Gratis bellen met je GSM

vbimport

#1

Dit is de tekst die je te zien krijgt…
na het bellen van het betaal nummer…

Collect bellen met je GSM
door Isidorus
De (meeste) GSM-providers staan het niet toe dat je met je GSM een collect
gesprek maakt. Dit hebben ze bewerkstelligd door te verbieden dat je naar
het nummer 0800-0101 kan bellen. Dit is n.l. het nummer waar je onder andere
collect-call gesprekken kunt aanvragen. Nu vroegen wij ons af waarom je dit
nou niet mag. Wij kwamen tot de volgende mogelijke antwoorden:
KPN wil de klanten met een vaste aansluiting laten denken dat het een
voorrecht is om collect calls te maken en de ordinaire GSM-gebruiker heeft
dit ‘voordeel’ niet.
Het is gewoon weer een andere manier om de prijzen voor telefonie kunstmatig
hoog te houden. Vind je het gek dat KPN elk jaar weer meer winst maakt?
De kosten voor gesprekken van andere GSM-providers zouden bij KPN terecht
kunnen komen, dit zou KPN geld kunnen kosten.
Misschien is er wel een truukje waardoor je leuke dingen kan doen, waarvan
wij nog niet op de hoogte zijn.
Daar waar wij geen goede reden konden bedenken waarom je nou geen
collect-call mag maken vanaf je GSM, hebben wij hier een oplossing voor
gevonden. Zoals je vast wel weet moet je bij het nummer 0800-0101 de keuze
maken uit 2 opties; kaartgesprek of collect call. In feite word je hier
doorgeschakeld naar het ‘echte’ nummer voor kaart of collect call
gesprekken. Het ‘echte’ nummer voor collecte gesprekken is 0800-0227631, en
dit is wel bereikbaar vanaf de mobiele telefoon!
Nu zul je wel denken: “Wat kan je hier nou mee?”. De oplettende (en trouwe)
lezers van 't Klaphek hebben hun conclusies allang getrokken, maar om ook de
langzaam denkende lezer van pas te zijn zullen wij dat hier uit de doeken
doen. Je weet vast al dat je collect kan bellen naar een telefooncel of een
andere openbare telefoon. Je kan natuurlijk ook een betaaltelefoon
doorschakelen. Het grappige van de doorschakelings dienst (*21) in
combinatie met een collect gesprek is dat alle telefoon kosten bij het
doorgeschakelde nummer terechtkomen. Waarom is dit eigenlijk zo? Het
principe van een collect call is dat de ontvangende partij betaald voor de
gemaakte gesprekskosten (inclusief een veel te hoge vergoeding voor de
collect call service!). Maar stel nou dat de ontvangende partij zijn
telefoon heeft doorgeschakeld. *21 zorgt ervoor dat alle kosten vanaf het
‘geactiveerde’ nummer op rekening van het doorgeschakelde nummer komen. In
theorie zou je dus de telefoon van je buren kunnen doorschakelen naar een
GSM van iemand die je kent. Op deze manier is het mogelijk om met de ene GSM
voor niets
een andere GSM te bereiken, mits deze is doorgeschakeld vanaf een normaal
telefoonnummer. Ja, lees dat nog maar een keer

Maar is er wat te doen om niet het slachtoffer te worden? Ja, er zijn een
paar opties. Ten eerste kan je *21 blokkeren, of gewoon alle *-diensten.
Daarvoor bel je met KPN storingsdienst (0800-0407) en vraag je om een
blokkade van de *-diensten. Een andere optie is om de telefoonlijn
enkelgericht te laten maken. Dit houdt in dat er alleen vanaf de telefoon
lijn ergens anders naartoe kan worden gebeld, maar er kan niet gebeld
worden. De beller krijgt dan een SIT (Standaard Informatie Toon) te horen.
KPN doet dit ook met haar eigen munt- en kaarttoestellen, maar is niet zo
aardig om kroegbazen ed in te lichten.
Wat trouwens ook al heel erg effectief werkt is simpelweg de nummerweergave
uit te laten zetten (0800-0404), want nu wordt het al veel moeilijker om het
nummer te achterhalen.

Wanneer je zelf een betaaltelefoon bezit en je wilt de telefoon
doorschakelen mbv bijv. 21 kun je tegen een paar problemen aanlopen. Een
van die problemen is dat het bij sommige modellen niet mogelijk om de
gekozen combinatie te laten beginnen met een '
’ . Wat je dan kan proberen
is een tone-dialer gebruiken. Deze apparaatjes werden vroeger (en nu ook nog
wel es) gebruikt voor het op afstand bedienen van antwoordapparaten. Dit
werkt niet wanneer de microfoon in de hoorn uitstaat, met een beetje mazzel
kun je deze aan laten zetten. Bel daarvoor de Coinvox op, laat de telefoon
overgaan (of wacht anders gewoon even) en stop dan met bellen. Wacht 2 a 3
seconden en neem de hoorn op. Blaas even in de hoorn en je weet of het heeft
gewerkt. Hint: Als de telefoon al is doorgeschakeld met behulp van [*21]
(naar bijvoorbeeld voicemail) dan is het dus ook niet mogelijk om die
telefoon op te bellen.
Bellen met cellen
door Dr. Phrankenstein & Soundtracer

Nederland telt momenteel zo’n 18.000 telefooncellen. Elke dag komen er wel
tien bij. De cellen komen voor in vele smaken; de zilverkleurige
munttelefoon is de oudste en de Landis & Gyr kaarttelefoon is de meest
voorkomende. In het straatbeeld verscheen recentelijk de zogenoemde
`Paalfoon’ (een kaarttelefoon van Landis & Gyr die in een paaltje is
gepropt). Verder is er voor bedrijven, instellingen en horecagelegenheden de
VOX-serie. Deze serie wordt elders in dit nummer behandeld.
De telefoon
In wezen is een openbare telefoon niet veel meer dan een gewone
huis-tuin-en-keuken telefoon: naast een hoorn en tiptoetsen heeft hij ook
een bel. De lijn waarop de telefoon is aangesloten heeft een telefoonnummer
en beschikt over de standaard faciliteiten, zoals testnummers en
sterdiensten.
Geheim
De gebruikelijke taktiek van de PTT is te zeggen dat cellen geen nummer
hebben. Buitenlandse PTT’s liegen op dit punt minder en vermelden het nummer
op het toestel. Omdat wij bij 't Klaphek niet van leugens houden publiceren
wij alvast de nummers van meer dan 1000 willekeurig gekozen openbare
telefoons in Nederland.
Gebruiksaanwijzing
De lijst met nummers is alfabetisch gesorteerd op celcode. De celcode
bestaat uit een twee-letterige districtscode (zie onderstaande tabel) en een
volg-nummer. Dit volgnummer kan gevonden worden op de gebruiksaanwijzing in
de cel. De lokatie-aanduiding die ook in de cel staat vermeld, is summier.
Daarom hebben wij voor je de naam opgezocht van de hoofdverdeler waarop de
cel is aangesloten. Een lijst met hoofdverdelers kan je vinden in Hack-Tic
22/23.
District Afkorting
Amsterdam AD
Arnhem AH
Breda BD
's-Gravenhage GV
Groningen GN
Haarlem HM
Hengelo HG
's-Hertogenbosch HT
Leeuwarden LW
Maastricht MT
Rotterdam RT
Utrecht UT
Zwolle ZW

De lijn
Niet alle nummers in deze lijst blijken belbaar. Sommige telefoons hangen
aan een `enkel’-gerichte lijn. Wordt een dergelijke lijn gebeld dan volgt
onherroepelijk de S.I.T. (Standaard Informatie Toon) of een gesproken
foutmelding. Wij hebben gemerkt dat de PTT het aantal enkelgerichte lijnen
van cellen aan het uitbreiden is. Andere telefoons hebben een groepsnummer.
Bij deze faciliteit delen een aantal telefoonlijnen hetzelfde nummer. Of
groepsnummers zijn toegepast hangt af van de centrale waarop het toestel is
aangesloten.
Bellen naar cellen
Kaart- en muntcellen reageren verschillend op binnenkomende gesprekken.
Muntcellen nemen doorgaans op met autodiagnose. Bij de autodiagnose hoor je
eerst een aantal keer toontje A gevolgd door een aantal keer toontje B, dit
gebeurt drie keer achter elkaar. In tabel 2, die wij uit Hacktic 9/10 hebben
overgenomen, kan je nu opzoeken wat de muntcel je probeert te vertellen.
Tijdens de diagnose kan de beller horen wat er rond het toestel

wordt gezegd. Kaartcellen veraden een binnenkomend gesprek altijd door het
laten knipperen van de tekst Neem hoorn op'. Als de PTT-monteur de elektronische bel niet heeft 'gedisabled' maken ze ook nog herrie. Na opname volgt op het display de tekst 'Binnenkomend gesprek' en op de lijn zijnmating penguins’ te horen. Deze paargeluiden zijn waarschuwingstonen voor
operators die dan weten dat collectgesprekken naar dit nummer uit den boze
zijn. Of de PTT zijn Collect-Call computer even goed heeft geïnstrueerd moet
je zelf maar uitzoeken. Ligt de hoorn van de haak tijdens een oproep, dan
hoort de beller geluiden uit de omgeving van de telefoon.
A (1) B (#)
1 tsl in bedrijf, alles OK geldbak 0…1/3 gevuld
2 een kanaal is gestoord geldbak 1/3…2/3 gevuld
3 beide kanalen zijn gestoord geldbak 2/3…3/3 gevuld
4 geen verkeer geldbak vol
5 X geldbak gejat
6 X geldbakcontrôle niet geldig
Hulde!
Wij willen de volgende personen bedanken voor hun medewerking aan dit
artikel: Listerique, Natas, Dev/Null, Trailfinder, Bad Boy, Attila, The
KRW,Griffin, VV/Focus.
Bijlage
Lijst met nummers
Webmail.nl lekt passwords
door Mr Brownstone
Samenvatting www.webmail.nl is een zogenaamd webmail-portal. Het biedt een
browser-interface op een POP3-backend die gebruikers in staat stelt om
vanuit een browser hun mail te lezen. Door het invullen van e-mail adres en
wachtwoord kan de gebruiker mail van zijn account bij elke provider lezen.
Wanneer in een e-mail een hyperlink wordt opgenomen, en deze hyperlink wordt
aangeklikt vanuit Webmail, is de eigenaar van de site waarnaar doorverwezen
wordt, in staat om het wachtwoord van de gebruiker te achterhalen.
Hoe het werkt
Wanneer je met behulp van www.webmail.nl je e-mail leest zie je dat in de
URL een paar leuke gecodeerde strings zitten, met als namen ‘ad’, ‘pw’ en
‘tm’. Het vermoeden bestaat natuurlijk meteen dat je e-mail adres en je
password hierin verstopt zitten.
Na even rondneuzen kom je terecht op de functie om mail te versturen. Als je
nu in het veld ‘ad’ gaat zitten veranderen kan je het resultaat netjes
meteen aflezen in het ‘To:’ boxje eronder. Erg interessant. Soms leidt 1 bij
een digit optellen of aftrekken tot een ‘naastgelegen’ letter in het
alfabet, soms schuift het ook een paar op.
Echt interessant wordt dit pas als blijkt dat wanneer je iemand een mailtje
stuurt met een link erin, het gecodeerde e-mail adres en password gewoon in
de HTTP-referrer blijven staan. Ze doen bij webmail.nl niet de moeite om de
mail te parsen en de links via een lokale redirector te sluizen, zodat dit
soort informatie ‘binnen’ blijft.
Alle logica voor het coderen van het e-mail adres en het password bevindt
zich in de Active Server Pages (ASP). Die scripts worden eruit geparsed
wanneer de pagina naar je browser gestuurd wordt, dus no way hose dat we
daarbij kunnen zonder de site binnen te dringen. Zelf hou ik wel van een
black-box approach op z’n tijd - als het op die manier lukt heb je tenminste
weer eens bewezen dat security by obscurity inderdaad zinloos is :wink:
Je zal zien dat de codering steeds anders is. Niet alleen wordt er met een
andere sleutel gecodeerd, ook steeds met een wisselend algoritme (de ene
keer levert een kleine afwijking in een digit slechts een letter
verschuiving op, de andere keer zit je meteen 4 of 8 letters verderop). Wat
wel opvalt is dat de digits hexadecimaal zijn, maar dat de lower nibble
eerst lijkt te komen. Ook is de codering duidelijk afhankelijk van de
lokatie van het teken. Dit wordt snel duidelijk door het laten decoderen van
codes als 04040404, die niet 4 maal hetzelfde teken opleveren.
Mijn eerste gok was dat het ‘tm’ veld er iets mee te maken heeft. Dit ruikt
natuurlijk al naar ‘tijd’ en da’s altijd een dankbare waarde om voor je
encryptie te gebruiken. Nadere inspectie leert dat de waarde van dit veld
langzaam afneemt. De dag erna is er sprake van een zekere ontmoediging omdat
het weer gestegen lijkt, maar een tabelletje van tijdstippen en waardes van
‘tm’ maakt alles duidelijk: tm is alleen afhankelijk van het tijdstip, niet
van de datum. Het is dus alsof het countertje iedere nacht om 0.00 wordt
gereset.
Een simpele formule is dan snel afgeleid:
tm = 2067033450 - 3600 * uur - 60 * minuten - seconden
Het getal 2067033450 is bij benadering, ik heb niet de moeite genomen om de
exacte tijd op de server te controleren. Hexadecimaal coderen van tm en
vervolgens een afhankelijkheid proberen te vinden levert echter niets op.
Bummer.
Al zijn de codering van het e-mail adres en wachtwoord steeds anders, het
valt wel op dat er bepaalde afhankelijkheden tussen de twee blijven bestaan.
Zo wordt het duidelijk dat het XOR-ren van beide strings altijd een
constante waarde oplevert (bij constant e-mail adres en wachtwoord!). Maar
als dat zo is, dan wordt het algoritme dus gereset tussen het coderen van
e-mail adres en wachtwoord. In andere woorden, een teken op plaats x van het
e-mail adres wordt hetzelfde gecodeerd als een teken op plaats x van het
wachtwoord. Als je de codes voor ad en pw verwisselt zal je dan ook zien dat
het To: veld ineens je wachtwoord bevat!
Het gebruikte algoritme kan ons nu niet echt veel meer schelen. Er geldt
namelijk het volgende:
plainEmail XOR secretKey = codedEmail plainPassw XOR secretKey = codedPassw
2 vergelijkingen met 5 variabelen. Wat we niet weten is secretKey, en wat we
willen weten is codedPassw. XOR is echter een operatie waarvoor leuke dingen
gelden:
Als x XOR y = z dan x = y XOR z en x = z XOR y Tevens geldt altijd: x XOR x
= 0 En dus ook: x XOR 0 = x
En dan krijgen we dus het volgende:
codedPassw XOR codedEmail = (plainEmail XOR secretKey) XOR (plainPassw XOR
secretKey) codedPassw XOR codedEmail = plainEmail XOR plainPassw XOR
secretKey XOR secretKey codedPassw XOR codedEmail = plainEmail XOR
plainPassw codedPassw XOR codedEmail XOR plainEmail = plainPassw
En dan zijn we er wel. Die drie weten we namelijk.
codedEmail en codedPassw vind je in de HTTP_REFERRER. plainEmail moet je
even weten natuurlijk. Omdat je je victims een mailtje moet sturen is dat
sowieso wel handig. Je kan het gewoon als argument meegeven aan je
target-URL. Jammer dat webmail de link afbreekt op een apestaartje, dus dat
moet je wel even escapen. Ik heb hier twee puntjes gebruikt. Als je dat nog
te opvallend vindt dan codeer je het even (URLencode voor domme victims,
heftige XOR algoritmes samen met een hoop onzin als je een wannabe hacker te
grazen wilt nemen).
Als je maar 1 victim hebt dan kan je het e-mail adres natuurlijk hardcoden
in de exploit.
Vervolgens wacht je dus tot je victim op vakantie gaat en een uurtje voor
vertrek breng je hem op de hoogte van de mooie webmail.nl site. Alles wat je
dan nog te doen staat is een mailtje sturen, een biertje uit de koelkast
pakken en naar je logfile gaan zitten staren.
Een javascript based exploit dat bovenstaand verhaal demonstreert staat
hieronder. Mooi is natuurlijk als je de boel naar een CGI-tje stuurt en dan
in een logfile wegschrijft. Daarna stuur je gewoon een browser-redirect naar
xxx.com, om je victim niet achterdochtig te maken.

Nawoord
Zo zie je maar weer, een systeem beveiligen is moeilijker dan je denkt. Een
hoop mensen denken dit wel even te kunnen, en hun systeem is gebaseerd op
“geheime” algoritmes en obscure constructies. Een echte hacker komt er toch
wel achter en vindt dan meestal uit dat het systeem niks voorstelt. Als je
een bedrijf vraagt hoe hun systeem beveiligd is dan willen ze dit vaak niet
kwijt. Als het bedrijf ook nog eens je persoonlijke gegevens moet beveiligen
(zoals een bank of overheid, maar ook zoals in dit geval een gratis e-mail
dienst) dan is zo’n geheim systeem een
goede reden om de boel niet te vertrouwen. Een goed beveiligingssysteem kan
tot in detail (behalve de geheime sleutels) publiek gemaakt worden, zonder
dat er een risico is voor de veiligheid. Sterker nog, het kan getest worden
door onafhankelijke experts en iedereen die daar interesse in heeft. Dat
werkt toch stukken beter voor het imago van een bedrijf, dan wanneer je een
uitleg van je systeem in 't Klaphek terugleest? De enige goede methode om
WWW verkeer te beveiligen is door encryptie in je webbrowser te hebben. Als
die niet gebruikt wordt, dan is het systeem hoogstwaarschijnlijk zo te
kraken.


#2

Ja en nu de bedoeling van deze boodschap, samengevat als het kan ?


#3

What’s your point. Alles behalve dat bellen met GSM is oude shit die het al lang al niet meerdoet. Dat met cellen werd al in 't Klaphek gepubliceerd toen je het moest kopen.


#4

koop gewoon zo’n gsm recharger bij hackertronics, beltegoed opwaarderen tot 10.000 piek


#5

Werkt allemaal niet. Gewoon belkaart kopen.

Greetz,

Tha Sentinel


#6

Heeft er iemand ervaring met
die hackertronics kaart?

Zo ja welke


#7

Werkt nie?
Dach 't wel


#8

je kan niet gratis bellen :confused::confused:


#9

Hai en welkom hier namens mij,

Ik denk dat hij daar na 9 jaar!!!:confused::confused::doh::iagree: wel achter is gekomen.

grtz Dúnedain