home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / lodhtj03.003 < prev    next >
Encoding:
Text File  |  2003-06-11  |  24.1 KB  |  438 lines
  1. The LOD/H Technical Journal, Issue #3: File 03 of 11
  2.  
  3.  
  4.          $LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$
  5.          L                             L
  6.          O         AUTOMATIC MESSAGE ACCOUNTING         O
  7.          D                             D
  8.          $                 (AMA)             $
  9.          L                             L
  10.          O              An overview             O
  11.          D                             D
  12.          $          Written by Phantom Phreaker         $
  13.          L                             L
  14.          O            Legion Of Doom!          O
  15.          D                             D
  16.          $LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$LOD$
  17.  
  18.       <part two of two>
  19.  
  20.  
  21.      The standard AT&T Toll office switch, the No. 4 ESS, is also equipped to
  22. handle CAMA if necessary. The CAMA procedure is as follows: Call data for the
  23. CAMA call is kept in a buffer (technically called an Accounting Block (AB))
  24. which then stores the entry upon a nine track 800-bpi (bits per inch) AMA tape
  25. (note: the information used in research for this part of the article was
  26. rather old, so the bits per inch has probably increased). The data that are
  27. kept in this buffer and put on the tape are as follows: the calling DN, the
  28. called DN, answer and disconnect times accurate to 0.1 second, and other misc.
  29. information. The callers DN can be entered into the 4ESS in two ways, ANI or
  30. ONI. ANI is of course the normal method for identifying a callers DN for
  31. billing purposes. ONI is used when there is an ANIF, or when it is needed (the
  32. other equipment cannot get the DN with ANI). When the 4E gets an ANIF or an
  33. ONI needed, it sends the call to a TSPS operator, who should ask the caller
  34. for their number. When an operator gets an ONI situation 'from' a 4E, she uses
  35. two types of trunks, a talking trunk, and a keying trunk. The talking trunk is
  36. what the subscriber comes in upon and is the line over which the operator asks
  37. for the callers DN. The keying trunk originates at the 4E and terminatates at
  38. TSPS, and is what is used to send the callers DN (in MF) to the 4ESS office.
  39. The operator has access to both trunks at the same time, thus she can enter
  40. the number in a quick and orderly fashion.
  41.  
  42.     When a line classification does not fit into the 'one information digit'
  43. (KP+I+NNX+XXXX+ST) category, two information digits are used. When two are
  44. used, they are called screening codes. Screening codes are outpulsed along
  45. with the ANI for certain types of telephone lines, and when ANI is being sent
  46. to an alternate carrier via 'Equal Access' (Feature Group D, 1+ dialing).
  47. These screening codes are two digits and precede the subscribers DN. An
  48. example of screening code outpulsing is as follows:
  49.  
  50.                    KP+II+NNX+XXXX+ST
  51.  
  52.     The II represents two information digits that precede the callers number.
  53. Some of the more common screening codes are as follows:
  54.  
  55.       KP+00+NXX+XXXX+ST     Normal telephone call, identified POTS line;
  56.       KP+01+NXX+XXXX+ST     ONI needed on a multiparty line;
  57.       KP+02+NXX+XXXX+ST     ONI needed due to ANI Failure;
  58.       KP+07+NXX+XXXX+ST     Hospital, inmate type telephone;
  59.       KP+08+NXX+XXXX+ST     Line restricted from dialing inter-LATA;
  60.       KP+10+NNX+XXXX+ST     Telco test call;
  61.       KP+20+NNX+XXXX+ST     Automatic Identified Outward Dialing centrex call;
  62.       KP+27+NNX+XXXX+ST     Coin telephone call.
  63.  
  64.  
  65.     These double digit outpulsing formats are used in Equal Access areas, and
  66. a similar method of outpulsing is used when customers deal with TSPS
  67. operators.
  68.     For more information, see the July, 1987 issue of 2600 Magazine, an article
  69. entitled 'How phreaks are caught'.
  70.  
  71. AMARC
  72. -----
  73.  
  74.     The AMARC, or Automatic Message Accounting Recording Center, is a fairly
  75. modern development toward recording billing information. It offers the telco
  76. several advantages to the older electromechanical setups, such as increased
  77. revenue (always a plus in their eyes), reduced RAO processing costs, a new
  78. computerized format that stores data on 1600 bpi, industry compatible magnetic
  79. tape, elimination of loss due to paper tapes being destroyed, and elimination
  80. of per-office paper tape pickup and delivery.
  81.  
  82.  
  83. THE NO. 1 AMARC
  84. ---------------
  85.  
  86.     The first version of the AMARC was the No. 1 AMARC, which received billing
  87. data on a real-time basis over dedicated data links. It was based on two DEC
  88. PDP-11/40 minicomputers. The No. 1 AMARC controls and recieves data from a
  89. maximum of thirty dedicated channels. A channel consisted of a dedicated line
  90. (probably a Private Line service) equipped with a 202T data set, operating
  91. asynchronously at 1.2 kbps. The No. 1 AMARC had a feature which allowed it to
  92. call, over the DDD network, a backup channel in case one of the normal
  93. channels experienced a failure. This backup channel could be reached by anyone
  94. who had the phone number. It has not been determined by the author if there
  95. was/is any security on these backup channels.
  96.  
  97.  
  98. THE NO. 1A AMARC
  99. ----------------
  100.  
  101.     Eventually, it was decided that more data channels were needed, and that
  102. the AMARC computer could be centralized, and not clustered in administrative
  103. centers, as was the procedure. The No. 1A AMARC fulfilled the telco's needs.
  104. The No. 1A AMARC uses a higher capacity minicomputer, the DEC PDP-11/70, and
  105. Western Electric peripheral equipment to provide ninety input channels,
  106. improved maintenance capabilities, and room for growth in several areas. The
  107. first No. 1A AMARC began operation in 1981 in the Chicago area.
  108.  
  109.     An important feature common to both the No. 1 and No. 1A AMARC was the
  110. ability to recieve billing information electronically over dedicated lines
  111. from central office switches. Equipment located in central offices called
  112. sensors send this data. There are different types of sensors for different
  113. types of switching equipment, but the most common AMARC sensors shall be
  114. listed here.
  115.  
  116.  
  117.     The Call Data Transmitter (CDT). The newest AMARC sensor. The CDT is a
  118. microprocessor based system which is used to collect data from No. 5 crossbar
  119. offices. It is designed to be used in systems that do not have LAMA-A and do
  120. not have enough traffic to warrant the expense of installing the No. 5 ETS.
  121. It can be used with other sensors, and is not the only kind used in No. 5
  122. crossbars. The first one was cut over in Illinois in 1980.
  123.  
  124.     The Call Data Accumulator (CDA). Similar to the CDT, but uses wired logic
  125. control. The CDA, which collects AMA information from SxS switches, was the
  126. first sensor to be made for use with the AMARC. This sensor is connected to
  127. the ring, tip, and sleeve leads in a SxS switch, probably at the MDF. The
  128. first CDA was cut over into service in New York in 1975.
  129.  
  130.     The Billing Data Transmitter (BDT). Used in electromechanical offices,
  131. such as the Nos. 1, 5, 4, and 4A Crossbar, SxS CAMA, and the Crossbar Tandem
  132. (XBT).    The BDT replaced up to 10 paper tape perforators that were previously
  133. used.  Provides a newer alternative to LAMA-A. The BDT recieves billing data
  134. from the older LAMA-A paper tape recorder circuits and sends them to the
  135. AMARC. The first BDT was cut over in New York in 1976.
  136.  
  137.     The No. 5 Electronic Translator System (ETS). The No. 5 ETS was added to
  138. No. 5 Crossbar systems to provide some electronic switching functions that
  139. were not present before. These functions are things such as line, trunk, and
  140. routing translations provided by software methods rather than wired cross
  141. connections.  The No. 5 ETS consists of duplicated Western Electric 3A
  142. auxillary processors with associated scanners and distributors. The first No.
  143. 5 ETS was installed in Ohio in 1977.
  144.  
  145.     VIDAR, a special sensor used in Crossbar No. 1 offices. VIDAR does not
  146. interface with the AMARC but instead sends data to it's own tape. This tape is
  147. then sent to the RAO on a regular basis.
  148.  
  149.     These various sensors are specially designed electronic units which are
  150. part of or connected to class 5 offices. These sensors collect and generate
  151. billing data from the office they are used with. The billing data consist of
  152. answer and disconect times, call type, and the amount of measured local and
  153. toll calls made.
  154.  
  155.     Some offices have added sensors, but exceptions include several ESS
  156. systems which use SPC (Stored Program Control) to send data to the AMARC. SPC
  157. means that the sensor is built into the switch software and that no other
  158. equipment is needed. An example of this is the NTI DMS-100 switch. Nos. 2, 2B,
  159. 3, 3B, and No. 5 ESS also do not have special AMARC sensors, but send data to
  160. the AMARC over a synchronous connection via a SPUC/DL (Serial Peripheral Unit
  161. Controller /Data Link) at speeds of 2.4 and 4.8 kbps. There is another part in
  162. the 2B ESS AMARC data link, called the AMARC Protocol Converter (APC). The APC
  163. is a medium between the SPUC/DL and the AMARC.
  164.  
  165.     The No. 4 ESS, TSPS, 1ESS, 1AESS, and 2ESS switches don't have AMARC
  166. sensors, and aren't even connected to the AMARC. These switches all have their
  167. own AMA systems, from which the data is sent to the RAO regularly. Another
  168. exception is the DMS-10 Remote Switch, which is connected to a device at the
  169. RAO called a collector.
  170.  
  171.     There are other options possible when dealing with AMA collection, such as
  172. the Distributed Call Measurement System (DCMS) made by a telco equipment
  173. vendor, which acts like a mini-AMARC, and Northern Telecom's Distributed
  174. Processing Peripheral system, which is used to collect billing data from NTI's
  175. DMS switches. These systems can be used where applicable.
  176.  
  177.  
  178. RECENT DEVELOPMENTS
  179. -------------------
  180.  
  181.     In places where magnetic tape has been phased out, a new method of storing
  182. the AMA data called AMA TeleProcessing Systems (AMATPS) has been implemented.
  183. AMATPS overcomes the disadvantages of magnetic tape (such as the sequential
  184. way the data is recorded, the high-density data losses that may happen, and
  185. the sometimes unseen problems with the tape unit) by using random access disk
  186. drives. AMATPS also adds some new system parts which can make the job easier.
  187. Still, some AMATPS are not used to their full capability and can still present
  188. problems to the telco.
  189.  
  190.     One of the parts that AMATPS adds to the overall AMACS is the use of AMA
  191. Transmitters (AMAT's). These transmitters are added to the sensors, and
  192. increase the power of the overall setup by providing things such as temporary
  193. storage areas and programming applications. AMAT's are generally PC-sized
  194. machines with two disk drives, and 50-150 megabyte hard disks.
  195.  
  196.     The second important addition is the collector. The collector acts like
  197. the AMARC by polling the AMAT over data links. The collector, like AMARC, is a
  198. centrally located computer system, usuallly running on an IBM Series 1, an
  199. HP-1000, or an AT&T 3B5.
  200.  
  201.     Teleprocessing systems are made to understand a common AMA language format
  202. made by Bellcore, the Bellcore AMA Format and Extended Bellcore AMA Format.
  203. These were mentioned in part A of this article.
  204.  
  205.  
  206. BOC/AT&T INTERACTION
  207. --------------------
  208.  
  209.     Since the majority of people are served by AT&T, one may wonder how inter-
  210. LATA call data gets to the given Inter-LATA Carrier (IC), in this case, AT&T.
  211. AT&T has its own AMA collection system, which is called BILDATS (BILling DATa
  212. System), and this is what collects the AT&T data. I would guess that each AT&T
  213. toll office has some sort of interface with this computer system, but I have
  214. no solid proof of this. It has also been suggested to me from a reliable
  215. source that AT&T sends each BOC their own magnetic tapes, which the BOC's then
  216. fill with AT&T's billing information. I am not sure which of these methods is
  217. used.
  218.  
  219.     The BOC billing information takes a different route, however. On a regular
  220. basis (I believe each day), AMARC tapes are sent to the Regional Accounting
  221. Office (RAO) or billing office, where each customers intra-LATA traffic is
  222. calculated and their telephone bill printed and mailed. The customer then
  223. recieves the bill and goes about whatever method of payment he chooses.
  224. Telephone bills can usually be paid in person in many different places in
  225. large cities, or they can be mailed in directly if the customer wishes. In my
  226. area, the customer pays once, which is a total of his AT&T and BOC bill. This
  227. is payable to the BOC, and AT&T then gets their payment from the BOC. In the
  228. case of independent carriers such as US Sprint, MCI, ALC Communications, and
  229. the like, I cannot say for sure what they all do as there seems to be no
  230. standard procedure for this interaction, but in two instances, two specific
  231. RBOC's (US West and BellSouth) handle FG-D Equal Access style billing for MCI
  232. throughout their serving areas. There is a computer system involved in this
  233. alternate carrier billing cycle, called the Carrier Access Billing System
  234. (CABS). This system calculates the prices bases on tariffs in use, and bills
  235. the carriers on a monthly basis accordingly. I am not sure how widespread the
  236. use of this sytem is, though. When the customer receives his MCI bill along
  237. with his BOC bill he can pay them both at once. I would imagine that the
  238. larger long distance services would be able to afford getting this service
  239. from the RBOC's, while the smaller ones with less money would do it by
  240. themselves, which would probably be a slow, drawn out process. In some cases,
  241. dialing via an alternate carrier (other then your primary one) will cause the
  242. billing cycle to take anywhere up to three months to complete, or even more.
  243. Another interesting note about alternate carrier dialing, some carriers do not
  244. start billing until a specific amount of time has elapsed. This is known as
  245. buffer-zone billing. I know of one company that uses a 45 second buffer zone,
  246. but I am not sure what the other companies use. You can find this information
  247. out by talking to a customer service department, however some companies CS
  248. departments either don't know, or they do not wish to tell the customer (or
  249. 'potential' customer). With buffer zone billing (assume 45 seconds in this
  250. case), you will be billed for the call if you let the phone ring, listen to a
  251. busy signal, etc. if the duration of the call is greater than or equal to 45
  252. seconds. Many of the ICs that use this type of billing do not have the
  253. equipment to detect answer supervision, so if you can keep a conversation very
  254. short, you may get away with a free call, without breaking any laws.
  255.  
  256.  
  257. CALL CREDITING
  258. --------------
  259.  
  260.     When you receive credit for improperly placed long distance calls from an
  261. operator or a telco business office (after you receive your phone bill)
  262. certain things happen.
  263.  
  264.    Operator crediting involves the operator entering a special flag on an AMA
  265. tape to deduct the specific amount of given charge from the subscriber's
  266. telephone number. I believe that this process involves (with AT&T TSPS) the KP
  267. TRBL key, and (with NTI's TOPS) the KP TRBL and the CHG ADJ (charge adjust)
  268. keys.
  269.  
  270.    Business office crediting happens when you call the business office and
  271. talk to a BOC 'service representative'. This person will then enter your
  272. telephone number into a terminal, using the DOE (Direct Order Entry) system,
  273. which is in use in my area. The billing record information comes from a
  274. computer called CRIS (Customer Record Information System), which is accessed
  275. by BOSS (Billing and Order Support System). BOSS has a link to computer
  276. systems at the RAO, as this is how the customer's toll data gets to the
  277. business office. A service representative can then pull up your toll charges
  278. and correct them with appropriate credit entries.
  279.  
  280.  
  281. SECURITY  (EVERYONE READ THIS PART)
  282. -----------------------------------
  283.  
  284.     There have been several rumors going around about AMA and it's relation to
  285. people who commit toll fraud, and I will attempt to clarify these rumors. It
  286. is possible that a billing tape could be used to try to find out who called a
  287. certain number at a given time. Another way AMA tapes/disks could be used as a
  288. record of someone committing toll fraud would be if this person would happen
  289. to be under a newer switch, such as the DMS-100, and they attempted to use a
  290. blue box without knowing the dangers of it (I will speak only on the DMS-100
  291. because when a older switching system is replaced with a new one, the most
  292. common replacements are the AT&T No. 5 ESS and the Northern Telecom DMS-100
  293. Family of switching systems). DMS-100 does indeed have the capability to
  294. record a blue boxer's MF tones in an AMA record if the boxer doesn't know what
  295. he is doing.  1AESS also has blue box detection features. I am not sure about
  296. other switching systems, but I would guess that most of the newer switches
  297. have some sort of blue box fraud detection features, of course the end user of
  298. these switches (the telco) does not have to use them. However it is difficult
  299. to find out if your CO uses anything of this nature unless you are a good
  300. social engineer or have access in some way to the switch or switch output
  301. messages and know what to look for. For instance on the Northern Telecom
  302. DMS-100 switching system, there are a series of reports known as BLUEBOX
  303. reports which (if in use) will inform the telco of blue boxing activity. The
  304. DMS-100 also has AMA options that can detect certain forms of electronic toll
  305. fraud, such as black and blue boxing. These options can be set any way the
  306. telco wants. These AMA options can be printed on a DMS-100 switching
  307. system,onto hardcopy terminals, or onto a data channel which may send the
  308. Output    Messages (OMs) to a telco computer system such as the Switching
  309. Control Center System (SCCS). These options are printed in an AMA118 OM at
  310. midnight. If an AMA option is in use by that particular switching system,
  311. after the name of the option will be a data field that says ACTIVE. If the
  312. option is not in use, the field will say INACTIVE. An example of an AMA118 OM
  313. is reproduced here.
  314.  
  315.   AMA118 JUL23 12:00:00 2234 INFO AMA-OPTIONS
  316.      AUDIT:      ACTIVE
  317.      CALL-FWD:      ACTIVE
  318.      CDAR:      INACTIVE
  319.      CHG411:      ACTIVE
  320.      CHG555:      ACTIVE
  321.      COIN:      INACTIVE
  322.      DA411:      ACTIVE
  323.      ENFIA-B-C:   INACTIVE
  324.      FREECALL:      INACTIVE
  325.      HIGHREV:      INACTIVE
  326.      INWATS:      ACTIVE
  327.      LNID:      INACTIVE
  328.      LOGAMA:      INACTIVE
  329.      LOGOPT:      ACTIVE
  330.      LONGCALL:      ACTIVE
  331.      LUSORIG:      INACTIVE
  332.      LUSTERM:      INACTIVE
  333.      OBSERVED:      INACTIVE
  334.      OCCOVFL:      ACTIVE
  335.      OCCTERM:      ACTIVE
  336.      OUTWATS:      ACTIVE
  337.      OVERFLOW:      ACTIVE
  338.      SST:      ACTIVE
  339.      TIMECHANGE:  ACTIVE
  340.      TRACER:      ACTIVE
  341.      TRKID:      INACTIVE
  342.      TWC:      INACTIVE
  343.      UNANS-LOCAL: INACTIVE
  344.      UNANS-TOLL:  ACTIVE
  345.  
  346.  
  347.     The most important ones for phreaks to know about are INWATS, LONGCALL,
  348. SST, UNANS-LOCAL, and UNANS-TOLL. INWATS means that calls to 800 numbers are
  349. noted in an AMA record. As far as I know, this option is a required one, at
  350. least since Bulk Change Supplement 23 (BCS23). LONGCALL will flag long calls
  351. in an AMA record. So if it seems to the switch that someone has been on the
  352. phone for a long time, this will be logged. A possible use for this would be
  353. to detect trouble conditions. This option, used in past switching systems, may
  354. have been the cause of many blue box busts. Someone would box for several
  355. hours using the same number (for instance, Directory Assistance) and this may
  356. have been noted by the switch. Another way I think old time boxers may have
  357. been nailed is from boxing off of DA. As you can see in the above listing,
  358. there are several options that probably make AMA entries for calls to DA. If
  359. the length of a call to DA lasts longer than a certain amount of time, the
  360. telco could possibly detect this and attach a monitoring device upon the
  361. suspected persons telephone line. The AMA option 'SST' may also be responsible
  362. for blue box busts in the recent past. SST stands for Short Supervisory
  363. Transition, and an SST is known to the phreak world as a wink. SSTs are
  364. generated when a blue boxer seizes a trunk. The switch can detect these and
  365. log them in an AMA record if the option is set to ACTIVE. SSTs are not solely
  366. caused by boxers, though, as equal access offices can generate a lot of SSTs
  367. in normal operation. I believe that trunking arrangements with ICs (InterLATA
  368. Carriers) are often responsible for triggering these. One toll office I knew
  369. of had thousands of SSTs on a plant measurement report, so if this option is
  370. ACTIVE, it may not be EXTREMELY dangerous, but it can't hurt to know about
  371. this. One possible way around the SST detect is to make your 2600Hz tone last
  372. several seconds. I do not remember the exact figure, but after a certain
  373. number of seconds an SST ceases to be an SST ceases to be an SST. I am not
  374. sure if these longer transitions are logged or not, or if there is even an
  375. option for this. However I believe that the BLUEBOX feature could not be
  376. fooled by doing this. BLUEBOX, if activated, will detect any foreign winks
  377. after a necessary one (necessary for call completion) occurs. Of course you
  378. can always avoid having your DN associated with anything like this by
  379. re-directing your call flow, which can be accomplished easily.
  380.  
  381.     Another AMA option that could be used to catch black boxers is the
  382. UNANS-TOLL option. When this option is ACTIVE, toll calls ringing longer than
  383. a specific period of time can be logged in an AMA record. Someone calling toll
  384. from a DMS-100 to a person using a black box (does anyone still use devices
  385. like the black box anyway?) in a no. 5 crossbar may trigger this option to be
  386. logged. I say 'may' because I am not positive about this, the option could
  387. also be used in other ways, I imagine.
  388.  
  389.     The ENFIA-B-C option is one that could possibly present a problem to a
  390. telecom enthusiast. I have seen the term ENFIA (Exchange Network Features for
  391. Interstate Access) associated with a Feature Group A (POTS dialup) long
  392. distance service. ENFIA-B and C mean FG-B and FG-C service. FG-A and B (POTS
  393. and 950+1/0xxx respectively) could possibly be used to record information
  394. concerning toll fraud. For instance, I know of one service (FG-D and FG-B)
  395. that has the ability to check a telcos' magnetic tape to see what numbers have
  396. been accessing their service. If a large amount of fraud became a problem, the
  397. carrier could get the AMA information to try and determine who is committing
  398. toll fraud. I'm not sure if other companies have this option, I would guess
  399. that almost all of the major companies (MCI, Sprint, Allnet, etc.) have the
  400. ability to use something of this nature to track down security problems.
  401.  
  402.     Have you ever wondered why many of the old blue boxers were caught? It is
  403. due to the use of AMA. AMA records can reveal boxing patterns, and this info
  404. can be used by the telco to track down blue/red/black box users. So if you are
  405. a person who practices any of these methods, be aware of what you are up
  406. against. Boxing has been around for a very long time and the telco knows all
  407. about what goes on and the different methods that people use. So use care. An
  408. informed phreak is a free phreak.
  409.  
  410.  
  411. SUMMARY
  412. -------
  413.  
  414.     Hopefully this article has helped clear up any misconceptions about AMA
  415. that anyone might have had, as well as provide a reference to be looked back
  416. on. The information contained in this article can also be used for social
  417. engineering purposes, if you so desire. However, I do not intend for any of
  418. this information to go into harmful purposes, such as billing calls to other
  419. people, or causing confusion and disorder at any internal points in the telco.
  420. Such actions do not make a person a phone phreak. However, if you find out
  421. anything interesting concerning AMA that isn't included here, or anything
  422. about independent telcos billing systems, feel free to let me know.
  423.  
  424.     If you wish to contact me concerning this article, you can find me on a
  425. few BBS's. I will attempt to answer any questions anyone might have, and would
  426. like to hear from anyone who has a valid interest in the workings of the phone
  427. systems.
  428.  
  429.  
  430. ===============================================================================
  431. Thanks go out to all the people (too many to mention) who have contributed any
  432. information (no matter how small or large) to this article. Other information
  433. for this article has been taken from switching system messages, Bell System
  434. Technical Journals, Bell Labs RECORDs, Bellcore documents, and various other
  435. technical literature and information. I hope someone likes this article
  436. because it took a very long time to complete.
  437. ===============================================================================
  438.