劉旭哲　蔣天予

“偽基站”設(shè)備，是指“未取得電信設(shè)備進(jìn)網(wǎng)許可和無(wú)線電發(fā)射設(shè)備型號(hào)核準(zhǔn)，具有搜取手機(jī)用戶信息，強(qiáng)行向不特定用戶手機(jī)發(fā)送短信息等功能，使用過(guò)程中會(huì)非法占用公眾移動(dòng)通信頻率，局部阻斷公眾移動(dòng)通信網(wǎng)絡(luò)信號(hào)，經(jīng)公安機(jī)關(guān)依法認(rèn)定的非法無(wú)線電通信設(shè)備”。

“偽基站”設(shè)備一般由主發(fā)射機(jī)，配套天線和裝有群發(fā)短信軟件的控制電腦三部分組成，發(fā)射與周邊公眾移動(dòng)通信基站頻率相同但信號(hào)強(qiáng)度更大的信號(hào)。目前，部分通信網(wǎng)絡(luò)協(xié)議中，手機(jī)與基站通信時(shí)，基站會(huì)對(duì)手機(jī)的身份進(jìn)行認(rèn)證，而手機(jī)卻不會(huì)對(duì)基站的身份進(jìn)行認(rèn)證。當(dāng)手機(jī)附近出現(xiàn)信號(hào)更強(qiáng)的基站時(shí)，手機(jī)會(huì)自動(dòng)連入功率較大的基站。因此，一旦手機(jī)被吸入“偽基站”設(shè)備，“偽基站”將向這些手機(jī)終端發(fā)送任意數(shù)量，任意內(nèi)容，任意主叫號(hào)碼的短信。短信發(fā)送完成后，“偽基站”對(duì)再次經(jīng)過(guò)的位置數(shù)據(jù)更新，將已經(jīng)駐留過(guò)的手機(jī)終端踢出，迫使其重新回到正常網(wǎng)絡(luò)。在手機(jī)設(shè)備連入“偽基站”的過(guò)程中，手機(jī)信號(hào)將會(huì)暫時(shí)性的脫離原有網(wǎng)絡(luò)，無(wú)法正常使用運(yùn)營(yíng)商提供的服務(wù)，直到重新回到運(yùn)營(yíng)商正常網(wǎng)絡(luò)后才能恢復(fù)使用。“偽基站”設(shè)備目前主要依靠開源的GSM基站軟件項(xiàng)目OpenBTS實(shí)現(xiàn)。OpenBTS是一個(gè)基于Linux類系統(tǒng)的開源軟件項(xiàng)目，使用軟件無(wú)線電平臺(tái)充當(dāng)GSM空中接口來(lái)連接標(biāo)準(zhǔn)的2G的GSM手持設(shè)備，并使用SIP軟交換協(xié)議或PBX進(jìn)行呼叫連接?！皞位尽痹O(shè)備在運(yùn)行時(shí)，使用者在“偽基站”程序界面進(jìn)行發(fā)送內(nèi)容，號(hào)碼，次數(shù)等參數(shù)的設(shè)定，用戶設(shè)置完成點(diǎn)擊“發(fā)送”按鈕后“偽基站”將設(shè)置的參數(shù)傳遞給OpenBTS調(diào)用與主機(jī)相連接的發(fā)射設(shè)備進(jìn)行短信發(fā)送。

大部分“偽基站”系統(tǒng)使用Ubuntu系統(tǒng)，鑒定人員要對(duì)Linux操作系統(tǒng)有一定的了解，熟悉相關(guān)Linux命令。需要鑒定人員在虛擬的環(huán)境中對(duì)偽基站系統(tǒng)進(jìn)行仿真，特別要注意的是當(dāng)前系統(tǒng)的時(shí)間屬性和時(shí)區(qū)的轉(zhuǎn)換。此外，鑒定人員也要對(duì)偽基站軟件“OpenBTS”進(jìn)行研究，了解其程序結(jié)構(gòu)、使用的數(shù)據(jù)庫(kù)、信息?！皞位尽痹O(shè)備中與鑒定相關(guān)的文件詳細(xì)情況如下表所示：

由于不同的“偽基站”軟件中包含的具體數(shù)據(jù)類型各不相同，每種“偽基站”數(shù)據(jù)取證方法有所不同。根據(jù)現(xiàn)有的分析數(shù)據(jù)來(lái)看，“偽基站”數(shù)據(jù)取證框架主要包括三部分。

1檢驗(yàn)“偽基站”通信日志獲取手機(jī)被干擾數(shù)

“偽基站”設(shè)備在連入用戶手機(jī)，阻礙用戶通信時(shí)所使用的核心部分是OpenBTS軟件。OpenBTS軟件在運(yùn)行時(shí)可能會(huì)在系統(tǒng)留下日志文件，該文件通常為位于系統(tǒng)目錄下的OpenBTS.log或Syslog日志文件。該日志包含了“偽基站”設(shè)備與手機(jī)設(shè)備通信中的交互過(guò)程及手機(jī)設(shè)備的IMSI號(hào)，分析該日志將會(huì)獲取到受“偽基站”設(shè)備干擾的手機(jī)設(shè)備數(shù)。由于OpenBTS是一個(gè)開源程序，各版本的“偽基站”可能使用不同的OpenBTS程序，在使用時(shí)有些OpenBTS不會(huì)輸出日志或輸出到其他路徑，需要分析人員對(duì)日志文件進(jìn)行準(zhǔn)確定位。

2檢驗(yàn)“偽基站”軟件數(shù)據(jù)庫(kù)獲取發(fā)送的IMSI數(shù)

“偽基站”軟件與其他軟件一樣，通常包含后臺(tái)數(shù)據(jù)庫(kù)，運(yùn)行日志等數(shù)據(jù)文件。其中后臺(tái)數(shù)據(jù)使用最多的是MySQL和SQLite數(shù)據(jù)庫(kù)。這些數(shù)據(jù)庫(kù)中經(jīng)常會(huì)存有用戶設(shè)置發(fā)送的短信，號(hào)碼以及發(fā)送的數(shù)量。部分“偽基站”軟件在發(fā)送過(guò)程會(huì)留下具體的發(fā)送日志文件，包含發(fā)送時(shí)間和發(fā)送對(duì)象的IMSI號(hào)碼等信息。分析這些后臺(tái)文件將獲取以下數(shù)據(jù)：①界面顯示數(shù)量：“偽基站”軟件界面上所顯示的短信發(fā)送數(shù)量；②數(shù)據(jù)庫(kù)實(shí)發(fā)數(shù)：“偽基站”軟件存儲(chǔ)在后臺(tái)數(shù)據(jù)庫(kù)中的短信實(shí)際發(fā)送條數(shù)；③IMSI詳單數(shù)：統(tǒng)計(jì)“偽基站”軟件運(yùn)行日志文件詳單中IMSI條數(shù)后獲得的統(tǒng)計(jì)數(shù)。由于“偽基站”在發(fā)送短信時(shí)需要中斷手機(jī)與原有基站的聯(lián)系，因此“IMSI詳單數(shù)”在檢驗(yàn)結(jié)果中也可以認(rèn)定為從“偽基站”運(yùn)行日志文件中獲取到的手機(jī)設(shè)備被干擾數(shù)。

3檢驗(yàn)“偽基站”軟件運(yùn)行環(huán)境獲取使用痕跡

“偽基站”的Linux環(huán)境在使用時(shí)通常包含大量的用戶痕跡數(shù)據(jù)，如用戶登錄記錄，系統(tǒng)終端日志，系統(tǒng)使用日志等。在檢驗(yàn)中，通過(guò)對(duì)這些數(shù)據(jù)的解析將提供“偽基站”軟件使用相關(guān)的行為痕跡。例如“偽基站”檢驗(yàn)工作中出現(xiàn)過(guò)“偽基站”的Linux系統(tǒng)時(shí)間與真實(shí)世界的時(shí)間存在的時(shí)間差，檢驗(yàn)結(jié)果中必須將該時(shí)間差作為結(jié)果一部分進(jìn)行表述。

“偽基站”犯罪是一種社會(huì)危害性巨大的高科技犯罪，并一直在不斷進(jìn)化，目前只要使用2G通訊網(wǎng)絡(luò)，“偽基站”就有存在的空間，將來(lái)隨著技術(shù)的發(fā)展，其影響可能會(huì)涉及到4G通訊網(wǎng)絡(luò)。因此，制訂相關(guān)“偽基站”檢驗(yàn)技術(shù)標(biāo)準(zhǔn)，形成行之有效的方法，持續(xù)推進(jìn)和深化“偽基站”取證技術(shù)研究刻不容緩。本文針對(duì)“偽基站”取證的原理和取證難點(diǎn)，介紹了“偽基站”數(shù)據(jù)取證過(guò)程的重點(diǎn)和目標(biāo)，提出了一套具有普遍意義的“偽基站”取證框架和方法，以最常見的GSMS“偽基站”軟件作為案例深入分析和測(cè)試實(shí)驗(yàn)，對(duì)有效開展“偽基站”數(shù)據(jù)檢驗(yàn)，有力打擊和震懾“偽基站”違法犯罪活動(dòng)提供強(qiáng)有力的技術(shù)支撐。endprint