Absender : Arthur Konze @ 2:2452/172.18 (Krynn, Bergheim)
Hallo Leute,
In Rahmen eines spontanen Beschlusses ein Teil meines Wissens anderen Leuten, die nicht aus der Szene kommen, zur Verfügung zu stellen habe ich mal einen kleinen Text über das Telephone Phreaking (Die Kunst des kostenlosen Telefonierens) verfasst.
Ich hoffe der Text gefällt euch und ihr schickt mir kräftig Mails mit eurer Meinung. Natürlich bin ich auch Verbesserungvorschlägen, wenn denn welche kommen sollten, gegenüber offen.
Der Text befindet sich noch im Anfangsstadium!!! Ich wollte halt nur mal schon jetzt eure Meinung darüber wissen...
cu,aRthUr

Vermittlungsstandards
Als nächstes sollte man sich mit den Vermittlungsstandards auseinandersetzen. Am weitesten verbreitet sind die beiden Standards CCIT5 und CCIT7. Der schon etwas ältere CCIT5 (C5) Standard wird zum Beispiel in den Vereinigten Staaten, Kanada, Australien, Indien oder auch China eingesetzt. Der wesentlich neuere CCIT7 (C7) Standard wird von den Vermittlungscomputern der moderneren europäischen Telefongesellschaften, wie der deutschen Telekom oder der France Telecom benutzt. Der wesentliche Unterschied zwischen den beiden Vermittlungsstandards liegt in der Kommunikation der Vermittlungsstellen untereinander. Während beim C5 Standard Daten, wie das gesprochene Wort, und Steuersignale, die unter anderem zum Verbindungsaufbau genutzt werden, über die selben Leitungen laufen, werden Daten und Steuersignale beim C7 Standard getrennt. Beim C5 Standard sind die Vermittlungscomputer mit einem zweiadrigen Kabel verbunden. Beide Kanäle werden sowohl für Daten als auch für Steuersignale genutzt. Der Benutzer kann also alle Steuercodes der Vermittlungsstellen mithören. Beim C7 Standard liegen drei Leitungen zwischen den Vermittlungsstellen. Zwei werden für die Datenübertragung genutzt und eine ist eine reine Steuerleitung.

CCIT5
Fast alle Steueranweisungen des alten C5 Standards erfolgen durch Töne oder Tonsequenzen. Dies ermöglicht eine hohe Flexibilität und Kundenfreundlichkeit, wie eine Vielzahl von operatorgestützten Dienstleistungen belegen. So kann ein amerikanischer Operator nicht nur eine einfache Auskunft über eine Telefonnummer geben, sondern er kann einen Teilnehmer auch direkt mit der gesuchten Rufnummer verbinden. Er übernimmt das Wählen für behinderte Personen, führt Weckaufträge durch und kann Konferenzschaltungen vermitteln. Ebenso nimmt er Störungsmeldungen entgegen und bearbeitet diese direkt von seinem Terminal aus, daß viele Diagnose- und Behebungsmöglichkeiten bietet. Er kann in Notfällen bestehende Verbindungen beenden oder sich in laufende Gespräche einschalten. Jede Eingabe des Operators wird vom Terminal in eine Folge von Tönen übersetzt, die an den Vermittlungscomputern die gewünschte Funktion auslösen. Jeder Teilnehmer, der an eine C5 Vermittlungsstelle angeschlossen ist, kann diese Tonfolgen nicht nur mithören sondern auch selber senden. Somit wird er, die entsprechenden Kenntnisse über die Tonsequenzen vorausgesetzt, selber zum Operator mit allen Möglichkeiten eines normaler Operator. Diese Sicherheitslücke bietet eine breite Angriffsfläche für mögliche Manipulationen.

CCIT7
Der relativ neue C7 Standard umgeht dieses immense Sicherheitsloch durch Trennung von Daten und Steuersignalen. Einzig und allein die Leitung vom Teilnehmer zur ersten Vermittlungsstelle ist zweiadrig, alle weiteren Verbindungen von Vermittlungsstelle zu Vermittlungsstelle sind dreiadrig und trennen somit Daten und Steuercodes. Damit bietet sich für einen Teilnehmer keine Möglichkeit in die Kommunikation der Vermittlungscomputer einzugreifen. Allerdings wird dies auch einem C7 Operator verwehrt, da er keinen Zugriff auf die Steuerleitung hat. Somit hat dieser kaum eine Möglichkeiten auf die Funktionsweise des C7 Netzes einzuwirken. Dies macht das CCIT7 Netz zwar sehr sicher, aber es dadurch auch sehr unflexibel. Alle Dienstleistungen des entsprechenden Telefondienstanbieters müssen extern ins Netz eingehangen werden. Diesen Nachteil nehmen viele Anbieter jedoch für den Vorteil in Kauf, daß ihr Netz von außerhalb praktisch nicht zu manipulieren ist. Phreaker richten ihre Angriffe deshalb in der Regel auf C5 Netze.

Angriff von C5 auf C5
Anfangs ging ein Großteil der Manipulationen an C5 Netzen von Studenten aus. Diese nutzten ihr Wissen über die Steuerseuqenzen um Telefonkonferenzen zu schalten oder umsonst zu telefonieren. Dies wurde von den Telefongesellschaften geduldet, da sich die Verluste in Grenzen hielten. Erst mit dem Aufkommen der Modemszene sah man sich bei den Anbietern genötigt etwas zu unternehmen, da vor allem Softwarepiraten stundenlang durchs ganze Land telefonierten und somit größere Verluste verursachten. Regelmäßig wurden deshalb von den Telefongesellschaften die Frequenzen der Steuercodes geändert. Die Szene reagierte mit sogenannten Frequenzscannern. Diese Software suchte automatisch nach den neuen Frequenzen. Waren die neuen Frequenzen erst einmal gefunden, wurden sie innerhalb weniger Stunden über Mailboxen im ganzen Land verbreitet. Frequenzscanner waren oft in sogenannte Softwaredialer integriert. Diese Software konnte nicht nur nach neuen Frequenzen suchen, sondern band diese automatisch in das Programm ein, von dem aus dann relativ einfach eine Manipulation durchgeführt werden konnte. So war es auch Anfänger ohne große Kenntnisse leicht möglich eine Leitungsmanipulation durchzuführen. Das einzige Problem stellt für die amerikanischen Phreaker nur die Gefahr einer Entdeckung durch eine Fangschaltung dar. Diese als Tracing bekannte Technik ermöglicht es den Gesellschaften relativ schnell den Ausgangspunkt eine Leitungsmanipulation festzustellen. So können Angreifer innerhalb weniger Minuten ausfindig gemacht und meist auch direkt verhaftet werden. Die einzige Möglichkeit sich davor zu schützen ist der langwierige Aufbau einer Verbindung über viele Vermittlungsstellen und Länder, um so die Zeit bis zur Entdeckung durch den Tracer hinauszuzögern.

Angriff von C7 auf C5
Mit der Einführung des 0130 Service hier in Deutschland lohnte es sich zum ersten Mal auch für deutsche Phreaker Leitungsmanipulationen an C5 Netzen durchzuführen. Dazu muß man wissen, daß viele der 0130 Service Nummern von großen multinationalen Firmen für den Kundendienst genutzt werden und in Länder mit CCIT5 Vermittlungsstandards führen. Da bei den 0130er Nummern der Angerufene alle Kosten des Anrufes übernimmt, kann ein Phreaker von deutschem Boden aus praktisch ohne Kosten auf Länder mit C5 Standard zugreifen. Dazu muß er allerdings erst wissen, welche Nummern in Länder mit dem CCIT5 Standard führen. Um genau dies herauszufinden gibt es sogenannte Rufnummern Scanner. Diese Programme wählen mit Hilfe eines Modems eine beliebe Reihe von 0130er Nummern an und testen diese auf C5 Tauglichkeit. Meist lassen Phreaker diese Scanner die ganze Nacht, wenn sie schlafen, oder den ganzen Tag, wenn sie arbeiten, laufen und können so innerhalb weniger Tage mehrere tausend Nummern testen. Hat man erst einmal die Nummern, kann man jetzt eine Verbindung in das C5 Zielland herstellen und dann auf die Vermittlungscomputer mit Hilfe der richtigen Steuersignale einwirken. Eine Entdeckung durch Tracing braucht der deutsche Phreaker nicht zu fürchten, denn für eine länderübergreifende Fangschaltung brauchen die Telefongesellschaften einen richterlichen Beschluß. Diesen zu erhalten dauert in der Regel jedoch länger als das Telefonat.

Steuersignale
Im Wesentlichen benutzen Phreaker drei wichtige Frequenzen um kostenlos zu telefonieren. Das erste Signal ist das sogenannte Breaksignal. Es liegt bei 2600 Hz. Mit Hilfe des Breaksignals wird eine bestehende Verbindung unterbrochen. Als nächstes wird das Sizesignal gesendet, daß bei 2400 Hz liegt. Mit ihm wird die C5 Vermittlungsstelle angewiesen eine neue Verbindung aufzubauen. Nun braucht nur noch die entsprechende Rufnummer gesendet zu werden und die Vermittlungsstelle beginnt mit dem Leitungsaufbau. Da so jedoch nur nationale Gespräche geführt werden können, bedient man sich der sogenannten Routingcodes, die für jedes Land der Welt existieren. Mit ihnen kann ein Phreaker den Anruf weltweit umleiten. Ebenso ist es ihm möglich, mit Hilfe der entsprechenden Routingcodes den Weg der Verbindung zu beeinflussen. Der Phreaker kann zum Beispiel wählen, ob er die Leitung über Seekabel, Seefunk oder Satellit aufbauen möchte.

Abwehrmaßnahmen
Man war wegen der Problematik internationaler Fangschaltungen deshalb bei den amerikanischen Telefongesellschaften sehr bestrebt, das Phreakerproblem schon in den Ausgangsländern von den dortigen Gesellschaften beseitigen zu lassen. Auf Seiten der Deutschen Telekom sah man jedoch wenig Handlungsbedarf, verursachten die deutschen Phreaker der Telekom doch keinen Schaden sondern im Gegenteil sogar einen hohen Gewinn. Erst als die amerikanischen Telefongesellschaften drohten Leitungskapazitäten nach Deutschland abzuziehen, sah sich auch die Telekom genötigt gegen das Phreaken vorzugehen. Man stattete deshalb Ende 1993 die nach Amerika führenden Leitungen mit Frequenzfiltern aus, die die wichtige Breakfrequenz von 2600 Hz aus den Leitungen herausfilterten. Es dauerte jedoch nur wenige Tage bis deutsche Phreaker einen Weg durch die Frequenzfilter fanden. Das Problem war die Toleranz der amerikanischen Vermittlungscomputer, die auch 2650 Hz noch als Breaksignal erkannten. Erst Mitte 1994 gelang es der Telekom dieses Problem zu beheben, indem man die Frequenzfilter auf einen Bereich von 2500 Hz bis 2800 Hz umstellte. Aber auch diese neuen Frequenzfilter bedeuteten kein größeres Problem. Zwar war es jetzt nicht mehr möglich ein Breaksignal abzusenden und somit die Verbindung im C5 Land gezielt zu beenden, jedoch konnte ließen die Filter das Sizesignal von 2400 Hz immer noch passieren. Dazu muß man wissen, daß es etwa ein bis zwei Sekunden dauert, bis deutsche Relais den Abbruch der Verbindung in Amerika bemerken. Sendete man nun in dieser Zeitspanne ein Sizesignal, war es wiederum möglich ein Gespräch aufzubauen. Seitens der Telekom reagierte man darauf mit schnelleren Relais, so daß auch diese Lücke geschlossen werden konnte. Gezwungenermaßen mußten sich die Phreaker nun wieder mit den Frequenzfiltern beschäftigen. Man fand heraus, daß sich die Filter mit sogenannten Flatterfrequenzen umgehen lassen. Bei der Telekom verzichtete man auf ein erneutes Auswechseln der Filter und beschränkte sich darauf die C5 Steuersignale auf die C7 Steuerleitung umzulegen. Damit ist es deutschen Phreakern nun nicht mehr möglich die Antworten der amerikanischen Vermittlungscomputer zu hören. Man muß seine Break- und Sizesignale praktisch blind positionieren.

Ein erstes Fazit
Das Phreaken ist mittlerweile zu einem globalen Problem geworden, da es selbst obwohl die deutsche Telekom ein sehr hohen technischen Aufwand betrieben hat, auch heute noch möglich ist, über die gut abgesicherten Leitungen nach Amerika, Kanada und Australien kostenlos zu telefonieren. Vor allem CCIT5 Ländern mit rückständiger Technologie sind den Manipulationen meist hilflos ausgeliefert. In Indien zum Beispiel sah man sich genötigt einen Großteil der ins Ausland führenden Leitungen zu kappen. So haben dort nur noch große Frimen eine Verbindung zum Rest der Welt. In China steht auf Leitungsmanipulationen mittlerweile die Todesstrafe. In Chile versuchen Sonderkommandos des Militärs dem Phreakerproblem Herr zu werden. Trotz der enormen Anstrengungen der Gesellschaften und Behörden gibt man sich in der Phreakerszene gelassen, da es noch eine Menge anderer Wege gibt, um kostenfrei zu telefonieren.

Callingcards
Unter dem Begriff Callingcard versteht man eine Kreditkarte, von der aus man weltweit bargeldlos telefonieren kann. Sie sind sehr beliebt, da mehr als 70% der amerikanischen Telefonkunden über eine solche Callingcard verfügen. Callingcards werden aber zum Beispiel auch von deutschen Firmen genutzt. Sie könen so die Kosten eines Anrufes in die USA minimieren, da die amerikanischen Gesellschaften einen Anruf viel billiger anbieten als die teure deutsche Telekom. Die Kosten für ein Gespräch werden vom jeweiligen Anbieter der Karte übernommen und auf das normale Telefonkonto des Inhabers umgelegt oder über eine andere Kreditkarte abgerechnet. Das Telefonieren mit Callingcards gestaltet sich denkbar einfach. Der Karteninhaber ruft von einem beliebigen Land der Welt eine gebührenfrei Telefonnummer des Anbieters an. Nun gibt es zwei Möglichkeiten. Die erste ist, daß er mit einem Operator verbunden wird. Diesem nennt er die gewünschte Rufnummer, die Kartennummer und eine 4- stellige Geheimnummer. Wenn der Operator die Daten verifiziert hat, stellt er das Gespräch durch. Die zweite Möglichkeit ist, daß der Anrufer mit einem sogenannten Dial-Up verbunden wird. Hier kann er selbstständig, also ohne Operator, über DTMF Töne Rufnummer, Kartennummer und Geheimnummer eingeben und wird dann verbunden. Die Dial-Ups lassen dreimal eine falsche Eingabe zu, dann wird der Benutzer automatisch mit einem Operator verbunden. Auch hier in Deutschland gibt es mit der Einführung der T-Card eine solche Callingcard. Diese wird jedoch wenig frequentiert da die deutsche Telekom im internationalen Vergleich zu teuer ist.

Angriffe auf Callingcards
Natürlich war man bei der Masse der zur Verfügung stehenden Karten schon immer sehr bestrebt diese zu phreaken. Zunächst einmal ist es wichtig zu wissen, daß sich die Kartennummer aus der Telefonnummer des Inhabers ableiten läßt und nahezu identisch mit dieser ist. Das einzige Problem besteht also in der Beschaffung der zur Karte gehörenden Geheimnummer. Um diese herauszufinden kann man die automatischen Dial-Ups benutzen. Phreaker setzen dazu Scanner Programme ein, die die Dial-Ups anrufen und zu einer Kartennummer dreimal eine Geheimnummer ausprobieren. Danach legt sie Software automatisch auf, um nicht mit einem Operator verbunden zu werden. Nun wird erneut angerufen und die nächsten drei möglichen Geheimnummern ausprobiert. Da die Fehleingaben nirgendwo gespeichert werden, hat man quasi unendlich viele Versuche zur Verfügung. Bei der nur 4-stelligen Geheimnummer beträgt die Ausbeute einer Nacht in der Regel eine bis drei Geheimnummern. Eine wesentlich elegantere Lösung des Geheimnummernproblems bot sich an, als man herausfand, daß die Geheimnummern aus der Kartennummer mit einem recht simplen Algorythmus berechnet wurde. So kam es dazu, daß die Szene bald mit Callingcard-Generatoren überflutet wurde. In den folgenden Monaten mußten die Telefongesellschaften diese Nachlässigkeit teuer bezahlen. Daraufhin änderte man den Verschlüsselungsalgorythmus der Geheimnummer und gab neue Nummern an alle Karteninhaber aus. Trotzdem wird auch heute noch die Geheimnummer aus der Kartennummer berechnet. Dieser Algorythmus ist zwar für den Laien nicht mehr nachzuvollziehen, stellt aber für einen Cryptoanalytiker keine Herausforderung dar.

Abwehr des Callingcard Mißbrauchs
Allein aufgrund des Funktionsprinzips von Callingcards gibt es für den Anbieter wenig Möglichkeiten einem Mißbrauch entgegenzuwirken. Man beschränkte sich daher bei den großen amerikanischen Gesellschaften darauf, den Leistungsumfang einer solchen Karte einzuschränken. Eine Einschränkung ist das Kostenlimit. Übersteigen die Kosten ein festgelegtes Limit so wird der Anrufer automatisch mit einem Operator verbunden, der sich die Karte noch einmal verifizieren läßt. Eine weitere Einschränkung ist die Verminderung der zur Verfügung gestellten Leitungskapazität. So kann immer nur eine Verbindung über die Karte aufgebaut werden. Versucht man gleichzeitig eine zweite Verbindung aufzubauen, wird die Karte automatisch gesperrt. Außerdem läßt das System keine unnötigen Anrufe mehr zu. Man kann zum Beispiel keine Verbindung von Deutschland nach Deutschland aufbauen.

Buchtitel: