V lednu roku 1994 se mi poprvé dostal do ruky mobilní telefon Nokia 620, v dnešní době prehistorický kousek. Jeho původ byl nejasný, ale nekupte to, když je tak levný a ještě k tomu tak zajímavý. Jeden kamarád mě nabádal, abych vymyslel, jak z něj volat zadarmo.
Tenkrát sem si bláhově myslel, jak je NMT síť ukrutně zabezpečená proti útoku zvenčí, tak jsem telefon rozebral. Zjistil sem ,že v Nokii je jakási konfigurační EEPROM, jejíž obsah je chráněn checksumem, což mi potvrdilo moji bláhovou domněnku o zabezpečení a Nokia asi na čtrnáct dní zůstala ležet v koutě. Jenže jak tak polehávala v koutě, byla samozřejmě na očích a ve mne se pomaloučku probouzel hackerský duch.
Vypůjčil sem si tedy ještě dva kousky od známých a stáhnul sem si obsahy jejich konfiguračních EEPROM, přičemž sem zjistil, že pokud EEPROM zkopíruji do svojí Nokia, vyrobím funkční klon. Toto zjištění mne nenechalo spát a jal jsem se zjistit jak je v EEPROM zaznamenáno číslo účastníka. Všechny tři obsahy jsem vytiskl a s transparentním zvýrazňovačem na faxy sem začal porovnávat obsahy EEPROM. Kódování čísla účastníka jsem odhalil asi za jednu hodinu, bylo velmi primitivní a Nokia ho zachovala až do první verze Nokia 250 - teprve pak bylo změněno.
Pro příklad číslo 0601102389 bylo zaznamenáno ve tvaru 0x 71 0xa2 0x38 0x90 0x09 0x99 - na vysvětlení 0601 se telefonu vlastně vůbec netýká, 7 je identifikace provozovatele, pak číslo v normálním tvaru, akorát nula je nahrazena áčkem, následují dvě nuly, tři devítky jsou tzv. password v době mých prvních pokusů nepoužíván a jeho použití umožňovala až Noka 620i a vyšší. Tato ochrana musela být podporována sítí což se u Eurotelu stalo až po dlouhé době.
Password je vlastně třímístný neveřejný doplněk čísla účastníka, který v době kdy ho Eurotel začal používat, představoval téměř vždy poslední tři číslice z výrobního čísla přístroje. Problémy ale nastaly při změně jakýchkoliv dat v EEPROM, protože jak už jsem uvedl, její obsah byl chráněn mně neznámým checksumem - kontrolním součtem.
Usoudil sem tedy, že checksum bude nejspíš na konci paměti a první co mě napadlo bylo sečíst osmibitově všechny bajty v EEPROM jenže jsem ve svém skvělém programu udělal chybu a nebylo mi dopřáno ještě další dva dny vědět,že je moje myšlenka byla správná. Za ty dva dny jsem mimochodem vyzkoušel snad všechny známé i neznámé výpočty checksumu.
A pak za ty dva dny pozdě v noci sem ze zoufalosti zkusil zase tu první variantu, ale bez chyby a fungovalo to. Pro jistotu jsem odzkoušel číslo 0601 601 601 a vyrobil jsem první klon který fungoval. To bylo radosti. První asi tři dny od tohoto epochálního objevu jsme si s kamarádem dělali srandu z Eurotelu a to tak, že jsme zvedali hovory přicházející na číslo 0601 601601 (klientská linka EuroTelu) a dělali si ze zákazníků legraci (jak odporné a nemorální).
Další týdny jsem věnoval zdokonalení tohoto objevu a to tak, že jsem do Nokie 620 vpasoval PIC16C54, EEPROM jsem vyměnil za dvakrát tak velkou (první půlku jsem ponechal konfiguračním datům a zbytek použil na seznam čísel). Program fungoval tak, že při každém zapnutí vybral jedno z číslo z EEPROM a uložil ho do konfigurace tak, že telefon s každým zapnutím cestoval po jednom z čtyřiceti dvou čísel.
Jistá nevýhoda byla v tom, že čísla byla pomalu odpojována a tak někdy když si člověk chtěl zavolat, musel několikrát vypnout a zapnout telefon, než se dostal na číslo, které ještě fungovalo. Další nevýhodou byla skutečnost, že ke změně seznamu čísel byl potřeba počítač.
Čísla jsme získávali takzvaným losováním, což bylo v době, kdy nebyl zaveden password, hrozně jednoduché. Prostě se volalo na čísla a když existovalo tak se zařadilo do naší tučné databáze. Pro výrobu funkčního klonu bylo v té době potřeba znát jen číslo účastníka, protože neexistovala žádná ochrana.
Dokonce ani to, jak Eurotel tvrdil, že nelze volat ze dvou stanic s totožným účastnickým číslem najednou, nebyla dlouhou dobu pravda. Později EuroTel tuto ochranu zavedl, ale ta fungovala tak, že když se někdo pokusil provést telefonát s číslem, které zrovna volalo, tak byl první volající přerušen a nic víc. Pokud vás tedy neustále někdo přerušoval, nebylo nic jednoduššího, něž vypnout a znovu zapnout telefon.
Další vylepšení software následovalo s typem Nokia 620i, kam jsem implementoval seznam 200 čísel a možnost zápisu do seznamu čísel přes paměť telefonu. Ovládání seznamu čísel fungovalo tak, že se do paměti číslo 99 zadal zápis, který obsahoval různé řídící znaky a telefon se vypnul a zapnul. Jednočip v telefonu se při zapnutí podíval do paměti 99 a když tam našel svoje řídící znaky tak provedl požadovanou akci.
Byly to skvělý časy, vydělávali se na tom ohromný peníze a každý chtěl volat zadarmo. Lidi, kteří měli takhle upravený telefon, měli přirostlé sluchátko k uchu. Eurotel se tvářil jako mrtvý brouk, což asi vyhovovalo všem, kromě nešťastníků, kteří byli vylosováni v naší edici sportky.
Jenže pak se našel mudrc, který se do toho začal rejpat. Nejdřív se tím zabýval Mladý Svět, naštěstí bez valné odezvy ze strany Eurotelu, ale pak přišla TV NOVA, kde jsem na VLASNÍ OČI viděl svůj výtvor, jak ho rozdělali a povídali něco o super vybavený mafiánský vývojový dílně a jak na Eurotelu zírali a chtěli se podívat do toho kouzelného telefonu . Docela mě to tenkrát pobavilo.
V reportáži se Eurotel tvářil opět jak mrtvý brouk, ale začal podnikat první kroky pro ochranu svých zákazníků. A tak zavedl password (neveřejný třímístný doplněk účastnického čísla). Nastaly krušné chvíle. Nově zapojovaná čísla už se nedaly jen tak losovat a naše databáze se pomalu ztenčovala.
Dostal jsem však nápad, že čísla stejně běží vzduchem. Zjistil jsem, že NMT síť používá modulaci FSK a přenosovou rychlost 1200 Bd. Pořídil jsem si FSK modem, přijímač, dobrou anténu a poslouchal jsem etér.
Když jsem nashromáždil dostatek dat, nebyl jsem z nich nikterak unesen. Nenacházel jsem žádné souvislosti, ale naštěstí jeden můj dobrý kamarád projevil zájem o rozluštění použitého samoopravného kódu a za necelých čtrnáct dní mi donesl kompletni xorovací tabulky. Naplnění snu o losátoru bylo nadosah. Upravil jsem software v telefonech tak, aby byl seznam schopen akceptovat passwordy, napsal jsem soft pro automatický losátor, losátor jsem umístil na místo příhodné pro příjem signálu směrem z mobilu k buňce a losátor losoval a losoval a čísel bylo zase dost.
A nakone přišel za nějakou dobu Eurotel s rozhodujícím opatřením ve formě SIS což je něco jako IMEI u GSM s tím rozdílem, že je u většiny telefonů NMT naprogramován při výrobě do ROM a nelze ho tudíž změnit a tím pádem ani jednoduše klonovat.
SIS podporují pouze některé telefony používané v NMT síti EuroTelu a tak na telefonech které nepodporovaly passwordy nebo SIS byl zaveden PIN, sice nepříjemnost, ale při velké dávce trpělivosti se dá vylosovat i ten. Zavedením SIS se výběr čísel hodně zúžil, nicméně někteří zoufalci losují dodnes. Mám však názor, že i SIS lze monitorovat z komunikace telefonů s buňkou i když je dynamicky kódované. Je to jen otázka času a dostatečné motivace. Největší problém je asi v tom, že pro zlomení a změnu SIS v telefonu bych musel disasemblovat vlastní program a doplnit ho o svůj kód což vzhledem k tomu, že je v Nokii použit procesor Hitachi s OTP ROM, trošku problém.
A tím skončily zlaté časy hackování NMT telefonů.
