Antes de mais nada um aviso: este artigo foi feito com base em alguns
manuais, revistas e consultas com profissionais da area. Para nossos
testes e outros esquemas utilizamos um aparelho Motorola Micro-tac Eli-
te e um ESN Reader (a mais nova aquisicao da axur05, chamado pelos mais
intimos de "scanner").
Para o pessoal realmente interessado em celulares estaremos colocando
brevemente alguns textos, informacoes e programas relacionados a progra-
macao, escuta e clonagem em nosso site (alguns destes arquivos nao es-
tao disponiveis na Inet e estarao em um diretorio protegido por senha
porque nao queremos ninguem fazendo merda com estas informacoes). Qual-
quer erro, sugestao, informacao ou comentario sobre este documento,
mail-me.
P.S: Dica para aqueles que estao procurando alguem que lhes ensine tudo
desde o comeco: ligue para os caras da telco do seu estado, fale sobre
os seus interesses e prepare um refresco para quando os federais forem
te fazer uma visita.
Introducao
==========
Eh, antes de mais nada uma pequena introducao de o que eh e como funcio-
na o sistema celular. Eu disse *pequena introducao*, ou seja, nao vou
escrever um guia totalmente detalhado. Quer mais informacoes? Procure!
O que eh um telefone celular?
Aparelho radiotelefonico de 800 MHZ, operando com 3 watts e capaz de mu-
dar automaticamente de canal ao comando do "nanocomputer" porco da cen-
tral.
O que eh ESN?
Eh uma sigla para Electronic Serial Number. Todo aparelho tem um bem
guardado na memoria. Em outras palavras eh a alegria do phreaker. Por-
que? Bem, o ESN eh a identidade de um celular. Com ele eh possivel clo-
nar um aparelho (ohhh). Quando voce vai fazer uma ligacao, o aparelho
manda este ESN e o MIN para a celula. A base entao manda novamente o MIN
e um sinal tipo "vai firme filho" se no seu banco de dados o MIN/ESN for
compativel com o que foi enviado. Algumas novas maravilhas da tecnologia
verificam o ESN/MIN diretamente na central e soh depois dizem "vai firme
filho".
O que eh MIN?
Cellulars Phone Number - Obviamente, todo aparelho (habilitado) tem um
na memoria. Um aparelho pode ter dois numeros, porem, isso sao outros
esquemas.
O que eh NAM?
Sigla para Number Assignment Module. Eh um componente da Epron/EEpron
onde ficam armazenados o ESN, MIN, SCM (sigla para Station Class Mark),
lock code (codigo necessario para o acesso a algumas funcoes e que im-
possibilita o uso nao autorizado do aparelho) e outros esquemas... Al-
guns aparelhos podem ser reprogramados pelo "teclado" mesmo (Oki900),
porem, eles "trancam" apos 3 mudancas de MIN (alguns aceitam mais mudan-
cas, mas em geral eh 3). Esses aparelhos mais novos da Nokia, Motorola,
Erickson, etc, nao trancam mas tambem nao permitem a programacao do NAM
sem a gravacao da Epron.
Funcionamento
=============
Bom, o funcionamento do sistema celular eh algo bastante interessante e
cheio de etapas. Basicamente eh o seguinte: existem, ao contrario do
que muitos pensam, 3 bandas de celular. Uma para a compahia telefonica
do seu estado (telco), uma para empresas independentes ou privadas que
pagaram pouco e ganharao muito explorando essa banda e uma reservada pa-
ra uso futuro. Respectivamente banda A, B e C.
O sistema celular eh dividido em pequenas areas chamadas celulas. Cada
uma destas celulas eh como se fosse uma "base" cheia de equipamentos de
monitoramento e controle (geralmente estas celulas sao torres com uma
pequena "casa" muito bem fechada). Cada celula possui canais especifi-
cos associados a ela (canais de controle e voz). Todas estas celulas ou
bases estao conectadas a uma central onde, por fim, todo o esquema eh
controlado. OK, originalmente existem 666 (!) frequencias ou canais usa-
dos pelos celulares. Em 1988, nos EUA (onde o sistema celular obviamente
chegou muito, muito antes) os malucos meteram mais 156 canais, somando
um total de 832 (AMPS) canais. Em 1992 o numero de canais do sistema ce-
lular era de 2412 (NAMPS). Com todas essas mudancas os fabricantes tive-
ram que adaptar os aparelhos a essas novas frequencias.
Entao para que servem esses canais? Ok, como jah sabemos existem 832 ou
2412 (sistema NAMPS) canais disponiveis. 416 dos 832 canais estao dispo-
niveis para a Banda A e a outra metade estao disponiveis para a banda B.
Obviamente, se o sistema for NAMPS temos 1206 para a banda A e 1206 para
a banda B. Cada um destes canais possui duas frequencias e operam em mo-
do full duplex (espacamento de 45 MHZ). A frequencia mais baixa eh para
o aparelho e a frequencia mais alta eh para a base (frequencia de envio
e de recebimento).
Desses 416 ou 1206 canais, 21 sao de controle, ou seja, canais que con-
trolam e "configuram" uma ligacao. Estes canais de controle servem ape-
nas para transmissao e recebimento de informacao digital entre o apare-
lho e a base.
O resto dos canais sao de voz. Atualmente os canais sao numerados de 1
ate 1023 e existem programas que convertem canais em frequencias ou vi-
ce versa. Para os programadores e interessados ai vai a formula para
fazer tal conversao:
/* P.S: Extraido do help do programa motcell */
/* Originalmente com 666 canais o esquema eh o seguinte: */
Banda (A)
* Canais de controle = 21 (313 -> 333)
* Canais de voz = (001 -> 312)...
|
|-> 395 sistema AMPS
|-> 1185 sistema NAMPS
Banda (B)
* Canais de controle = 21 (334 -> 354)
* Canais de voz = 355 -> 666
|
|-> 395 sistema AMPS
|-> 1185 sistema NAMPS
/* Formulas para freq -> canal , canal -> freq */
N = Numero do canal
F = Frequencia do celular
Se B = 0 --> (aparelho)
Se B = 1 --> (celula ou base)
(*) FREQUENCIAS PARA CANAIS:
F = 825.030 + B*45 + (N-1)*.03
/* N = 1 ate 799 */
F = 824.040 + b*45 + (N-1)*.03
/* N = 991 ate 1023 */
(*) CANAIS PARA FREQUENCIAS:
N = 1 + (F-825.030-B*45)/.03
/* F > = 825.030 (aparelho) */
/* F > = 870.030 (base) */
N = 991 + (F-824.040-B*45)/.03
/* F AMPS (832)
บ บ A B C D E F G บ A -> NAMPS (HSC)
บ บ H I J K L M N บ I = 1 -> TX on B -> NAMPS (CSC)
ศอสอออออออออออออออผ 0 -> TX off C -> NAMPS (LSC)
M = 1 -> RX off N = 1 -> TX off
0 -> RX on 0 -> TX on
Para o nosso esquema soh precisamos saber essas informacoes. Porem, ai
vai o significado das outras letras exibidas no display:
EFG = Leitura de RSSI para o canal atual
H = Frequencia SAT
J = Sinal de tone
L = Canal de controle ou voz
Caso queira se aprofundar mais e conhecer todos os esquemas procure a
biblia do motorola ou outro manual de habilitacao de celular.
Ok, vamos para proxima etapa. Existem diversos comandos de programacao
nesse chamado test-mode da motorola. Apos digitar o codigo para entrar
em test-mode e aparecerem alguns numeros e coisarada tecle "#". O dis-
play mostrara uma linha de comando tipo essa:
ษอหอออออออออออออออป
บ บ US ' บ
บ บ บ
ศอสอออออออออออออออผ
Eh nesta linha que devem ser digitados os comandos que vamos utilizar.
Lembre-se que a tecla "#" funciona como o ENTER do seu computer. Entao
voce digita o comando desejado e tecla "#" (pelamordeDeus, voce deve
teclar esses comandos no aparelho celular e nao no computer, eh soh um
aviso porque com certeza iria ter gente procurando a tecla FCN no te-
clado do computer). Os comandos que vamos utilizar sao os seguintes:
02# = joga para o display as informacoes do aparelho. Apenas exibe
aquela "tela" de entrada que explicamos logo acima.
04# = deixa o aparelho com as "configuracoes" originais. Nao digite
isso a nao ser que seja extremamente necessario.
07# = R off
08# = RX on
Ok, chegamos ao ponto onde a coisa fica realmente interessante. Como
jah vimos um aparelho celular eh capaz de enviar e receber "informa-
coes" ( audio principalmente ). Este comando apenas liga o recebimento
de audio. Sim, e dai? Bom, quando falamos em recebimento de audio esta-
mos falando de conversas que vagam alegremente por esse mundao grande
de Deus. ;)
Para fazer sua escuta diaria siga as etapas abaixo:
1) Escolha um canal. Nossa, jah vimos que existem 832 canais em siste-
ma
AMPS. POREM, a nossa amiga motorola viu que muitas pessoas como voce
estavam usando esse comando para fazer escuta e deram um basta nessa
historia. Putz, entao nao eh mais possivel fazer escuta? Nao, claro
que nao. A motorola apenas limitou os canais nos novos aparelhos.
Para esses aparelhos os canais disponiveis sao apenas os seguintes:
300 / 333 / 385 / 799 / 800
2) Apos escolher um canal digite 11 +
ษอหอออออออออออออออป
Exemplo: บ บ '1121 บ
บ บ บ
ศอสอออออออออออออออผ
3) Tecle "#" e logo apos tecle 08 e "#". Veja se voce escuta alguma
conversa ou algum chiado horrivel. Caso escute alguma coisa o seu apare-
lho aceita os 832 canais (1 a 1023). Caso nao escute nada o seu apare-
lho eh mais novo e soh aceita os 5 canais mostrados acima. Escolha de
preferencia o canal 300 para fazer sua escuta diaria. Lembre-se que pa-
ra acessar o canal 800 deve-se teclar 11991 ao inves de 11800.
4) Para desligar o recebimento de audio tecle 07 e "#".
5) Quando encontrar uma conversa bastante atrativa digite 40 e tecle "#".
Isto faz com que o aparelho exiba informacoes do canal (atual) de voz.
O display mostrara '40'. Pra que serve isso? Basicamente para saber se
uma transmissao (conversa) foi alocada em outro canal e continuar ou-
vindo a conversa "atrativa". Se voce digitou esse 40# e a conversa ainda
continua legal e tal, o comando apenas serviu para ajustar os niveis de
potencia em determinada celula. Neste caso precione CLR ou "#" e nova-
mente tecle o comando 40 e "#". Continue ouvindo normalmente a conversa
atrativa. Caso deseje cancelar o comando 40# tecle apenas "#".
Se voce estava escutando esta conversa atrativa e derrepente ela sumir
faca o seguinte:
1) anote o numero hexa que foi exibido no display. O formato do numero
eh XXXXYYYXXX. O que nos interessa eh apenas o YYY.
2) Converta esse YYY para binario
3) Converta de binario para decimal
4) Anote o resultado. Esse resultado eh o novo canal onde a conversa
atrativa foi alocada. Tecle 11 + e continue ouvindo. ;)
Exemplo: 12af11a38c
|||
||| binario decimal
11a ----------> 100011010 ---------> 282
Logo apos apenas digite 11282, tecle "#", digite 08, tecle
"#" e continue ouvindo.
Interessante nao? :)
Outros comandos interessantes e que nao exigem muito conhecimento de
programacao e coisarada sao os seguintes:
13# = Desliga o aparelho.
18# = Exibe todo o conteudo do NAM. Utilize a tecla "*" para mostrar ou-
tras informacoes (como se fosse avancar de pagina).
19# = Exibe a versao do software. Formato: XXYY (XX = ano / YY = semana).
32# = CUIDADO! Apaga todas as programacoes feitas pelo usuario e infor-
macoes armazenadas no aparelho (ultimo numero discado, etc...).
Bom para o cara que liga pra amante e tem uma mulher que fica fu-
cando no aparelho do cara. ;)
38# = Mostra o ESN em etapas, cada etapa com 2 numeros hexa. Utilize a
tecla "*" para avancar estas etapas. Mostre esses numeros para
alguem e veja o seu velho ter um ataque do coracao quando receber
a conta do aparelho.
55# = Entra em modo de programacao propriamente dito. Este comando eh
assunto para mais umas 20 paginas. Quem sabe em um proximo arti-
go... ;)
Ok, agora que sabemos como fazer escuta e coisarada vamos ver o que e-
xiste de mais "pesado" no mundo do celular phreaking. Como eu havia di-
to, existem (basicamente) 2 tipos de phreakers de celular. Jah vimos o
primero tipo. Agora vamos tratar do segundo.
O segundo tipo de phreaker e um pouco mais raro do que o primeiro eh o
cara que possui equipamento especial, conhece a programacao dos apare-
lhos e modifica os mesmos para fazer ligacoes gratuitas e outros truques
bastante complexos. Na verdade, esse segundo tipo nem eh tao raro assim
porque no Brasil ta cheio e deve ser ressaltado tambem que essas liga-
coes "gratuitas" sao gratuitas apenas para o phreaker porque certamente
alguem vai pagar por elas. Quem? Alguem que com certeza tera um ataque
quando receber a conta.
O fato eh que quem sai no prejuizo mesmo eh a empresa ou companhia tele-
fonica. Pelo o que eu sei, o usuario lesado pode reclamar das ligacoes
para a Indonesia, tele-Sexo, tele-amigos, tele-qualquer_coisa e a empre-
sa cobra apenas a tarifa basica e outras ligacoes efetuadas pelo usua-
rio. Quando o cara vai reclamar eles pedem se ha a possibilidade da es-
posa, filhos, amigos ou colegas de trabalho terem feito essas ligacoes
todas. Se o cara responder que nao tem muita certeza, ha o recurso de
voz. As ligacoes mais recentes ficam todas gravadas. Entao o cara vai
lah, ouve a voz do phreaker gemendo com uma puta gorda no phone e diz:
"certamente nao eh ninguem da minha familia". Nao tenho certeza, mas
para usar esse recurso os caras da telco cobram uma taxa que varia de
uns 50 a 100 reais. Eh caro, mas eh melhor do que pagar a conta de 2000
reais de alguem que ficou falando com gordas pelancudas.
Bom, e que tipo de aparelho essa especie usa? O mais comum e que pode
ser facilmente adquirido em um pais aqui perto do Brasil a um preco bem
camarada eh o ESN Reader (chamado tb de scanner). Esta maravilha da tec-
nologia permite a qualquer phreak a captura de dezenas, centenas ou mi-
lhares de ESN/MIN em apenas um dia. O aparelho nao eh tao facil de ope-
rar, exige alguns ajustes mas realmente funciona (veja na materia se-
guinte o que conseguimos fazer com um destes aparelhos em apenas algumas
horas no centro de uma pacata cidade, aos olhos de diversos policiais
que devem ter pensado que estavamos levando um pequeno aparelho de som)
;)
Outros equipamentos preferidos pelos phreakers sao os aparelhos que
permitem a re-gravacao da Eprom diretamente do aparelho, apenas com di-
versos comandos digitados no teclado ou com ajuda de software especiais
feitos pelos proprios phreakers. Um exemplo destes celulares eh o
OKI900. Este aparelho era a maior motivacao do hacker Kevin Mitnick e o
OKI900 foi um dos principais motivos que levaram o hacker preso. Se nao
me engano ele invadiu os computers do japa ninja a procura de codigos
fontes e informacoes sobre este aparelho. De posse das informacoes arma-
zenadas nos computers do japa, kevin poderia ficar indetectavel dentro
de qualquer sistema celular.
Sabe-se que com um ESN/MIN eh possivel re-gravar a Eprom e clonar um a-
parelho. E com que objetivo eh feita a clonagem? Basicamente para fazer
ligacoes "gratuitas" e nunca ser pego pois eh MUITO dificil detectar al-
guem usando aparelho clonado que esta em funcionamento na banda A. Exis-
tem tb noticias de phreakers que reprogramam a Eprom de um aparelho e o
mesmo passa a funcionar como um ESN Reader, ou seja, o proprio celular
procura ESN/MIN's e automaticamente armazena os mesmos na memoria.
Bom, entao era isso! Ainda existem muitas coisas para se descobrir so-
bre telefonia celular. Soh tenha cautela e nao faca nada estupido. O
mundo phreak eh bastante divertido mas tambem bastante traicoeiro.
NOTA (1): escuta telefonica pode dar de 3 a 5 anos de cadeia.
NOTA (2): nao sei ao certo mas fraudes telefonicas devem dar bem mais.
NOTA (3): este artigo tem o proposito apenas de distribuir informacao.
Se nao gostou, ignore! Se se sentiu ofendido com informacoes
contidas nesse texto, ignore! Se esta pensando em fraudar o
sistema celular, vai firme! Nao to nem ai se te pegarem. Pro-
blema seu, responsabilidade sua!