刘旭哲 蒋天予
“伪基站”设备,是指“未取得电信设备进网许可和无线电发射设备型号核准,具有搜取手机用户信息,强行向不特定用户手机发送短信息等功能,使用过程中会非法占用公众移动通信频率,局部阻断公众移动通信网络信号,经公安机关依法认定的非法无线电通信设备”。
“伪基站”设备一般由主发射机,配套天线和装有群发短信软件的控制电脑三部分组成,发射与周边公众移动通信基站频率相同但信号强度更大的信号。目前,部分通信网络协议中,手机与基站通信时,基站会对手机的身份进行认证,而手机却不会对基站的身份进行认证。当手机附近出现信号更强的基站时,手机会自动连入功率较大的基站。因此,一旦手机被吸入“伪基站”设备,“伪基站”将向这些手机终端发送任意数量,任意内容,任意主叫号码的短信。短信发送完成后,“伪基站”对再次经过的位置数据更新,将已经驻留过的手机终端踢出,迫使其重新回到正常网络。在手机设备连入“伪基站”的过程中,手机信号将会暂时性的脱离原有网络,无法正常使用运营商提供的服务,直到重新回到运营商正常网络后才能恢复使用。“伪基站”设备目前主要依靠开源的GSM基站软件项目OpenBTS实现。OpenBTS是一个基于Linux类系统的开源软件项目,使用软件无线电平台充当GSM空中接口来连接标准的2G的GSM手持设备,并使用SIP软交换协议或PBX进行呼叫连接。“伪基站”设备在运行时,使用者在“伪基站”程序界面进行发送内容,号码,次数等参数的设定,用户设置完成点击“发送”按钮后“伪基站”将设置的参数传递给OpenBTS调用与主机相连接的发射设备进行短信发送。
大部分“伪基站”系统使用Ubuntu系统,鉴定人员要对Linux操作系统有一定的了解,熟悉相关Linux命令。需要鉴定人员在虚拟的环境中对伪基站系统进行仿真,特别要注意的是当前系统的时间属性和时区的转换。此外,鉴定人员也要对伪基站软件“OpenBTS”进行研究,了解其程序结构、使用的数据库、信息。“伪基站”设备中与鉴定相关的文件详细情况如下表所示:
由于不同的“伪基站”软件中包含的具体数据类型各不相同,每种“伪基站”数据取证方法有所不同。根据现有的分析数据来看,“伪基站”数据取证框架主要包括三部分。
1检验“伪基站”通信日志获取手机被干扰数
“伪基站”设备在连入用户手机,阻碍用户通信时所使用的核心部分是OpenBTS软件。OpenBTS软件在运行时可能会在系统留下日志文件,该文件通常为位于系统目录下的OpenBTS.log或Syslog日志文件。该日志包含了“伪基站”设备与手机设备通信中的交互过程及手机设备的IMSI号,分析该日志将会获取到受“伪基站”设备干扰的手机设备数。由于OpenBTS是一个开源程序,各版本的“伪基站”可能使用不同的OpenBTS程序,在使用时有些OpenBTS不会输出日志或输出到其他路径,需要分析人员对日志文件进行准确定位。
2检验“伪基站”软件数据库获取发送的IMSI数
“伪基站”软件与其他软件一样,通常包含后台数据库,运行日志等数据文件。其中后台数据使用最多的是MySQL和SQLite数据库。这些数据库中经常会存有用户设置发送的短信,号码以及发送的数量。部分“伪基站”软件在发送过程会留下具体的发送日志文件,包含发送时间和发送对象的IMSI号码等信息。分析这些后台文件将获取以下数据:①界面显示数量:“伪基站”软件界面上所显示的短信发送数量;②数据库实发数:“伪基站”软件存储在后台数据库中的短信实际发送条数;③IMSI详单数:统计“伪基站”软件运行日志文件详单中IMSI条数后获得的统计数。由于“伪基站”在发送短信时需要中断手机与原有基站的联系,因此“IMSI详单数”在检验结果中也可以认定为从“伪基站”运行日志文件中获取到的手机设备被干扰数。
3检验“伪基站”软件运行环境获取使用痕迹
“伪基站”的Linux环境在使用时通常包含大量的用户痕迹数据,如用户登录记录,系统终端日志,系统使用日志等。在检验中,通过对这些数据的解析将提供“伪基站”软件使用相关的行为痕迹。例如“伪基站”检验工作中出现过“伪基站”的Linux系统时间与真实世界的时间存在的时间差,检验结果中必须将该时间差作为结果一部分进行表述。
“伪基站”犯罪是一种社会危害性巨大的高科技犯罪,并一直在不断进化,目前只要使用2G通讯网络,“伪基站”就有存在的空间,将来随着技术的发展,其影响可能会涉及到4G通讯网络。因此,制订相关“伪基站”检验技术标准,形成行之有效的方法,持续推进和深化“伪基站”取证技术研究刻不容缓。本文针对“伪基站”取证的原理和取证难点,介绍了“伪基站”数据取证过程的重点和目标,提出了一套具有普遍意義的“伪基站”取证框架和方法,以最常见的GSMS“伪基站”软件作为案例深入分析和测试实验,对有效开展“伪基站”数据检验,有力打击和震慑“伪基站”违法犯罪活动提供强有力的技术支撑。endprint