home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / phreak / general / phk90s.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  24.2 KB  |  410 lines
  1.      
  2.      Hitchhikers guide to the phone system.. Phreaking in the nineties
  3.                                (By Billsf)
  4.  
  5.  
  6.                                 Introduction
  7.                                 ------------
  8.  
  9.  
  10.   In this article I will try to introduce you to the most complex machine on
  11. earth: the phone system. It's a guide to having fun with the technology, and
  12. I hope it will help you on your travels through the network. It is by no 
  13. means a definitive manual: If you really want to get into this, there are lots
  14. of additional things you must learn and read.
  15.   This article assumes you know a little bit about the history of phreaking.
  16. It is meant as an update for the sometimes very outdated documents that can
  17. be downloaded from BBS's. In here I'll tell you which of the old tricks might
  18. still work today, and what new tricks you may discover as you become a phone
  19. phreak.
  20.   As you learn to phreak you will (hopefully) find ways to make calls that 
  21. you could not make in any other way. Calls to test numbers that you cannot
  22. reach from normal network, calls to ships (unaffordable otherwise), and much
  23. more. As you tell others about the hidden world you have discovered, you will
  24. run into people who have been brainwashed into thinking that all exploration
  25. into the inner workings of the phone system is theft or fraud. Convincing 
  26. these people of your right to explore is probably a waste of time, and does
  27. not advance your technical knowledge.
  28.   Phreaking is like magic in more than one way. Those people who are really
  29. good share their tricks with each other, but usually don't give out these
  30. tricks to anyone walking by. This will be somewhat annoying at first, but
  31. once you're really good you'll understand that it's very unpleasant if the
  32. trick you just discovered is wasted the very next day. I could tell you at
  33. least twenty new tricks in this article but I prefer to teach you how to find
  34. your own.
  35.   Having said this, the best way to get into phreaking is to hook up with 
  36. other phreaks. Unlike any other sub-culture, phreaks are not bound by any
  37. geographical restrictions. You can find other phreaks by looking for 
  38. hacker/phreak BBS's in your region. Having made contact there you may en-
  39. counter these same people in teleconferences that are regularly set up. These
  40. conferences usually have people from all over the planet. Most phreaks from
  41. other contries outside the United States speak Englisch, so language is not
  42. as much of a barrier as you might think.
  43.   If you live in a currently repressed area, such as the United States, you
  44. should beware that even the things that you consider "harmless exploring"
  45. could get you into lots of trouble (confiscation of computer, fines, probation
  46. jail, loss of job, etc.). Use your own judgement and find your protection.
  47.  
  48.  
  49.                              Getting Started
  50.                              ---------------
  51.  
  52.   The human voice contains components as low as 70Hz, and as high as 8000Hz.
  53. Most energy however is between 700 and 900Hz. If you cut off the part under
  54. 200 and above 3000, all useful information is still there. This is exactly
  55. what phone companies do on long distance circuits.
  56.   If you think all you have to do is blow 2600Hz and use a set of twelve MF
  57. combinations, you have a lot of catching up to do. One of the first multi-
  58. frequency systems was R1 with 2600Hz as the line signalling frequency, but for
  59. obvious reasons it is rarely used anymore, except for some very small remote
  60. communities. In this case its use is restricted, meaning it will not give you
  61. access to all the world in most cases.
  62.   To begin with, all experimenting starts at home. As you use your phone, 
  63. take careful note as what it does on a variety of calls. Do you hear "dialing"
  64. in the background of certain calls as they are set up? Do you hear any high
  65. pitched beeps while a call is setting up, as it's answered or at hangup of
  66. the called party?
  67.   Can you make your CO fial to complete a call either by playing with the
  68. switchhook or dialing strange numbers? If you are in the United States, did
  69. you ever do something that will produce a recording:"We're sorry, your call
  70. did not go through..." after about 15 seconds of nothing?
  71.   If you can do the last item, you are "in" for sure! Any beeps on answer or
  72. hang-up of the called party also means a sure way in. Hearing the actual MF
  73. tones produced by the telco may also be your way in. While it would be nice
  74. to find this behavior on a toll-free circuit, you may consider using a 
  75. national toll circuit to get an overseas call or even a local circuit for a
  76. bigger discount. Every phone in the world has a way in. All you have to do
  77. is find one!
  78.   
  79.  
  80.                            An overview of Systems
  81.                            ----------------------
  82.  
  83.   First we must start with numbering plans. The world is divided up into
  84. eight separate zones. Zone 1 is the United States, Canada and some Caribbean
  85. nations having NPA 809. Zone 2 is Africa. Greenland (299) and Faroe Islands
  86. (298) do not like their Zone 2 assignment, but Zones 3 and 4 (Europe) are
  87. all taken up. Since the DDR is now unified with BRD (Germany) the code 37 is
  88. up for grabs and will probably be subdivided into ten new country codes to
  89. allow the new nations of Europe, including the Baltics, to have their own
  90. codes. Greenland and the Faroe Islands should each get a 37x country code.
  91. Zone 5 is Latin America, including Mexico (52) and Cuba (53). Zone 6 is the 
  92. south Pacific and includes Australia (61), New Zealand (64) and Malaysia (60).
  93. Zone 7 is now called CIS (formerly the Soviet Union), but may become a third
  94. European Code. Zone 8 is Asia and includes Japan (81), Korea (82), Vietnam
  95. (84), China (86), and many others. Zone 9 is the sub-continent of India (91)
  96. and surrounding regions. A special sub-zone is 87, which is the maritime
  97. satellite service (Inmarsat). Country code 99 is reserved as a test code for
  98. international and national purposes and may contain many interesting numbers.
  99.   In zone 1, a ten digit number follows with a fixed format, severely limiting
  100. the total number of phones. NPA's like 310 and 510 attest to that. The new
  101. plan (beginning in 1995) will allow the middle digit to be other than 1 or 0,
  102. allowing up to five times more phones. This is predicted to last into the
  103. 21st century. After that Zone 1 must move to the fully extensible system used
  104. in the rest of the world.
  105.   The "rest of the world" uses a system where "0" precedes the area code for
  106. numbers dialed within the country code. France and Denmark are notable ex-
  107. ceptions, where there are no area codes or just one as in France (1 for Paris
  108. and just eight digits for the rest). This system has proven to be a total
  109. mess - worse than the Zone 1 plan!
  110.   In the usual numbering system, the area code can be of any length, but at 
  111. this time between one and five digits are used. The phone number can be any
  112. length too, the only requirement being that the whole number, including the
  113. country code but not the zero before the area code, must not exceed fourteen
  114. digits. Second dialtones are used in some systems to tell customers they are 
  115. connected to the area they are calling and are to proceed with the number.
  116. With step-by-step, you would literally connect to the distant city and then
  117. actually signal it with your pulses. Today, if second dialtones are used it's
  118. only because they were used in the past. They have no meaning today, much
  119. like the second dialtones in the custom calling features common in the United
  120. States. The advantages of the above "linked" system is that it allows ex-
  121. pansion where needed without affecting other numbers. Very small villages may
  122. only have a three digit number while big cities may have eight digit numbers.
  123. Variations of this basic theme are common. In Germany, a large company in 
  124. Hamburg may have a basic five digit number for the reception and eight digit
  125. numbers for the employee extensions. In another case in this same town, 
  126. analog lines have seven digits and ISDN lines have eight digits. In many
  127. places it common to have different length numbers coming to the same place.
  128. As confusing as it sounds, it really is easier to deal with than the fixed
  129. number plan!
  130.  
  131.                            
  132.                       International Signalling Systems
  133.                       --------------------------------
  134.  
  135.   CCITT number four (C4) is an early system that linked Europe together and
  136. connected to other systems for overseas calls. C4 uses two tones: 2040 and
  137. 2400. Both are played together for 150mS (P) to get the attention of the
  138. distant end, followed by a "long" (XX or YY = 350mS) or a "short" (X or Y =
  139. 100mS) of either 2040 (x or X) or 2400 (y or Y) to indicate status of the
  140. call buildup. Address data (x=1 or y=0, 35 ms) is sent in bursts of four bits
  141. as hex digits, allowing 16 different codes. One hundred milliseconds of 
  142. silence was placed between each digit in automatic working. Each digit there-
  143. fore took 240mS to send. This silence interval was non-critical and often had
  144. no timeout, allowing for manual working. C4 is no longer in wide use, but it
  145. was, due to its extreme simplicity a phreak favorite.
  146.   CCITT number five (C5) is still the world's number one overseas signalling
  147. method; over 80 percent of all overseas trunks use it. The "plieks" and tones
  148. on Pink Floyd's "The Wall" are C5, but the producer edited it, revealing an
  149. incomplete number with the old code for Londen. He also botched the cadance
  150. of the address signalling very badly, yet it really sounds OK to the ear as
  151. perhaps the only example most Americans have of what an overseas call sounds
  152. like!
  153.   In actual overseas working, one-half second of 2400 and 2600Hz, compound,
  154. is sent (clear forward) followed by just the 2400Hz (seize), which readies
  155. the trunk for the address signalling. All address signals are preceded with
  156. KP1 (code 13) for terminal traffic, plus a discriminating digit for the class
  157. of call and the number. The last digit is ST (code 15) to tell the system
  158. signalling is over. For international transit working, KP2 (code 14) is used
  159. to tell the system a country code follows, after which the procedure is 
  160. identical to the terminal procedure.
  161.   CCITT six and seven (C6 and C7) are not directly accessible from the
  162. customer's line, yet many "inband" systems interface to both of thes. C6 is
  163. also called Common Channel Interoffice Signalling (CCIS) and as its name
  164. implies, a dedicated line carries all the setup information for a group of
  165. trunks. Modems (usually 1200 Bps) are used at each end of the circuit. CCIS
  166. is cheaper, and as an added benefit, killed all the child's play blue boxing
  167. that was common in the states in the 60's and early 70's. In the early 80's
  168. fiber and other digital transmission became commonplace, and a new signalling
  169. standard was required. C7 places all line, address, and result (backward)
  170. signalling on a Time Division Multiplexed Circuit (TDM and TDMC) along with
  171. everything else like data and voice. All ISDN systems require the use of SS7
  172. to communicate on all levels from local to worldwide.
  173.   The ITU/CCITT has developed a signalling system for very wide and general
  174. use. One called "The European System", R2 has become a very widespread inter-
  175. national system used on all continents. R2 is the most versatile end-to-end
  176. system ever developed. It is a two-way system like C7 and comes in two forms,
  177. analog and digital, both fully compatible with each other. R2 has completely
  178. replaced C4, with the possible exception of a few very remote areas where it
  179. works into R2 using using registers. Two groups of fifteen, two of six MF
  180. tones are used for each direction, the high frequency group forward and the
  181. low group backward. Line signalling can be digital with two channels or out-
  182. of-band at 3825Hz, DC, or in cases of limited bandwidth on trunks, can use the
  183. C4 line signals, just the 2040 + 2400Hz or 3000Hz or even backward signals
  184. sent in a forward direction. The signals can be digitally quantised using the
  185. A-law or u-law codec standards, resulting in compatible signals for analog
  186. lines. In international working, only a small part of the standard is man-
  187. datory with a massive number of options available. For national working, an
  188. ample number of MF combinations are "reserved for national use", providing
  189. an expandable system with virtually limitless capabilities. R2 is the "system
  190. of the nineties" and mastering this, for the first time, allows the phone
  191. phreak "to hold the whole world in his hands" in a manner that the person who
  192. coined this phrase could have only dreamed of in the early seventies!
  193.   With the exception of bilateral agreements between neighboring countries to
  194. make each other's national systems compatible, especially in border regions,
  195. all international systems in use are: C5, C6, C7, and R2. R2 is limited to a
  196. single numbering region by policy and must use one of the three remaining 
  197. systems for overseas working. There are few technical limitations to prevent
  198. R2 from working with satellites, TASI, or other analog/digital underseas 
  199. cables. The spec is flexible enough to allow overseas working, but is not 
  200. done at the present time. R2 is likely to displace C5 on the remaining analog
  201. trunks in the near future.
  202.  
  203. DTMF is on a 4x4 matrix, one tone from a row and one from a column.
  204.   1=697+1209, etc.
  205.  
  206.             1209       1336      1477     1633
  207.     697       1          2         3        A
  208.     770       4          5         6        B
  209.     852       7          8         9        C
  210.     941       *          0         #        D
  211.  
  212. MF signalling, often used to signal between pionts, uses a 2 of 6 matrix.
  213. Each tone has a weighting which adds up to an unique number. The three
  214. standard sets of tones use this system.
  215.  
  216.        Digit                Weighting
  217.          1                    0+1
  218.          2                    0+2
  219.          3                    1+2
  220.          4                    0+4
  221.          5                    1+4
  222.          6                    2+4
  223.          7                    0+7
  224.          8                    1+7
  225.          9                    2+7
  226.          0 (Code 10)          4+7
  227.          11 (Code 11)         0+12
  228.          12 (Code 12)         1+12
  229.          KP1 (Code 13)        2+12
  230.          KP2 (Code 14)        3+12
  231.          ST (Code 15)         7+12
  232.  
  233. For C5, either KP is 100mS and each digit lasts 50mS. A 50mS off time is used
  234. between each digit. For older R1 systems, the KP is 100mS and each digit is
  235. 68mS on and 68mS off. Modern systems are C5 compatible and use the C5 timing.
  236. In North America, an additional 50 or 68mS pause is inserted before the last
  237. digit.
  238. Example: KP18(pause)2ST.....KP03120600148(pause)0ST. This pattern was added
  239. about 15 years ago and appears to be unnecessary, except to give an audible
  240. indication of false (blue box) signalling. Its is is HIGHLY recommended for
  241. phreaks where it is normally used by the telco! R2 is a COMPELLED system
  242. where reception of the forward signal produces a backward signal, which at
  243. its reception, stops the forward signal. The stopping of the forward signal
  244. stops the backward signal, and when the stopping of the backward signal is
  245. detected, a new forward signal is generated. This goes back and forth until
  246. all the information is transmitted. The backward signal (usually "1", send
  247. next digit) tells the sendig end what to send next. See the CCITT Red Book
  248. or Welch for complete information on both systems.
  249.  
  250.    Weight        MFC       R2 forward      R2 Backward
  251.      0           700         1380             1140
  252.      1           900         1500             1020
  253.      2           1100        1620             900
  254.      4           1300        1740             780
  255.      7           1500        1860             660
  256.      12          1700        1980             540
  257.  
  258. C4 is the old European signalling system. The address signals have 35mS pause
  259. between each beep and 100mS pause (minimum) between each digit. Minimum time
  260. to send a digit (including pause) is 345mS. This system is limited use today,
  261. if at all.
  262.  
  263.    x:     2040                35mS (binary "1")
  264.    y:     2400                35mS (binary "0")
  265.    X:     2040                100mS
  266.    Y:     2400                100mS
  267.    XX:    2040                350mS
  268.    YY:    2400                350mS
  269.    P:     2040+2400           150mS
  270.  
  271.    Clear Forward:     PXX
  272.    Transit Seizure:   PX
  273.    Forward Transfer:  PYY
  274.    Terminal Seizure:  PY
  275.    1:  yyyx
  276.    2:  yyxy
  277.    3:  yyxx
  278.    ...
  279.    14: xxxy
  280.    15: xxxx
  281.    16: yyyy
  282.  
  283.  
  284.    Place                     Event       Freq             Cadance
  285.    =========================================================================
  286.    N. America                dialtone    350+440          Continuous
  287.                              ring        440+480          2s on 4s off
  288.                              busy        480+620          0.5s on 0.5s off
  289.                              fast busy   480+620          0.25 on 0.25 off
  290.    England                   ring        450+500          0.25 on 0.5 off
  291.    (Australia,New Zealand,                                0.25 on 2.0 off
  292.    etc.)                                                  
  293.    Japan                     ring        450+500          1.0 on 2.0 off
  294.    Holland                   dialtone    150+450          Continuous
  295.                                          (450 at -8dB)    
  296.    most of world             all         400 or 440       (See text)
  297.                              SIT         950, 1400, 1800  (See text)
  298.  
  299.  
  300.   Most of the world's phone systems use only one low pitched tone to represent
  301. all calling status. The most common tones in use are 400Hz, 440Hz and 450Hz.
  302. In some cases the tones are modulated, usually AM, at 25 or 50Hz at variable
  303. depths. In some old switches, the ring modulates the tone, or it is just the
  304. harmonics of the ring frequency, which is usually 25Hz, but can be other 
  305. frequencies, producing the "fart ring". Cadances for the busy are either the
  306. fast at 0.25 on and 0.25 off, or the slow at 0.5 on and 0.5 off. Ring signals
  307. are usually on one second and off for two, but can vary. In Iraq, the ring is
  308. continuous! The SIT (Subscriber Information Tone) is 950 then 1400 and then
  309. 1800Hz. The total length is about one second. The lengths of the individual
  310. tones are sometimes variable to impart different meanings for automatic 
  311. detection.
  312.  
  313.  
  314.                         National Signalling Systems
  315.                         ---------------------------
  316.  
  317.   CCITT 1, 2 and 3 are early international standards for signalling the 
  318. distant end. C1 is just a 500Hz line signalling tone, and was used to alert
  319. the operator at a distant switchboard that there was traffic and no DC path,
  320. due to amplifiers or repeaters on a relatively long circuit. C1 has only one
  321. line signalling function (forward transfer) and no address signalling. It is
  322. probably used nowhere.
  323.   CCITT 2 was the first international standard that used address signalling,
  324. allowing automatic completion of calls. Two frequencies, 600Hz and 750Hz,
  325. were used for line signalling and by pulsing between the two frequencies,
  326. representing make and break, of the loop current at the distant end during
  327. signalling, calls were automatically pulse dialable. You may actually find
  328. this system in limited use in very remote parts of Australia or South Africa.
  329. Fairly high signalling levels are required and may very well make customer
  330. signalling impossible, unless you are right there. Travel to both the above
  331. countries should be fascinating however for both phone play and cultural
  332. experience!
  333.   CCITT 3 is an improved pulse system. Onhook is represented by the presence
  334. of 2280Hz and offhook by the absence of 2280Hz. This exact system is still
  335. used in a surprising number of places. Pulse-dial PBX's often use C3 to signal
  336. distant branches of a company over leased lines. Signalling for this system
  337. is generally at a much lower level than C2: The tones will propagate over any
  338. phone line.
  339.   A system from the early 50's is called R1. Many people remember R1 as the 
  340. Blue boxes of the 60's and 70's . R1 is still in wide use in the United
  341. States, Canada and Japan. The use of 2600Hz for line signalling is quite rare
  342. in the 90's, but can be found in all of the above countries. Address signal-
  343. ling uses the MFC standard which is a combination of two of six tones
  344. between 700Hz and 1700Hz as in CCITT 5. Alsmost all R1 used either "out of
  345. band" signalling at 3825Hz or 3350Hz or some form of digital or DC line
  346. signalling. To use this system from home one must find an indirect method of
  347. using the "out of band" signalling. In North America, most signalling from
  348. your central office to your long distance carrier is R1, as is most OSPS/
  349. TSPS/TOPS operator traffic.
  350.   Pulse systems like CCITT 2 and 3 are still used in national systems. In
  351. North America, the C3 standard using 2600Hz in place of 2280 for national
  352. working was commonplace through the 70's and still has limited end-to-end use
  353. today. "End-to-end" use refers to sending just the last few digits (usually
  354. five) to complete the call at the distant end. The only use this may have to
  355. the phreak would be to make several calls to a single locality on one quarter.
  356. It may be possible that a certain code would drop you into an R1, but you 
  357. just have to experiment! This type of system is referred to as 1VF, meaning
  358. "one Voice Frequency". The other standard frequency, for use outside North 
  359. America, is 2400Hz. A national system using two voice frequencies (2VF) may
  360. still be used in remote areas of Sweden and Norway. The two frequencies are
  361. 2400Hz and 2600Hz. Playing these two systems in Europe predates the cracking
  362. of the R1 and C5 systems in the late 50's and early 60's respectively. The
  363. first phone phreak was probably in Sweden.
  364.   Common Channel Interoffice Signalling (CCIS) is CCITT 6 developed for
  365. national use and employing features that are of interest to national admini-
  366. strations. R1 often plays into a gateway being converted to CCIS and CCIS
  367. will play into a gateway that converts to C5, C6 or C7 for international 
  368. working. The bulk of the ATT net is CCIS in North America, while R1 is often
  369. used by your CO talk to it and the lessel networks. CCITT 7 is the digital
  370. system and is the same nationally as internationally. C7 allows the greatest
  371. efficiency of all systems and will in time be the world system. C7 has much
  372. more speed and versatility than R2, but is a digital only system. All fiber
  373. optic systems employ SS7 (C7).
  374.   No discussion of systems is complete without mentioning Socotel. Socotel is
  375. a general system developed by the French. It is a hodgepodge of many systems,
  376. using MFC, pulse tone, pulse AC and pulse DC system. Most (all?) line 
  377. signalling tones can be used. An inband system can use 2500Hz as a clear
  378. forward and 1700 or 1900Hz for seize or, in Socotel terms, "confirm". Most
  379. line signalling today is "out of band", but unlike normal outband signalling,
  380. it is below band: DC, 50Hz or 100Hz. It is a "brute force" system using 100V
  381. levels, insuring no customer has a chance of getting it directly! Call setup
  382. on the AC systems often has a very characteristic sound of of short bursts of
  383. 50Hz or 100Hz buzz, followed by the characteristic French series of 500 Hz
  384. beeps to alert the customer that the call has been received from the Socotel
  385. by the end office and is now being (pulse) dialed. Calls often don't make it
  386. through all the gateways of a Socotel system, sometimes giving the French
  387. phreak a surprise access where it stuck!
  388.   On a national level there are even more systems and some are very bizarre.
  389. Some use backward R2 tones in the forward direction for line signalling, 
  390. giving analog lines the versatility of digital line signalling. There have
  391. been some interlocal trunks that actually used DTMF in place of MF! The
  392. "Silicon Valley" was once served by DTMF trunks for instance. When I visited
  393. my local toll office and was told this and pressed for an answer as to why,
  394. I was told "We had extra (expensive then) DTMF receivers and used them!" As
  395. a phreak, be ready for anything as you travel the world.
  396.  
  397.  
  398.                               Stuff to read
  399.                               -------------
  400.  
  401.   Signalling in Telecommunications Networks, S. Welch, 1979
  402.     ISBN 0 906048 044
  403.   The Institution of Electrical Engineers, Londen & New York
  404.   CCITT Red Book, Blue Book, Green Book and whatever other colors of books
  405.   they have, Concentrate on the Q norms.
  406.   Telecommunications Engineering, Roger L. Freeman
  407.  
  408.  
  409. - EOF -
  410.