W jednym z numerów Magazynu Informatyki Śledczej i Bezpieczeństwa IT ukazał się artykuł postulujący włączenie w krąg zainteresowania informatyki śledczej telekomunikacji. Nawiązując do tamtego artykułu warto zastanowić się nad technicznym aspektem tego zagadnienia. Chodzi przede wszystkim o zdobywanie i analizowanie danych transmisyjnych, które generowane są przez każdy system telekomunikacyjny, a zawierających informacje o przebiegu rozmowy.

Na początek trzeba określić, co to są dane transmisyjne. Są to dane przetwarzane dla celów przekazania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, mogą obejmować informacje odnoszące się do wyznaczania trasy, długości, czasu lub pojemności komunikatu, zastosowanego protokołu, lokalizacji terminala nadawcy lub odbiorcy, sieci, w której komunikat powstaje lub zostaje przerwany oraz początku, końca lub długości połączenia. Jak widać z powyższego opisu, dane transmisyjne zawierają podstawowe informacje o połączeniu, jakie odbyło się między dwoma abonentami. Z zasad kierujących procesem wytwarzania oprogramowania sterującego centralą wynika, że dane te muszą być generowane przez każdą centralę, gdyż są elementem podstawowego w telekomunikacji procesu obsługi połączenia. Z tych założeń wynika także, że dane te pełnią funkcję dwojakiego rodzaju, rozliczeniową i informacyjno-kontrolną.

Dla informatyki śledczej dane transmisyjne powinny być powodem zainteresowania z co najmniej dwóch powodów. Po pierwsze są to dane generowane i magazynowane przez urządzenia posiadające cyfrowe nośniki danych, po drugie dane te mogą być dowodami popełnionych przestępstw lub nadużyć. Praca informatyków śledczych z centralami telefonicznymi staje się coraz łatwiejsza z punktu widzenia technicznego odzyskiwania danych, nadal pozostaje niezwykle trudna ze względu na konieczność analizy odzyskanych danych.

Współczesne systemy telekomunikacyjne stają się coraz częściej systemami informatycznymi z odpowiednim oprogramowaniem i ewentualnie kartami dostępowymi do sieci telefonicznej.

Podchodząc do współczesnej centrali IP stykamy się tak naprawdę z typowym serwerem, na którym zainstalowane jest oprogramowanie telekomunikacyjne, łączące się z jednej strony z aparatami telefonicznymi wpiętymi do sieci komputerowej, z drugiej strony z bramami łączącymi całą architekturę telekomunikacyjną z siecią PSTN. Jeżeli mówimy o serwerach, mówimy także o tradycyjnych, cyfrowych nośnikach danych, takich jak dyski twarde czy pamięci Flash. Nawet gdybyśmy mieli do serwerów podpięte urządzenia zewnętrzne gromadzące dane transmisyjne (np. bufory lub karty w komputerach), mają one takie same nośniki danych.

Podejmując się odzyskiwania danych transmisyjnych z konkretnej centrali, warto wcześniej zapoznać się ze sposobem gromadzenia tych informacji przez dane urządzenie. Jest bowiem kilka sposobów rozwiązania tego zagadnienia, a wszystko zależy od, wykonanej zarówno przez producenta, jak i użytkownika, konfiguracji sposobu zrzucania danych transmisyjnych w centrali. Dla informatyki śledczej ważne jest to, aby spośród wielu danych wychwycić te, które przedstawiają wartość dowodową. Rozpoczynając analizę danych transmisyjnych musimy być przygotowani w kilku istotnych obszarach.

Po pierwsze powinniśmy wiedzieć, gdzie szukać takich danych, czy w odpowiedniej części pliku konfiguracyjnego, w pliku zlokalizowanym w odpowiednim katalogu, a może w pamięci urządzenia zewnętrznego. Po drugie powinniśmy wiedzieć, jaką postać ma interesujący nas rekord z danymi transmisyjnymi, w jakiej postaci zapisane są poszczególne dane. Po trzecie musimy wiedzieć, jak interpretować uzyskane dane, aby dawały wiarygodne wyniki.

Odrębnym obszarem analizy jest konieczność oceny, czy dane uzyskane w wyniku procesu odzyskiwania są kompletne, czy wymagają porównania z innymi danymi, np. listą abonentów czy danymi z innych central tego samego lub niezależnych systemów telekomunikacyjnych. W przypadku danych transmisyjnych pochodzących z systemów telekomunikacyjnych proces analizy danych jest dużo bardziej skomplikowany niż w przypadku odzyskiwania danych z tradycyjnego oprogramowania komputerowego.

Tak jak w przypadku każdego specjalistycznego oprogramowania, analiza informatyczna danych wymagać będzie wiedzy specjalistycznej z zakresu rozwiązań centralowych oraz specyfiki działania systemów billingowych. Na koniec pozostaje pytanie, dlaczego angażować informatykę śledczą w odzyskiwanie danych transmisyjnych z central telefonicznych, skoro łatwiejszy jest dostęp do billingów?

Najprostszą odpowiedzią jest stwierdzenie, że billing zawiera dużo mniej danych i czasami także te mniej istotne. Zgodnie z Prawem telekomunikacyjnym dane billingowe, służące do generowania popularnych billingów, są tylko elementem większej grupy danych zawierających dane transmisyjne. Tak więc, aby wiedzieć więcej o połączeniu, trzeba sięgnąć dużo głębiej, niż tylko do prostych zestawień kosztowych.