home *** CD-ROM | disk | FTP | other *** search

---

/ Master Hacker / Master_Hacker_Internet_and_Computer_Security_and_Terrorism_Core_Publishing_Group_2001.iso / phreaking / box / blue boxing2.txt

< prev

next >

Wrap

Text File  |  2000-01-15  |  15KB  |  457 lines

---

1.  
2.  
3. The Mark Tabas encounter series
4. presents...
5.  
6. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
7.       Better Homes and Blue Boxing
8.                 Part ii
9.           Practical Applications
10. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
11.  
12. (It is assumed that the reader has read
13. and understood Part i of this series).
14.  
15.   The essential purpose of blue boxing
16. in the beginning was merely to receive
17. toll services free of charge. Though
18. this can still be done, blue boxing has
19. essentially outlived its usefulness in
20. this area. Modern day "extenders" and
21. long distance services provide a safer
22. and easier way to make free fone calls.
23. However, you can do things with a blue
24. box that just can't be done with any-
25. thing else. For ordinary toll-fraud, a
26. blue box is impractical for the 
27. following reasons:
28.  
29.   1. Clumsy equipment required (blue
30.      box or equivalent)
31.   2. Most boxed calls must be made
32.      through an extender. Not for
33.      safety reasons, but for reasons
34.      I'll explain later.
35.   3. Connections are often sacrificed
36.      because considerable distances
37.      must be dialed to cross a
38.      seizable trunk, in addition to
39.      awkward routing.
40.  
41.   As stated in reason #2, boxed calls
42. are usually made through an extender.
43. This is for billing reasons. If you
44. recall from Part i, 2600Hz is used as a
45. "supervisory" signal. That is, it
46. signals the status of a trunk--
47. "on-hook" or "off-hook." When you
48. seize a trunk (by briefly sending
49. 2600Hz), your end (the CALLING end)
50. goes on hook for the duration of the
51. 2600Hz and then goes off-hook once
52. again when the 2600Hz is terminated.
53. The CALLED end recognizes that a call
54. is on the way and attaches a register,
55. which inerprets the digits which are
56. to be sent. Now, understand that even
57. though your end has come off-hook
58. (no 2600Hz present), the other end is
59. still on-hook. You may wonder then,
60. why, if the other end (the CALLED end)
61. is still on-hook, there is no 2600Hz
62. coming the other way on the trunk,
63. when there should be. This is correct.
64. 2600Hz *IS* present on the trunk when
65. you seize it and afterwards, but you
66. cannot hear it because of a Band
67. Elimination Filter (BEF) at your
68. central office.
69.   Back to the problem. Remember that
70. when you seize a trunk, 2600Hz is
71. indeed coming the other way on the
72. trunk because the CALLED end is still
73. on-hook, but you don't actually hear
74. it because of a filter. However, the
75. Bell equipment knows it's there (they
76. can "hear" it). The presence of the
77. 2600Hz is telling the billing equip-
78. ment that your call has not yet been
79. completed (i.e., the CALLED end is
80. still on-hook). When finally you do
81. connect with your boxed call, the
82. 2600Hz from the called end terminates.
83. This tells the billing equipment that
84. someone picked up the fone at the
85. CALLED end and you should begin to be
86. billed. So you do start to get billed,
87. but for the call to the trunk, NOT the
88. boxed call. Your billing equipment
89. thinks that you've connected with the
90. number you used to seize the trunk.
91.  
92. Illustration:
93.  
94.   1. You call 1+806-258-2222
95.      (directly)
96.   2. Status of trunks:
97.  
98. <----------------------------------->
99. (You)                    806-258-2222
100. No 2600Hz-------> <------------2600Hz
101.  
102.   When you seize a trunk (before the
103. number you called answers) there is
104. no affect on your billing equipment.
105. It simply thinks that you're still
106. waiting for the call to complete
107. (the CALLED end is still on-hook; it
108. is ringing, busy, going to recorder
109. or intercept operator.
110.   Now, let's say that you've sezied
111. a trunk (806-258-2222) and for example,
112. KP+314+949+1705+ST. The call is routed
113. from the tandem you seized to:
114. 314-949-1705.
115.  
116. Illustration:
117.  
118. <------------------>O<--------------->
119. (You)              806         314-949
120.                  tandem  
121. No 2600Hz----------> <----------2600Hz
122.  
123.   Note that the entire path towards
124. the right (the CALLED end) has no
125. 2600Hz present and is therefore "off-
126. hook." The entire path towards the left
127. (the CALLING end) does have 2600Hz
128. present on it, indicating that the
129. CALLED end has not picked up (or come
130. "off-hook"). When 314-949-1705 answers,
131. "answer supervision" is given and the
132. 2600Hz towards the left (the CALLING
133. end) terminates. This tells your
134. billing equipment, which thinks that
135. you're still waiting to be connected
136. with 806-258-2222, that you've
137. finally connected. Billing then begins
138. to 806-258-2222. Not exactly an
139. auspicious beginning for an aspiring
140. young phone phreak.
141.   To avoid this, several actions may
142. be taken. As previously mentioned,
143. one may avoid being charged for the
144. number called to seize a trunk by
145. using an extender (in which case the
146. extender will get billed). In some
147. areas, boxing may be accomplished
148. using an 800 number, generally in the
149. format of 800-858-xxxx (many Amarillo
150. numbers) or 800-NN2-xxxx (special
151. intra-state class in-WATS numbers).
152. However, boxing off of 800 numbers is
153. impossible in many areas. In my area,
154. Denver, I am served by #1A ESS and it
155. is impossible for me to box off of
156. any 800 number.
157.   Years ago, in the early days of blue
158. boxing (before my time), phreaks often
159. used directory assistance to box off
160. of because they were "free" long
161. distance calls. However, because of
162. competetive long distance companies,
163. directory assistance surcharges are
164. now $0.50 in many areas. It is
165. additionally advised that directory
166. assistance numbers not be used to box
167. from because of the following:
168.   Average DA calls last under 2
169. minutes. When you box a call, chances
170. are that it will last considerably
171. longer. Thus, the Bell billing equip-
172. ment will make a note of calls to
173. directory assistance that last a long
174. time. A call to a directory assistant
175. lasting for 4 hours and 17 minutes
176. may appear somewhat suspicious.
177.   Although the date, time, and length
178. of a DA call do not appear on the bill,
179. it is recorded on AMA tape and will
180. trip a trouble report if it were to
181. last too long. This is how most
182. phreaks were discovered in the old
183. days. Also, sometimes too many calls
184. lasting too long to one 800 number
185. may raise a few eyebrows at the local
186. security office.
187.   Assuming you can complete a blue box
188. call, the following are listed routings
189. for various Bell internal operators.
190. These are in the format of KP+NPA+
191. special routing+1X1+ST, which I will
192. explain later. The 1X1 is the actual
193. operator routing, and NPA and NPA+
194. special routing are used for out-of-
195. area code calls and out-of-area code
196. calls requiring special routing,
197. respectively.
198.  
199. KP+101+ST ...... toll test board
200. KP+121+ST ...... inward op
201. KP+131+ST ...... directory assistance
202. KP+141+ST ...... was rate & route. Now
203.           only works in 312, 815, 717,
204.           and a few others. It has
205.           been replaced with a univer-
206.           sal rate & route number,
207.           800+141+1212.
208. KP+151+ST ...... overseas completion
209.           operator (inbound). Works
210.           only in certain NPAs, such as
211.           303.
212. KP+181+ST ...... in some areas, toll
213.           station for small towns
214.  
215.   Thus, if you seize a trunk in 806 NPA
216. and wanted an inward (in 806), then you
217. would dial KP+121+ST. If you wanted a
218. 312 inward and were dialing on an 806
219. trunk, an area code would be required.
220. Thus, you would dial KP+312+121+ST.
221. Finally, some places in the network
222. require special routing, in addition to
223. an area code. An example is Franklin
224. Park, Ill. It requires a special
225. routing of 032. For this, you would
226. dial KP+312+032+121+ST for a Franklin
227. Park inward operator.
228.   Special routings are in the format
229. of 0XX. They are used primarily for
230. load balance, so that traffic flow
231. may be evenly distributed. About half
232. of the exchanges in the network
233. require special routing. Note that
234. special routings are NEVER EVER EVER
235. used to dial normal telephone numbers,
236. only operators.
237.  
238.   Operator functions:
239.  
240. TOLL TEST BOARD- Generally a cordboard
241. position that assists in trunk testing.
242. They are not used by operators, only
243. switchmen.
244.  
245. INWARD- Assists the normal TSPS (0+)
246. operator in completing calls out of
247. the TSPS's area. Also, inwards perform
248. emergency inerrupts when the number to
249. be interrupted is out of the area code
250. of the original (TSPS) operator. For
251. example, a 303 operator has a customer
252. that needs an emergency interrupt on
253. 215-647-6969. The 303 operator gets
254. the routing for the inward that covers
255. 215-647, since she cannot do the
256. interrupt herself. The routing is
257. found to be only 215+ (no special
258. routing required). So, the 303 operator
259. keys KP+215+121+ST. An inward answers
260. and the 303 says to her, "Inward, this
261. is Denver. I need an emergency
262. interrupt on 215-647-6969. My
263. customer's name is Mark Tabas." The
264. inward will then do the interrupt (off
265. the line, of course). If the number to
266. be interrupted had required special
267. routing, such as, say, 312-456-1234
268. (spec routing 032), then the 303
269. operator would dial KP+312+032+121+ST
270. for the inward to do that interrupt.
271.  
272. DIRECTORY ASSISTANCE- These are the
273. normal NPA+555+1212 operators that
274. assist customers with obtaining
275. telefone directory listings. Not much
276. toll-fraud potential here, except
277. maybe $0.50.
278.  
279. RATE AND ROUTE- These operators are
280. reached by dialing KP+800+141+1212+ST.
281. They assist normal (TSPS) operators
282. with rates and routings (thus the
283. name). The only uses I typically have
284. for them are the following:
285.  
286. 1. Routing information. In the above
287. example, when the 303 operator needed
288. to dial an inward that served 215-647,
289. she needed to know if any special
290. routing was required and, if so, what
291. it was. Assuming she would use rate
292. and route, she would dial them and say
293. nicely, "Operator's route, please, for
294. 215-647." Rate & route would respond
295. with "215 plus." This means that the
296. operator would dial KP+215+121+ST to
297. reach the inward that serves 215-647.
298. If there were special routing required,
299. such as in 312-456, rate & route would
300. respond with "312 plus 032 plus." In
301. that case, the operator would dial
302. KP+312+032+ST for the inward that
303. serves 312-456.
304.   It is good practice to ask for
305. "operator's route" specifically, as
306. there are also "numbers route" and
307. "directory routes." If you do not
308. specifically ask for operator's route,
309. rate & route will generally assume
310. that is what you want anyway.
311.   "Numbers" route refers to overseas
312. calls. Example, you want to know how to
313. reach a number in Geneva, Switzerland
314. (and you already have the number). You
315. would call routing and say "Numbers
316. route, please, Geneva, Switzerland."
317. The operator would respond with:
318. "Mark 41+22. 011+041+ST (plus) 041+22"
319. The "Mark 41+22" has to do with
320. billing, so disregard it. The 011+041
321. is access to the overseas gateway (to
322. be discussed in Part iii) and the 041+
323. 22+ is the routing for Geneva from the
324. overseas sender.
325.   "Directory" routings are for directory assistance overseas. Example:
326. you want a DA in Rome, Italy. You would
327. call rate & route and say, "Directory
328. routing please, for Rome, Italy." They
329. would respond with "011+039+ST (plus)
330. 039+1108 STart." As in the previous
331. example, the 011+039 is access to the
332. overseas gateway. The 039+1108 is a
333. directory assistant in Rome.
334.  
335. 2. Nameplace information. Rate & Route
336. will give you the location of an NPA+
337. exchange. Example: "Nameplace please,
338. for 215-648." The operator would
339. respond with "Paoli, Pennsylvania."
340. This isn't especially useful, since you
341. can get the same information (legally)
342. by dialing 0, but using rate & route is
343. often much faster and it avoids having
344. to hang up when you are already on a
345. trunk.
346.  
347. *NOTE on Rate & Route: As a blue boxer,
348. always ask for "IOTC" routings. (e.g.,
349. "IOTC operator's route", "IOTC numbers
350. route", etc.) This tells them that you
351. want cordboard-type routings, not TSPS,
352. because a blue boxer is actually just a
353. cordboard position (that Bell doesn't
354. know about).
355.  
356. OVERSEAS COMPLETION OPERATOR (inbound)-
357. These operators (KP+151+ST) assist in
358. the completion of calls coming in to
359. the United States from overseas. There
360. are KP+151+ST operators only in a few
361. NPAs in the country (namely 303). To
362. use one, you would seize a trunk and
363. dial KP+303+151+ST. Then you would
364. tell the operator, for example, 
365. "This
366. is Bangladesh calling. I need U.S.
367. number 215-561-0562 please." [in a
368. broken Indian accent]. She would
369. connect you, and the bill would be
370. sent to Bangladesh (where I've been
371. billing my KP+151+ST calls for two
372. years).
373.  
374. Other internal Bell Operators.
375.  
376. KP+11501+ST ...... universal operator
377. KP+11511+ST ...... conference op
378. KP+11521+ST ...... mobile op
379. KP+11531+ST ...... marine op
380. KP+11541+ST ...... long distance
381.                    terminal
382. KP+11551+ST ...... time & charges op
383. KP+11561+ST ...... hotel/motel op
384. KP+11571+ST ...... overseas (outbound)
385.                    op
386.  
387.   These 115X1 operators are identical
388. in routing to the 1X1 operators listed
389. previously, with one exception. If
390. special routing is required (0XX),
391. then the trailing 1 is left off.
392.  
393. Examples:
394.  
395. A 312 universal op ... KP+312+11501+ST
396. A Franklin Park (312-456) universal
397. op (special routing 032 required)....
398. ................... KP+312+032+1150+ST
399. [The trailing 1 of 11501 is left off].
400.  
401. Purposes of 115X1 operators.
402.  
403. UNIVERSAL- Used for collect/callback
404. calls to coin stations.
405.  
406. CONFERENCE- This is a cordboard
407. conference operator who will set up a
408. conference for a customer on a manual
409. operation basis.
410.  
411. MOBILE- Assists in completion of calls
412. to mobile (IMTS) type telefones
413.  
414. MARINE- Assists in completion of calls
415. to ocean going vessels.
416.  
417. LONG DISTANCE TERMINAL- Now obsolete.
418. Was used for completion of long
419. distance calls.
420.  
421. TIME & CHARGES- Will give exact costs
422. of calls. Used to time calls and
423. inform customer of exactly how much
424. it cost.
425.  
426. HOTEL/MOTEL- Handles calls to/from
427. hotels and motels.
428.  
429. OVERSEAS COMPLETION (outbound)- assists
430. in completion of calls to overseas
431. points. Only works in some, if any
432. NPAs, because overseas assistance has
433. been centraized to IOCC (covered in
434. Part iii).
435.  
436.   Note that all KP+1X1+ST and
437. KP+115X1+ST operators automatically
438. assume that you are a TSPS or cordboard
439. operator assisting a customer with a
440. call. DO NOT DO ANYTHING TO JEOPARDIZE
441. THIS! If you do not know what to do,
442. don't call these operators! Find out
443. what to do first.
444.  
445.   This concludes Part iii. There is
446. one final part in which I will explain
447. overseas dialing, IOCC (International
448. Overseas Completion Centre), RQS
449. (Rate/Quote System), and some basic
450. scanning.
451.  
452. .......................................
453. (c) February 6, 1900         Mark Tabas
454. .......................................
455.  
456.  
457.