home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Phreaking⁄Wardialers / Phreaking texts / Cell9411.txt

< prev

next >

Wrap

Text File  |  1999-01-28  |  22KB  |  769 lines

---

1.  
2.  
3.           ====================================================
4.  
5.                        Stargate's Cell Hackers Journal
6.  
7.                               Vol 94.11  NOV,1994
8.  
9.           ====================================================
10.  
11.  
12.  
13. "Oh course, our system guarantees a fast, clear secure connection"
14.  
15.                                         -Cell 1 sales dweeb
16.  
17.  
18.  
19. Well due to some small demand, heres the first issue of mag
20.  
21. dedicated to exploring the ins and outs of Cell Phones, I'll try to
22.  
23. be as simple as I can and wont dwell with some of the irrelevancies
24.  
25. of the operations of the cells, just basically genuine hacking
26.  
27. information, some which I will gather from tech manuals and actual
28.  
29. testing, now granted I'm just a hobbyist, and it is not my intent
30.  
31. for this information to be used in any illegal manner, especially 
32.  
33. for any persons attempting to defraud any cellular company, and
34.  
35. any other of the illegal shit that goes along with that. I am
36.  
37. looking for any authors, (cuz I sure as shit don't know
38.  
39. everything!) to contribute to this spread of forbidden knowledge. 
40.  
41. I intend to send out this mag at least quarterly or as any information 
42.  
43. of great importance is presented , so the size of these texts may vary
44.  
45. greatly. What I really like to include is some back door test modes
46.  
47. for *any phonez, especially the ESN modification type. 
48.  
49.      I would like to say thanx to everyone who encouraged me and 
50.  
51. got me started in this great form of technology. And I will strive
52.  
53. to keep the information as correct as possible, but 'member I cant
54.  
55. test everything, if it sounds logical and can be done, then I'll
56.  
57. present it here for your approval, if ya have any text ya want to
58.  
59. send , or any comments, please email me at TECHMAN@ANON.PENET.FI
60.  
61. (until I get a real internet account!). Enjoy *
62.  
63.  
64.  
65. -----------------------------------------------------------------
66.  
67.  
68.  
69. I. The Software Question  (for popular Motorola fones)
70.  
71.  
72.  
73.      The most popular fone among the hackers is obviously the
74.  
75. motorola mircrotac of "flip fone" (which is characteristic of its 
76.  
77. microphone flipping mechanism). Early in the cell game a ware was
78.  
79. released by Cellular Press (a.k.a Spy Supply) which could mod all
80.  
81. of the motorolas using a simple made cable and a PC. Well as time
82.  
83. went on and motorola wanted to add more features and better
84.  
85. handling of the hardware, they started to change they're firmware
86.  
87. of the fones to accommodate the changes, along with the changes was
88.  
89. an inability of the software to modify the ESN data of these fones,
90.  
91. thus other ways had to be implemented , one such method was a
92.  
93. firmware replacement, this was a easy chore for the Bags and totes,
94.  
95. but a pain in the ass for the flips, the bags and totes used the
96.  
97. regular DIP package 27c512 Prom, while the equivalent on the flips
98.  
99. was in a plcc surface mount package, which could only be removed
100.  
101. with real skill, and some expensive soldering equipment, not to
102.  
103. mention reprogramming a Eprom / prom of the same type , and then
104.  
105. replacing it, now anyone (like me) who has popped open one of those
106.  
107. flip fones know how crappy that method is, you risk destroying your
108.  
109. fone, and losing some of the features. Well HTH came out with
110.  
111. a "trick clip" which consisted of a plcc test socket, and a
112.  
113. reprogrammed chip. This procedure still required you to disable the
114.  
115. firmware on yer fone , by cutting a trace (*ouch) sticking the
116.  
117. trick clip in the chip, jumpering a pin on the socket to a place on
118.  
119. the board, and then attaching your cable and using the old ware.
120.  
121. Still this was a tedious, expensive (hth wanted $295 for the clip)
122.  
123. and dangerous procedure. And sometimes with certain fone revs this 
124.  
125. didn't work. As time went on and the demand grew to do these phones
126.  
127. software solutions began to emerge, one was called TRANS-2, and/or
128.  
129. MPC which was a package available from C.G.C (California Grapevine
130.  
131. Communications), this package was also available from a company
132.  
133. called Cellsoft, both houses sold the ware for a ridiculous $700
134.  
135. and protected it copyright infringement by making it dependant on
136.  
137. a dongle to operate. Well after talking to C.G.C about the software
138.  
139. and basically getting the brushoff from Cellsoft (they may be
140.  
141. another Spy supply house), the MPC / Trans-2 ware was describe as
142.  
143. "horrible and buggy" by greg at C.G.C (the guy with the british
144.  
145. accent). Well the package was purchased and now is being
146.  
147. distributed in its uncraked state to various crak groups for repair
148.  
149. ;), but this has either proved a challenge for the guys, or they
150.  
151. have been reduced to money grubbers by re-selling the packages, in
152.  
153. my opinion these are the lowest of lamers, theres nothing worse
154.  
155. than a thief of thieves.  
156.  
157.      As a point of ID, if you can get your hands on the old style
158.  
159. flip fone (which were usually tan in color and had a membrane
160.  
161. keyboard), these are ready modible , having a firmware rev up to
162.  
163. 9012.
164.  
165.      Now theres one last ware out there that's supposed to the be
166.  
167. the most reliable of ones to mod the new fones (up to 9340) is
168.  
169. called AMPS/G2. This is now being sold by C.G.C for $700 and is now
170.  
171. floating around the internet waiting to be cracked. (sorry greg,
172.  
173. but your price is ridiculous). I recently Emailed DrDamien for some
174.  
175. new info on moding the new stuff, and found out from him that some
176.  
177. places are selling firmware/cable kits for $50 which is not a big
178.  
179. bite at all, now he didn't go into detail on what they were,
180.  
181. whether they were the old firmware switch (mentioned above, which
182.  
183. in some instances caused yer fone to power up saying "loaner" and
184.  
185. disabling all your cool functions, like storage and other shit) or
186.  
187. the firms that take advantage of the "Identity Transfer" function
188.  
189. of theses fones, which simply put xfers your fones NAM/ESN data to
190.  
191. another fone by executing a #66 and #69 (see the MOTCODEZ.TXT file)
192.  
193. on each fone, one is called a LOADER fone (contains the new info)
194.  
195. and the TARGET fone (the fone to get the goodies), now this is
196.  
197. proven to work with ALL motorola fones even the new 94F firmware
198.  
199. series.
200.  
201. C.G.C offers a package consisting of a LOADER fone with special
202.  
203. firmware, plus a cable with a switch for $995. From what I've heard
204.  
205. this is a nice setup, but way too expensive, remember the true
206.  
207. idea of cloning tries to *SAVE the user money by having two lines
208.  
209. on one bill, and $1000 bux is just not cost effective now, maybe
210.  
211. over a few years perhaps. But you know how the underground works,
212.  
213. as soon as someone gets one, they'll copy the firmware , dissect
214.  
215. the cable and u/l the info to yer local site. (I'm waiting to see
216.  
217. it!)
218.  
219.  
220.  
221.      None the less there are some (expensive) options for those who
222.  
223. wish to master the new motorola fones, its just a matter of what
224.  
225. purpose and how often will you use it, now for those who wish to
226.  
227. open your own cell-fone cloning house , good luck, laws are
228.  
229. developing as you read this to outlaw that, (you didn't honestly
230.  
231. think that they would continue to allow that), and if you can
232.  
233. justify spending the $1000 for the loader fone (the most reliable
234.  
235. way to date), then more power to ya, as for us regular hackers, who
236.  
237. want to learn more about these , then that's outrageous. You'll be
238.  
239. better off getting one legit. (*shudder) (tm).
240.  
241.  
242.  
243.      * And Also note, the roaming scam is almost non existent, this
244.  
245. method consisted of changing the ESN/MIN to a bogus out-of-state
246.  
247. number, then making a call, since the subscriber info could not be
248.  
249. validate real-time, the first call would go through, but subsequent
250.  
251. calls would be blocked until this information was changed again,
252.  
253. thus someone developed a "tumbler fone" which changed this info to
254.  
255. some random quotient, before each call was place, this drove the
256.  
257. Cellcos and Fedz nutz, so they just simply forward your call to a
258.  
259. special cell provider who lets you make your call using a Credit
260.  
261. card or do it collect, usually at a ridiculous rate i.e. $2.00 per
262.  
263. minute. (some allow calling cards)
264.  
265. -----------------------------------------------------------------
266.  
267. II. What does the Cellwarez do?
268.  
269.  
270.  
271. Cell Software Review (just the old stuff that's out, cuz there is
272.  
273. some confusion on what can do what.)
274.  
275.  
276.  
277.      Cellsoft.zip ... This is original stuff that was sold as
278.  
279.                       package from Cellular press, A.K.A Spy 
280.  
281.                       Supply, it was priced at $500 and now can
282.  
283.                       be yanked from any good H/P board, it
284.  
285.                       contains the warez to do the Motorolas
286.  
287.                       Panasonics and NEC p300/301/200/201/400.
288.  
289.  
290.  
291.      Newphones.arj .. This package is the Shareware (?!?!) release
292.  
293.                       of Cellular press's moding ware. It contains
294.  
295.                       all the files aforementioned plus wiring
296.  
297.                       diagrams, and some warez to do NEC9A/11A
298.  
299.                       NOKIAs , TANDY, R-SHACKS, and MITSUS MT3/MT4
300.  
301.                       interesting note about this one is that it
302.  
303.                       asks you to upload to various bbs's and then
304.  
305.                       call them (Robert Carp) and Narc em out to
306.  
307.                       receive registration (?!?) and more info on
308.  
309.                       their services, maybe they feel guilty for 
310.  
311.                       screwing all those folks around. * Also
312.  
313.                       contains ROMS from the old firms of MOT
314.  
315.                       phones for the ESN replacement technique.
316.  
317.  
318.  
319.  
320.  
321.      UNICHIP.ZIP  ..  This is another package containing moding 
322.  
323.                       wares for the MOTS/NEC/PANS, but this one
324.  
325.                       also contains new software for doing the
326.  
327.                       p400/401/600/601 firms before and after
328.  
329.                       V.34, offered by unisoft. Also has Wiring
330.  
331.                       Digrams for building the cables
332.  
333.  
334.  
335.      UNICELL.EXE  ..  Another package similar to the unichip.zip
336.  
337.                       except this one contains a better Checksum
338.  
339.                       calculator for programming the 9346-16911
340.  
341.                       eprom, and does a larger variety of fones
342.  
343.                       (Sony/Phillips/Nokia/Cleartone/Novatel/mobira)
344.  
345.  
346.  
347.      A-Z.zip      ..  C.G.Cs intensive programming guide for 110 +
348.  
349.                       cellfones, also has some (little) information
350.  
351.                       on back door test modes and other goodies,
352.  
353.                       such as a definition file and a FAQ on
354.  
355.                       ESN emulation.
356.  
357.  
358.  
359.      Cellmon.zip  ..  Now this one is interesting, it seems to want
360.  
361.                       to interface with a MOT Mircotac, and
362.  
363.                       supposedly, scans the channels to monitor the
364.  
365.                       the frequency, this also may be a simple form
366.  
367.                       of a DDi, (digital Data interface) which is
368.  
369.                       used to read the RCC (reverse control
370.  
371.                       channel). *The RCC is a channel the fone uses
372.  
373.                       to communicate with the tower, ESN/MIN/SCM
374.  
375.                       data is xfered through this chan.
376.  
377.  
378.  
379.  
380.  
381. Honorable Mention : P3tst001.txt, a text on the test commands for
382.  
383.                     the NEC p300/301/600/601/400/401 phones, 
384.  
385.                     includes instructions for ESN modification :
386.  
387.                     NOVATEL1.TXT, this file has information for 
388.  
389.                     moding the novatel 83XX series fone, including
390.  
391.                     changing the ESN info, (*warning, can only be
392.  
393.                     done 3 times), OKITEST.TXT , this is a listing
394.  
395.                     of test commands for the OKI series fones,
396.  
397.                     which is considered to be a "HACKER PHONE!"
398.  
399.                     MOTCODEZ.TXT, is a file which has the current
400.  
401.                     test mode commands on motorola phones.
402.  
403.  
404.  
405. -------------------------------------------------------------
406.  
407. III. Current Mod-ible fones
408.  
409.  
410.  
411.  
412.  
413.      This is a short list of the phones that can currently be 
414.  
415. altered. (ESN wise that is) If I come short on this, please
416.  
417. by all means let me know what fones can be altered and how, but
418.  
419. this list is comprised mostly of the ones I moded personally.
420.  
421. The purpose of this list is for you who are out trying to buy 
422.  
423. a cellfone, and wanna know which ones can be used. Theres a
424.  
425. shitload of fones out there that *cant be modified currently,
426.  
427. the big ones are the Audiovoxs (new), judging by the programming
428.  
429. and ic's in the phone, Audiovox's engineers were overly security
430.  
431. conscious, but as you well know this may and will change as new
432.  
433. ways of exploiting technology becomes evident. 
434.  
435.  
436.  
437.  
438.  
439.                Currently Modiable                   HOW
440.  
441.                ==================                   === 
442.  
443.                Motorola BAG*                        Cable, Software
444.  
445.                Motorola FLIP*                       Cable, Software
446.  
447.                Motorola Brick*                      Cable, Software
448.  
449.                Panasonic D,E,F,G,H                  Cable, Software
450.  
451.                NEC p300/301/600/601/400/401         Cable, Software
452.  
453.                Nokia (all)                          Chip Removal
454.  
455.                NEC 11/9a                            Cable, Software
456.  
457.                Novatel (83XX)                       Keyboard/ROM
458.  
459.                Mitsubishi MT3/MT4                   Chip Removal 
460.  
461.                Sony CM-H333                         Chip Removal
462.  
463.                Phillips PR-92                       Chip Removal
464.  
465.                Nokia 100/190                        Chip Removal
466.  
467.                BT / Ivory                           Chip Removal
468.  
469.                Novatel 4400                         Chip Removal
470.  
471.                Cityman 100                          Chip Removal
472.  
473.                Ameritech (motorola)                 Cable, software
474.  
475.  
476.  
477. NOTES: * indicates that new software or a new method is needed to
478.  
479. mod fones with firmware revs higher that 9122. Chip removal refers
480.  
481. to removing the 9346-16911 serial eprom, and programming with the 
482.  
483. Unichip and Unicell software
484.  
485.  
486.  
487. ---------------------------------------------------------------
488.  
489. IV. How to get ESN/MIN pairs, the magic stuff
490.  
491.  
492.  
493.      Now Methods for obtaining this valuable information varies,
494.  
495. I'll give you a few personal examples on how I was able to get some
496.  
497. pairs. One method (which was lo-risk and cheap) was to do the
498.  
499. old infamous trashing, I cased out a local cell provider branch
500.  
501. office, found out what were there days/hours of operation, snooped
502.  
503. and asked some questions on how they deal with fraud, (social
504.  
505. engineering skills were needed of course), to which the only answer
506.  
507. they could provide was "oh , well if you didn't make the calls, we
508.  
509. will not require you to pay for them, and we'll change your number"
510.  
511. which gave me two good pieces of information, 1 they just chalk it
512.  
513. up to loss , to appease the customers, and two, they don't give a
514.  
515. fuck in finding out who made the calls. Now that was good to hear,
516.  
517. so on the day before trash collection I simply parked my car by the
518.  
519. dumpster, (flashlight in my pocket), and simulated taking a leak
520.  
521. behind the trash bin, quickly I open the side access panel, and did
522.  
523. a quick search, I found 3 bags with words (cellular, contract)
524.  
525. clearly visible in the bags, I grabbed them, look around, and
526.  
527. tossed them in the trunk. After getting them to my garage (it was
528.  
529. about 11:30 pm too) and sifting through the coffee filters, and
530.  
531. salad containers, I walked off with about 100 pairs. (written
532.  
533. contract info which is discarded after its entered into the
534.  
535. computer). The cons to this is that you got a lot of explaining to
536.  
537. do to the cops if they see you toss some bags of trash in your
538.  
539. trunk, and some states have laws governing trash, to the effect of
540.  
541. the trash being the property of the company until its collected by
542.  
543. a designated trash refuge agency, non-the-less , this works for
544.  
545. some places, Cell-1's here, have a company called 'Document
546.  
547. Services' which pick up their trash, and shred the ESN/personal
548.  
549. papers and contracts, thus this is ineffective in some areas.
550.  
551.  
552.  
553.      Another more expensive way, is to obtain a device called a
554.  
555. DDi, Digital Data Interface, this thing comes in various formats
556.  
557. from the more expensive stand-alone box, to a device which
558.  
559. interfaces with your 800 mhz capable scanner and a PC, the cheapest
560.  
561. standalone I seen was $1295, also I saw a kit for a simple one for
562.  
563. about 1-$200, this is the safest way do get pairs, simply make the
564.  
565. device mobile, and sit in a busy traffic area (freeway overpass)
566.  
567. and collect all the data you need.
568.  
569.  
570.  
571.      These are just a couple of examples on obtaining the 'magic
572.  
573. numbers' , some other ways (trading, inside help) does work too,
574.  
575. but are sometimes not effective, try to be creative, the Fedz know
576.  
577. about the trashing from back to the Captain Crunch days, the DDi
578.  
579. seems to be the logical choice for snarfing.
580.  
581.  
582.  
583.  
584.  
585. ----------------------------------------------------------------
586.  
587. V. Ways of Detection
588.  
589.  
590.  
591.      Well this is another concern that the astute phreaker must
592.  
593. know is how to avoid detection, what you must remember is that the
594.  
595. only way you can be physically traced, is by having the phone
596.  
597. powered up and registered within the system, and all the cops have
598.  
599. to do is some rudimentary triangulation and you're snagged, as long
600.  
601. as you remember some basic rules, you can slim your chances of
602.  
603. being discovered.
604.  
605.      1. Never reveal your location or describe yourself over the
606.  
607. airwaves, this is a real common mistake, just a simple as you
608.  
609. turning on a scanner to monitor conversations, the cops have even
610.  
611. more sophisticated equipment to do so. A cell phreaker once told me
612.  
613. to just pretend you're in a crowed room when you speak on the fone,
614.  
615. so the information that you relay should not be something that you
616.  
617. would want that crowd to hear. You are just handing yourself over
618.  
619. when you make this mistake.
620.  
621.      2. Never leave your phone powered up or battery pack left on,
622.  
623. this reason is simple, you turn the phone on, you're registered in
624.  
625. the system, every phone transmits the ESN/MIN/SCM data to the cell
626.  
627. tower to become registered so that when you place a call , the fone
628.  
629. will be ready, some phones (motorola bags/totes/installed) transmit
630.  
631. this data, even when its powered off, only the power adapter or
632.  
633. battery need be connected, the effect varies when 2 fones with the
634.  
635. same ESN/MIN/SCM data are registered at the same time, but most of
636.  
637. the time a Fraud Flag goes off, and your calls (the #'s) are
638.  
639. recorded or the system denies you access to place calls.
640.  
641.      3. Never give any personal information out over the phone,
642.  
643. this is a relative mistake as mentioned in #1, except this is
644.  
645. mainly geared towards those, who like to make reservations at a
646.  
647. restaurant or order a pizza, all the fedz need do is call the
648.  
649. number and asked who placed a order at such and such day and time
650.  
651. (these places usually keep a record of this), and wham, youre
652.  
653. busted.
654.  
655.  
656.  
657. -------------------------------------------------------------------
658.  
659. VI. Internet Sites to get Cell info
660.  
661.  
662.  
663.      Here is a list of Anon. FTP sites where Cell info is stored,
664.  
665. I've checked them all in the past month, and they're still up. 
666.  
667.  
668.  
669. SPY.ORG                   /pub/SECURITY/SECTEC/cellular
670.  
671. Corrupt.Sekurity.com      /pub/phones and /pub/incoming
672.  
673. l0pht.com                 /pub/blackcrwl/cell
674.  
675. src.doc.ic.ac.uk
676.  
677. wiretap.spies.com
678.  
679. ftp.winternet.com         /users/craigb
680.  
681. quartz.rutgers.edu          
682.  
683. Ftp.Netcom.com
684.  
685. siam.unibe.ch
686.  
687. ftp.eff.org
688.  
689. ftp.cic.net
690.  
691.  
692.  
693.      If you got any more, don't hold out, email em, or upload em to
694.  
695. me at the above email address.
696.  
697. -----------------------------------------------------------------
698.  
699. VII. Last notes
700.  
701.  
702.  
703.      Well this will end my first issue of the Cellhackers journal,
704.  
705. I need anyone who knows anything, and would like to contribute ,
706.  
707. please email me or contact me on the stargate BBS, you can find the
708.  
709. # and nup on quality boardz, or chat with me on the IRC, I use the
710.  
711. handle TECHMAN / CELLFONE / or MICROTAC, usually in the #STARGATE
712.  
713. , #CELLULAR, #PHREAK channels, the next issue we'll get into some
714.  
715. more ESN moding Back Doors on some popular phones, and I'm trying
716.  
717. to get some generic plans for building a cheap DDi, a flip fone and
718.  
719. scanner (moded to receive 800 mhz cell freqs) will be needed. I'll
720.  
721. try to have the next issue out in JAN, it'll prob be right after
722.  
723. new years, hack on gentlemen.
724.  
725.  
726.  
727.  
728.  
729.      Some Greetz go out to:
730.  
731.  
732.  
733.      DrDamien for Breaking the Barrier on writing about Cell
734.  
735. Phreaking, a lot of shit here I learned from you.
736.  
737.      PMF the man who supplied MPC to me, thanks man, sorry about
738.  
739. our little ESN fandango, but we're clearing it up.
740.  
741.      PaTcH NET, (Code REd, Thranduil) for starting this cool net,
742.  
743. we need to X-pand this shit tho'
744.  
745.      Drunkfux, for all his late-breaking info and cool t-files, how
746.  
747. come you wont validate me on your board man, and I hope your band
748.  
749. is working out.
750.  
751.      MOTOROLA for making a damn good (and modifiable) fone, I hope
752.  
753. you guys keep it up.
754.  
755.      Cybertron , my boy with the gutz. Peaches my girl, Nutz and
756.  
757. Voltz mag, WayWard (for his skillz) , TACACS, Chr0nic, Terminal
758.  
759. Man, Alphabits, The Raven of HTH, and anyone else I didn't mention.
760.  
761.  
762.  
763.                                                 PEACE
764.  
765.                                                 TECHMAN
766.  
767.  
768.  
769.