Informatyka śledcza w praktyce – czym jest analiza BTS?

Wykrycie wycieku poufnych danych korporacyjnych lub potrzeba zweryfikowania incydentu wewnętrznego często wymagają twardych dowodów łączących działania w przestrzeni cyfrowej z fizyczną obecnością człowieka. W takich sytuacjach specjaliści ds. bezpieczeństwa sięgają po zaawansowane instrumenty telekomunikacyjne – analizę BTS.

Metoda ta umożliwia precyzyjne odtworzenie osi czasu logowań karty SIM do poszczególnych przekaźników, co pozwala określić strefę przebywania użytkownika w konkretnym momencie. Stanowi to fundament cyfrowego materiału dowodowego w postępowaniach biznesowych oraz karnych.

Logi serwera DHCP kontra sieć GSM – jak stacja bazowa rejestruje ruch?

Aby zrozumieć, w jaki sposób telefon zostawia ślady w przestrzeni fizycznej, warto posłużyć się analogią do sieci pakietowych. Urządzenie mobilne logujące się do komórek sieci komórkowej zachowuje się podobnie jak laptop przemieszczający się między segmentami sieci korporacyjnej Wi-Fi, gdzie każdy punkt dostępowy przypisuje mu dzierżawę adresu przez serwer DHCP, rejestrując unikalny adres MAC.

Stacja BTS (Base Transceiver Station), czyli potocznie nadajnik, nieustannie emituje sygnał w określonych sektorach (najczęściej o azymucie rozwartym do 120 stopni). Kiedy smartfon znajduje się w jej zasięgu, dokonuje tzw. rejestracji sieciowej. Operator telekomunikacyjny loguje ten fakt, zapisując zestaw parametrów:

• Timestamp – dokładny czas nawiązania sesji, połączenia głosowego, transmisji pakietowej lub wysłania SMS-a.
• IMEI – unikalny numer seryjny aparatu telefonicznego.
• IMSI – unikalny identyfikator przypisany do karty SIM.
• CID (Cell ID) – identyfikator konkretnej komórki (anteny sektora) na danym maszcie.
• LAC (Location Area Code) – kod obszaru lokalizacyjnego, grupujący określony zestaw stacji bazowych.

Sprawdź również: Audyt systemów informatycznych – poradnik dla biznesu

W trakcie przemieszczania się użytkownika następuje proces nazywany handoverem – telefon płynnie przełącza się między sektorami o silniejszym sygnale (RSS). Korelacja tych zdarzeń pozwala analitykowi na wykonanie triangulacji lub analizy sektorowej i naniesienie prawdopodobnej ścieżki poruszania się obiektu na mapę geograficzną.

Zabezpiecz interesy firmy –  postaw na certyfikowaną informatykę śledczą ForSec

Surowe dane telekomunikacyjne bez odpowiedniej obróbki inżynieryjnej są tylko ciągiem cyfr. Przekształcenie bilingów i parametrów technicznych przekaźników w czytelną, odporną na krytykę procesową mapę powiązań wymaga specjalistycznej wiedzy. 

Jeżeli Twoja organizacja mierzy się z problemem nadużyć, kradzieży technologii lub potrzebuje audytu incydentu bezpieczeństwa, eksperci ForSec zapewnią pełne wsparcie techniczne i metodologiczne.

Skontaktuj się z laboratorium ForSec i zamów analizę bilingów stronę swojej sprawy

FAQ

Jak długo operatorzy telekomunikacyjni w Polsce przechowują dane BTS?

Zgodnie z obowiązującym Prawem telekomunikacyjnym w Polsce, operatorzy są zobowiązani do retencji danych przez okres 12 miesięcy. Po tym czasie dane bilingowe oraz powiązane z nimi lokalizacje stacji bazowych są bezpowrotnie usuwane z systemów bilingowych.

Czy wdrożenie wirtualnych kart eSIM zmienia coś w metodologii analitycznej?

Z perspektywy radiowej i sieciowej karta eSIM realizuje te same procedury uwierzytelniania w sieci rdzeniowej (Core Network), co fizyczny plastik. Wykorzystuje te same identyfikatory IMSI oraz loguje się do struktury CID i LAC, więc proces analizy pozostaje identyczny.

Jak radzić sobie z anomaliami propagacyjnymi podczas analizy materiału dowodowego?

Aby wyeliminować anomalie, stosuje się zaawansowaną korelację wielu zdarzeń na osi czasu oraz, jeśli to możliwe, przeprowadza się fizyczne pomiary testowe (tzw. drive testing) w miejscu zdarzenia w celu zmapowania realnego zasięgu sektorów.