home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / phreak / sysinfo / dialback.doc < prev    next >
Encoding:
Text File  |  2003-06-11  |  9.9 KB  |  192 lines
  1.  
  2. Date:  Thu, 28-Feb-85
  3. Subject:  Dial Back isn't always secure
  4. From: [usenet via anonymous donor]
  5.  
  6.         An increasingly popular technique for protecting dial-in ports
  7. from the ravages of hackers and other more sinister system penetrators
  8. is dial back operation wherein a legitimate user initiates a call to the
  9. system he desires to connect with, types in his user ID and perhaps a
  10. password, disconnects and waits for the system to call him back at a
  11. prearranged number.  It is assumed that a penetrator will not be able to
  12. specify the dial back number (which is carefully protected), and so even
  13. if he is able to guess a user-name/password pair he cannot penetrate the
  14. system because he cannot do anything meaningful except type in a
  15. user-name and password when he is connected to the system.  If he has a
  16. correct pair it is assumed the worst that could happen is a spurious
  17. call to some legitimate user which will do no harm and might even result
  18. in a security investigation.
  19.  
  20.         Many installations depend on dial-back operation of modems for
  21. their principle protection against penetration via their dial up ports
  22. on the incorrect presumption that there is no way a penetrator could get
  23. connected to the modem on the call back call unless he was able to tap
  24. directly into the line being called back.  Alas, this assumption is not
  25. always true - compromises in the design of modems and the telephone
  26. network unfortunately make it all too possible for a clever penetrator
  27. to get connected to the call back call and fool the modem into thinking
  28. that it had in fact dialed the legitimate user.
  29.  
  30.         The problem areas are as follows:
  31.  
  32.                 Caller control central offices
  33.  
  34.         Many older telephone central office switches implement caller
  35. control in which the release of the connection from a calling telephone
  36. to a called telephone is exclusively controlled by the originating
  37. telephone.  This means that if the penetrator simply failed to hang up a
  38. call to a modem on such a central office after he typed the legitimate
  39. user's user-name and password, the modem would be unable to hang up the
  40. connection.
  41.  
  42.         Almost all modems would simply go on-hook in this situation and
  43. not notice that the connection had not been broken.  If the same line
  44. was used to dial out on as the call came in on, when the modem went to
  45. dial out to call the legitimate user back the it might not notice (there
  46. is no standard way of doing so electrically) that the penetrator was
  47. still connected on the line.  This means that the modem might attempt to
  48. dial and then wait for an answerback tone from the far end modem.  If
  49. the penetrator was kind enough to supply the answerback tone from his
  50. modem after he heard the system modem dial, he could make a connection
  51. and penetrate the system.  Of course some modems incorporate dial tone
  52. detectors and ringback detectors and in fact wait for dial tone before
  53. dialing, and ringback after dialing but fooling those with a recording
  54. of dial tone (or a dial tone generator chip) should pose little problem.
  55.  
  56.  
  57.                 Trying to call out on a ringing line
  58.  
  59.         Some modems are dumb enough to pick up a ringing line and
  60. attempt to make a call out on it.  This fact could be used by a system
  61. penetrator to break dial back security even on joint control or called
  62. party control central offices.  A penetrator would merely have to dial
  63. in on the dial-out line (which would work even if it was a separate line
  64. as long as the penetrator was able to obtain it's number), just as the
  65. modem was about to dial out.  The same technique of waiting for dialing
  66. to complete and then supplying answerback tone could be used - and of
  67. course the same technique of supplying dial tone to a modem which waited
  68. for it would work here too.
  69.  
  70.         Calling the dial-out line would work especially well in cases
  71. where the software controlling the modem either disabled auto-answer
  72. during the period between dial-in and dial-back (and thus allowed the
  73. line to ring with no action being taken) or allowed the modem to answer
  74. the line (auto-answer enabled) and paid no attention to whether the line
  75. was already connected when it tried to dial out on it.
  76.  
  77.  
  78.                 The ring window
  79.  
  80.         However, even carefully written software can be fooled by the
  81. ring window problem.  Many central offices actually will connect an
  82. incoming call to a line if the line goes off hook just as the call comes
  83. in without first having put the 20 hz.  ringing voltage on the line to
  84. make it ring.  The ring voltage in many telephone central offices is
  85. supplied asynchronously every 6 seconds to every line on which there is
  86. an incoming call that has not been answered, so if an incoming call
  87. reaches a line just an instant after the end of the ring period and the
  88. line clairvointly responds by going off hook it may never see any ring
  89. voltage.
  90.  
  91.         This means that a modem that picks up the line to dial out just
  92. as our penetrator dials in may not see any ring voltage and may
  93. therefore have no way of knowing that it is connected to an incoming
  94. call rather than the call originating circuitry of the switch.  And even
  95. if the switch always rings before connecting an incoming call, most
  96. modems have a window just as they are going off hook to originate a call
  97. when they will ignore transients (such as ringing voltage) on the
  98. assumption that they originate from the going-off-hook process.  [The
  99. author is aware that some central offices reverse battery (the polarity
  100. of the voltage on the line) in the answer condition to distinguish it
  101. from the originate condition, but as this is by no means universal few
  102. if any modems take advantage of the information so supplied]
  103.  
  104.  
  105.                 In Summary
  106.  
  107.         It is thus impossible to say with any certainty that when a
  108. modem goes off hook and tries to dial out on a line which can accept
  109. incoming calls it really is connected to the switch and actually making
  110. an outgoing call.  And because it is relatively easy for a system
  111. penetrator to fool the tone detecting circuitry in a modem into
  112. believing that it is seeing dial tone, ringback and so forth until he
  113. supplies answerback tone and connects and penetrates system security
  114. should not depend on this sort of dial-back.
  115.  
  116.  
  117.                 Some Recommendations
  118.  
  119.         Dial back using the same line used to dial in is not very secure
  120. and cannot be made completely secure with conventional modems.  Use of
  121. dithered (random) time delays between dial in and dial back combined
  122. with allowing the modem to answer during the wait period (with
  123. provisions made for recognizing the fact that this wasn't the originated
  124. call - perhaps by checking to see if the modem is in originate or answer
  125. mode) will substantially reduce this window of vulnerability but nothing
  126. can completely eliminate it.
  127.  
  128.         Obviously if one happens to be connected to an older caller
  129. control switch, using the same line for dial in and dial out isn't
  130. secure at all.  It is easy to experimentally determine this, so it ought
  131. to be possible to avoid such situations.
  132.  
  133.         Dial back using a separate line (or line and modem) for dialing
  134. out is much better, provided that either the dial out line is sterile
  135. (not readily tracable by a penetrator to the target system) or that it
  136. is a one way line that cannot accept incoming calls at all.
  137. Unfortunately the later technique is far superior to the former in most
  138. organizations as concealing the telephone number of dial out lines for
  139. long periods involves considerable risk.  The author has not tried to
  140. order a dial out only telephone line, so he is unaware of what special
  141. charges might be made for this service or even if it is available.
  142.  
  143.  
  144.                 A final word of warning
  145.  
  146.         In years past it was possible to access telephone company test
  147. and verification trunks in some areas of the country by using mf tones
  148. from so called "blue boxes".  These test trunks connect to special ports
  149. on telephone switches that allow a test connection to be made to a line
  150. that doesn't disconnect when the line hangs up.  These test connections
  151. could be used to fool a dial out modem, even one on a dial out only line
  152. (since the telephone company needs a way to test it, they usually supply
  153. test connections to it even if the customer can't receive calls).
  154.  
  155.         Access to verification and test ports and trunks has been
  156. tightened (they are a kind of dial-a-wiretap so it ought to be pretty
  157. difficult) but in any as in any system there is always the danger that
  158. someone, through stupidity or ignorance ity of the Hackers controling satelites in geo-sync 
  159. orbit are being moved out of there assigned orbits. Granted they 
  160. did not move the bird,but did gain control of the rotation control 
  161. for the satelite.
  162.  
  163. And  it was stated that the information needed to do such  things 
  164. was  found  on an underground bulletin board.  Ok,that  might  be 
  165. true,but information that is far more valuable to people on earth 
  166. is being posted on the boards. And the information comes from the 
  167. trash  can  or from insiders who have become disgruntled or  just 
  168. from plain old research looking for publicly available sources. 
  169. Some  of  these public sources are to include users manuals  and  
  170. system documentation. Others are to include users groups and just 
  171. talk.
  172.  
  173.  
  174.  
  175.  
  176.  
  177.  
  178. ASPECTS OF HACKER CRIME : HIGH TECHNOLOGY TOMFOOLERY OR THEFT ?
  179. -------------------------------------------------------------
  180. Other  interesting facts about the boards is that they contain  a 
  181. group   of   sub-sections  that  are  to  include forwarded to line B, to avoid callers when it is trying to dial out.
  182. Line C is some phone in the attacker's control.  The attacker forwards
  183. line C to line A, and then calls line C from yet another phone.  The
  184. call is forwarded only from C to A, not from C to A to B.  --
  185.                 Joe Eykholt
  186.  
  187. [Opinions expressed by me are not necessarily held by any other entity.]
  188.  
  189.  
  190.  
  191.  
  192.