home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / dcom / modems / 19867 < prev    next >
Encoding:
Internet Message Format  |  1993-01-23  |  3.7 KB
  1. Xref: sparky comp.dcom.modems:19867 alt.security:5354
  2. Path: sparky!uunet!elroy.jpl.nasa.gov!sdd.hp.com!saimiri.primate.wisc.edu!caen!uwm.edu!ogicse!verdix!islabs!fasttech!zeke
  3. From: zeke@fasttech.com (Bohdan Tashchuk)
  4. Newsgroups: comp.dcom.modems,alt.security
  5. Subject: three way calling gives security (Was: Caller ID products?)
  6. Message-ID: <1993Jan22.232900.14950@fasttech.com>
  7. Date: 22 Jan 93 23:29:00 GMT
  8. Article-I.D.: fasttech.1993Jan22.232900.14950
  9. References: <C18s8F.1qI@wsrcc.com>
  10. Organization: Fast Technology   Beaverton, OR
  11. Lines: 63
  12.  
  13. >If one is not interested in security then one wouldn't try to use a
  14. >dial-back modem to that end.  If someone is using a dial-back modem that
  15. >dials back on the same line then one is fooling themselves.  There
  16. >isn't any added security over the case were one just adds another
  17. >password to the login process.
  18.  
  19. >>  Callback makes it *harder* to get access to a system, not impossible.
  20.  
  21. >Dial-back is just a bandaid for modems.
  22.  
  23. >>It keeps the person who gets a number and password from getting in.
  24. >>It means the cracker needs more info and expertise to get access.
  25.  
  26. >They already have the number.  There is no added info needed.  Its the
  27. >same one that they just called.  They just have to call back.  The
  28. >added password is a benefit however.  One can get the added password
  29. >without the dial-back baggage.
  30.  
  31. There CAN be a lot of added security.
  32.  
  33. You just use a trick I read about on the net a long time ago. I've posted it a
  34. number of times since, as well.
  35.  
  36. The answer is THREE WAY CALLING. Not call waiting. Three way calling by itself.
  37. In most phone systems with direct lines (ie, no local PBX in the way), you are
  38. guaranteed that even if a hacker keeps calling back, he can't spoof you.
  39.  
  40. What you do is go offhook, wait for dialtone, then flash the hook, then wait
  41. for a second dialtone. In a Telebit WorldBlazer for example, the ! operator
  42. will flash the hook. Because of the way the phone company switch works, it
  43. it won't give you a second incoming call after you flash the hook. Note that
  44. if you had call waiting, that would be a whole different situation, since you
  45. then could potentially get two simultaneous incoming calls.
  46.  
  47. The hook flash is out-of-band to any incoming caller. He has no way of
  48. preventing it. The first dialtone you get might be a hacker spoofing you,
  49. but not the second dialtone.
  50.  
  51. So, now that you have a dialtone you KNOW is provided by the phone company,
  52. you can dial whatever number you want. Eg, when you do a callback to an
  53. employee's house, you KNOW it's the employee's modem that answers, and NOT
  54. the hacker's modem. A hacker would have to patch into the phone wires outside
  55. of an employee's house in order to intercept the callback. The same applies to
  56. uucp connections as well.
  57.  
  58. Of course, this doesn't work for employees calling in on business trips, but
  59. there are different methods of giving employees access in that case. For
  60. example, having them dial local packet switching network numbers and then
  61. telnetting in via TCP/IP ports.
  62.  
  63. Three way calling allows callback to provide much better security than your
  64. post implied. But I personally haven't had any problems with hackers, and so
  65. haven't found it necessary to pay the extra $$$'s each month. So I don't know
  66. if the dialback feature of the WorldBlazer is flexible enough to do this hook
  67. flash stuff by itself, or if an external getty-like program would be required.
  68.  
  69. This same trick applies whether or not you dial out on the same or different
  70. line as people dial in to. If someone finds out the phone numbers of your
  71. outgoing lines, they can spoof you unless you do something like this or get
  72. the phone company to block incoming calls.
  73.  
  74. -- 
  75. Bohdan              The Clinton Administration -- America Held Hostage -- Day 3
  76.