home *** CD-ROM | disk | FTP | other *** search
/ TAP YIPL / TAP_and_YIPL_Collection_CD.iso / PHREAK / GENERAL / PWRSCAN2.TXT < prev    next >
Text File  |  2000-02-16  |  14KB  |  270 lines
  1. Feb.16/2000
  2.                            Power Scanning II:
  3.  
  4.                          Power Carrier Scanning
  5.  
  6.                    4th Revision (C) 2000 El Oscuro/250
  7.  
  8.  
  9.         Intro - What is Carrier Scanning?
  10.  
  11. If you're interested in what this file has to say, you've probably seen
  12. the 1983 movie "WarGames" starring the nerdy but clueless Matthew
  13. Broderick and the lovely but clueless Ally Sheedy.  So you already know
  14. what carrier scanning is, because Broderick had his 1970's-vintage Imsai
  15. 8080 doing a carrier scan in the movie.  For those of you who just
  16. arrived from Mars and therefore haven't seen WarGames, a carrier scan is
  17. what happens when you program your computer to call every phone number
  18. in every telephone prefix in the city, and make a note of which numbers
  19. are answered by computers. The process is sometimes called an exchange
  20. scan, a modem scan, or even a WarGames scan.
  21.  
  22. Today, there are many freeware carrier scanning programs for all
  23. platforms, and they are easy to find on the internet and on BBSes.
  24.  
  25.         Carrier Scanning Pitfalls
  26.  
  27. As you can imagine, carrier scanning has some unpleasant side effects.
  28. For starters, you end up pranking nearly everyone in the city, including
  29. emergency services, etc.  The phone companies have largely dealt with
  30. carrier scanning by putting software into their switches that detects
  31. sequential dialing from one number, e.g. 253-0001, 253-0002, 253-0003,
  32. 253-0004 etc.  Some telcos will cut off your line temporarily when they
  33. detect this, others will send a security goon out to "persuade" you to
  34. stop, still others will dispense with the pleasantries, cut off your
  35. line permanently, and sick the police on your sorry ass.  That's no fun.
  36. Your mileage may vary, but I can tell you for a fact that my local telco
  37. makes some pretty heavy threats on you if you sequential-scan just a few
  38. dozen numbers.
  39.  
  40. Another problem with carrier scanning is that it takes a *long* time.
  41. When your scanner calls a number that has a modem on it, it has to wait
  42. up to 20 seconds to get a connection, so *every* number takes 20
  43. seconds.  That means you can only dial 3 numbers a minute, 180 numbers
  44. an hour.  It would take 56 hours straight to do a whole exhange from
  45. 0000 to 9999!  Do you really want to tie up your phone line for two and
  46. a half days?  I wouldn't.
  47.  
  48. So how does a would-be carrier scanner today deal with these seemingly
  49. huge problems?
  50.  
  51.         Slow Bauds Mean Fast Connects!
  52.  
  53. Well, for starters, you can reduce the needed connect time to 10 or 15
  54. seconds by simply doing your scanning with a modem set to 300 or 1200
  55. baud.  Most modemers don't realize this, because they do all their
  56. calling at 33.6k or 56k, but the slowest baud rates on the modem have
  57. the fastest handshake and connect time!  Scanning at 300 baud won't even
  58. add a noticeable overhead to the dialing process - you know, the time it
  59. takes the modem to receive the "ATDT 253-7000" command or send back the
  60. "NO CARRIER" message.  If you could reduce connect wait time from 20
  61. seconds to 10 seconds, with maybe 2 seconds of overhead (modem reset,
  62. etc) between calls, suddenly you can dial 5 numbers a minute instead of
  63. 3, a 66 percent improvement in efficiency!
  64.  
  65.         Many Hands Make Light Work!
  66.  
  67. Secondly, and I know I covered this a bit in Power Scanning I, it always
  68. helps a lot to have a few friends in on the action to help out.  Get a
  69. friend scanning with you - or a second computer on a second line in your
  70. house - or multiple computers scanning through beige boxes on the
  71. telephone snake cable running through your apartment building - and that
  72. 56 hour scan gets demolished in 28 hours, or 14, or 7, or 3 and a half.
  73. If you have multiple serial ports and modems and access (legitimate or
  74. otherwise) to multiple phone lines (how about at work?) you could be
  75. scanning 2 or 4 or even 8 times faster than "normal" on just one PC!
  76.  
  77. I don't know why more people don't co-ordinate their efforts in
  78. scanning; I guess there are too many egos these days.
  79.  
  80.         Don't Dial Listed Numbers!
  81.  
  82. I am about to explain a technique that simply wasn't available to
  83. Matthew Broderick's WarGames character back in 1983.  This is made
  84. possible by the widespread avilability of phone directories on CD-ROM.
  85.  
  86. In a traditional carrier scan, your program dials every possible number,
  87. without regard to what may be on the other end.  But what if your
  88. program already knew for certain that some numbers would NOT have
  89. modems?  What if it didn't call those numbers?
  90.  
  91. The fact is, most modem numbers are unlisted!  The ones that *are*
  92. listed, are in the phone book - you don't need a scanner to find them.
  93. But the really good ones, the ones you want to find, are all unlisted.
  94. They don't appear in your phone book, and more importantly they don't
  95. appear on your phone listings CD-ROM!
  96.  
  97. Now, there are quite a few WarGames dialers that allow you to enter a
  98. list of numbers not to call.  This feature is there so that you don't
  99. end up calling your family and friends during scans of their prefixes.
  100. But what if you could put every *listed* number in the prefix in that
  101. do-not-dial list?  Well, what would happen is that you would eliminate
  102. 50 to 90 percent of the numbers from your scan - you would be left only
  103. with not-in-service numbers and unlisted numbers!
  104.  
  105. So, run your listings CD's browser program, export the whole prefix
  106. you want to scan to a text file, delete the names and addresses so you
  107. have just a list of phone numbers.  Cut and paste this into your scanner
  108. program (if you're running a Windows or Mac scanner) or import it into
  109. your scanner's config file or do-not-dial list - read your scanner's
  110. docs for how to do this, I'm not going to hold your hand THAT much.
  111.  
  112. This technique has a really great bonus - by eliminating known voice
  113. numbers from your scan and by reducing overall the number of times you
  114. dial, you greatly reduce your risk of drawing unwanted attention to your
  115. project!
  116.  
  117.         Skip Unassigned and Cellular/Pager Blocks
  118.  
  119. There's one variant on the previous technique that should also be
  120. applied to any carrier scan.  Sometimes, in sparsely populated areas or
  121. in brand-new prefixes, all the phone numbers fall into a block.  For
  122. example, way out in Spidercrotch, Manitoba, you might find that there
  123. are only lines assigned in the range 204-642-2000 to 204-642-4000, a
  124. 2000 number range.  Or the brand-new 410 prefix in Springfield may, at
  125. this time, only have 1200 numbers assigned, from 410-1000 to 410-2200.
  126. A quick look in a reverse directory will reveal these.  Consider the
  127. probabilities before you add what appears to be an unassigned block to a
  128. do-not-dial list. Is the prefix new?  Is it in a heavily populated area
  129. or a rural one? If the prefix is old, and in a metropolitan area, then
  130. any big gaps you find in the listings are probably dedicated assigned
  131. blocks, full of unlisted numbers - prime scanning territory.  Or else
  132. they're pagers or cellphones.  Give a few random numbers in those ranges
  133. a call and see if you get a recording that tells you the range is for
  134. pagers or cellphones.  If it is, or if the prefix is in a rural area,
  135. then scanning them is an utter waste of time because you won't get any
  136. carriers.  So consider nuking such blocks from your scan, and consider
  137. thoughtfully.
  138.  
  139.         Other Tricks of the Trade
  140.  
  141.  o Set your modem's dial speed (the S11 register) to the lowest value
  142.    possible.  Most modems have a minimum of 50ms, the phone system can
  143.    keep up with dialing as fast as 45ms.  You can save a little time
  144.    each call this way, which really adds up over thousands of calls.
  145.    Just put ATS11=50 in your initialization string.
  146.  
  147.  o If your phone company offers a "Do Not Disturb" line feature,
  148.    activate it before you scan, and have your scanner program renew it
  149.    periodically if it has a time limit.  That way any incoming calls
  150.    will not disrupt your scan.  This is especially helpful if you're not
  151.    using *67 to block your Caller ID, because a certain number of people
  152.    will try to call you back.
  153.  
  154.  o Be paranoid and use *67, but remember that you do NOT need to wait
  155.    for the stutter dial tone.  ATDT*672537000 works as well as
  156.    ATDT*67w2537000 and is one or two seconds faster.  Again, this adds
  157.    up massively over thousands of calls.  If *67 costs per-call then
  158.    your phone company is in a minority of shitheads, and you should
  159.    investigate the cost and possibility of a per-line Caller ID block
  160.    before you scan - unless you want your phone bill to come in a crate
  161.    instead of an envelope.
  162.  
  163.  o If you've recently performed a hand scan of a partial prefix (as in
  164.    Power Scanning I), you need not bother re-scanning that range with
  165.    your carrier scanner, as any carriers would have been noted in your
  166.    hand scan.  Add all the numbers in that block to your do-not-dial
  167.    list to save time.
  168.  
  169.  o This is the only thing for which I'm going to grab you by the collar
  170.    and shake you until it sinks in: DO NOT SCAN WATS (800, 888, 877, 866,
  171.    855) exchanges with your computer, or at least not from a phone line
  172.    which can be traced back to you or to someone you need to stay
  173.    alive/free/sane.  If you knew how few consecutive 800 calls it takes to
  174.    set off an audible alarm at your local RNCC, you'd never call an 800
  175.    number again!
  176.  
  177.  o Some long-distance carriers offer free short calls (under 10 seconds).
  178.    Find out if this plan is available from your long distance company, and
  179.    if it is, find out if it is unlimited or if there is a limit to the
  180.    number of free short calls you can make.  If you can get unlimited free
  181.    short calls, with careful tweaking, you can actually carrier-scan long
  182.    distance for free!
  183.  
  184.  o Scan during business hours if possible, unless you are scanning an
  185.    exchange which is known to contain only business and government
  186.    lines.  That way, not only don't you wake people up (initiating
  187.    customer traces by the dozens) but 80 percent of the residential
  188.    numbers you hit won't even have anyone home!
  189.  
  190.  
  191.         The Impact of Power Scanning
  192.  
  193. Remember I said that a traditional scan using no special techniques
  194. would take 56 hours to do a whole prefix?
  195.  
  196. By setting a 10 second connect time, a 12 second total dial cycle, that
  197. 56 hours falls to 33 hours and 30 minutes.
  198.  
  199. By getting a second computer on a second line helping out, that 33:30
  200. drops to 16:45.
  201.  
  202. By getting a friend to help out on two lines, or two friends to help out
  203. on one each, 16:45 becomes 8:23.
  204.  
  205. By eliminating an average 50 to 90 percent of numbers from the scan by
  206. ignoring listed numbers and unassigned blocks, that 8:23 falls to 4:12
  207. at worst, and as little as only 0:50 if the prefix is saturated with
  208. mostly residential listed numbers!  At 50 minutes a prefix, you could
  209. cover a small city completely in one evening (7 prefixes in 6 hours)!
  210.  
  211. How about scanning an entire area code?  It's not out of the question
  212. with Power Scanning!  Get a couple of dozen accomplices and totally
  213. blanket an area code in weeks.  2600 wouldn't have room to print the
  214. results!
  215.  
  216. That's a 93 to 99 percent reduction in scanning time overall, and yet
  217. it's 100 percent as effective and thorough as the grueling 56 hour
  218. nightmare that hackers used to deal with in days gone by!
  219.  
  220.         Carrier Scanning Pitfalls II
  221.  
  222. You'd never add 911 to your scan list, would you?  Well, most people
  223. don't know this, but the 911 call center also has an unlisted 7-digit
  224. number - an alias - that is the same as dialing 911!  It may be the
  225. "old" police emergency number from before your area got 911 service, it
  226. may be in a special exchange, or (and this is the case where I live) it
  227. may be a normal phone number whose last 3 digits are 911 (e.g.
  228. 250-361-9911).  911 Service was introduced to my area the same year
  229. (1988 for anyone who cares) that the 361 prefix was created, so its
  230. location makes sense.
  231.  
  232. There are two things you MUST do to prevent your scanner calling 911,
  233. before you start on any automated scan of unlisted numbers.
  234.  
  235. First, you MUST exclude the 911 alias from your scan.  If you have
  236. Caller ID then this is easy, just dial 911 and hang up.  They will call
  237. back to find out why you hung up.  Tell them you're sorry, your phone
  238. has a panic button and you accidentally pressed it, and then when you're
  239. off the phone take note of what appeared on your Caller ID box.  Or dial
  240. *69 if you don't have Caller ID.  The number you get back must be added
  241. to your exclude list.
  242.  
  243. The other thing you have to do is go to your local library and look in
  244. an old phone book (every public library that has phone books keeps
  245. obsolete ones).  Get one from before 911 was introduced to your area,
  246. and add all the emergency numbers - police, fire, ambulance - to your
  247. exclude list.  Chances are even if you have had 911 service for 15 years
  248. or more those numbers still work and are forwarded to... guess where.
  249.  
  250. If your computer dials a 911 alias during a scan, they will first
  251. try to phone you back and failing that, a police cruiser will visit.
  252. Not a desirable occurrence.  So make sure it doesn't happen!
  253.  
  254.         Conclusion
  255.  
  256. There's no doubt that the Internet has killed BBSes and rearranged the
  257. faces of online services like Compuserve and Prodigy.  But hosting
  258. modems of various descriptions are still on the rise and will be for a
  259. long time.  Look in the October 1998 issue of Scientific American for
  260. Carolyn Meinel's article on hacking.  It has a great example of why we
  261. scan.  A company whose entire presence was on the internet, could not
  262. keep a hacker out because someone in the company had installed a
  263. "backdoor" modem without permission, the hacker found it and used it to
  264. remain online even when the whole company network had been severed from
  265. the internet! So the choice is clear - hack with the internet alone and
  266. be l33t or use *all* the tools at your disposal and get something done
  267. instead.  Face it, the need for carrier scanning will remain as long as
  268. there are dialup modems!
  269.  
  270.