ТЕХНОЛОГИИ: Gлавный Sвидетель Mилиции

Автор: Киви Берд

В колоритной истории про недавнее (17.03.2005) покушение на Анатолия Чубайса, больше всего напоминающей сюжет для малобюджетного народного боевика, был один весьма любопытный «технологический» момент. Как известно, первый же арестованный в этом деле, отставной полковник-спецназовец ГРУ Владимир Квачков сразу и категорически отказался отвечать на вопросы следователей, что, впрочем, ничуть не помешало им быстро вычислить других возможных соучастников покушения. Сделано это было по распечатке входящих и исходящих звонков с мобильного телефона Квачкова.

Распечатка с фамилиями двух десятков собеседников полковника оказалась в распоряжении следствия уже на следующий день после преступления. Объехав все паспортные столы, где были зарегистрированы эти люди, оперативники получили их фотографии. Ну а дальше определить тех, кто был больше всего интересен милиции среди этих двадцати человек, было уже нетрудно. Фотографии показали охранникам, в день покушения и накануне дежурившим при въезде в коттеджный поселок, где расположена дача Квачкова, и выяснили, кто побывал на ней в эти дни. Кроме того, двое из мобильных собеседников полковника " тоже бывшие десантники-спецназовцы Р. Яшин и А. Найденов " по совершенно другой, независимой ветви следствия были найдены как покупатели специфических полиуретановых ковриков, обнаруженных на месте засады в снегу…

Все эти подробности нашей странноватой уголовно-политической жизни излагаются здесь лишь по той причине, что наглядно иллюстрируют, какую большую роль стали играть в сыскной работе технологии сотовой связи. Постоянно находящийся при человеке мобильник оказался не только удобнейшим средством коммуникаций, но и своеобразным маячком, оставляющим «цифровой след» за своим владельцем. Люди, идущие на преступление, об этом, конечно, знают, но преимущества постоянной связи обычно перевешивают боязнь оставить улики. Поэтому неудивительно, что " пример все из той же истории " один из подельников Квачкова, А. Найденов, в милицейском рапорте о его задержании счел необходимым сделать собственную приписку, согласно которой изъятый мобильный телефон был ему при обыске подброшен.

Отсюда вывод: люди хоть и понимают «угрозу» от своего мобильника, но зачастую плохо представляют ее суть. За рубежом не раз случались анекдотичные криминальные истории. Например, в 2001 году стараниями Интерпола на Филиппинах был разыскан бывший директор государственной нефтяной компании Франции Elf-Aquitania Альфред Сирвен, четыре года находившийся в бегах. Наряду с бывшим французским министром иностранных дел Роланом Дюма, Сирвен оказался одной из ключевых фигур громкого скандала в связи с коррупцией и злоупотреблением денежными фондами компании Elf. Так вот, когда Сирвена пришли арестовывать агенты Национального бюро расследований Филиппин, тот приготовил им сюрприз. На глазах у изумленных полицейских немолодой солидный мужчина мгновенно извлек из своего мобильного телефона SIM-карточку, сунул в рот, разгрыз и проглотил.

Совершенно очевидно, что Сирвену очень хотелось уничтожить какие-то важные компрометирующие его данные, и, похоже, он знал, что делал. Однако осведомленные люди выражают большое сомнение, что в подобном поступке был хоть какой-то смысл, поскольку практически вся информация о ведущихся по телефону разговорах хранится вовсе не в чипе SIM-карты, а в базах данных телекоммуникационных компаний, обеспечивающих связь.

Именно с SIM-карты стоит начать обсуждение тех возможностей, что предоставляют ныне следователям и спецслужбам современные технологии мобильной цифровой связи GSM.

Вообще говоря, сотовый телефон (формально именуемый «мобильная станция», или кратко MS) состоит из двух одинаково важных элементов: «мобильного оборудования» (ME, то есть самого телефона) и «модуля идентификации абонента», кратко SIM, представляющего собой смарт-карту с энергонезависимой памятью и собственным процессором. Единственное назначение этого процессора " обеспечивать доступ к информации, хранящейся в памяти, и функции безопасности. Содержимое памяти SIM-карты организовано как набор примерно из тридцати файлов с данными в бинарном формате, которые можно считать стандартным образом, поместив SIM в считыватель смарт-карт. Проще всего это сделать, зная код доступа (PIN или PUK). Однако специалистам вскрыть его не составляет труда.

В правоохранительных органах (по крайней мере, Европы) среди самых популярных инструментов для снятия информации с SIM-карты называют программу Cards4Labs, разработанную Нидерландским институтом криминалистики (www.forensischinstituut.nl) и доступную только государственным структурам соответствующего профиля. Правда, эта программа предназначена для использования в судебной практике, поэтому не генерирует файл для последующей обработки на компьютере, а сразу распечатывает содержимое карты на бумагу. Поскольку это далеко не всегда требуется в оперативной работе, сыщики и агенты спецслужб применяют и другие инструменты, причем нередко " свободно доступный в Интернете хакерский инструментарий, типа программ Chip-It, PDU-Spy или SIM-Scan.

Почти все файлы из SIM теоретически могут выступать в качестве улик. Но большинство из них имеет вспомогательное значение и не дает свидетельств об использовании телефона. Поэтому наибольший интерес представляют те файлы, которые имеют непосредственное отношение к пользователю мобильника. Прежде всего, это уникальный идентификатор абонента (IMSI) и присвоенный ему телефонный номер (MSISDN), а также серийный номер SIM-карточки (ICCID).

Далее, 11-байтный файл LOCI (Location information) содержит, среди прочего, идентификатор области расположения LAI. По нему следствие может установить, в какой (географически) области сети телефон находился и когда включался последний раз. Правда, каждая такая область может содержать сотни или даже тысячи сот, а информация о конкретной ячейке в SIM-карте не хранится, поэтому за точными данными приходится обращаться к оператору сети.

Весьма содержательным для следствия может оказаться комплект файлов (они называются слотами и имеют длину 176 байт) с короткими текстовыми сообщениями (SMS). В большинстве SIM-карт под текстовые сообщения отведено 12 слотов. Кроме того, практически все современные телефоны позволяют хранить SMS и в памяти аппарата. Как используется отведенная под эсэмэски память, " определяется программным обеспечением телефона и пользовательской конфигурацией. Как правило, все входящие сообщения сохраняются по умолчанию, а исходящие " по указанию владельца мобильника. В большинстве мобильников сначала используется память SIM, а затем самого аппарата. В каждом SMS-слоте на первом месте расположен байт состояния, а остальные 175 байт " информация о конкретном сообщении (метка номера адресата, дата/время сообщения, собственно текст). Когда пользователь «удаляет» SMS, байт состояния выставляется в 0, сигнализируя, что слот освободился. Остальные же байты " со 2-го по 176-й " остаются нетронутыми, а значит, эту информацию можно извлечь из SIM-карты (так что, может, месье Сирвен и не зря насиловал свой пищеварительный тракт). Когда новая SMS записывается в свободный слот, то байты, оставшиеся неиспользованными, забиваются шестнадцатеричной комбинацией FF (то есть бинарными единичками). Иными словами, здесь, в отличие от файловой системы ПК, не остается хвостов предыдущих записей в так называемых slack-пространствах (между меткой конца файла и физическим концом сектора памяти).

Еще один содержательный блок информации " телефонные номера абонентов. Большинство SIM-карт имеют около ста слотов для хранения часто используемых номеров «короткого набора». В аппаратах, выпущенных до 1999 года, это был единственный механизм хранения телефонных номеров, теперь же памяти в мобильниках стало гораздо больше, так что пользователь может выбирать, куда какой номер положить. Существенно, что когда номер короткого набора уничтожается, то байты памяти соответствующего слота забиваются комбинацией FF, а значит, удаленную информацию восстановить практически невозможно. Поскольку слоты обычно заполняются последовательно, то пустой слот между двумя задействованными останется единственным свидетелем того, что прежде хранившаяся здесь информация уничтожена. Кроме того, SIM-карта может хранить последние набиравшиеся номера. В большинстве карт под эту цель отведено пять слотов. Впрочем, ПО мобильников прибегает к этой возможности крайне редко, предпочитая хранить лог-файл звонков в памяти самого аппарата. Как бы то ни было, криминалисты исследуют содержимое обоих разделов.


Перейти на страницу:
Изменить размер шрифта: