李　璐　山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師戴　芬　山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師劉洪偉山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師崔媛媛中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所高級工程師

?

“偽基站”案件電子數(shù)據(jù)取證實(shí)戰(zhàn)探索

李璐山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師
戴芬山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師
劉洪偉山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師
崔媛媛中國信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所高級工程師

摘要：隨著移動技術(shù)的不斷發(fā)展，“偽基站”違法案件頻發(fā)。為了加強(qiáng)電子數(shù)據(jù)取證固化“偽基站”證據(jù)的能力，本文在對“偽基站”構(gòu)成特點(diǎn)進(jìn)行分析的基礎(chǔ)上，結(jié)合實(shí)際案例，重點(diǎn)介紹了“偽基站”案件中電子數(shù)據(jù)取證的方法及過程，總結(jié)了取證經(jīng)驗(yàn)。

關(guān)鍵詞：電子數(shù)據(jù)取證；“偽基站”；實(shí)戰(zhàn)分析

1　引言

近年來，違法犯罪分子利用“偽基站”實(shí)施各類違法犯罪活動，犯罪形式不斷多樣化，并形成了黑色產(chǎn)業(yè)鏈條。這類案件的發(fā)生，嚴(yán)重危害了通訊安全，影響了正常社會秩序，威脅了人民群眾財(cái)產(chǎn)安全。2014年2月，公安部等九部委開展了關(guān)于打擊整治非法生產(chǎn)銷售和使用“偽基站”違法犯罪活動專項(xiàng)行動，成效顯著。作為公安機(jī)關(guān)網(wǎng)絡(luò)安全部門，如何使電子數(shù)據(jù)證據(jù)取證工作更加科學(xué)化、規(guī)范化，如何更有效地為打擊“偽基站”案件提供定性證據(jù)，是亟需研究解決的一項(xiàng)課題。

2　“偽基站”構(gòu)成、工作原理及特點(diǎn)

“偽基站”能夠通過偽裝成公眾移動通信基站，進(jìn)而采集用戶的個人信息，并向用戶發(fā)送各類短信，同時能夠產(chǎn)生與運(yùn)營商基站同頻的大功率無線電信號，從而對正常的通信信號產(chǎn)生嚴(yán)重干擾，直接影響了公眾移動通信的正常運(yùn)行和手機(jī)用戶的通信質(zhì)量。

“偽基站”主要是由無線電收發(fā)裝置及天線、控制臺（一般是一臺裝有Linux系統(tǒng)，并安裝類似OpenBTS軟件的筆記本電腦）和一部工程定制手機(jī)組成，能夠搜取以其為中心、一定半徑范圍內(nèi)的手機(jī)卡信息。此類設(shè)備運(yùn)行時，其利用了2G通信網(wǎng)絡(luò)GSM的一個安全漏洞缺陷——單向鑒權(quán)。單向鑒權(quán)，是指基站會對客戶端的入網(wǎng)身份進(jìn)行驗(yàn)證，但是手機(jī)客戶端不會對基站的真?zhèn)芜M(jìn)行驗(yàn)證。一旦手機(jī)信號被強(qiáng)制連接到“偽基站”，在短暫時間內(nèi)，“偽基站”后臺可以任意冒用某個手機(jī)或公用號碼，強(qiáng)行向用戶發(fā)送垃圾廣告、詐騙信息等。待信息發(fā)送完畢，再將用戶手機(jī)清退回原來的運(yùn)營商無線網(wǎng)絡(luò)中。

“偽基站”一般具有以下特點(diǎn)：

●投入少，成本低，利潤可觀

不法分子在科技市場或者通過網(wǎng)購購買配件或整套設(shè)備，價格從幾千元到數(shù)萬元不等，每套設(shè)備每小時最多能發(fā)送上萬條廣告短信。在巨大的經(jīng)濟(jì)利益驅(qū)使下，不法分子不惜以身試法。

●易隱蔽，機(jī)動性強(qiáng)，查處難度大

“偽基站”一般都會設(shè)置在出租房或汽車內(nèi)，不使用專業(yè)設(shè)備很難發(fā)現(xiàn)，因此為查處工作帶來了許多困難。

3　實(shí)戰(zhàn)分析（1）

3.1案例描述

市民李某報案稱，其在某商場大樓內(nèi)收到一條短信稱其銀行電子密碼器積分可兌換，其按照短信上提供的網(wǎng)址進(jìn)行登陸，在其提供了其個人賬號、密碼、電子密碼器密碼后，被轉(zhuǎn)走1萬余元。后經(jīng)偵查員數(shù)月偵查，抓獲犯罪嫌疑人并查獲作案工具“偽基站”4臺。

3.2取證過程

檢查這4臺“偽基站”設(shè)備存儲盤均使用的是msSATASSD固態(tài)硬盤，將msSATASSD固態(tài)硬盤裝載到SSD固態(tài)硬盤適用USB3.0硬盤盒內(nèi)，通過只讀接口接入取證塔，使用軟件對“偽基站”設(shè)備存儲盤的Ubuntu系統(tǒng)進(jìn)行仿真，桌面存有GSMS軟件。

“偽基站”控制軟件OpenBTS使用國際移動用戶識別碼（IMSI），提供標(biāo)準(zhǔn)的GSM接入口，基于通用軟件無線電外圍設(shè)備（USRP）來實(shí)現(xiàn)與手機(jī)的空中接口，模擬移動運(yùn)營商基站功能，以實(shí)現(xiàn)發(fā)送短信功能。其中，IMSI是儲存在SIM卡中用以區(qū)分不同移動用戶的一組唯一性標(biāo)識，由15位數(shù)字組成，包括移動國家碼（MCC）、移動網(wǎng)絡(luò)碼（MNC）和移動用戶識別碼（MSIN）3個部分。

本案中辦案單位針對特定受害人，提供受害人使用的接收詐騙短信手機(jī)的IMSI串號為4600216xxxx2270。根據(jù)“偽基站”發(fā)送信息留存IMSI串號的特點(diǎn)，運(yùn)行“取證大師”加載掃描“偽基站”設(shè)備存儲盤，通過對磁盤內(nèi)所有文件針對受害人手機(jī)IMSI串號“4600216xxxx2270”進(jìn)行關(guān)鍵詞搜索，搜索結(jié)果數(shù)量為1，所在文件名為“OpenBTS.log”。圖1為針對受害人手機(jī)IMSI串號的搜索結(jié)果。

這時，不難發(fā)現(xiàn)“OpenBTS.log”就是“偽基站”開源軟件OpenBTS運(yùn)行后產(chǎn)生的用于軟件記錄的詳細(xì)日志文件，將文件“OpenBTS.log”導(dǎo)出并保存在證據(jù)文件夾內(nèi)。使用log日志文件查看工具“LogViewer”來打開“OpenBTS. log”日志文件查看。通過查看工具“LogViewer”中的搜索功能搜索受害人手機(jī)串號，在日志文件中搜索到“registration SUCCESS：IMSI= 4600216xxxx2270”，從而印證了“取證大師”中的結(jié)果。圖2為LogViewer的搜索結(jié)果。

成功發(fā)送短信的手機(jī)IMSI串號自動記錄在了“OpenBTS.log”日志文件中，因此在取證軟件“取證大師”中通過對關(guān)鍵詞“SUCCESS：IMSI=4600”進(jìn)行搜索，從而來統(tǒng)計(jì)成功發(fā)送手機(jī)IMSI串號的數(shù)量。通過對關(guān)鍵詞“SUCCESS：IMSI=4600”進(jìn)行搜索，搜索結(jié)果為78261，所在文件名為“OpenBTS.log”，由此得出結(jié)論，該“偽基站”成功發(fā)送短信數(shù)量為78261。

4　實(shí)戰(zhàn)分析（2）

4.1案例描述

民警在執(zhí)勤途中在某停車場內(nèi)發(fā)現(xiàn)一部可疑車輛，隨后民警對該可疑車輛進(jìn)行控制并進(jìn)行了檢查，在車內(nèi)發(fā)現(xiàn)一套“偽基站”設(shè)備，包括發(fā)射天線、3個用于供電的大功率電瓶、一臺大功率發(fā)射機(jī)、一臺筆記本電腦以及一個變壓器。經(jīng)對涉案人員進(jìn)行調(diào)查詢問，其對非法利用“偽基站”設(shè)備發(fā)送冒充95588工商銀行服務(wù)號碼，發(fā)送積分兌換現(xiàn)金和銀行密碼器過期等詐騙信息的違法事實(shí)供認(rèn)不諱。

4.2取證過程

圖2　LogViewer搜索結(jié)果

圖1　針對受害人手機(jī)IMSI串號搜索結(jié)果

首先，對移送的“偽基站”控制端筆記本電腦硬盤使用硬盤復(fù)制機(jī)制作硬盤副本，將“偽基站”筆記本硬盤副本通過只讀接口接入取證塔，“偽基站”控制端筆記本使用的操作系統(tǒng)為Linux Ubuntu系統(tǒng)，使用軟件對Ubuntu系統(tǒng)進(jìn)行仿真，桌面存有GSMS短信平臺軟件。軟件業(yè)務(wù)面板顯示內(nèi)容有發(fā)送的業(yè)務(wù)名稱、顯示號碼、計(jì)數(shù)、短信內(nèi)容、任務(wù)狀態(tài)等。軟件使用者可以通過業(yè)務(wù)面板的添加、刪除、暫停、開始發(fā)送等選項(xiàng)任意添加、刪除、暫停、開始發(fā)送任務(wù)，新添加執(zhí)行的任務(wù)會自動存儲到業(yè)務(wù)列表中。軟件在每次任務(wù)結(jié)束后自動在桌面生成“.txt”文本文檔，名稱與任務(wù)名稱部分對應(yīng)，內(nèi)容為記錄接收的手機(jī)IMSI串號。此案中，Ubuntun操作系統(tǒng)桌面上顯示已存在兩個“.txt”文本文檔。

運(yùn)行R-studio取證軟件加載“偽基站”控制端筆記本電腦硬盤副本，對其進(jìn)行掃描，提取出文件名為“11_1420371241.txt”、“22_1420371268.txt”、“221_ 1420382799.Id_79094.txt”的文檔。打開并瀏覽文檔，其內(nèi)容為記錄的以4600開頭的15位IMSI串號，經(jīng)過計(jì)數(shù)統(tǒng)計(jì)，其中“11_1420371241.txt”內(nèi)有54690個IMSI號，“22_1420371268.txt”內(nèi)有11274個IMSI號，“221_1420382799.Id_79094.txt”內(nèi)有36673個IMSI號。將這3個.txt文本文檔導(dǎo)出，固定證據(jù)。

由此說明，除桌面上保留的“.txt”文本文檔，還存在已經(jīng)被嫌疑人刪除的統(tǒng)計(jì)發(fā)送情況的文檔。因此，在取證過程中應(yīng)注意提取和恢復(fù)已刪除的任務(wù)文檔，確保證據(jù)不遺漏。

5　經(jīng)驗(yàn)與啟示

上述兩起案件嫌疑人均已批捕，并進(jìn)入公訴階段，電子證據(jù)為案件的順利偵破提供了關(guān)鍵性定性證據(jù)。

（1）由于電子數(shù)據(jù)具有易變性、易復(fù)制性、隱蔽性等特點(diǎn)，所以在現(xiàn)場勘驗(yàn)過程中，應(yīng)注意現(xiàn)場勘驗(yàn)原始證據(jù)的拍照、固定等，防止相關(guān)信息和電子數(shù)據(jù)的滅失，將可能產(chǎn)生認(rèn)定糾紛的相關(guān)數(shù)據(jù)及時固化，最終結(jié)合電子數(shù)據(jù)取證證據(jù)形成具有法律效力的關(guān)鍵證據(jù)。

（2）嫌疑人使用的“偽基站”設(shè)備中用以記錄發(fā)送情況的“.txt”文件如果已被刪除，在取證過程中，恢復(fù)出來的“.txt”文件將不能真實(shí)體現(xiàn)文檔生成時間，在作為證據(jù)認(rèn)定發(fā)送數(shù)量使用時，容易存在爭議。因此，應(yīng)結(jié)合案件中的其他證據(jù)對嫌疑人發(fā)送數(shù)量進(jìn)行認(rèn)定。

（3）提升電子證據(jù)在偵查和訴訟過程中的證明力。通過不斷提升技術(shù)水平，增強(qiáng)檢驗(yàn)鑒定能力，保證相關(guān)數(shù)據(jù)轉(zhuǎn)化為關(guān)鍵、有力的電子證據(jù)，并確保數(shù)據(jù)在取得、存儲、證據(jù)使用過程中不被篡改，并能無限期安全存儲。

參考文獻(xiàn)

1劉曉宇，李錦，劉浩陽.電子數(shù)據(jù)檢驗(yàn)技術(shù)與應(yīng)用［M［］.北京：中國人民公安大學(xué)出版社，2015.

2曹茂虹，王大強(qiáng).淺談“偽基站”的基本原理及電子取證分析［J］.信息安全與技術(shù)，2015（4）.

“Pseudo Base Station”case of electronic data evidence of actual combat

Li Lu， Dai Feng， Liu Hongwei， CuiYuanyuan

Abstract:With the mobile technology development，“pseudo base station”illegal crime. In order to strengthen the electronic data forensics curing“pseudo base station”ability of evidence， based on the characteristics of“pseudo base station”， on the basis of analysis， combined with the actual case， focus on the“pseudo base station”case method and process of electronic data evidence，sumup the experiences of forensics.

Keywords:electronic data evidence； pseudo base station； the practical analysis