淺談偽基站取證分析

劉旭哲　蔣天予

“偽基站”設(shè)備，是指“未取得電信設(shè)備進網(wǎng)許可和無線電發(fā)射設(shè)備型號核準，具有搜取手機用戶信息，強行向不特定用戶手機發(fā)送短信息等功能，使用過程中會非法占用公眾移動通信頻率，局部阻斷公眾移動通信網(wǎng)絡(luò)信號，經(jīng)公安機關(guān)依法認定的非法無線電通信設(shè)備”。

“偽基站”設(shè)備一般由主發(fā)射機，配套天線和裝有群發(fā)短信軟件的控制電腦三部分組成，發(fā)射與周邊公眾移動通信基站頻率相同但信號強度更大的信號。目前，部分通信網(wǎng)絡(luò)協(xié)議中，手機與基站通信時，基站會對手機的身份進行認證，而手機卻不會對基站的身份進行認證。當手機附近出現(xiàn)信號更強的基站時，手機會自動連入功率較大的基站。因此，一旦手機被吸入“偽基站”設(shè)備，“偽基站”將向這些手機終端發(fā)送任意數(shù)量，任意內(nèi)容，任意主叫號碼的短信。短信發(fā)送完成后，“偽基站”對再次經(jīng)過的位置數(shù)據(jù)更新，將已經(jīng)駐留過的手機終端踢出，迫使其重新回到正常網(wǎng)絡(luò)。在手機設(shè)備連入“偽基站”的過程中，手機信號將會暫時性的脫離原有網(wǎng)絡(luò)，無法正常使用運營商提供的服務(wù)，直到重新回到運營商正常網(wǎng)絡(luò)后才能恢復(fù)使用。“偽基站”設(shè)備目前主要依靠開源的GSM基站軟件項目OpenBTS實現(xiàn)。OpenBTS是一個基于Linux類系統(tǒng)的開源軟件項目，使用軟件無線電平臺充當GSM空中接口來連接標準的2G的GSM手持設(shè)備，并使用SIP軟交換協(xié)議或PBX進行呼叫連接?！皞位尽痹O(shè)備在運行時，使用者在“偽基站”程序界面進行發(fā)送內(nèi)容，號碼，次數(shù)等參數(shù)的設(shè)定，用戶設(shè)置完成點擊“發(fā)送”按鈕后“偽基站”將設(shè)置的參數(shù)傳遞給OpenBTS調(diào)用與主機相連接的發(fā)射設(shè)備進行短信發(fā)送。

大部分“偽基站”系統(tǒng)使用Ubuntu系統(tǒng)，鑒定人員要對Linux操作系統(tǒng)有一定的了解，熟悉相關(guān)Linux命令。需要鑒定人員在虛擬的環(huán)境中對偽基站系統(tǒng)進行仿真，特別要注意的是當前系統(tǒng)的時間屬性和時區(qū)的轉(zhuǎn)換。此外，鑒定人員也要對偽基站軟件“OpenBTS”進行研究，了解其程序結(jié)構(gòu)、使用的數(shù)據(jù)庫、信息?！皞位尽痹O(shè)備中與鑒定相關(guān)的文件詳細情況如下表所示：

由于不同的“偽基站”軟件中包含的具體數(shù)據(jù)類型各不相同，每種“偽基站”數(shù)據(jù)取證方法有所不同。根據(jù)現(xiàn)有的分析數(shù)據(jù)來看，“偽基站”數(shù)據(jù)取證框架主要包括三部分。

1檢驗“偽基站”通信日志獲取手機被干擾數(shù)

“偽基站”設(shè)備在連入用戶手機，阻礙用戶通信時所使用的核心部分是OpenBTS軟件。OpenBTS軟件在運行時可能會在系統(tǒng)留下日志文件，該文件通常為位于系統(tǒng)目錄下的OpenBTS.log或Syslog日志文件。該日志包含了“偽基站”設(shè)備與手機設(shè)備通信中的交互過程及手機設(shè)備的IMSI號，分析該日志將會獲取到受“偽基站”設(shè)備干擾的手機設(shè)備數(shù)。由于OpenBTS是一個開源程序，各版本的“偽基站”可能使用不同的OpenBTS程序，在使用時有些OpenBTS不會輸出日志或輸出到其他路徑，需要分析人員對日志文件進行準確定位。

2檢驗“偽基站”軟件數(shù)據(jù)庫獲取發(fā)送的IMSI數(shù)

“偽基站”軟件與其他軟件一樣，通常包含后臺數(shù)據(jù)庫，運行日志等數(shù)據(jù)文件。其中后臺數(shù)據(jù)使用最多的是MySQL和SQLite數(shù)據(jù)庫。這些數(shù)據(jù)庫中經(jīng)常會存有用戶設(shè)置發(fā)送的短信，號碼以及發(fā)送的數(shù)量。部分“偽基站”軟件在發(fā)送過程會留下具體的發(fā)送日志文件，包含發(fā)送時間和發(fā)送對象的IMSI號碼等信息。分析這些后臺文件將獲取以下數(shù)據(jù)：①界面顯示數(shù)量：“偽基站”軟件界面上所顯示的短信發(fā)送數(shù)量；②數(shù)據(jù)庫實發(fā)數(shù)：“偽基站”軟件存儲在后臺數(shù)據(jù)庫中的短信實際發(fā)送條數(shù)；③IMSI詳單數(shù)：統(tǒng)計“偽基站”軟件運行日志文件詳單中IMSI條數(shù)后獲得的統(tǒng)計數(shù)。由于“偽基站”在發(fā)送短信時需要中斷手機與原有基站的聯(lián)系，因此“IMSI詳單數(shù)”在檢驗結(jié)果中也可以認定為從“偽基站”運行日志文件中獲取到的手機設(shè)備被干擾數(shù)。

3檢驗“偽基站”軟件運行環(huán)境獲取使用痕跡

“偽基站”的Linux環(huán)境在使用時通常包含大量的用戶痕跡數(shù)據(jù)，如用戶登錄記錄，系統(tǒng)終端日志，系統(tǒng)使用日志等。在檢驗中，通過對這些數(shù)據(jù)的解析將提供“偽基站”軟件使用相關(guān)的行為痕跡。例如“偽基站”檢驗工作中出現(xiàn)過“偽基站”的Linux系統(tǒng)時間與真實世界的時間存在的時間差，檢驗結(jié)果中必須將該時間差作為結(jié)果一部分進行表述。

“偽基站”犯罪是一種社會危害性巨大的高科技犯罪，并一直在不斷進化，目前只要使用2G通訊網(wǎng)絡(luò)，“偽基站”就有存在的空間，將來隨著技術(shù)的發(fā)展，其影響可能會涉及到4G通訊網(wǎng)絡(luò)。因此，制訂相關(guān)“偽基站”檢驗技術(shù)標準，形成行之有效的方法，持續(xù)推進和深化“偽基站”取證技術(shù)研究刻不容緩。本文針對“偽基站”取證的原理和取證難點，介紹了“偽基站”數(shù)據(jù)取證過程的重點和目標，提出了一套具有普遍意義的“偽基站”取證框架和方法，以最常見的GSMS“偽基站”軟件作為案例深入分析和測試實驗，對有效開展“偽基站”數(shù)據(jù)檢驗，有力打擊和震懾“偽基站”違法犯罪活動提供強有力的技術(shù)支撐。endprint