Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Chapitre 5 - Forensics PBX Partie 5 5.9 Données en temps réel 5.9.1 En général

Chapitre 5 - Forensics PBX Partie 5 5.9 Données en temps réel 5.9.1 En général Comme indiqué précédemment, les enregistrements d'appels ne sont créés qu'après la fin de l'appel. Pendant la durée de l'appel, aucun enregistrement n'est présent. Cela rend impossible de retracer avec les enregistrements d'appels un incident qui a lieu en temps réel. Heureusement, il existe des commandes et des commandes qui peuvent vous aider. 5.9.2 Connexion de l'équipement La figure 5.9 montre une commande qui décrit le chemin de la connexion de deux postes pendant un appel. Nous pouvons voir que l'extension avec un ID qui se termine par «4» est située dans la carte 1–22 et en utilisant la tranche de temps 69 est en outre connectée à l'extension qui se termine par 1, qui est située dans la carte 1–19 en utilisant la plage de temps 119. Étant donné que ces deux cartes se trouvent dans le même rack, elles sont connectées à l'aide de la dorsale du rack PBX sans aucune autre carte. Il est intéressant de noter que bien que nous parlions de l'ensemble numéro 7167, celui-ci est mappé en interne sur un numéro «d'équipement» (celui qui est masqué et se termine par «4»). C'est une façon que certains PBX utilisent pour mapper toutes leurs parties (extensions, cartes, circuits, etc.) avec un seul ID. 5.9.3 Données des lignes de réseau Pour un appel qui s'étend en dehors des lignes réseau PBX actuelles sont nécessaires. Les lignes de réseau sont les moyens qui connectent le PBX avec d'autres PBX et le réseau public. Leur état peut être surveillé avec des commandes qui produisent quelque chose comme ce qui est vu dans la figure 5.10 . Là, nous avons deux lignes PR I Euro RNIS, totalisant 60 canaux. Comme nous pouvons le voir, il y a des canaux occupés (B) et la plupart d'entre eux libres (F) à ce moment-là. Pour plus de détails, la Fig. 5.11 décrit les données de débogage pour chaque canal d'une jonction, ainsi que les informations de maintenance. Parmi les autres choses, il y a l'état de la ligne réseau (en fonctionnement ou non), des informations sur le nombre total de canaux occupés et s'ils sont entrants ou sortants. Chaque canal a son propre numéro qui est mappé à un ID, alors qu'il y a aussi le «nom» de la ligne réseau désigné par l'administrateur du système ainsi que différentes données administratives. 5.9.4 Données de signalisation La réelle fl ux de communication dans les lignes de jonction est contrôlée avec la signalisation correspondante. L' un des outils les plus importants de surveillance et puissants est donc l'outil t o surveiller la signalisation entre le PBX et les autres autocommutateurs ou au centre offi CE . La figure 5.12 montre l'échange de messages RNIS, lorsqu'un téléphone donné appelle un autre téléphone, dans un canal donné, puis raccroche. Nous pouvons fi e l' information tant pour le PBX il auto (par exemple, les numéros de carte et les numéros de circuits) et des informations de signalisation RNIS qui est échangé avec le centre offi CE . Chaque trace a un horodatage et un numéro de série. Le volume des numéros de signalisation est bien plus important que le nombre d'enregistrements d'appels, car pour chaque appel, tout l'échange de messages est enregistré. Cela rend pratiquement impossible l'enregistrement de cette signalisation pendant une longue période. Au contraire, il peut être utilisé en temps réel pour surveiller spécifi lignes c, que ce soit traçant le fl ux d'appels avant l'appel des enregistrements sont créés ou pour résoudre un problème donné. Une caractéristique très importante dans les deux autocommutateurs et les lignes de la maison est la fonction d'appel malveillant où l'utilisateur qui a reçu un appel malveillant peut « stamp » l'appel en tant que tel et en informer le centre offi CE que l'appel doit spécifi quement être connecté afin de préserver les preuves pour lui permettre de prendre d'autres mesures juridiques. Il s'agit généralement d'un service payant. En parlant de traces de signalisation RNIS, comme le montre la figure 5.13 , si le propriétaire du PBX n'a pas payé l'opérateur pour le service, alors le message correspondant (non abonné) apparaît dans le journal des traces. 5.10 Données des extensions B de lignes interurbaines, de nombreuses données médico - légales découlent d'une action effectuée par une extension. Les extensions PBX (à savoir les téléphones) sont passées de vieux téléphones analogiques à des appareils électroniques numériques coûteux avec des circuits électroniques complexes. Il est donc il est possible que les données soient stockées non seulement sur le disque dur principal de la carte CPU du PBX, mais également dans les puces mémoire de ces extensions. Outre les téléphones PBX classiques, les téléphones durs VoIP stockent des informations considérables dans leur propre mémoire et peuvent donc être avantageux d'y effectuer une analyse médico-légale. Deux types de mémoire sont utilisés, le fl ash NAND et le fl ash NOR . Les données réelles stockées dépendent du fabricant et de l'architecture du système. Au-delà des données actuelles stockées, des données plus anciennes ou même supprimées peuvent être trouvées dans les «profondeurs» de la mémoire du téléphone. Il est conditionnellement possible de récupérer (partiellement ou totalement) ces informations après suppression. L'examinateur est appelé à extraire ces données sans les altérer [ 4 ]. Pour cela, il peut recourir au vidage de la mémoire octet à octet pour la mémoire NOR (ou page à page pour la mémoire de type NA ND). Ceci est réalisé à l'aide d'outils logiciels et matériels spéciaux qui «clonent» le contenu de la mémoire. De cette façon, elle peut recevoir une image de données complète dans la couche physique. L'ensemble du processus est particulièrement compliqué d'un point de vue technique car les données ne sont pas structurées et doivent être traduites dans un système de fichiers spécifique. Il n'y a pas de voie normalisée ou de contact commun pour la connexion (chaque fabricant en utilise un différent même entre ses propres modèles) alors qu'il est souvent nécessaire d'accéder à des contacts internes spéciaux, trouvés dans la carte de circuit imprimé du téléphone. L'un de ces contacts est le Joint Test Action Group (JTAG) décrit dans la norme IEEE 1149.1 [ 5 ]. La fonctionnalité offerte est une fonctionnalité très puissante. Il s'agit d'une interface de mise au point spéciale initialement utilisée pour tester les cartes de circuits imprimés des appareils électroniques. Il a encore évolué pour permettre la vérification, la surveillance et le débogage des systèmes embarqués. Pour utiliser la médecine légale, il peut entreprendre le vidage de la mémoire, mais il est diffi culte fi e les spécifi points de test c, et généralement la documentation est la propriété exclusive ne sont pas facilement disponibles. Malgré les avantages de la méthode de vidage de la mémoire, certains problèmes se manifestent. Le problème fondamental est qu'il n'y a aucun moyen de détecter si des changements externes ont ta ken dans la fl mémoire de cendres (donc les données ont été modifiées). Si aucune autre méthode ne peut être utilisée (par exemple, parce que le téléphone est partiellement ou totalement détruit), il est également possible de détacher - dessouder les circuits de mémoire intégrée en utilisant des stations de soudage / dessoudage spéciales à dispositif de montage en surface (SMD) . Ensuite, le vidage de la mémoire externe a lieu à l'aide des bons outils matériels. Ce processus garantit qu'aucune «infection» de données ne se produit puisque le téléphone reste déconnecté du PBX. Il est cependant confronté au grave danger de la destruction complète du circuit au cours de ce délicat processus de détachement / dessoudage . De plus, l'extension doit être démontée afin d'extraire le circuit de mémoire intégré. Compte tenu de ces diffi culte s , cette méthode est le moins préféré et celui que l'analyste aura recours finalement si rien d' autre semble fonctionner. De manière plus pratique, la plupart des preuves nécessaires pour un cas se trouvent dans le disque dur du processeur du PBX et peuvent être acquises à l'aide des bonnes commandes. L'une de ces listes de commande tous les configuration détails et les détails de fonctionnement d'un ensemble donné. La Figure 5.14 montre une sortie partielle (sur plusieurs pages d'informations) pour un ensemble donné (numéro 7167). Le lecteur peut noter que le PBX spécifique utilise un système d'exploitation de type UNIX – Linux où des commandes telles que «grep» peuvent être utilisées. Les informations sont masquées dans la capture d'écran, mais contiennent le nom de l'utilisateur, le dernier numéro composé dans la mémoire de recomposition (06945 masqué), le dernier numéro appelé dans la mémoire des appels manqués (06945 masqué), si la notification par e- mail est activée activé ou désactivé, le niveau de volume de la sonnerie, le niveau de volume de l'écouteur, le modèle de sonnerie distinctif choisi par l'utilisateur, etc. Spécifiquement pour les jeux avec programmables clés ou statiques, il y a la possibilité de récupérer leur contenu. D'un point de vue médico-légal, les numéros stockés dans uploads/Industriel/ chapitre-5-forensics-pbx-partie-5-v0.pdf