home *** CD-ROM | disk | FTP | other *** search

---

/ TAP YIPL / TAP_and_YIPL_Collection_CD.iso / PHREAK / GENERAL / PHK90S.TXT

< prev

next >

Wrap

Text File  |  1994-05-29  |  25KB  |  410 lines

---

1.      
2.      Hitchhikers guide to the phone system.. Phreaking in the nineties
3.                                (By Billsf)
4.  
5.  
6.                                 Introduction
7.                                 ------------
8.  
9.  
10.   In this article I will try to introduce you to the most complex machine on
11. earth: the phone system. It's a guide to having fun with the technology, and
12. I hope it will help you on your travels through the network. It is by no 
13. means a definitive manual: If you really want to get into this, there are lots
14. of additional things you must learn and read.
15.   This article assumes you know a little bit about the history of phreaking.
16. It is meant as an update for the sometimes very outdated documents that can
17. be downloaded from BBS's. In here I'll tell you which of the old tricks might
18. still work today, and what new tricks you may discover as you become a phone
19. phreak.
20.   As you learn to phreak you will (hopefully) find ways to make calls that 
21. you could not make in any other way. Calls to test numbers that you cannot
22. reach from normal network, calls to ships (unaffordable otherwise), and much
23. more. As you tell others about the hidden world you have discovered, you will
24. run into people who have been brainwashed into thinking that all exploration
25. into the inner workings of the phone system is theft or fraud. Convincing 
26. these people of your right to explore is probably a waste of time, and does
27. not advance your technical knowledge.
28.   Phreaking is like magic in more than one way. Those people who are really
29. good share their tricks with each other, but usually don't give out these
30. tricks to anyone walking by. This will be somewhat annoying at first, but
31. once you're really good you'll understand that it's very unpleasant if the
32. trick you just discovered is wasted the very next day. I could tell you at
33. least twenty new tricks in this article but I prefer to teach you how to find
34. your own.
35.   Having said this, the best way to get into phreaking is to hook up with 
36. other phreaks. Unlike any other sub-culture, phreaks are not bound by any
37. geographical restrictions. You can find other phreaks by looking for 
38. hacker/phreak BBS's in your region. Having made contact there you may en-
39. counter these same people in teleconferences that are regularly set up. These
40. conferences usually have people from all over the planet. Most phreaks from
41. other contries outside the United States speak Englisch, so language is not
42. as much of a barrier as you might think.
43.   If you live in a currently repressed area, such as the United States, you
44. should beware that even the things that you consider "harmless exploring"
45. could get you into lots of trouble (confiscation of computer, fines, probation
46. jail, loss of job, etc.). Use your own judgement and find your protection.
47.  
48.  
49.                              Getting Started
50.                              ---------------
51.  
52.   The human voice contains components as low as 70Hz, and as high as 8000Hz.
53. Most energy however is between 700 and 900Hz. If you cut off the part under
54. 200 and above 3000, all useful information is still there. This is exactly
55. what phone companies do on long distance circuits.
56.   If you think all you have to do is blow 2600Hz and use a set of twelve MF
57. combinations, you have a lot of catching up to do. One of the first multi-
58. frequency systems was R1 with 2600Hz as the line signalling frequency, but for
59. obvious reasons it is rarely used anymore, except for some very small remote
60. communities. In this case its use is restricted, meaning it will not give you
61. access to all the world in most cases.
62.   To begin with, all experimenting starts at home. As you use your phone, 
63. take careful note as what it does on a variety of calls. Do you hear "dialing"
64. in the background of certain calls as they are set up? Do you hear any high
65. pitched beeps while a call is setting up, as it's answered or at hangup of
66. the called party?
67.   Can you make your CO fial to complete a call either by playing with the
68. switchhook or dialing strange numbers? If you are in the United States, did
69. you ever do something that will produce a recording:"We're sorry, your call
70. did not go through..." after about 15 seconds of nothing?
71.   If you can do the last item, you are "in" for sure! Any beeps on answer or
72. hang-up of the called party also means a sure way in. Hearing the actual MF
73. tones produced by the telco may also be your way in. While it would be nice
74. to find this behavior on a toll-free circuit, you may consider using a 
75. national toll circuit to get an overseas call or even a local circuit for a
76. bigger discount. Every phone in the world has a way in. All you have to do
77. is find one!
78.   
79.  
80.                            An overview of Systems
81.                            ----------------------
82.  
83.   First we must start with numbering plans. The world is divided up into
84. eight separate zones. Zone 1 is the United States, Canada and some Caribbean
85. nations having NPA 809. Zone 2 is Africa. Greenland (299) and Faroe Islands
86. (298) do not like their Zone 2 assignment, but Zones 3 and 4 (Europe) are
87. all taken up. Since the DDR is now unified with BRD (Germany) the code 37 is
88. up for grabs and will probably be subdivided into ten new country codes to
89. allow the new nations of Europe, including the Baltics, to have their own
90. codes. Greenland and the Faroe Islands should each get a 37x country code.
91. Zone 5 is Latin America, including Mexico (52) and Cuba (53). Zone 6 is the 
92. south Pacific and includes Australia (61), New Zealand (64) and Malaysia (60).
93. Zone 7 is now called CIS (formerly the Soviet Union), but may become a third
94. European Code. Zone 8 is Asia and includes Japan (81), Korea (82), Vietnam
95. (84), China (86), and many others. Zone 9 is the sub-continent of India (91)
96. and surrounding regions. A special sub-zone is 87, which is the maritime
97. satellite service (Inmarsat). Country code 99 is reserved as a test code for
98. international and national purposes and may contain many interesting numbers.
99.   In zone 1, a ten digit number follows with a fixed format, severely limiting
100. the total number of phones. NPA's like 310 and 510 attest to that. The new
101. plan (beginning in 1995) will allow the middle digit to be other than 1 or 0,
102. allowing up to five times more phones. This is predicted to last into the
103. 21st century. After that Zone 1 must move to the fully extensible system used
104. in the rest of the world.
105.   The "rest of the world" uses a system where "0" precedes the area code for
106. numbers dialed within the country code. France and Denmark are notable ex-
107. ceptions, where there are no area codes or just one as in France (1 for Paris
108. and just eight digits for the rest). This system has proven to be a total
109. mess - worse than the Zone 1 plan!
110.   In the usual numbering system, the area code can be of any length, but at 
111. this time between one and five digits are used. The phone number can be any
112. length too, the only requirement being that the whole number, including the
113. country code but not the zero before the area code, must not exceed fourteen
114. digits. Second dialtones are used in some systems to tell customers they are 
115. connected to the area they are calling and are to proceed with the number.
116. With step-by-step, you would literally connect to the distant city and then
117. actually signal it with your pulses. Today, if second dialtones are used it's
118. only because they were used in the past. They have no meaning today, much
119. like the second dialtones in the custom calling features common in the United
120. States. The advantages of the above "linked" system is that it allows ex-
121. pansion where needed without affecting other numbers. Very small villages may
122. only have a three digit number while big cities may have eight digit numbers.
123. Variations of this basic theme are common. In Germany, a large company in 
124. Hamburg may have a basic five digit number for the reception and eight digit
125. numbers for the employee extensions. In another case in this same town, 
126. analog lines have seven digits and ISDN lines have eight digits. In many
127. places it common to have different length numbers coming to the same place.
128. As confusing as it sounds, it really is easier to deal with than the fixed
129. number plan!
130.  
131.                            
132.                       International Signalling Systems
133.                       --------------------------------
134.  
135.   CCITT number four (C4) is an early system that linked Europe together and
136. connected to other systems for overseas calls. C4 uses two tones: 2040 and
137. 2400. Both are played together for 150mS (P) to get the attention of the
138. distant end, followed by a "long" (XX or YY = 350mS) or a "short" (X or Y =
139. 100mS) of either 2040 (x or X) or 2400 (y or Y) to indicate status of the
140. call buildup. Address data (x=1 or y=0, 35 ms) is sent in bursts of four bits
141. as hex digits, allowing 16 different codes. One hundred milliseconds of 
142. silence was placed between each digit in automatic working. Each digit there-
143. fore took 240mS to send. This silence interval was non-critical and often had
144. no timeout, allowing for manual working. C4 is no longer in wide use, but it
145. was, due to its extreme simplicity a phreak favorite.
146.   CCITT number five (C5) is still the world's number one overseas signalling
147. method; over 80 percent of all overseas trunks use it. The "plieks" and tones
148. on Pink Floyd's "The Wall" are C5, but the producer edited it, revealing an
149. incomplete number with the old code for Londen. He also botched the cadance
150. of the address signalling very badly, yet it really sounds OK to the ear as
151. perhaps the only example most Americans have of what an overseas call sounds
152. like!
153.   In actual overseas working, one-half second of 2400 and 2600Hz, compound,
154. is sent (clear forward) followed by just the 2400Hz (seize), which readies
155. the trunk for the address signalling. All address signals are preceded with
156. KP1 (code 13) for terminal traffic, plus a discriminating digit for the class
157. of call and the number. The last digit is ST (code 15) to tell the system
158. signalling is over. For international transit working, KP2 (code 14) is used
159. to tell the system a country code follows, after which the procedure is 
160. identical to the terminal procedure.
161.   CCITT six and seven (C6 and C7) are not directly accessible from the
162. customer's line, yet many "inband" systems interface to both of thes. C6 is
163. also called Common Channel Interoffice Signalling (CCIS) and as its name
164. implies, a dedicated line carries all the setup information for a group of
165. trunks. Modems (usually 1200 Bps) are used at each end of the circuit. CCIS
166. is cheaper, and as an added benefit, killed all the child's play blue boxing
167. that was common in the states in the 60's and early 70's. In the early 80's
168. fiber and other digital transmission became commonplace, and a new signalling
169. standard was required. C7 places all line, address, and result (backward)
170. signalling on a Time Division Multiplexed Circuit (TDM and TDMC) along with
171. everything else like data and voice. All ISDN systems require the use of SS7
172. to communicate on all levels from local to worldwide.
173.   The ITU/CCITT has developed a signalling system for very wide and general
174. use. One called "The European System", R2 has become a very widespread inter-
175. national system used on all continents. R2 is the most versatile end-to-end
176. system ever developed. It is a two-way system like C7 and comes in two forms,
177. analog and digital, both fully compatible with each other. R2 has completely
178. replaced C4, with the possible exception of a few very remote areas where it
179. works into R2 using using registers. Two groups of fifteen, two of six MF
180. tones are used for each direction, the high frequency group forward and the
181. low group backward. Line signalling can be digital with two channels or out-
182. of-band at 3825Hz, DC, or in cases of limited bandwidth on trunks, can use the
183. C4 line signals, just the 2040 + 2400Hz or 3000Hz or even backward signals
184. sent in a forward direction. The signals can be digitally quantised using the
185. A-law or u-law codec standards, resulting in compatible signals for analog
186. lines. In international working, only a small part of the standard is man-
187. datory with a massive number of options available. For national working, an
188. ample number of MF combinations are "reserved for national use", providing
189. an expandable system with virtually limitless capabilities. R2 is the "system
190. of the nineties" and mastering this, for the first time, allows the phone
191. phreak "to hold the whole world in his hands" in a manner that the person who
192. coined this phrase could have only dreamed of in the early seventies!
193.   With the exception of bilateral agreements between neighboring countries to
194. make each other's national systems compatible, especially in border regions,
195. all international systems in use are: C5, C6, C7, and R2. R2 is limited to a
196. single numbering region by policy and must use one of the three remaining 
197. systems for overseas working. There are few technical limitations to prevent
198. R2 from working with satellites, TASI, or other analog/digital underseas 
199. cables. The spec is flexible enough to allow overseas working, but is not 
200. done at the present time. R2 is likely to displace C5 on the remaining analog
201. trunks in the near future.
202.  
203. DTMF is on a 4x4 matrix, one tone from a row and one from a column.
204.   1=697+1209, etc.
205.  
206.             1209       1336      1477     1633
207.     697       1          2         3        A
208.     770       4          5         6        B
209.     852       7          8         9        C
210.     941       *          0         #        D
211.  
212. MF signalling, often used to signal between pionts, uses a 2 of 6 matrix.
213. Each tone has a weighting which adds up to an unique number. The three
214. standard sets of tones use this system.
215.  
216.        Digit                Weighting
217.          1                    0+1
218.          2                    0+2
219.          3                    1+2
220.          4                    0+4
221.          5                    1+4
222.          6                    2+4
223.          7                    0+7
224.          8                    1+7
225.          9                    2+7
226.          0 (Code 10)          4+7
227.          11 (Code 11)         0+12
228.          12 (Code 12)         1+12
229.          KP1 (Code 13)        2+12
230.          KP2 (Code 14)        3+12
231.          ST (Code 15)         7+12
232.  
233. For C5, either KP is 100mS and each digit lasts 50mS. A 50mS off time is used
234. between each digit. For older R1 systems, the KP is 100mS and each digit is
235. 68mS on and 68mS off. Modern systems are C5 compatible and use the C5 timing.
236. In North America, an additional 50 or 68mS pause is inserted before the last
237. digit.
238. Example: KP18(pause)2ST.....KP03120600148(pause)0ST. This pattern was added
239. about 15 years ago and appears to be unnecessary, except to give an audible
240. indication of false (blue box) signalling. Its is is HIGHLY recommended for
241. phreaks where it is normally used by the telco! R2 is a COMPELLED system
242. where reception of the forward signal produces a backward signal, which at
243. its reception, stops the forward signal. The stopping of the forward signal
244. stops the backward signal, and when the stopping of the backward signal is
245. detected, a new forward signal is generated. This goes back and forth until
246. all the information is transmitted. The backward signal (usually "1", send
247. next digit) tells the sendig end what to send next. See the CCITT Red Book
248. or Welch for complete information on both systems.
249.  
250.    Weight        MFC       R2 forward      R2 Backward
251.      0           700         1380             1140
252.      1           900         1500             1020
253.      2           1100        1620             900
254.      4           1300        1740             780
255.      7           1500        1860             660
256.      12          1700        1980             540
257.  
258. C4 is the old European signalling system. The address signals have 35mS pause
259. between each beep and 100mS pause (minimum) between each digit. Minimum time
260. to send a digit (including pause) is 345mS. This system is limited use today,
261. if at all.
262.  
263.    x:     2040                35mS (binary "1")
264.    y:     2400                35mS (binary "0")
265.    X:     2040                100mS
266.    Y:     2400                100mS
267.    XX:    2040                350mS
268.    YY:    2400                350mS
269.    P:     2040+2400           150mS
270.  
271.    Clear Forward:     PXX
272.    Transit Seizure:   PX
273.    Forward Transfer:  PYY
274.    Terminal Seizure:  PY
275.    1:  yyyx
276.    2:  yyxy
277.    3:  yyxx
278.    ...
279.    14: xxxy
280.    15: xxxx
281.    16: yyyy
282.  
283.  
284.    Place                     Event       Freq             Cadance
285.    =========================================================================
286.    N. America                dialtone    350+440          Continuous
287.                              ring        440+480          2s on 4s off
288.                              busy        480+620          0.5s on 0.5s off
289.                              fast busy   480+620          0.25 on 0.25 off
290.    England                   ring        450+500          0.25 on 0.5 off
291.    (Australia,New Zealand,                                0.25 on 2.0 off
292.    etc.)                                                  
293.    Japan                     ring        450+500          1.0 on 2.0 off
294.    Holland                   dialtone    150+450          Continuous
295.                                          (450 at -8dB)    
296.    most of world             all         400 or 440       (See text)
297.                              SIT         950, 1400, 1800  (See text)
298.  
299.  
300.   Most of the world's phone systems use only one low pitched tone to represent
301. all calling status. The most common tones in use are 400Hz, 440Hz and 450Hz.
302. In some cases the tones are modulated, usually AM, at 25 or 50Hz at variable
303. depths. In some old switches, the ring modulates the tone, or it is just the
304. harmonics of the ring frequency, which is usually 25Hz, but can be other 
305. frequencies, producing the "fart ring". Cadances for the busy are either the
306. fast at 0.25 on and 0.25 off, or the slow at 0.5 on and 0.5 off. Ring signals
307. are usually on one second and off for two, but can vary. In Iraq, the ring is
308. continuous! The SIT (Subscriber Information Tone) is 950 then 1400 and then
309. 1800Hz. The total length is about one second. The lengths of the individual
310. tones are sometimes variable to impart different meanings for automatic 
311. detection.
312.  
313.  
314.                         National Signalling Systems
315.                         ---------------------------
316.  
317.   CCITT 1, 2 and 3 are early international standards for signalling the 
318. distant end. C1 is just a 500Hz line signalling tone, and was used to alert
319. the operator at a distant switchboard that there was traffic and no DC path,
320. due to amplifiers or repeaters on a relatively long circuit. C1 has only one
321. line signalling function (forward transfer) and no address signalling. It is
322. probably used nowhere.
323.   CCITT 2 was the first international standard that used address signalling,
324. allowing automatic completion of calls. Two frequencies, 600Hz and 750Hz,
325. were used for line signalling and by pulsing between the two frequencies,
326. representing make and break, of the loop current at the distant end during
327. signalling, calls were automatically pulse dialable. You may actually find
328. this system in limited use in very remote parts of Australia or South Africa.
329. Fairly high signalling levels are required and may very well make customer
330. signalling impossible, unless you are right there. Travel to both the above
331. countries should be fascinating however for both phone play and cultural
332. experience!
333.   CCITT 3 is an improved pulse system. Onhook is represented by the presence
334. of 2280Hz and offhook by the absence of 2280Hz. This exact system is still
335. used in a surprising number of places. Pulse-dial PBX's often use C3 to signal
336. distant branches of a company over leased lines. Signalling for this system
337. is generally at a much lower level than C2: The tones will propagate over any
338. phone line.
339.   A system from the early 50's is called R1. Many people remember R1 as the 
340. Blue boxes of the 60's and 70's . R1 is still in wide use in the United
341. States, Canada and Japan. The use of 2600Hz for line signalling is quite rare
342. in the 90's, but can be found in all of the above countries. Address signal-
343. ling uses the MFC standard which is a combination of two of six tones
344. between 700Hz and 1700Hz as in CCITT 5. Alsmost all R1 used either "out of
345. band" signalling at 3825Hz or 3350Hz or some form of digital or DC line
346. signalling. To use this system from home one must find an indirect method of
347. using the "out of band" signalling. In North America, most signalling from
348. your central office to your long distance carrier is R1, as is most OSPS/
349. TSPS/TOPS operator traffic.
350.   Pulse systems like CCITT 2 and 3 are still used in national systems. In
351. North America, the C3 standard using 2600Hz in place of 2280 for national
352. working was commonplace through the 70's and still has limited end-to-end use
353. today. "End-to-end" use refers to sending just the last few digits (usually
354. five) to complete the call at the distant end. The only use this may have to
355. the phreak would be to make several calls to a single locality on one quarter.
356. It may be possible that a certain code would drop you into an R1, but you 
357. just have to experiment! This type of system is referred to as 1VF, meaning
358. "one Voice Frequency". The other standard frequency, for use outside North 
359. America, is 2400Hz. A national system using two voice frequencies (2VF) may
360. still be used in remote areas of Sweden and Norway. The two frequencies are
361. 2400Hz and 2600Hz. Playing these two systems in Europe predates the cracking
362. of the R1 and C5 systems in the late 50's and early 60's respectively. The
363. first phone phreak was probably in Sweden.
364.   Common Channel Interoffice Signalling (CCIS) is CCITT 6 developed for
365. national use and employing features that are of interest to national admini-
366. strations. R1 often plays into a gateway being converted to CCIS and CCIS
367. will play into a gateway that converts to C5, C6 or C7 for international 
368. working. The bulk of the ATT net is CCIS in North America, while R1 is often
369. used by your CO talk to it and the lessel networks. CCITT 7 is the digital
370. system and is the same nationally as internationally. C7 allows the greatest
371. efficiency of all systems and will in time be the world system. C7 has much
372. more speed and versatility than R2, but is a digital only system. All fiber
373. optic systems employ SS7 (C7).
374.   No discussion of systems is complete without mentioning Socotel. Socotel is
375. a general system developed by the French. It is a hodgepodge of many systems,
376. using MFC, pulse tone, pulse AC and pulse DC system. Most (all?) line 
377. signalling tones can be used. An inband system can use 2500Hz as a clear
378. forward and 1700 or 1900Hz for seize or, in Socotel terms, "confirm". Most
379. line signalling today is "out of band", but unlike normal outband signalling,
380. it is below band: DC, 50Hz or 100Hz. It is a "brute force" system using 100V
381. levels, insuring no customer has a chance of getting it directly! Call setup
382. on the AC systems often has a very characteristic sound of of short bursts of
383. 50Hz or 100Hz buzz, followed by the characteristic French series of 500 Hz
384. beeps to alert the customer that the call has been received from the Socotel
385. by the end office and is now being (pulse) dialed. Calls often don't make it
386. through all the gateways of a Socotel system, sometimes giving the French
387. phreak a surprise access where it stuck!
388.   On a national level there are even more systems and some are very bizarre.
389. Some use backward R2 tones in the forward direction for line signalling, 
390. giving analog lines the versatility of digital line signalling. There have
391. been some interlocal trunks that actually used DTMF in place of MF! The
392. "Silicon Valley" was once served by DTMF trunks for instance. When I visited
393. my local toll office and was told this and pressed for an answer as to why,
394. I was told "We had extra (expensive then) DTMF receivers and used them!" As
395. a phreak, be ready for anything as you travel the world.
396.  
397.  
398.                               Stuff to read
399.                               -------------
400.  
401.   Signalling in Telecommunications Networks, S. Welch, 1979
402.     ISBN 0 906048 044
403.   The Institution of Electrical Engineers, Londen & New York
404.   CCITT Red Book, Blue Book, Green Book and whatever other colors of books
405.   they have, Concentrate on the Q norms.
406.   Telecommunications Engineering, Roger L. Freeman
407.  
408.  
409. - EOF -
410.