“偽基站”案件電子數(shù)據(jù)取證實(shí)戰(zhàn)探索

李　璐　山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師戴　芬　山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師劉洪偉山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師崔媛媛中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所高級(jí)工程師

?

“偽基站”案件電子數(shù)據(jù)取證實(shí)戰(zhàn)探索

李璐山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師
戴芬山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師
劉洪偉山東聊城市公安局網(wǎng)絡(luò)安全保衛(wèi)支隊(duì)助理工程師
崔媛媛中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所高級(jí)工程師

摘要：隨著移動(dòng)技術(shù)的不斷發(fā)展，“偽基站”違法案件頻發(fā)。為了加強(qiáng)電子數(shù)據(jù)取證固化“偽基站”證據(jù)的能力，本文在對(duì)“偽基站”構(gòu)成特點(diǎn)進(jìn)行分析的基礎(chǔ)上，結(jié)合實(shí)際案例，重點(diǎn)介紹了“偽基站”案件中電子數(shù)據(jù)取證的方法及過(guò)程，總結(jié)了取證經(jīng)驗(yàn)。

關(guān)鍵詞：電子數(shù)據(jù)取證；“偽基站”；實(shí)戰(zhàn)分析

1　引言

近年來(lái)，違法犯罪分子利用“偽基站”實(shí)施各類(lèi)違法犯罪活動(dòng)，犯罪形式不斷多樣化，并形成了黑色產(chǎn)業(yè)鏈條。這類(lèi)案件的發(fā)生，嚴(yán)重危害了通訊安全，影響了正常社會(huì)秩序，威脅了人民群眾財(cái)產(chǎn)安全。2014年2月，公安部等九部委開(kāi)展了關(guān)于打擊整治非法生產(chǎn)銷(xiāo)售和使用“偽基站”違法犯罪活動(dòng)專(zhuān)項(xiàng)行動(dòng)，成效顯著。作為公安機(jī)關(guān)網(wǎng)絡(luò)安全部門(mén)，如何使電子數(shù)據(jù)證據(jù)取證工作更加科學(xué)化、規(guī)范化，如何更有效地為打擊“偽基站”案件提供定性證據(jù)，是亟需研究解決的一項(xiàng)課題。

2　“偽基站”構(gòu)成、工作原理及特點(diǎn)

“偽基站”能夠通過(guò)偽裝成公眾移動(dòng)通信基站，進(jìn)而采集用戶的個(gè)人信息，并向用戶發(fā)送各類(lèi)短信，同時(shí)能夠產(chǎn)生與運(yùn)營(yíng)商基站同頻的大功率無(wú)線電信號(hào)，從而對(duì)正常的通信信號(hào)產(chǎn)生嚴(yán)重干擾，直接影響了公眾移動(dòng)通信的正常運(yùn)行和手機(jī)用戶的通信質(zhì)量。

“偽基站”主要是由無(wú)線電收發(fā)裝置及天線、控制臺(tái)（一般是一臺(tái)裝有Linux系統(tǒng)，并安裝類(lèi)似OpenBTS軟件的筆記本電腦）和一部工程定制手機(jī)組成，能夠搜取以其為中心、一定半徑范圍內(nèi)的手機(jī)卡信息。此類(lèi)設(shè)備運(yùn)行時(shí)，其利用了2G通信網(wǎng)絡(luò)GSM的一個(gè)安全漏洞缺陷——單向鑒權(quán)。單向鑒權(quán)，是指基站會(huì)對(duì)客戶端的入網(wǎng)身份進(jìn)行驗(yàn)證，但是手機(jī)客戶端不會(huì)對(duì)基站的真?zhèn)芜M(jìn)行驗(yàn)證。一旦手機(jī)信號(hào)被強(qiáng)制連接到“偽基站”，在短暫時(shí)間內(nèi)，“偽基站”后臺(tái)可以任意冒用某個(gè)手機(jī)或公用號(hào)碼，強(qiáng)行向用戶發(fā)送垃圾廣告、詐騙信息等。待信息發(fā)送完畢，再將用戶手機(jī)清退回原來(lái)的運(yùn)營(yíng)商無(wú)線網(wǎng)絡(luò)中。

“偽基站”一般具有以下特點(diǎn)：

●投入少，成本低，利潤(rùn)可觀

不法分子在科技市場(chǎng)或者通過(guò)網(wǎng)購(gòu)購(gòu)買(mǎi)配件或整套設(shè)備，價(jià)格從幾千元到數(shù)萬(wàn)元不等，每套設(shè)備每小時(shí)最多能發(fā)送上萬(wàn)條廣告短信。在巨大的經(jīng)濟(jì)利益驅(qū)使下，不法分子不惜以身試法。

●易隱蔽，機(jī)動(dòng)性強(qiáng)，查處難度大

“偽基站”一般都會(huì)設(shè)置在出租房或汽車(chē)內(nèi)，不使用專(zhuān)業(yè)設(shè)備很難發(fā)現(xiàn)，因此為查處工作帶來(lái)了許多困難。

3　實(shí)戰(zhàn)分析（1）

3.1案例描述

市民李某報(bào)案稱，其在某商場(chǎng)大樓內(nèi)收到一條短信稱其銀行電子密碼器積分可兌換，其按照短信上提供的網(wǎng)址進(jìn)行登陸，在其提供了其個(gè)人賬號(hào)、密碼、電子密碼器密碼后，被轉(zhuǎn)走1萬(wàn)余元。后經(jīng)偵查員數(shù)月偵查，抓獲犯罪嫌疑人并查獲作案工具“偽基站”4臺(tái)。

3.2取證過(guò)程

檢查這4臺(tái)“偽基站”設(shè)備存儲(chǔ)盤(pán)均使用的是msSATASSD固態(tài)硬盤(pán)，將msSATASSD固態(tài)硬盤(pán)裝載到SSD固態(tài)硬盤(pán)適用USB3.0硬盤(pán)盒內(nèi)，通過(guò)只讀接口接入取證塔，使用軟件對(duì)“偽基站”設(shè)備存儲(chǔ)盤(pán)的Ubuntu系統(tǒng)進(jìn)行仿真，桌面存有GSMS軟件。

“偽基站”控制軟件OpenBTS使用國(guó)際移動(dòng)用戶識(shí)別碼（IMSI），提供標(biāo)準(zhǔn)的GSM接入口，基于通用軟件無(wú)線電外圍設(shè)備（USRP）來(lái)實(shí)現(xiàn)與手機(jī)的空中接口，模擬移動(dòng)運(yùn)營(yíng)商基站功能，以實(shí)現(xiàn)發(fā)送短信功能。其中，IMSI是儲(chǔ)存在SIM卡中用以區(qū)分不同移動(dòng)用戶的一組唯一性標(biāo)識(shí)，由15位數(shù)字組成，包括移動(dòng)國(guó)家碼（MCC）、移動(dòng)網(wǎng)絡(luò)碼（MNC）和移動(dòng)用戶識(shí)別碼（MSIN）3個(gè)部分。

本案中辦案單位針對(duì)特定受害人，提供受害人使用的接收詐騙短信手機(jī)的IMSI串號(hào)為4600216xxxx2270。根據(jù)“偽基站”發(fā)送信息留存IMSI串號(hào)的特點(diǎn)，運(yùn)行“取證大師”加載掃描“偽基站”設(shè)備存儲(chǔ)盤(pán)，通過(guò)對(duì)磁盤(pán)內(nèi)所有文件針對(duì)受害人手機(jī)IMSI串號(hào)“4600216xxxx2270”進(jìn)行關(guān)鍵詞搜索，搜索結(jié)果數(shù)量為1，所在文件名為“OpenBTS.log”。圖1為針對(duì)受害人手機(jī)IMSI串號(hào)的搜索結(jié)果。

這時(shí)，不難發(fā)現(xiàn)“OpenBTS.log”就是“偽基站”開(kāi)源軟件OpenBTS運(yùn)行后產(chǎn)生的用于軟件記錄的詳細(xì)日志文件，將文件“OpenBTS.log”導(dǎo)出并保存在證據(jù)文件夾內(nèi)。使用log日志文件查看工具“LogViewer”來(lái)打開(kāi)“OpenBTS. log”日志文件查看。通過(guò)查看工具“LogViewer”中的搜索功能搜索受害人手機(jī)串號(hào)，在日志文件中搜索到“registration SUCCESS：IMSI= 4600216xxxx2270”，從而印證了“取證大師”中的結(jié)果。圖2為L(zhǎng)ogViewer的搜索結(jié)果。

成功發(fā)送短信的手機(jī)IMSI串號(hào)自動(dòng)記錄在了“OpenBTS.log”日志文件中，因此在取證軟件“取證大師”中通過(guò)對(duì)關(guān)鍵詞“SUCCESS：IMSI=4600”進(jìn)行搜索，從而來(lái)統(tǒng)計(jì)成功發(fā)送手機(jī)IMSI串號(hào)的數(shù)量。通過(guò)對(duì)關(guān)鍵詞“SUCCESS：IMSI=4600”進(jìn)行搜索，搜索結(jié)果為78261，所在文件名為“OpenBTS.log”，由此得出結(jié)論，該“偽基站”成功發(fā)送短信數(shù)量為78261。

4　實(shí)戰(zhàn)分析（2）

4.1案例描述

民警在執(zhí)勤途中在某停車(chē)場(chǎng)內(nèi)發(fā)現(xiàn)一部可疑車(chē)輛，隨后民警對(duì)該可疑車(chē)輛進(jìn)行控制并進(jìn)行了檢查，在車(chē)內(nèi)發(fā)現(xiàn)一套“偽基站”設(shè)備，包括發(fā)射天線、3個(gè)用于供電的大功率電瓶、一臺(tái)大功率發(fā)射機(jī)、一臺(tái)筆記本電腦以及一個(gè)變壓器。經(jīng)對(duì)涉案人員進(jìn)行調(diào)查詢問(wèn)，其對(duì)非法利用“偽基站”設(shè)備發(fā)送冒充95588工商銀行服務(wù)號(hào)碼，發(fā)送積分兌換現(xiàn)金和銀行密碼器過(guò)期等詐騙信息的違法事實(shí)供認(rèn)不諱。

4.2取證過(guò)程

圖2　LogViewer搜索結(jié)果

圖1　針對(duì)受害人手機(jī)IMSI串號(hào)搜索結(jié)果

首先，對(duì)移送的“偽基站”控制端筆記本電腦硬盤(pán)使用硬盤(pán)復(fù)制機(jī)制作硬盤(pán)副本，將“偽基站”筆記本硬盤(pán)副本通過(guò)只讀接口接入取證塔，“偽基站”控制端筆記本使用的操作系統(tǒng)為L(zhǎng)inux Ubuntu系統(tǒng)，使用軟件對(duì)Ubuntu系統(tǒng)進(jìn)行仿真，桌面存有GSMS短信平臺(tái)軟件。軟件業(yè)務(wù)面板顯示內(nèi)容有發(fā)送的業(yè)務(wù)名稱、顯示號(hào)碼、計(jì)數(shù)、短信內(nèi)容、任務(wù)狀態(tài)等。軟件使用者可以通過(guò)業(yè)務(wù)面板的添加、刪除、暫停、開(kāi)始發(fā)送等選項(xiàng)任意添加、刪除、暫停、開(kāi)始發(fā)送任務(wù)，新添加執(zhí)行的任務(wù)會(huì)自動(dòng)存儲(chǔ)到業(yè)務(wù)列表中。軟件在每次任務(wù)結(jié)束后自動(dòng)在桌面生成“.txt”文本文檔，名稱與任務(wù)名稱部分對(duì)應(yīng)，內(nèi)容為記錄接收的手機(jī)IMSI串號(hào)。此案中，Ubuntun操作系統(tǒng)桌面上顯示已存在兩個(gè)“.txt”文本文檔。

運(yùn)行R-studio取證軟件加載“偽基站”控制端筆記本電腦硬盤(pán)副本，對(duì)其進(jìn)行掃描，提取出文件名為“11_1420371241.txt”、“22_1420371268.txt”、“221_ 1420382799.Id_79094.txt”的文檔。打開(kāi)并瀏覽文檔，其內(nèi)容為記錄的以4600開(kāi)頭的15位IMSI串號(hào)，經(jīng)過(guò)計(jì)數(shù)統(tǒng)計(jì)，其中“11_1420371241.txt”內(nèi)有54690個(gè)IMSI號(hào)，“22_1420371268.txt”內(nèi)有11274個(gè)IMSI號(hào)，“221_1420382799.Id_79094.txt”內(nèi)有36673個(gè)IMSI號(hào)。將這3個(gè).txt文本文檔導(dǎo)出，固定證據(jù)。

由此說(shuō)明，除桌面上保留的“.txt”文本文檔，還存在已經(jīng)被嫌疑人刪除的統(tǒng)計(jì)發(fā)送情況的文檔。因此，在取證過(guò)程中應(yīng)注意提取和恢復(fù)已刪除的任務(wù)文檔，確保證據(jù)不遺漏。

5　經(jīng)驗(yàn)與啟示

上述兩起案件嫌疑人均已批捕，并進(jìn)入公訴階段，電子證據(jù)為案件的順利偵破提供了關(guān)鍵性定性證據(jù)。

（1）由于電子數(shù)據(jù)具有易變性、易復(fù)制性、隱蔽性等特點(diǎn)，所以在現(xiàn)場(chǎng)勘驗(yàn)過(guò)程中，應(yīng)注意現(xiàn)場(chǎng)勘驗(yàn)原始證據(jù)的拍照、固定等，防止相關(guān)信息和電子數(shù)據(jù)的滅失，將可能產(chǎn)生認(rèn)定糾紛的相關(guān)數(shù)據(jù)及時(shí)固化，最終結(jié)合電子數(shù)據(jù)取證證據(jù)形成具有法律效力的關(guān)鍵證據(jù)。

（2）嫌疑人使用的“偽基站”設(shè)備中用以記錄發(fā)送情況的“.txt”文件如果已被刪除，在取證過(guò)程中，恢復(fù)出來(lái)的“.txt”文件將不能真實(shí)體現(xiàn)文檔生成時(shí)間，在作為證據(jù)認(rèn)定發(fā)送數(shù)量使用時(shí)，容易存在爭(zhēng)議。因此，應(yīng)結(jié)合案件中的其他證據(jù)對(duì)嫌疑人發(fā)送數(shù)量進(jìn)行認(rèn)定。

（3）提升電子證據(jù)在偵查和訴訟過(guò)程中的證明力。通過(guò)不斷提升技術(shù)水平，增強(qiáng)檢驗(yàn)鑒定能力，保證相關(guān)數(shù)據(jù)轉(zhuǎn)化為關(guān)鍵、有力的電子證據(jù)，并確保數(shù)據(jù)在取得、存儲(chǔ)、證據(jù)使用過(guò)程中不被篡改，并能無(wú)限期安全存儲(chǔ)。

參考文獻(xiàn)

1劉曉宇，李錦，劉浩陽(yáng).電子數(shù)據(jù)檢驗(yàn)技術(shù)與應(yīng)用［M［］.北京：中國(guó)人民公安大學(xué)出版社，2015.

2曹茂虹，王大強(qiáng).淺談“偽基站”的基本原理及電子取證分析［J］.信息安全與技術(shù)，2015（4）.

“Pseudo Base Station”case of electronic data evidence of actual combat

Li Lu， Dai Feng， Liu Hongwei， CuiYuanyuan

Abstract:With the mobile technology development，“pseudo base station”illegal crime. In order to strengthen the electronic data forensics curing“pseudo base station”ability of evidence， based on the characteristics of“pseudo base station”， on the basis of analysis， combined with the actual case， focus on the“pseudo base station”case method and process of electronic data evidence，sumup the experiences of forensics.

Keywords:electronic data evidence； pseudo base station； the practical analysis