“伪基站”电子数据取证实战分析

2017-03-14 02:24洪道友杨仕海翟振兴
网络安全技术与应用 2017年2期
关键词:代码文档短信

◆洪道友 杨仕海 翟振兴

“伪基站”电子数据取证实战分析

◆洪道友 杨仕海 翟振兴

(重庆市公安局江北区分局 重庆 400021)

近年来,不法分子利用“伪基站”实施违法犯罪活动日趋频繁。利用“伪基站”发布非法广告、实施电信诈骗等违法犯罪活动,不仅损害公民个人利益,而且严重扰乱国家通讯秩序,必须严厉打击。本文介绍了“伪基站”的工作原理,结合实际案例描述“伪基站”电子数据取证的相关过程,重点介绍“伪基站”通信日志、软件数据库及相关文档的提取方法,并总结“伪基站”取证的个人经验。

电子数据取证;“伪基站”;实战分析

0 前言

近年来,不法分子利用“伪基站”,或冒用公众服务号码进行电信诈骗、或强制推销非法广告等违法犯罪活动。该类案件的发生危害到通讯安全,同时威胁到人民财产安全,必须严厉打击。2014年以来,公安部等九部委开展整治专项活动,严厉打击利用“伪基站”实施各类违法活动[1]。

1 “伪基站”概述

1.1 “伪基站”概念

“伪基站”即假基站,其设备一般由USRP主机和笔记本电脑组成,通过短信群发器、短信发信机等相关设备能够搜索以其为中心、一定半径范围内的手机卡信息。利用2G移动通信的缺陷,通过伪装成运营商的基站,冒用他人号码强行向用户手机发送诈骗、广告推销等短信息。

1.2 “伪基站”特点

犯罪嫌疑人一般将“伪基站”设备放置车内,在人流密集区域群发非法短信,达到推销非法广告或者诈骗等目的。短信内容大致分两类:第一类“不定向群发”型,即选择人流密集区,向“伪基站”覆盖范围内的所有手机群发送短信,短信内容大多伪造银行、公检法官方号码发送诈骗信息;第二类是“定向攻击型”,即不法分子找出某个手机号作定向攻击,通常以该号码的名义向其亲朋好友、同事等关系网定向发送短信,实施指向性诈骗。不法分子往往掌握该手机号关联的相关个人信息,因此实施起来更具迷惑性,受害人更容易上当受骗。

利用“伪基站”实施作案有两个突出特点:1、投入少,成本低,操作简易。购买伪基站配件或者整套设备成本低,并且容易上手。低廉的犯罪成本却带来客观的经济利益。2、隐蔽性、机动性强,查处难度大。“伪基站”一般隐藏在出租房、流动汽车或者流动提包,不易发现[2]。

1.3 “伪基站”工作原理

图1 “伪基站”工作原理示意图

“伪基站”的工作原理就是利用GSM 网络规范先天不足,其采用单向鉴权认证,即手机不鉴权网络的合法性,仅在网络侧对手机进行鉴权,导致手机无法有效辨别移动基站的真伪。不法分子利用手机在GSM 移动状态下的自主选择算法,“诱使”手机选择至他的小区中,甚至采用大功率的无线信号发射手段,强迫用户终端(手机)在“伪基站”中进行登记,从而获得用户的信息,如IMSI、手机号码和IMEI 等,不法分子进而利用“伪基站”恶意发送垃圾广告短信。图1 为“伪基站”工作原理示意图[3]。

1.4 “伪基站”系统原理

常见的“伪基站”运行的操作系统是Ubuntu,运行的web系统是OpenBTS,数据库为Mysql,Web服务器为Apache,“伪基站”基本架构包含:发信软件,Openbts,GNU Radio,USRP和功放天线。

组成结构如图2所示。

图2 “伪基站”组成结构

(1)USRP(Universal Software Radio Peripheral,通用软件无线电外设)旨在使普通计算机能像高带宽的软件无线电设备一样工作。从本质上讲,它充当了一个无线电通讯系统的数字基带和中频部分。

(2)GNU Radio是完全开源的软件无线电结构平台,它可以用来设计和仿真,也可以用来连接真实的无线电系统。

(3)OpenBTS(Open Base Transceiver Station),基站。

(4)GSMS,短信发送软件。用户通过该软件操作面板的“添加”、“删除”、“暂停”、“开始发送”等按钮进行短信业务的添加、删除、暂停和发送。

(5)Apache,网络服务器。“伪基站”通常建一个网络服务器,选择某种数据库(通常为mysql)。服务器在运行过程中将相关数据保存至数据库中。

2 “伪基站”取证过程

2.1 校准“伪基站”设备系统时间

由于犯罪嫌疑人可能采用租用“伪基站”设备,或者多人团伙作案等犯罪方式,造成“伪基站”设备存在多个使用者的情况。因此,校准“伪基站”设备系统时间,对于区分是否是由不同犯罪嫌疑人造成的用户中断至关重要。

2.2 提取后台数据库“gsms”

检查配置文件“config.php”,该文件通常位于目录“varusropenbtsConf”下,文件信息详见图3。网站服务器使用的数据库类型为“mysql”,数据库名为“gsms”,数据库用户名为“root”,用户密码为“nb250+38”。

数据库“gsms”有1个数据表“gsm_business”,该表存储“伪基站”短信发送任务的详细内容。gsm_business表存储的每条发送任务包含如下信息:发送任务id,发送任务时显示号码,任务名称,创建任务时间,发送数量,实际发送任务的数量,任务内容和任务状态。

图3 “config.php”配置文件内容

可使用命令“mysqldump -uroot -p gsms > gsms_backup.sql;”备份数据库。数据库备份后,可通过十六进制编辑器和SQLite查看器来检查数据库相关内容。

2.3 IMSI记录的检验

IMSI,国际移动用户识别码,储存在SIM卡中,是区分移动用户的一组唯一标识。IMSI由15位数字组成,包括国家代码(MCC,中国代号460)、网络代码(MNC,移动代号00/02,联通代码01)和 用户识别代码(MSIN)三部分。

在“伪基站”取证中与鉴定IMSI记录相关的数据主要包括:桌面txt文件、send.data、OpenBTS.log、syslog和TMSI.db。上述五类文件的相关情况详见表1。

表1 与鉴定IMSI记录相关文件

(1)文本类型:桌面txt文档,send.data

分析“varusropenbtsLibActionBusinessAction.class.php”的运行代码(详见图4),GSMS短信发送软件在运行过程中,产生两组发送任务的数据文件。一组是位于系统桌面以“业务名称_业务id”命名的文本文件,文件内容包含多条4600 开头的15 位IMSI 串号。该文件作为“伪基站”IMSI的数量判定的重要依据。另外一组则位于“var/usr/openbts”目录下的“send.data”。文件内容的每一行为由发送任务的业务ID和目标手机的IMSI号组成。该文件作为统计目标手机的参考。

图4 BusinessAction.class.ph中的getsentcount函数

(2)数据库文件:TMSI.db

TMSI.db包括数据表TMSI_TABLESMS和SMS_SENT。TMSI_TABLESMS表记录IMSI及TMSI的对应关系。SMS_SENT记录发送次数,可能为空。该数据库TMSI.db一般只作为统计受影响手机数的参考。

(3)日志文件:OpenBTS.log和syslog

OpenBTS.log,详细记录了OpenBTS的运行日志,包括目标手机的接入、发送至目标手机及踢出目标手机等一系列操作日志。该文件可以作为统计受影响手机数的重要依据。syslog文件的提取方式与OpenBTS.log相同。下面以OpenBTS.log为例,重点介绍对该日志文件进行提取和分析的过程。

使用命令“cat Openbts.log |grep id = IMSI=4600”,以“IMSI=4600”作为关键字搜索IMSI相关数据记录(详见图5),该数据作为目标手机的数量。可使用命令“cat Openbts.log |grep id = IMSI=4600 |wc -l”,统计IMSI数量(未去重)。

图5 提取及统计IMSI号

使用命令“Cat Openbts.log |grep ‘addsms’”,提取发送短信任务的记录,如图6所示。可使用命令“cat Openbts.log |grep id = IMSI=addsms |wc -l”,统计发送短信业务数。

图6 提取短信内容

短信内容为二进制,需要对其进行转化为Unicode。转化方法:以python语言编制脚本代码,将2进制转为16进制(代码如图7所示),并将16进制转Unicode(代码如图8所示),转化后显示结果如图9所示。

图7 将二进制转化为16进制的代码

图8 将16进制转化为unicode的代码

图9 短信内容转化后显示结果

3 案列与经验2016年6月22日,我局接到市无线电监测站报告:辖区有人非法占用公众通信频率。经侦查发现:吴某驾驶一辆银色中华轿车,并在车上利用手机、笔记本电脑、发射天线组建“伪基站”,流窜于成都、重庆两地发送广告信息牟利。在本案中,电子取证民警随办案民警一同到达现场,及时开展现场取证。电子证据的成功获取为案件的顺利侦破提供了关键证据。通过本案列,在取证过程中总结出以下几个注意细节:

(1)“伪基站”作案,通常情况下只有主机和天线,没有显示器。因此在取证过程中自备显示器和电源适配器。

(2)“伪基站”作案,其操作系统往往带有一键恢复、一键删除等功能。因此,在现场取证过程中,应对现场原始证据的拍照、备份等,防止相关信息和电子数据的灭失。

(3)提取与案件相关的隐藏文档和已删除文档,往往这两类文档也可能提供破案线索。因此,在取证过程中注意并重视这类文档,确保重要证据不遗漏。

(4)不断提高技术水平,提升检验鉴定能力,确保检验的数据能有效转化为关键电子证据。同时在电子取证过程中确保数据在获取、存储、使用过程中保证完整性。

4 结束语

笔者结合“伪基站”取证案例,介绍了“伪基站”的相关概念及其工作原理,重点陈述“伪基站”通信日志、软件数据库及相关文档的提取方法,具有较好实用价值。随着“伪基站”反取证技术的不断变化,必将对现有的电子证据取证方法提出更高的要求。这也将是笔者下一步研究重点。

[1]最高人民法院,最高人民检察院,公安部等.关于依法办理非法生产销售使用“伪基站”设备案件的意见.公通字(2014)13号文件.

[2]李璐,戴芬,刘洪伟,崔媛媛,李璐.“伪基站”案件电子数据取证实战探索.电信网技术,2016.

[3]马俊,刘燕.浅析“伪基站”原理及查找方法,监测检测,2015.

猜你喜欢
代码文档短信
浅谈Matlab与Word文档的应用接口
有人一声不吭向你扔了个文档
道歉短信
创世代码
创世代码
创世代码
创世代码
代发短信
基于RI码计算的Word复制文档鉴别
Persistence of the reproductive toxicity of chlorpiryphos-ethyl in male Wistar rat