W jednym z numerów Magazynu Informatyki Śledczej i Bezpieczeństwa IT mogliśmy zapoznać się z metodą analizy danych transmisyjnych central telefonicznych. W artykule tym przedstawionych zostało osiem kroków, jakie powinniśmy przejść, aby dokonać fachowej oceny materiału, jaki trafia do nas z firm użytkujących abonenckie centrale telefoniczne. Wśród tych ośmiu kroków były takie zadania, jak np. stworzenie schematu przeszukiwania, analiza pól rekordu taryfikacyjnego, wyodrębnienie interesujących rekordów itp. Na pierwszy rzut oka może wydawać się to dosyć proste, szczególnie dla osoby, która nie miała do czynienia z rekordami taryfikacyjnymi central telefonicznych. Sprawa znacząco się komplikuje, gdy dostajemy do ręki materiał do analizy.
Trudność związana z analizą danych transmisyjnych cental abonenckich, a także danych źródłowych central operatorskich, wynika przede wszystkim z braku standardu w zakresie rekordu taryfikacyjnego, a co za tym idzie dowolnością producentów w kształtowaniu zawartości i formy takiego rekordu. Pełny obraz zagadnienia będziemy mieli po lekturze artykułu „Analiza rekordu taryfikacyjnego central telefonicznych”, jaki ukazał się w numerze 12/2011 Przeglądu Telekomunikacyjnego i Wiadomości Telekomunikacyjnych. Jak wynika z tego artykułu, podejmując się analizy danych transmisyjnych musimy sobie zdać sprawę z ogromu pracy, jaką będziemy musieli wykonać oraz ogromu wiedzy, jaką musimy posiąść.
Centrala telefoniczna to urządzenie teleinformatyczne, pracujące we właściwym środowisku informatycznym, generujące dane w postaci plików tekstowych bądź binarnych. Wręcz prosiłoby się o wykorzystanie narzędzi informatycznych do wykonania analizy tych danych. Narzędzia, które wczyta nasze dane źródłowe i zaprezentuje w przyjaznej postaci. Narzędzia, które spośród wszystkich danych wyszuka te, które spełniają nasze kryteria poszukiwań. Narzędzia, które porówna dane z kilku źródeł i wychwyci wszelkie zależności między tymi danymi. Narzędzia, które po przeprowadzeniu analizy pokaże nam raport będący podstawą dla dalszego wnioskowania. Narzędzia, którego na razie na rynku nie ma.
Pozostaje więc posiłkowanie się występującymi na rynku narzędziami, przede wszystkim systemami taryfikacyjnymi oraz oprogramowaniem do analizy kryminalnej. Działanie to niedoświadczoną osobę może zaprowadzić w ślepy zaułek. Trzeba bowiem znać specyfikę tych systemów, aby odpowiednio je wykorzystać. Systemy taryfikacyjne służą przede wszystkim do rozliczania połączeń i często operują na uproszczonych bądź niepełnych danych. Oprogramowanie do analizy kryminalnej korzysta z zestawień billingowych, a więc z przetworzonych już danych, z których próbuje wydobyć powiązania danego numeru. Odpowiednio użyte, narzędzia te mogą ułatwić pracę analityczną, gdyż na etapie wstępnego przeglądu mogą pokazać, co zawiera plik z danymi oraz na co trzeba zwrócić szczególną uwagę w trakcie dalszych prac. Nie są jednak narzędziami, na których powinno opierać się analizę danych transmisyjnych central telefonicznych.
Czego więc należałoby oczekiwać od profesjonalnego narzędzia służącego wspomaganiu analizy danych transmisyjnych central telefonicznych?
Jakie cechy powinna taka aplikacja posiadać, aby w pełni móc wspierać pracę informatyków śledczych? Wydaje się, iż narzędzie takie powinno cechować się przede wszystkim łatwością obsługi i wszechstronnością. Powinno cechować się minimalną ilością elementów konfigurowalnych i możliwością przetwarzania danych z maksymalnie dużej liczby central. Zasada powinna być prosta – jak najmniej informacji do wprowadzenia, jak najwięcej informacji do uzyskania. A najlepiej wrzucić plik z danymi i poczekać, jaki będzie efekt jego przetwarzania. Najważniejsze jest bowiem to, co niewidoczne na pierwszy rzut oka. Oprogramowanie powinno mieć zaimplementowane wszystkie algorytmy, aby dać nam satysfakcjonujący wynik. Jak stwierdzili kiedyś prof. Jan Widacki i prof. Jerzy Konieczny, analiza danych transmisyjnych jest niezwykle trudna z uwagi na skomplikowany charakter materiałów dostarczanych przez operatorów telekomunikacyjnych. o ile do tego dodamy jeszcze jego różnorodność, będziemy mogli wyobrazić sobie, z czym mamy do czynienia.
Niech powyższe zobrazuje przykład. o ile chcemy znaleźć w pliku źródłowym, kto podczas naszej nieobecności odebrał skierowaną do nas rozmowę telefoniczną, będziemy musieli wykonać kilka zadań bądź wykorzystać odpowiadające im moduły. Po pierwsze, będziemy musieli skorzystać z modułu pobierającego dane z centrali. Po drugie, będziemy musieli skorzystać z modułu importującego te dane do bazy danych. Po drugie bis, być może wykorzystamy moduł pobierający konfigurację centrali lub moduł rozpoznający typ centrali po importowanym pliku. Po trzecie, będziemy musieli skorzystać z modułu przetwarzającego uzyskane dane do postaci czytelnej dla nas. Po czwarte, będziemy musieli skorzystać z modułu analizowania zawartości pliku. Po piąte, będziemy musieli skorzystać z modułu wprowadzania warunków przeszukiwania pliku. Po szóste, będziemy musieli … tak wymieniać moglibyśmy jeszcze długo.
Warto pamiętać o jednej rzeczy, która szczególnie informatykom śledczym powinna być bliska. o ile korzystamy z danego rozwiązania informatycznego, choćby najbardziej profesjonalnego i dedykowanego dla danego rodzaju analizy, musimy brać pod uwagę wszelkie braki tego systemu i ewentualne błędy, jakie mogą pojawić się podczas przeprowadzania analizy. Nie ma bowiem idealnego rozwiązania. Korzystając w odpowiedni sposób z dostępnych narzędzi, choćby tych nie dedykowanych analizie danych transmisyjnych, możemy także uzyskać bardzo dobre wyniki. I liczyć, iż w najbliższym czasie pojawi się narzędzie, które wspomoże analizę danych transmisyjnych central abonenckich.