高洪涛
中国刑事警察学院计算机犯罪侦查系 辽宁 110854
网络电话(VoIP)是一种建立在IP技术上的分组化、数字化传输技术基础上的语音通信方式。VoIP利用了先进、复杂的网络传输技术和加密技术,隐蔽性高、难以监控。近年来,国内出现了利用VoIP犯罪的现象,而且愈演愈烈。其中最突出的有:①短信诈骗;②利用任意号修改软件直接拨打电话,编造故事,迷惑事主,进行诈骗活动。
VOIP的基本结构由网关(Gateway)和网守(Gate Keeper)两部分构成。网关的主要功能是信令处理、H.323协议处理、语音编解码和路由协议处理等,对外分别提供与PSTN 网连接的中继接口以及与IP网络连接的接口。关守(Gatekeeper)或网闸在H.323系统中是可选项,当网闸在系统中出现时,网守的主要功能是用户认证、地址解析、带宽管理、路由管理、安全管理和区域管理,提供地址转换、许可控制、带宽控制等服务,其内存储有很多与案件相关的信息,如呼叫记录、系统维护记录等,这些数据对涉VoIP案件调查有很大帮助。
一个典型的呼叫过程是:呼叫由PSTN语音交换机发起,通过中继接口接入到网关,网关获得用户希望呼叫的被叫号码后,向网守发出查询信息,网守查找被叫网守的IP地址,并根据网络资源情况来判断是否应该建立连接。如果可以建立连接,则将被叫网守的IP地址通知给主叫网关,主叫网关在得到被叫网关的IP地址后,通过IP网络与对方网关建立起呼叫连接,被叫网关则向PSTN网络发起呼叫并由交换机向被叫用户振铃,被叫摘机后,被叫网关和交换机之间的话音通道被连通,网关之间则开始利用H.245协议进行能力交换,确定通话使用的编解码,在能力交换完成后,主被叫方即可开始通话。
从技术层面来看,手机改号软件实质上是利用了VoIP技术的一个漏洞。当IP电话终端把主叫方信息传递给IP电话网关的时候,网关并没有对电话终端传送的主叫方号码信息进行有效性认证处理,而是直接把主叫号码信息传递给了程控交换机,并最终显示到了被叫方手机上。目前我国对互联网上虚拟运营商交换机的网关如何发送主叫号码,缺乏严密的技术规范和相关法律规定。所以虚拟运营商利用这一漏洞,提供“来电号码任意显”的“服务”,牟取不当利益。
VoIP要打给固定电话或手机,必须要有网关和固定电话网或移动通信网相连,专业术语叫“落地”。很多提供落地网关服务的运营商没有对网络电话送来的主叫号码进行过滤和分析,而是直接进行了透传,在落地网关出口处直接设置主叫号码,或者直接将修改主叫号码的权利交给网络电话用户随意设置主叫号码,为不法分子通过这种非法落地网关修改主叫号码提供了方便。
(1)网络身份
网络身份认证就是通过对IP地址定位,确定信息的发出者,是涉网犯罪案件侦查过程中必用的侦查手段。通过咨询服务商,可以得到犯罪分子的IP地址,锁定犯罪嫌疑人。
(2)网络通讯内容
通过对通讯内容筛选可以了解到相关的联系人、联系地点等线索,对于案件的顺利侦查非常重要。
(3)网络注册信息
网络工具大多需要注册,虽然注册信息大多是虚假的,但虚假的信息也会体现出个人特征,通过这些线索的收集有可能会发现犯罪嫌疑人有关线索。
(4)银行账目变化
网络上的现金多是通过银行账号来体现的。通过监控银行账号的转账、存款、取款、汇款等信息能够获得犯罪嫌疑人重要线索和证据。
(5)银行摄像记录
在银行账号跟踪过程中的摄像会发现犯罪嫌疑人的体貌特征、犯罪同伙等有关侦查线索。
常规的侦查方法对涉VoIP犯罪案件的侦查工作依然有效,还可以通过一些特殊的调查方法进行调查取证。
(1)对犯罪嫌疑人计算机的检查
有关犯罪嫌疑人使用的计算机中的证据收集在侦查过程中应该成为重点,其中有大量的文件、上网记录、日志、聊天记录、邮件内容等线索,收集线索时应该做到及时快速。
(2)对网络设备的检查
任何电脑上网都必须经过网络设备(路由器、防火墙、代理服务器、网关等),其中会留有大量的上传和下载活动等相关涉网线索。
(3)对终端设备的检查
只要是与网络相连接的终端设备都有可能会留有相关侦查线索。银行终端设备会反映出账号的转账、存款、取款等变化信息;银行摄像会反映出取款人的相关信息;电信终端会反映出电话号码的有关信息。
(4)通过对VoIP的合法侦听进行侦查
合法侦听是受到法律许可的对通信进行侦听的行为,网络侦查部门可以通过对犯罪嫌疑人的通话进行侦听,发现罪犯踪迹。但因为针对NGN中业务监听系统设计复杂,因此我国现在对VoIP的合法侦听系统需要进一步研究和验证才能真正运用于公安实践中。
(5)对VoIP服务提供商进行调查
对VoIP服务提供商的调查主要分为落地网关和上车网关两部分。落地网关是VoIP网络与传统的PSTN网络进行数据交换的地方,来电显示号码就是在此进行修改的;上车网关是网络电话的播出方与VoIP网络进行数据交换的地方。落地网关调查主要涉及网关设备及计费系统等相关系统,可能会得到接听电话方的真实电话号码、拨号方或上一级VoIP网关的真实IP地址等。如果得到的是拨号方的真实IP地址,就可直接定位到拨号方的计算机,若得到的是上一级VoIP网关的IP地址,这可以通过网关一级一级向上查找,最后得到拨号方的真实IP地址,从而确定拨号人。
对涉VoIP案件的主机的检查工作主要就是对VoIP软件使用痕迹的检查,以Skype软件为例进行介绍。
当被调查的计算机默认安装并运行过Skype后,软件会在C:Documents and Settings AdministratorApplication DataSkype下为每个已登录过的用户建立一个以用户名为名字的文件夹,存储用户的相关资料。
进入一个以用户名命名的文件夹(如:jxxyyzly123)后可以看到记录用户信息的文件,其中有两个很重要的文件:callmembwe256.dbb、call256.dbb。callmember256.dbb文件用于存储该用户的呼出记录,文件中每条记录按时间顺序由上至下排列。使用UltraEdit软件打开callmember256.dbb文件后可以看到每条记录都记录着拨出号码及该号码的显示名称,并与Skype软件中的拨出记录相对应。call256.dbb文件用于存储用户拨打电话的时间,文件中的每条记录依次对应call-member256.dbb中的拨号记录,并记录是否接通及通话时间。
还可以采用SkypeLogView软件进行分析。通过Skype LogView可以查看每个用户的通话记录、聊天记录以及传送文件的记录,并可按要求写入文本文件或网页文件中,以便固定证据。如图1所示。
图1 SkypeLogView查看通话和聊天记录
针对VoIP服务器的调查取证工作,应该从以下三个方面进行:①调查嫌疑人的登录IP等信息;②调取服务器维护日志;③调取嫌疑人的通话日志。
在利用VoIP进行诈骗的案件中,经过侦查,获得了嫌疑人所使用的VoIP软件的权限和密码后,侦查人员就可以进行相关的取证工作。
(1)调查该用户的登录IP
侦查人员首先应调取出犯罪嫌疑人账号的登录日志。通过对该日志数据的分析,侦查人员可发现在案发期间犯罪嫌疑人是否登录过该服务器。如图2所示。
图2 嫌疑人的登录情况
图中活动代码“1”表示上线,“0”表示下线。经调查IP地址发现该IP的确为嫌疑人住处的IP地址。
(2)调取通话日志
调取通话记录可以查到嫌疑人使用该网络电话与被害人进行联系的记录。如图3所示。
图3 嫌疑人与被害人的联系记录
(3)调取维护日志
一般而言,拥有维护权限的犯罪嫌疑人,是在共同犯罪中具有重要地位的人。维护日志中,一般均会记录下犯罪嫌疑人开户、充值、修改密码、添加用户等操作信息,并记录下登录的时间和IP。可通过日志中的用户名、登录时间、IP等信息,再结合其他线索,进一步开展扩线侦查,锁定主要犯罪嫌疑人。
现在非法运营商提供的任意显示主叫号码的方法主要有以下三种:
(1)在运营商提供的网站上设置后接听回拨电话;
(2)手机独立操作方法;
(3)在PC上使用软件拨打网络电话。
以上几种任意显示号码的方法中,只有最后一种会在用户端产生痕迹,其他两种都需要到运营商处进行调查。可以通过调查被害人的手机通话详单发现嫌疑人的真实手机号码或IP。
(1)调取被侵害者的详单,查找该条通话记录的交换机代码。
(2)再根据通话时间到该代码的交换机提取该时间段的原始数据,分析是电信(网通)的哪个交换机呼入的(目前只考虑固话线路)。
(3)到电信(网通)的交换机上提取相应时间段的原始数据分析是哪条线路打入的(即查找上网线路号码、IP)。
(4)通过IP找到虚拟运营商(即是非法运营商架设的电脑)封存其硬盘上的资料,通过分析其中的数据就可以知道真实电话号码或IP。
本文从VoIP的基本结构、任意号修改原理等方面对VoIP进行了分析,提出了对其调查取证的具体步骤和方法并进行了实例分析。但目前有关涉VoIP案件的调查取证在很多方面还有待于扩充和完善,如:
(1)流行的VoIP软件几乎都使用了加密算法,无法使用常规方法对VoIP数据包进行截获。
(2)VoIP产品的安全性在发展,VoIP合法监听系统只是一种设想,离真正完成还有很大的差距。
(3)犯罪分子将非法的落地或上车网关建立在国外,这无疑加大了通过调查服务商进而查找到犯罪嫌疑人的真实IP地址的难度。
[1]吴章兴.VoIP现状、问题和趋势[J].世界电信.2007.
[2]刘华,张琼.基于H.323协议的VOIP系统[J].黑龙江科技信息.2006.
[3]苏伟良,周胜源,陈名松.基于SIP协议的VoIP系统实现[J].大众科技.2008.