Журнал «Компьютерра» № 24 от 28 июня 2005 года
Шрифт:
Вообще говоря, сотовый телефон (формально именуемый «мобильная станция», или кратко MS) состоит из двух одинаково важных элементов: «мобильного оборудования» (ME, то есть самого телефона) и «модуля идентификации абонента», кратко SIM, представляющего собой смарт-карту с энергонезависимой памятью и собственным процессором. Единственное назначение этого процессора " обеспечивать доступ к информации, хранящейся в памяти, и функции безопасности. Содержимое памяти SIM-карты организовано как набор примерно из тридцати файлов с данными в бинарном формате, которые можно считать стандартным образом, поместив SIM в считыватель смарт-карт. Проще всего это сделать, зная код доступа (PIN или PUK). Однако специалистам вскрыть его не составляет труда.
В правоохранительных органах (по крайней мере, Европы) среди самых популярных инструментов для снятия информации
Почти все файлы из SIM теоретически могут выступать в качестве улик. Но большинство из них имеет вспомогательное значение и не дает свидетельств об использовании телефона. Поэтому наибольший интерес представляют те файлы, которые имеют непосредственное отношение к пользователю мобильника. Прежде всего, это уникальный идентификатор абонента (IMSI) и присвоенный ему телефонный номер (MSISDN), а также серийный номер SIM-карточки (ICCID).
Далее, 11-байтный файл LOCI (Location information) содержит, среди прочего, идентификатор области расположения LAI. По нему следствие может установить, в какой (географически) области сети телефон находился и когда включался последний раз. Правда, каждая такая область может содержать сотни или даже тысячи сот, а информация о конкретной ячейке в SIM-карте не хранится, поэтому за точными данными приходится обращаться к оператору сети.
Весьма содержательным для следствия может оказаться комплект файлов (они называются слотами и имеют длину 176 байт) с короткими текстовыми сообщениями (SMS). В большинстве SIM-карт под текстовые сообщения отведено 12 слотов. Кроме того, практически все современные телефоны позволяют хранить SMS и в памяти аппарата. Как используется отведенная под эсэмэски память, " определяется программным обеспечением телефона и пользовательской конфигурацией. Как правило, все входящие сообщения сохраняются по умолчанию, а исходящие " по указанию владельца мобильника. В большинстве мобильников сначала используется память SIM, а затем самого аппарата. В каждом SMS-слоте на первом месте расположен байт состояния, а остальные 175 байт " информация о конкретном сообщении (метка номера адресата, дата/время сообщения, собственно текст). Когда пользователь «удаляет» SMS, байт состояния выставляется в 0, сигнализируя, что слот освободился. Остальные же байты " со 2-го по 176-й " остаются нетронутыми, а значит, эту информацию можно извлечь из SIM-карты (так что, может, месье Сирвен и не зря насиловал свой пищеварительный тракт). Когда новая SMS записывается в свободный слот, то байты, оставшиеся неиспользованными, забиваются шестнадцатеричной комбинацией FF (то есть бинарными единичками). Иными словами, здесь, в отличие от файловой системы ПК, не остается хвостов предыдущих записей в так называемых slack-пространствах (между меткой конца файла и физическим концом сектора памяти).
Еще один содержательный блок информации " телефонные номера абонентов. Большинство SIM-карт имеют около ста слотов для хранения часто используемых номеров «короткого набора». В аппаратах, выпущенных до 1999 года, это был единственный механизм хранения телефонных номеров, теперь же памяти в мобильниках стало гораздо больше, так что пользователь может выбирать, куда какой номер положить. Существенно, что когда номер короткого набора уничтожается, то байты памяти соответствующего слота забиваются комбинацией FF, а значит, удаленную информацию восстановить практически невозможно. Поскольку слоты обычно заполняются последовательно, то пустой слот между двумя задействованными останется единственным свидетелем того, что прежде хранившаяся здесь информация уничтожена. Кроме того, SIM-карта может хранить последние набиравшиеся номера. В большинстве карт под эту цель отведено пять слотов. Впрочем, ПО мобильников прибегает к этой возможности крайне редко, предпочитая хранить лог-файл звонков в памяти самого аппарата. Как бы то ни было, криминалисты исследуют содержимое обоих разделов.
Что касается собственно телефона (ME), то его значение как источника улик сильно зависит от конкретной модели, поскольку каждая фирма-изготовитель наделяет свои аппараты набором самых разных функций. В целом же следователей всегда интересует содержимое флэш-памяти ME, где наибольшую свидетельскую ценность представляют следующие файлы: IMEI (серийный номер аппарата), номера короткого набора, текстовые сообщения, хранимые компьютерные файлы и аудиозаписи, лог-файл номеров входящих и исходящих звонков, события в календаре, настройки GPRS, WAP и Internet.
Самое же ценное для следственной (и шпионской) работы " базы данных операторов мобильной связи: база информации об абонентах (Subscriber database), реестры расположения собственных абонентов (Home Location Register, HLR) и гостей сети (Visitors Location Register, VLR). Но важнейшим, вероятно, источником информации оказывается так называемая база CDR (Call Data Record). Как можно понять из названия, сетевой оператор хранит в ней записи о каждом телефонном звонке (и текстовом сообщении), сделанном в этой сотовой сети. Все записи о звонках делаются в коммутационных центрах сети (MSC), а затем сводятся в единую базу «для биллинговых и других целей». Каждая запись CDR содержит следующую информацию: кто звонит (A-номер MSISDN); кому звонит (B-номер MSISDN); серийные IMEI-номера обоих мобильников; длительность соединения; тип услуги; базовая станция, начавшая обслуживание соединения. Записи CDR можно фильтровать и сортировать по любому из параметров. Это значит, что без труда извлекается информация не только о том, по каким номерам звонили с интересующей SIM (или, наоборот, откуда звонили), но также информация о разговорах по конкретному мобильнику, независимо от вставленной в него SIM-карты с тем или иным телефонным номером. Поднимая же записи базовых станций, обслуживавших звонок, следствие может восстановить местоположение абонентов с точностью до соты, в которой они находились в момент звонка или отправки SMS.
Понятно, что информация о географическом местоположении абонента имеет огромнейшее значение при сборе улик. Все время, пока абонент подключен к сети, в реестр HLR вносятся данные о том, в какой области расположения он в данное время находится. Оператор же сети в любой момент может установить местоположение с точностью до конкретной соты, включив процедуру трассировки абонента. В последние годы сети GSM многих стран оснащаются дополнительным оборудованием, благодаря которому на основе известного метода триангуляции местоположение абонента определяется с точностью до сотен или даже десятков метров.
Столь удобные возможности время от времени вызывают скандалы и горячие дискуссии о превышении полицией своих полномочий. Один из таких скандалов разразился в Берлине, где, как выяснилось, местная полиция без лишнего шума использует раздобытое по собственным каналам оборудование (применяемое германскими пограничниками) для отслеживания перемещений подозрительных лиц. Технология называется «бесшумный SMS», а суть ее вкратце такова. На мобильник интересующего полицию лица отсылается SMS-пустышка без какого-либо текста, но в особом формате, не включающем сигнал вызова в телефоне получателя. Но хотя абонент ничего не замечает, сеть инициализируется на соединение стандартным образом, в базе данных делается соответствующая запись, а по ней полиция может определить текущие координаты «объекта» с точностью до 50 метров (в условиях Берлина).
Другое обширное поле для злоупотреблений " это так называемая технология IMSI-catcher для «ближней» слежки за владельцем мобильника. Такой аппарат (в дословном переводе «ловец идентификатора абонента») представляет собой мобильную базовую станцию и, помещенный поблизости от «объекта», выступает в роли своеобразного «прокси-шлюза», через который и происходят все переговоры ничего не подозревающего абонента. IMSI-кетчер дает следящий стороне целый букет возможностей " от определения текущего телефонного номера «объекта» (если он имеет склонность их регулярно менять) до прослушивания и записи переговоров, вне зависимости от того, использует абонент шифрование или нет. Еще один скандал, и снова в Германии, был вызван тем, что полицейские втихомолку «баловались» IMSI-кетчерами GA-900 и GA-901 (с функциями прослушивания), которые выпускает известная мюнхенская фирма Rohde & Schwarz. Частое упоминание Германии означает лишь то, что в этой стране живут принципиальные и въедливые правозащитники, обладающие к тому же техническими познаниями для оценки применяемого полицией и спецслужбами оборудования.