Jedno zestawienie, kilka kolumn, dużo cyfr. Tak wygląda typowy billing. Jakie informacje za sobą niesie i jak bardzo przydatne są one dla jego odbiorcy, można przekonać się samemu, próbując dojść do tego, co w nim jest zawarte. Aby wyciągnąć z takiego zestawienia informacje bardziej szczegółowe, trzeba naprawdę się natrudzić. Poniżej krótki przewodnik po tym, co trzeba zrobić, aby taki billing poddać prawidłowej analizie.

AUTOR: MATEUSZ WITAŃSKI

Przeciętne zestawienie billingowe wystarcza do uzyskania satysfakcjonujących nas informacji jedynie w niewielu i nieskomplikowanych przypadkach. Będzie ono pomocne, gdy będziemy chcieli dowiedzieć się, z kim i kiedy rozmawialiśmy, ewentualnie sprawdzić, czy operator nas nie oszukuje. Te podstawowe informacje nie są wystarczającymi w przypadku, gdy chcielibyśmy poznać rozmowy telefoniczne osób obcych, czy to w celach dowodowych czy identyfikacyjnych. W tym przypadku powinniśmy sięgnąć do źródła informacji, jakim są dane billingowe generowane przez centrale telefoniczne. I tutaj pojawia się problem, gdyż dane te w większości przypadków nie są podane w sposób przyjazny dla użytkownika. W celu ich poprawnej analizy trzeba nierzadko fachowej wiedzy telekomunikacyjnej, prawie zawsze planu działania, który pozwoli nam na wykonanie wszystkich niezbędnych czynności. Poniżej pozwalam sobie zaproponować autorską metodę analizy danych telekomunikacyjnych central telefonicznych.

1.Poznanie źródła danych billingowych

analiza-danych-billingowych-artykul-forensictools-mediarecovery

Poznanie źródła danych billingowych jest jednym z kluczowych elementów dla rozpoczęcia procesu analizy danych. Zdobycie wiedzy na temat sprzętu i jego konfiguracji powinno być wyjściem dla dalszych prac analitycznych. Wiedza taka będzie przede wszystkim pomocna w kontekście oceny, jakich danych możemy spodziewać się po rozpracowaniu danego urządzenia, a także jakie dane powinny znaleźć się w generowanych przez sprzęt telekomunikacyjny rekordach.

2. Weryfikacja czy dane są wystarczające

Weryfikacja danych pod kątem ich przydatności dla procesu analizy będzie wynikała z poznania urządzeń, a zawierać powinna porównanie tych danych z oczekiwanymi przez nas informacjami. Zazwyczaj będzie ograniczała się do określenia, czy dana centrala generuje interesujące nas dane. Na tym etapie powinniśmy mieć jasność, czy analiza da nam jakiekolwiek informacje, czy powinniśmy ją przerwać.

3. Poznanie pliku źródłowego

Poznanie pliku źródłowego ma na celu ocenę jego zawartości pod kątem ilości kolumn, na jakie podzielony jest plik, oraz zawartości tych kolumn. Na szczególną uwagę zasługuje format rejestrowanych w pliku danych, który różni się w zależności od wielu czynników, w tym także konfiguracji centrali.

4. Przygotowanie schematu przeszukiwania pliku źródłowego

Przygotowanie schematu przeszukiwania pliku źródłowego pozwoli nam na szybkie przeglądnięcie wszystkich danych i wychwycenie tych, które nas interesują. Schemat taki powinien przede wszystkim odzwierciedlać, jaki typ informacji, z jakich kolumn i w jakim formacie powinien zostać wyszczególniony w raporcie podsumowującym analizę.

5. Przeszukanie i wyszczególnienie interesujących połączeń

Plik źródłowy zawiera wszystkie połączenia, jakie zostały wykonane przy użyciu danego urządzenia. Zadaniem analityka będzie wyłowienie i zestawienie wszystkich interesujących połączeń w celu dalszej analizy. Efektem pracy powinna być lista połączeń spełniających nasze oczekiwania, na podstawie których można będzie przeprowadzić wnioskowanie. Na tym etapie powinniśmy mieć jasność, czy połączenia, których szukamy doszły do skutku.

6. Analiza połączeń i ustalenie źródła porównawczego

Znalezione w poprzednich krokach połączenia należy ocenić pod kątem ich przydatności dla analizy. Jeżeli dane w rekordach będą poprawne, jednak budzić będą wątpliwości lub domniemania, należy te rekordy skonfrontować z drugim źródłem danych, jakim jest druga strona uczestnicząca w połączeniu telekomunikacyjnym. Jeżeli dane w rekordach będą jednoznaczne, można przystąpić do formułowania wniosków z analizy.

7. Poznanie alternatywnego źródła danych billingowych

Jeżeli pierwotny rekord będzie zawierał informacje niejednoznaczne lub będzie istniało podejrzenie, że rozmowa odbywała się między innymi niż zarejestrowane podmiotami, należy zgodnie z krokami 1-5 przeprowadzić analizę alternatywnego źródła danych billingowych, jakim będzie urządzenie, z którym łączył się będący przedmiotem analizy sprzęt telekomunikacyjny. W przypadku, gdy któryś z etapów analizy źródła alternatywnego przyniesie niezadowalający rezultat, należy wnioskowanie przeprowadzić na bazie rekordów urządzenia pierwotnego.

8. Ustalenie poziomu zbieżności między rekordami

Analiza porównawcza rekordów z dwóch źródeł danych billingowych pozwala na ich porównanie i określenie poziomu zbieżności lub rozbieżności. Pozwala także na stworzenie pełnego opisu połączenia telekomunikacyjnego, z jego rzeczywistymi podmiotami oraz wszystkimi elementami pośredniczącymi. Uzyskane w wyniku porównania wyniki pozwolą na dokładne przeanalizowanie interesującego przypadku, pozwolą uniknąć także błędów wnioskowania, będącego pochodną źle działającego sprzętu.

Metoda ta została przedstawiona podczas spotkania tematycznego Stowarzyszenia Instytut Informatyki Śledczej pod koniec lutego br., szczegółowy jej opis znajdzie się w przygotowywanej, pod redakcją prof. nadzw. dr hab. Jerzego Koniecznego, monografii „Analiza informacji w służbach policyjnych i specjalnych”, wydanej nakładem Wydawnictwa C.H. Beck w 2012 roku.