home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack1 / phrack29.008 < prev    next >
Encoding:
Text File  |  2003-06-11  |  16.0 KB  |  280 lines
  1.  
  2.                 ==Phrack Inc.==
  3.  
  4.              Volume Three, Issue 29, File #8 of 12
  5.  
  6.           ...........................................
  7.           ||||||!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!||||||
  8.           |||!!!                   !!!|||
  9.           |||      The Myth and Reality About      |||
  10.           |||         Eavesdropping          |||
  11.           |||                      |||
  12.           |||           by Phone Phanatic      |||
  13.           |||                      |||
  14.           |||...    October 8, 1989        ...|||
  15.           ||||||...............................||||||
  16.           !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
  17.  
  18.  
  19. Most Central Office (CO) eavesdropping intercepts in a Bell Operating Company
  20. (BOC) CO are today performed using a modified Metallic Facility Termination
  21. (MFT) circuit pack which places about a 100,000 ohm isolated bridging impedance
  22. across the subscriber line.  Supervisory signaling is detected on the
  23. subscriber loop using a high-impedance electronic circuit, and the signaling is
  24. repeated in an isolated fashion using the A and B leads of the repeating coil
  25. in the MFT to "reconstruct" a CO line for the benefit of monitoring apparatus.
  26.  
  27. The entire purpose of the above effort is to prevent any trouble or noise on
  28. the intercept line or monitoring apparatus from causing any trouble, noise or
  29. transmission impairment on the subject line.
  30.  
  31.   Some BOCs may elect to use service observing apparatus to provide the necessary
  32. isolation and repeated loop supervisory signaling.  Less common are locally
  33. engineered variations which merely use an isolation amplifier from an MFT or
  34. other 4-wire repeater, and which provide no repeated supervisory signaling
  35. (which is not all that necessary, since voice-activated recorders and DTMF
  36. signaling detectors can be used, and since dial pulses can be counted by
  37. playing a tape at slow speed).
  38.  
  39. Today, the use of a "bridge lifter" retardation coil for the purpose of
  40. connecting an eavesdropping intercept line is virtually non-existent since they
  41. do not provide sufficient isolation and since they provide a fair amount of
  42. insertion loss without loop current on the "observing" side.  Bridge lifter
  43. coils are primarily intended for answering service intercept lines, and consist
  44. of a dual-winding inductor which passes 20 Hz ringing and whose windings easily
  45. saturate when DC current flows.  Bridge lifter coils are used to minimize the
  46. loading effect (and consequent transmission impairment) of two subscriber loops
  47. on one CO line.  Bridge lifter coils provide a significant insertion loss at
  48. voice frequencies toward the idle loop; i.e., the loop in use will have DC
  49. current flow, saturating the inductor, and reducing its insertion loss to
  50. 1.0 dB or less.
  51.  
  52.    Despite gadget advertised in magazines like The Sharper Image, the simple truth
  53. of the matter is that there is NO WAY for any person using ANY type of
  54. apparatus at the telephone set location to ascertain whether there is a
  55. properly installed eavesdropping device connected across their line in the CO.
  56. The only way such a determination can be made is through the cooperation of the
  57. telephone company.
  58.  
  59. For that matter, there is virtually no way for any person using any type of
  60. apparatus in their premises to ascertain if there is ANY type of eavesdropping
  61. apparatus installed ANYWHERE on their telephone line outside their premises,
  62. unless the eavesdropping apparatus was designed or installed in an
  63. exceptionally crude manner (not likely today).    Some types of eavesdropping
  64. apparatus may be located, but only with the full cooperation of the telephone
  65. company.
  66.  
  67. The sole capability of these nonsense gadgets is to ascertain if an extension
  68. telephone is picked up during a telephone call, which is hardly a likely
  69. scenario for serious eavesdropping!
  70.  
  71. These screw-in-the-handset gadgets work by sensing the voltage across the
  72. carbon transmitter circuit, and using a control to null this voltage using a
  73. comparator circuit.  When a person makes a telephone call, the control is
  74. adjusted until the light just goes out.  If an extension telephone at the
  75. user's end is picked up during the call, the increased current drain of a
  76. second telephone set will decrease the voltage across the carbon transmitter
  77. circuit, unbalancing the voltage comparator circuit, and thereby causing the
  78. LED to light.
  79.  
  80. These voltage comparator "tap detectors" cannot even be left with their
  81. setpoint control in the same position, because the effective voltage across a
  82. subscriber loop will vary depending upon the nature of the call (except in the
  83. case of an all digital CO), and upon other conditions in the CO.
  84. Electromechanical and analog ESS CO's may present different characteristics to
  85. the telephone line, depending upon whether it is used at the time of:  An
  86. originated intraoffice call (calling side of intraoffice trunk), an answered
  87. intraoffice call (called side of intraoffice trunk), an originated tandem call
  88. (interoffice tandem trunk), an originated toll call (toll trunk), or an
  89. answered tandem/toll call (incoming tandem or toll trunk).  There is usually
  90. enough variation in battery feed resistance due to design and component
  91. tolerance changes on these different trunks to cause a variation of up to
  92. several volts measured at the subscriber end for a given loop and given
  93. telephone instrument.
  94.  
  95. Even more significant are variations in CO battery voltage, which can vary
  96. (within "normal limits") from 48 volts to slightly over 52 volts, depending
  97. upon CO load conditions.  50 to 51 volts in most CO's is a typical daily
  98. variation.  If anyone is curious, connect an isolated voltage recorder or data
  99. logger to a CO loop and watch the on-hook voltage variations; in many CO's the
  100. resultant voltage vs 24-hour time curve will look just like the inverse of a
  101. busy-hour graph from a telephone traffic engineering text!
  102.  
  103. In some all-digital CO apparatus, the subscriber loop signaling is performed by
  104. a solid-state circuit which functions as a constant-current (or
  105. current-limiting) device.  With such a solid-state circuit controlling loop
  106. current, there is no longer ANY meaningful reference to CO battery voltage;
  107. i.e., one cannot even use short-circuit loop current at the subscriber location
  108. to even estimate outside cable plant resistance.
  109.  
  110. To explode this myth even further, let's do a little Ohm's Law:
  111.  
  112.      1.  Assume a CO loop with battery fed from a dual-winding A-relay (or
  113.      line relay, ESS ferrod line scanner element, or whatever) having 200
  114.      ohms to CO battery and 200 ohms to ground.
  115.  
  116.      2.  Assume a CO loop of 500 ohms (a pretty typical loop).
  117.  
  118.      3.  Assume an eavesdropping device with a DC resistance of 100,000 ohms
  119.      (this is still pretty crude, but I'm being generous with my example).
  120.  
  121.      4.  Using some simple Ohm's law, the presence or absence of this
  122.      hypothetical eavesdropping device at the SUBSCRIBER PREMISES will
  123.      result in a voltage change of less than 0.5 volt when measured in the
  124.      on-hook state.  This voltage change is much less than normal
  125.      variations of CO battery voltage.
  126.  
  127.      5.  Using some simple Ohm's law, the presence or absence of this
  128.      hypothetical eavesdropping device at the CENTRAL OFFICE LOCATION will
  129.      result in a voltage change of less than 0.2 volt when measured in the
  130.      on-hook state.  This voltage change is an order of magnitude less than
  131.      the expected normal variation of CO battery voltage!
  132.  
  133. Measuring voltage variations on a subscriber loop in an effort to detect a
  134. state-of-the-art eavesdropping device is meaningless, regardless of resolution
  135. of a voltage measuring device, since the "signal" is in effect buried in the
  136. "noise".
  137.  
  138. Moving on to the subject of subscriber line impedance...
  139.  
  140. There is simply no way for any device located on the subscriber's premises to
  141. obtain any MEANINGFUL information concerning the impedance characteristics of
  142. the subscriber loop and whether or not anything "unusual" is connected at the
  143. CO (or for that matter, anywhere else on the subscriber loop).    There are a
  144. number of reasons why this is the case, which include but are not limited to:
  145.  
  146.      1.  The impedance of a typical telephone cable pair results from
  147.      distributed impedance elements, and not lumped elements.  Non-loaded
  148.      exchange area cable (22 to 26 AWG @ 0.083 uF/mile capacitance) is
  149.      generally considered to have a characteristic impedance of 600 ohms
  150.      (it actually varies, but this is a good compromise figure).  Loaded
  151.      exchange area cable, such as H88 loading which are 88 mH coils spaced
  152.      at 6 kft intervals, is generally considered to have a a characteristic
  153.      impedance of 900 ohms (it actually varies between 800 and 1,200 ohms,
  154.      but 900 ohms is generally regarded as a good compromise figure for the
  155.      voice frequency range of 300 to 3,000 Hz).  What this means is that a
  156.      bridged impedance of 100,000 ohms located in the CO on a typical
  157.      subscriber loop will result in an impedance change measured at the
  158.      SUBSCRIBER LOCATION of 0.1% or less.  That's IF you could measure the
  159.      impedance change at the subscriber location.
  160.  
  161.      2.  As a general rule of thumb, the impedance of an exchange area
  162.      telephone cable pair changes ONE PERCENT for every TEN DEGREES
  163.      Fahrenheit temperature change.  Actual impedance changes are a
  164.      function of the frequency at which the impedance is measured, but the
  165.      above rule is pretty close for the purposes of this discussion.
  166.  
  167.      3.  Moisture in the telephone cable causes dramatic changes in its
  168.      impedance characteristics.  While this may appear obvious in the case
  169.      of pulp (i.e., paper) insulated conductors, it is also characteristic
  170.      of polyethylene (PIC) insulated conductors.  Only gel-filled cable
  171.      (icky-PIC), which still represents only a small percentage of
  172.      installed cable plant, is relatively immune from the effects of
  173.      moisture.
  174.  
  175.      4.  From a practical standpoint, it is extremely difficult to measure
  176.      impedance in the presence of the DC potential which is ALWAYS found on
  177.      a telephone line.  The subscriber has no means to remove the telephone
  178.      pair from the switching apparatus in the CO to eliminate this
  179.      potential.
  180.  
  181.      Therefore, any attempt at impedance measurement will be subject to DC
  182.      current saturation error of any inductive elements found in an
  183.      impedance bridge.  The telephone company can, of course, isolate the
  184.      subscriber cable pair from the switching apparatus for the purpose of
  185.      taking a measurement -- but the subscriber cannot.  In addition to the
  186.      DC current problem, there is also the problem of impulse and other
  187.      types of noise pickup on a connected loop which will impress errors in
  188.      the impedance bridge detector circuit.  Such noise primarily results
  189.      from the on-hook battery feed, and is present even in ESS offices,
  190.      with ferrod scanner pulses being a good source of such noise.    While
  191.      one could possibly dial a telephone company "balance termination" test
  192.      line to get a quieter battery feed, this still leaves something to be
  193.      desired for any actual impedance measurements.
  194.  
  195.      5.  Devices which connect to a telephone pair and use a 2-wire/4-wire
  196.      hybrid with either a white noise source or a swept oscillator on one
  197.      side and a frequency-selective voltmeter on the other side to make a
  198.      frequency vs return loss plot provide impressive, but meaningless
  199.      data.    Such a plot may be alleged to show "changes" in telephone line
  200.      impedance characteristics.  There is actual test equipment used by
  201.      telephone companies which functions in this manner to measure 2-wire
  202.      Echo Return Loss (ERL), but the ERL measurement is meaningless for
  203.      localization of eavesdropping devices.
  204.  
  205.      6.  It is not uncommon for the routing of a subscriber line cable pair to
  206.      change one or more times during its lifetime due to construction and
  207.      modification of outside cable plant.  Outside cable plant bridge taps
  208.      (not of the eavesdropping variety) can come and go, along with back
  209.      taps in the CO to provide uninterrupted service during new cable plant
  210.      additions.  Not only can the "active" length of an existing cable pair
  211.      change by several percent due to construction, but lumped elements of
  212.      impedance can come and go due to temporary or permanent bridge taps.
  213.  
  214. The bottom line of the above is that one cannot accurately measure the
  215. impedance of a telephone pair while it is connected to the CO switching
  216. apparatus, and even if one could, the impedance changes caused by the
  217. installation of an eavesdropping device will be dwarfed by changes in cable
  218. pair impedance caused by temperature, moisture, and cable plant construction
  219. unknown to the subscriber.
  220.  
  221. About a year ago on a bulletin board I remember some discussions in which there
  222. was mention of the use of a time domain reflectometer (TDR) for localization of
  223. bridge taps and other anomalies.  While a TDR will provide a rather detailed
  224. "signature" of a cable pair, it has serious limitations which include, but are
  225. not limited to:
  226.  
  227.      1.  A TDR, in general, cannot be operated on a cable pair upon which there
  228.      is a foreign potential; i.e., a TDR cannot be used on a subscriber
  229.      cable pair which is connected to the CO switching apparatus.
  230.  
  231.      2.  A TDR contains some rather sensitive circuitry used to detect the
  232.      reflected pulse energy, and such circuitry is extremely susceptible to
  233.      noise found in twisted pair telephone cable.  A TDR is works well with
  234.      coaxial cable and waveguide, which are in effect shielded transmission
  235.      lines.  The use of a TDR with a twisted cable pair is a reasonable
  236.      compromise provided it is a _single_ cable pair within one shield.
  237.      The use of a TDR with a twisted cable pair sharing a common shield
  238.      with working cable pairs is an invitation to interference by virtue of
  239.      inductive and capacitive coupling of noise from the working pairs.
  240.  
  241.      3.  Noise susceptibility issues notwithstanding, most TDR's cannot be used
  242.      beyond the first loading coil on a subscriber loop since the loading
  243.      coil inductance presents far too much reactance to the short pulses
  244.      transmitted by the TDR.  There are one or two TDR's on the market
  245.      which claim to function to beyond ONE loading coil, but their
  246.      sensitivity is poor.
  247.  
  248. There is simply no device available to a telephone subscriber that without the
  249. cooperation of the telephone company which can confirm or deny the presence of
  250. any eavesdropping device at any point beyond the immediate premises of the
  251. subscriber.  I say "immediate premises of the subscriber" because one presumes
  252. that the subscriber has the ability to isolate the premises wiring from the
  253. outside cable plant, and therefore has complete inspection control over the
  254. premises wiring.
  255.  
  256. I have used the phrase "without the cooperation of the telephone company"
  257. several times in this article.    No voltage, impedance or TDR data is meaningful
  258. without knowing the actual circuit layout of the subscriber loop in question.
  259. Circuit layout information includes such data as exact length and guages of
  260. loop sections, detailed description of loading (if present), presence and
  261. location of multiples and bridge taps, calculated and measured resistance of
  262. the loop, loop transmission loss, etc.    There is NO way that a telephone
  263. company is going to furnish that information to a subscriber!  Sometimes it's
  264. even difficult for a government agency to get this information without judicial
  265. intervention.
  266.  
  267. Despite what I have stated in this article, you will see claims made by third
  268. parties as to the existence of devices which will detect the presence of
  269. telephone line eavesdropping beyond the subscriber's immediate premises.  With
  270. the exception of the trivial cases of serious DC current draw by an extension
  271. telephone or the detection of RF energy emitted by a transmitter, this just
  272. ain't so.  Companies like Communication Control Corporation (which advertises
  273. in various "executive" business publications) get rich by selling devices which
  274. claim to measure minute voltage and impedance changes on a telephone line --
  275. but consider those claims in view of the voltage changes due to CO battery
  276. variations and due to temperature changes in outside cable plant -- and you
  277. should get the true picture.
  278. _______________________________________________________________________________
  279.  
  280.