Criminalitatea informatic poate cauza multe probleme n societatea modern.

Prin urmare, Romnia a adoptat legislaia privind criminalitatea informatic care corespunde pe deplin conveniilor i standardelor internaionale. Totui, aceast legislaie poate fi complex din punctul de vedere al aplicrii sale pentru autoritile care o implementeaz, n special pentru aceia care sunt mai puin familiarizai cu computerele i serviciile electronice ca parte a vieii de fiecare zi. Portalul eFrauda a fost realizat de ctre Ministerul Comunicaiilor i Tehnologiei Informaiei i este gestionat mpreun cu Serviciul de Combatere a Criminalitii Informatice din cadrul Ministerului Administraiei i Internelor i secia specializat din Parchetul de pe lnga nalta Curte de Casaie i Justiie. Portalul d oricui posibilitatea de a sesiza autoritile cu privire la o posibil fraud sau alte activiti ilegale pe Internet. www.efrauda.ro Acest Ghid introductiv pentru aplicarea dispoziiilor legale referitoare la criminalitatea informatic a fost elaborat de ctre proiectul RITI dot-Gov, n cooperare cu Ministerul Comunicaiilor i Tehnologiei Informaiei. Ghidul asigur asisten pentru autoritile care aplic legea i pentru toi cei care sunt implicai n prevenirea criminalitii informatice. Proiectul RITI dot-Gov face parte din Iniiativa pentru Tehnologia Informaiei n Romnia, RITI, a crei implementare a fost nceput n 2002 de ctre Misiunea din Romnia a Ageniei Statelor Unite pentru Dezvoltare Internaional (USAID), n cooperare cu Ministerul Comunicaiilor i Tehnologiei Informaiei. Proiectul RITI dot-Gov este implementat n Romnia de Internews Network Inc, o organizaie non-profit cu sediul n Statele Unite. Pentru informaii suplimentare: www.usaid.gov/info_technology/dotcom www.riti-internews.ro www.internews.org www.mcti.ro

GHID
INTRODUCTIV PENTRU APLICAREA DISPOZIIILOR LEGALE REFERITOARE LA CRIMINALITATEA INFORMATIC

INTERNEWS
RITI dot-Gov

MCTI

Bucureti, Mai 2004

Elaborarea acestui ghid a fost posibil prin asistena asigurat de ctre Centrul de Servicii Regional Budapesta al Ageniei Statelor Unite pentru Dezvoltare Internaional, USAID, n cadrul Acordului nr. CA # 186-A-00-02-00101-00; LA#GDG-A-00-01-00009-00; Internews Network/RITI dot-Gov Project. Opiniile exprimate n cadrul acestui document aparin autorilor i nu reprezint n mod necesar vederile Ageniei Statelor Unite pentru Dezvoltare Internaional. Internews Network, Inc., 2004. Acest ghid poate fi utilizat i copiat n scop ne-comercial atta vreme ct Internews Network, RITI dot-GOV" este creditat ca surs i USAID menionat ca finanator.

Capitolul I - Sisteme informatice i medii de stocare Dispozitive de calcul

Calculatorul electronic propriu-zis este principala surs de informaii pentru investigator. Pe calculator, informaiile sunt stocate pe unitile de hard-disc. O unitate de hard-disc este un dispozitiv ce permite nregistrarea magnetic a datelor, alctuit din unul sau mai multe discuri rigide, capete de citire/scriere i mecanisme mecanice protejate de o carcas metalic, nchis etan. Capacitatea de stocare a unui hard-disc normal este n zilele noastre de cteva zeci sau sute de gigabytes. Un calculator poate avea unul sau mai multe hard-discuri, de tipuri i capaciti diferite. Calculatoarele portabile sunt calculatoare concepute pentru a putea fi mutate cu uurin. Datorit performanelor la care au ajuns, unele dintre acestea pot fi folosite de utilizatori ca staie de lucru permanent. Tipurile de calculatoare portabile sunt: transportabile laptop ultra-uoare de mn (se mai numesc Poket PC-uri, Palm-uri sau PDA-uri - personal digital assistant) Chiar i n cazul n care nu sunt folosite n mod permanent, calculatoarele portabile sunt o surs important de informaii, deoarece pot fi folosite pentru stocarea unor date, posibil confideniale, ce trebuie transportate n afara locaiilor unde securitatea este asigurat. n ultima vreme, datorit posibilitilor tehnice de a miniaturiza dispozitivele de calcul, acestea au fost integrate n echipamente portabile de mici dimensiuni. Cel mai bun exemplu n acest sens este telefonul mobil, care a cptat caracteristici de mini-calculator. Pe lng jurnalele ultimelor
Laptop

Calculator Personal PC

Smartphone

Capitolul 1 Sisteme informatice

convorbiri, un telefon modern poate conine liste de adrese, calendarele ntlnirilor, documente i notie etc. avnd capaciti superioare chiar PC-urilor de acum civa ani. Echipamentele periferice: tastatura nu are funcia de stocare de informaii, fiind doar un dispozitiv de Dischete - Floppy Disks introducere a datelor. Totui exist anumite dispozitive care se pot ataa tastaturilor i care pot s nregistreze secvenele de taste apsate de utilizatori. Dei sunt rspndite foarte puin, aceste dispozitive sunt foarte uor de procurat. monitoarele nu sunt capabile s stocheze informaii. n trecut, datorit limitrilor tehnice se puteau determina imagini sau text ce au rmas un timp mai ndelungat pe ecran, prin impresiunile produse pe fosforul tubului catodic. Monitoarele moderne nu mai prezint acest efect. imprimantele pot constitui surse de informaii importante. De exemplu: imprimantele de tip laser permit relevarea imaginii ultimelor pagini imprimate. Aceast tehnic trebuie utilizat nainte de decuplarea imprimantei de la reeaua de alimentare cu energie electric, fapt ce necesit prezena unui expert la locul percheziiei. Unele imprimante laser dispun de un hard-disc de buffer pe care sunt stocate informaiile ce urmeaz a fi imprimate. Capacitatea unui astfel de disc este ntre 2 i 10 Mb. Datele stocate pe aceste discuri pot fi obiectivate potrivit unor proceduri relativ simple. Pentru modelele mai vechi de imprimante, ce utilizeaz cartue cu band (ribbon), se poate reconstitui textul imprimat Imprimant prin examinarea panglicii. Metoda este similar analizei panglicii de la maina de scris.

Mediile externe de stocare a informaiilor sunt:

unitile de CD-ROM (acronim de la Compact Disc-Read Only Memory memorie numai pentru citire de pe compact-disc) sunt dispozitive de stocare a datelor pe discuri optice, folosind tehnologia compact-discului. Datele sunt citite cu un sistem bazat pe raze laser, iar nu pe mijloacele magnetice folosite n cazul celorlalte metode de stocare a datelor informatice. Unele uniti de tip CD-ROM (CD-recorder) pot fi folosite i pentru nregistrarea datelor pe suport optic.

Capitolul 1 Sisteme informatice

dischetele. Cel mai comun tip de dischete folosite astzi sunt dischetele de 3,5 oli. n trecut au fost utilizate i dischetele de 5,25 oli. Dischetele constituie un mediu de stocare selectiv a datelor de ctre utilizatori. Salvarea datelor pe dischet este realizat de utilizatori din diferite motive, cum ar fi: crearea de copii de siguran a unor fiiere importante, nregistrarea de date pe care utilizatorul nu dorete s le stocheze pe calculatorul ntreprinderii, copierea unor fiiere n vederea transferrii lor pe alt calculator etc.

discurile de salvare de siguran. Informaiile din copiile de siguran create pentru evitarea pierderii informaiilor n cazul unei pene a sistemului sunt o surs important pentru investigatori. O dat cu ridicarea discurilor de salvare de siguran trebuie s fie consemnate ct mai multe informaii asupra modului de CD Disc Compact realizare a copiilor de siguran, n special tipurile de echipamente, programele i procedurile folosite. Informaia de siguran este salvat de obicei pe discuri optice de capacitate mare, cu aceast destinaie, cum ar fi discurile de tip Zip sau Jazz, produse de Iomega dar poate exista pe orice tip de mediu de stocare. n ultima perioad au devenit foarte populare memoriile flash, foarte mici ca dimensiuni, cu capaciti destul de mari (cuprinse ntre 32 de megabytes i civa gigabytes). discurile optice (cele mai populare fiind CD) sunt suporturi de stocare de mare capacitate a datelor digitale. Capacitatea unor astfel de discuri este de la 650 Mb (CD-urile) la 4 Gb (DVDUnitate de stocare USB (Flash)

urile). Discurile optice pot fi de tip normal (numai pentru citire, fr a exista posibilitatea nregistrrii de date), nregistrabile (este posibil citirea i scrierea de date pe disc, fr a fi posibil tergerea datelor), sau cu posibilitate de rescriere (este posibil citirea, scrierea i tergerea datelor pe disc).
Hard disc detaabil

hard-discurile detaabile sunt de asemenea un mediu de stocare a informaiei. Ele au capaciti similare cu cele fixe, si sunt folosite n general pentru transferul fiierelor de mari dimensiuni.

Capitolul 1 Sisteme informatice

Tipologia datelor aflate pe suporturile specifice

Sisteme de fiiere
Funcia primar a sistemelor informatice este s stocheze i s proceseze date. Datele procesate i stocate de sistemele informatice pot fi clasificate n patru mari categorii: date active, date arhivate, date salvate de siguran i date reziduale. Datele active informaii disponibile i accesibile utilizatorilor. Ele se prezint sub forme foarte variate, cum ar fi: documente realizate de procesoarele de text, calendare electronice, liste de adrese, fiiere grafice, fiiere audio, etc. O particularitate o reprezint faptul c n cazul datelor de natur informatic copia i originalul sunt absolut identice (prin copiere nu se schimb nimic). Evidena datelor active poate fi fcut cu ajutorul unor programe speciale denumite gestionare de fiiere, sau prin executarea unor comenzi specifice sistemelor de operare. Datele arhivate sunt informaii care nu mai sunt utilizate n mod curent, fiind stocate n mod separat, pentru a elibera spaiul de pe disc. Datele arhivate cuprind i fiierele duplicat. Fiierele duplicat sunt fiierele create automat de calculator n cazul apariiei unor probleme tehnice (cum ar fi blocarea sistemului, ntreruperea alimentrii cu energie electric etc.), avnd rol de recuperare a datelor. Ele au terminaii de fiier specifice, i sunt stocate de obicei n locaii diferite de fiierele originale. Importana lor const n crearea unor copii multiple ale documentelor, copii pe care utilizatorul nu le poate terge i de a cror existen, de cele mai multe ori, nici nu are cunotin. Prin compararea copiilor duplicate cu originalul pot fi fcute observaii asupra modificrilor intervenite ntre diferitele variante ale documentului. Datele salvate de siguran (sau datele de backup) sunt informaii copiate pe medii de stocare portabile, cu scopul punerii la dispoziia utilizatorilor a datelor lor n cazul interveniei unei pene a sistemului. Frecvena de realizare a copiilor de siguran depinde att de tipul sistemelor informatice (calculator neconectat n reea, sau reea de calculatoare) ct i de procedurile utilizatorilor. n cazul reelelor, o practic tipic este realizarea unei copii de siguran complete o dat pe sptmn, de obicei vinerea, i realizarea zilnic a unei copii suplimentare, viznd salvarea datelor modificate n ziua respectiv; n aceste cazuri, se copiaz de obicei numai informaia aflat pe serverul reelei, nu i cea aflat pe calculatoarele (terminalele) utilizatorilor individuali. La sfritul lunii este realizat copia de siguran lunar, care este stocat separat, i este pstrat o perioad de timp variind de la cteva sptmni la cteva luni. n practic mediile pe care se realizeaz copiile lunare se reutilizeaz dup o anumit perioad de timp. Pentru calculatoarele ce nu sunt conectate n reea, n lipsa unui sistem de copiere de siguran propriu, posesorii lor copiaz de regul fiierele crora le atribuie mai mare importan, fie pe dischete, fie pe alte medii de stocare, cum ar fi hard-discuri detaabile, CD-uri inscriptibile, discuri flash, etc. Folosirea informaiilor de pe mediile de stocare pentru copiile de siguran este util datorit pstrrii informaiei un timp mai ndelungat. Cu toate acestea, lipsa unei

Capitolul 1 Sisteme informatice

organizri a datelor aflate pe aceste medii, precum i faptul c de obicei fiierele salvate de siguran sunt compresate din economie de spaiu, fac mai dificil investigaia. Datele reziduale sunt informaii ce aparent au fost eliminate din sistem dar care mai persist n forme specifice, putnd fi recuperate. Astfel de date reziduale sunt: fiierele terse care se mai afl pe disc, fiierele temporare, fiierele de schimb, datele aflate n spaiul inactiv, datele din buffer i clipboard. n cazul tergerii normale a unui fiier, datele nu sunt eliminate de pe disc, ci calculatorul marcheaz poriunile pe care s-a aflat fiierul respectiv ca libere, putnd fi deci rescrise. n cazul n care suprascrierea nu are loc (n cazurile n care tergerea a fost recent, sau dac exist suficient spaiu liber pe disc, i nu au avut loc operaiuni de rutin privind ntreinerea sistemului, cum ar fi defragmentri sau optimizri), fiierul, sau poriuni ale acestuia se afl nc pe disc, putnd fi recuperate. Pentru recuperare se utilizeaz programe speciale. De fapt, datele devin nerecuperabile abia dup ce spaiul de pe disc pe care se aflau au fost suprascrise de 7 ori. Exist programe speciale care pot face aceast operaiune (suprascrierea de 7 ori), pentru a terge definitiv anumite date. Fiierele temporare sunt fiierele create de sistemul de operare sau de un alt program pentru a fi utilizate n timpul sesiunii de lucru. n multe cazuri fiierele temporare nu sunt terse de pe disc, putnd fi astfel recuperate informaiile coninute n ele. Fiierele de schimb (sau fiierele swap) sunt fiiere ascunse, create de sistemul de operare pentru a fi folosite la pstrarea de poriuni ale fiierelor de program i de date care nu ncap n memorie. Fiierele de schimb sunt o form de memorie virtual. Informaia din fiierele de schimb poate fi analizat cu ajutorul unor programe speciale. Spaiul "inactiv" (slack space) reprezint spaiul, aflat n cadrul unei uniti fizice de stocare a datelor pe disc (cluster), ce nu este acoperit de poriunea de fiier ce ocup unitatea respectiv. Cum sistemul de operare DOS nu permite stocarea a mai mult de un fiier n cadrul unei uniti de stocare, diferena ntre mrimea fiierului curent i mrimea unitii de stocare este considerat spaiu "inactiv", neutilizat. Acest spaiu poate conine informaii ce pot fi recuperate folosind programe specifice. De asemenea, acest spaiu, ca i unitile de stocare considerate avariate, pot fi folosite de utilizatori avansai ai sistemelor informatice n scopul ascunderii de informaii.

Capitolul 1 Sisteme informatice

Program care permite lucrul cu spaiu inactiv

Buffer-ul este o zon de memorie rezervat utilizrii ca depozit intermediar, n care sunt pstrate temporar datele ce ateapt s fie transferate dintr-o locaie n alta. Datele aflate n buffer pot fi recuperate cu ajutorul unor programe speciale. Clipboard-ul este o poriune de memorie, cu caracter special, ntreinut de sistemele de operare bazate pe modul de lucru cu ferestre (cum ar fi Windows). n clipboard sunt stocate datele ce sunt transferate dintr-un program n altul. Datele copiate prin clipboard au un caracter static, ele nereflectnd modificrile ulterioare, i pot fi obiectivate prin metode obinuite de lucru.

Date despre mediul sistemului informatic

Fiierele de date nu constituie sigurele posibiliti de relevare a informaiilor aflate n sistemele informatice. n categoria datelor despre sistemul informatic intr evidenele de auditare, jurnalul activitilor calculatorului, lista de control a accesului, precum i alte informaii ce nu pot fi imprimate. Evidenele de auditare sunt un mijloc de urmrire a tuturor activitilor ce afecteaz anumite date, ncepnd din momentul crerii lor pn la eliminarea din sistem. Ele sunt folosite de majoritatea programelor de gestiune a reelelor de calculatoare. Aceste evidene, precum i jurnalul computerului (computer log) pot oferi informaii despre cine i cnd a accesat sistemul, de unde i pentru ct timp, precum i operaiunile fcute de acesta (modificri, copieri, tergeri, etc.). Pe lng evidenele de auditare, un numr mare de ntreprinderi au instalate programe speciale de monitorizare a utilizrii de ctre un angajat a sistemelor informatice proprii. Aceste programe pot furniza informaii despre programele accesate, fiierele utilizate, mesajele de pot electronic trimise si primite, siturile de Internet vizitate, etc.

10

Capitolul 1 Sisteme informatice

Lista de control a accesului (ACL) este lista asociat unui fiier, ce conine numele utilizatorilor i grupurilor ce au permisiunea s acceseze i s modifice acel fiier. Nivelul de acces a utilizatorilor la fiierele respective depinde de atribuiile sau poziia angajatului n cadrul ntreprinderii. Informaiile ce nu pot fi imprimate sunt de asemenea surse importante pentru investigatori. Astfel de informaii sunt: data i timpul, ataate fiecrui fiier, informaiile despre crearea, accesarea i modificarea unor fiiere (furnizate, de exemplu, de editoarele de text), comentariile i notele ce nu sunt destinate imprimrii, etc.

11