFFD5:     Rejestr PCDDR       - port C
      @0xFFFFFFD6:     Rejestr PBDR        - port B
      @0xFFFFFFD7:     Rejestr PCDR        - port C

      @0xFFFFFFE0:     Rejestr ADDRAH      - A/D converter
      @0xFFFFFFE2:     Rejestr ADDRBH      - A/D converter
      @0xFFFFFFE4:     Rejestr ADDRCH      - A/D converter
      @0xFFFFFFE6:     Rejestr ADDRDH      - A/D converter
      @0xFFFFFFE8:     Rejestr ADCSR       - A/D converter
      @0xFFFFFFEC:     Rejestr ?           - bus controller
      @0xFFFFFFED:     Rejestr ASTCR       - bus controller
      @0xFFFFFFEE:     Rejestr WCR         - bus controller
      @0xFFFFFFEF:     Rejestr WCER        - bus controller

      @0xFFFFFFF2:     Rejestr SYSCR       - system control
      @0xFFFFFFF3:     Rejestr ?           - system control
      @0xFFFFFFF4:     Rejestr ISCR        - interrupt controller
      @0xFFFFFFF5:     Rejestr IER         - interrupt controller
      @0xFFFFFFF6:     Rejestr ISR         - interrupt controller
      @0xFFFFFFF8:     Rejestr IPRA        - interrupt controller
      @0xFFFFFFF9:     Rejestr IPRB        - interrupt controller

S5. KODY KLAWIATURY
    Ponizej przedstawilem kody klawiatury automatu:

      0x0023:     #
      0x002A:     *
      0x0030:     0
      ...
      0x0039:     9
      0x3B00:     A
      0x3C00:     B
      0x3D00:     C
      0x3E00:     D
      0x3F00:     TRL - FC (Nastepne polaczenie)
      0x4000:     RP  - RD (Redial)
      0x4100:     LIN - Zmiana jezyka
      0x4200:     VOL - Zmiana glosnosci
      0x4300:     TC  - Wymiana karty

S6. PAMIECI ZNAMIONOWE (BOLLINO) I METRYCZKA APARATU
    W automacie znajduje sie 5 pamieci znamionowych tzw. bollino w 5 najwaz-
    niejszych modulach automatu. Sa to male (256 bajtow) pamieci szeregowe
    EEPROM 24C02 z interfejsem I2C ("I kwadrat C"), kazda z tych pamieci
    zawiera 11 bajtow danych, ktore jednoznacznie identyfikuja dany modul.
    Teoretycznie program plyty glownej ma mozliwosc zmieniania zawartosci
    tych pamieci, w praktyce ogranicza sie tylko do ich odczytu (co jest
    zrozumiale). Obok kazdej z pamieci podany jest adres, pod jakim pamiec
    jest widziana na szynie I2C:

      I2C 0xFF:     Bollino CZYTNIK       - 11 bajtow danych
      I2C 0x01:     Bollino KLAWIATURA    - 11 bajtow danych
      I2C 0x02:     Bollino MIKROTELEFON  - 11 bajtow danych
      I2C 0x03:     Bollino WYSWIETLACZ   - 11 bajtow danych
      I2C 0x04:     Bollino PLYTA GLOWNA  - 11 bajtow danych

    Oprocz wymienionych wyzej pamieci znamionowych na plycie glownej znajduje
    sie rowniez pamiec szeregowa EEPROM I2C (prawdopodobnie 24C08 - 1024 baj-
    ty) zawierajaca najwazniejsze ustawienia automatu, ktore umozliwiaja na-
    wiazanie polaczenia z centrum nadzoru nawet w przypadku utraty danych
    konfiguracyjnych zapisanych w pamieci FLASH automatu:

      I2C 0x05:     Metryczka aparatu     - 43 bajty danych

    Dane w metryczce wygladaja nastepujaco:

      0x00..0x01 - prefiks aparatu w kodzie BCD
      0x02..0x07 - numer aparatu w kodzie BCD
      0x08..0x09 - nieuzywane
      0x0A       - aktywnosc STG: 0x00 = STG aktywne, inne = STG nieaktywne
                   (tak, 0 oznacza aktywnosc)
      0x0B       - offset cyfry 0x0D w prefiksie STG. Normalnie cyfry
                   zawieraja sie w przedziale 0x01..0x0A (0x0A odpowiada
                   cyfrze "0"). Cyfra 0x0D ma specjalne znaczenie i prawdo-
                   podobnie oznacza, ze w miejscu jej wystapienia automat
                   powinien zrobic krotka przerwe w wybieraniu numeru
                   (oczekiwanie na sygnal centrali miedzymiastowej)
      0x0C..0x0D - prefiks STG1 (pierwszego STG) w kodzie BCD
      0x0E..0x15 - numer STG1 (pierwszego STG) w kodzie BCD
      0x16..0x17 - prefiks STG2 (drugiego STG) w kodzie BCD
      0x18..0x1F - numer STG2 (drugiego STG) w kodzie BCD
      0x20..0x28 - nieuzywane
      0x29       - rodzaj wybierania: 0x00 = Pulse, 0x80 = DTMF
      0x2A       - predkosc modemu: 0x00 = 1200 bps, inne = 2400 bps

    Dane w metryczce sa aktualizowane podczas sciagania z STG pliku z kon-
    figuracja oraz podczas zmiany odpowiednich ustawien w menu automatu.

S7. KARTY ZWYKLE
    Srebrny automat porzadkuje sobie karty w 64 emisje po 256 serii z 65536
    kartami w serii (wyciagniete z softu przez Nola). Rodzaj karty jest roz-
    poznawany przez modul czytnika, plyta glowna otrzymuje tylko gotowe dane
    odczytane z karty wraz z informacja o jej rodzaju. Karty zagranicznych
    operatorow sa odrzucane, przy czym jezeli na karcie takiej znajduja sie
    jednostki, automat wypisuje "KARTA NIEWAZNA", a jesli jednostek nie ma -
    "KARTA ZUZYTA". Jest siedem rodzajow kart zwyklych (z jednostkami) roz-
    poznawanych przez srebrne automaty:

    a) Karta magnetyczna czerwona

       Jest to zwykla najstarsza karta magnetyczna, mozliwe sa 4 emisje po
       256 serii z 65536 kartami w serii. Dokladniejszy ich opis znajduje sie
       w rozdziale "Karty Zwykle" w Czesci I. Automat srebrny nie rozroznia
       kart w jendostkach taryfikacyjnych i w jednostkach Tax Value, takie
       rozroznienie nie jest mu zreszta do niczego potrzebne, gdyz nie posiada
       on odpowiednika wartosci Tax Value z niebieskiego Urmeta. Karta czerwo-
       na jest od pewnego juz czasu zablokowana na srebrnych automatach.

    b) Karta magnetyczna zielona

       Jest to nowszy rodzaj karty magnetycznej, mozliwe sa 64 emisje po 256
       serii z 65536 kartami w serii. Poza tym karty te roznia sie od kart
       zielonych innym sposobem nagrania niektorych jedynek, o czym bolesnie
       przekonali sie ostatnio (po zablokowaniu przez TPSA kart czerwonych na
       srebrnych automatach) wszyscy ci, ktorzy produkuja sobie karty. Odpo-
       wiedni algorytm zostal juz jednak zlamany :) (nie przeze mnie!).
       UWAGA! Algorytm ten miesci sie w programie czytnika, a nie plyty
       glownej.

     c) Karta elektroniczna niebieska

        Jest to karta elektroniczna o niestandardowym formacie zapisanych na
        niej danych. Kart tych nie ma w obiegu i sa zablokowane. Istnieje moz-
        liwosc wlaczenia nastepujacego zapezpieczenia dla tych kart: niektore
        bajty z karty zostaja zakodowane odpowiednim kluczem DES i wynik kodo-
        wania zostaje porownany znowu z odpowiednimi bajtami na karcie. Jezeli
        wartosci beda identyczne, karta jest akceptowana. W sofcie istnieje
        tablica, w ktorej sa zawarte wspomniane klucze DES, osobny klucz dla
        kazdej serii kart. Obecnie tablica ta jest cala pusta, czyli zabezpie-
        czenie to jest wylaczone.

     d) Karta magnetyczna niebieska

        Jest to karta magnetyczna o zupelnie nietypowym jak na karte magne-
        tyczna formacie danych - zawiera ona 16 bajtow danych identycznych,
        jak w opisanej podpunkt wyzej karcie elektronicznej! Bez zadnych
        sum kontrolnych i algorytmow zabezpieczajacych!!! Istnieje mozliwosc
        zabezpieczenia tych kart dodatkowym algorytmem (tym z DES-em), takim
        samym jak dla karty elektronicznej niebieskiej. Karty te sa wylaczone
        z obiegu.

     e) Karta elektroniczna OTO Lublin

        Jest to karta elektroniczna o standardowym formacie zapisanych na niej
        danych. Karty te sa uzywane coraz powszechniej w Polsce. Posiadaja one
        wlasciwosc, o ktorej malo kto slyszal. Mianowicie na karcie moze byc
        zapisany maksymalnie 12-cyfrowy numer telefoniczny! Jezeli numer ten
 *      nie jest pusty i nie znajduje sie na liscie numerow zablokowanych, po
        wlozeniu karty do automatu zostanie on automatycznie wybrany. Nie ma
        mozliwosci wybrania innego numeru. Teoretycznie moze byc to przydatne
        np. dla firmy, ktora daje karte pracownikowi, zeby jej nie zuzyl na
 *      niecne cele :) Nie stosuje sie jednak tego rozwiazania, gdyz polskie
 *      karty zawieraja drugi klucz kryptograficzny i w zwiazku z tym nie ma
 *      juz na nich miejsca na numer telefoniczny (patrz nizej do rozdzialu
 *      "Format danych kart elektronicznych" - opis bajtow 22..27).

     f) Karta elektroniczna RUCH 1

 *      Jest to karta elektroniczna o standardowym formacie zapisanych na niej
 *      danych. Karty te sa uzywane za granica. Jako karty RUCH 1 (wzglednie
 *      RUCH 2) kwalifikowane sa karty nie rozpoznane jako karty elektroniczne
 *      niebieskie, serwisowe lub OTO Lublin (patrz nizej do rozdzialu "Algo-
 *      rytm rozpoznawania rodzaju karty elektronicznej").

     g) Karta elektroniczna RUCH 2

 *      Analogicznie jak karta RUCH 1 - patrz wyzej.

S8. ALGORYTM ROZPOZNAWANIA RODZAJU KARTY ELEKTRONICZNEJ
 *  Rodzaj karty jest rozpoznawany przez modul czytnika, tak wiec softem czyt-
 *  nikow (automatow srebrnego i jajka) wspomagalem sie przy pisaniu tego roz-
 *  dzialu. Rodzaje kart sa opisane w rozdzialach "Karty zwykle" oraz "Karty
 *  serwisowe". Algorytm rozpoznawania rodzaju karty wyglada nastepujaco:
 *
 *  1) Czy DaneZKarty[0,1] = 0x97,0x74 albo 0x05,0xF4 albo 0x97,0xCC
 *     NIE - 2)
 *     TAK - Karta elektroniczna OTO Lublin
 *
 *  2) Czy DaneZKarty[0,1] = 0x17,0x04 (porownania tego dokonuje wylacznie
 *     program czytnika w automacie srebrnym, tak wiec jajko nie rozpoznaje
 *     kart elektronicznych niebieskich)
 *     NIE - 3)
 *     TAK - Karta elektroniczna niebieska
 *
 *  3) Czy DaneZKarty[0,1] = 0x19,0xC4
 *     NIE - Karta RUCH 2
 *     TAK - 4)
 *
 *  4) Czy DaneZKarty[3] xor DaneZKarty[4] xor DaneZKarty[5] xor
 *     DaneZKarty[6] xor DaneZKarty[7] = 0
 *     NIE - Karta serwisowa, typ karty = (DaneZKarty[5] and #0x0F)
 *     TAK - Karta RUCH 1
 *
 *  Oczywiscie jest to sprawdzenie wstepne, karty elektroniczne niebieskie,
 *  serwisowe i OTO Lublin (czyli te, ktore sa przewidziane do uzytku w Pols-
 *  ce) musza spelnic jeszcze dodatkowe warunki przed ich ostatecznym zaakcep-
 *  towaniem - patrz rozdzialy "Zabezpieczenia kart zwyklych", "Zabezpieczenia
 *  kart serwisowych" oraz "Format danych kart elektronicznych".

S9. LISTY KART
    Automat posiada dwie listy kart, ladowane zdalnie z centrum nadzoru:

    a) Biala lista kart
       Zawiera ona dopuszczone do obiegu numery emisji kart oraz dla kazdej
       emisji dozwolone w niej numery serii.

    b) Czarna lista kart
       Zawiera ona dane wylaczonych z obiegu kart. Opis kazdej karty zawiera
       jej numer emisji, numer serii oraz numer kolejny w serii.

    Na powyzsze listy wpisywane sa tylko karty zwykle (z jednostkami). Karta
    moze byc zaakceptowana tylko wtedy, gdy jej numer emisji i serii znajduje
    sie na bialej liscie i jej dane nie figuruja na czarnej liscie kart.

S10.ZABEZPIECZENIA KART ZWYKLYCH
    Zapis kart magnetycznych chroniony jest odpowiednimi sumami kontrolnymi
    i (w kartach zielonych) innym sposobem zapisu niektorych jedynek wedlug
    dodatkowego algorytmu. Jak powszechnie wiadomo, zabezpieczenia te nie sa
    wystarczajace :) Ostatnio nawet pojawily sie karty od poczatku do konca
    robione poza TPSA, lacznie z plastikiem i paskiem magnetycznym...

    Natomiast karty elektroniczne z jednostkami to uklady dostarczane przez
 *  Siemensa SLE 4436 (inaczej Eurochip), posiadajace wbudowany uklad genero-
    wania odpowiedzi na pytania zadawane przez automat. W czytniku automatu
    znajduje sie do pieciu kart mikroprocesorowych SAM (inaczej SiCrypt), wyg-
    ladajacych jak mala karta SIM telefonu komorkowego. Kazda karta SAM zawie-
 *  ra pelny klucz kryptograficzny oraz algorytm kryptograficzny do obslugi
 *  kart jednego operatora, istnieje mozliwosc zdalnego ladowania klucza kryp-
 *  tograficznego do modulu SAM. Algorytm kryptograficzny stosowany w module
 *  SAM i karcie telefonicznej jest tajny (nie jest to DES). Istnieje ponad
 *  20000 wariantow tego algorytmu, operator moze wybrac sobie dowolny sposrod
 *  tych wariantow. Po wlozeniu karty do automatu odczytuje on najpierw 16
    bajtow z karty (m.in. numer karty, liczbe jednostek). Dane te trafiaja do
    modulu SAM. Nastepnie modul SAM losuje 48-bitowe pytanie i na podstawie
    danych z karty, wylosowanego pytania, posiadanego klucza kryptograficznego
    i algorytmu wylicza 16-bitowa odpowiedz, ktora trafia do procesora czytni-
    ka. Wylosowane przez SAM pytanie trafia rowniez do karty. Karta na podsta-
    wie swoich danych, otrzymanego pytania, zapisanego w niej klucza krypto-
    graficznego i odpowiedniego algorytmu wylicza swoja odpowiedz, ktora tra-
    fia rowniez do procesora czytnika. To wlasnie procesor w czytniku porownu-
    je obydwie odpowiedzi i decyduje o zaakceptowaniu karty lub nie. Tak wiec,
    jak widac, oprogramowanie procesora czytnika jest najlatwiejszym punktem
    ataku na system :). Caly powyzej opisany proces zostal potwierdzony dos-
    wiadczalnie przez Shadowa i mnie poprzez podsluchiwanie transmisji miedzy
    czytnikiem i karta telefoniczna oraz czytnikiem i modulem SiCrypt srebrne-
    go automatu. Nalezy dodac, ze kazda karta telefoniczna posiada klucz kryp-
    tograficzny wstepnie przetworzony, w ktorym uwzgledniono juz jej numery
    seryjne (dzieki czemu wyliczanie odpowiedzi jest szybsze). Z tego wynika,
    ze klucz w karcie jest inny dla kazdej karty, czyli wyciagniecie tego klu-
    cza pozwoli co najwyzej zrobic druga karte o takich samych numerach, co
    bardzo ogranicza mozliwosci wykorzystania takiej sklonowanej karty. Pelny
    klucz kryptograficzny jest tylko w module SAM. Proby odczytania odpowiedzi
    na wszystkie mozliwe pytania sa z gory skazane na niepowodzenie. Po pierw-
    sze modul SAM taktowany jest czestotliwoscia zaledwie ok. 3,57 MHz, czyli
    odczytanie wszystkich odpowiedzi zajeloby tysiace albo raczej miliony lat.
    Po drugie odczytane odpowiedzi, przy sensownym stopniu kompresji, zajelyby
    co najmniej kilkaset gigabajtow. Po trzecie to modul SAM, a nie my, losuje
    pytanie, a wiec im wiecej rozniacych sie od siebie pytan juz wylosowal,
    tym mniejsze prawdopodobienstwo, ze wylosuje pytanie, ktorego jeszcze nie
    bylo. Proby odczytania wszystkich mozliwych kombinacji mialyby sens tylko
    wtedy, gdyby losowane przez modul SAM pytania nalezaly do sztucznie zawe-
    zonego zbioru (byc moze tak jest, ale tego nie wiem). Pozostaje jeszcze
    dekompozycja struktury modulu SAM w celu odczytania klucza i algorytmu
    kryptograficznego, ale modul SAM jest przed tym doskonale zabezpieczony,
    pomijajac juz fakt, ze trzeba do tego celu dysponowac sprzetem wartym
    dziesiatki tysiecy dolarow i sztabem specjalistow. Moduly SAM produkuje
    sie w stosunkowo malych ilosciach, dlatego nie ma koniecznosci oszczedza-
    nia na ich zabezpieczniach. Pojedyncze karty telefoniczne moga byc gorzej
    (co nie znaczy ze slabo) zabezpieczone (czyli tansze), gdyz zawieraja tyl-
    ko klucz przetworzony, z ktorego nie da sie odzyskac pelnego klucza. Pod-
    sumowujac, jak juz wspomnialem, atak na oprogramowanie czytnika (lub ewen-
    tualnie plyty glownej) jest najlatwiejszym rozwiazaniem.

    Istnieje mozliwosc stosowania kart elektronicznych z jednostkami nie
    posiadajacych zabezpieczenia typu pytanie-odpowiedz (uklady SLE 4406).
    Wyprodukowanie takiej karty w warunkach domowych nie przedstawia najmniej-
    szych trudnosci, dlatego karty te, choc TPSA ich nie produkuje, na wszelki
    wypadek zostaly w konfiguracji automatu zablokowane. Posiadajac program
    centrum nadzoru mozna jednak zmienic w konfiguracji automatu jeden bit
    i juz mozna uzywac takich kart do woli :) Jesli kiedys zobaczycie na
    phreak.hack.pl filmik przedstawiajacy faceta uzywajacego karty chip
    z kredytem rzedu powiedzmy 2000 jednostek, to bedziecie juz wiedziec,
    co sobie o tym myslec :)

    Istnieje takze mozliwosc stosowania kart elektronicznych z jednostkami
    posiadajacych rozszerzone zabezpieczenie typu pytanie-odpowiedz (uklady
    SLE 5536 - inaczej Eurochip II). W karcie takiej odpowiedz na pytanie
    zalezy nie tylko od biezacego pytania, ale rowniez od pytan poprzednich.
 *  W Polsce karty takie nie sa (jeszcze) stosowane.

 *  Nie od rzeczy byloby dodac, ze uklady kart elektronicznych chronione sa
 *  rowniez zanim zostana zaprogramowane przez dostawce kart (w Polsce - OTO
 *  Lublin). Chodzi o to, ze w czasie podrozy ukladow scalonych sluzacych do
 *  produkcji kart od producenta (Siemens) do dostawcy (ktory wkleja uklady
 *  scalone w karty, przykleja styki, programuje na karcie np. poczatkowa war-
 *  tosc licznika) uklady moglyby zostac skradzione i zaprogramowane przez
 *  zlodzieja (na duza liczbe jednostek)... Mechanizm zabezpieczenia nie jest
 *  skomplikowany: przed rozpoczeciem programowania ulkadu trzeba podac
 *  mu odpowiednie 32-bitowe haslo, a jesli zostanie ono podane blednie piec
    razy, uklad staje sie bezuzyteczny.

    Po sprawdzeniu i zaakceptowaniu karty w automacie na podstawie sum kont-
    rolnych (karta magnetyczna) lub odczytanej odpowiedzi (karta elektronicz-
    na) sprawdzana jest zawartosc bialej i czarnej listy kart (patrz rozdzial
    "Listy kart"). Jesli karta jest zawarta na bialej liscie i nie figuruje na
    czarnej, zostaje dopuszczona do uzytku. Wada przyjetego rozwiazania jest
    to, ze dane o ruchu kart gromadzone przez automat (w celu pozniejszego
    przeslania ich do centrum nadzoru i pozniejszej ich tam analizy) nie sa
    wykorzystywane na biezaco do decydowania o zaakceptowaniu karty lub nie.
    Innymi slowy mozna po kolei wkladac do automatu jedna za druga karty-klony
    z identycznymi numerami seryjnymi, a automat bez problemu je zaakceptuje!
    Dopiero gdy automat przesle te dane do centrum nadzoru, a tam wyjdzie na
    jaw, ze dana karta byla wykorzystywana wielokrotnie, centrum nadzoru
    wciagnie ta karte (a scislej te karty :)) na czarna liste i po rozeslaniu
    czarnej listy do automatow nie bedzie mozna wiecej korzystac z kart o da-
    nym numerze. Wciagniecie karty na czarna liste trwa srednio kilka dni, co
    daje pewne (choc moze nie za wielkie) mozliwosci. Jezeli karta nie zosta-
    nie zaakceptowana, pojawi sie napis "KARTA NIEWAZNA". Centrum nadzoru jest
    informowane o kazdej probie uzycia karty niewaznej wraz z jej numerami.
 *  Oczywiscie odpowiednie poprawki w oprogramowaniu automatu moglyby wyelimi-
 *  nowac mozliwosc stosowania kart-klonow w tym samym automacie juz przed
 *  uaktualnieniem czarnej listy.

    Podczas rozmowy jednostki z karty kasowane sa na biezaco. Wyjecie karty
    podczas rozmowy (np. w celu jej zamiany na falszywa) powoduje natychmias-
    towe przerwanie polaczenia, oczywiscie z wyjatkiem przypadku wyczerpania
    sie kredytu na wymienianej karcie. W przypadku, gdy automat podczas rozmo-
    wy nie moze odczytac karty albo skasowac z niej jednostki, rozmowa rowniez
    jest przerywana. W przypadku karty magnetycznej, jezeli jednostki sa kaso-
    wane bardzo szybko (np. polaczenie miedzynarodowe), to wyjatkowo automat
    nie kasuje fizycznie jednostek na biezaco, tylko co kilka jednostek
    (np. 4).

    W oprogramowaniu plyty glownej, podobnie jak w niebieskim Urmecie, zapisa-
    na jest tablica podzielnikow dla kart magnetycznych (patrz rozdzial "Karty
    zwykle" w Czesci I). Na karcie zapisany jest indeks do tablicy podzielni-
    kow. W przypadku niebieskiego automatu indeks 0 byl zabroniony i karta
    byla wyrzucana z automatu (dla indeksu 0 nie bylo odpowiadajacej mu pozyc-
    ji w tablicy podzielnikow). Automat srebrny posiada w tabeli pozycje row-
    niez dla indeksu 0 i podzielnik wynosi wtedy... 0! Czyli liczba magnetycz-
    nych jedynek z trzeciej czesci karty jest dzielona przez 0 i otrzymujemy
    65535 jednostek!!! Niestety modul czytnika odrzuca takie karty, wiec nie
    mozna tego wykorzystac, a szkoda... :)

S11.KARTY KREDYTOWE
    Choc z instrukcji centrum nadzoru STG97 wynika, ze automat obsluguje karty
    kredytowe, to w calym sofcie w wersji 2.60 nie znalazlem prawie zadnego
    fragmentu kodu zwiazanego z obsluga tych kart. Choc mozna np. zaprogra-
    mowac z STG97 numery telefoniczne do centrum walidacji kart kredytowych,
    to nie sa one do niczego wykorzystywane. Teoretycznie istnieja dwa rodzaje
    obslugiwanych kart kredytowych: operatora (czyli u nas TPSA) oraz bankowe.
    Automat ma nawet w czytniku osobna glowice do odczytu kart kredytowych,
    szkoda, ze nie jest ona do niczego wykorzystywana, moze kiedys... We Wlo-
    szech karty kredytowe operatora sa w powszechnym uzyciu, pewnie polega to
    na posiadaniu konta u operatora telekomunikacyjnego (BTW we Wloszech opla-
    ta naliczana jest juz od momentu wybrania numeru, czyli mozemy sie nie
    dodzwonic, a i tak zaplacimy. Faktycznie placimy wiec za zajecie lacza.
    Taki sposob naliczania oplaty jest stosowany rowniez w sieciach komorko-
    wych. Swoja droga we Wloszech uzywane sa zupelnie inne modele automatow
    (tez firmy Urmet), nie akceptuja one polskich kart magnetycznych ani elek-
    tronicznych, nawet kart serwisowych: ani magnetycznych, ani chipowych).

S12.MENU GLOWNE AUTOMATU
    Zasady poruszania sie po menu sa analogiczne jak w niebieskim Urmecie.
    Na poczatek objasnienie skrotow uzywanych w menu: OTP = BOOT PROGRAM
    (One Time Programming), KO = ERROR, SW = SOFTWARE. Mozna sobie zmienic
    jezyk wyswietlania menu za pomoca przycisku zmiany jezyka. Od razu nad-
    mienie, ze numer uzywanej karty serwisowej jest wysylany do centrum nad-
    zoru - ale nie dla kazdego typu karty, o czym bedzie nizej. W zalez-
    nosci od typu karty niektore menu sie nie pojawiaja lub nie daja sie
    zmieniac - patrz rozdzial "Karty serwisowe". Po wlozeniu karty serwi-
    sowej pojawia sie menu powitalne:

       ------------------
       |    PIN  KOD    |
       |      ****      |
       ------------------

       ------------------   ------------------
       |   PIN KOD OK   |   | BLEDNY PIN KOD |
       |OTWORZ DRZWICZKI|   |ODWIES SLUCHAWKE|
       ------------------   ------------------

       Niezaleznie od prawidlowosci podanego PIN-u karta jest wyrzucana.
       Po prawidlowym podaniu PIN-u wyswietla sie napis proszacy o otwarcie
       drzwiczek (ale nie zawsze, o tym bedzie potem :)), co nalezy uczynic,
       a wtedy naszym oczom ukaze sie:

       ------------------
       |SW BOOT Ver.0.00|
       |SW TPE  Ver.0.00|
       ------------------

       Oczywiscie zera zastapione sa odpowiednimi numerami wersji. Po nacis-
       nieciu "*" wchodzimy do menu glownego:

       ------------------
    1. | KOD  OPERATORA |
       |      238       |
       ------------------

       W sofcie automatu istnieje pewna tablica sluzaca do dekodowania kart
       magnetycznych (taka sama zreszta jak w niebieskim Urmecie), a wyswiet-
       lana w tym menu liczba jest pierwszym elementem tej tablicy (0xEE).
       Czyli innymi slowy kazdy operator ma swoj kod i na jego podstawie deko-
       dowane sa karty magnetyczne, co moze tlumaczyc fakt, ze polskie karty
       sa nieczytelne we Wloszech (choc mozliwe ze zapis na wloskich kartach
       jest zupelnie inny). W menu tym nic nie da sie zmieniac.

       ------------------
    2. |  USTAW ZEGAR   |
       |                |
       ------------------
          ------------------   ------------------
    2.1.  |dd/mm/rrrr gg:mm|   | USZKODZ  ZEGAR |
          |                |   |                |
          ------------------   ------------------

          Jezeli mamy uprawnienia, po nacisnieciu "*" mozna zmienic ustawie-
          nia zegara. Automat obsluguje lata 1997..2096. Dwukropek mruga sobie
          slicznie pojawiajac sie dla kazdej parzystej liczby sekund :).

       ------------------
    3. |PREFIKS  APARATU|
       |0000            |
       ------------------

       Maksymalnie 4 cyfry numeru kierunkowego automatu. Jezeli mamy upraw-
       nienia, mozemy wpisac nowy numer, ktory zatwierdzamy klawiszem "*".
       W przypadku rezygnacji z zapisania zmiany mozemy po prostu przejsc do
       nastepnej pozycji menu klawiszem "#" albo... zmienic jezyk wyswietlania
       menu, wtedy wraz z ze zmiana jezyka pojawi sie pierwotnie zaprogramowa-
       ny numer.

       ------------------
    4. | NUMER  APARATU |
       |000000000000    |
       ------------------

       Maksymalnie 12 cyfr numeru automatu. Po tym numerze STG97 rozpoznaje
       m.in. rodzaj automatu i prawdopodobnie wpisanie tu numeru "jajka"
       spowoduje, ze automat bedzie probowal sciagnac oprogramowanie przezna-
       czone nie dla niego, co spowoduje oczywiscie jego awarie. Zasady edycji
       numeru jak wyzej.

       ------------------
    5. |  PREFIKS  STG  |
       |0000            |
       ------------------

       Maksymalnie 4 cyfry numeru kierunkowego do centrum nadzoru STG97.
       Automat posiada w konfiguracji dwa numery do STG97 (oraz oczywiscie
       dwa numery kierunkowe). Po uzyciu tego menu przeprogramowane zostaja
       obydwa prefiksy na nowy wprowadzony z klawiatury. Zasady edycji
       numeru jak wyzej.

       ------------------
    6. |   NUMER  STG   |
       |0000000000000000|
       ------------------

       Maksymalnie 16 cyfr numeru do STG97. Po uzyciu tego menu zostaja
       przeprogramowane obydwa numery STG97 na podany nowy numer. Zasady
       edycji numeru jak wyzej.

       Nalezy zauwazyc, ze numer aparatu w menu 4. moze miec maksymalnie 12
       cyfr, a numery STG 16 cyfr. Zarowno numer aparatu, jak i obydwa numery
       STG przechowywane sa w metryczce aparatu (w malej pamieci szeregowej
       I2C). Awaria glownej pamieci FLASH nie spowoduje zatem zniszczenia nu-
       meru aparatu i STG, a wiec STG poprawnie zidentyfikuje aparat, zapisze
       w bazie danych fakt jego uszkodzenia i ewentualnie przesle konfiguracje
       stosowna dla danego aparatu. Numery STG przechowywane sa oprocz tego
       w pamieci FLASH zawierajacej cala konfiguracje automatu.

       ------------------   ------------------
    7. |TYP WYBIERANIA  |   |TYP WYBIERANIA  |
       |WYBIERANIE: DTMF|   |WYBIERANIE: DEK |
       ------------------   ------------------

       W menu tym mozna recznie zmienic typ wybierania numeru (ale to usta-
       wienie jest prawdopodobnie brane pod uwage tylko podczas wybierania
       numeru do STG!) naciskajac klawisz "*". Menu to jest o tyle ciekawe,
       ze jego wyswietlenie mozliwe jest tylko wtedy, gdy wersja programu
       bootujacego jest rowna co najmniej 3.00. Poniewaz obecnie stosowana
       wersja to 2.06, wiec prawdopodobnie nikt jeszcze nigdy tego menu na
       oczy nie widzial.

       ------------------   ------------------
    8. |PREDKOSC TRANS  |   |PREDKOSC TRANS  |
       |PREDKOSC: 1200  |   |PREDKOSC: 2400  |
       ------------------   ------------------

       Tutaj mozna (naciskajac "*") zmienic predkosc wymiany danych z STG.
       Podobnie jak poprzednio, menu to wyswietla sie tylko dla wersji prog-
       ramu bootujacego co najmniej 3.00. Dla wersji nizszych predkosc trans-
       misji jest ustalana zawsze na 1200 bps, niezaleznie od tego, czy modem
       potrafi obslugiwac predkosc 2400 bps! Jak juz napisalem wyzej, obecna
       wersja bootprogramu to 2.06, tak wiec modem zawsze pracuje z predkos-
       cia 1200 bps. No coz...

       ------------------
    9. |  MENU ALARMOW  |
       |                |
       ------------------
          ------------------   ------------------
    9.1.  |KOD ALARMOW  01 |   |KOD ALARMOW  -- |
          |                |   |                |
          ------------------   ------------------
          ...
          ------------------
    9.56. |KOD ALARMOW  56 |
          |                |
          ------------------

       Po wejsciu do tego menu mozna ogladac kody aktywnych alarmow. Kolejne
       kody wyswietlaja sie przy naciskaniu "#". Liczba wyswietlanych kodow
       zalezy od liczby aktywnych alarmow, jesli nie ma zadnych aktywnych
       alarmow wyswietlane sa dwie pauzy. Kody numerowane sa od 1 do 56
       i opisane beda w nastepnym punkcie. Nie wszystkie kody alarmow sa
       wyswietlane w menu, niektore sa jedynie wysylane do STG. Istnieje
       jednak specjalny typ karty serwisowej, ktory potrafi wyswietlic
       ukryte kody.

       ------------------
    10.|    AUTOTEST    |
       |                |
       ------------------

       To menu jest bardzo rozbudowane. Jego pozycje zostana opisane w jednym
       z nastepnych punktow, jesli ktos jest zainteresowany, to niech tam
       zajrzy.

       ------------------   ------------------
    11.|WSPOLPRACA Z STG|   |WSPOLPRACA Z STG|
       |  STG AKTYWNE   |   | STG NIEAKTYWNE |
       ------------------   ------------------

       W tym menu mozna wlaczyc lub wylaczyc komunikacje z STG! Zmiana nas-
       tepuje po uzyciu klawisza "*". To menu jest wyswietlane tylko po
       uzyciu specjalnego rodzaju karty serwisowej.

S13.KODY ALARMOW
    Tutaj umiescilem troche dokladniejszy niz w instrukcji opis kodow. Chcial-
    bym zwrocic uwage na Kod 23 - interesujacy pomysl... Poza tym mimo ze Kod
    4 (otwarcie aparatu) nigdy nie jest ustawiany, to istnieje jeszcze Kod
    25 - nieupowaznione otwarcie aparatu. Otwarcie jest upowaznione tylko wte-
    dy, gdy najpierw wlozymy karte serwisowa i podamy prawidlowy PIN, w prze-
    ciwnym razie ustawiany jest Kod 25. Natomiast po uzyciu karty serwisowej
    do STG wysylane sa dane o wszystkich metryczkach (celem zidentyfikowania
 *  ewentualnie wymienionych czesci) oraz numer karty serwisowej (nie jest
 *  wysylany numer dla kart serwisowych typu VIII - o tym bedzie w rozdziale
 *  "Karty serwisowe").

    Legenda:
    [x]  = po tej liczbie powtorzen danego zdarzenia ustawiana jest flaga
           alarmu
    [n]  = kod nie jest ustawiany -> nie jest wysylany do STG
    !    = kody widoczne w menu tylko po uzyciu karty serwisowej typu X
           (o tym bedzie pozniej)

    ====================

    [3]   Kod 01 - Utrata danych FLASH bialej lub czarnej listy
    [3]   Kod 02 - Utrata danych metryczki aparatu - patrz rozdzial
                   "Pamieci znamionowe (bollino) i metryczka aparatu"
    [1]   Kod 03 - Utrata danych RAM - wyzerowany zostal chociaz jeden numer
                   wersji sposrod plikow (numery wersji przechowywane sa
                   w RAM) - automat wyswietla "NIEDOSTEPNY" (az do czasu
                   sciagniecia brakujacych plikow z STG):
                               - biala lista,
                               - konfiguracja,
                               - parametry centrali
    [n]   Kod 04 - Otwarcie aparatu
    [100] Kod 05 - 100 kolejnych zdjec mikrotelefonu bez uiszczenia oplaty
    [1]   Kod 06 - Odlaczona linia
    [5]   Kod 07 - Niewystarczajacy prad zasilania
    [255] Kod 08 - 255 kolejnych zdjec mikrotelefonu bez uiszczenia oplaty
                   (licznik zerowany przy wybraniu numeru A,B lub C (jesli
                   numery te sa dozwolone))
    [1]   Kod 09 - 2 godziny ciaglego zajmowania aparatu
    [1]   Kod 10 - Zaciecie klawiatury (ustawiane razem z kodem 38)
    [5]   Kod 11 - Zaciecie ktoregos z klawiszy funkcyjnych
    [1]   Kod 12 - Uszkodzenie odbiornika impulsow 16 kHz
    [1]   Kod 13 - Rozladowany akumulator
    [1]   Kod 14 - Uszkodzenie toru odbiorczego mikrotelefonu
    [1]   Kod 15 - Uszkodzenie toru nadawczego mikrotelefonu
    [1]   Kod 17 - Nieprawidlowa praca zegara
    [1]   Kod 19 - Uszkodzenie szyny I2C Bollino
    [1]   Kod 20 - Przepelnienie bufora zdarzen dla STG (300 lub wiecej
                   zdarzen) - automat wyswietla "NIECZYNNY"
    [1]   Kod 21 - Nieobecnosc/uszkodzenie DRO
    [100] Kod 23 - Statystyka klawiatury - licznik zdarzen jest zmniejszany,
                   gdy wybrany numer zawieral choc jedna cyfre 5,6 lub 7,
                   zwiekszany w przeciwnym przypadku. Albo ja sie myle,
                   albo to jakis kolejny chory pomysl firmy Urmet
    [1]   Kod 24 - Blad zdalnego ladowania danych z STG97
    [1]   Kod 25 - Nieupowaznione otwarcie aparatu
    [3]   Kod 26 - Blad zdalnego ladowania z STG97 nastepujacych plikow:
                   reklam, komunikatow glosowych, komunikatow wyswietlacza,
                   profili oprogramowania
    [1]  !Kod 27 - Zaciecie ktoregos z glownych klawiszy funkcyjnych i kla-
                   wisza funkcyjnego wymiany karty (ustawiane razem z kodem
                   11 i 38). Kod moze nie byc ustawiany w zaleznosci od
                   konfiguracji
    [1]  !Kod 33 - Zablokowanie czytnika kart magnetycznych
    [1]   Kod 34 - Zablokowanie czytnika kart kredytowych
    [1]   Kod 35 - Zablokowanie czytnika kart elektronicznych
    [1]   Kod 36 - Zablokowanie czytnika kart magnetycznych
    [1]   Kod 37 - Calkowite zaciecie czytnika
    [5]   Kod 38 - Zaciecie klawisza funkcyjnego wymiany karty
    [1]   Kod 39 - Brak czytnika
    [1]   Kod 40 - Blad lub brak wymiany danych plyta glowna - czytnik
    [1]   Kod 41 - Blad w zdalnym ladowaniu programu czytnika
    [1]  !Kod 49 - Wadliwe dzialanie glowic magnetycznych - nieczytelne
                   30% kart lub wiecej
    [30]  Kod 50 - 30 kolejno nieodczytanych kart magnetycznych:
                   CZERWONYCH, ZIELONYCH, NIEBIESKICH
    [30]  Kod 51 - 30 kolejno nieodczytanych kart kredytowych:
                   operatora, bankowych
    [30]  Kod 52 - 30 kolejno nieodczytanych kart elektronicznych:
                   OTO LUBLIN, NIEBIESKICH, RUCH 1, RUCH 2

S14.MENU AUTOTEST
    Ponizej umiescilem dokladny opis tego menu. Nie wszedzie rzeczywistosc
    pokrywa sie z tym, co umieszczono w instrukcji.

          ------------------
    10.1. |TEST  KLAWIATURY|
          |                |
          ------------------
             ------------------
    10.1.1   | PRZYCISK: ???  |
             |                |
             ------------------

             ??? = 0..9                      -> 0..9
                   A..D                      -> A..D
                   *                         -> wyjscie z podmenu
                   #                         -> #
                   FC (Nastepne polaczenie)  -> TRL
                   RD (Redial)               -> RP
                      (Zmiana jezyka)        -> LIN
                      (Zmiana glosnosci)     -> VOL
                      (Wymiana karty)        -> TC

          ------------------
    10.2. | TEST  WYSWIETL |
          |                |
          ------------------
             ------------------
    10.2.1.  |????????????    |
             |????????????    |
             ------------------

             W miejsce pytajnikow wyswietlane sa najpierw znaki zlozone
             z samych czarnych punktow, a pozniej co sekunde kolejne cyfry:
             same "0", same "1" i tak az do "9", pozniej znowu czarne znaki,
             cyfry i tak w kolo. Wyjscie klawiszem "*".

          ------------------
    10.3. |    TEST DRO    |
          |                |
          ------------------
             ------------------   ------------------
    10.3.1   |    DRO:  OK    |   |    DRO:  KO    |
             |                |   |                |
             ------------------   ------------------

             DRO to urzadzenie na centrali sprawdzajace, czy na kazdy impuls
             taryfikacyjny 16 kHz automat odpowiada impulsem 12 kHz. Spraw-
             dzanie takie moze odbywac sie podczas trwania rozmowy, ale row-
             niez podczas wybierania numeru. Zapewne kazdy slyszal (co jest
             latwo zauwazalne, gdy wybieranie numeru jest ustawione na DTMF)
             po pierwszej wybieranej cyfrze sygnal 16 (lub 12) kHz. Wyjscie
             z podmenu klawiszem "*".

          ------------------
    10.4. |   TEST  DTMF   |
          |                |
          ------------------
             ------------------
    10.4.1   |    DTMF: ?     |
             |                |
             ------------------

             Przy naciskaniu cyfr 0..9 generowane sa tony DTMF i w miejscu
             pytajnika wyswietlana jest odpowiednia cyfra. Wyjscie - "*".

          ------------------
    10.5. |TEST MIKROTELEF.|
          |                |
          ------------------
             ------------------   ------------------
    10.5.1.  |  SLUCHAWKA OK  |   |USZKODZ  SLUCHAW|
             |  MIKROFON  OK  |   |USZKODZ MIKROFON|
             ------------------   ------------------

             Pokazane sa tutaj dwa skrajne przypadki. Oczywiscie mozliwe
             tez sa kombinacje posrednie. Wyjscie klawiszem "*".

          ------------------
    10.6. | TEST  CZYTNIKA |
          |                |
          ------------------
             ------------------   ------------------   ------------------
    10.6.1.  | STAN  CZYTNIKA |   | STAN  CZYTNIKA |   | STAN  CZYTNIKA |
             |   CZYTNIK OK   |   |CZYTNIK NIESPRAW|   |CZYTNIK  USZKODZ|
             ------------------   ------------------   ------------------
             ------------------
    10.6.2.  |  ODCZYT KARTY  |
             |                |
             ------------------
                ------------------
    10.6.2.1.   |   WLOZ KARTE   |
                |                |
                ------------------
                ------------------   ------------------   ------------------
    10.6.2.2.   | KARTA  NIECZYT |   | KARTA NIEWAZNA |   |  KARTA ZUZYTA  |
                |                |   |                |   |                |
                ------------------   ------------------   ------------------
                ------------------   ------------------   ------------------
                |KARTA MAGN CZERW|   |KARTA MAGN ZIEL |   |KARTA MAGN NIEB |
                |                |   |                |   |                |
                ------------------   ------------------   ------------------
                ------------------   ------------------   ------------------
                |KARTA KREDY OPER|   |KARTA CHIP RUCH1|   |KARTA CHIP RUCH2|
                |                |   |                |   |                |
                ------------------   ------------------   ------------------
                ------------------   ------------------   ------------------
                |KARTA CHIP KONSE|   |KARTA CHIP NIEB |   |KARTA OTO       |
                |                |   |                |   |                |
                ------------------   ------------------   ------------------
             ------------------
    10.6.3.  |WERSJE  CZYTNIKA|
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.6.4.  |    WYJSCIE     |
             |                |
             ------------------

             Powyzsze menu nie wymaga chyba zadnych komentarzy...

          ------------------
    10.7. |  TEST BOLLINO  |
          |                |
          ------------------
             ------------------   ------------------   ------------------
    10.7.1.  |CZYTNIK:        |   |CZYTNIK:        |   |CZYTNIK:        |
             | BOLLINO OBECNE |   |USZK I2C BOLLINO|   |  BRAK BOLLINO  |
             ------------------   ------------------   ------------------
             ------------------   ------------------   ------------------
    10.7.2.  |KLAWIATURA:     |   |KLAWIATURA:     |   |KLAWIATURA:     |
             | BOLLINO OBECNE |   |USZK I2C BOLLINO|   |  BRAK BOLLINO  |
             ------------------   ------------------   ------------------
             ------------------   ------------------   ------------------
    10.7.3.  |MIKROTELEFON:   |   |MIKROTELEFON:   |   |MIKROTELEFON:   |
             | BOLLINO OBECNE |   |USZK I2C BOLLINO|   |  BRAK BOLLINO  |
             ------------------   ------------------   ------------------
             ------------------   ------------------   ------------------
    10.7.4.  |WYSWIETLACZ:    |   |WYSWIETLACZ:    |   |WYSWIETLACZ:    |
             | BOLLINO OBECNE |   |USZK I2C BOLLINO|   |  BRAK BOLLINO  |
             ------------------   ------------------   ------------------
             ------------------   ------------------   ------------------
    10.7.5.  |PLYTA GLOWNA:   |   |PLYTA GLOWNA:   |   |PLYTA GLOWNA:   |
             | BOLLINO OBECNE |   |USZK I2C BOLLINO|   |  BRAK BOLLINO  |
             ------------------   ------------------   ------------------

             Powyzsze menu pozwala sprawdzic stan pamieci znamionowych
             aparatu. Kazda pamiec znamionowa zawiera 11 bajtow danych
             i jednoznacznie charakteryzuje dana czesc.

          ------------------
    10.8. |  TEST  ZEGARA  |
          |                |
          ------------------
             ------------------   ------------------
    10.8.1.  |dd/mm/rrrr gg:mm|   | USZKODZ  ZEGAR |
             |                |   |                |
             ------------------   ------------------

             Tu tez nie potrzeba komentarzy... :)

          ------------------
    10.9. |  TEST BATERII  |
          |                |
          ------------------
             ------------------
    10.9.1.  |BATERIA: 0.00 V |
             |                |
             ------------------

             Tu pokazane jest napiecie akumulatorka, powinno wynosic
             5.31..7.38V.

          ------------------
    10.10.|   TEST LINII   |
          |                |
          ------------------
             ------------------   ------------------
    10.10.1. |  LINIA:  00mA  |   |  LINIA: >30mA  |
             |                |   |                |
             ------------------   ------------------

             A tu wartosc pradu linii, do programowania pamieci FLASH
             (czyli do programowania plikow przysylanych z STG) powinna
             wynosic > 23.33mA.

          ------------------
    10.11.|TEST SYGN CENTR |
          |                |
          ------------------
             ------------------   ------------------
    10.11.1. |TEST SYGN CENTR |   |TEST SYGN CENTR |
             |  SYGNAL: ON    |   |  SYGNAL: OFF   |
             ------------------   ------------------

             Sprawdza obecnosc dialtone'a.

          ------------------
    10.12.|POM  TEMPERATURY|
          |                |
          ------------------
             ------------------   ------------------
    10.12.1. |  TEMP:  00*C   |   |  TEMP: -00*C   |
             |                |   |                |
             ------------------   ------------------

             Tu wiadomo... :)
             Temperatura otoczenia uzywana jest przez procesor DSP
             (czyli sygnalowy) w module czytnika do korekcji odczytu
             sygnalu z karty magnetycznej.

          ------------------
    10.13.| WERSJE  PLIKOW |
          |                |
          ------------------
             ------------------
    10.13.1. |OTP             |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.2. |OPROGRAMOWANIE  |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.3. |OPROG CZYTNIKA  |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.4. |BIALA LISTA     |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.5. |PELN CZARNA LIST|
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.6. |NR BEZPLATNE    |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.7. |NR ZABLOKOWANE  |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.8. |AUTOTARYFIKACJA |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.9. |KONFIGURACJA    |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.10.|PARAM CENTRALI  |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.11.|KOMUNIK GLOSOWE |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.12.|REKLAMY         |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.13.|KOMUNIKATY WYSW |
             |  WERSJA: 00.00 |
             ------------------
             ------------------
    10.13.14.|PROFILE OPROG   |
             |  WERSJA: 00.00 |
             ------------------

             Wyjscie z podmenu mozliwe w kazdym momencie klawiszem "*".
             Odnosnie czarnej listy - wyswietlany jest numer wersji PELNEJ
             czarnej listy. Wyroznienie to wynika stad, ze podczas projekto-
             wania systemu przewidziano mozliwosc wysylania do automatu sa-
             mego uaktualnienia juz istniejacej czarnej listy. Najwyrazniej
             jednak rozmyslono sie, gdyz w komunikacji automat - STG nie sa
             przesylane numery wersji pliku uaktualnienia czarnej listy,
             a w programie automatu pozostaly tylko szczatkowe fragmenty
             swiadczace o takim pomysle - automat nigdy nie sciaga pliku
             uaktualnienia czarnej listy, nie posiada tez procedur progra-
             mowania takich danych w pamieci FLASH. Poniewaz "jajka" korzys-
             taja z tego samego STG i tego samego schematu komunikacji, wiec
             one tez zapewne nie korzystaja z pliku uaktualnienia i za kazdym
             razem sciagaja pelna czarna liste.

          ------------------
    10.14.|    WYJSCIE     |
          |                |
          ------------------

          Nareszcie koniec :)

S15.KARTY SERWISOWE
    Zaczne od tego, ze srebrny Urmet uznaje za niewazne wszystkie karty ser-
    wisowe z niebieskiego Urmeta, w tym rowniez Check58. Przyjmuje tylko karty
    elektroniczne, ktore dzialaja rowniez na "jajkach". W chwili obecnej po-
    siadamy juz napisany (dodam skromnie, ze przeze przeze mnie :)) generator
    tych kart, wiec wszystkie opisywane tu rodzaje kart zostaly przetestowane
    praktycznie - przez Shadowa na zrobionym przez niego emulatorze (dzieki,
    dzieki). Tak wiec wszystko, co jest tu napisane, powinno zgadzac sie
    z rzeczywistoscia. Od rodzaju karty zalezy, co mozemy zmieniac w menu.
    TPSA posiada na pewno karty typu I i II, prawdopodobnie rowniez VIII i IX.
    Karta typu VIII jest o tyle ciekawa, ze do wyswietlenia menu nie jest po-
    trzebne otwarcie automatu, a przy tym daje ona mozliwsc zmiany praktycznie
    wszystkich ustawien. Karta typu X pozwala obejrzec w Menu Alarmow dodatko-
    we kody alarmow, oznaczone w umieszczonym gdzies wyzej w spisie wykrzykni-
    kiem. Centrum nadzoru otrzymuje numer uzytej karty - ale nie zawsze! Dla
    karty typu VIII w miejsce bajtow z numerem karty wstawiana jest wartosc
    0x99. Widoczny jest wiec fakt uzycia karty, ale niemozliwe jest jej ziden-
    tyfikowanie. Ponizej wymienilem wszystkie mozliwe typy kart serwisowych:

    a) Typ 0             -bez mozliwosci zmiany numerow aparatu i STG
                         -bez mozliwosci zmiany ustawien zegara

    b) Typ I             -z mozliwoscia zmiany numerow aparatu i STG
                         -z mozliwoscia zmiany ustawien zegara

    c) Typ II            -bez mozliwosci zmiany numerow aparatu i STG
                         -z mozliwoscia zmiany ustawien zegara

    d) Typ VIII          -z mozliwoscia zmiany numerow aparatu i STG
                         -z mozliwoscia zmiany ustawien zegara
                         -wyswietla menu "WSPOLPRACA Z STG"
                         -NIE WYMAGA OTWARCIA DRZWI APARATU
                         -NUMER KARTY NIE JEST LOGOWANY DO STG
 *                        (nie wiadomo czy rowniez w "jajku" CTP-I)

    e) Typ IX            -z mozliwoscia zmiany numerow aparatu i STG
                         -z mozliwoscia zmiany ustawien zegara
                         -wyswietla menu "WSPOLPRACA Z STG"

    f) Typ X             -z mozliwoscia zmiany numerow aparatu i STG
                         -z mozliwoscia zmiany ustawien zegara
                         -wyswietla menu "WSPOLPRACA Z STG"
                         -z mozliwoscia ogladania dodatkowych kodow
                          alarmow, normalnie nie wyswietlanych

S16.ZABEZPIECZENIA KART SERWISOWYCH
    Hm, poniewaz rozpisywalem sie juz o emulatorze takich kart, wiec wniosek
    jest prosty: zabezpieczenia sa mozliwe do zlamania w sensownym czasie.
    W praktyce sa to karty z ukladem Siemensa SLE 4406, czyli zwykle karty
    pamieciowe. Problem polega na tym, ze pierwsze dwa bajty takiej karty sa
    pamiecia ROM programowana w trakcie produkcji, a po tych wlasnie bajtach
    rozpoznawany jest rodzaj karty i operator. Watpliwe jest, zeby Siemens ze-
    chcial sprzedac komus karty z naglowkiem takim, jakiego uzywa TPSA. Po-
    niewaz trudno znalezc zamiennik (dostepne w sprzedazy karty z mikrokontro-
    lerami PIC i Atmel sa taktowane z nozki Clock karty - nie maja wewnetrz-
    nego kwarcu, na dodatek niektore z nich, o ile nie wszystkie, maja Reset
    sterowany przeciwnym stanem logicznym niz karty SLE 44x6/SLE 5536), pozos-
    taje sobie zrobic emulator na plytce drukowanej z zewnetrznym mikrokon-
    trolerem (np. Atmel AT89C1051). Jezeli posiadamy zczytana oryginalna karte
    serwisowa, mozemy po odpowiednim zaprogramowaniu rzeczonego mikrokontrole-
    ra ja zaemulowac. Jezeli zas chcemy zrobic sobie karte bez posiadania
    zapisu karty oryginalnej, musimy jeszcze poznac algorytm chroniacy inte-
    gralnosc zapisu takiej karty. Wymaga to dosc duzo zabawy z softem automa-
    tu, ale daje nastepujace korzysci: mozemy sobie wygenerowac dowolny typ
    karty oraz mozemy jej nadac wymyslony przez nas PIN. W celu sprawdzenia
    poprawnosci dane z karty sa kodowane DES-em z kluczem zaleznym czesciowo
    od danych karty, a czesciowo zawartym w kodzie automatu (odwolanie do
    niego wystepuje w dosc niezwykly sposob, wiec trudno go znalezc). Jezeli
    otrzymany rezultat kodowania DES-em pokrywa sie z odpowiednimi bajtami
    na karcie, karta jest akceptowana. I to wszystko :)

 *  Nalezaloby jeszcze dodac, ze karty serwisowe nie moga zostac fizycznie
 *  skasowane w przypadku jajek, gdyz pierwsze 8 bajtow karty (bajty te za-
 *  wieraja istotne dane karty) nie moze byc zapisywane, a kolejne 8 bajtow
 *  (m.in. licznik) nie jest w przypadku jajka istotne. Natomiast w przypadku
 *  srebrnych automatow co najmniej jeden z bajtow 8..15 jest istotny, tak
 *  wiec mozliwe jest, ze karte da sie "unieszkodliwic" np. poprzez zmiane
 *  stanu licznika. Nawet w takim jednak wypadku karta ta dalej bedzie pop-
 *  rawna z punktu widzenia jajka (format danych na karcie elektronicznej
 *  opisany jest nizej w rozdziale "Format danych kart elektronicznych").
 *  Oczywiscie zmiana oprogramowania jajka moze wymusic analogiczne jak
 *  w srebrnym automacie traktowanie bajtow 8..15.

    W obecnej wersji oprogramowania nie ma tez mozliwosci wciagania kart
    serwisowych na czarna liste, ale to moze sie kiedys zmienic.

 *  Podczas komunikacji z centrum nadzoru wysylany jest do niego numer uzy-
 *  tej karty serwisowej (z wyjatkiem karty typu VIII - patrz rozdzial "Karty
 *  serwisowe" wyzej), ale obecnie (tj. przy obecnym oprogramowaniu automatow)
 *  nielegalne uzywanie takich kart nie wiaze sie z ryzykiem ich skasowania
 *  lub zablokowania.

S17.PRZYCISK "TEST"
    Na plycie glownej znajduja sie dwa przyciski: pierwszy z nich to Reset,
    a drugi nazywa sie Test. Jezeli automat jest uszkodzony, to jego nacis-
    niecie powoduje wyswietlenie menu identycznego jak dla karty serwisowej
 *  typu 0. Jezeli automat jest sprawny, uzycie tego przycisku nie wlacza
    zadnego menu.

S18.FORMAT DANYCH KART ELEKTRONICZNYCH
 *  Ponizej przedstawilem standardowy format zapisu na kartach elektronicznych
    SLE 4406/SLE 4436/SLE 5536. Nazwy angielskie to oznaczenia zaczerpniete
    z dokumentacji. Przy odczycie karty licznik danych karty zeruje sie dla
    512 bitu, innymi slowy przy odczycie dane powtarzaja sie cyklicznie co 64
 *  bajty. Przy odczycie bajtow o adresach wiekszych od 29 karta zwraca war-
 *  tosc 0xFF. Czym jest karta OTO Lublin wyjasnilem w rozdziale "Karty zwyk-
 *  le".

    Przykladowa karta OTO Lublin:

    97 74  26  FC 04 CD 35 2B  00 00 00 FC 80  7F  FF FF  FF FF FF FF FF FF
    -----  --  --------------  --------------  --  -----  -----------------
    0. 1.  2.  3. 4. 5. 6. 7.  8. 9. 10.11.12. 13. 14.15. 16.17.18.19.20.21.


    FF FF FF FF FF FF  FF FF
    -----------------  -----
    22.23.24.25.26.27. 28.29.


    0,1    - Manufacturer Code
             Kod nadawany przez producenta charakteryzujacy odbiorce karty
             i jej rodzaj. Programowany trwale przez producenta kart (Siemen-
             sa), jest to pamiec typu ROM. Czasami (np. w niektorych kartach
             OTO Lublin) mozna wyzerowac bit #0x08 bajtu 0, co oznacza, ze
 *           z karty zostaly juz skasowane jakies jednostki (karta nie jest
 *           pelna). Po ewentualnym wyzerowaniu wspomnianego bitu:
 *
 *           W przypadku kart serwisowych:
 *
 *             DaneZKarty[0,1]         - 0x19,0xC4
 *
 *           W przypadku kart OTO Lublin:
 *
 *             DaneZKarty[0,1]         - 0x97,0x74 - Sempac [Se]
 *                                       0x05,0xF4 - Sempac [Se1]
 *                                       0x97,0xCC - Schlumberger [S] -
 *                                                   najnowszy rodzaj
 *
 *             Nazwy i skroty w opisach oznaczaja rodzaj stykow ukladu scalo-
 *             nego karty i zaczerpniete sa z katalogow kart telefonicznych.
 *
 *           Producentem ukladow scalonych do kart jest Siemens, ale wklejania
 *           ukladow w karty i ich programowania dokonuje dostawca kart, stad
 *           nazwy typu Sempac czy Schlumberger oznaczaja nazwe linii produk-
 *           cyjnej uzywanej przez dostawce kart lub samego dostawce. Od linii
 *           produkcyjnej i dostawcy zalezy wyglad stykow ukladu scalonego.
 *           Polski dostawca kart (OTO Lublin) uzywa linii produkcyjnej firmy
 *           Sempac.
 *
 *           Przedstawicielem najnowszego rodzaju kart (Schlumberger) jest ta-
 *           ka fajna polprzezroczysta karta z rybka (nie ma na niej napisu
 *           OTO Lublin, wyglada na to, ze jest w calosci produkowana za gra-
 *           nica), a poniewaz jest ona przepuszczalna dla podczerwieni (co
 *           latwo mozna sprawdzic pilotem TV), a czujnik w automacie dziala
 *           wlasnie na podczerwien, to czesc automatow glupieje i nie przyj-
 *           muje tych kart, podczas gdy nieprzezroczyste karty chipowe sa
 *           przez nie przyjmowane. Nie pomaga nawet (co osobiscie sprawdzi-
 *           lem) naklejenie w odpowiednim miejscu ciemnej folii samoprzylep-
 *           nej, bo ona tez jest przepuszczalna dla podczerwieni...
 *
 *           Wprowadzenie do obiegu kart z nowymi naglowkami pociaga za soba
 *           koniecznosc wymiany oprogramowania czytnikow w automatach.


    2      - Manufacturer Data
             Bajt ustawiany przez dostawce kart, tego, ktory dokonuje progra-
             mowania numeru seryjnego i poczatkowej liczby jednostek (w spec-
             jalnym trybie pracy karty, trybu tego nie da sie wlaczyc ponow-
             nie). U nas takim dostawca jest OTO Lublin.

 *           W przypadku kart serwisowych:
 *
 *             DaneZKarty[2]           - 0xFF
 *
 *           W przypadku kart OTO Lublin:
 *
 *             DaneZKarty[2]           - 0x26


    3..7   - Personalization Data
 *           Numer karty, programowany jest u dostawcy, po zakonczeniu progra-
 *           mowania nie da sie zmieniac.
 *
 *           W przypadku kart serwisowych:
 *
 *             DaneZKarty[3],
 *             DaneZKarty[4],
 *             DaneZKarty[5] and #0xF0,
 *             DaneZKarty[6],
 *             DaneZKarty[7]           - zakodowany numer karty i PIN
 *
 *             DaneZKarty[5] and #0x0F - typ karty serwisowej
 *
 *             Musi byc spelniony warunek: DaneZKarty[3] xor DaneZKarty[4] xor
 *             DaneZKarty[5] xor DaneZKarty[6] xor DaneZKarty[7] <> 0.
 *
 *           W przypadku kart OTO Lublin:
 *
 *             Odwracamy kolejnosc bitow w bajcie DaneZKarty[3] i teraz:
 *
 *             DaneZKarty[3] and #0x3F - numer emisji (dla kart z naglowkiem
 *                                       0x97,0xCC numer emisji kodowany jest
 *                                       w inny sposob, dopoki nie dorwe aktu-
 *                                       alnego softu czytnika, nie dowiem sie
 *                                       jak - w kazdym razie emisji 50 odpo-
 *                                       wiada bajt 0xC9 na karcie)

               DaneZKarty[4]           - numer serii

               DaneZKarty[5] + 256 * DaneZKarty[6]
                                       - numer karty w serii

 *             DaneZKarty[7]           - jesli bit #0x80 jest ustawiony, karta
 *                                       posiada zapisany maksymalnie 12-cyf-
 *                                       rowy numer telefoniczny, patrz opis
 *                                       bajtow 22..27 (w polskich kartach
 *                                       mozliwosc ta nie jest wykorzystywana,
 *                                       gdyz zamiast numeru posiadaja one
 *                                       drugi klucz kryptograficzny). Pozos-
 *                                       tale 7 mlodszych bitow oznacza rodzaj
 *                                       karty (jej maksymalna pojemnosc)
 *                                       i tak:

                                         0x17 - karta 25
                                         0x2B - karta 50
                                         0x53 - karta 100

 *             Program plyty glownej sprawdza tylko bit #0x80, natomiast prog-
 *             ram czytnika dekoduje sobie z calego 7 bajtu (wlacznie z bitem
 *             #0x80, co dla wartosci wiekszych od 0x7F powoduje kolizje...)
 *             maksymalna liczbe jednostek, porownuje ja ze stanem licznika
 *             i w przypadku, gdy licznik jest za duzy, nie akceptuje karty
 *             (automat srebrny) lub przerywa polaczenie przy kasowaniu pierw-
 *             szej jednostki z karty i kasuje karte (jajko). Maksymalna licz-
 *             be jednostek wyznacza sie ze wzoru:
 *
 *             (DaneZKarty[7] shr 2) * 5
 *
 *             Z tego wzoru wynika, ze maksymalna liczba jednostek na karcie
 *             moze wynosic (0xFF shr 2) * 5 = 315. Jednak bajty o wartosciach
 *             z zakresu 0xF4..0xFF maja specjalne znaczenie, wobec czego dla
 *             wartosci:
 *
 *             0x00..0x7F - karta nie ma zapisanego numeru telefonicznego,
 *                          maksymalna liczba jednostek to 0..155
 *
 *             0x80..0xF3 - karta ma zapisany numer telefoniczny,
 *                          maksymalna liczba jednostek to 160..300
 *
 *             0xF4..0xF7 - wartosc specjalna, karta ma zapisany numer tel.,
 *                          maksymalna liczba jednostek to 5000 (jajko)
 *                          lub 1160 (srebrny)
 *
 *             0xF8..0xFB - wartosc specjalna, karta ma zapisany numer tel.,
 *                          maksymalna liczba jednostek to 4000 (jajko)
 *                          lub 160 (srebrny)
 *
 *             0xFC..0xFF - wartosc specjalna, karta ma zapisany numer tel.,
 *                          maksymalna liczba jednostek to 3500 (jajko)
 *                          lub 940 (srebrny)
 *
 *             Jak widac wystepuja istotne roznice w implementacji wartosci
 *             specjalnych w sofcie czytnikow srebrnego automatu i jajka. Na
 *             dodatek wartosci specjalne w srebrnym Urmecie wygladaja cokol-
 *             wiek dziwnie i w dodatku nie sa ulozone malejaco, no ale to
 *             nie ja tak wymyslilem :)
 *
 *             Karty polskie posiadaja drugi klucz kryptograficzny (co wynika
 *             z softu czytnika jajka - karta bez drugiego klucza nie jest ak-
 *             ceptowana), tak wiec nie posiadaja numeru telefonicznego, teo-
 *             retycznie wiec dozwolone wartosci opisywanego bajtu to 0x00..
 *             0x7F (czyli te, w ktorych bit #0x80 jest wyzerowany). Dla war-
 *             tosci 0x80..0xFF automat bedzie probowal wybrac numer telefo-
 *             niczny zapisany na karcie. Poniewaz jednak w miejscu numeru
 *             znajduje sie drugi klucz kryptograficzny, to jego odczyt zwraca
 *             same wartosci 0xFF, co daje numer pusty, czyli o zerowej dlu-
 *             gosci. Karta z numerem pustym jest traktowana tak jak karta bez
 *             zapisanego numeru, a wiec nie jest on automatycznie wybierany
 *             i mozna z karty normalnie korzystac dzwoniac z niej na dowolny
 *             numer (patrz opis bajtow 22..27 i opis kart OTO Lublin w roz-
 *             dziale "Karty zwykle"). Wniosek z tego jest taki, ze dopoki
 *             na karcie jest zapisany drugi klucz kryptograficzny (tak jak
 *             w kartach polskich) albo pusty numer telefoniczny, dopoty bajt
 *             7 karty moze przyjmowac dowolne wartosci, a wtedy maksymalna
 *             liczba jednostek wynosi 1160 (srebrny) lub 5000 (jajko).


    8..12  - Counter Area
 *           Licznik jednostek, mozna zerowac dowolne bity oraz zerowac bit
             z przeniesieniem (ustawieniem wszystkich bitow nastepnego bajtu
             na jedynki - tylko w obrebie licznika). Innymi slowy mozliwe jest
             tylko zmniejszanie licznika. Najmlodszy bit najstarszego bajtu
             licznika (bajtu 8) jest znacznikiem wskazujacym czy karta jest
             przed czy po fazie programowania (przez dotawce kart). Po zapro-
 *           gramowaniu karty bit ten jest zerowany, tak wiec w funkcji licz-
 *           nika pozostaje tylko siedem mlodszych bitow najstarszego bajtu
 *           licznika, wobec czego maksymalna wartosc licznika teoretycznie
 *           wynosi 33352 jednostki. Jednak producenci zastrzegaja sobie tro-
 *           che jednostek dla celow testowych, tak wiec maksymalna wartosc
 *           licznika, jaka jest mozliwa do wykorzystania, to 21064 (roznica
 *           miedzy 33352 i 21064 odpowiada skasowaniu 3 bitow w najstarszym
 *           bajcie licznika, wiec w sumie do praktycznego wykorzystania po-
 *           zostaje polowa najstarszego bajtu, bo jeszcze jeden bit jest
 *           znacznikiem fazy programowania, jak juz napisalem troche wyzej).
 *           Gdyby udalo sie pomyslnie zaemulowac karte, to po wykorzystaniu
 *           wszystkich bitow najstarszego bajtu licznika maksymalna pojemnosc
 *           karty wynioslaby 37448 jednostki. Nalezy jednak zauwazyc, ze
 *           w polskich kartach w bajcie 7 karty zakodowana jest maksymalna
 *           liczba jednostek, tak wiec licznik polskich kart nie moze przek-
 *           roczyc pewnych wartosci (patrz opis bajtu 7 karty).
 *
 *           W przypadku kart serwisowych:
 *
 *             DaneZKarty[8,9,10,11,12]   - 0x7E,0x7E,0xE7,0xFF,0xC3 (w jaj-
 *                                          kach nieistotne, w srebrnych naj-
 *                                          prawdopodobniej tak - co najmniej
 *                                          jeden z bajtow z zakresu 8..15
 *                                          jest istotny), odpowiada to war-
 *                                          tosci licznika rownej 28100, jest
 *                                          to wartosc wieksza od maksymalnej
 *                                          wartosci deklarowanej do uzytku
 *                                          przez producentow, czyli 21064
 *
 *           W przypadku kart OTO Lublin:
 *
 *             DaneZKarty[8,9,10,11,12]   - licznik


    13     - Counter Backup / Authentication Key 2 Init Flag
             Bajt pomocniczy, nie da sie zmieniac. Zawiera 4 bity tzw. backupu
             licznika (anti-tearing flags) zabezpieczajace przed utrata jed-
             nostek w przypadku naglego wyjecia karty podczas kasowania. Za-
 *           wiera tez flage #0x40 umozliwiajaca rozpoznanie czy karta zawiera
 *           drugi klucz kryptograficzny.
 *
 *           W przypadku kart serwisowych:
 *
 *             DaneZKarty[13]             - 0xFF (w jajkach nieistotne,
 *                                          w srebrnych najprawdopodobniej
 *                                          tak - co najmniej jeden z bajtow
 *                                          z zakresu 8..15 jest istotny)
 *
 *           W przypadku kart OTO Lublin:
 *
 *             DaneZKarty[13]             - 0x7F


    14,15  - Data Area 1
             Miejsce na dane uzytkownika. W polsce sa to 2 bajty sluzace do
             porzadkowania bitow w liczniku, jesli bity licznika w wyniku
             bledow byly kasowane nie po kolei (normalnie w obrebie bajtu
             licznika bity kasowane sa od LSB do MSB). Kazde porzadkowanie
             powoduje zuzycie jednego bajtu, mozliwe jest wiec dwukrotne po-
             rzadkowanie licznika, przy trzecim wystapieniu nieuporzadkowania
             karta przestaje byc akceptowana (Urmet srebrny) lub zostaje cala
             skasowana przy probie skasowania jednostki (jajko). Bajty te
             moga byc zablokowane i wtedy nie daja sie modyfikowac, w przeciw-
             nym razie mozna kasowac wszystkie bity obydwu bajtow (oczywiscie
             zuzywajac tym samym odpowiedni bajt/bajty).

 *           W przypadku kart serwisowych:
 *
 *             DaneZKarty[14,15]          - 0xFF,0xFF (w jajkach nieistotne,
 *                                          w srebrnych najprawdopodobniej
 *                                          tak - co najmniej jeden z bajtow
 *                                          z zakresu 8..15 jest istotny)
 *
 *           W przypadku kart OTO Lublin:
 *
 *             DaneZKarty[14,15]          - 0xFF,0xFF (gdy licznik nie byl
 *                                          nigdy porzadkowany, po porzadko-
 *                                          waniu licznika wystepuja tu inne
 *                                          wartosci)


    16..21 - Authentication Key 1
             Pierwszy klucz kryptograficzny uzywany przez karte do obliczania
             odpowiedzi na zadawane pytania. Nie da sie go odczytac ani zmie-
             niac, karta zawsze zwraca bajty 0xFF.


    22..27 - Authentication Key 2 / Data Area 2
             Drugi klucz kryptograficzny (jesli karta jest przeznaczona do
             uzywania w automatach dwoch operatorow) lub dane uzytkownika.
             Jesli jest tu zapisany klucz kryptograficzny, nie da sie go od-
             czytac (karta zwraca 0xFF). Karta OTO Lublin moze miec tu zapi-
             sany 12-cyfrowy numer telefoniczny (w kodzie BCD), ktory zostaje
             wybrany automatycznie po wlozeniu karty do automatu, o czym juz
 *           napisalem przy opisie kart OTO Lublin w rozdziale "Karty zwykle".
 *           jednak mozliwosc ta nie jest wykorzystywana, gdyz polskie karty
 *           posiadaja drugi klucz kryptograficzny. Standardowo wszedzie 0xFF,
             nie da sie zmieniac.


    28,29  - Data Area 3
             Miejsce na dane uzytkownika. Zwykle nieuzywane, zawiera bajty
             0xFF i nie da sie zmieniac.

 *  Na stronie Hrabiego (http://phreak.hack.pl) mozna znalezc program Konwer-
    ter.exe sluzacy do przetwarzania danych z polskich kart elektronicznych
    (z jednostkami). Mozna tam tez znalezc Chip.exe - prosty program do odczy-
    tu i kasowania (nie napelniania!!! nawet o to prosze nie pytac!!!) jednos-
    tek z kart telefonicznych, nie wymaga on zadnej dodatkowej elektroniki,
    ale trzeba sie niekiedy pomeczyc z odpowiednimi ustawieniami portu LPT
 *  w BIOS-ie, wszystko jest napisane w pomocy (zeby uniknac pytan: wywolanie
 *  pomocy "Chip.exe /?" - co jest zreszta napisane).

S19.PRYWATNE STG :)
    Obecnie mam napisane dwa programiki pod Windows: jeden nazywa sie "Symu-
    lacja automatu" i zawiera przepisane na Intela procedury odpowiadajace za
    logike komunikacji (formaty danych itp.), natomiast drugi nazywa sie
    "Symulacja STG" :)) Oba programiki bardzo ladnie sie ze soba komunikuja,
    cala logika STG jest juz gotowa. Obsluga modemu dzieki wielkiej pomocy
    kolegi (dla ktorego wielkie tutaj podziekowania) rowniez jest juz gotowa.
    Pozostaje jeszcze zrobienie ladnego interfejsu. Wiecej nic na razie nie
    powiem :)

S20.INNE (NIZ 2.60) WERSJE OPROGRAMOWANIA
    Chwile juz temu pojawila sie nowa wersja oprogramowania plyty glownej -
    2.70. Jedyna chyba nowosc w tej wersji to mozliwosc blokowania kart
    magnetycznych poprzez ich dzielnik - dzieki temu w srebrnych automatach
    wylaczono mozliwosc korzystania z kart z podzielnikiem odpowiadajacym
    maksymalnej pojemnosci karty wiekszej niz 25 jednostek. Krok ten niewat-
    pliwie zostal podyktowany masowym zalewem nielegalnie produkowanych kart.
    Wciaz mozliwe jest jednak zawyzanie liczby jednostek i nagrywanie na kar-
    tach 25 kilku jednostek wiecej poprzez wydluzenie zapisu w trzeciej czesci
    karty, jak to wymyslil Shadow.

    Posiadam tez dosc pokazny zbior plikow z oprogramowaniem w wersjach star-
    szych niz 2.60, ale raczej nie bede juz do nich zagladal...




============ WSPOLNE =========================================================

W1. GDY TPSA MA PODEJRZENIA
    Jesli cos dziwnego dzieje sie z automatem, tzn. statystyki przestaja sie
    zgadzac, TPSA odlacza automat od linii (co objawia sie brakiem jakiejkol-
    wiek reakcji po podniesieniu sluchawki). Wtedy, jesli rozmowy z linii da-
    lej sa wykonywane, oznacza to, ze ktos wpial sie w linie automatu. Jesli
    nie, to prawdopodobnie znaleziono jakis nowy blad w sofcie :) Takie
    odlaczenie automatu trwa czasem dwa tygodnie, a czasem i miesiac...

W2. LINKI
    Ponizej umiescilem kilka linkow, ktore moga okazac sie przydatne:

    http://phreak.hack.pl - warto zobaczyc :)))
 *  http://www.underground.org.pl - polecam PhreakBoard, czasem mozna nawet
 *                                       dowiedziec sie tam czegos ciekawego,
 *                                       a poza tym kto kogo nie lubi itp. ;))
    http://www.telefonica.com.pl
    http://www.urmet.it
    http://www.geocities.com/ResearchTriangle/Lab/1578/smart.htm -
                                strona o bezpieczenstwie kart elektronicznych
    http://gsho.thur.de - German Smartcard Hackers Organisation -
                                                                po niemiecku!

W3. ZAKONCZENIE
    Na zakonczenie chcialbym powiedziec, ze, niestety, nie rozdaje kodow
    zrodlowych, chyba ze ktos mialby cos naprawde ciekawego do wymiany,
    choc w zasadzie nie wiem, co jeszcze mogloby mi byc potrzebne... ;)
    Wszysko, co mam do rozdawania, mozna znalezc na stronie phreak.hack.pl,
    a jesli czegos tam nie ma, to znaczy ze tego nie mam albo nie chce dac.

    I uwaga: NICZEGO NIE SPRZEDAJE!!! Powtarzam: NICZEGO NIE SPRZEDAJE!!!

    Chcialbym tez dodac, ze podczas swoich doswiadczen nigdy nie zrobilem
    krzywdy zadnemu automatowi, za to udalo mi sie wiele automatow przywro-
    cic do stanu uzywalnosci...

    Prosze tez o troche cierpliwosci w oczekiwaniu odpowiedzi na listy,
    a zwlaszcza w wakacje...

    Teraz nadszedl czas na to co zwykle:

    Podziekowania i pozdrowienia:
     - Aga - tu sie nic nie zmienilo: dzieki za wszystko 
     - Aldi, Madzia - :)
     - Przemek - dzieki za baaaardzo mila wspolprace, genialne pomysly,
       wspolne wyprawy i w ogole za wszystko :)))
     - Diodak - :)
     - Zabka - :)
     - Shroom Inc. - podziekowania za napisanie Shroom FAQ
     - Nol, Shadow, Robercik - dzieki za pomoc przy rozpracowywaniu softu
     - Xzbir - czlowiek, ktoremu sie chce cos robic i nie czeka na gotowe :)
     - Diceman - jeden z nielicznych, ktory wie, co tu sie dzieje ;)

    Pozdrowienia dla wszystkich z Urmet Developers :)

    I to juz tyle. Na razie... :)

             ===================>    Koniec    <===================


============ Obetnij ===========================================
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: PGPfreeware 5.0i for non-commercial use
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=wWaL
-----END PGP PUBLIC KEY BLOCK-----
============ Obetnij ===========================================