home *** CD-ROM | disk | FTP | other *** search

---

/ Hacker Chronicles 1 / HACKER1.ISO / phrk3 / phrack29.8

< prev

next >

Wrap

Text File  |  1992-09-26  |  17KB  |  280 lines

---

1.                                 ==Phrack Inc.==
2.  
3.                      Volume Three, Issue 29, File #8 of 12
4.  
5.                   ...........................................
6.                   ||||||!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!||||||
7.                   |||!!!                               !!!|||
8.                   |||     The Myth and Reality About      |||
9.                   |||            Eavesdropping            |||
10.                   |||                                     |||
11.                   |||          by Phone Phanatic          |||
12.                   |||                                     |||
13.                   |||...        October 8, 1989        ...|||
14.                   ||||||...............................||||||
15.                   !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16.  
17.  
18. Most Central Office (CO) eavesdropping intercepts in a Bell Operating Company
19. (BOC) CO are today performed using a modified Metallic Facility Termination
20. (MFT) circuit pack which places about a 100,000 ohm isolated bridging impedance
21. across the subscriber line.  Supervisory signaling is detected on the
22. subscriber loop using a high-impedance electronic circuit, and the signaling is
23. repeated in an isolated fashion using the A and B leads of the repeating coil
24. in the MFT to "reconstruct" a CO line for the benefit of monitoring apparatus.
25.  
26. The entire purpose of the above effort is to prevent any trouble or noise on
27. the intercept line or monitoring apparatus from causing any trouble, noise or
28. transmission impairment on the subject line.
29.  
30. Some BOCs may elect to use service observing apparatus to provide the necessary
31. isolation and repeated loop supervisory signaling.  Less common are locally
32. engineered variations which merely use an isolation amplifier from an MFT or
33. other 4-wire repeater, and which provide no repeated supervisory signaling
34. (which is not all that necessary, since voice-activated recorders and DTMF
35. signaling detectors can be used, and since dial pulses can be counted by
36. playing a tape at slow speed).
37.  
38. Today, the use of a "bridge lifter" retardation coil for the purpose of
39. connecting an eavesdropping intercept line is virtually non-existent since they
40. do not provide sufficient isolation and since they provide a fair amount of
41. insertion loss without loop current on the "observing" side.  Bridge lifter
42. coils are primarily intended for answering service intercept lines, and consist
43. of a dual-winding inductor which passes 20 Hz ringing and whose windings easily
44. saturate when DC current flows.  Bridge lifter coils are used to minimize the
45. loading effect (and consequent transmission impairment) of two subscriber loops
46. on one CO line.  Bridge lifter coils provide a significant insertion loss at
47. voice frequencies toward the idle loop; i.e., the loop in use will have DC
48. current flow, saturating the inductor, and reducing its insertion loss to
49. 1.0 dB or less.
50.  
51. Despite gadget advertised in magazines like The Sharper Image, the simple truth
52. of the matter is that there is NO WAY for any person using ANY type of
53. apparatus at the telephone set location to ascertain whether there is a
54. properly installed eavesdropping device connected across their line in the CO.
55. The only way such a determination can be made is through the cooperation of the
56. telephone company.
57.  
58. For that matter, there is virtually no way for any person using any type of
59. apparatus in their premises to ascertain if there is ANY type of eavesdropping
60. apparatus installed ANYWHERE on their telephone line outside their premises,
61. unless the eavesdropping apparatus was designed or installed in an
62. exceptionally crude manner (not likely today).  Some types of eavesdropping
63. apparatus may be located, but only with the full cooperation of the telephone
64. company.
65.  
66. The sole capability of these nonsense gadgets is to ascertain if an extension
67. telephone is picked up during a telephone call, which is hardly a likely
68. scenario for serious eavesdropping!
69.  
70. These screw-in-the-handset gadgets work by sensing the voltage across the
71. carbon transmitter circuit, and using a control to null this voltage using a
72. comparator circuit.  When a person makes a telephone call, the control is
73. adjusted until the light just goes out.  If an extension telephone at the
74. user's end is picked up during the call, the increased current drain of a
75. second telephone set will decrease the voltage across the carbon transmitter
76. circuit, unbalancing the voltage comparator circuit, and thereby causing the
77. LED to light.
78.  
79. These voltage comparator "tap detectors" cannot even be left with their
80. setpoint control in the same position, because the effective voltage across a
81. subscriber loop will vary depending upon the nature of the call (except in the
82. case of an all digital CO), and upon other conditions in the CO.
83. Electromechanical and analog ESS CO's may present different characteristics to
84. the telephone line, depending upon whether it is used at the time of:  An
85. originated intraoffice call (calling side of intraoffice trunk), an answered
86. intraoffice call (called side of intraoffice trunk), an originated tandem call
87. (interoffice tandem trunk), an originated toll call (toll trunk), or an
88. answered tandem/toll call (incoming tandem or toll trunk).  There is usually
89. enough variation in battery feed resistance due to design and component
90. tolerance changes on these different trunks to cause a variation of up to
91. several volts measured at the subscriber end for a given loop and given
92. telephone instrument.
93.  
94. Even more significant are variations in CO battery voltage, which can vary
95. (within "normal limits") from 48 volts to slightly over 52 volts, depending
96. upon CO load conditions.  50 to 51 volts in most CO's is a typical daily
97. variation.  If anyone is curious, connect an isolated voltage recorder or data
98. logger to a CO loop and watch the on-hook voltage variations; in many CO's the
99. resultant voltage vs 24-hour time curve will look just like the inverse of a
100. busy-hour graph from a telephone traffic engineering text!
101.  
102. In some all-digital CO apparatus, the subscriber loop signaling is performed by
103. a solid-state circuit which functions as a constant-current (or
104. current-limiting) device.  With such a solid-state circuit controlling loop
105. current, there is no longer ANY meaningful reference to CO battery voltage;
106. i.e., one cannot even use short-circuit loop current at the subscriber location
107. to even estimate outside cable plant resistance.
108.  
109. To explode this myth even further, let's do a little Ohm's Law:
110.  
111.      1.  Assume a CO loop with battery fed from a dual-winding A-relay (or
112.          line relay, ESS ferrod line scanner element, or whatever) having 200
113.          ohms to CO battery and 200 ohms to ground.
114.  
115.      2.  Assume a CO loop of 500 ohms (a pretty typical loop).
116.  
117.      3.  Assume an eavesdropping device with a DC resistance of 100,000 ohms
118.          (this is still pretty crude, but I'm being generous with my example).
119.  
120.      4.  Using some simple Ohm's law, the presence or absence of this
121.          hypothetical eavesdropping device at the SUBSCRIBER PREMISES will
122.          result in a voltage change of less than 0.5 volt when measured in the
123.          on-hook state.  This voltage change is much less than normal
124.          variations of CO battery voltage.
125.  
126.      5.  Using some simple Ohm's law, the presence or absence of this
127.          hypothetical eavesdropping device at the CENTRAL OFFICE LOCATION will
128.          result in a voltage change of less than 0.2 volt when measured in the
129.          on-hook state.  This voltage change is an order of magnitude less than
130.          the expected normal variation of CO battery voltage!
131.  
132. Measuring voltage variations on a subscriber loop in an effort to detect a
133. state-of-the-art eavesdropping device is meaningless, regardless of resolution
134. of a voltage measuring device, since the "signal" is in effect buried in the
135. "noise".
136.  
137. Moving on to the subject of subscriber line impedance...
138.  
139. There is simply no way for any device located on the subscriber's premises to
140. obtain any MEANINGFUL information concerning the impedance characteristics of
141. the subscriber loop and whether or not anything "unusual" is connected at the
142. CO (or for that matter, anywhere else on the subscriber loop).  There are a
143. number of reasons why this is the case, which include but are not limited to:
144.  
145.      1.  The impedance of a typical telephone cable pair results from
146.          distributed impedance elements, and not lumped elements.  Non-loaded
147.          exchange area cable (22 to 26 AWG @ 0.083 uF/mile capacitance) is
148.          generally considered to have a characteristic impedance of 600 ohms
149.          (it actually varies, but this is a good compromise figure).  Loaded
150.          exchange area cable, such as H88 loading which are 88 mH coils spaced
151.          at 6 kft intervals, is generally considered to have a a characteristic
152.          impedance of 900 ohms (it actually varies between 800 and 1,200 ohms,
153.          but 900 ohms is generally regarded as a good compromise figure for the
154.          voice frequency range of 300 to 3,000 Hz).  What this means is that a
155.          bridged impedance of 100,000 ohms located in the CO on a typical
156.          subscriber loop will result in an impedance change measured at the
157.          SUBSCRIBER LOCATION of 0.1% or less.  That's IF you could measure the
158.          impedance change at the subscriber location.
159.  
160.      2.  As a general rule of thumb, the impedance of an exchange area
161.          telephone cable pair changes ONE PERCENT for every TEN DEGREES
162.          Fahrenheit temperature change.  Actual impedance changes are a
163.          function of the frequency at which the impedance is measured, but the
164.          above rule is pretty close for the purposes of this discussion.
165.  
166.      3.  Moisture in the telephone cable causes dramatic changes in its
167.          impedance characteristics.  While this may appear obvious in the case
168.          of pulp (i.e., paper) insulated conductors, it is also characteristic
169.          of polyethylene (PIC) insulated conductors.  Only gel-filled cable
170.          (icky-PIC), which still represents only a small percentage of
171.          installed cable plant, is relatively immune from the effects of
172.          moisture.
173.  
174.      4.  From a practical standpoint, it is extremely difficult to measure
175.          impedance in the presence of the DC potential which is ALWAYS found on
176.          a telephone line.  The subscriber has no means to remove the telephone
177.          pair from the switching apparatus in the CO to eliminate this
178.          potential.
179.  
180.          Therefore, any attempt at impedance measurement will be subject to DC
181.          current saturation error of any inductive elements found in an
182.          impedance bridge.  The telephone company can, of course, isolate the
183.          subscriber cable pair from the switching apparatus for the purpose of
184.          taking a measurement -- but the subscriber cannot.  In addition to the
185.          DC current problem, there is also the problem of impulse and other
186.          types of noise pickup on a connected loop which will impress errors in
187.          the impedance bridge detector circuit.  Such noise primarily results
188.          from the on-hook battery feed, and is present even in ESS offices,
189.          with ferrod scanner pulses being a good source of such noise.  While
190.          one could possibly dial a telephone company "balance termination" test
191.          line to get a quieter battery feed, this still leaves something to be
192.          desired for any actual impedance measurements.
193.  
194.      5.  Devices which connect to a telephone pair and use a 2-wire/4-wire
195.          hybrid with either a white noise source or a swept oscillator on one
196.          side and a frequency-selective voltmeter on the other side to make a
197.          frequency vs return loss plot provide impressive, but meaningless
198.          data.  Such a plot may be alleged to show "changes" in telephone line
199.          impedance characteristics.  There is actual test equipment used by
200.          telephone companies which functions in this manner to measure 2-wire
201.          Echo Return Loss (ERL), but the ERL measurement is meaningless for
202.          localization of eavesdropping devices.
203.  
204.      6.  It is not uncommon for the routing of a subscriber line cable pair to
205.          change one or more times during its lifetime due to construction and
206.          modification of outside cable plant.  Outside cable plant bridge taps
207.          (not of the eavesdropping variety) can come and go, along with back
208.          taps in the CO to provide uninterrupted service during new cable plant
209.          additions.  Not only can the "active" length of an existing cable pair
210.          change by several percent due to construction, but lumped elements of
211.          impedance can come and go due to temporary or permanent bridge taps.
212.  
213. The bottom line of the above is that one cannot accurately measure the
214. impedance of a telephone pair while it is connected to the CO switching
215. apparatus, and even if one could, the impedance changes caused by the
216. installation of an eavesdropping device will be dwarfed by changes in cable
217. pair impedance caused by temperature, moisture, and cable plant construction
218. unknown to the subscriber.
219.  
220. About a year ago on a bulletin board I remember some discussions in which there
221. was mention of the use of a time domain reflectometer (TDR) for localization of
222. bridge taps and other anomalies.  While a TDR will provide a rather detailed
223. "signature" of a cable pair, it has serious limitations which include, but are
224. not limited to:
225.  
226.      1.  A TDR, in general, cannot be operated on a cable pair upon which there
227.          is a foreign potential; i.e., a TDR cannot be used on a subscriber
228.          cable pair which is connected to the CO switching apparatus.
229.  
230.      2.  A TDR contains some rather sensitive circuitry used to detect the
231.          reflected pulse energy, and such circuitry is extremely susceptible to
232.          noise found in twisted pair telephone cable.  A TDR is works well with
233.          coaxial cable and waveguide, which are in effect shielded transmission
234.          lines.  The use of a TDR with a twisted cable pair is a reasonable
235.          compromise provided it is a _single_ cable pair within one shield.
236.          The use of a TDR with a twisted cable pair sharing a common shield
237.          with working cable pairs is an invitation to interference by virtue of
238.          inductive and capacitive coupling of noise from the working pairs.
239.  
240.      3.  Noise susceptibility issues notwithstanding, most TDR's cannot be used
241.          beyond the first loading coil on a subscriber loop since the loading
242.          coil inductance presents far too much reactance to the short pulses
243.          transmitted by the TDR.  There are one or two TDR's on the market
244.          which claim to function to beyond ONE loading coil, but their
245.          sensitivity is poor.
246.  
247. There is simply no device available to a telephone subscriber that without the
248. cooperation of the telephone company which can confirm or deny the presence of
249. any eavesdropping device at any point beyond the immediate premises of the
250. subscriber.  I say "immediate premises of the subscriber" because one presumes
251. that the subscriber has the ability to isolate the premises wiring from the
252. outside cable plant, and therefore has complete inspection control over the
253. premises wiring.
254.  
255. I have used the phrase "without the cooperation of the telephone company"
256. several times in this article.  No voltage, impedance or TDR data is meaningful
257. without knowing the actual circuit layout of the subscriber loop in question.
258. Circuit layout information includes such data as exact length and guages of
259. loop sections, detailed description of loading (if present), presence and
260. location of multiples and bridge taps, calculated and measured resistance of
261. the loop, loop transmission loss, etc.  There is NO way that a telephone
262. company is going to furnish that information to a subscriber!  Sometimes it's
263. even difficult for a government agency to get this information without judicial
264. intervention.
265.  
266. Despite what I have stated in this article, you will see claims made by third
267. parties as to the existence of devices which will detect the presence of
268. telephone line eavesdropping beyond the subscriber's immediate premises.  With
269. the exception of the trivial cases of serious DC current draw by an extension
270. telephone or the detection of RF energy emitted by a transmitter, this just
271. ain't so.  Companies like Communication Control Corporation (which advertises
272. in various "executive" business publications) get rich by selling devices which
273. claim to measure minute voltage and impedance changes on a telephone line --
274. but consider those claims in view of the voltage changes due to CO battery
275. variations and due to temperature changes in outside cable plant -- and you
276. should get the true picture.
277. _______________________________________________________________________________
278.  
279. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
280.