home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / phrack2 / phrack46.008 < prev    next >
Encoding:
Text File  |  2003-06-11  |  23.0 KB  |  488 lines
  1.                               ==Phrack Magazine==
  2.  
  3.                   Volume Five, Issue Forty-Six, File 8 of 28
  4.  
  5. ****************************************************************************
  6.  
  7.  
  8.                      The Wonderful World of Pagers
  9.  
  10.                             by Erik Bloodaxe
  11.  
  12. Screaming through the electromagnet swamp we live in are hundreds of
  13. thousands of messages of varying degrees of importance.  Doctors,
  14. police, corporate executives, housewives and drug dealers all find
  15. themselves constantly trapped at the mercy of a teeny little box:
  16. the pager.
  17.  
  18. Everyone has seen a pager; almost everyone has one.  Over 20 million
  19. pagers are on the streets in the US alone, sorting out their particular
  20. chunk of the radio-spectrum.  Another fifty-thousand more are
  21. put into service each day.
  22.  
  23. But what the hell are these things really doing?  What more can we
  24. do with them than be reminded to call mom, or to "pick up dry-cleaning?"
  25.  
  26. Lots.
  27.  
  28.  
  29. ** PROTOCOLS **
  30.  
  31. Pagers today use a variety of signalling formats such as POCSAG, FLEX
  32. and GOLAY.  The most common by far is POCSAG (Post Office Standardization
  33. Advisory Group), a standard set by the British Post Office and adopted
  34. world-wide for paging.
  35.  
  36. POCSAG is transmitted at three transmission rates--512, 1200 and 2400 bps.
  37. Most commercial paging companies today use at least 1200, although many
  38. companies who own their own paging terminals for in-house use transmit
  39. at 512.  Nationwide carriers (SkyTel, PageNet, MobileComm, etc.) send
  40. the majority of their traffic at 2400 to make the maximum use of
  41. their bandwidth.  In other words, the faster they can deliver pages,
  42. the smaller their queue of outgoing pages is.  Although these
  43. carriers have upgraded their equipment in the field to broadcast at
  44. 2400 (or plan to do so in the near future), they still send out
  45. some pages at 1200 and 512 to accommodate their customers with older
  46. pagers.  Most 512 and 1200 traffic on the nationwide services is
  47. numeric or tone-only pages.
  48.  
  49. POCSAG messages are broadcast in batches.  Each batch is comprised of 8
  50. frames, and each frame contains two codewords separated by a
  51. "synchronization" codeword.  A message can have as many codewords
  52. as needed to deliver the page and can stretch through several batches
  53. if needed.  The end of a complete message is indicated by a "next address"
  54. codeword.  Both addressing and user data are sent in the codewords, the
  55. distinction being the least significant bit of the codeword:
  56. 0 for address data, and 1 for user-data.
  57.  
  58. Standard alphanumeric data is sent in a seven-bit format, with each codeword
  59. containing 2 6/7 characters.  A newer 8-bit alphanumeric format is
  60. implemented by some carriers which allow users to send data such as
  61. computer files, graphics in addition to regular alphanumeric messages.
  62. The 8 bit format allows for 2.5 characters per codeword.
  63.  
  64. Numeric data is 4 bit, allowing up to 5 numbers to be transmitted per
  65. codeword.  Tone and voice pages contain address information only.
  66.  
  67. (NOTE:  Pager data uses BCH 32,21 for encoding.  I don't imagine
  68.  very many of you will be trying to decode pager data by building your
  69.  own decoders, but for those of you who may, take my interpretation
  70.  of POCSAG framing with a grain of salt, and try to dig up the
  71.  actual POCSAG specs.)
  72.  
  73. ** THE PAGING RECEIVER **
  74.  
  75. Paging receivers come in hundreds of shapes and sizes, although the vast
  76. majority are manufactured by Motorola.  Numeric pagers comprise over
  77. fifty percent all pagers in use.   Alphanumeric comprises about thirty
  78. percent, with tone and voice pagers making up the remainder.
  79.  
  80. Pagers are uniquely addressed by a capcode.  The capcode is usually six
  81. to eight digits in length, and will be printed somewhere on the pager
  82. itself.  Many pager companies assign customers PIN numbers, which are
  83. then cross-referenced to a given capcode in databases maintained by
  84. the service provider.  PIN numbers have no other relationship
  85. to the capcode.
  86.  
  87. Tone pagers are by far the most limited paging devices in use.
  88. When a specified number has been called, an address only message
  89. is broadcast, which causes the intended receiver to beep.  Wow.
  90. Tone pagers usually have 4 capcodes, which can correspond to
  91. different locations to call back.  Voice pagers are similar, except
  92. they allow the calling party to leave a 15 to 30 second message.
  93. The voice message is broadcast immediately after the capcode of the
  94. receiver, which unsquelches the device's audio.
  95.  
  96. Numeric pagers, although seemingly limited by their lack of display
  97. options have proven otherwise by enterprising users.  Most numeric
  98. data sent is obviously related to phone numbers, but numerous users
  99. have developed codes relating to various actions to be carried out
  100. by the party being paged.  The most prolific users of this have
  101. been the Chinese who have one of the most active paging networks
  102. in the world.  I suppose the next biggest users of code-style numeric
  103. paging would be drug dealers.  (2112 0830 187 -- get to the fucking
  104. drop site by 8:30 or I'll bust a cap in your ass!)  :)
  105.  
  106. Alphanumeric pagers are most often contacted through a dedicated
  107. service that will manually enter in the message to be sent onto the
  108. paging terminal.  One such service, NDC, offers its phone-answering
  109. and message typing services to various pager companies.  Next time
  110. you are talking to a pager operator, ask him or her if they are at
  111. NDC.  They probably are.
  112.  
  113. In addition to the capcode, pagers will have an FCC ID number, a serial
  114. number, and most importantly, the frequency that the device has been
  115. crystaled for imprinted on the back of the device.  Although technology
  116. exists that would allow pagers to listen on a number of frequencies
  117. by synthesizing the frequency rather than using a crystal, pager
  118. manufacturers stick to using crystals to "keep the unit cost down."
  119.  
  120. Pagers may have multiple capcodes by which they can be addressed by.
  121. Multiple capcodes are most often used when a person has subscribed to
  122. various services offered by their provider, or when the subscriber is
  123. part of a group of individuals who will all need to receive the same
  124. page simultaneously (police, EMTs, etc.).
  125.  
  126. Most low-cost pagers have their capcode stored on the circuit board
  127. in a PAL.  Most paging companies will completely exchange pagers
  128. rather than remove and reprogram the PAL, so I don't think
  129. it's worth it for any experimenter to attempt.  However, like most
  130. Motorola devices, many of their paging products can be reprogrammed
  131. with a special serial cable and software.  Reprogramming software
  132. is usually limited to changing baud rates, and adding capcodes.
  133.  
  134. Additionally, some units can be reprogrammed over the air by the
  135. service provider.  Using a POCSAG feature known as OTP (over the air
  136. programming) the service provider can instruct the paging receiver to
  137. add capcodes, remove capcodes, or even shut itself down in the case
  138. of non-payment.
  139.  
  140. ** SERVICES **
  141.  
  142. With the growing popularity of alphanumeric pagers, many service providers
  143. have decided to branch out into the information business.  The most
  144. common of these services is delivery of news headlines.  Other services
  145. include stock quotes, airline flight information, voice mail and
  146. fax reception notification, and email.  Of course, all of these services
  147. are available for a small additional monthly premium.
  148.  
  149. Email is probably the single coolest thing to have sent to your
  150. alpha pager.  (Unless you subscribe to about a zillion mailing lists)
  151. Companies like SkyTel and Radiomail give the user an email address
  152. that automatically forwards to your paging device.
  153. IE: PIN-NUMBER@skymail.com.  Several packages exist for forwarding
  154. email from a UNIX system by sending stripping down the email to
  155. pertinent info such as FROM and SUBJECT lines, and executing a script
  156. to send the incoming mail out via a pager terminal data port.
  157. One such program is IXOBEEPER, which can be found with an archie
  158. query.
  159.  
  160. Radiomail's founder, (and rather famous ex-hacker in his own right - go
  161. look at ancient ComputerWorld headlines), Geoff Goodfellow had devised
  162. such a method back in the late 70's.  His program watched for incoming
  163. email, parsed the mail headers, and redirected the FROM and SUBJECT
  164. lines to his alphanumeric pager.  Obviously, not many people had
  165. alphanumeric pagers at all, much less email addresses on ARPANET
  166. back in the 70's, so Geoff's email pager idea didn't see much
  167. wide-spread use until much later.
  168.  
  169. Two RFC's have been issued recently regarding paging and the Internet.
  170. RFC 1568, the Simple Network Paging Protocol, acts similarly to SMTP.
  171. Upon connecting to the SNPP port the user issues commands such as:
  172.  
  173.         PAGE followed by pager telephone number
  174.         MESS followed by the alpha or numeric message
  175.         SEND
  176.       & QUIT
  177.  
  178. RFC 1568 has met with some opposition in the IETF, who don't consider
  179. it worthwhile to implement a new protocol to handle paging, since it
  180. can be handled easily using other methods.
  181.  
  182. The other RFC, number 1569, suggests that paging be addressed in a rather
  183. unique manner.  Using the domain TPC.INT, which would be reserved for
  184. services that necessitate the direct connection to The Phone Company,
  185. individual pagers would be addressed by their individual phone numbers.
  186. Usernames would be limited to pager-alpha or pager-numeric to represent
  187. the type of pager being addressed.  For example, an alpha-page being sent to
  188. 1-800-555-1212 would be sent as pager-alpha@2.1.2.1.5.5.5.0.0.8.1.tcp.int.
  189.  
  190. ** PAGING TERMINAL DATA PORTS **
  191.  
  192. Many services offer modem connections to pager terminals so that
  193. computer users can send pages from their desks using software packages
  194. like WinBeep, Notify! or Messenger.  All of these services connect to
  195. the pager terminal and speak to it using a protocol known as
  196. IXO.
  197.  
  198. Upon connection, a pager terminal identifies itself with the following:
  199.  
  200. ID=
  201.  
  202. (I bet you always wondered what the hell those systems were)
  203. Paging terminals default to 300 E71, although many larger companies
  204. now have dialups supporting up to 2400.
  205.  
  206. Many such systems allow you to manually enter in the appropriate information
  207. by typing a capital "M" and a return at the ID= prompt.  The system will then
  208. prompt you for the PIN of the party you wish to page, followed by a prompt
  209. for the message you wish to send, followed by a final prompt asking if you
  210. wish to send more pages.  Not every pager terminal will support a manual
  211. entry, but most do.
  212.  
  213. All terminals support the IXO protocol.  As there are far too many
  214. site specific examples within the breadth of IXO, we will concentrate on
  215. the most common type of pager services for our examples.
  216.  
  217. [  Sample IXO transaction of a program sending the message ABC to PIN 123
  218.    gleened from the IXOBeeper Docs                                         ]
  219.  
  220. Pager Terminal                          YOU
  221. --------------------------------------------------------------
  222.                                         <CR>
  223. ID=
  224.                                         <ESC>PG1<CR>
  225. Processing - Please Wait
  226.                                         <CR>
  227. <CR>
  228. ACK <CR>
  229. <ESC>[p <CR>
  230.                                         <STX>123<CR>
  231.                                         ABC<CR>
  232.                                         <ETX>17;<CR>
  233. <CR>
  234. ACK <CR>
  235.                                         <EOT><CR>
  236. <ESC>EOT <CR>
  237.  
  238.  
  239. The checksum data came from:
  240.  
  241. STX     000 0010
  242. 1       011 0001
  243. 2       011 0010
  244. 3       001 0011
  245. <CR>    000 1101
  246. A       100 0001
  247. B       100 0010
  248. C       100 0011
  249. <CR>    000 1101
  250. ETX     000 0011
  251. ----------------
  252.      1 0111 1011
  253. ----------------
  254.      1    7    ;  Get it?  Get an ASCII chart and it will all make sense.
  255.  
  256.  
  257. Note:  Everything in the paging blocks, from STX to ETX inclusive are used
  258.        to generate the checksum.  Also, this is binary data, guys...you can't
  259.        just type at the ID= prompt and expect to have it recognized as IXO.
  260.        It wants specific BITS.  Got it?  Just checking...
  261.  
  262.  
  263. ** PAGER FREQUENCIES - US **
  264.  
  265. [Frequencies transmitting pager information are extremely easy to
  266.  identify while scanning.   They identify each batch transmission
  267.  with a two-tone signal, followed by bursts of data.  People with
  268.  scanners may tune into some of the following frequencies to
  269.  familiarize themselves with this distinct audio.]
  270.  
  271. Voice Pager Ranges:      152.01   - 152.21
  272.                          453.025  - 453.125
  273.                          454.025  - 454.65
  274.                          462.75   - 462.925
  275.  
  276. Other Paging Ranges:      35.02   -  35.68
  277.                           43.20   -  43.68
  278.                          152.51   - 152.84
  279.                          157.77   - 158.07
  280.                          158.49   - 158.64
  281.                          459.025  - 459.625
  282.                          929.0125 - 931.9875
  283.  
  284. ** PAGER FREQUENCIES - WORLD **
  285.  
  286. Austria         162.050  - 162.075         T,N,A
  287. Australia       148.100  - 166.540         T,N,A
  288.                 411.500  - 511.500         T,N,A
  289. Canada          929.025  - 931-975         T,N,A
  290.                 138.025  - 173.975         T,N,A
  291.                 406.025  - 511.975         T,N,A
  292. China           152.000  - 172.575           N,A
  293. Denmark                    469.750           N,A
  294. Finland                    450.225         T,N,A
  295.                 146.275  - 146.325         T,N,A
  296. France          466.025  - 466.075         T,N,A
  297. Germany         465.970  - 466.075         T,N,A
  298.                            173.200         T,N,A
  299. Hong Kong                  172.525           N,A
  300.                            280.0875        T,N,A
  301. Indonesia       151.175  - 153.050             A
  302. Ireland         153.000  - 153.825         T,N,A
  303. Italy                      466.075         T,N,A
  304.                            161.175         T,N
  305. Japan           278.1625 - 283.8875         T,N
  306. Korea           146.320  - 173.320         T,N,A
  307. Malaysia        152.175  - 172.525           N,A,V
  308.                            931.9375          N,A
  309. Netherlands     156.9865 - 164.350         T,N,A
  310. New Zealand     157.925  - 158.050         T,N,A
  311. Norway          148.050  - 169.850         T,N,A
  312. Singapore                  161.450           N,A
  313.                            931.9375          N,A
  314. Sweden                     169.8           T,N,A
  315. Switzerland                149.5           T,N,A
  316. Taiwan                     166.775           N,A
  317.                            280.9375          N,A
  318. Thailand                   450.525           N,A
  319.                 172.525  - 173.475           N,A
  320. UK              138.150  - 153.275         T,N,A
  321.                 454.675  - 466.075         T,N,A
  322.  
  323. T = Tone
  324. N = Numeric
  325. A = Alphanumeric
  326. V = Voice
  327.  
  328.  
  329. ** INTERCEPTION AND THE LAW **
  330.  
  331. For many years the interception of pages was not considered an
  332. invasion of privacy because of the limited information provided
  333. by the tone-only pagers in use at the time.  In fact, when
  334. Congress passed the Electronic Communications Privacy Act in 1986
  335. tone-only pagers were exempt from its provisions.
  336.  
  337. According to the ECPA, monitoring of all other types of paging signals,
  338. including voice, is illegal.  But, due to this same law, paging
  339. transmissions are considered to have a reasonable expectation to
  340. privacy, and Law Enforcement officials must obtain a proper court
  341. order to intercept them, or have the consent of the subscriber.
  342.  
  343. To intercept pages, many LE-types will obtain beepers programmed with
  344. the same capcode as their suspect.  To do this, they must contact
  345. the paging company and obtain the capcode associated with the person
  346. or phone number they are interested in.  However, even enlisting
  347. the assistance of the paging companies often requires following
  348. proper legal procedures (warrants, subpoenas, etc.).
  349.  
  350. More sophisticated pager-interception devices are sold by a variety
  351. of companies.  SWS Security sells a device called the "Beeper Buster"
  352. for about $4000.00.  This particular device is scheduled as
  353. a Title III device, so any possession of it by someone outside
  354. a law enforcement agency is a federal crime.  Greyson Electronics
  355. sells a package called PageTracker that uses an ICOM R7100
  356. in conjunction with a personal computer to track and decode pager
  357. messages.  (Greyson also sells a similar package to decode
  358. AMPS cellular messages from forward and reverse channels called
  359. "CellScope.")
  360.  
  361. For the average hacker-type, the most realistic and affordable option
  362. is the Universal M-400 decoder.  This box is about 400 bucks and
  363. will decode POCSAG at 512 and 1200, as well as GOLAY (although I've never
  364. seen a paging service using GOLAY.)  It also decodes CTCSS, DCS, DTMF,
  365. Baudot, ASCII, SITOR A & B, FEC-A, SWED-ARQ, ACARS, and FAX.  It
  366. takes audio input from any scanners external speaker jack, and
  367. is probably the best decoder available to the Hacker/HAM for the price.
  368.  
  369. Output from the M400 shows the capcode followed by T, N or A (tone, numeric
  370. or alpha) ending with the message sent.  Universal suggests hooking
  371. the input to the decoder directly to the scanner before any de-emphasis
  372. circuitry, to obtain the true signal.  (Many scanners alter the audio
  373. before output for several reasons that aren't really relevant to this
  374. article...they just do. :) )
  375.  
  376. Obviously, even by viewing the pager data as it streams by is of little
  377. use to anyone without knowing to whom the pager belongs to.  Law Enforcement
  378. can get a subpoena and obtain the information easily, but anyone else
  379. is stuck trying to social engineer the paging company.  One other alternative
  380. works quite well when you already know the individuals pager number,
  381. and need to obtain the capcode (for whatever reason).
  382.  
  383. Pager companies will buy large blocks in an exchange for their customers.
  384. It is extremely easy to discover the paging company from the phone number
  385. that corresponds to the target pager either through the RBOC or by paging
  386. someone and asking them who their provider is when they return your call.
  387. Once the company is known, the frequencies allocated to that company
  388. are registered with the FCC and are public information.  Many CD-ROMs
  389. are available with the entire FCC Master Frequency Database.
  390. (Percon sells one for 99 bucks that covers the whole country -
  391. 716-386-6015)  Libraries and the FCC itself will also have this information
  392. available.
  393.  
  394. With the frequency set and a decoder running, send a page that will be
  395. incredibly easy to discern from the tidal wave of pages spewing
  396. forth on the frequency.  (6666666666, THIS IS YOUR TEST PAGE, etc...)
  397. It will eventually scroll by, and presto!  How many important people
  398. love to give you their pager number?
  399.  
  400. ** THE FUTURE **
  401.  
  402. With the advent of new technologies pagers will become even more
  403. present in both our businesses and private lives.  Notebook computers
  404. and PDAs with PCMCIA slots can make use of the new PCMCIA pager cards.
  405. Some of these cards have actual screens that allow for use without the
  406. computer, but most require a program to pull message data out.  These
  407. cards also have somewhat large storage capacity, so the length of
  408. messages have the option of being fairly large, should the service
  409. provider allow them to be.
  410.  
  411. With the advent of 8-bit alphanumeric services, users with PCMCIA pagers
  412. can expect to receive usable computer data such as spreadsheet
  413. entries, word processing documents, and of course, GIFs.  (Hey, porno
  414. entrepreneurs:  beeper-porn!  Every day, you get a new gif sent to your
  415. pagecard!  Woo Woo.  Sad thing is, it would probably sell.)
  416.  
  417. A branch of Motorola known as EMBARC (Electronic Mail Broadcast to A
  418. Roaming Computer) was one of the first to allow for such broadcasts.
  419. EMBARC makes use of a proprietary Motorola protocol, rather than
  420. POCSAG, so subscribers must make use of either a Motorola NewsStream
  421. pager (with nifty serial cable) or a newer PCMCIA pager.  Messages are
  422. sent to (and received by) the user through the use of special client
  423. software.
  424.  
  425. The software dials into the EMBARC message switch accessed through
  426. AT&T's ACCUNET packet-switched network.  The device itself is used
  427. for authentication (most likely its capcode or serial number)
  428. and some oddball protocol is spoken to communicate with the switch.
  429.  
  430. Once connected, users have the option of sending a page out, or
  431. retrieving pages either too large for the memory of the pager, or
  432. from a list of all messages sent in the last 24 hours, in case the
  433. subscriber had his pager turned off.
  434.  
  435. Additionally, the devices can be addressed directly via x.400
  436. addresses.  (X.400: The CCITT standard that covers email address
  437. far too long to be worth sending anyone mail to.)  So essentially,
  438. any EMBARC customer can be contacted from the Internet.
  439.  
  440. MTEL, the parent company of the huge paging service SkyTel, is
  441. implementing what may be the next generation of paging technologies.
  442. This service, NWN, being administrated by MTEL subsidiary Destineer,
  443. is most often called 2-way paging, but is more accurately Narrowband-PCS.
  444.  
  445. The network allows for the "pager" to be a transceiver.  When a page
  446. arrives, the device receiving the page will automatically send back
  447. an acknowledgment of its completed reception.  Devices may also
  448. send back some kind of "canned response" the user programs.  An example
  449. might be:  "Thanks, I got it!" or "Why on Earth are you eating up my
  450. allocated pages for the month with this crap?"
  451.  
  452. MTEL's service was awarded a Pioneers Preference by the FCC, which gave them
  453. access to the narrowband PCS spectrum before the auctions.  This is a big
  454. deal, and did not go unnoticed by Microsoft.  They dumped cash into the
  455. network, and said the devices will be supported by Chicago.  (Yeah,
  456. along with every other device on the planet, right?  Plug and Pray!)
  457.  
  458. The network will be layed out almost identically to MTEL's existing paging
  459. network, using dedicated lines to connect towers in an area to a central
  460. satellite up/downlink.  One key difference will be the addition of
  461. highly somewhat sensitive receivers on the network, to pick up the ACKs
  462. and replies of the customer units, which will probably broadcast at
  463. about 2 or 3 watts.  The most exciting difference will be the
  464. speed at which the network transmits data:  24,000 Kbps.  Twenty-four
  465. thousand.  (I couldn't believe it either.  Not only can you get your
  466. GIFs sent to your pager, but you get them blinding FAST!)  The actual
  467. units themselves will most likely look like existing alphanumeric pagers
  468. with possibly a few more buttons, and of course, PCMCIA units will
  469. be available to integrate with computer applications.
  470.  
  471. Beyond these advancements, other types of services plan on offering
  472. paging like features.  CDPD, TDMA & CDMA Digital Cellular and ESMR
  473. all plan on providing a "pager-like" option for their customers.
  474. The mere fact that you can walk into a K-Mart and buy a pager
  475. off a rack would indicate to me that pagers are far to ingrained into
  476. our society, and represent a wireless technology that doesn't scare
  477. or confuse the yokels.  Such a technology doesn't ever really go away.
  478.  
  479.  
  480. ** BIBLIOGRAPHY **
  481.  
  482. Kneitel, Tom, "The Secret Life of Beepers," _Popular Communications_,
  483.          p. 8, July, 1994.
  484.  
  485. O'Brien, Michael, "Beep! Beep! Beep!," _Sun Expert_, p. 17, March, 1994.
  486.  
  487. O'Malley, Chris, "Pagers Grow Up," _Mobile Office_, p. 48, August, 1994.
  488.