home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / phreak / cellular / cell9411.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  20.7 KB  |  385 lines
  1.  
  2.           ====================================================
  3.                        Stargate's Cell Hackers Journal
  4.                               Vol 94.11  NOV,1994
  5.           ====================================================
  6.  
  7. "Oh course, our system guarantees a fast, clear secure connection"
  8.                                         -Cell 1 sales dweeb
  9.  
  10. Well due to some small demand, heres the first issue of mag
  11. dedicated to exploring the ins and outs of Cell Phones, I'll try to
  12. be as simple as I can and wont dwell with some of the irrelevancies
  13. of the operations of the cells, just basically genuine hacking
  14. information, some which I will gather from tech manuals and actual
  15. testing, now granted I'm just a hobbyist, and it is not my intent
  16. for this information to be used in any illegal manner, especially 
  17. for any persons attempting to defraud any cellular company, and
  18. any other of the illegal shit that goes along with that. I am
  19. looking for any authors, (cuz I sure as shit don't know
  20. everything!) to contribute to this spread of forbidden knowledge. 
  21. I intend to send out this mag at least quarterly or as any information 
  22. of great importance is presented , so the size of these texts may vary
  23. greatly. What I really like to include is some back door test modes
  24. for *any phonez, especially the ESN modification type. 
  25.      I would like to say thanx to everyone who encouraged me and 
  26. got me started in this great form of technology. And I will strive
  27. to keep the information as correct as possible, but 'member I cant
  28. test everything, if it sounds logical and can be done, then I'll
  29. present it here for your approval, if ya have any text ya want to
  30. send , or any comments, please email me at TECHMAN@ANON.PENET.FI
  31. (until I get a real internet account!). Enjoy *
  32.  
  33. -----------------------------------------------------------------
  34.  
  35. I. The Software Question  (for popular Motorola fones)
  36.  
  37.      The most popular fone among the hackers is obviously the
  38. motorola mircrotac of "flip fone" (which is characteristic of its 
  39. microphone flipping mechanism). Early in the cell game a ware was
  40. released by Cellular Press (a.k.a Spy Supply) which could mod all
  41. of the motorolas using a simple made cable and a PC. Well as time
  42. went on and motorola wanted to add more features and better
  43. handling of the hardware, they started to change they're firmware
  44. of the fones to accommodate the changes, along with the changes was
  45. an inability of the software to modify the ESN data of these fones,
  46. thus other ways had to be implemented , one such method was a
  47. firmware replacement, this was a easy chore for the Bags and totes,
  48. but a pain in the ass for the flips, the bags and totes used the
  49. regular DIP package 27c512 Prom, while the equivalent on the flips
  50. was in a plcc surface mount package, which could only be removed
  51. with real skill, and some expensive soldering equipment, not to
  52. mention reprogramming a Eprom / prom of the same type , and then
  53. replacing it, now anyone (like me) who has popped open one of those
  54. flip fones know how crappy that method is, you risk destroying your
  55. fone, and losing some of the features. Well HTH came out with
  56. a "trick clip" which consisted of a plcc test socket, and a
  57. reprogrammed chip. This procedure still required you to disable the
  58. firmware on yer fone , by cutting a trace (*ouch) sticking the
  59. trick clip in the chip, jumpering a pin on the socket to a place on
  60. the board, and then attaching your cable and using the old ware.
  61. Still this was a tedious, expensive (hth wanted $295 for the clip)
  62. and dangerous procedure. And sometimes with certain fone revs this 
  63. didn't work. As time went on and the demand grew to do these phones
  64. software solutions began to emerge, one was called TRANS-2, and/or
  65. MPC which was a package available from C.G.C (California Grapevine
  66. Communications), this package was also available from a company
  67. called Cellsoft, both houses sold the ware for a ridiculous $700
  68. and protected it copyright infringement by making it dependant on
  69. a dongle to operate. Well after talking to C.G.C about the software
  70. and basically getting the brushoff from Cellsoft (they may be
  71. another Spy supply house), the MPC / Trans-2 ware was describe as
  72. "horrible and buggy" by greg at C.G.C (the guy with the british
  73. accent). Well the package was purchased and now is being
  74. distributed in its uncraked state to various crak groups for repair
  75. ;), but this has either proved a challenge for the guys, or they
  76. have been reduced to money grubbers by re-selling the packages, in
  77. my opinion these are the lowest of lamers, theres nothing worse
  78. than a thief of thieves.  
  79.      As a point of ID, if you can get your hands on the old style
  80. flip fone (which were usually tan in color and had a membrane
  81. keyboard), these are ready modible , having a firmware rev up to
  82. 9012.
  83.      Now theres one last ware out there that's supposed to the be
  84. the most reliable of ones to mod the new fones (up to 9340) is
  85. called AMPS/G2. This is now being sold by C.G.C for $700 and is now
  86. floating around the internet waiting to be cracked. (sorry greg,
  87. but your price is ridiculous). I recently Emailed DrDamien for some
  88. new info on moding the new stuff, and found out from him that some
  89. places are selling firmware/cable kits for $50 which is not a big
  90. bite at all, now he didn't go into detail on what they were,
  91. whether they were the old firmware switch (mentioned above, which
  92. in some instances caused yer fone to power up saying "loaner" and
  93. disabling all your cool functions, like storage and other shit) or
  94. the firms that take advantage of the "Identity Transfer" function
  95. of theses fones, which simply put xfers your fones NAM/ESN data to
  96. another fone by executing a #66 and #69 (see the MOTCODEZ.TXT file)
  97. on each fone, one is called a LOADER fone (contains the new info)
  98. and the TARGET fone (the fone to get the goodies), now this is
  99. proven to work with ALL motorola fones even the new 94F firmware
  100. series.
  101. C.G.C offers a package consisting of a LOADER fone with special
  102. firmware, plus a cable with a switch for $995. From what I've heard
  103. this is a nice setup, but way too expensive, remember the true
  104. idea of cloning tries to *SAVE the user money by having two lines
  105. on one bill, and $1000 bux is just not cost effective now, maybe
  106. over a few years perhaps. But you know how the underground works,
  107. as soon as someone gets one, they'll copy the firmware , dissect
  108. the cable and u/l the info to yer local site. (I'm waiting to see
  109. it!)
  110.  
  111.      None the less there are some (expensive) options for those who
  112. wish to master the new motorola fones, its just a matter of what
  113. purpose and how often will you use it, now for those who wish to
  114. open your own cell-fone cloning house , good luck, laws are
  115. developing as you read this to outlaw that, (you didn't honestly
  116. think that they would continue to allow that), and if you can
  117. justify spending the $1000 for the loader fone (the most reliable
  118. way to date), then more power to ya, as for us regular hackers, who
  119. want to learn more about these , then that's outrageous. You'll be
  120. better off getting one legit. (*shudder) (tm).
  121.  
  122.      * And Also note, the roaming scam is almost non existent, this
  123. method consisted of changing the ESN/MIN to a bogus out-of-state
  124. number, then making a call, since the subscriber info could not be
  125. validate real-time, the first call would go through, but subsequent
  126. calls would be blocked until this information was changed again,
  127. thus someone developed a "tumbler fone" which changed this info to
  128. some random quotient, before each call was place, this drove the
  129. Cellcos and Fedz nutz, so they just simply forward your call to a
  130. special cell provider who lets you make your call using a Credit
  131. card or do it collect, usually at a ridiculous rate i.e. $2.00 per
  132. minute. (some allow calling cards)
  133. -----------------------------------------------------------------
  134. II. What does the Cellwarez do?
  135.  
  136. Cell Software Review (just the old stuff that's out, cuz there is
  137. some confusion on what can do what.)
  138.  
  139.      Cellsoft.zip ... This is original stuff that was sold as
  140.                       package from Cellular press, A.K.A Spy 
  141.                       Supply, it was priced at $500 and now can
  142.                       be yanked from any good H/P board, it
  143.                       contains the warez to do the Motorolas
  144.                       Panasonics and NEC p300/301/200/201/400.
  145.  
  146.      Newphones.arj .. This package is the Shareware (?!?!) release
  147.                       of Cellular press's moding ware. It contains
  148.                       all the files aforementioned plus wiring
  149.                       diagrams, and some warez to do NEC9A/11A
  150.                       NOKIAs , TANDY, R-SHACKS, and MITSUS MT3/MT4
  151.                       interesting note about this one is that it
  152.                       asks you to upload to various bbs's and then
  153.                       call them (Robert Carp) and Narc em out to
  154.                       receive registration (?!?) and more info on
  155.                       their services, maybe they feel guilty for 
  156.                       screwing all those folks around. * Also
  157.                       contains ROMS from the old firms of MOT
  158.                       phones for the ESN replacement technique.
  159.  
  160.  
  161.      UNICHIP.ZIP  ..  This is another package containing moding 
  162.                       wares for the MOTS/NEC/PANS, but this one
  163.                       also contains new software for doing the
  164.                       p400/401/600/601 firms before and after
  165.                       V.34, offered by unisoft. Also has Wiring
  166.                       Digrams for building the cables
  167.  
  168.      UNICELL.EXE  ..  Another package similar to the unichip.zip
  169.                       except this one contains a better Checksum
  170.                       calculator for programming the 9346-16911
  171.                       eprom, and does a larger variety of fones
  172.                       (Sony/Phillips/Nokia/Cleartone/Novatel/mobira)
  173.  
  174.      A-Z.zip      ..  C.G.Cs intensive programming guide for 110 +
  175.                       cellfones, also has some (little) information
  176.                       on back door test modes and other goodies,
  177.                       such as a definition file and a FAQ on
  178.                       ESN emulation.
  179.  
  180.      Cellmon.zip  ..  Now this one is interesting, it seems to want
  181.                       to interface with a MOT Mircotac, and
  182.                       supposedly, scans the channels to monitor the
  183.                       the frequency, this also may be a simple form
  184.                       of a DDi, (digital Data interface) which is
  185.                       used to read the RCC (reverse control
  186.                       channel). *The RCC is a channel the fone uses
  187.                       to communicate with the tower, ESN/MIN/SCM
  188.                       data is xfered through this chan.
  189.  
  190.  
  191. Honorable Mention : P3tst001.txt, a text on the test commands for
  192.                     the NEC p300/301/600/601/400/401 phones, 
  193.                     includes instructions for ESN modification :
  194.                     NOVATEL1.TXT, this file has information for 
  195.                     moding the novatel 83XX series fone, including
  196.                     changing the ESN info, (*warning, can only be
  197.                     done 3 times), OKITEST.TXT , this is a listing
  198.                     of test commands for the OKI series fones,
  199.                     which is considered to be a "HACKER PHONE!"
  200.                     MOTCODEZ.TXT, is a file which has the current
  201.                     test mode commands on motorola phones.
  202.  
  203. -------------------------------------------------------------
  204. III. Current Mod-ible fones
  205.  
  206.  
  207.      This is a short list of the phones that can currently be 
  208. altered. (ESN wise that is) If I come short on this, please
  209. by all means let me know what fones can be altered and how, but
  210. this list is comprised mostly of the ones I moded personally.
  211. The purpose of this list is for you who are out trying to buy 
  212. a cellfone, and wanna know which ones can be used. Theres a
  213. shitload of fones out there that *cant be modified currently,
  214. the big ones are the Audiovoxs (new), judging by the programming
  215. and ic's in the phone, Audiovox's engineers were overly security
  216. conscious, but as you well know this may and will change as new
  217. ways of exploiting technology becomes evident. 
  218.  
  219.  
  220.                Currently Modiable                   HOW
  221.                ==================                   === 
  222.                Motorola BAG*                        Cable, Software
  223.                Motorola FLIP*                       Cable, Software
  224.                Motorola Brick*                      Cable, Software
  225.                Panasonic D,E,F,G,H                  Cable, Software
  226.                NEC p300/301/600/601/400/401         Cable, Software
  227.                Nokia (all)                          Chip Removal
  228.                NEC 11/9a                            Cable, Software
  229.                Novatel (83XX)                       Keyboard/ROM
  230.                Mitsubishi MT3/MT4                   Chip Removal 
  231.                Sony CM-H333                         Chip Removal
  232.                Phillips PR-92                       Chip Removal
  233.                Nokia 100/190                        Chip Removal
  234.                BT / Ivory                           Chip Removal
  235.                Novatel 4400                         Chip Removal
  236.                Cityman 100                          Chip Removal
  237.                Ameritech (motorola)                 Cable, software
  238.  
  239. NOTES: * indicates that new software or a new method is needed to
  240. mod fones with firmware revs higher that 9122. Chip removal refers
  241. to removing the 9346-16911 serial eprom, and programming with the 
  242. Unichip and Unicell software
  243.  
  244. ---------------------------------------------------------------
  245. IV. How to get ESN/MIN pairs, the magic stuff
  246.  
  247.      Now Methods for obtaining this valuable information varies,
  248. I'll give you a few personal examples on how I was able to get some
  249. pairs. One method (which was lo-risk and cheap) was to do the
  250. old infamous trashing, I cased out a local cell provider branch
  251. office, found out what were there days/hours of operation, snooped
  252. and asked some questions on how they deal with fraud, (social
  253. engineering skills were needed of course), to which the only answer
  254. they could provide was "oh , well if you didn't make the calls, we
  255. will not require you to pay for them, and we'll change your number"
  256. which gave me two good pieces of information, 1 they just chalk it
  257. up to loss , to appease the customers, and two, they don't give a
  258. fuck in finding out who made the calls. Now that was good to hear,
  259. so on the day before trash collection I simply parked my car by the
  260. dumpster, (flashlight in my pocket), and simulated taking a leak
  261. behind the trash bin, quickly I open the side access panel, and did
  262. a quick search, I found 3 bags with words (cellular, contract)
  263. clearly visible in the bags, I grabbed them, look around, and
  264. tossed them in the trunk. After getting them to my garage (it was
  265. about 11:30 pm too) and sifting through the coffee filters, and
  266. salad containers, I walked off with about 100 pairs. (written
  267. contract info which is discarded after its entered into the
  268. computer). The cons to this is that you got a lot of explaining to
  269. do to the cops if they see you toss some bags of trash in your
  270. trunk, and some states have laws governing trash, to the effect of
  271. the trash being the property of the company until its collected by
  272. a designated trash refuge agency, non-the-less , this works for
  273. some places, Cell-1's here, have a company called 'Document
  274. Services' which pick up their trash, and shred the ESN/personal
  275. papers and contracts, thus this is ineffective in some areas.
  276.  
  277.      Another more expensive way, is to obtain a device called a
  278. DDi, Digital Data Interface, this thing comes in various formats
  279. from the more expensive stand-alone box, to a device which
  280. interfaces with your 800 mhz capable scanner and a PC, the cheapest
  281. standalone I seen was $1295, also I saw a kit for a simple one for
  282. about 1-$200, this is the safest way do get pairs, simply make the
  283. device mobile, and sit in a busy traffic area (freeway overpass)
  284. and collect all the data you need.
  285.  
  286.      These are just a couple of examples on obtaining the 'magic
  287. numbers' , some other ways (trading, inside help) does work too,
  288. but are sometimes not effective, try to be creative, the Fedz know
  289. about the trashing from back to the Captain Crunch days, the DDi
  290. seems to be the logical choice for snarfing.
  291.  
  292.  
  293. ----------------------------------------------------------------
  294. V. Ways of Detection
  295.  
  296.      Well this is another concern that the astute phreaker must
  297. know is how to avoid detection, what you must remember is that the
  298. only way you can be physically traced, is by having the phone
  299. powered up and registered within the system, and all the cops have
  300. to do is some rudimentary triangulation and you're snagged, as long
  301. as you remember some basic rules, you can slim your chances of
  302. being discovered.
  303.      1. Never reveal your location or describe yourself over the
  304. airwaves, this is a real common mistake, just a simple as you
  305. turning on a scanner to monitor conversations, the cops have even
  306. more sophisticated equipment to do so. A cell phreaker once told me
  307. to just pretend you're in a crowed room when you speak on the fone,
  308. so the information that you relay should not be something that you
  309. would want that crowd to hear. You are just handing yourself over
  310. when you make this mistake.
  311.      2. Never leave your phone powered up or battery pack left on,
  312. this reason is simple, you turn the phone on, you're registered in
  313. the system, every phone transmits the ESN/MIN/SCM data to the cell
  314. tower to become registered so that when you place a call , the fone
  315. will be ready, some phones (motorola bags/totes/installed) transmit
  316. this data, even when its powered off, only the power adapter or
  317. battery need be connected, the effect varies when 2 fones with the
  318. same ESN/MIN/SCM data are registered at the same time, but most of
  319. the time a Fraud Flag goes off, and your calls (the #'s) are
  320. recorded or the system denies you access to place calls.
  321.      3. Never give any personal information out over the phone,
  322. this is a relative mistake as mentioned in #1, except this is
  323. mainly geared towards those, who like to make reservations at a
  324. restaurant or order a pizza, all the fedz need do is call the
  325. number and asked who placed a order at such and such day and time
  326. (these places usually keep a record of this), and wham, youre
  327. busted.
  328.  
  329. -------------------------------------------------------------------
  330. VI. Internet Sites to get Cell info
  331.  
  332.      Here is a list of Anon. FTP sites where Cell info is stored,
  333. I've checked them all in the past month, and they're still up. 
  334.  
  335. SPY.ORG                   /pub/SECURITY/SECTEC/cellular
  336. Corrupt.Sekurity.com      /pub/phones and /pub/incoming
  337. l0pht.com                 /pub/blackcrwl/cell
  338. src.doc.ic.ac.uk
  339. wiretap.spies.com
  340. ftp.winternet.com         /users/craigb
  341. quartz.rutgers.edu          
  342. Ftp.Netcom.com
  343. siam.unibe.ch
  344. ftp.eff.org
  345. ftp.cic.net
  346.  
  347.      If you got any more, don't hold out, email em, or upload em to
  348. me at the above email address.
  349. -----------------------------------------------------------------
  350. VII. Last notes
  351.  
  352.      Well this will end my first issue of the Cellhackers journal,
  353. I need anyone who knows anything, and would like to contribute ,
  354. please email me or contact me on the stargate BBS, you can find the
  355. # and nup on quality boardz, or chat with me on the IRC, I use the
  356. handle TECHMAN / CELLFONE / or MICROTAC, usually in the #STARGATE
  357. , #CELLULAR, #PHREAK channels, the next issue we'll get into some
  358. more ESN moding Back Doors on some popular phones, and I'm trying
  359. to get some generic plans for building a cheap DDi, a flip fone and
  360. scanner (moded to receive 800 mhz cell freqs) will be needed. I'll
  361. try to have the next issue out in JAN, it'll prob be right after
  362. new years, hack on gentlemen.
  363.  
  364.  
  365.      Some Greetz go out to:
  366.  
  367.      DrDamien for Breaking the Barrier on writing about Cell
  368. Phreaking, a lot of shit here I learned from you.
  369.      PMF the man who supplied MPC to me, thanks man, sorry about
  370. our little ESN fandango, but we're clearing it up.
  371.      PaTcH NET, (Code REd, Thranduil) for starting this cool net,
  372. we need to X-pand this shit tho'
  373.      Drunkfux, for all his late-breaking info and cool t-files, how
  374. come you wont validate me on your board man, and I hope your band
  375. is working out.
  376.      MOTOROLA for making a damn good (and modifiable) fone, I hope
  377. you guys keep it up.
  378.      Cybertron , my boy with the gutz. Peaches my girl, Nutz and
  379. Voltz mag, WayWard (for his skillz) , TACACS, Chr0nic, Terminal
  380. Man, Alphabits, The Raven of HTH, and anyone else I didn't mention.
  381.  
  382.                                                 PEACE
  383.                                                 TECHMAN
  384.  
  385.