08. 휴대기기 포렌식

휴대폰을 키면 자동으로 가장 가까이에 있는 셀 사이트를 검색하여 통신한다.

 

* 셀룰러 네트워크 : 여러 개의 각기 다른 크기와 모양의 셀로 구성되어 있다.

- 기지국 : 안테나와 같은 장비로 구성

- 기지국 제어기(BSC) : 기지국 사이의 신호 조절 ex)휴대폰의 위치 이동 시 

- 기지국 교환센터(MSC) : 네트워크 안에서 발생한 통화 처리 (*증거 파티)

- 방문자 위치 등록기(VLR) : MSC에 연결되어 있는 DB ex) 방문자 위치

ex) 전화를 걸면 MSC -> PSTN -> 통화 연결

 

각 셀은 다음과 같은 특징을 갖고 있다.

- 사전에 정해진 주파수 범위를 사용해 특정 지역에 서비스를 제공

- 셀 사이트 = 기지국(+안테나, 관련 장비 존재) o

셀 사이트는 각 셀이 네트워크에 연결될 수 있도록 한다.

일반적으로 각 셀 타워는 측면마다 3개의 패널이 부착되어 있고 가운데에 있는 패널은 송신기, 나머지는 수신기(지속적으로 라디오 신호 탐지)로 사용한다.

셀 사이트는 여러 셀의 교차로에 위치하여 하나의 셀에서 다른 셀로 이동하기 쉽도록 한다. (중앙x)

 

cell site

 

셀룰러 네트워크의 종류는 다음과 같다.

- CDMA - 코드분할 다중접속

CDMA 휴대폰은 일반적으로 SIM카드를 사용하지 않으며 장치일련번호로 휴대폰을 식별한다.

- GSM(세계 무선 통신 시스템) - 시분할 다중접속

GSM 휴대폰은 SIM 카드를 사용하고 국제이동단말기번호(IMEI)로 휴대폰을 식별한다.

- IDEN(통합 디지털 확장 네트워크)

양방향 라디오 같은 기능, SIM 카드 사용

 

* 인터네트워크 기능 : 인터넷과 같은 외부 데이터 네트워크로의 출입문 역할

* 홈 위치 등록기(HR) : 가입자의 정보 수집 ex)가입자 식별 정보, 휴대폰 요금 청구, 현재 위치, 암호화 키 저장, AuC(인증 센터) 지원, 네트워크로의 접근 제어

* AuC : 연결을 조사해서 승인되지 않은 사용자 차단

* 단문 메시지 서비스 센터(SMSC) : 문자 메시지 수집

 

* 단문 메시지 서비스(SMS) : 메시지 길이 제한(160지)

* 멀티미디어 메시지 서비스(MMS) : 메시지 길이 제한x

 

* 핸드오프(handoff) : 셀 타워(네트워크)의 이전

신호의 강도가 약해지기 시작하면 발생한다. 시스템마다 핸드오프의 처리 방식은 다르다.

- GSM 네트워크 : 하드 핸드오프(한 번에 하나의 타워에 접속)

- CDMA: 소프트 핸드오프(여러 개의 타워에 동시 접속 가능 中 가장 센 신호의 타워 사용)

 

* 선불 휴대폰

일반 휴대폰과 동일한 방식으로 작동하지만 휴대폰의 사용자를 식별하기 어렵다.

why? 현금으로만 지불하기 때문에 누가 구매했는지 알기 어려움

그래도 정보는 알 수 있다. (휴대폰 제공자 - 가입자 정보, 네트워크 제공자 - 통화내역기록)

 

* 휴대폰 운영체제

- 심비안

- 블랙베리 : 다양한 응용 프로그램, 멀티 태스킹 지원, 통신 업체마다 버전이 다름

- 안드로이드

- iOS : Mac OS X 기반

- 윈도우

 

* 휴대폰 증거

- PIN(개인 식별 번호)

: 휴대폰의 보안을 강화하는데 사용되며 3번 연속 틀리면 잠금 상태가 된다. 잠금 해지를 위해서는 PUK(8자리)가 필요하며 일반적으로 PUK는 SIM 카드 제공자만이 지급할 수 있다. PUK는 10번의 횟수 제한이 있는데 실패했을 경우 PUK로의 접근을 영구적으로 차단한다.

- 단어 예측 데이터베이스

: 단어 예측은 데이터베이스 사전을 기반으로 하는데 시스템은 학습이 가능하다. 따라서 사용자가 정기적으로 입력한 단어는 데이터베이스에 들어있을 수 있다.

- 통화내역기록(CDR)

: 통신업체가 문제를 해결하고 네트워크의 성능을 개선하기 위해 사용한다.

단, 누가 실제로 통화했는지는 알 수 없다. (!= 가입자 정보, != 사용자 기록(유선전화정보))

- 음성메시지

: 통신업체로부터 비밀번호 재설정 코드가 필요하다.

- SIM 카드

: 국제 이동가입자 식별자(ISMI) - 가입자의 계정 정보와 서비스 식별 용으로 사용

통합 회로 카드 식별자(ICC-IC) - SIM 카드 자체의 시리얼 번호

 

 

+ 휴대폰 위치 파악 방법

- 삼각 측량(triangulation) : 3개의 타워로부터 휴대폰과의 거리를 측정하여 대략적인 위치 파악, 거리는 3개의 타워로부터 신호를 보낼 때 지연되는 시간을 바탕으로 계산

- 방향 안테나 : 2개의 타워를 이용해서 거리 계산

- GPS : 위도,경도 파악

 

* 휴대폰 증거 수집

- 물리적 방법

물리적 저장매체에 있는 모든 데이터를 캡체하고 클로닝한다. (삭제된 정보도 캡처 가능)

- 논리적 방법

삭제된 데이터는 가져오지 못하고 파일과 폴더만 캡처한다.

- 툴

휴대폰의 하드웨어와 소프트웨어 사이에 데이터 교류가 반드시 있어야 하기 때문에 쓰기 차단 기기 사용x

툴마다 수집되는 정보는 다르다.

- 수동

 

* 휴대폰 증거 처리

- 네트워크로부터 고립 ex)페러데이 봉투, 캔

- 방전 예방

휴대폰이 꺼져 있을 경우 전지를 꺼내고 SIM 카드에 표시한 뒤 사진을 찍는다. (특히 전지 밑에 있는 번호)

 

* 네비게이션

한 시점에서 27개의 인공위성만을 사용, 나머지는 인공위성이 작동하지 않을 때를 대비하여 백업으로 되어 있다.

- 심플 : 사용자가 한 장소에서 다른 장소로 이동하는데 도움

트랙포인트, 웨이포인트, 트랙로그를 저장

- 스마트

: 자동차, USB 대용량 저장장치로 구성

- 하이브리드

: 스마트 기기에 있는 기능 +a, 블루투스로 휴대폰 연결 가능(휴대폰의 mac주소, 문자 메시지 등)

- 네트워크

: 하이브리드에 있는 기능 +a, 구글 검색, 교통 정보 등 실시간 정보 가능 (별도 가입 필요)

 

* 네비게이션 데이터

- 시스템 데이터: 트랙프인트, 트랙 로그 등 제공

트랙포인트: 해당 기기가 있었던 위치에 대한 기록(자동 생성, 사용자가 수정 불가)

트랙로그: 모든 트랙포인트의 포괄적 목록(사용자가 경로를 되돌아가는데 도움용)

- 사용자 데이터 : 웨이포인트 등 제공

웨이포인트: 사용자가 가려 했던 곳(!= 실제로 갔다)