home *** CD-ROM | disk | FTP | other *** search

---

/ Freaks Macintosh Archive / Freaks Macintosh Archive.bin / Freaks Macintosh Archives / Phreaking⁄Wardialers / Phreaking texts / Pagers.txt

< prev

next >

Wrap

Text File  |  1999-01-28  |  24KB  |  488 lines

---

1.                               ==Phrack Magazine==
2.  
3.                   Volume Five, Issue Forty-Six, File 8 of 28
4.  
5. ****************************************************************************
6.  
7.  
8.                      The Wonderful World of Pagers
9.  
10.                             by Erik Bloodaxe
11.  
12. Screaming through the electromagnet swamp we live in are hundreds of
13. thousands of messages of varying degrees of importance.  Doctors,
14. police, corporate executives, housewives and drug dealers all find
15. themselves constantly trapped at the mercy of a teeny little box:
16. the pager.
17.  
18. Everyone has seen a pager; almost everyone has one.  Over 20 million
19. pagers are on the streets in the US alone, sorting out their particular
20. chunk of the radio-spectrum.  Another fifty-thousand more are
21. put into service each day.
22.  
23. But what the hell are these things really doing?  What more can we
24. do with them than be reminded to call mom, or to "pick up dry-cleaning?"
25.  
26. Lots.
27.  
28.  
29. ** PROTOCOLS **
30.  
31. Pagers today use a variety of signalling formats such as POCSAG, FLEX
32. and GOLAY.  The most common by far is POCSAG (Post Office Standardization
33. Advisory Group), a standard set by the British Post Office and adopted
34. world-wide for paging.
35.  
36. POCSAG is transmitted at three transmission rates--512, 1200 and 2400 bps.
37. Most commercial paging companies today use at least 1200, although many
38. companies who own their own paging terminals for in-house use transmit
39. at 512.  Nationwide carriers (SkyTel, PageNet, MobileComm, etc.) send
40. the majority of their traffic at 2400 to make the maximum use of
41. their bandwidth.  In other words, the faster they can deliver pages,
42. the smaller their queue of outgoing pages is.  Although these
43. carriers have upgraded their equipment in the field to broadcast at
44. 2400 (or plan to do so in the near future), they still send out
45. some pages at 1200 and 512 to accommodate their customers with older
46. pagers.  Most 512 and 1200 traffic on the nationwide services is
47. numeric or tone-only pages.
48.  
49. POCSAG messages are broadcast in batches.  Each batch is comprised of 8
50. frames, and each frame contains two codewords separated by a
51. "synchronization" codeword.  A message can have as many codewords
52. as needed to deliver the page and can stretch through several batches
53. if needed.  The end of a complete message is indicated by a "next address"
54. codeword.  Both addressing and user data are sent in the codewords, the
55. distinction being the least significant bit of the codeword:
56. 0 for address data, and 1 for user-data.
57.  
58. Standard alphanumeric data is sent in a seven-bit format, with each codeword
59. containing 2 6/7 characters.  A newer 8-bit alphanumeric format is
60. implemented by some carriers which allow users to send data such as
61. computer files, graphics in addition to regular alphanumeric messages.
62. The 8 bit format allows for 2.5 characters per codeword.
63.  
64. Numeric data is 4 bit, allowing up to 5 numbers to be transmitted per
65. codeword.  Tone and voice pages contain address information only.
66.  
67. (NOTE:  Pager data uses BCH 32,21 for encoding.  I don't imagine
68.  very many of you will be trying to decode pager data by building your
69.  own decoders, but for those of you who may, take my interpretation
70.  of POCSAG framing with a grain of salt, and try to dig up the
71.  actual POCSAG specs.)
72.  
73. ** THE PAGING RECEIVER **
74.  
75. Paging receivers come in hundreds of shapes and sizes, although the vast
76. majority are manufactured by Motorola.  Numeric pagers comprise over
77. fifty percent all pagers in use.   Alphanumeric comprises about thirty
78. percent, with tone and voice pagers making up the remainder.
79.  
80. Pagers are uniquely addressed by a capcode.  The capcode is usually six
81. to eight digits in length, and will be printed somewhere on the pager
82. itself.  Many pager companies assign customers PIN numbers, which are
83. then cross-referenced to a given capcode in databases maintained by
84. the service provider.  PIN numbers have no other relationship
85. to the capcode.
86.  
87. Tone pagers are by far the most limited paging devices in use.
88. When a specified number has been called, an address only message
89. is broadcast, which causes the intended receiver to beep.  Wow.
90. Tone pagers usually have 4 capcodes, which can correspond to
91. different locations to call back.  Voice pagers are similar, except
92. they allow the calling party to leave a 15 to 30 second message.
93. The voice message is broadcast immediately after the capcode of the
94. receiver, which unsquelches the device's audio.
95.  
96. Numeric pagers, although seemingly limited by their lack of display
97. options have proven otherwise by enterprising users.  Most numeric
98. data sent is obviously related to phone numbers, but numerous users
99. have developed codes relating to various actions to be carried out
100. by the party being paged.  The most prolific users of this have
101. been the Chinese who have one of the most active paging networks
102. in the world.  I suppose the next biggest users of code-style numeric
103. paging would be drug dealers.  (2112 0830 187 -- get to the fucking
104. drop site by 8:30 or I'll bust a cap in your ass!)  :)
105.  
106. Alphanumeric pagers are most often contacted through a dedicated
107. service that will manually enter in the message to be sent onto the
108. paging terminal.  One such service, NDC, offers its phone-answering
109. and message typing services to various pager companies.  Next time
110. you are talking to a pager operator, ask him or her if they are at
111. NDC.  They probably are.
112.  
113. In addition to the capcode, pagers will have an FCC ID number, a serial
114. number, and most importantly, the frequency that the device has been
115. crystaled for imprinted on the back of the device.  Although technology
116. exists that would allow pagers to listen on a number of frequencies
117. by synthesizing the frequency rather than using a crystal, pager
118. manufacturers stick to using crystals to "keep the unit cost down."
119.  
120. Pagers may have multiple capcodes by which they can be addressed by.
121. Multiple capcodes are most often used when a person has subscribed to
122. various services offered by their provider, or when the subscriber is
123. part of a group of individuals who will all need to receive the same
124. page simultaneously (police, EMTs, etc.).
125.  
126. Most low-cost pagers have their capcode stored on the circuit board
127. in a PAL.  Most paging companies will completely exchange pagers
128. rather than remove and reprogram the PAL, so I don't think
129. it's worth it for any experimenter to attempt.  However, like most
130. Motorola devices, many of their paging products can be reprogrammed
131. with a special serial cable and software.  Reprogramming software
132. is usually limited to changing baud rates, and adding capcodes.
133.  
134. Additionally, some units can be reprogrammed over the air by the
135. service provider.  Using a POCSAG feature known as OTP (over the air
136. programming) the service provider can instruct the paging receiver to
137. add capcodes, remove capcodes, or even shut itself down in the case
138. of non-payment.
139.  
140. ** SERVICES **
141.  
142. With the growing popularity of alphanumeric pagers, many service providers
143. have decided to branch out into the information business.  The most
144. common of these services is delivery of news headlines.  Other services
145. include stock quotes, airline flight information, voice mail and
146. fax reception notification, and email.  Of course, all of these services
147. are available for a small additional monthly premium.
148.  
149. Email is probably the single coolest thing to have sent to your
150. alpha pager.  (Unless you subscribe to about a zillion mailing lists)
151. Companies like SkyTel and Radiomail give the user an email address
152. that automatically forwards to your paging device.
153. IE: PIN-NUMBER@skymail.com.  Several packages exist for forwarding
154. email from a UNIX system by sending stripping down the email to
155. pertinent info such as FROM and SUBJECT lines, and executing a script
156. to send the incoming mail out via a pager terminal data port.
157. One such program is IXOBEEPER, which can be found with an archie
158. query.
159.  
160. Radiomail's founder, (and rather famous ex-hacker in his own right - go
161. look at ancient ComputerWorld headlines), Geoff Goodfellow had devised
162. such a method back in the late 70's.  His program watched for incoming
163. email, parsed the mail headers, and redirected the FROM and SUBJECT
164. lines to his alphanumeric pager.  Obviously, not many people had
165. alphanumeric pagers at all, much less email addresses on ARPANET
166. back in the 70's, so Geoff's email pager idea didn't see much
167. wide-spread use until much later.
168.  
169. Two RFC's have been issued recently regarding paging and the Internet.
170. RFC 1568, the Simple Network Paging Protocol, acts similarly to SMTP.
171. Upon connecting to the SNPP port the user issues commands such as:
172.  
173.         PAGE followed by pager telephone number
174.         MESS followed by the alpha or numeric message
175.         SEND
176.       & QUIT
177.  
178. RFC 1568 has met with some opposition in the IETF, who don't consider
179. it worthwhile to implement a new protocol to handle paging, since it
180. can be handled easily using other methods.
181.  
182. The other RFC, number 1569, suggests that paging be addressed in a rather
183. unique manner.  Using the domain TPC.INT, which would be reserved for
184. services that necessitate the direct connection to The Phone Company,
185. individual pagers would be addressed by their individual phone numbers.
186. Usernames would be limited to pager-alpha or pager-numeric to represent
187. the type of pager being addressed.  For example, an alpha-page being sent to
188. 1-800-555-1212 would be sent as pager-alpha@2.1.2.1.5.5.5.0.0.8.1.tcp.int.
189.  
190. ** PAGING TERMINAL DATA PORTS **
191.  
192. Many services offer modem connections to pager terminals so that
193. computer users can send pages from their desks using software packages
194. like WinBeep, Notify! or Messenger.  All of these services connect to
195. the pager terminal and speak to it using a protocol known as
196. IXO.
197.  
198. Upon connection, a pager terminal identifies itself with the following:
199.  
200. ID=
201.  
202. (I bet you always wondered what the hell those systems were)
203. Paging terminals default to 300 E71, although many larger companies
204. now have dialups supporting up to 2400.
205.  
206. Many such systems allow you to manually enter in the appropriate information
207. by typing a capital "M" and a return at the ID= prompt.  The system will then
208. prompt you for the PIN of the party you wish to page, followed by a prompt
209. for the message you wish to send, followed by a final prompt asking if you
210. wish to send more pages.  Not every pager terminal will support a manual
211. entry, but most do.
212.  
213. All terminals support the IXO protocol.  As there are far too many
214. site specific examples within the breadth of IXO, we will concentrate on
215. the most common type of pager services for our examples.
216.  
217. [  Sample IXO transaction of a program sending the message ABC to PIN 123
218.    gleened from the IXOBeeper Docs                                         ]
219.  
220. Pager Terminal                          YOU
221. --------------------------------------------------------------
222.                                         <CR>
223. ID=
224.                                         <ESC>PG1<CR>
225. Processing - Please Wait
226.                                         <CR>
227. <CR>
228. ACK <CR>
229. <ESC>[p <CR>
230.                                         <STX>123<CR>
231.                                         ABC<CR>
232.                                         <ETX>17;<CR>
233. <CR>
234. ACK <CR>
235.                                         <EOT><CR>
236. <ESC>EOT <CR>
237.  
238.  
239. The checksum data came from:
240.  
241. STX     000 0010
242. 1       011 0001
243. 2       011 0010
244. 3       001 0011
245. <CR>    000 1101
246. A       100 0001
247. B       100 0010
248. C       100 0011
249. <CR>    000 1101
250. ETX     000 0011
251. ----------------
252.      1 0111 1011
253. ----------------
254.      1    7    ;  Get it?  Get an ASCII chart and it will all make sense.
255.  
256.  
257. Note:  Everything in the paging blocks, from STX to ETX inclusive are used
258.        to generate the checksum.  Also, this is binary data, guys...you can't
259.        just type at the ID= prompt and expect to have it recognized as IXO.
260.        It wants specific BITS.  Got it?  Just checking...
261.  
262.  
263. ** PAGER FREQUENCIES - US **
264.  
265. [Frequencies transmitting pager information are extremely easy to
266.  identify while scanning.   They identify each batch transmission
267.  with a two-tone signal, followed by bursts of data.  People with
268.  scanners may tune into some of the following frequencies to
269.  familiarize themselves with this distinct audio.]
270.  
271. Voice Pager Ranges:      152.01   - 152.21
272.                          453.025  - 453.125
273.                          454.025  - 454.65
274.                          462.75   - 462.925
275.  
276. Other Paging Ranges:      35.02   -  35.68
277.                           43.20   -  43.68
278.                          152.51   - 152.84
279.                          157.77   - 158.07
280.                          158.49   - 158.64
281.                          459.025  - 459.625
282.                          929.0125 - 931.9875
283.  
284. ** PAGER FREQUENCIES - WORLD **
285.  
286. Austria         162.050  - 162.075         T,N,A
287. Australia       148.100  - 166.540         T,N,A
288.                 411.500  - 511.500         T,N,A
289. Canada          929.025  - 931-975         T,N,A
290.                 138.025  - 173.975         T,N,A
291.                 406.025  - 511.975         T,N,A
292. China           152.000  - 172.575           N,A
293. Denmark                    469.750           N,A
294. Finland                    450.225         T,N,A
295.                 146.275  - 146.325         T,N,A
296. France          466.025  - 466.075         T,N,A
297. Germany         465.970  - 466.075         T,N,A
298.                            173.200         T,N,A
299. Hong Kong                  172.525           N,A
300.                            280.0875        T,N,A
301. Indonesia       151.175  - 153.050             A
302. Ireland         153.000  - 153.825         T,N,A
303. Italy                      466.075         T,N,A
304.                            161.175         T,N
305. Japan           278.1625 - 283.8875         T,N
306. Korea           146.320  - 173.320         T,N,A
307. Malaysia        152.175  - 172.525           N,A,V
308.                            931.9375          N,A
309. Netherlands     156.9865 - 164.350         T,N,A
310. New Zealand     157.925  - 158.050         T,N,A
311. Norway          148.050  - 169.850         T,N,A
312. Singapore                  161.450           N,A
313.                            931.9375          N,A
314. Sweden                     169.8           T,N,A
315. Switzerland                149.5           T,N,A
316. Taiwan                     166.775           N,A
317.                            280.9375          N,A
318. Thailand                   450.525           N,A
319.                 172.525  - 173.475           N,A
320. UK              138.150  - 153.275         T,N,A
321.                 454.675  - 466.075         T,N,A
322.  
323. T = Tone
324. N = Numeric
325. A = Alphanumeric
326. V = Voice
327.  
328.  
329. ** INTERCEPTION AND THE LAW **
330.  
331. For many years the interception of pages was not considered an
332. invasion of privacy because of the limited information provided
333. by the tone-only pagers in use at the time.  In fact, when
334. Congress passed the Electronic Communications Privacy Act in 1986
335. tone-only pagers were exempt from its provisions.
336.  
337. According to the ECPA, monitoring of all other types of paging signals,
338. including voice, is illegal.  But, due to this same law, paging
339. transmissions are considered to have a reasonable expectation to
340. privacy, and Law Enforcement officials must obtain a proper court
341. order to intercept them, or have the consent of the subscriber.
342.  
343. To intercept pages, many LE-types will obtain beepers programmed with
344. the same capcode as their suspect.  To do this, they must contact
345. the paging company and obtain the capcode associated with the person
346. or phone number they are interested in.  However, even enlisting
347. the assistance of the paging companies often requires following
348. proper legal procedures (warrants, subpoenas, etc.).
349.  
350. More sophisticated pager-interception devices are sold by a variety
351. of companies.  SWS Security sells a device called the "Beeper Buster"
352. for about $4000.00.  This particular device is scheduled as
353. a Title III device, so any possession of it by someone outside
354. a law enforcement agency is a federal crime.  Greyson Electronics
355. sells a package called PageTracker that uses an ICOM R7100
356. in conjunction with a personal computer to track and decode pager
357. messages.  (Greyson also sells a similar package to decode
358. AMPS cellular messages from forward and reverse channels called
359. "CellScope.")
360.  
361. For the average hacker-type, the most realistic and affordable option
362. is the Universal M-400 decoder.  This box is about 400 bucks and
363. will decode POCSAG at 512 and 1200, as well as GOLAY (although I've never
364. seen a paging service using GOLAY.)  It also decodes CTCSS, DCS, DTMF,
365. Baudot, ASCII, SITOR A & B, FEC-A, SWED-ARQ, ACARS, and FAX.  It
366. takes audio input from any scanners external speaker jack, and
367. is probably the best decoder available to the Hacker/HAM for the price.
368.  
369. Output from the M400 shows the capcode followed by T, N or A (tone, numeric
370. or alpha) ending with the message sent.  Universal suggests hooking
371. the input to the decoder directly to the scanner before any de-emphasis
372. circuitry, to obtain the true signal.  (Many scanners alter the audio
373. before output for several reasons that aren't really relevant to this
374. article...they just do. :) )
375.  
376. Obviously, even by viewing the pager data as it streams by is of little
377. use to anyone without knowing to whom the pager belongs to.  Law Enforcement
378. can get a subpoena and obtain the information easily, but anyone else
379. is stuck trying to social engineer the paging company.  One other alternative
380. works quite well when you already know the individuals pager number,
381. and need to obtain the capcode (for whatever reason).
382.  
383. Pager companies will buy large blocks in an exchange for their customers.
384. It is extremely easy to discover the paging company from the phone number
385. that corresponds to the target pager either through the RBOC or by paging
386. someone and asking them who their provider is when they return your call.
387. Once the company is known, the frequencies allocated to that company
388. are registered with the FCC and are public information.  Many CD-ROMs
389. are available with the entire FCC Master Frequency Database.
390. (Percon sells one for 99 bucks that covers the whole country -
391. 716-386-6015)  Libraries and the FCC itself will also have this information
392. available.
393.  
394. With the frequency set and a decoder running, send a page that will be
395. incredibly easy to discern from the tidal wave of pages spewing
396. forth on the frequency.  (6666666666, THIS IS YOUR TEST PAGE, etc...)
397. It will eventually scroll by, and presto!  How many important people
398. love to give you their pager number?
399.  
400. ** THE FUTURE **
401.  
402. With the advent of new technologies pagers will become even more
403. present in both our businesses and private lives.  Notebook computers
404. and PDAs with PCMCIA slots can make use of the new PCMCIA pager cards.
405. Some of these cards have actual screens that allow for use without the
406. computer, but most require a program to pull message data out.  These
407. cards also have somewhat large storage capacity, so the length of
408. messages have the option of being fairly large, should the service
409. provider allow them to be.
410.  
411. With the advent of 8-bit alphanumeric services, users with PCMCIA pagers
412. can expect to receive usable computer data such as spreadsheet
413. entries, word processing documents, and of course, GIFs.  (Hey, porno
414. entrepreneurs:  beeper-porn!  Every day, you get a new gif sent to your
415. pagecard!  Woo Woo.  Sad thing is, it would probably sell.)
416.  
417. A branch of Motorola known as EMBARC (Electronic Mail Broadcast to A
418. Roaming Computer) was one of the first to allow for such broadcasts.
419. EMBARC makes use of a proprietary Motorola protocol, rather than
420. POCSAG, so subscribers must make use of either a Motorola NewsStream
421. pager (with nifty serial cable) or a newer PCMCIA pager.  Messages are
422. sent to (and received by) the user through the use of special client
423. software.
424.  
425. The software dials into the EMBARC message switch accessed through
426. AT&T's ACCUNET packet-switched network.  The device itself is used
427. for authentication (most likely its capcode or serial number)
428. and some oddball protocol is spoken to communicate with the switch.
429.  
430. Once connected, users have the option of sending a page out, or
431. retrieving pages either too large for the memory of the pager, or
432. from a list of all messages sent in the last 24 hours, in case the
433. subscriber had his pager turned off.
434.  
435. Additionally, the devices can be addressed directly via x.400
436. addresses.  (X.400: The CCITT standard that covers email address
437. far too long to be worth sending anyone mail to.)  So essentially,
438. any EMBARC customer can be contacted from the Internet.
439.  
440. MTEL, the parent company of the huge paging service SkyTel, is
441. implementing what may be the next generation of paging technologies.
442. This service, NWN, being administrated by MTEL subsidiary Destineer,
443. is most often called 2-way paging, but is more accurately Narrowband-PCS.
444.  
445. The network allows for the "pager" to be a transceiver.  When a page
446. arrives, the device receiving the page will automatically send back
447. an acknowledgment of its completed reception.  Devices may also
448. send back some kind of "canned response" the user programs.  An example
449. might be:  "Thanks, I got it!" or "Why on Earth are you eating up my
450. allocated pages for the month with this crap?"
451.  
452. MTEL's service was awarded a Pioneers Preference by the FCC, which gave them
453. access to the narrowband PCS spectrum before the auctions.  This is a big
454. deal, and did not go unnoticed by Microsoft.  They dumped cash into the
455. network, and said the devices will be supported by Chicago.  (Yeah,
456. along with every other device on the planet, right?  Plug and Pray!)
457.  
458. The network will be layed out almost identically to MTEL's existing paging
459. network, using dedicated lines to connect towers in an area to a central
460. satellite up/downlink.  One key difference will be the addition of
461. highly somewhat sensitive receivers on the network, to pick up the ACKs
462. and replies of the customer units, which will probably broadcast at
463. about 2 or 3 watts.  The most exciting difference will be the
464. speed at which the network transmits data:  24,000 Kbps.  Twenty-four
465. thousand.  (I couldn't believe it either.  Not only can you get your
466. GIFs sent to your pager, but you get them blinding FAST!)  The actual
467. units themselves will most likely look like existing alphanumeric pagers
468. with possibly a few more buttons, and of course, PCMCIA units will
469. be available to integrate with computer applications.
470.  
471. Beyond these advancements, other types of services plan on offering
472. paging like features.  CDPD, TDMA & CDMA Digital Cellular and ESMR
473. all plan on providing a "pager-like" option for their customers.
474. The mere fact that you can walk into a K-Mart and buy a pager
475. off a rack would indicate to me that pagers are far to ingrained into
476. our society, and represent a wireless technology that doesn't scare
477. or confuse the yokels.  Such a technology doesn't ever really go away.
478.  
479.  
480. ** BIBLIOGRAPHY **
481.  
482. Kneitel, Tom, "The Secret Life of Beepers," _Popular Communications_,
483.          p. 8, July, 1994.
484.  
485. O'Brien, Michael, "Beep! Beep! Beep!," _Sun Expert_, p. 17, March, 1994.
486.  
487. O'Malley, Chris, "Pagers Grow Up," _Mobile Office_, p. 48, August, 1994.
488.