Gлавный Sвидетель Mилиции
АрхивТехнологииВ колоритной истории с недавним покушением на Анатолия Чубайса,больше всего напоминающей сюжет малобюджетного народного боевика,был один весьма любопытный "технологический" момент.
В колоритной истории с недавним (17.03.2005) покушением на Анатолия Чубайса, больше всего напоминающей сюжет малобюджетного народного боевика, был один весьма любопытный "технологический" момент. Как известно, первый же арестованный в этом деле, отставной полковник-спецназовец ГРУ Владимир Квачков сразу и категорически отказался отвечать на вопросы следователей, что, впрочем, ничуть не помешало им быстро вычислить других возможных соучастников покушения. Сделано это было по распечатке входящих и исходящих звонков с мобильного телефона Квачкова.
Распечатка с фамилиями двух десятков собеседников полковника оказалась в распоряжении следствия уже на следующий день после преступления. Объехав все паспортные столы, где были зарегистрированы эти люди, оперативники получили их фотографии. Ну а дальше определить тех, кто был больше всего интересен милиции среди этих двадцати человек, было уже нетрудно. Фотографии показали охранникам, в день покушения и накануне дежурившим при въезде в коттеджный поселок, где расположена дача Квачкова, и выяснили, кто побывал на ней в эти дни. Кроме того, двое из мобильных собеседников полковника " тоже бывшие десантники-спецназовцы Р. Яшин и А. Найденов " по совершенно другой, независимой ветви следствия были найдены как покупатели специфических полиуретановых ковриков, обнаруженных на месте засады в снегу…
Все эти подробности нашей странноватой уголовно-политической жизни излагаются здесь лишь по той причине, что наглядно иллюстрируют, какую большую роль стали играть в сыскной работе технологии сотовой связи. Постоянно находящийся при человеке мобильник оказался не только удобнейшим средством коммуникаций, но и своеобразным маячком, оставляющим "цифровой след" за своим владельцем. Люди, идущие на преступление, об этом, конечно, знают, но преимущества постоянной связи обычно перевешивают боязнь оставить улики. Поэтому неудивительно, что " пример все из той же истории " один из подельников Квачкова, А. Найденов, в милицейском рапорте о его задержании счел необходимым сделать собственную приписку, согласно которой изъятый мобильный телефон был ему при обыске подброшен.
Отсюда вывод: люди хоть и понимают "угрозу" от своего мобильника, но зачастую плохо представляют ее суть. За рубежом не раз случались анекдотичные криминальные истории. Например, в 2001 году стараниями Интерпола на Филиппинах был разыскан бывший директор государственной нефтяной компании Франции Elf-Aquitania Альфред Сирвен, четыре года находившийся в бегах. Наряду с бывшим французским министром иностранных дел Роланом Дюма, Сирвен оказался одной из ключевых фигур громкого скандала в связи с коррупцией и злоупотреблением денежными фондами компании Elf. Так вот, когда Сирвена пришли арестовывать агенты Национального бюро расследований Филиппин, тот приготовил им сюрприз. На глазах у изумленных полицейских немолодой солидный мужчина мгновенно извлек из своего мобильного телефона SIM-карточку, сунул в рот, разгрыз и проглотил.
Совершенно очевидно, что Сирвену очень хотелось уничтожить какие-то важные компрометирующие его данные, и, похоже, он знал, что делал. Однако осведомленные люди выражают большое сомнение, что в подобном поступке был хоть какой-то смысл, поскольку практически вся информация о ведущихся по телефону разговорах хранится вовсе не в чипе SIM-карты, а в базах данных телекоммуникационных компаний, обеспечивающих связь.
Именно с SIM-карты стоит начать обсуждение тех возможностей, что предоставляют ныне следователям и спецслужбам современные технологии мобильной цифровой связи GSM.
Вообще говоря, сотовый телефон (формально именуемый "мобильная станция", или кратко MS) состоит из двух одинаково важных элементов: "мобильного оборудования" (ME, то есть самого телефона) и "модуля идентификации абонента", кратко SIM, представляющего собой смарт-карту с энергонезависимой памятью и собственным процессором. Единственное назначение этого процессора " обеспечивать доступ к информации, хранящейся в памяти, и функции безопасности. Содержимое памяти SIM-карты организовано как набор примерно из тридцати файлов с данными в бинарном формате, которые можно считать стандартным образом, поместив SIM в считыватель смарт-карт. Проще всего это сделать, зная код доступа (PIN или PUK). Однако специалистам вскрыть его не составляет труда.
В правоохранительных органах (по крайней мере, Европы) среди самых популярных инструментов для снятия информации с SIM-карты называют программу Cards4Labs, разработанную Нидерландским институтом криминалистики и доступную только государственным структурам соответствующего профиля. Правда, эта программа предназначена для использования в судебной практике, поэтому не генерирует файл для последующей обработки на компьютере, а сразу распечатывает содержимое карты на бумагу. Поскольку это далеко не всегда требуется в оперативной работе, сыщики и агенты спецслужб применяют и другие инструменты, причем нередко " свободно доступный в Интернете хакерский инструментарий, типа программ Chip-It, PDU-Spy или SIM-Scan.
Почти все файлы из SIM теоретически могут выступать в качестве улик. Но большинство из них имеет вспомогательное значение и не дает свидетельств об использовании телефона. Поэтому наибольший интерес представляют те файлы, которые имеют непосредственное отношение к пользователю мобильника. Прежде всего, это уникальный идентификатор абонента (IMSI) и присвоенный ему телефонный номер (MSISDN), а также серийный номер SIM-карточки (ICCID).
Далее, 11-байтный файл LOCI (Location information) содержит, среди прочего, идентификатор области расположения LAI. По нему следствие может установить, в какой (географически) области сети телефон находился и когда включался последний раз. Правда, каждая такая область может содержать сотни или даже тысячи сот, а информация о конкретной ячейке в SIM-карте не хранится, поэтому за точными данными приходится обращаться к оператору сети.
Весьма содержательным для следствия может оказаться комплект файлов (они называются слотами и имеют длину 176 байт) с короткими текстовыми сообщениями (SMS). В большинстве SIM-карт под текстовые сообщения отведено 12 слотов. Кроме того, практически все современные телефоны позволяют хранить SMS и в памяти аппарата. Как используется отведенная под эсэмэски память, " определяется программным обеспечением телефона и пользовательской конфигурацией. Как правило, все входящие сообщения сохраняются по умолчанию, а исходящие " по указанию владельца мобильника. В большинстве мобильников сначала используется память SIM, а затем самого аппарата. В каждом SMS-слоте на первом месте расположен байт состояния, а остальные 175 байт " информация о конкретном сообщении (метка номера адресата, дата/время сообщения, собственно текст). Когда пользователь "удаляет" SMS, байт состояния выставляется в 0, сигнализируя, что слот освободился. Остальные же байты " со 2-го по 176-й " остаются нетронутыми, а значит, эту информацию можно извлечь из SIM-карты (так что, может, месье Сирвен и не зря насиловал свой пищеварительный тракт). Когда новая SMS записывается в свободный слот, то байты, оставшиеся неиспользованными, забиваются шестнадцатеричной комбинацией FF (то есть бинарными единичками). Иными словами, здесь, в отличие от файловой системы ПК, не остается хвостов предыдущих записей в так называемых slack-пространствах (между меткой конца файла и физическим концом сектора памяти).
Еще один содержательный блок информации - телефонные номера абонентов. Большинство SIM-карт имеют около ста слотов для хранения часто используемых номеров "короткого набора". В аппаратах, выпущенных до 1999 года, это был единственный механизм хранения телефонных номеров, теперь же памяти в мобильниках стало гораздо больше, так что пользователь может выбирать, куда какой номер положить. Существенно, что когда номер короткого набора уничтожается, то байты памяти соответствующего слота забиваются комбинацией FF, а значит, удаленную информацию восстановить практически невозможно. Поскольку слоты обычно заполняются последовательно, то пустой слот между двумя задействованными останется единственным свидетелем того, что прежде хранившаяся здесь информация уничтожена. Кроме того, SIM-карта может хранить последние набиравшиеся номера. В большинстве карт под эту цель отведено пять слотов. Впрочем, ПО мобильников прибегает к этой возможности крайне редко, предпочитая хранить лог-файл звонков в памяти самого аппарата. Как бы то ни было, криминалисты исследуют содержимое обоих разделов.
Что касается собственно телефона (ME), то его значение как источника улик сильно зависит от конкретной модели, поскольку каждая фирма-изготовитель наделяет свои аппараты набором самых разных функций. В целом же следователей всегда интересует содержимое флэш-памяти ME, где наибольшую свидетельскую ценность представляют следующие файлы: IMEI (серийный номер аппарата), номера короткого набора, текстовые сообщения, хранимые компьютерные файлы и аудиозаписи, лог-файл номеров входящих и исходящих звонков, события в календаре, настройки GPRS, WAP и Internet.
Самое же ценное для следственной (и шпионской) работы " базы данных операторов мобильной связи: база информации об абонентах (Subscriber database), реестры расположения собственных абонентов (Home Location Register, HLR) и гостей сети (Visitors Location Register, VLR). Но важнейшим, вероятно, источником информации оказывается так называемая база CDR (Call Data Record). Как можно понять из названия, сетевой оператор хранит в ней записи о каждом телефонном звонке (и текстовом сообщении), сделанном в этой сотовой сети. Все записи о звонках делаются в коммутационных центрах сети (MSC), а затем сводятся в единую базу "для биллинговых и других целей". Каждая запись CDR содержит следующую информацию: кто звонит (A-номер MSISDN); кому звонит (B-номер MSISDN); серийные IMEI-номера обоих мобильников; длительность соединения; тип услуги; базовая станция, начавшая обслуживание соединения. Записи CDR можно фильтровать и сортировать по любому из параметров. Это значит, что без труда извлекается информация не только о том, по каким номерам звонили с интересующей SIM (или, наоборот, откуда звонили), но также информация о разговорах по конкретному мобильнику, независимо от вставленной в него SIM-карты с тем или иным телефонным номером. Поднимая же записи базовых станций, обслуживавших звонок, следствие может восстановить местоположение абонентов с точностью до соты, в которой они находились в момент звонка или отправки SMS.
Понятно, что информация о географическом местоположении абонента имеет огромнейшее значение при сборе улик. Все время, пока абонент подключен к сети, в реестр HLR вносятся данные о том, в какой области расположения он в данное время находится. Оператор же сети в любой момент может установить местоположение с точностью до конкретной соты, включив процедуру трассировки абонента. В последние годы сети GSM многих стран оснащаются дополнительным оборудованием, благодаря которому на основе известного метода триангуляции местоположение абонента определяется с точностью до сотен или даже десятков метров.
Столь удобные возможности время от времени вызывают скандалы и горячие дискуссии о превышении полицией своих полномочий. Один из таких скандалов разразился в Берлине, где, как выяснилось, местная полиция без лишнего шума использует раздобытое по собственным каналам оборудование (применяемое германскими пограничниками) для отслеживания перемещений подозрительных лиц. Технология называется "бесшумный SMS", а суть ее вкратце такова. На мобильник интересующего полицию лица отсылается SMS-пустышка без какого-либо текста, но в особом формате, не включающем сигнал вызова в телефоне получателя. Но хотя абонент ничего не замечает, сеть инициализируется на соединение стандартным образом, в базе данных делается соответствующая запись, а по ней полиция может определить текущие координаты "объекта" с точностью до 50 метров (в условиях Берлина).
Другое обширное поле для злоупотреблений " это так называемая технология IMSI-catcher для "ближней" слежки за владельцем мобильника. Такой аппарат (в дословном переводе "ловец идентификатора абонента") представляет собой мобильную базовую станцию и, помещенный поблизости от "объекта", выступает в роли своеобразного "прокси-шлюза", через который и происходят все переговоры ничего не подозревающего абонента. IMSI-кетчер дает следящий стороне целый букет возможностей " от определения текущего телефонного номера "объекта" (если он имеет склонность их регулярно менять) до прослушивания и записи переговоров, вне зависимости от того, использует абонент шифрование или нет. Еще один скандал, и снова в Германии, был вызван тем, что полицейские втихомолку "баловались" IMSI-кетчерами GA-900 и GA-901 (с функциями прослушивания), которые выпускает известная мюнхенская фирма Rohde & Schwarz. Частое упоминание Германии означает лишь то, что в этой стране живут принципиальные и въедливые правозащитники, обладающие к тому же техническими познаниями для оценки применяемого полицией и спецслужбами оборудования.
Те же самые по сути технологии негласно применяются государственными органами и частными сыскными агентствами всех стран, где есть телефонная сотовая связь. И если о них не говорят открыто, это вовсе не значит, что злоупотреблений нет. Скорее уж, наоборот.
- Из журнала "Компьютерра"