home *** CD-ROM | disk | FTP | other *** search
/ Amiga ISO Collection / AmigaDemoCD2.iso / ASCII / TEXTE / SCENE / HPA / HACKING / TNC-HG2.LZX / BIOC7.TXT < prev    next >
Encoding:
Text File  |  1997-03-16  |  15.7 KB  |  340 lines
  1.  
  2.  
  3. ******BIOC Agent 003's course in*******
  4. *                                     *
  5. *     ==========================      *
  6. *     =BASIC TELECOMMUNICATIONS=      *
  7. *     ==========================      *
  8. *              Part VII               *
  9. ***************************************
  10.  
  11. Preface:
  12.  
  13. After most neophyte phreaks overcome their fascination with Metro codes and
  14. WATS extenders, they will usually seek to explore other avenues in the vast
  15. phone network.  Often they will come across references such as "simply dial KP
  16. + 2130801050 + ST for the Alliance teleconferencing system in LA." Numbers such
  17. as the one above were intended to be used with a blue box; this article will
  18. explain the fundamental principles of the fine art of blue boxing.
  19.  
  20. Genesis:
  21. --------
  22.  
  23. In the beginning, all long distance calls were connected manually by operators
  24. who passed on the called number verbally to other operators in series.  This is
  25. because pulse (aka rotary) digits are created by causing breaks in the DC
  26. current (see Basic Telcom V).  Since long distance calls require routing
  27. through various switching equipment and AC voice amplifiers, pulse dialing
  28. cannot be used to send the destination number to the end local office (CO).
  29.  
  30. Eventually, the demand for faster and more efficient long distance (LD) service
  31. caused Bell to make a multi-billion dollar decision.  They had to create a
  32. signaling system that could be used on the LD Network. Basically, they had two
  33. options:
  34.  
  35. [1] To send all the signaling and supervisory information (ie, ON & OFF HOOK)
  36. over separate data links.  This type of signaling is referred to as out-of-band
  37. signaling.
  38.                  -or-
  39. [2] To send all the signaling information along with the conversation using
  40. Ptones to represent digits.  This type of signaling is referred to as in-cheap basaper) method
  41. -- IN-BAND signaling.  They eventually regretted this, though
  42. (heh, heh)...
  43.  
  44. IN-BAND SIGNALING PRINCIPLES:
  45. -----------------------------
  46.  
  47. When a subscriber dials a telephone number, whether in rotary or touch-tone
  48. (aka DTMF), the equipment in the CO interprets the digits and looks for a
  49. convenient trunk line to send the call on its way.  In the case of a local
  50. call, it will probably be sent via an inter-office trunk; otherwise, it will be
  51. sent to a toll office (class 4 or higher -- see Telcom IV) to be processed.
  52.  
  53. When trunks are not being used there is a 2600 Hz tone on the line; thus, to
  54. find a free trunk, the CO equipment simply checks for the presence of 2600 Hz.
  55. If it doesn't find a free trunk the customer will receive a re-order signal
  56. (120 IPM busy signal) or the "all circuits are busy..." message.   If it does
  57. find a free trunk it "seizes" it -- removing the 2600 Hz.  It then sends the
  58. called number or a special routing code to the other end or toll office.
  59.  
  60. The tones it uses to send this information are called multi-frequency (MF)
  61. tones.  An MF tone consists of two tones from a set of six master tones which
  62. are combined to produce 12 separate tones.  You can sometimes hear these tones
  63. in the background when you make a call but they are usually filtered out so
  64. your delicate ears cannot hear them. These are NOT the same as touch-tones.
  65.  
  66. To notify the equipment at the far end of the trunk that it is about to receive
  67. routing information, the originating end first sends a Key Pulse (KP) tone.  At
  68. the end of sending the digits, the originating end then sends a STart (ST)
  69. tone. Thus to call 914-359-1517, the equipment would send KP + 9143591517 + ST
  70. in MF tones.  When the customer hangs up, 2600 Hz is once again sent to signify
  71. a disconnect to the distant end.
  72.  
  73. History:
  74. --------
  75.  
  76. In the November 1960 issue of The Bell System o most university libraries, happened to contain
  77. the actual MF tones used in signaling.  They appeared as follows:
  78.  
  79.    Digit                Tones
  80.    -----                -----
  81.      1              700 +  900 Hz
  82.      2              700 + 1100 Hz
  83.      3              900 + 1100 Hz
  84.      4              700 + 1300 Hz
  85.      5              900 + 1300 Hz
  86.      6             1100 + 1300 Hz
  87.      7              700 + 1500 Hz
  88.      8              900 + 1500 Hz
  89.      9             1100 + 1500 Hz
  90.      0             1300 + 1500 Hz
  91.      KP            1100 + 1700 Hz
  92.      ST            1500 + 1700 Hz
  93.      11  (*)        700 + 1700 Hz
  94.      12  (*)        900 + 1700 Hz
  95.      KP2 (*)       1300 + 1700 Hz
  96.  
  97. (*)  Used only on CCITT SYSTEM 5 for special international calling.
  98.  
  99. Bell caught wind of blue boxing in 1961 when it caught a Washington state
  100. college student using one.  They originally found out about blue boxes through
  101. police raids and informants. In 1964, Bell Labs came up with scanning
  102. equipment, which recorded all suspicious calls, to detect blue box usage.
  103. These units were installed in CO's where major toll fraud existed. AT&T
  104. Security would then listen to the tapes to see if any toll fraud was actually
  105. committed.  Over 200 convictions resulted from the project. Surprisingly
  106. enough, blue boxing is not solely limited to the electronics enthusiast; AT&T
  107. has caught businessmen, film stars, doctors, lawyers, college students, high
  108. school students and even a millionaire financier (Bernard Cornfeld) using the
  109. device.  AT&T also said that nearly half of those that they catch are
  110. businessmen.
  111.  
  112. Of course, phone phreaks have achieved an almost cult status.  They have also
  113. had their fair share of media.  In October 1971, Esquire published the infamous
  114. "Secrets of the Little Blue Box" article which featured phreaks such as Captain
  115. Crunch, who took his name from the cereal which one gave away whistles that
  116. produced a perfect 2600 Hz pitch; Joe En's first and oldest phreaks. Others such as Apple
  117. computer co-founders Steve Wozniak & Steve Jobs have also had blue box
  118. backgrounds. 1971 also saw the publication of the first issue of YIPL, the
  119. phone phreak newsletter, (now TAP) under the editorship oj supreme yippie Abbie
  120. Hoffman.
  121.  
  122. Usage:
  123. ------
  124.  
  125. To use a blue box, one would usually make a free call to any 800 number or
  126. distant directory assistance (NPA-555- 1212).  This, of course, is legitimate.
  127. When the call is answered, one would then swiftly press the button that would
  128. send 2600 Hz down the line.  This has the effect of making the distant CO
  129. equipment think that the call was terminated and it leaves the trunk hanging.
  130. Now, the user has about 10 seconds to enter in the telephone number he wished
  131. to dial -- in MF, that is.  The CO equipment merely assumes that this came from
  132. another office and it will happily process the call. Since there are no records
  133. (except on toll fraud detection devices!) of these MF tones, the user is not
  134. billed for the call.  When the user hangs up, the CO equipment simply records
  135. that he hung up on a free call.
  136.  
  137. DETECTION:
  138. ----------
  139.  
  140. Bell has had 20 years to work on detection devices; therefore, in this day and
  141. age, they are rather well refined.  Basically, the detection device will look
  142. for the presence of 2600 Hz where it does not belong.  It then records the
  143. calling number and all activity after the 2600 Hz.  If you happen to be at a
  144. fortress fone, though, and you make the call short, your chances of getting
  145. caught are significantly reduced (see Telcom VI). Incidentally, there have been
  146. rumors of certain test numbers (see Telcom II) that hook directly into trunks
  147. thus avoiding the need for 2600 Hz and detection!
  148.  
  149. Another way that Bell catches boxers is to examine the CAMA (Centralized
  150. Automatic Message Accounting) tapes. When you make a call, your number, the
  151. called number, and time of day are all recorded.  The same thing happens wrposes. Normally, all
  152. free calls are ignored. But Bell can program the billing equipment to make note
  153. of lengthy calls to directory assistance.  They can then put a pen register
  154. (aka DNR) on the line or an actual full-blown tap.  This detection can be
  155. avoided by making short-haul (aka local) calls to box off of.
  156.  
  157. It is interesting to note that NPA+555- 1212 originally did not return answer
  158. supervision.  Thus the calls were not recorded on the AMA/CAMA tapes.  AT&T
  159. changed this though for "traffic studies!"
  160.  
  161. CCIS:
  162. -----
  163.  
  164. Besides detection devices, Bell has begun to gradually redesign the network
  165. using out-of-band signaling.  This is known as Common Channel Inter-office
  166. Signaling (CCIS).  Since this signaling method sends all the signaling
  167. information over separate data lines, blue boxing is impossible under it.
  168.  
  169. While being implemented gradually, this multi-billion dollar project is still
  170. strangling the fine art of blue boxing. Of course until the project is totally
  171. complete, boxing will still be possible.  It will become progressively harder
  172. to find places to box off of, though.  In areas with CCIS, one must find a
  173. directory assistance office that doesn't have CCIS yet.  Area codes in Canada
  174. and predominately rural states are the best bets.  WATS numbers terminating in
  175. non-CCIS cities are also good prospects.
  176.  
  177. Pink Noise:
  178. -----------
  179.  
  180. Another way that may help to avoid detection is too add some "pink noise" to
  181. the 2600 Hz tone.
  182.  
  183. Since 2600 Hz tones can be simulated in speech, the detection equipment must be
  184. careful not to misinterpret speech as a disconnect signal.  Thus a virtually
  185. pure 2600 Hz tone is required for disconnect.
  186.  
  187. Keeping this in mind, the 2600 Hz detection equipment is also probably looking
  188. for pure 2600 Hz or else is would be triggered every time someone hit that note
  189. (highest E on a piano = 2637 Hz).  This is also the reason that the 2600 Hz
  190. tone must be sent rapidly; sometimes, it wend some "pink noise" along with the 2600
  191. Hz.  Most of this energy should be Hz.  The pink noise won't make it
  192. into the toll network (where we want our pure 2600 Hz to hit) but it should
  193. make it past the local CO and thus the fraud detectors.
  194.  
  195. CONSTRUCTION:
  196. -------------
  197.  
  198. While step-by-step details for the construction of a blue box is beyond the
  199. scope of this tutorial, it is worthwhile to mention some of the details.
  200.  
  201. First there are some alternatives but they are not as good as an actual blue
  202. box.  Many computers are capable of generating MF tones.  Thus, your local
  203. phriendly software pirate should have a program compatible for your computer.
  204.  
  205. However, it is highly advisable not to box from home as stated in The Ten
  206. Commandments (as interpreted for phreaks by Fred Steinbeck -- TAP #86).
  207.  
  208. I.  Box thou not over thine home telephone wires, for those who doest must
  209.     surely bring the full wrath of the Chief Special Agent down upon thy heads.
  210.  
  211. Another alternative that has a moderate success rate involves recording the
  212. tones from a phriend with a box or computer onto a cassette tape.  They can
  213. then be used at a fortress.
  214.  
  215. As for actual construction techniques, TAP has devoted many issues to blue
  216. boxing.  Basically, a blue box is merely a device capable of generating two
  217. different tones simultaneously. There are two basic construction methods that I
  218. will outline below for the electronics hobbyist.
  219.  
  220. The first involves the use of two 555 timer chips (or a 556 -- i.e., two 555's
  221. in one chip).  It offers excellent frequency and voltage stability.  Also, it
  222. does not need a diode matrix keypad but used double- pole switches instead.
  223. Schematics for this type of box can be found in TAP issue #29.
  224.  
  225. The other common box makes use of two Intersil 8038CC Function Generators. It
  226. also requires a diode matrix keypad, potentiometers, an LM-100 voltage
  227. regulator, a 741 Op-amp, and a handful of other parts.  The schematics forgns draw about 20 ma of current.
  228.  
  229. Also, most blue boxes use telephone earpieces (with the varistor removed) for
  230. speakers.  These can be easily liberated from fortress fones with a small
  231. coping saw.
  232.  
  233. Usually, the hardest part about building a blue box is the calibration. A
  234. frequency counter is a must and an oscilloscope won't hurt.
  235.  
  236. Some boxes also take timing into account.  It is feasible on the ESS systems
  237. that they check to see if the digits are of uniform length.  If they aren't,
  238. they are probably from a blue box and a trouble card may be dropped. With this
  239. in mind, the Bell standard for MF pulses and interdigit intervals is around 75
  240. ms.  It varies with the equipment used since ESS can handle higher speeds and
  241. doesn't need interdigit intervals.
  242.  
  243. APPLICATIONS:
  244. -------------
  245.  
  246. Besides dialing normal calls free, i.e., KP+NPA+NNX+XXXX+ST, blue boxes offer
  247. the entire network for exploration.  Emergency break-ins, service monitoring
  248. (aka taps), stacking tandems (the art of busying out all trunks between two
  249. points), re-routing calls, conference calls, and much, much more are all
  250. feasible.  Although, Bell frequently changes these codes due to phreaks.
  251.  
  252. Here are some standard ones, though:
  253.  
  254.  
  255. OPERATOR & OTHER CODES:
  256. -----------------------
  257.  
  258. (an optional NPA may proceed all of the numbers; otherwise, you will reach the
  259. one local for the area where the call is originated)
  260.  
  261. 001      --  Trunk Access System
  262.  
  263. 009      --  Rate Quote System
  264.  
  265. 101      --  toll office test board
  266.  
  267. 121      --  INWARD Operator
  268.  
  269. This operator assists the local "0" operator in completing calls.  (S)he will
  270. do virtually anything for you providing it is within her NPA.
  271.  
  272. 131      --  Operator Directory assistance
  273.  
  274. 141      --  Rout & Rate
  275.  
  276. (141 defunct -- use KP + 800 + 141 + 1212 + ST)
  277.  
  278. These operators are very useful if you know how to mumble a few cryptic phrases
  279. as compiled below (with thanks to Fred Steinbeck):
  280.  
  281. To find out...
  282.  
  283. te, please."  The R&R operator
  284. will tell you "305 plus," meaning that 305 plus the seven digit number will get
  285. you Miami.
  286.  
  287. ... Inward Operator City Codes
  288.  
  289. Usual|y(*Qoperator for an area is simply KP + NPA + 121 + ST.  In
  290. some area codes, though, there are several large cities and thus several
  291. inwards.  To find the inward for a specific city, you would say "916 756,
  292. operator route, please" to the R&R operator who will then tell you "916 plus
  293. 001 plus."  This means that KP+ 916 + 001 + 121 + ST will get you an inward for
  294. Sacramento, CA (916-756).
  295.  
  296. ... City names
  297.  
  298. If you want to know the city that corresponds to an area code and exchange, you
  299. simply tell the R&R, "Place name, 914 390, please."  In this example, the R&R
  300. operator will respond with "White Plains, NY."
  301.  
  302. ... International Directory Assistance
  303.  
  304. If you need a directory route for London, you could say "International, London,
  305. England.  TSPS directory route, please."  The R&R operator will respond with
  306. "Directory to London, England. Country code 44 plus 1 plus 986 plus 3611."
  307. Therefore to get a DA operator in London, you would route yourself to an
  308. international sender and KP + 04419863611 + ST.
  309.  
  310. ... Country & City codes
  311.  
  312. If you need to know the country and city code for an international number you
  313. can say "International, Sydney, Australia, TSPS numbers route, please" and get
  314. "Country code 61 plus 2."
  315.  
  316. ... International Inwards Routes
  317.  
  318. To get routing codes for international inwards say "International, London,
  319. England, TSPS inward route, please." The R&R Operator will respond with
  320. "Country code 44 plus 121."
  321.  
  322. Finally, to get language assistance for completing a foreign call you can tell
  323. the foreign inward, "United States calling.  Language assistance in completing
  324. a call to (called party) at (called number)."
  325.  
  326.  
  327. 151      --  overseas incoming (212 + & 914+)
  328.  
  329. 160-XX0  --  Various Overseas Operators
  330.  
  331. 161      --  trouble reporting operatothree
  332. digits to create a pseudo-country code with extra zero's if necessary. For
  333. example, England, country code 44, becomes 044.
  334.  
  335. To see which international sender a certain country (lets use French Guiana,
  336. country code 594, for example) goes through, you can dial KP + 011 + 594 + ST,
  337. wait for the Proceed to Send tone then KP + 000 + 0000 + ST and you will
  338. receive a recording saying which ISC (International Switching Center) it is.
  339. (file ends here...will get rest soon.)
  340.