更全的杂志信息网

伪基站中断用户数的电子数据取证

更新时间:2009-03-28

引言

伪基站即假基站,是未取得电信设备进网许可和无线电发射设备型号核准的非法无线电通信设备[1],该设备利用运营商2G通信的漏洞,伪装成运营商的基站,冒用他人手机号码强行向用户手机发送短信息[2]

一、伪基站的组成和原理

(一)伪基站的组成

伪基站主要由五部分组成:发射主机、发射天线、装有伪基站软件的控制电脑和电源(见图1)。其控制软件一般为“OpenBTS”( Open Base Transceiver Station),以Ubuntu为运行系统。

 

(二)伪基站工作原理

伪基站设备主要利用GSM网络单向认证机制漏洞网络可以对终端认证,而终端却无法对网络实施进行认证。伪基站锁定当前基站的工作频点,并通过功率放大器在同一频点上发送伪导步、寻呼信号和同步信息,迫使伪基站范围内的手机断开与基站的连接,转而与伪基站相连。获取手机的SIM卡的IMSI和机身的IMEI等信息后,伪基站就向手机发送编辑的任意号码短信。在整个过程中,手机未能进入正常通信状态,直到离开伪基站的影响范围,重新接入基站后才能恢复正常通信。(见图2)

 

目前,双向鉴权等安全机制已在3G、4G手机上广泛运用,但并非意味着3G、4G就能完全杜绝伪基站劫持行为。手机厂商为提升用户的体验感,采用双待机的网络技术,即4G/3G负责网络通道,2G主要负责语音和短信通道。客户在语音通话状态下仍可接收当前的数据服务,造成了通信安全隐患。

二、伪基站取证适用的法律

在具体案件中,使用伪基站发送短信构成犯罪的嫌疑人多以破坏公用电信设施罪居多。根据《最高人民法院关于审理破坏公用电信设施刑事案件具体应用法律若干问题的解释》(法释[2004]21号)规定,“造成二千以上不满一万用户通信中断一小时以上,或者一万以上用户通信中断不满一小时的”属于刑法第一百二十四条规定的“危害公共安全”的情形之一,即伪基站的取证需从中断的用户数量和时间着手。由于伪基站以劫持发送短信为目的,中断时间一般不到一小时以上,所以本文以提取中断用户的数量来进行证据固定。

按:“悖與”字,涵芬楼、三家本原作“荐興”。“悖與”形近误录。《尔雅》:“荐,再也。”“荐興”谓再兴盛也。

三、伪基站的电子数据取证及取证方法的研究

(一)伪基站取证实例

案例背景:2016年11月07日,接中国移动公司员工报警称:2016年11月07日14时30分时许,某地小学附近有人利用伪基站设备向中国移动手机用户群发短信,影响手机通讯正常使用。接警后,民警在现场抓获嫌疑人两人,扣押了一台伪基站设备。

全体人员集中观看了反腐倡廉警示教育电视专题片,听取了服刑人员现身说法,“零距离”了解触目惊心的案例。现场每位党员干部在鲜活的案例与深刻的教训面前反思和警醒,接受灵魂洗礼和心灵净化,思想受到强烈冲击。

(二)如何从伪基站中提取中断用户数

伪基站软件在Ubuntu系统下运行时会产生大量的用户痕迹数据,一些数据与中断用户数存在关联,主要有以下六种:

1. 软件界面显示数据:业务名称、显示号码、计数、短信内容等(见图3);

 

2. 系统桌面的TXT文件内存有的IMSI数据;

以上提取出的10个特征量,分别为边缘的周长、边缘像素点到中心距离的均值、边缘像素点到中心距离的方差、7个不变距。这10个特征量将作为神经网络识别的10个输入参数。

5. “varusropenbts”目录下send.data文件内存有时间(时间戳)及IMSI数据。

4. 伪基站使用mysql数据库存储数据,mysql数据库的gsm_business存有伪基站发送短信的任务ID、任务名称、时间、发送计数、短信内容等。

3.“/etc/OpenBTS/”目录下TMSI.db文件内的IMSI数据;

(1)软件界面的计数可直接手动修改,已删除的“业务名称”在界面里没显示,得出界面显示并不是完整的发送情况。

(3)TMSI.db文件内虽然是存储手机IMSI数据,但在“/openbts/Lib/Action/BusinessAction.class.php”文件内存有初始化TMSI.db数据的代码,该文件的“delete from sms_sent”和“delete from sms”语句分别用于删除

OpenBTS.log,日志文件记录有OpenBTS软件在工作时与终端进行交互的记录,也记录着被伪基站连接终端的IMSI。

(三)取证过程中出现的问题

在检验过程中经常会遇到不少问题,如:面对多种数据,不能确定以哪种数据为准;不清楚数据间存在的联系;容易将软件界面的“计数”、桌面的TXT文件的总IMSI数量、TMSI.db内的IMSI量、gsm_business表内的lasttime值、直接作为受中断的用户数;将send.data的IMSI数量直接作为总用户中断数;由于OpenBTS.log内的IMSI非现成,需手动提取,导致提取存在一定的难度 (见图4)。

孕妇体内缺乏TH就会导致造血功能障碍,降低红细胞生成素以及胃酸,铁以及维生素B12的吸收就会受到影响,诱发巨幼细胞性贫血疾病。患有甲减疾病后,患者的月经量以及周期就会紊乱,出现过多或者过少、稀发现象。当月经量过多或者出现不规则出血时,就会诱发小细胞低色素性贫血症状出现,对甲状腺功能异常患者造成严重影响,如孕妇出现宫缩乏力,就会影响产程[6]。

 

通过对伪基站软件的分析发现:

6. “/var/log/syslog”目录下存有的日志文件

TMSI.db内的表“sms_sent”和表“sms”数据(见图5)。

经过实地走访调查,在观测井外围1 km范围内虽有民用水抽水情况,但现场测量水位埋深位于22~26 m,高于兰考豫11井观测水位15 m左右,可见浅层地下水的开采不是本次异常出现的根本原因。

(5)send.data和OpenBTS.log内记录不同时间受影响的IMSI,即可能存在同一IMSI在不同时间多次受影响有多条记录,所以需对send.data和OpenBTS.log内的IMSI去重,同时也说明了原始send.data内的IMSI数量不能直接做为中断用户数。

(2)系统桌面的TXT文件内的IMSI码是通过调用随机函数生成的[5],且由于桌面TXT文件会在伪基站使用人向上家(委托短信发送人)确认完发送短信数后进行删除,因此只通过现有的TXT文件来统计IMSI数量是不全面的。

 

(4)使用命令“mysqldump uroot p gsms > gsm_business.sql”导mysql数据库的表“gsm_business”,密码:nb250+38。“gsm_business”内存有伪基站的任务ID、任务名称、发送时间、发送计数、短信内容等。经过对BusinessAction.class.php的代码分析(见图6),lasttime数值为实发数,而count数值则是在发送数量加上一随机数,与软件界面显示数相同。因表“gsm_business”中的lasttime的数值与实发短信数相同或相近,而具体哪些终端接收了短信还需结合send.data内的IMSI码方能统计得出。

 

成立商务英语教研室,组建商务英语教学团队,是合理利用人才的重要手段。在年龄上合理搭配,由经验丰富的老教师带动年轻教师,形成良好的竞争氛围。商务英语专业授课教师大部分应该具有硕士及以上学位和讲师以上职称,还应该有一定比例的双师型教师、海归教师和外教。其中,双师型教师同时具有教师任职资格和所教专业相关的执业资格[6],并有实际工作经历,能够更好地将理论和实践结合,不断丰富和更新教学内容,使之符合实际岗位要求;海归教师和外教不仅可以教授难度系数大的课程,还可以给整个团队带来国际先进的教学理念和方法。

式中,Ti是有害物质 i的毒性单位,100倍的1/EC50或1/LC50;N是参与评价的生物毒性指标数;n为生物测定结果为阳性的测定数;Q为排水流量(m3/a).与其他水质评价方法相比,PEEP法综合考虑多种生物毒性的平均值,同时将排水流量这一影响因素加入在评价方法内,且考虑了生物可利用性及污染物间的复合效应,是传统工业废水管理中物理化学指标的重要补充[35],为控制水体中污染物的排放提供参考.PEEP评价被许多国家所采用,美国环境保护局危险削减工学研究所拟定的PEEP小于6时,污水处于中等毒性水平以下,可以直接排放.

(四)更为准确的取证方法

2015年曹茂虹、王大强《“伪基站”的基本原理及电子取证分析》中,提出单从OpenBTS.log中提取出中断用户数的观点[6],2016年王李平等人《伪基站数据的电子取证分析》中介绍了TXT文件、TMSI.db、gsm_business三种数据的提取[7],但他们均存在缺乏对用户数据进行关联分析及未完成OpenBTS.log中断用户数提取的具体操作的问题。

结合以上分析及实际案例操作,本文提出更为精确和可靠的取证方法。该方法在对各种用户数据分析的基础上,不以软件界面数、TXT文本内的计数及TMSI.db来直接计算中断用户数,而主要通过结合以 gsm_business表、

在这种供电方式下,信号源支持交流输入,通过小容量UPS为信号源供电。 在市电停电情况下,UPS所带蓄电池为信号源供电。如图2所示。

send.data、OpenBTS.log三者数据关联分析来得出最终的中断用户数,避免了错误计算中断用户数、中断用户数不全的问题和中断用户数重复多算的问题,使取证结果更具说服力。具体如下:

1. 由于GSMS软件界面的短信记录会被删除,存储的短信往往不完整,伪基站发送的短信应以mysql数据库的表“gsm_business”为参考。本案例中软件界面显示为6条短信,而在“gsm_business”内导出251条短信记录(见图7)。

 

2. 中断用户数的得出过程应当是:(1)参考mysql数据库gsm_business表中lasttime的总数值。(2)查看send.data文件内IMSI的总数。(3)从OpenBTS.log中提取出含时间的IMSI记录,并得出总条数。(4)对比分析步骤(1)、(2)、(3)内的数值,在数据未被修改删的的情况下,数值的情况会是(1)≤(2) ≤(3),也就是日志文件OpenBTS.log记录的IMSI是最完整的,因为伪基站向外发送广播请求时,虽然未成功发送短信,但在获得IMSI值时也会造成通讯中断。(5)存在send.data、OpenBTS.log内数据被部分删除的可能,所以最后的提取结果应是依据二者合并排重后的结果。(6)由于存在同一手机终端在不同时间受多次影响,所以从send.data、OpenBTS.log中提取出不含时间的IMSI,去重后计算出总数值,该数值就是中断用户的总数。如本案例中lasttime的总数值为485070,send.data文件内IMSI的总数为486522,OpenBTS.log内提取含时间的IMSI总数为507648,提取send.data、OpenBTS.log文件内不含时间的IMSI,合并去重后提取出IMSI数为396596,该数值即为总中断用户数(见图8)。

 

四、结论

本文依据办理案件指导意见,从法律层面指出以用户中断数为证据进行电子取证的原因。就判定中断用户数量上,本文认为不能靠单一数据来作为伪基站取证数值,而应综合参考mysql数据库gsm_business表中lasttime的总数值、查看send.data文件内IMSI的总数等数据。随着伪基站设备不断更新,取证人员的取证技术要不断跟进,取证思路方法要不断创新。

参考文献

[1] 欧阳朔.伪基站对GSM-R网络干扰的研究[J], 铁道通信信号,2014,50(10):50-53.

[2] 田野,刘斐,徐海东.新型伪基站安全分析研究[J]. 电信工程技术与标准化, 2013:58-61.

[3] 刘浩阳.利用伪基站的电信诈骗侦查取证[J], 警察技术,2016(2):8-11.

[4] 刘洋洋,孙晓冬.伪基站犯罪案件电子取证分析[J]. 警察技术,2016(1):46-49.

[5] 王洪庆,王即墨,计超豪.等.“伪基站”数据取证研究[M]. 刑事技术, 2015,40(6):435-439.

[6] 曹茂虹,王大强.“伪基站”的基本原理及电子取证分析[J].信息安全与技术, 2015:73-75.

[7] 王李平 孙春雷等.伪基站数据的电子取证分析[J]. 警察技术,2016(5):56-58.

 
赖世锋,郑伟力
《警察技术》 2018年第03期
《警察技术》2018年第03期文献

服务严谨可靠 7×14小时在线支持 支持宝特邀商家 不满意退款

本站非杂志社官网,上千家国家级期刊、省级期刊、北大核心、南大核心、专业的职称论文发表网站。
职称论文发表、杂志论文发表、期刊征稿、期刊投稿,论文发表指导正规机构。是您首选最可靠,最快速的期刊论文发表网站。
免责声明:本网站部分资源、信息来源于网络,完全免费共享,仅供学习和研究使用,版权和著作权归原作者所有
如有不愿意被转载的情况,请通知我们删除已转载的信息 粤ICP备2023046998号