home *** CD-ROM | disk | FTP | other *** search
/ Master Hacker / Master_Hacker_Internet_and_Computer_Security_and_Terrorism_Core_Publishing_Group_2001.iso / phreaking / box / blue boxing1.txt < prev    next >
Text File  |  2000-01-15  |  8KB  |  251 lines
  1.  
  2.  
  3. Note to sysops: You are welcome to 
  4.   download this file and use it on
  5.   your system, providing you DO NOT
  6.   remove the credits for Mark Tabas
  7.   or KAOS. In other words, try to act
  8.   like a human being!
  9. --------------------------------------
  10.  
  11.  
  12.        The Mark Tabas encounter 
  13.            series presents:
  14.  
  15. -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  16.       Better Homes and Blue Boxing
  17.  
  18.                Part I
  19.  
  20.         Theory of Operation
  21.  
  22. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
  23.  
  24.   To quote Karl Marx, blue boxing has
  25. always been the most noble form of
  26. phreaking. As opposed to such things
  27. as using an MCI code to make a free
  28. fone call, which is merely mindless
  29. pseudo-phreaking, blue boxing is
  30. actual interaction with the Bell
  31. System toll network. It is likewise
  32. advisable to be more cautious when
  33. blue boxing, but the careful phreak
  34. will not be caught, regardless of what
  35. type of switching system he is under.
  36.   In this part, I will explain how and
  37. why blue boxing works, as well as
  38. where. In later parts, I will give
  39. more practical information for blue
  40. boxing and routing information.
  41.   To begin with, blue boxing is simply
  42. communicating with trunks. Trunks must
  43. not be confused with subscriber lines
  44. (or "customer loops") which are
  45. standard telefone lines. Trunks are
  46. those lines that connect central
  47. offices. Now, when trunks are not in
  48. use (i.e., idle or "on-hook" state)
  49. they have 2600Hz applied to them. If
  50. they are two-way trunks, there is
  51. 2600Hz in both directions. When a
  52. trunk IS in use (busy or "off-hook"
  53. state"), the 2600Hz is removed from
  54. the side that is off-hook. The 2600Hz
  55. is therefore known as a supervisory
  56. signal, because it indicates the
  57. status of a trunk; on hook (tone) or
  58. off-hook (no tone). Note also that
  59. 2600Hz denoted SF (single frequency)
  60. signalling and is "in-band." This is
  61. very important. "In-band" means that
  62. is is within the band of frequencies
  63. that may be transmitted over normal
  64. telefone lines. Other SF signals, such
  65. as 3700Hz are used also. However, they
  66. cannot be carried over the telefone
  67. network normally (they are "out-of-
  68. band") and are therefore not able to
  69. be taken advantage of as 2600Hz is.
  70.   Back to trunks. Let's take a
  71. hypothetical phone call. You pick up
  72. your fone and dial 1+806-258-1234
  73. (your good friend in Armarillo,
  74. Texas). For ease, we'll assume that
  75. you are on #5 Crossbar switching and
  76. not in the 806 area. Your central
  77. office (CO) would recognize that
  78. 806 is a foreign NPA, so it would
  79. route the call to the toll centre
  80. that serves you. [For the sake of
  81. accuracy here, and for the more
  82. experienced readers, note that the
  83. CO in question is a class 5 with
  84. LAMA that uses out-of-band SF
  85. supervisory signalling]. Depending
  86. on where you are in the country, the
  87. call would leave your toll centre
  88. (on more trunks) to another toll
  89. centre, or office of higher "rank".
  90. Then it would be routed to central
  91. office 806-258 eventually and the
  92. call would be completed. Illustration:
  93.  
  94. A---CO1-------TC1------TC2----CO2----B
  95.  
  96. A=you  CO1=your central office
  97. TC1=your toll office. 
  98. TC2=toll office in Amarillo.
  99. CO2=806-258 central office. 
  100. B=your friend (806-258-1234)
  101.  
  102.   In this situation it would be
  103. realistic to say that CO2 uses SF
  104. in-band (2600Hz) signalling, while
  105. all the others use out-of-band
  106. signalling (3700Hz). If you don't
  107. understand this, don't worry too much.
  108. I am pointing this out merely for the
  109. sake of accuracy. The point is that
  110. while you are connected to 806-258-
  111. 1234, all those trunks from YOUR
  112. central office (CO1) to the 806-258
  113. central office (CO2) do *NOT* have
  114. 2600Hz on them, indicating to the
  115. Bell equipment that a call is in
  116. progress and the trunks are in use.
  117.   Now let's say you're tired of
  118. talking to your friend in Amarillo
  119. (806-258-1234) so you send a 2600Hz
  120. down the line. This tone travels down
  121. the line to your friend's central
  122. office (CO2) where it is detected.
  123. However, that CO thinks that the
  124. 2600Hz is originating from Bell
  125. equipment, indicating to it that
  126. you've hung up, and thus the trunks
  127. are once again idle (with 2600Hz
  128. present on them). But actually, you
  129. have not hung up, you have fooled the
  130. equipment at your friend's CO into
  131. thinking you have. Thus,it disconnects
  132. him and resets the equipment to
  133. prepare for the next call. All this
  134. happens very quickly (300-800ms for
  135. step-by-step equipment and 150-400ms for other equipment).
  136.   When you stop sending 2600Hz (after
  137. about a second), the equipment thinks
  138. that another call is coming towards
  139. it (e.g. it thinks the far end has
  140. come "off-hook" since the tone has
  141. stopped. It could be thought of as a
  142. toggle switch: tone --> on hook, no
  143. tone -->off hook. Now that you've
  144. stopped sending 2600Hz, several things
  145. happen:
  146. 1) A trunk is seized.
  147.  
  148. 2) A "wink" is sent to the CALLING end
  149. from the CALLED end indicating that
  150. the CALLED end (trunk) is not ready to
  151. receive digits yet.
  152.  
  153. 3) A register is found and attached
  154. to the CALLED end of the trunk within
  155. about two seconds (max).
  156.  
  157. 4) A start-dial signal is sent to the
  158. CALLING end from the CALLED end
  159. indicating that the CALLED end is
  160. ready to receive digits.
  161.  
  162. Now, all of this is pretty much
  163. transparent to the blue boxer. All he
  164. really hears when these four things
  165. happen is a <beep><kerchunk>. So,
  166. seizure of a trunk would go something
  167. like this:
  168.  
  169.   1> Send a 2600Hz
  170.   2> Terminate 2600Hz after 1-2 secs.
  171.   3> [beep][kerchunk]
  172.  
  173.   Once this happens, you are connected
  174. to a tandem that is ready to obey your
  175. every command. The next step is to
  176. send signalling information in order
  177. to place your call. For this you must
  178. simulate the signalling used by
  179. operators and automatic toll-dialing
  180. equipment for use on trunks. There
  181. are mainly two systems, DP and MF.
  182. However, DP went out with the dinosaur
  183. , so I'll only discuss MF signalling.
  184. MF (multi-frequency) signalling is the
  185. signalling used by the majority of the
  186. inter- and intra-lata network. It is
  187. also used in international dialing
  188. known as the CCITT no.5 system.
  189.   MF signalling consists of 7 frequen-
  190. cies, beginning with 700Hz and
  191. separated by 200Hz. A different set of
  192. two of the 7 frequencies represent the
  193. digits 0 thru 9, plus an additional 5
  194. special keys. The frequencies and uses
  195. are as follows:
  196.  
  197. Frequencies (Hz)  Domestic    Int'l
  198. --------------------------------------
  199.  700+900             1          1
  200.  700+1100            2          2
  201.  900+1100            3          3
  202.  700+1300            4          4
  203.  900+1300            5          5
  204. 1100+1300            6          6
  205.  700+1500            7          7
  206.  900+1500            8          8
  207. 1100+1500            9          9
  208. 1300+1500            0          0
  209.  
  210.  700+1700           ST3p       Code 11
  211.  900+1700           STp        Code 12
  212. 1100+1700           KP         KP1
  213. 1300+1700           ST2p       KP2
  214. 1500+1700           ST         ST
  215.  
  216.   The timing of all the MF signals is
  217. a nominal 60ms, except for KP, which
  218. should have a duration of 100ms. There
  219. should also be a 60ms silent period
  220. between digits. This is very flexible,
  221. however, and most Bell equipment will
  222. accept outrageous timings.
  223.   In addition to the standard uses
  224. listed above, MF pulsing also has
  225. expanded usages known as "expanded
  226. inband signalling" that include such
  227. things as coin collect, coin return,
  228. ringback, operator attached, and
  229. operator released. KP2, code 11, and
  230. code 12 and the ST_ps (STart "primes")
  231. all have special uses which will be
  232. mentioned only briefly here.
  233.   To complete a call using a blue box,
  234. once seizure of a trunk has been
  235. accomplished by sending 2600Hz and
  236. pausing for the <beep><kerchunk>, one
  237. must first send a KP. This readies the
  238. register for the digits that follow.
  239. For a standard domestic call, the KP
  240. would be followed by either 7 digits
  241. (if the call were in the same NPA as
  242. the seized trunk) or 10 digits (if the
  243. call were not in the same NPA as the
  244. seized trunk). [Exactly like dialing a
  245. normal fone call]. Following either
  246. the KP and 7 or 10 digits, a STart is
  247. sent to signify that no more digits
  248. follow. Example of a complete call:
  249.  
  250.   1> 
  251.