home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack1 / phrack24.009 < prev    next >
Encoding:
Text File  |  2003-06-11  |  24.7 KB  |  392 lines
  1.                                 ==Phrack Inc.==
  2.  
  3.                       Volume Two, Issue 24, File 9 of 13
  4.  
  5.          /\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\
  6.          |                                                          |
  7.          |            Lifting Ma Bell's Cloak Of Secrecy            |
  8.          |            ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~            |
  9.          |           A New Look At Basic Telephone Systems          |
  10.          |                                                          |
  11.          |                         by VaxCat                        |
  12.          |                                                          |
  13.          \/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/
  14.  
  15.  
  16. Though telephones predate radio communications by many years, they aren't
  17. nearly as simple as they appear at first glance.  In fact, some aspects of
  18. telephone systems are most interesting and quite ingenious.  In this file, I
  19. will describe some of these more interesting and perhaps less well-known areas
  20. of telephone systems.  Before going any further, let me explain and apologize
  21. for the fact that some of the information in this file may not be altogether
  22. complete, up to date, or even totally correct.
  23.  
  24. I do not work for any phone company, and therefore, I do not have unlimited
  25. access to internal telephone company literature.  Moreover, there is very
  26. little material available in books or magazines which describes how United
  27. States telephone systems work.  Much of the information in this file has been
  28. obtained piece-meal from many different sources such as books, popular
  29. magazines, computer data communications journals, handbooks, and sometimes just
  30. plain hearsay.
  31.  
  32. I have tried to correlate as much as possible all the little bits and pieces
  33. into a coherent picture which makes sense, but there is no easy way to be sure
  34. of all the little details.  So think of this article as if it is a historical
  35. novel - generally accurate and, regardless of whether it is completely true or
  36. not, fascinating.  With this out of the way, let's go on.
  37.  
  38. You, as a customer, are generally referred to as the "subscriber."  Your
  39. telephone connects to the Central Office through a two-wire cable which may be
  40. miles long, and which may have a resistance on the order of hundreds or even
  41. thousands of Ohms.  This cable is essentially a balanced line with a
  42. characteristic impedance of around 900 Ohms, but this varies greatly with
  43. different cables, different weather conditions, and different calls.  This is
  44. why it is so hard to keep a hybrid phone-patch balanced.
  45.  
  46. The main power in the central office comes from 48 volt storage batteries which
  47. are constantly kept trickle-charged.  This battery is connected to your line
  48. through a subscriber relay and a balanced audio transformer.  The relay is
  49. sensitive enough to detect even quite small currents through your line.
  50.  
  51. The buttons which stick up out of your telephone case when you lift the handset
  52. activate the hook switch.  The name probably dates back to the days when the
  53. handset (or even earlier, the earpiece) hung on the side of the phone from a
  54. hook.  In any case, when your phone is hung up it is said to be on the hook,
  55. and when you lift the handset to make a call it is said to go off the hook.
  56. With the phone on hook, the line is connected only to the bell (called the
  57. ringer).  Because the bell circuit has a capacitor in it, no DC current can
  58. flow through the phone.  As a result, the subscriber relay back in the central
  59. office will be de-energized, indicating to the central office (let's abbreviate
  60. that as CO from now on) that your phone is hung up.
  61.  
  62. Since there is no current through your line or phone, there is no voltage drop
  63. anywhere, and so if you measure the voltage across the phone line at your phone
  64. you will see the entire 48 volts (or even more if the CO batteries are well
  65. charged).
  66.  
  67. The positive (grounded) lead is called the tip and the negative lead is called
  68. the ring; these names correspond to the tip and ring of a three-circuit phone
  69. plug.  Now suppose you want to place a call; You pick up the handset and the
  70. phone goes off the hook.  This completes the DC circuit through the dial,
  71. microphone, and the hybrid network which is basically a complicated transformer
  72. circuit.
  73.  
  74. At this point current starts to flow from the battery through your line and
  75. phone, and the subscriber relay back at the CO pulls in.  The line voltage
  76. across your phone now drops to just a few volts because the line is loaded down
  77. by the low resistance of the phone.  The CO now searches for some idle dialing
  78. circuits, and when it finds them, connects a dial tone back to your phone.
  79. When you hear this, you start dialing.
  80.  
  81. So lets talk about rotary dial, the type of phone which you turn with your
  82. finger (we will talk about Touchtone dials later).  When you dial a number, the
  83. dial acts as a short circuit until you release the dial and let the built-in
  84. spring return it back to the resting position.  As it is returning, it starts
  85. to open and close the circuit in sequence to indicate the number you dialed.
  86. If you dial a 1, it opens the circuit once; if you dial a 9 it opens the
  87. circuit nine times.  As the dial is returning it cause the subscriber relay to
  88. open and close in step.  This enables the CO to recognize the number you want.
  89. When you finish dialing, the dial becomes just a plain short circuit which
  90. passes current through the microphone and the hybrid network.  Since the mike
  91. is a carbon unit, it needs this current to work.  When the CO receives he
  92. complete number, it starts to process your call.  If you dialed another
  93. subscriber in the same area, it may connect you directly to that subscriber's
  94. line.  Calls to phones a little further away may have to be routed through
  95. another CO, while long distance calls may go through one or more long distance
  96. switching centers (called tandems) and possibly many other CO's before arriving
  97. at the destination.  At the completion of this process, you may get either a
  98. ringing signal, indicating that the phone at the other end is ringing, one of
  99. several types of busy signals, or possibly just silence, if something goes
  100. wrong somewhere.
  101.  
  102. When you talk to the person at the other end, the cable carries audio in both
  103. directions at the same time.  Your carbon microphone varies the current in your
  104. circuit, and this current variation is detected by a balanced transformer in
  105. the CO.  At the same time, audio coming back to your phone goes through the
  106. hybrid network to your earphone.  In phone company lingo they like to call the
  107. mike a transmitter, and the earphone is called the receiver.
  108.  
  109. You may be interested in the makeup of the various tones you may hear on your
  110. telephone; these tones are important to people such as computer communications
  111. designers who have to build equipment which will recognize dial or other
  112. signaling tones:
  113.  
  114.      Dial tone in older exchanges may still be a combination of 120 and 600 Hz,
  115.      but the newer exchanges use a combination of 350 and 440 Hz.  There is
  116.      often a slight change in the DC line voltage at the beginning of dial
  117.      tone, and this may also be detected.
  118.  
  119.      Busy signal is a combination of 480 and 620 Hz which alternates for 1/2
  120.      second on and 1/2 second off (i.e., 60 interruptions per minute) when the
  121.      party you are calling is busy.
  122.  
  123.      The same busy signal may be used for other conditions such as busy
  124.      interoffice or long distance circuits, but would then be interrupted
  125.      either 30 times a minute or 120 times per minute.  This is a standard
  126.      agreed on by an international telecommunications organization called CCITT
  127.      (and I don't offhand remember the French words it stands for), but
  128.      occasionally other frequencies up to 2 kHz are used.  A siren-like sound
  129.      varying between 200 and 400 Hz is often used for other error conditions.
  130.  
  131.      The ringing tone, which you hear coming back to you when the phone rings
  132.      on the other end of the connection, is nowadays mostly a combination of
  133.      440 and 480 Hz, but there is great variation between CO's.  Very often a
  134.      higher frequency such as 500 Hz is interrupted at 20 Hz, and other tones
  135.      are used as well.  The tone is usually on for 2 seconds and off for 4
  136.      seconds.
  137.  
  138.      The ringing current, actually used to ring the bell in a telephone, is an
  139.      AC voltage since it has to activate a ringer which has a capacitor in
  140.      series with it.  Different companies use different ringing currents, but
  141.      the most common is 90 volts at 20 Hz.  Since a typical phone may be
  142.      thousands of feet away from the CO, the thin wires used may have a fairly
  143.      high line resistance.  Hence only a relatively small current can be
  144.      applied to the bell, certainly not enough to ring something like a
  145.      doorbell.  This problem is solved by making the bell resonant mechanically
  146.      at the ringing frequency so that even a fairly small amount of power is
  147.      enough to start the striker moving hard enough to produce a loud sound.
  148.      This is the reason why a low-frequency AC is used.  Although this raises
  149.      some problems in generating a 20 Hz signal at a high enough voltage, it
  150.      has the advantage that a bell will respond to a ringing current only if
  151.      the frequency is quite close to the bell's naturally resonant frequency.
  152.      If you build two bells, one resonant at 20 Hz and the other resonant at 30
  153.      Hz, and connect them together to the same line, you can ring just one bell
  154.      at a time by connecting a ringing current of the right frequency to the
  155.      line; this has some useful applications in ringing just one phone on a
  156.      party line.
  157.  
  158. Now let's look at some of the components of the phone itself.  We will consider
  159. the most common new phone, a model 500 C/D manufactured by Western Electric and
  160. used by Bell System affiliated phone companies.  This is the standard desk
  161. phone, having modern rounded lines and usually having a G1 or G3 handset.  It
  162. was developed about 1950 and replaced the older 300-series phones which had the
  163. older F1 handset and had sharper corners and edges.  There was an in between
  164. phone, where they took an old 300-series phone and put a new case on it which
  165. resembled the 500-style case, but had a straight up and down back - the back of
  166. the case came straight down right behind the handset cradle, whereas the true
  167. 500-style telephone has what looks like a set sticking out behind the cradle).
  168.  
  169. If you are still in doubt as to which phone you have, the bell loudness control
  170. is a wheel on the 500-type phone and a lever on the 300-type.  If you live in
  171. the boondocks, you may still have the 200-type phone (sometimes called the
  172. ovalbase) or maybe even the desk-stand type that looked like a candlestick,
  173. with the microphone mounted on the top and the earpiece hanging on the side
  174. from a hook.
  175.  
  176. Neither of these phones had a built in bell, and so you probably have a bell
  177. box attached to your wall.  If you have a phone with a handle on the side which
  178. you crack to call the operator, the following does not apply to your phone!
  179.  
  180. Now lets discuss the bell circuit, which consists of a two-coil ringer and a
  181. 0.5 uF capacitor.  On Western Electric phones the capacitor is mounted inside
  182. the network assembly, which also has a large number of screws on top which act
  183. as connection points for almost everything inside the phone.  I have never
  184. been able to find out why the ringer has two coils of unequal resistance, but
  185. it apparently has something to do with determining which subscriber on a party
  186. line makes which call.  In most phones, the yellow and the green wires are
  187. connected together at the wall terminal block so that the bell is connected
  188. directly across the telephone line; disconnecting the yellow lead would turn
  189. off the bell (although sometimes the connection is made internally by
  190. connecting the black lead from the ringer directly to the L1 terminal, in which
  191. case the yellow lead is disconnected.
  192.  
  193. You may wonder why a yellow lead is needed at all when only two wires are
  194. normally used anyway.  It is true that only two wires enter the house from the
  195. outside; one of these is the tip and the other is the ring.  In a non-party
  196. line the ringing current as well as all talk voltages are applied between the
  197. tip and the ring, and it doesn't actually matter which of the phone leads goes
  198. to the tip and which to the ring if you have a rotary dial phone.  If you have
  199. a Touchtone dial, then you have to observe polarity so that the transistor
  200. circuit in the dial works, in which case you have to make sure that the green
  201. lead goes to the tip and the red lead goes to the ring.
  202.  
  203. The yellow lead is commonly used for party lines.  On a two-party line ringing
  204. current from the CO is applied not between the two lines, but between one line
  205. and ground.  In that case the yellow lead goes to ground while the other side
  206. of the ringer (the red lead) is connected to either the tip or the ring,
  207. depending on the party.  In this way, it is possible to ring only one party's
  208. bell at a time.
  209.  
  210. The remaining connections inside the telephone are varistors; the phone
  211. companies must be the world's biggest users of these devices, which are
  212. variable resistors whose resistance drops as the voltage across them rises.
  213. Their function in the phone set is to short out parts of the set if the applied
  214. voltage gets too high.
  215.  
  216. The hook switch actually has three sets of contacts, two normally open (open,
  217. that is, when the hand set is on hook) which completes the DC circuit when you
  218. pick up the handset, and a normally closed contact which is wired directly
  219. across the earphone.  This contact's function is to short the earphone during
  220. the time that the DC circuit is being opened or closed through the phone - this
  221. prevents you from being blasted by a loud click in the earphone.
  222.  
  223. The dial has two contacts.  One of these is the pulsing contact, which is
  224. normally closed and only opens during dialing on the return path of the dial
  225. after you let go of it.  The second contact (the off-normal contact), shorts
  226. the earphone as soon as you start turning the dial, and releases the short only
  227. after the dial returns back to the normal position.  In this way you do not
  228. hear the clicking of the dial in the phone as you dial.  Finally, the phone has
  229. the hybrid network which consists of a four-winding transformer and whole
  230. collection of resistors, capacitors, and varistors.  The main function of the
  231. network is to attenuate your own voice to lower its volume in your earphone.
  232.  
  233. The simplest phone you could build would be just a series circuit consisting of
  234. a dial, a mike, and an earphone.  But the signals coming back from the other
  235. party so much weaker than your own signals, that than earphone sensitive enough
  236. to reproduce clearly and loudly the voice of the other person would then blast
  237. your eardrums with the sound of your own voice.  The function of the network is
  238. to partially cancel out the signal produced by the local mike, while permitting
  239. all of the received signal to go to the earphone.  This technique is similar to
  240. the use of the hybrid phone patch with a VOX circuit, where you want the voice
  241. of the party on the telephone to go to your transmitter, but want to keep the
  242. receiver signal out the transmitter.
  243.  
  244. In addition to the parts needed for the hybrid, the network also contains a few
  245. other components (such as the RC network across the dial pulsing contacts) and
  246. screwtype connection points for the entire phone.
  247.  
  248. A Touchtone phone is similar to the dial phone described above, except that the
  249. rotary dial is replaced by a Touchtone dial.  In addition to its transistorized
  250. tone generator, the standard Touchtone pad has the same switch contacts to mute
  251. the earphone, except that instead of completely shorting the earphone, as the
  252. rotary dial does, the Touchtone dial switches in a resistor which only
  253. partially mutes the phone.
  254.  
  255. It is fairly common knowledge as to what frequencies are used for Touchtone
  256. signalling, but a it never hurts to reiterate information.  Each digit is
  257. composed of one frequency from the low group and one frequency from the high
  258. group; for instance, the digit 6 is generated by producing a low tone of 770 Hz
  259. (Hertz) and a high tone of 1477 Hz at the same time.  The American Touchtone
  260. pads generate both of these tones with the same transistor, while European pads
  261. (yes, there are some) use two transistors, one for reach tone.  In addition to
  262. the first three high tones, a fourth tone of 1633 Hz has been decided on for
  263. generating four more combinations.  These are not presently in use, although
  264. the standard phone Touchtone pad can easily be modified to produce this tone,
  265. since the required tap on the inductor used to generate the the tone is already
  266. present and only an additional switch contact is needed to use it.
  267.  
  268. What is not generally known is that the United States Air Force uses a
  269. different set of Touchtone frequencies, in the range of 1020 to 1980 Hz.  Since
  270. many of the phones available for purchase in stores come from Department of
  271. Defense surplus sales, it will be interesting when these phones become
  272. available.
  273.  
  274. Another Touchtone dial presently used by amateurs is made up from a thin
  275. elastomeric switch pad made by the Chomerics Corporation (77 Dragon Court,
  276. Woburn, Mass. 01801) and a thick-film hybrid IC made by Microsystems
  277. International (800 Dorchester Boulevard, Montreal, Quebec).  The pad is the
  278. Chomerics ER-20071, which measures about 2 1/4 inch wide by 3 inches high, and
  279. only about 3/16 inch thick (Chomerics also makes a smaller model ER21289, but
  280. it is very difficult to use and also apparently unreliable).  Microsystems
  281. International makes several very similar ICs in the ME8900 series, which use
  282. different amounts of power and generate different amounts of audio.  Some of
  283. these also contain protection diodes to avoid problems if you use the wrong
  284. polarity on the IC, and there are so many models to choose from that you should
  285. get the technical data from the manufacturer before ordering one.  There are a
  286. number of United States distributors, including Newark Electronics, Milgray and
  287. Arrow Electronics in New York.
  288.  
  289. One of the problems with any current IC oscillator is that the frequency
  290. changes if rf gets near it.  Many hams are having a hard time mounting such IC
  291. pads on their 2 meter handie-Talkies.  A solution seems in sight as Mostek, a
  292. large IC company, is coming out with an IC Touchtone generator which has a
  293. cheap 3.58 MHz external crystal as reference, and then produces the tone
  294. frequencies by dividing the 3.58 MHz down with flip flops to get the required
  295. tone frequencies.  This approach not only promises to be more reliable in the
  296. presence of rf, but should also be cheaper since it would not need the custom
  297. (and expensive) laser trimming of components that the Microsystems
  298. International IC needs to adjust the frequencies within tolerance.
  299.  
  300. At the other end of the telephone circuit, in the CO, various circuits are used
  301. to decode the digit you dial into the appropriate signals needed to perform the
  302. actual connection.  In dial systems, this decoding is done by relay circuits,
  303. such as steppers.  This circuitry is designed for dialing at the rate of 10
  304. pulses per second, with a duty cycle of about 60% open, 40% closed.  The
  305. minimum time between digits is about 600 milliseconds, although a slightly
  306. greater time between digits is safer since it avoids errors.
  307.  
  308. In practice, many COs will accept dialing at substantially slower or faster
  309. rates, and often you will see a dial that has been speeded up by changing the
  310. mechanical governor to operate almost twice as fast; it depends on the type of
  311. CO equipment.
  312.  
  313. Touchtone decoding is usually done by filter circuits which separate out the
  314. Touchtone tones by filters and then use a transistor circuit to operate a
  315. relay.  A common decoder is the 247B, which is designed for use in small dial
  316. switchboard systems of the type that would be installed on the premises of a
  317. business for local communication between extensions.  It consists of a limiter
  318. amplifier, seven filters and relay drivers (one for each of the seven tones
  319. commonly used) and some timing and checking circuitry.  Each of the seven
  320. relays has multiple contacts, which are then connected in various
  321. series/parallel combinations to provide a grounding of one of ten output
  322. contacts, when a digit is received.  The standard 247B does not recognize the *
  323. and  digits, but can be modified easily enough if you have the unit diagram.
  324.  
  325. The 247B decoder is not very selective, and can easily be triggered by voice
  326. unless some additional timing circuits are connected at the output to require
  327. that the relay closure exceed some minimum time interval before it is accepted.
  328. Slightly more complicated decoders which have the time delays built in are the
  329. A3-type and the C-type Touchtone Receivers.  both of these are used in
  330. customer-owned automatic switchboards when a caller from the outside (via the
  331. telephone company) wants to be able to dial directly into the private
  332. switchboard to call a specific extension.
  333.  
  334. The C-type unit is similar to the 247B in that it has ten outputs one for each
  335. digit.  The A3-type does not have output relays, but instead has seven voltage
  336. outputs, one for each of the seven basic tones, for activating external 48-volt
  337. relays.  The A-3 unit is ideal for activating a Touchtone encoder, which can
  338. then be used to regenerate the Touchtone digits if the original input is noisy.
  339. This might be very useful in a repeater autopatch, for cleaning up Touchtone
  340. digits before they are sent into the telephone system.
  341.  
  342. In addition to the above, there are probably other types of units specially
  343. designed for use in the CO, but information on these is not readily available.
  344. It is also fairly easy to build a Touchtone decoder from scratch.  Though the
  345. standard telephone company decoders all use filter circuits, it is much easier
  346. (though perhaps not as reliable) to use NE567 phase-locked-loop integrated
  347. circuits.
  348.  
  349. An interesting sidelight to Touchtone operation is that it greatly speeds up
  350. the process of placing a call.  With a Touchtone dial it is possible to dial a
  351. call perhaps 3 or 5 times faster than with a rotary dial.  Since the CO
  352. equipment which receives and decodes the number is only needed on your line
  353. during the dialing time, this means that this equipment can be switched off
  354. your line sooner and can therefore handle more calls.  In fact, the entire
  355. Touchtone system was invented so that CO operation would be streamlined and
  356. less equipment would be needed for handling calls.  It is ironic that the
  357. customer should be charged extra for a service which not only costs the
  358. telephone company nothing, but even saves it money.
  359.  
  360. Another practice which may or may not cost the company money is the connection
  361. of privately-owned extension phones.  You have probably seen these sold by mail
  362. order houses and local stores.  The telephone companies claim that connecting
  363. these phones to their lines robs them of revenue and also may cause damage to
  364. their equipment.  There are others, of course, who hold the opinion that the
  365. easy availability of extensions only causes people to make more calls since
  366. they are more convenient, and that the companies really benefit from such use.
  367. The question of damage to equipment is also not easily answered, since most of
  368. the extension phones are directly compatible, and in many cases the same type
  369. as the telephone company itself uses.  Be that as it may, this may be a good
  370. time to discuss such use.
  371.  
  372. Prior to an FCC decision to telephone company interconnection in the Carterfone
  373. case in 1968, all telephone companies claimed that the connection of any
  374. equipment to their lines was illegal.  This was a slight misstatement as no
  375. specific laws against such use were on the books.  Instead, each local
  376. telephone company had to file a tariff with the public service commission in
  377. that state, and one of the provisions of that tariff was that no connection of
  378. any external equipment was allowed.  By its approval of that tariff, the public
  379. service commission gave a sort of implicit legal status to the prohibition.
  380.  
  381. In the Carterfone case, however, the FCC ruled that the connection of outside
  382. equipment had to be allowed.  The phone companies then relaxed their tariff
  383. wording such that connection of outside equipment was allowed if this
  384. connection was through a connecting arrangement provided by the telephone
  385. company for the purpose of protecting its equipment from damage.  Although this
  386. result has been challenged in several states, that seems to be the present
  387. status.  The strange thing is that some telephone companies allow
  388. interconnection of customer equipment without any hassle whatsoever, while
  389. others really make things difficult for the customer.
  390. _______________________________________________________________________________
  391.  
  392.