home *** CD-ROM | disk | FTP | other *** search
/ TAP YIPL / TAP_and_YIPL_Collection_CD.iso / PHREAK / GENERAL / BUSYLINE.TXT < prev    next >
Text File  |  1992-05-26  |  5KB  |  91 lines
  1. The following short article appeared in the Winter 1991-92 issue of "2600", a
  2. magazine that bills itself as "The Hacker Quarterly".  (Their Internet address
  3. is 2600@well.sf.ca.us)  I thought it might be of interest, so I'm passing it
  4. along.  Enjoy!
  5.  
  6.      -- Urizen
  7.  
  8.  
  9.              "U.S. Phone Companies Face Built-In Privacy Hole"
  10.  
  11.      Phone companies across the nation are cracking down on hacker explorations
  12. in the world of Busy Line Verification (BLV).  By exploiting a weakness, it's
  13. possible to remotely listen in on phone conversations at a selected telephone
  14. number.  While the phone companies can do this any time they want, this recently
  15. discovered self-serve monitoring feature has created a telco crisis of sorts.
  16.  
  17.      According to an internal Bellcore memo from 1991 and Bell Operating Company
  18. documents, a "significant and sophisticated vulnerability" exists that could
  19. affect the security and privacy of BLV.  In addition, networks using a DMS-TOPS
  20. architecture are affected.
  21.  
  22.     According to this and other documents circulating within the Bell Operating
  23. Companies, an intruder who gains access to an OA&M port in an office that has a
  24. BLV trunk group and who is able to bypass port security and get "access to the
  25. switch at a craft shell level" would be able to exploit this vulnerability.
  26.  
  27.      The intruder can listen in on phone calls by following these four steps:
  28.  
  29.      "1.  Query the switch to determine the Routing Class Code assigned to
  30.      the BLV trunk group.
  31.  
  32.      "2.  Find a vacant telephone number served by that switch.
  33.  
  34.      "3.  Via recent change, assign the Routing Class Code of the BLV
  35.      trunks to the Chart Column value of the DN (directory number) of the vacant
  36.      telephone number.
  37.  
  38.      "4.  Add call forwarding to the vacant telephone number (Remote Call
  39.      Forwarding would allow remote definition of the target telephone number
  40.      while Call Forwarding Fixed would only allow the specification of one
  41.      target per recent change message or vacant line)."
  42.  
  43.      By calling the vacant phone number, the intruder would get routed to the
  44. BLV trunk group and would then be connected on a "no-test vertical" to the
  45. target phone line in a bridged connection.
  46.  
  47.      According to one of the documents, there is no proof that the hacker
  48. community knows about the vulnerability.  The authors did express great concern
  49. over the publication of an article entitled "Central Office Operations--The End
  50. Office Environment" which appeared in the electronic newsletter LEGION OF
  51. DOOM/HACKERS TECHNICAL JOURNAL [sic].  In this article, reference is made to the
  52. "No Test Trunk."
  53.  
  54.      The article says, "All of these testing systems have one thing in common:
  55. they access the line through a No Test Trunk.  This is a switch which can drop
  56. in on a specific path or line and connect it to the testing device.  It depends
  57. on the device connected to the trunk, but there is usually a noticeable click
  58. heard on the tested line when the No Test Trunk drops in.  Also, the testing
  59. devices I have mentioned here will seize the line, busying it out.  This will
  60. present problems when trying to monitor calls, as you would have to drop in
  61. during the call.  The No Test Trunk is also the method in which operator
  62. consoles perform verifications and interrupts."
  63.  
  64.      In order to track down people who might be abbusing this security hole,
  65. phone companies across the nation are being advised to perform the following
  66. four steps:
  67.  
  68.      "1.  Refer to Chart Columns (or equivalent feature tables) and validate
  69.      their integrity by checking against the corresponding office records.
  70.  
  71.      "2.  Execute an appropriate command to extract the directory numbers to
  72.      which features such as BLV and Call Forwarding have been assigned.
  73.  
  74.      "3.  Extract the information on the directory number(s) from where the
  75.      codes relating to BLV and Call Forwarding were assigned to vacant directory
  76.      numbers.
  77.  
  78.      "4.  Take appropriate action including on-line evidence gathering, if
  79.      warranted."
  80.  
  81.      Since there are different vendors (OSPS from AT&T, TOPS from NTI, etc.) as
  82. well as different phone companies, each with their own architecture, the
  83. problem cannot go away overnight.
  84.  
  85.      And even if hackers are denied access to this "feature", BLV networks will
  86. still have the capability of being used to monitor phone lines.  Who will be
  87. monitored and who will be listening are two forever unanswered questions.
  88.  
  89.  
  90.  
  91.