SMS forenzika

Ovaj seminar obrađuje područje SMS forenzike. U uvodnom dijelu definira se pojam SMS forenzike te se prikazuje njezin povijesni razvoj i značaj u kontekstu mobilnih komunikacija. Posebna pažnja posvećena je strukturi mobilne mreže i načinu prijenosa SMS poruka, kao i strukturi same SMS poruke s pripadajućim metapodacima koji su od ključne važnosti u forenzičkoj analizi.

U nastavku se razmatraju načini pohrane SMS poruka te se opisuju različite vrste SMS poruka, bitne za forenzičke istrage. Nadalje se razmatraju metode prikupljanja SMS dokaza, a potom se razmatra proces analize poruka koji uključuje analizu sadržaja, metapodataka i tijeka komunikacije. Posebna pažnja posvećena je postupcima oporavka izbrisanih SMS poruka, pri čemu se objašnjavaju metode kojima je moguće obnoviti obrisane podatke

Završni dio seminara donosi konkretne primjere primjene SMS forenzike u praksi, čime se naglašava njezina uloga u kriminalističkim istragama i sudskim postupcima te potvrđuje važnost pravilne i stručne analize mobilnih komunikacija.

Keywords: SMS; forenzika; podatci; analiza; istraga

U današnjem modernom društvu kratke tekstualne poruke (SMS) predstavljaju jedan od najčešćih oblika komunikacije. Iako su naizgled jednostavne i prolazne, SMS poruke često sadrže vrijedne informacije koje mogu imati presudnu ulogu u kriminalističkim istragama, sudskim postupcima i sigurnosnim analizama. Upravo iz tog razloga razvila se SMS forenzika.

SMS forenzika bavi se prikupljanjem, analizom i interpretacijom SMS poruka s mobilnih uređaja na forenzički ispravan način, uz očuvanje integriteta podataka. Ona omogućava rekonstrukciju komunikacije, identifikaciju sudionika te utvrđivanje vremena i konteksta razmjene poruka, čak i u slučajevima kada su poruke obrisane ili skrivene.

Cilj ovog seminara je upoznati osnovne pojmove i metode SMS forenzike te prikazati njezinu primjenu u praksi.

SMS forenzika je poddisciplina digitalne i mobilne forenzike koja se bavi identifikacijom, prikupljanjem, analizom i prezentacijom SMS (Short Message Service) poruka kao digitalnih dokaza. Elementi koji se analiziraju kod SMS forenzike su: sadržaji poruka, metapodatci, načini pohrane te mogućnosti obnove izbrisanih poruka.

Cilj SMS forenzike je osigurati dokaze koji se mogu koristiti kod sudskih, administrativnih i građanskih postupaka u slučajevima kršenja zakona ili povrede nekih od temeljnih ljudskih prava.

Prve ideje i prva razmatranja o komunikaciji dvaju GSM uređaja su nastale već 1980-ih godina, ali zbog manjka interesa ideje nisu proučene i ostvarene do 1990-ih. Osnovni problem je bio u tome što je GSM bio predviđen za prijenos govora, dok su poruke zamišljene kao binarni podatci, odnosno drugačijeg formata od govornog prometa. [1]

Prvotna svrha SMS poruke - obavijest o primljenoj glasovnoj poruci

Nakon povećanja interesa prva SMS poruka poslana je 1992. godine, čime je potvrđena tehnička izvedivost usluge. U početnim fazama SMS je bio ograničen na kratke poruke do 160 znakova, što je posljedica tehničkih ograničenja signalnog sustava i kapaciteta mreže.

Time je postignut veliki uspjeh SMS-a zahvaljujući: – jednostavnom i intuitivnom korištenju – nenametljivoj person-to-person komunikaciji – interoperabilnosti između mobilnih uređaja – interoperabilnosti između operatora

U ranim fazama pohrana poruka događala se na SIM karticama, a napretkom mobilnih uređaja omogućena je pohrana u internoj memoriji uređaja.

Forenzička analiza SMS-a postaje značajna:

1. Porastom mobilne komunikacije
2. Porastom cyber kriminala
3. Porastom digitalnih dokaza u sudskim postupcima

Struktura mreže osnovana je na klasičnoj arhitekturi mobilnih mreža prema GSM standardu (kasnije je prilagođena za UMTS, LTE i 5G sustave).

Mreža se sastoji od dva dijela: pristupnog i jezgrenog (core)

Pristupni dio se sastoji od: mobilnog uređaja i radio-mrežne infrastrukture

Mobilni uređaj, krajnja točka sustava koja predstavlja korisnika, sadrži mobilni terminal i SIM karticu (u novije doba postoji i mogućnost e-SIM, virtualne SIM kartice). Na SIM kartici zapisani su podatci o identitetu korisnika (IMSI), kriptografski ključevi i potrebni parametri za korisnikovu autorizaciju u mreži. Prilikom slanja poruke mobilni terminal kodira poruku parametrima koji su zapisani na SIM kartici i šalje poruku do najbliže bazne stanice koja ja dio radio-mrežne infrastrukture.

Radio-mrežna infrastruktura sastoji se od Baznih stanica i kontrolera baznih stanica i oblikovane su u mrežu. Mreža se sastoji od ćelija šesterokutnog oblika i u centru svake ćelije se nalazi bazna stanica te mreža oblikom podsjeća na pčelinji sač. Svaka od baznih stanica prilikom primitka poruke od mobilnog uređaja poruku šalje jezgrenom dijelu mobilne mreže. [2]

Jezgreni dio mobilne mreže sastoji se od MSC (Mobile Switching Center) i SMSC (Short Message Service Center). MSC upravlja signalizacijom, preusmjeravanjem i međusobnim povezivanjem korisnika, dok SMSC služi za obradu i prosljeđivanje SMS poruka. Dakle u principu bazna stanica šalje poruku MSC koji poruku prosljeđuje do SMSC, SMSC vrši potrebnu obradu poruke i pomoću baza podataka, od kojih je najpoznatija HLR (Home location registry, u novijim mrežama HSS/UDM), saznaje u kojem MSC području se nalazi primatelj, zatim prosljeđuje navedenu poruku do MSC koji će primatelju proslijediti poruku. SMSC implementira “Store and forward”, dakle u slučaju da korisnik nije dostupan u trenutku slanja poruke, SMSC će u određenim vremenskim intervalima provjeravati korisnikovu dostupnost i čim bude dostupan poslati mu navedenu poruku.[3][4]

Ako je korisnik u roamingu mreža koristi i VLR (Visitor Location Registry).

Iako se SMS poruke krajnjim korisnicima prikazuju kao vrlo jednostavne strukture, u stvarnosti to nije tako i struktura SMS poruka je složenija i sadrži puno dodatnih informacija koje korisnik ne vidi. Struktura poruke se sastoji od više logičkih slojeva, a slojevi se razlikuju po tome što je su na nekima zapisane informacije koje su na prvu dostupne korisniku i koje korisnik zapravo vidi, na nekima su međutim upisani bitni podatci za prijenos i obradu poruke unutar mreže, dok se na nekima nalaze dodatni metapodatci. Bitno je razlikovati pojedine slojeve jer je to ključno za razumijevanje načina na koji SMS funkcionira unutar mreže.

Dijelovi SMS poruke koje korisnik vidi, predstavljaju informacije koje mobilni uređaj prikazuje korisniku.

Te informacije su:

1. Tekst poruke
2. Broj pošiljatelja
3. Broj primatelja (korisnika)
4. Vremenska oznaka prijema poruke

Unatoč tome što korisnici vide samo krajnje rezultate tekstovi poruka kodirani su u pozadini (najčešće GSM 7 ili UCS-2), a datum i vrijeme se ne odnose na vremenske oznake koje je dodao uređaj pošiljatelja već datum i vrijeme koje je upisao ranije navedeni SMSC.

Tehnički dijelovi SMS poruke, koje korisnik ne vidi, sadrže informacije služe za prijenos i obradu poruka. Ti podatci omogućavaju mreži da prepozna vrstu poruke, način prikaza i uvjete prema kojima se poruka smatra važećom.

Ti podatci su:

1. Adresa SMSC
2. Tip poruke (PDU format)
3. PID
4. Shemu kodiranja (DSC)
5. parametri validacije poruke

U slučajevima višedijelnih SMS poruka, dodaje se i User Data Header (UDH), koji omogućava pravilno povezivanje fragmenata poruke u cijelinu.

Mrežni metapodatci su dodatni podatci, koji nisu dio same SMS poruke ali su nužni za njezinu isporuku, a spremaju se unutar signalizacijskih sustava mobilne mreže. Razmjena navedenih podataka vrši se signalizacijskim protokolima (SS7/MAP)[5] i te informacije koristi SSMC kako bi utvrdio lokaciju korisnika i informaciju kojem MSC je potrebno poslati poruku.[6]

Ti podatci su:

1. Identitet korisnika (IMSI)
2. Lokacija u mreži (MSC/VLR područje)
3. Status dostupnosti
4. Podatci o roamingu

SMS poruka može biti privremeno ili trajno pohranjena u mobilnom uređaju, u mrežnoj infrastrukturi operatera ili u servisnim sustavima poput SMS centra. Ovakav višerazinski model pohrane omogućava pouzdanu isporuku poruka i njihovu dostupnost korisnicima čak i u slučaju privremene nedostupnosti mreže ili uređaja.

Pohrana na mobilnom uređaju - u ranim fazama poruke su se spremale na SIM kartice, što je dovodilo do ograničenja zbog kapaciteta (nije se moglo pohraniti puno poruka), ali napretkom mobilnih uređaja SMS poruke su se počele pohranjivati u internu memoriju i to najčešće u lokalne baze podataka operacijskih sustava mobilnih uređaja (korisnici mogu brisati, arhivirati poruke…).

Baza podataka Android - /data/data/com.android.providers.telephony/databases/mmssms.db

Baza podataka IOS - /private/var/mobile/Library/SMS/sms.db

Pohrana na SMSC - privremena pohrana poruke do primitka potvrde o dostupnosti primatelja, to trajanje pohrane definirano je varijablom validity period, a na SMSC se osim samog sadržaja poruke, pohranjuju i prateći tehnički podatci, kao što su identifikator poruke, vrijeme primitka, status isporuke i adresa odredišnog korisnika.

Na razini operatera postoje i dodatni sustavi za evidentiranje komunikacije, koji nisu dio SMS centra, ali su povezani s njegovim radom. Ti sustavi pohranjuju metapodatke o SMS prometu, poput vremena slanja, brojeva pošiljatelja i primatelja te statusa poruke, uglavnom u svrhu obračuna usluga, optimizacije mreže i ispunjavanja zakonskih obveza. Sadržaj poruke se u pravilu ne pohranjuje dugoročno, osim u posebnim slučajevima propisanim zakonom ili internim pravilima operatera.

Ovisno o stanju u kojem se poruka nalazi i načinu na koji je pohranjena ili uklonjena, forenzički istražitelji razlikuju više vrsta SMS poruka, od kojih svaka ima različitu dokaznu vrijednost i zahtjeva drugačiji pristup analizi njezinog sadržaja.

Vrste SMS poruka bitne za forenzičku analizu su sljedeće:

1. Aktivne SMS poruke
2. Izbrisane SMS poruke
3. Fragmentirane SMS poruke

Aktivne SMS poruke - predstavljaju poruke koje su trenutno vidljive korisniku, nad njima u toj fazi nisu izvršene još nikakve promjene i relativno su jednostavne za forenzičku analizu

Izbrisane SMS poruke - predstavljaju poruke koje su logički izbrisane (nisu vidljive na korisničkom sučelju), ali su još uvijek prisutne u memoriji ili u bazama podataka mobilnih operatera te za njih postoje metode oporavka (u slučaju da nisu spremljene u memoriji ili u bazama podataka mobilnih operatera oporavak nije moguć)

Fragmentirane SMS poruke - predstavljaju ostatke ili dijelove SMS poruka nastale kao posljedica načina pohrane podataka, brisanja ili tehničkih procesa sustava

Razumijevanje razlika između aktivnih, izbrisanih i fragmentiranih SMS poruka ključno je za pravilnu interpretaciju digitalnih dokaza. Svaka od ovih kategorija pruža različitu razinu pouzdanosti i konteksta te zahtijeva pažljivu analizu i usporedbu s drugim forenzičkim artefaktima.[7]

Kod prikupljanja SMS dokaza izuzetno je bitno očuvati trenutno stanje razgovora i ukupne komunikacije kako bismo izbjegli gubitak informacija i primitak novih informacija.[7]

Metode očuvanja stanja:

1. Isključuju se mrežne veze na uređaju
2. Sprječava se daljnja izmjena podataka
3. Dokumentira se stanje uređaja

Nakon što forenzičari očuvaju izvorno stanje komunikacije, primjenjuju se odgovarajuće metode ekstrakcije kojima se nastoji prikupiti i analizirati sve relevantne informacije o razgovorima.

Metode ekstrakcije:

1. Logička ekstrakcija – dohvaća vidljive poruke
2. Fizička ekstrakcija – pristup cijeloj memoriji uređaja
3. File system ekstrakcija – analiza baze podataka poruka

Uz navedene metode forenzičari trebaju prikupiti i važne podatke sa SIM kartice uređaja:

1. SMS zapisani na SIM
2. ICCID
3. IMSI
4. Mrežni podatci

Analiza SMS poruka ključni je dio SMS forenzike jer omogućuje tumačenje prikupljenih podataka i njihovo povezivanje s konkretnim događajima i osobama.

Nakon uspješne ekstrakcije potrebnih podataka forenzičari se fokusiraju na:

1. Sadržaj poruka
2. Metapodatke
3. Tijek komunikacije

Cilj analize nije samo proučiti što je u poruci napisano već je izuzetno važan kontekst (kada, između koga, s kojih lokacija i s kojom namjerom su poruke pisane), a razlog tome je što poruke mogu biti kriptirane i u tom slučaju iz sadržaja ne možemo saznati puno informacija.[8]

Analiza sadržaja SMS poruka (ukoliko sadržaj poruka nije kriptiran) - iako je sadržaj poruke često najvidljiviji i intuitivno najvažniji dio dokaza, njegova interpretacija zahtijeva oprez i kontekstualno razumijevanje. Provode se razne metode a neke od njih su: jezična analiza, analiza konteksta i namjene te povezivanje sadržaja s drugim dokazima.

Jezična analiza - obuhvaća proučavanje načina izražavanja u SMS porukama, uključujući:

1. Izbor riječi i izraza
2. Stil pisanja (formalni, neformalni, žargon)
3. Učestalost skraćenica, emotikona ili simbola
4. Gramatičke i pravopisne obrasce.

Ovakva analiza može pomoći u:

1. Identifikaciji ili potvrđivanju autorstva poruke
2. Prepoznavanju emocionalnog stanja pošiljatelja
3. Utvrđivanju dosljednosti komunikacijskog stila kroz dulje razdoblje.

Jezični obrasci ponekad se uspoređuju s drugim porukama ili komunikacijskim zapisima kako bi se utvrdilo je li poruku doista napisala određena osoba.

Kontekst i namjena - izolirani sadržaj SMS poruke često nije dovoljan za pouzdanu interpretaciju. Stoga se poruke analiziraju unutar:

1. Šireg razgovora
2. Vremenskog okvira u kojem su poslane
3. Odnosa sudionika

Analiza konteksta omogućuje procjenu namjere poruka:

1. Informativna, prijeteća, dogovorna ili manipulativna poruka
2. Reakcija na događaj
3. Skriveno značenje

Bez konteksta, kratke SMS poruke mogu biti pogrešno protumačene, što može dovesti do netočnih zaključaka u istrazi.

Povezivanje sadržaja s drugim događajima - sadržaj SMS poruka često se uspoređuje i povezuje s:

1. Zapisima poziva
2. Lokacijom
3. Fotografijama i drugim digitalnim podatcima
4. Iskazima

Te se na taj način provjerava dosljednost sadržaja poruka s ostalim dokazima.

Analiza metapodataka SMS poruka - analiza tehničkih, objektivnih podataka koji su teže podložni manipulaciji. Opisuju poruku ali ne uključuju njezin sadržaj (vremenske oznake, identiteti korisnika, lokacije u mreži, statusi isporuke)

Vremenske oznake

Analiza vremenskih oznaka omogućuje utvrđivanje:

1. Vremena slanja i primitka poruke
2. Redoslijeda poruka unutar razgovora
3. Vremenskog odnosa između poruke i drugih događaja

Forenzičari pritom moraju uzeti u obzir:

1. Vremenske zone
2. Moguće ručne promjene sata na uređaju,
3. Razlike između vremena zabilježenog na uređaju i vremena zabilježenog u mreži

Identiteti korisnika

Analiza brojeva pošiljatelja i primatelja omogućuje:

1. Identifikaciju sudionika komunikacije
2. Povezivanje poruka s kontaktima na uređaju
3. Uočavanje komunikacijskih obrazaca (učestalost, trajanje, ponavljanje)

Statusi isporuke

Statusi poruke pružaju informacije o:

1. Uspješnom slanju
2. Isporučenosti primatelju
3. Pogreškama prilikom slanja

Lokacije u mreži - forenzičari ne mogu znati točnu lokaciju korisnika ali pomoću ID-ova ćelija mogu znati područje u kojem se korisnik nalazio prilikom slanja poruke

Tijek komunikacije - nakon prikupljanja svih informacija prethodno navedenim metodama forenzičari mogu rekonstruirati cijeli komunikacijski slijed i na temelju toga postaviti hipoteze o mogućem razvoju situacije

Rekonstrukcija uključuje:

1. Slaganje poruka prema točnom vremenu nastanka
2. Povezivanje pojedinačnih razgovora u logičnu cjelinu
3. Identifikaciju razdoblja intenzivne ili neuobičajene komunikacije

Tehnički najzahtjevniji, ali i najznačajniji aspekt forenzike SMS. U većini istraga izbrisane poruke su zapravo te koje sadrže informacije koje je korisnik pokušao sakriti, što im daje posebnu dokaznu vrijednost. Međutim brisanje poruke u korisničkom sučelju uređaja ne znači nužno i fizičko uklanjanje podataka iz memorije što forenzičarima ostavlja prostora za kasniji oporavak tih poruka.

Brisanje ne uklanja podatke odmah - kada korisnik preko sučelja aplikacije obriše poruku to brisanje u većini slučajeva predstavlja logičko brisanje, a ne fizičko uklanjanje podataka iz memorije mobilnog uređaja. To znači da se poruka uklanja iz vidljive strukture baze podataka, dok stvarni podatci (poruka i odgovarajući metapodatci) ostaju prisutni u memoriji uređaja.

Kod operacijskih sustava koji koriste baze podataka (najčešće SQLite), brisanje poruke rezultira:

1. Uklanjanjem zapisa iz tablice ili njegovim označavanjem kao neaktivnog
2. Zadržavanjem stvarnog sadržaja zapisa u memorijskim stranicama baze dok se ne prepišu novim podacima

Zbog toga je moguće pronaći dijelove ili čak cjelovite SMS poruke u slobodnom ili neiskorištenom dijelu memorije.

Memorijski prostor se označava kao slobodan - nakon brisanja poruke operacijski sustavi prostor koji je zauzimala poruka označavaju kao slobodan za buduću upotrebu, on može biti ponovno iskorišten za pohranu novih podataka, ali do tog trenutka podaci fizički ostaju prisutni

U forenzičkom kontekstu to znači da:

1. Podaci mogu biti dostupni u nealokiranim dijelovima baze podataka
2. Dijelovi zapisa mogu ostati u pomoćnim datotekama (journal, WAL),
3. Tragovi poruke mogu biti pronađeni u obliku fragmentiranih zapisa.

Vrijeme je jedan od najvažnijih čimbenika u oporavku izbrisanih SMS poruka. Što je kraće vrijeme proteklo od trenutka brisanja do forenzičke analize uređaja, veća je vjerojatnost da podaci još uvijek nisu izgubljeni odnosno da nove informacije nisu zauzele memoriju u kojoj su bile upisane bitne informacije.[9]

Murder of Danielle Jones (UK, 2001-2002) - nakon nestanka 15-godišnje djevojke Danielle Jones, sa njezinog mobilnog telefona poslane su poruke u kojima je govorila da je sve u redu s njom i da nema nikakvih problema. To je istražiteljima predstavljalo dozu određene sumnje i pokrenuti su forenzički postupci nad njezinim SMS-ovima. Forenzičari su utvrdili da stil pisanja i jezik koji je koristila Danielle, u tim porukama, ne odgovaraju formatu poruka kakve je ona slala prije nestanka već da su vjerojatno napisani od strane druge osobe što je u konačnici riješilo slučaj jer su te poruke izgubile vjerodostojnost i počinitelj je pronađen i optužen.

Više na: https://en.wikipedia.org/wiki/Murder_of_Danielle_Jones

Chris Watts (SAD, 2018) - nakon ubojstva žene i dvoje djece Chris Watts i njegova ljubavnica Nichol Kessinger pokušali su omesti istragu brisanjem poruka koje su razmjenjivali. Oporavak i rekonstrukcija poruka nisu bili jedini dokaz, ali su bili ključni u stvaranju cjelovite slike. Forenzikom se potvrdio tijek događaja i vremenski razmaci što je na kraju pomoglo istrazi u otkrivanju počinitelja.

Više na: https://www.scribd.com/document/393879949/Christopher-Watts-Redacted-Final

Elizabeth Shoaf (Lugoff, 2006) - 14-godišnjakinja koja je bila oteta uspjela je s otmičarevog mobitela poslati SMS poruku svojoj majci. Nakon primitka poruke majka se obratila policiji, koja je metodama SMS forenzike uspjela dobiti informacije o baznoj stanici s koje je poslan SMS i s tom informacijom su dobili područje u kojem se 14-godišnjakinja nalazi te su je nedugo nakon toga uspješno pronašli.

Više na: https://www.wired.com/2006/09/text-message-helps-locate-girl/

SMS forenzika ima izuzetno važnu ulogu u današnjem digitalnom okruženju, budući da su mobilni telefoni postali neizostavan dio svakodnevne komunikacije. Iako se SMS poruke često doživljavaju kao zastario oblik komunikacije u usporedbi s aplikacijama za razmjenu poruka, njihova forenzička vrijednost i dalje je velika jer su manje podložne enkripciji i češće ostavljaju jasne tragove u sustavima uređaja i mreže.

Analizom načina pohrane, prikupljanja i obrade SMS poruka može se zaključiti da pravilna i stručno provedena forenzička analiza može pružiti pouzdane i relevantne dokaze u istragama. Međutim, razvoj mobilnih tehnologija i sve veća zaštita privatnosti korisnika predstavljaju značajan izazov za forenzičke stručnjake, što zahtijeva kontinuirano usavršavanje znanja i metoda rada.

SMS forenzika će i dalje ostati važna, osobito u kombinaciji s drugim izvorima digitalnih dokaza, jer omogućuje jasniji uvid u komunikaciju i ponašanje korisnika u određenom vremenskom kontekstu.

[1] Wikipedia, SMS

[2] APWCroatia, Što su bazne stanice i kako funkcioniraju

[3] Mislav Grgić, Mobilni Internet 4 predavanje, Fakultet elektrotehnike i računarstva, 2025.

[4] Wikipedia, SMSC

[5] Wikipedia, MAP

[6] Developer's home, Short Message Service / SMS Tutorial

[7] Guidelines on mobile device forensics, National Institute of Standards and Technology [NIST], 2014.

[8] Barišić I., Forenzička analiza pametnog Android telefona, [Fakultet prometnih znanosti, Sveučilište u Zagrebu], 2023.

[9] SalvationData, How to Recover Deleted Messages for Legal Investigations