В прошлой статье мы подробно разобрали феномен цветных коробок (в первую очередь голубых) для взлома аналоговых телефонных сетей в США. В этой части мы поговорим, какие варианты взломов практиковали в нашей стране.
Советский след: почему Blue Box не сработал бы в СССР, но что там сработало
Blue Box — это история про США, но не про нашу страну. Классический магистральный фрикинг у нас был практически невозможен. Дело не в отсутствии умельцев — с этим как раз проблем не было. Дело в архитектуре, которая диктовалась совсем другой логикой телефонизации.
Для начала — о масштабах и стартовых условиях. В США массовая телефонизация стартовала еще в 1940‑х годах. Телефон был бытовым прибором, как утюг или холодильник. В СССР до начала 1970‑х домашний аппарат оставался привилегией номенклатуры, врачей, писателей и передовиков производства. Основная масса граждан ходила звонить на переговорные пункты или к соседям. Междугородняя связь на огромных пространствах Союза держалась не столько на автоматике, сколько на МТС — междугородных телефонных станциях, где в огромных залах сидели девушки-телефонистки и вручную соединяли каналы гнездами и шнурами. На селе же ситуация была еще хуже. Помню, что у моей бабушки на улицу из 20 частных домов был один телефон. Туда-то все и ходили звонить, либо на переговорный пункт в отделение связи. То есть главная проблема была вообще с доступом до медной пары. Но, допустим, у вас такой доступ есть.
Следующее, с чем вы столкнетесь: другая сигнализация. В сетях США использовалась внутриполосная сигнализация на частоте 2600 Гц, которая шла прямо через разговорный тракт. В СССР и странах Варшавского договора на междугородних каналах применяли иные принципы. Наиболее распространенной была сигнализация по двум выделенным сигнальным каналам (2-ВСК). В отличие от абонентской двухпроводной линии, междугородные каналы в СССР были четырехпроводными — отдельный путь для передачи и приема. Сигнализация 2-ВСК занимала отдельные жилы или частоту 3825 Гц, которая вырезалась фильтрами и не попадала в тракт абонента. Абонент физически не мог влиять на управление.
Кроме того, использовалась передача сигналов по выделенным физическим проводам в кабеле («батарейный» способ постоянным током), где управление шло вообще не через частоты, а через замыкание отдельных жил. Тона 2600 Гц в советском понимании магистрального отбоя просто не существовало как явления. Соответственно, свистеть или дудеть в трубку было бесполезно: станция не слушала голосовой канал на предмет команд.
Вторая причина: безраздельное господство импульсного набора. Вплоть до конца 80‑х годов DTMF‑сигнализация (кнопочный тоновый набор) в советских сетях была экзотикой — ею оснащались разве что некоторые учрежденческие станции и закрытые ведомственные линии. Вся автоматика общего пользования оперировала декадными импульсами. Чтобы «просвистеть» номер, как это делала Blue Box с помощью MF‑кодов, пришлось бы каким-то образом генерировать серии размыкания шлейфа с высокой точностью. Причем имитировать не только количество импульсов, но и их длительность, межсерийные паузы, соотношение размыкания к замыканию. Сделать это акустическим способом, через микрофон трубки, невозможно в принципе. Декадный набор — это не тон, это импульсы. Требовалось прямое гальваническое подключение к линии, что уже другой класс сложности.
Третья причина: массовое спаренное включение. Чтобы хоть как-то увеличить абонентскую емкость при дефиците кабельной канализации, советские связисты массово использовали «спарки». Два абонента сидели на одной физической паре, но с разными схемотехническими решениями: либо на разной полярности питающего напряжения, либо на разных частотах вызывного тока. Блокиратор на стороне АТС подключал линию к тому или иному аппарату в зависимости от служебного сигнала.
Для пользователя это означало, что, просто перевернув телефонную розетку, можно было «пересесть» на линию соседа и звонить за его счет. Это не магистральный фрикинг, а бытовой, местечковый — но чрезвычайно распространенный. В домах, где телефонные коробки стояли открыто на лестничных площадках, соседи перепаивали трубки, меняли полярность подручными средствами, устраивая локальные телефонные войны. Никакой особой электроники для этого не требовалось — достаточно отвертки и знания схемы.
Тем не менее, советские умельцы нашли способы воздействовать на автоматику станций и без тональных манипуляций. Городские АТС того времени — декадно‑шаговые (типа АТС‑47, АТС‑54) и координатные (АТСК‑100/2000) — были чисто электромеханическими. Их сердцем служили искатели: шаговые ДШИ‑100 или многократные координатные соединители. Работа искателя — это чисто механическая операция: щетки поднимаются по ламелям вертикально, отсчитывая десятки, потом вращаются горизонтально, выбирая единицы. Весь процесс сопровождается характерным грохотом и искрением контактов.
У АТС‑47/54 без логики защиты была одна брешь. Если во время набора номера коротко нажать на рычаг трубки, можно вызвать ложный скачок напряжения в линии. В зависимости от момента этот скачок сбивал работу искателя — он «проскакивал» нужную декаду или останавливался не в том ряду. Метод, получивший название «ответный импульс», требовал хорошего чувства ритма и понимания циклограммы работы релейных схем. Овладевший им хулиган мог, например, дозвониться до закрытого номера или перенаправить вызов.
Чаще всего, впрочем, технику использовали для ухода от АОН — автоматического определителя номера. Советские АОНы образца 70–80‑х годов работали на медленной логике: после поднятия трубки они делали паузу, затем посылали запрос, ожидая частотный ответ станционного оборудования. Если в момент запроса дать короткий отбойный импульс, АОН не успевал зафиксировать номер и сбрасывал процедуру, но само соединение при этом сохранялось. Именно так телефонные хулиганы избегали идентификации, донимая граждан анонимными звонками.
Таксофонная мафия и «двушечники»
В СССР уличный таксофон был частью особой уличной культуры. Местный звонок стоил 2 копейки, а оплата принималась монетами-«двушками» или металлическими жетонами. Аппараты типа АМТ‑69, стоявшие на улицах, были механическими: монета падала в монетоприемник, замыкала контакты, включая разговорный тракт после соединения. С конца 80‑х годов начали появляться более современные таксофоны из ГДР — с электронным управлением и тоновым набором. Примерно в то же время на рынки хлынули импортные пьезопищалки и прочие «звонилки», способные издавать громкие тона на разных частотах. С этого момента советский таксофонный фрикинг вступил в короткую, но яркую эпоху.
Самый известный трюк для АМТ-69 – это «зависающая монета». Брали монету с просверленным отверстием, привязывали к ней нитку и опускали в щель. Монета ложилась на фиксатор, дальше всё шло штатно: набор, гудки, ответ. Но в ту долю секунды, когда станция давала ответ и монета должна была упасть в копилку, фрикер резко дергал за нитку и вытаскивал её обратно. Связь к этому моменту уже фиксировалась и разговор продолжался, а две копейки оставались в кармане. Именно этот фокус Виктор Цой проделывает в «Игле».
Более технологичный способ был связан с индуктивным обманом монетоприемника. В таксофонах позднесоветского периода стояли датчики прохождения монет — как правило, индуктивные или оптические. Если поднести к корпусу мощный магнит или катушку, подключенную к усилителю с генератором импульсов, можно было имитировать проскакивание монеты нужного номинала, заставляя автомат регистрировать оплату. Схемы таких обходчиков в конце 80‑х штамповали на самодельных платах, травили в хлорном железе и продавали на радиорынках Москвы и Ленинграда.
Отдельной строкой идет производство фальшивых жетонов. Токарные станки в гаражах вытачивали болванки из латуни или алюминия, точно совпадающие по весу и диаметру с оригинальными. Подпольные цеха «двушечников» работали по всему Союзу, а в кооперативную эпоху штамповка жетонов на некоторое время стала почти легальным малым бизнесом. Таксофонная мафия исчезла сама собой, когда уже в середине 90‑х, на смену монетным автоматам пришли карточные, а потом и вовсе IP‑телефония.
Целимся в АТС
Переходим к самому болезненному для постсоветских операторов сюжету — взлому учрежденческих АТС. Если в США фрикеры атаковали магистрали, то у нас главной дырой оказались офисные станции, через которые текли миллионы минут неучтенного трафика.
На крупных заводах, в НИИ, исполкомах и министерствах стояли серьезные учрежденческие АТС — «Квант» (позже «Квант‑Е» с электронным управлением), координатные станции типа АТСК‑100/2000У, «Каскад», «Исток» и им подобные. В отличие от городских АТС, эти станции имели прямой выход на междугородние линии, выделенные ведомству. А чтобы сотрудники могли дозвониться до своего завода извне и без секретаря выйти в город, использовался режим DISA (Direct Inward System Access) — в советской терминологии «прямой выход на городскую сеть».
Работало это так: вы звоните по городскому номеру завода. Если трубку никто не берет, станция после определенной паузы выдает внутренний гудок или короткий тоновый сигнал и переходит в режим ожидания добавочного набора. Вы набираете код — обычно от двух до шести цифр — и, если он верен, получаете готовность к исходящей связи. Дальше можно было набирать любой междугородний или международный номер через соединительные линии предприятия. Счет выставлялся владельцу станции.
Сама возможность удаленного выхода была задокументирована, но вот защита кода доступа оставлялась на усмотрение связистов. По умолчанию стояли простейшие комбинации вроде «9», «0» или «1234», и часто их не меняли. Кроме того, многие станции позволяли удаленно программировать переадресацию внутренних номеров — для этого достаточно было войти в административный режим через тоновый набор и знать заводской пароль, почти всегда стандартный.
В 90‑е годы это превратилось в национальное бедствие. Телефонные пираты — часто из регионов с дорогой междугородней связью, например из республик Кавказа, — массово сканировали московские номера в поисках офисных АТС. Обнаружив гудок DISA, прозванивали коды доступа: 0000, 1111, 1234, 2222 и так далее. Подбор занимал минуты. Получив выход в межгород, пират звонил за границу или продавал этот доступ через цепочки перекупщиков. Отдельным видом промысла была настройка переадресации: на неиспользуемый внутренний номер вешали перенаправление по неответу на платную линию в США (номера +1‑900) или на дорогой мобильный номер в другой стране. Затем сообщник звонил на этот внутренний номер, вызов автоматически уходил за рубеж, а счет в валюте приходил хозяину станции. Все это называлось «разводом на голос» или попросту кражей трафика.
Особой популярностью у злоумышленников пользовались слабенькие импортные АТС — Panasonic серий KX‑T (TA308, T616, T1232), которые после падения железного занавеса массово ставили в коммерческих палатках и свежеоткрывшихся офисах. Пароль администратора там был 1234 или 0000, и зачастую его не меняли вовсе. Программирование шло через тот же тоновый набор, так что злоумышленник мог перекроить маршрутизацию за пару минут.
Провайдеры связи, тогда еще только формировавшиеся (альтернативные операторы появлялись параллельно со структурами «Связьинвеста»), не всегда могли внятно объяснить клиентам, почему за месяц набежало сто тысяч долларов за переговоры с Науру, которых никто не вел. Арбитражные суды были завалены исками.
Телефонным операторам пришлось пойти на хитрость. На координатных и ранних цифровых АТС существовали так называемые «категории абонентов» и «категории соединительных линий». Соединительной линии от условного завода присваивалась категория, которая разрешала только входящие вызовы и исходящие местные, но блокировала автоматический выход на междугороднюю станцию. Если завод хотел оставить сотрудникам возможность звонить по межгороду напрямую, то для таких вызовов оператор требовал включать выход на АМТС только через телефонистку либо активировать принудительный ввод пин-кода авторизации перед каждым междугородним набором.
DISA при такой настройке просто переставал работать для кражи трафика: даже если пират угадывал внутренний код и набирал «8–495–...», городская станция на этот набор не реагировала, потому что порт был закрыт для автоматической междугородки.
Постепенно дыра закрылась, но лишь с переходом на цифровые станции с жесткой аутентификацией и внедрением биллинга реального времени. Однако в первой половине 90‑х это был настоящий Клондайк для тех, кто знал, как звучит внутренний гудок и сколько цифр нужно нажать после него.
Шпионские игры
Не могу обойти тему, которая выходит за рамки любительского фрикинга, но имеет прямое отношение к уязвимостям аналоговой телефонии. Телефонная линия — это не только голосовой канал, но и источник питания, и провод, постоянно подключенный к вашему помещению. Спецслужбы всего мира быстро поняли: если найти способ превратить телефонный аппарат в микрофон, не устанавливая в нем никаких дополнительных устройств, можно получить идеальный канал съема информации.
Самый известный метод такого превращения — «ВЧ-навязывание» (High Frequency Injection). Технологию активно использовали все серьезные ведомства: КГБ, ЦРУ, «Штази», MI5. Физический принцип прост и элегантен. Когда трубка лежит на рычаге, телефонный аппарат отключен от линии: цепь разговора разомкнута. Но для высокочастотного переменного сигнала эта цепь не является преградой. На входе любого телефонного аппарата стоит вызывной звонок, подключенный через конденсатор. Для частот в десятки и сотни килогерц реактивное сопротивление такого конденсатора становится достаточно малым, чтобы ВЧ-сигнал мог пройти через звонковую цепь.
Таким образом, ВЧ-сигнал, поданный в линию, беспрепятственно проходит через звонковую цепь и попадает в схему аппарата, достигая микрофона. Угольный микрофон (а позже и электретный с его предусилителем на полевом транзисторе) работает как нелинейный элемент — модулятор. Акустические колебания в комнате меняют сопротивление микрофона, и он амплитудно модулирует проходящий через него высокочастотный ток. Отраженный, уже промодулированный звуком сигнал возвращается обратно в линию, где его снимают специальным приемником, подключенным к той же паре на любом удобном участке — в распределительном шкафу, в подвальном кроссе или даже прямо на АТС.
Типичная частота навязывания лежала в диапазоне от 100 до 300 кГц, что позволяло сигналу проходить по медной паре на сотни метров без критичного затухания и без значительного излучения в эфир. В оборудовании КГБ этот принцип был реализован в системах типа «Обрыв» и «Заря». Аппаратура монтировалась в спецпомещении на АТС и подключалась к абонентским линиям интересующих объектов. Аналогичные системы ЦРУ носили кодовые названия Easy Chair и TAW. Интересно, что американские разработки часто использовали частоты около 200–230 кГц, а советские — 150 кГц, хотя конкретные значения варьировались.
Технически осуществить ВЧ-навязывание мог только специалист, имеющий доступ к кроссу или распределительному шкафу. Однако именно этот доступ в те годы обеспечивался относительно легко: телефонные колодцы и подвальные распределительные коробки часто не запирались, а монтажные работы проводились без строгого контроля. Поэтому спецслужбы активно использовали метод для съема информации из интересующих квартир и офисов.
Но и защита появилась быстро. В приемных секретарей, кабинетах руководителей и на режимных объектах ставили «блокираторы» — пассивные фильтры нижних частот, которые пропускали речевой спектр (до 3,4 кГц) и зуммерный сигнал вызова (25 Гц), но наглухо запирали все, что выше 10–20 кГц. Конструктивно это были простые LC-фильтры в металлическом корпусе, врезаемые в линию перед телефонным аппаратом. При правильном монтаже они полностью исключали прохождение ВЧ-сигнала к микрофону. В СССР такие фильтры выпускались серийно и устанавливались штатно на линиях связи в органах власти и на оборонных предприятиях.
Любопытный момент: некоторые радиолюбители, экспериментировавшие с приемниками, случайно обнаруживали ВЧ-навязывание у себя на линии. Дело в том, что генератор навязывания на АТС имел собственный гетеродин, который немного «фонил» в эфир. Если знать частоту, можно было услышать характерный тон на связном приемнике, поднеся его к телефонной линии или к самому аппарату. Так несколько случаев негласного прослушивания было раскрыто не контрразведчиками, а любознательными обладателями коротковолновых приемников.
К концу 80-х годов, с переходом на электронные АТС и цифровые системы передачи, метод ВЧ-навязывания стал терять эффективность. Цифровые телефонные аппараты уже не пропускали ВЧ к микрофону напрямую, а фильтры в линейных платах станций подавляли нерегламентированные частоты. Свою роль сыграло и распространение мобильной связи: прослушивать помещения через стационарный телефон стало попросту нецелесообразно, когда цель носила мобильник в кармане. Сегодня системы ВЧ-навязывания — это музейные экспонаты, но их принцип до сих пор изучают в курсах по технической защите информации как классический пример эксплуатации физических свойств линии связи не по прямому назначению.
ОКС-7 спешит на помощь
В Советском Союзе и затем в России также осознали необходимость внедрения ОКС-7. 2-ВСК — сигнализация по двум физическим проводам на каждый разговорный канал с передачей сигналов постоянным током или частотными посылками 3825 Гц — нормально работала на аналоговых и координатных станциях. Но с переходом к цифровым системам передачи (ИКМ-30/32) и внедрением ISDN стала тормозом.
Скорость обмена служебной информацией у 2-ВСК составляла десятки бит в секунду; установление междугороднего соединения занимало 5–10 секунд, а передать по этим каналам что‑либо кроме базовых линейных и регистровых сигналов было невозможно. ОКС-7, напротив, использовал единый цифровой пакетный канал (64 кбит/с) на целый пучок разговорных трактов, что позволяло не только резко сократить время установления соединения, но и обеспечить поддержку дополнительных услуг: АОН с расширенной информацией о номере, переадресацию, интеллектуальные сервисы и стыковку с сотовыми сетями.
Кроме того, сам принцип общеканальной сигнализации выводил служебный обмен из речевого тракта, попутно закрывая любую теоретическую возможность воздействия акустическими сигналами. Но для российских операторов в 1990‑е это уже было лишь приятным бонусом к главным мотивам: эффективности, стандартизации и возможности нормального взаиморасчета с международными партнерами, которые к тому времени уже полностью мигрировали на ОКС-7.
Первые цифровые АТС с поддержкой ОКС-7 (например, EWSD, AXE‑10, а также отечественный «Квант-Ц» и «Квант-Е») начали появляться на междугородних станциях в конце 1980‑х, массово — в 1990‑е.
Интересно, что спустя годы сам ОКС-7 стал объектом пристального внимания — уже не со стороны фрикеров-одиночек, а со стороны спецслужб и хакеров, использующих уязвимости в логике протокола (например, возможность перехвата SMS или переадресации звонков через подмену сигнальных сообщений). Но это уже совсем другая эпоха: атаки на SS7 требуют доступа к сигнальной сети, а не к акустическому каналу, и по технике исполнения относятся скорее к сетевому взлому, чем к фрикингу в классическом понимании. Эпоха же Blue Box и разных импульсно-тоновых хитростей закончилась. Тут ОКС-7 выполнил свою задачу полностью.
Заключение
Обычно в статьях про взломы пишут, что это информация исключительно для ознакомления и никак не руководство к действию. Напишу про это и я, хотя найти аналоговую сеть, которую можно было бы взломать методами из статьи сегодня будет непросто.
А еще хочется сказать, что вся история Blue Box – это напоминание одного из ключевых принципов инфобеза: «Если в системе будет дыра, рано или поздно ей кто-то воспользуется». Бесполезно надеяться на честность или неграмотность пользователей. Нужно дыр не допускать, а те, что допущены, — закрывать. Инженеры Bell не дадут соврать.
Размещайте облачную инфраструктуру и масштабируйте сервисы с надежным облачным провайдером Beget.
Эксклюзивно для читателей Хабра мы даем бонус 10% при первом пополнении.
