مقال : مقدمة عن التحقيق الجنائي الرقمي لبطاقات SIM
شريحة SIM إختصارا لـ (subscriber identity module) تعتبر مكون أساسي للأجهزة الخلوية. وتعرف أيضا بـ (integrated circuit card (ICC وهي مجرد microcontroller. بطاقة SIM يمكن إزالتها من الأجهزة الخلوية وإدخالها بجهاز أخر; تسمح للمستخدم بنقل الهوية والمعلومات الشخصية والخدمات بين الأجهزة. في الأساس تم انشائها من أجل شبكات 2G سميت SIM و UICC smart card مشغلة لتطبيق (universal subscriber identity module(USIM.
علما ان بطاقة UICC تقبل فقط أوامر خدمة الأتصالات لأجهزة الجوال العالمية التي تدعم 3G وتعرف بـ (3G universal mobile telecommunications service (UMTS. تعتبر USIM نسخ محسنة للـ SIMs الموجودة حاليا, تحمل معلومات backward-compatible. وتملك أيضا ميزة خاصة حيث تسمح للجوال بإمتلاك أكثر من رقم. إذا تم تشغيل تطبيقات SIM و USIM على نفس UICC فلن يعملان سويا أبدا.
كان حجم أول بطاقة SIM بحجم بطاقة إئتمان. ومع تطور التكنولوجيا وتقلص حجم أجهزة الجوال فهذا أدى أيضا الى تقلص حجم SIM. وحجم mini-SIM والذي هو ثلث حجم بطاقة الإئتمان. ولكن اليوم نحن نستخدم بطاقة micro-SIM والتي هي أصغر من mini-SIM. هذه البطاقات تختلف بالحجم ولكن لهم نفس الوظائف لتحديد الهوية والمصادقة لجوال المشترك لشبكته وكلهم يملكون مساحة تخزين لأرقام الجوال والرسائل والمعلومات الأخرى وتسمح بإنشاء التطبيقات على البطاقة نفسها.
بنية SIM وأنظمة الملفات
تحتوي بطاقة SIM على معالج ونظام تشغيل وروم من نوع EEPROM بحجم يتراوح بين 16 و 256 kb. وتحتوي أيضا على RAM و ROM. تقوم RAM بالسيطرة على سير تنفيذ البرنامج وتقوم ROM بالسيطرة على عمل نظام التشغيل, مصادقة المستخدم, خوارزميات تشفير البيانات, وتطبيقات أخرى.
الترتيب الهرمي لنظام الملف لبطاقة SIM يكمن في ذاكرة مستمرة وتحفظ البيانات كأسماء وأرقام جوال ,ورسائل نصية وإعدادات خدمة الشبكة. إعتمادا على إستخدام الجوال فإن بعض المعلومات على بطاقة SIM يمكن أن تتواجد في ذاكرة الجوال. بدلا من ذلك, يمكن أن تتواجد المعلومات بشكل كامل في ذاكرة الجوال بدلا من الذاكرة المتاحة على بطاقة SIM.
الترتيب الهرمي لنظام الملف يتموضع في EEPROM. نظام الملف يتألف من 3 أنواع من الملفات: (master file(MF و dedicated files و elementary files.
- ملف master file يعتبر جذر نظام الملف.
- Dedicated files ملفات تابعة لـ MF.
- Elementary files تملك أنواع مختلفة من البيانات, منظمة إما data bytes بشكل متسلسل او fixed-size records متسلسلة او fixed set of fixed-size records مستخدمة دوريا.
كل المفات تملك رؤوس “headers” لكن فقط EFs تملك بيانات. أول بت من كل رأس يحدد نوع الملف ويملك headers المعلومات المتعلقة ببنية الملفات. جسم EF يحتوي معلومات تتعلق بالتطبيق . الملفات يمكن أن تكون إما administrative او application والوصول الى البيانات المخزنة متحكم به من قبل نظام التشغيل.
الأمن في SIM
تمتلك بطاقات SIM ميزات أمنية مبنية فيها. حيث أن أنواع الملفات الثلاثة EF, DF, MF يمتلكوا صفات أمنية.هذه الميزات الأمنية تعمل على فلترة كل تنفيذ وتقوم بالسماح فقط للتصاريح المناسبة للوصول الى الوظيفة المطلوبة. يوجد العديد من المستويات للوصول الى البطاقة في ملفات DF,EF :
- Always – هذا الوضع يسمح للوصول للملفات بدون أي قيد.
- (Card holder verification 1- (CHV1 – هذا الوضع يسمح بالوصول الى الملفات بعد التثبت الناجح لـ PIN التابع للمستخدم او اذا كان التحقق من PIN معطل “disabled”.
- (Card holder verification 2 (CHV2 – هذا الوضع يسمح بالوصول الى الملفات بعد التثبت الناجح لـ PIN2 التابع للمستخدم او اذا كان التحقق من PIN2 معطل “disabled”.
- (Administrative (ADM – الشركة المصدرة للبطاقة الذي يوفر SIM للمشترك يستطيع الوصول بعد تحقيق متطلبات محددة من أجل وصول إداري.
- (Never (NEV – الوصول للملف عبر منفذ SIM/ME ممنوع.
نظام تشغيل SIM يتحكم بالدخول الى عنصر من نظام الملف حسب شروطه للدخول وعلى نوع العمل المحاول القيام به. يسمح نظام التشغيل لعدد محدد من المحاولات فقط, عادة 3 محاولات فقط, لإدخال CHV الصحيح قبل حظر المحاولات اللاحقة. ولرفع الحظر, يتطلب كود PUK المسمى PIN unblocking key والذي يعمل على إعادة CHV وعداد المحاولات. اذا كان المشترك معروفا فسيكون الغاء حظر CHV1/CHV2 سهلا وسيقدم من قبل مزود الخدمة.
البيانات الحساسة في SIM
تحتوي SIM على معلومات حساسة عن المشترك. يمكن ان تكون بيانات مثل جهات الإتصال او الرسائل التي تخزن على SIM. وتحتوي SIM على مستودع من البيانات والمعلومات وبعضهم كالأتي:
- (Integrated circuit card identifier (ICCID
- (International mobile subscriber identity (IMSI
- (Service provider name (SPN
- (Mobile country code (MCC
- (Mobile network code (MNC
- (Mobile subscriber identification number (MSIN
- (Mobile station international subscriber directory number (MSISDN
- (Abbreviated dialing numbers (ADN
- (Last dialed numbers (LDN
- (Short message service (SMS
- (Language preference (LP
- (Card holder verification (CHV1 and CHV2
- (Ciphering key (Kc
- Ciphering key sequence number
- Emergency call code
- (Fixed dialing numbers (FDN
- (Local area identity (LAI
- Own dialing number
- (Temporary mobile subscriber identity (TMSI
- Routing area identifier (RIA) network code
- (Service dialing numbers (SDNs
هذه البينات مهمة من الناحية جنائية ويمكن أن استخراجها من ملفات EF.
والأن سوف نناقش بعض هذه البيانات.
المعلومات التي تتعلق بالخدمة
ICCID : معرف رقمي خاص للـ SIM والتي يمكن أن تكون بطول 20 رقم. تتكون بادئة معرف مصنعي ( 89 للإتصالات), تتبع بكود البلد, issuer identifier number, رقم هوية الحساب الفردي. رقم ICCIDs المكون من 20 رقم يمتلك رقم checksum إضافي. مثال : (ICCID (89 310 410 10 654378930 1 كما مبين تحت.
- رقم التعريف المصدر “(Issuer identification number (IIN” متغير بطول 7 ارقام كحد أقصى:
– أول رقمين ثابتين ويشكلون المعرف المصنعي. 89 تشير الى صناعة الإتصالات.
– الرقمين الأثنين او الثلاثة التالية تشير الى الى كود البلد (mobile country code (MCC. رقم 310 يشير للولايات المتحدة.
– الرقم التالي الى اربعة أرقام تشير الى كود الشبكة (mobile network code (MNC. هذا رقم ثابت لمنطقة عالمية او بلد. 410 يشير الى المشغل AT&T Mobility.
– الرقمين التاليين, 10 يخص سجل موقع المنزل (ملاحظه : قد تختلف هذه المعلومات من دولة الى اخرى) .
- معلومات الحساب الفردية تختلف في الطول:
– الارقام 9 التالية وهي 654378930 تمثل رقم رقم هوية الحساب الفردي. كل رقم لنفس جهة اصدار البطاقة INN يتكون من نفس الأرقام.
- رقم الفحص “Check digit” – الرقم الأخير, “1” تحسب من 18 رقم الأخرى بإستخدام خوارزمية luhn.
IMSI : هوية مشترك الموبايل العالمية “international mobile subscriber identity” عبارة عن15 رقم مميز مزود للمشترك. تملك بنية شبيهة لـ ICCID وتتألف من MSIN ,MNC ,MCC. مثال توضيحي عن 15 رقم (IMSI (302 720 123456789 الإفتراضي موضح كما يلي:
- MCC – أول ثلاثة أرقام تحدد الدولة. 302 تشير الى كندا.
- MNC – الرقمين التاليين (المعيار الأوربي) أو الثلاث أرقام التالية ( معيار امريكا الشمالية) تميز المشغل. 720 تشير الى Rogers Communications.
- MSIN – التسع أرقام التالية 123456789 تحدد وحدة الموبايل ضمن carrier’s GSM network.
MSISDN : إختصارا لـ The Mobile Station International Subscriber Directory Number تهدف لنقل رقم الهاتف الذي تم تعيينه للمشترك من اجل إستلام المكالمات على الهاتف. مثال على صيغة MSISDN :
- CC يمكن أن تصل لثلاث أرقام.
- NDC بين 2 -3 أرقام.
- SN يمكن أن تصل لعشرة أرقام.
معلومات سجل الهاتف والمكالمات
1. أرقام الإتصال المختصرة (Abbreviated dialing numbers (ADN – أي رقم وأسم يتصل به من قبل المشترك يحفظ بواسطة ADN EF. نوع الرقم وهوية خطة الترقيم “numbering plan identification” موجودة هنا. هذه الوظيفة تعمل على الأرقام المتصل بها بشكل مستمر من قبل المشترك. ADN لايمكن أن يتغير من قبل مزود الخدمة ويمكن اني نسب لمستخدم الهاتف. أغلب SIM تزود 100 مدخل لسجلات ADN.
2. أرقام الإتصال الثابتة (Fixed dialing numbers (FDN – تعمل FDN EF بشكل مشابه لـ ADN لأنها تشمل أرقام وأسماء جهات الإتصال. مع هذه الوظيفة فلا يجب للمستخدم أن يقوم بالضغط على الأرقام بل بالضغط على أي رقم على الهاتف فيمكنه الوصول الى رقم جهة الإتصال.
3. أخر رقم أتصل به (Last number dialed (LND – تحتوي LND EF على أخر رقم أتصل به المشترك. رقم وأمس الرقم يحفظ في هذا السجل. وإعتمادا على الهاتف فيمكن تصور بأن المعلومات يمكن ان تخزن الهاتف بدلا من SIM. الأرقام يمكن ان تقوم بتزويد معلومات قيمة للمحقق.
-
معلومات المراسلة
الرسائل تعتبر وسيلة إتصال بحيث ان النص يدخل في جهاز هاتف ويرسل الى جهاز ثاني بواسطة شبكة الهاتف الخلوي. خدمة الرسائل القصيرة تحتوي نصوص وباراميترات مترابطة للرسالة. سجلات SMS تحتوي معلومات اخرى بالإضافة الى النص, مثل وقت إرسال الرسالة المستلمة المسجلة بواسطة شبكة الهاتف الخلوي, ورقم الشخص المرسل, و عنوان مركز SMS, وحالة السجل. رسائل SMS محدودة لـ 160 حرف للحروف اللاتينية او 70 للحروف الأخرى. الرسائل الطويلة تقسم بوساطة الهاتف المرسل وتجمع بوساطة الهاتف المستلم.
الأدوات المستخدمة للتحقيق الجنائي لكروت SIM
للقيام بالتحقيق الجنائي على كروت SIM, يجب أزالتها من الهاتف وإيصالها بقارءة كروت SIM. البيانات المحفوظة لكروت SIM تكون محفوظة عن طريق إزالة write requests لكروت SIM ضمن فترة تحليلها. ثم نقوم بحساب قيمة الهاش للبيانات, (الهاش يستخدم للتحقق من سلامة البيانات). يوجد العديد من من أدوات التحقيق الجنائي ولكن كل الأدوات ليست قادرة على إستخراج البيانات من كل نوع من الهواتف وكروت SIM. سوف نناقش بعض الأدوات المعروفة:
Encase Smartphone Examiner : صممت هذه الأداة خصيصيا لجمع البيانات من الهواتف الذكية و الأجهزة اللوحية مثل iPhone, iPad. يمكنها التقاط الأدلة من الأجهزة التي تستخدم Apple iOS, HP Palm OS, Windows Mobile OS, Google Android OS, او RIM Blackberry OS. يمكن تحصيل البيانات من ملفات نسخ الإحتياطي لـ Blackberry و iTunes وتحصيلها من عدد كبير من كروت SD. يمكن ان يكون الدليل مدمج بسلاسة في التحقيق الجنائي لـ EnCase.
MOBILedit! Forensic : هذه الأداة تسمح بتحليل الهواتف بواسطة البلوتوث او IrDA او إتصال بالكيبل; تحلل كروت SIMs عبر قارئات SIM ويمكنها قراءة الرسائل المحذوفة من كروت SIM.
pySIM : أداة إدارة كروت SIM قادرة على إنشاء وتحرير وحذف وإنشاء نسخ إحتياطية وعمليات الإسترجاع على سجلات الرسائل وسجل الهاتف لكروت SIM.
AccessData Mobile Phone Examiner (MPE) Plus : هذه الأداة تدعم أكثر من 7000 الهواتف تشمل هواتف iOS , Android , Blackberry, Windows والأجهزة الصينية ويمكن أن تشترى قارءة كروت SIM و كيبلات البيانات. نظم الملفات تعرض مباشرة وتحلل في +MPE لتحديد مكان كود القفل , EXIF , واي ملعومات موجودة في نظم ملفات الهواتف النقالة.
SIMpull : أداة قوية, تطبيق إستحواذ لكروت SIM, وتسمح لك بإكتساب محتويات السجلات من كروت SIM. هذه الميزات تشمل القدرة على إسترجاع الرسائل المحذوفة وهي ميزة غير متوفرة في البرامج الأخرى. هذه الأداة تقوم أولا بتحديد اذا كانت SIM اما GSM SIM او 3G USIM, بعد القيام بالإكتساب المنطقي لكل الملفات المعرفة بمعايير اما (ETSI TS 151.011 (GSM او (ETSI TS 131.102 (USIM.
وكما يظهر بالصورة أعلاه, بإستخدام هذا التطبيق يمكننا رؤية معلومات SIM مثل نص الرسالة وطولها, معلومات رقم المرسل و معلومات مركز الخدمة, الخ.
ترجمة مقال : SIM Card Forensics: An Introduction لصاحبها Rohit Shaw.
موضوع رائع واصلوا على هدا النحو وشكرا
موضوع ممتاز و شامل يعطيك صحة ^-^ ارجو مقال تفصيلي حول ثغرة SS7 المشهورة وبرنامج BSC ان امكن 🙂
موضوع رائع و مميز