Исследование мобильных платформ сотовой связи

В результате произошедшего технологического прорыва за последние годы появились системы беспроводных средств связи, системы персонального радиовызова (пейджинговые системы), ведомственные и транкинговые системы подвижной радиосвязи и т. п. Проблема массового внедрения данных систем в народное хозяйство была решена в результате появления концепции разбиения обслуживаемой территории на небольшие участки, которые стали называться сотами, которая предполагает, что каждая сота обслуживается передатчиком (базовой станцией сети — BSS) с ограниченной мощностью и радиусом действия на фиксированной частоте, что позволяет без взаимных помех использовать ту же самую частоту повторно в другой соте. Сигнал от абонента, имеющего подвижную станцию MS (мобильная станция или сотовый телефон), принимается ближайшей сотой (BSS) и далее передается в центр обработки и коммутации сигналов (MSC). Централизованная обработка всех сигналов, полученных от разных BSS, осуществляется также в центре коммутации подвижной связи (MSC). В настоящее время в России происходит развитие и становление следующих стандартов сотовой подвижной связи: аналоговые стандарты NMT-450i (диапазон 450 МГц), AMPS (системы с амплитудным разделением каналов, диапазон 800 МГц) и цифровые стандарты D-AMPS (Didgital-AMPS, системы с временным разделением каналов, диапазон 800 МГц), GSM (Global Mobyle System, диапазоны 900 МГц и 1800/1900 МГц), CDMA (Code Division Multiple Access система многостанционного доступа с кодовым разделением каналов) и TDMA (Time Division Multiple Access — система многостанционного доступа с временным разделением каналов — диапазон 800 МГц). Отметим, что в настоящее время аналоговые стандарты утрачивают свою актуальность, прежде всего из-за их слабой помехозащищенности и неэкономичности использования частотных ресурсов, и повсеместно уступают место цифровым стандартам.

Конструктивно мобильные телефоны содержат в себе наряду с традиционными связными элементами (антенна, усилители, удвоитель, частотный преобразователь) и целый ряд элементов, применяемый в компьютерах. Именно поэтому абонентские подвижные станции мобильной связи (сотовые телефоны) следует относить к ЭВМ или персональным электронным инструментам с внешним и внутренним носителем информации. К устройствам ввода-вывода и процессорному устройству можно отнести следующие электронные узлы: дисплеи, клавиатура, фото-видеокамера, микрофоны, колонки, устройства сопряжения работы сотового телефона и персонального компьютера через инфракрасный порт, гарнитуру, USB, Bluetooth[1] (связь сотового телефона и компьютера по радиочастоте, например, Samsung Х-600, Siemens SL- 65, Samsung Е-820, Samsung D-500 и др.). Важнейшим из узлов, с позиций получения доказательственной информации является машинные носители информации.

В современных моделях сотовых телефонов имеется до трех независимых от сотового терминала электронного носителя данных (ЭНД). Первый уровень представляет собой память самого сотового телефона в виде жестко встроенной при производстве микросхемы. На этом уровне памяти отражается работа группы сервисных кодов, затрагивающая в том числе коды базовых станций, уровни сигналов от них, режимы энергопотребления, память самого телефона с вызовами, телефонной книгой, органайзером и т. д. Именно на этом уровне памяти, с помощью криминалистического исследования определяют местоположение абонента, используя расшифровку местоположения базовых станций, его географические координаты, в том числе и в системах GPS-GPRS (методом триангуляции). Время включения и выключения аппарата, его местонахождения за последние 6—10 вызовов и т. д., таким образом, важную в криминалистическом аспекте или в зависимости от следственной ситуации информацию. Второй уровень представляет внешний накопитель электронной памяти — SIM-карта (номер подвижного абонента, сообщения, номера телефонов, сделанные звонки) и т. д. К третьему уровню ЭНД сотового телефона, получившего в последнее время распространение, можно отнести внешнюю память на флеш-карте, на которой в основном из-за ее большого объема (от 64 Мб до 2 Гб и более, при минимальных размерах карты, например телефоны Nokia производства старше 2004 г.) фиксируются фотовидеоинформация.

Сервисные коды мобильных телефонов можно условно разделить на четыре группы. В первую группу входят коды, которые позволяют получить информацию о состоянии и режимах работы мобильного терминала. К ней относятся коды IMEI версия firm ware. Вторую группу составляют коды, обеспечивающие защиту мобильных телефонов от несанкционированного снятия данных. К ней можно отнести известные всем пользователям мобильной связи коды PIN1; PIN2; PUK. Третью группу составляют коды, при помощи которых можно активировать или деактивировать отдельные функции конкретного сотового терминала. Четвертую группу составляют коды, которые содержат в себе служебную информацию о технических взаимодействиях в мобильной сети. К ним можно отнести информацию о базовых станциях оператора, уровни сигнала от каждой станции, список станции взаимодействующих с терминалом и т. д.

Код IMEI (International Mobile Equipment Identity) — международный идентификатор мобильного оборудования, представляет собой уникальное для каждого мобильного терминала число. В мире имеется только одно такое уникальное число, которое идентифицирует только этот терминал. Замена сим-карты на смену числа не влияет. Иными словами, каждому мобильному терминалу соответствует индивидуальное специальное идентификационное число для каждого мобильного терминала. Каждая фирма-производитель несет ответственность за то, что не существует двух мобильных терминалов с одинаковыми номерами. Это число, независимо от фирмы производителя электронного мобильного оборудования, можно прочитать на специальном стикере, расположенном под аккумулятором в отсеке питания. Кроме того, число в обязательном порядке указывается в паспорте аппарата и под (над) штрих-кодом на упаковочной коробке аппарата. Кроме того, его можно узнать и вывести на дисплей мобильного терминала, набрав с его клавиатуры соответствующую команду. Следует иметь в виду, что числа, изображенные на заводской табличке, упаковочной коробке и дисплее, должны быть полностью идентичны друг другу. В случае их несовпадения, следует иметь в виду, что программное обеспечение мобильного терминала, как вариант, было «переписано» нелегально. Узнать списки IMEI, которые принадлежат той или иной фирме можно, например, в сервисных центрах или на сайтах фирм производителей, доменные имена которых, как правило, совпадают с названием фирмы. Следует иметь в виду, что при обслуживании аппарата в сервисном центре, им обязательно проверяется его номер. Таким образом, уникальный идентификатор мобильного оборудования представляет специальное идентификационное число, которое не зависимо от фирмы производителя содержит 15 (в некоторых современных аппаратах может встречаться и 16 знаков, например в некоторых последних моделях Philips) знаков и состоит из четырех частей. С точки зрения раскрытия и расследования преступлений, сопряженных с использованием средств мобильной связи, необходимо отметить следующее, во-первых, номера кодов IMEI являются основой для создания так называемых «белых, серых и черных» списков мобильных терминалов, при этом «черный список» содержит все утраченные или похищенные мобильные терминалы. Во-вторых, в случае утраты пользователем своего мобильного терминала в результате, какого либо противоправного деяния со стороны правонарушителя (кража, грабеж, разбой, преступления в сфере неправомерного доступа к компьютерной информации, мошенничество и т. д.) или его потери, код IMEI может быть установлен на основании данных паспорта на утраченный терминал, надписях на упаковочной коробке под стикером со штрих-кодом.

Поэтому в процессе документирования данных преступлений в процессуальных документах должны быть указаны код мобильного оборудования (IMEI), индивидуальный номер абонента IMSI (International Mobile Subscriber Identity — международный идентификатор мобильной станции, соответствующий каждому пользователю мобильной связи стандарта GSM, UMTS или CDMA). Следует заметить, что несмотря на то, что после неправомерного завладения сотовым терминалом злоумышленники, как правило, извлекают, уничтожают или передают другим (третьим лицам, как вариант — случайным) лицам SIM-карту, однако номер IMEI при этом у самого похищенного аппарата остается неизменным, а замена карты на его работу не влияет, что и дает возможность его розыска и в последствии получения доказательственной информации по данному делу. В качестве иллюстрации можно привести действующую систему поиска мобильных терминалов в ряде зарубежных стран. В частности в Голландии, где на основании производства идентификации номера построена и действует полицейская система занесения утраченных или похищенных сотовых аппаратов в так называемые «черные списки» утраченного оборудования — EIR (Equipment Identity Register) — регистр, содержащий перечень мобильных телефонов, доступ которым запрещен в сеть. Поэтому методы расследования, основанные на опыте зарубежных стран на идентификации мобильного оборудования и его пеленгации, а также исследованиях списков EIR провайдера, как нам представляется, весьма перспективны. В России подобные законопроекты находятся в настоящее время на стадии разработки, вместе с тем следует отметить, что данные методики, примененные на практике рядом подразделений органов внутренних дел и ФСБ России, уже дали положительные результаты при раскрытии и расследовании преступлений, где одним из предметов преступной деятельности являлись в том числе и сотовые телефоны. Особую актуальность и значение данная система идентификации приобретает в связи с использованием в ряде случаях сотовых аппаратов при совершении террористических актов.

В ходе криминалистического исследования мобильного телефона надо иметь в виду, что для его последующего включения могут потребоваться коды блокировки, необходимые для работы телефона. Прежде всего, это коды блокировки самого сотового аппарата и SIM-карты PIN и PUK коды. При каждом включении аппарата требуется введение PIN- кода для активации SIM-карты. В случае неправильного набора PIN- кода более трех раз для разблокировки SIM-карты требуется введение кода PUK. Необходимо учитывать, что PIN-код может меняться пользователем, PUK-код постоянен. Первоначальный PIN-код, а также PUK-код содержатся в базе данных компании оператора мобильной связи.

В качестве одного из методов исследования информационного содержимого сотового аппарата, наиболее простого и доступного, можно рекомендовать исследование с помощью его «меню», которое во многом аналогично меню персонального компьютера. Пользователь с помощью меню может изменить всевозможные установки (пароли, дата и время, язык самого меню и т. п.), внести или отредактировать записи в электронной записной книжке и многое другое. Необходимо учитывать, что меню имеет несколько информационных уровней:

  • 1) «записная или телефонная книга» — телефонные номера с соответствующими обозначениями их владельцев;
  • 2) «запись вызовов» — пропущенные, полученные, набранные вызовы, время вызовов и др.; стоимость конкретного вызова, общая стоимость сделанных вызовов и др.;
  • 3) «сообщения» — SMS, EMS, MMS, речевой сервер, чтение, написание сообщений и их настройка;
  • 4) «тоны» — громкость, тон или мелодия звонка, клавиатуры, ошибки и т. п.;
  • 5) «установки» — параметры телефона, сетевые сервисы, параметры безопасности, параметры браузера и др.;
  • 6) «органайзер» — планировщик, калькулятор, время и др.;
  • 7) GPRS (пакетная радиопередача данных), WAP (работа с беспроводным сервером в Интернете), различные службы и сервисы E-mail, POP3/SMTP; FTP; www и др.

Характеристика GSM-связи определяется в необходимости сохранения идентификационных и аутентификационных данных об абоненте и связанной с ним информации в SIM-карте. Спецификация SIM-карт определяется аналогичным существующим стандартом для смарт-карт. SIM-карты подразделяются на два физических типоразмера: большой (соответствует размеру стандартной банковской карты) и маленький. Указанные размеры отличаются только по физическим размерам чипов, а размещение контактных площадок и их электрические характеристики у них одинаковы. Кроме того, SIM-карта меньшего размера преобразуется в SIM-карту большого типоразмера, при помощи специального адаптера. В современных телефонах в силу своей компактности используются только SIM-карты меньшего размера. Далее укажем на то, что имеющиеся SIM-карты комплектуются с различными напряжениями питания. Первоначальный стандарт содержал указание на использование CMOS-технологии в качестве структуры подачи энергопотребления, вместе с тем современные разработки в телефонии позволили изменить напряжения питания карт в сторону их уменьшения. При этом эксплуатация SIM-карты с низким напряжением питания, в считывающем устройстве, которое поддерживает только CMOS-технологию, невозможна в виду несчитывания ее содержания.

Таким образом, SIM-карта — это стандартная смарт-карта, которую можно прочитать с помощью устройств чтения смарт-карт, при этом обращение к SIM-картам должно проводиться по протоколу связи с помощью специального программного обеспечения.

Необходимость производства криминалистических исследований SIM-карт мобильных платформ сотовой связи легли в основу разработок ряда специализированных программных продуктов, гарантирующих неизменность данных в процессе извлечения, анализа, поиска, экспорта, печати отчетов и т. д. В ходе исследования SIM-карту помещают в специальный приемник применяемого устройства и после ввода PIN- кода карты осуществляют доступ к информации, хранящейся в файле, имеющем расширение «.sim».

Файловая система SIM-карты организована в виде иерархической древовидной структуры, составленной из следующих трех типов элементов:

  • — главного файла «Master File», представляющего собой корневую директорию файловой системы;
  • — выделенного файла «Dedicated File», являющего каталогом корневой директории и содержащего специальные и элементарные файлы;
  • — элементарного файла «Elementary File», содержащего различные типы форматированные данные и структуры в виде последовательностей байтов данных, записей установленного размера или фиксированного циклически повторяемого набора записей установленного размера.

В отличие от встроенной оперативной памяти карты памяти являются съемными накопителями информации объемом памяти от 8 Мб до 2 Гб, позволяющие увеличивать объем памяти мобильных телефонов, хранить дополнительные файлы, обмениваться данными с совместимыми устройствами. Такие носители можно рассматривать как сменные энергонезависимые накопители, что дает возможность их копирования и исследования с помощью традиционных судебных программных средств с использованием считывающего устройства для внешних накопителей, поддерживающих интерфейс IDE (встроенный интерфейс накопителей). Такие адаптеры позволяют рассматривать сменные накопители как накопители на жестких магнитных дисках и использовать их совместно с программным обеспечением блокировки записи; это гарантирующих неизменяемость данных на исследуемых сменных накопителях. Данные, содержащиеся на накопителях, могут быть отображены и исследованы, а удаленные файлы — восстановлены, что делает получение доказательств возможным.

Получение доказательственной информации с мобильных платформ сотовой связи должно происходить в строгом соответствии с действующим уголовно-процессуальным законодательством Российской Федерации, требующим неизменяемость вещественных доказательств в ходе их предварительного, доследственного исследования. Вместе с тем, целый ряд составляющих информационного обмена, в том числе данные абонента, сообщения SMS, EMS, MMS, номер с которого они оправлены, дата и время получения сообщения; телефонные номера с соответствующими именами их владельцев, содержание органайзера, абонентские и идентификационные номера, другая техническая информация, участвующая в процессе идентификации телефона в сети мобильной связи относятся к конфиденциальной информации владельца абонентской станции и подпадают под юрисдикцию ч. 2 ст. 23 Конституции РФ.

  • [1] Средство беспроводной коммуникации персональных сетей, обеспечивающее обмен информацией между мобильными телефонами, принтерами, цифровыми фотоаппаратами, гарнитурами и т. д., основанное на использовании радиоволн до 10 м.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >