Expertiza datelor i aplicaiilor informatice

Seciunea 1. Noiuni cu caracter introductiv

Evoluia tehnologiei informaiei, respectiv a sistemelor informatice, a nceput semnificativ n a doua jumtate a secolului trecut i se afl ntr-o pronunat ascesiune, punndu-i amprenta asupra tuturor domeniilor vietii sociale, economice, civile sau militare. Tehnologia informaional atinge, n zilele noastre, fiecare aspect al vieii cotidiene a unei persoane fr a ine cont de poziionarea geografic a acesteia, tot mai multe activiti comerciale, industriale, economice sau guvernamentale fiind dependente de reelele informatice.1 Calculatoarele nu sunt utilizate doar pentru creterea performanelor economice i industriale ale unei ri, acestea devenind, n timp, parte integrant a vieii personale a individului. Dezvoltarea fr precedent n domeniul tehnologiei informatice, are, din pcate, o parte negativ datorit faptului c s-a deschis o poart ctre producerea unor fapte antisociale, expansiunea extraordinar de rapid a reelelor de calculatoare i extinderea accesului la aceste reele conducnd la creterea vulnerabilitii acestor sisteme i la crearea de oportuniti pentru producerea de infraciuni.2

1 Andrei Ionu BARBU, Cristian OPRIAN, Infraciuni svrite prin internet n Revista de investigare a criminalitii, anul V, numrul 1/2012, Editura Univesrul Juridic, Bucureti 2012, p.100 2 Ion CHIPIL, Criminologie general, Editura Sitech, Craiova, 2009, p.133

Sistemele de calculatoare ofer, n prezent, oportuniti noi, de nclcare a legilor i creeaz un potenial ridicat de comitere a unor tipuri de infraciuni realizate altfel dect n modurile cunoscute, tradiionale. Dei societatea, n ansamblul ei, pltete pentru toate daunele economice cauzate de criminalitatea informatic", aceasta continu s se bazeze pe sistemele computerizate n aproape toate domeniile vieii sociale. 3 Aa cum am observant, n prezent, activitatea ilegal nu se produce numai n spaiul material ci i n cel digital, societatea punndu-i ntrebarea dac aceast dependen de sistemele informatice i reelele de comunicaii (Internet-ul, n special), n contextual problemelor pe care utilizarea acestora le genereaz, necesit o reanalizare fa de percepia actual. Informatizarea vieii sociale i tehnologizarea infractorilor au constituit premisele apariiei unei noi forme de manifestare a criminalitii i anume criminalitatea informatic.4 n prezent, asistm nu doar la o explozie, diversificare i specializare a criminalitii, ci i la o congruen ntre infraciunile din sfera criminalitii informatice i infraciunile tradiionale, cuprinse n codurile penale sau legile speciale, cum ar fi frauda, falsul sau nelciunea. Acest fenomen este generat de faptul c sistemele informatice nu sunt doar inta infraciunilor ci i instrumentul prin care sunt comise alte infraciuni sau, pur i simplu, acestea faciliteaz, prin funciile lor, comiterea mai uoar sau mai sigur a infraciunilor. 5

3 Maxim DOBRINOIU - Infraciuni n domeniul informatic, Ed. C.H.Beck, Bucureti 2006, pag. 59 4 Florin SANDU, Gheorghe-Iulian IONI, Criminologie teoretic i aplicat, Editura Universul Juridic, Bucureti, 2005, p. 265. 5 Ion CHIPIL, op.cit., p.133

Seciunea a 2-a . Investigarea criminalitii informatice

n domeniul investigrii infraciunilor informatice sunt utilizate metode pentru a se asigura c practica este credibil i fiabil, iar persoanele care pretind a fi profesioniste trebuie s ndeplineasc anumite criterii de certificare a competenei lor. Exist dou componente eseniale care ofer credibilitate procesului de investigare a infraciunilor informatice. n primul rnd procesul de investigare a infraciunilor informatice trebuie s se realizeze n baza unei proceduri standardizate, iar n al doilea rnd persoanele care investigheaz acest tip de infraciuni trebuie s posede cunotine n domeniul investigrii infraciunilor informatice, care au fost dobndite n urma unui examen de competen.6 Investigarea criminalistic a sistemelor informatice prezint o serie de particulariti care o difereniaz n mod fundamental de alte tipuri de investigaii. Investigarea criminalistic a sistemelor informatice poate fi definit ca: utilizarea de metode tiinifice i certe de asigurare, colectare, validare, identificare, analiz, interpretare, documentare i prezentare a probelor de natur digital, obinute din surse de natur informatic n scopul facilitrii descoperirii adevrului n cadrul procesului penal.7 Toat procedura const n adunarea probelor i mijloacelor de prob care s conduc n final la identificarea fptuitorului .
6 Adrian-Cristian MOISE, Metodologia investigrii criminalistice a infraciunilor informatice , Editura Universul Juridic, Bucureti 2011, p.6, 7 http://www.politiaromana.ro/Criminalistic/expertiza_documentelor_IT.htm

Investigarea criminalistic specific trebuie s se desfoare n conformitate cu recomandrile specialitilor n domeniu. Infraciunile n care sunt folosite sistemele informatice implic o serie de probleme specifice n investigarea criminalistic informatic, deoarece dispozitivele electronice nu pot constitui material probatoriu de sine stttor, adevrata valoarea fiind dat de informaiile de interes prezente n mod latent.8 Probele digitale sunt definite ca fiind informaii cu valoare investigativ care sunt stocate, prelucrate sau transmise ntr-un format digital de un dispozitiv electronic. Particularitile acestui tip de probe sunt:

caracterul latent - probele digitale aparent nu sunt evidente, fiind coninute n echipamentele informatice care le stocheaz; caracterul fragil - probele digitale pot fi modificate, pot fi distruse sau pot disprea foarte uor, uneori fiind dependente de timp.

Pentru a prezenta probele digitale ele trebuie mai nti examinate. naintea examinrii acestea trebuiesc stocate. Pentru a putea fi considerat admisibil ntrun proces, trebuie demonstrat c proba digital este relevant i material, orice urm de dubiu asupra integritii probei i asupra modului de manipulare facnd-o inutil. Cnd ne gndim la pstrarea unei probe digitale ar trebui s ne gndim la modul cum se face conservarea locului unei investigaii criminalistice obinuit.9 Trebuie documentat fiecare detaliu, trebuie fcute poze i consemnat ct mai mult informaie posibil asupra strii n care a fost gsit proba i bineneles a modului care a dus la descoperirea ei.
8 ibidem 9 Adrian MUNTEANU, Valeric GREAVU-ERBAN, Silviu-Andrei PRVAN, Investigaii informatice judiciare, Suport de curs, 2012, p.12

Activitile cheie n investigarea locului unei infraciuni digitale pentru a asigura relevana i materialitatea probei digitale au n vedere luarea n considerare a rmtoarelor aspecte : trebuie menionat c n cazul n care probele se afl pe un calculator care funcioneaz la momentul descoperirii, trebuie acionat cu deosebit pruden deoarece se pot pierde foarte uor datele volatile. Regula principal n procesul de colectare, manipulare i n general lucrul cu probe digitale este aceea de a documenta tot ce se ntmpl, standardele internaionale recomand ca lanul de custodie s fie unul din cele mai importante documente care trebuie s se regseasc n activitate oricrui expert . n cazul n care integritatea unei probe digitale este pus la ndoial, acest document ofer o imagine clar asupra uturor persoanelor care au avut acces la probe. Lanul de custodie este un document scris care descrie n mod amnunit modul n care probele au fost identificate, colectate, stocate i manipulate, de cine, cnd i n ce scop. Potrivit documentului RFC 3227, Guidelines for Evidence Collection and Handling,10 al organizaiei IETF (TheInternet Engineering Task Force), lanul de custodie ar trebui s furnizeze urmtoarele date : Unde, cnd i de ctre cine au fost descoperite i colectate probele digitale; Unde, cnd i de ctre cine au fost examinate i manipulate probele digitale; Cine a avut posesia probelor digitale, cum au fost stocate i cnd; Cnd au fost schimbai posesorii probelor, de cei cnd , unde i cum a avut loc schimbul;

10 http://www.faqs.org/rfcs/rfc3227.html

 Descrierea fizic a echipamentului pe care sunt pstrate probele digitale (productor, model, SN, mrimea unitii, etc.); Volatilitatea sursei unei probe digitale este primul lucru care trebuie luat n considerare cnd se colecteaz, asigur i examineaz o astfel de prob. Termenul volatilitate, n acest context, nseamn susceptibil de schimbri. Cu alte cuvinte, integritatea i disponibilitatea unei probe digitale pot fi foarte uor compromise sau proba poate fi distrus. O aciune simpl precum nchiderea echipamentului suspect sau oprirea /pornirea alimentrii cu energie electric poate pune n primejdie informaii potenial valoroase care rezid n memoria RAM; fiiere pe jumtate terminate sau nesalvate, fiiere deschise, e-mailuri, parole, nume deutilizator, adrese Web i piese de program maliios. Trebuie tiut c unele programe ruleaz doar n memoria RAM pentru a evita detecia n cazul unei examinri a hard disk-ului. Aceste informaii sunt irecuperabile atunci cnd calculatorul sau echipamentul este nchis sau se ntrerupe alimentarea cu energie electric. Adiional se pierd informaii precum procesele ce ruleaz la momentul respectiv, informaii din zona de swap sau pagefile precum i informaii despre reea. 11 Urmele informatice sunt cele mai delicate i volatile urme ce pot constitui obiectul cercetrii criminalistice. n aceste condiii, este necesar ca investigarea acestora s se fac cu mare grij i cu luarea tuturor msurilor de protecie care se impun. Experii informaticieni au dezvoltat de-a lungul timpului o anumit procedur ce trebuie respectat, altfel fiind posibil s se distrug integritatea urmelor. Astfel, n condiiile identificrii unui calculator care este posibil s conin
11 Adrian MUNTEANU, Valeric GREAVU-ERBAN, Silviu-Andrei PRVAN, op.cit., p. 13

urme ale svririi unei infraciuni svrit contra datelor i sistemelor informatice, investigaia va trebui s se bazeze pe principiile imageriei o tehnic ce presupune ca ntreg discul s fie copiat ntr-o manier neperturbatoare a mediilor de stocare, fie ele C.D., disc fix sau dischet. 12 O dat ce discul a fost copiat, orice alt opera poate avea loc ntr-un mediu sigur, important fiind a se utiliza cele mai adecvate tehnici i tehnologii. O problem apare dac informaiile relevante au fost ascunse printr-o tehnic specific, caz n care vor fi foarte greu de accesat de pe alt computer. De aceea aceste informaii sunt clasificate ca volatile. Probele digitale nonvolatile se refer la date sau informaii care dei sunt susceptibile schimbrii (ex: data ultimei accesri, informaii despre utilizator), nelesul i coninutul principal care constituie dovada nu se pierd. Datele din document rmn aceleai indiferent de starea echipamentului suspect (nchis sau deschis, conectat sau nu la reea/Internet). Aceste informaii se refer n general la cele stocate pe hard diskuri, medii portabile precum uniti de stocare USB, dischete floppy, CD-uri i DVD-uri, etc. Strngerea i stocarea probelor digitale trebuie documentate cu claritate, cu ct este mai consistent i complet descrierea modalitii de colectare, cu att proba digital va fi mai credibil.13 Pentru a colecta i salva corespunztor probele non-volatile este nevoie de un alt procedeu i anume copierea la nivel de bit (bit-level copy) a hard disk-ului. Acest lucru poate fi realizat att cu software comercial dar i freeware. Aceast metod este superioar unei simple copieri deoarece informaiile de pe un hard disk sunt duplicate la nivel de bit ceea ce nseamn c sunt identice cu cele
12 Gabriel Ion, OLTEANU, Metodologia criminalistic Cercetarea structurilor infracionale i a unora dintre activitile ilicite desfurate de acestea, Editura AIT Laboratories, Bucureti 2005, p.413 13 Adrian MUNTEANU, Valeric GREAVU-ERBAN, Silviu-Andrei PRVAN, op.cit., p.13

originale. Copierea simpl va schimba data i timpul de pe documentul respectiv lucru care poate fi reflectat cu valoarea hash. Pentru a asigura sigurana probelelor i c acestea nu vor fi modificate, examinarea lor se va realiza pe o copie la nivel de bit. Originalul trebuie pstrat ntr-un container protejat de energie static i alte intemperii, un seif la care se aib acces ct mai puini oameni posibil, fiecare acces la seif trebuind documentat riguros. Prezentarea probelor digitale este probabil partea cea mai uoar etap a ntregului proces. La nceput sunt prezentate probele fizice hard disk-uri, carduri de memorie, CD-uri, etc. nregistrrile din timpul examinrii, lanul de custodie, rapoartele autogenerate disponibile cu softurile comerciale, log-uri (bash din Linux) sunt documentele care susin cazul i atest c pe dovezile fizice artate exist dovezi care incrimineaz. Dac aceste documente sunt bine realizate i nu las loc de dubiu cu privire la modul de operare n gsirea, colectarea, analiza i pstrarea probelor, relevana acestora poate fi luat n considerare.

Seciunea 3. Dispunerea i utilizarea rezultatelor expertizelor

Organele judiciare pot dispune, n cazuri temeinic justificate, efectuarea unor expertize care s lmureasc principalele probleme ale anchetei. Demersul experilor, ar trebui canalizat pe dou direcii: o direcie care s aib n vedere urmele clasice- urmele papilare, urmele biologice, alte categorii de urme lsate de diferite pri ale corpului uman, diverse micro-urme depuse din belug pe componentele sistemelor informatice; a doua direcie care trebuie s aib n vedere urmele informatice -reprezentat de datele informatice ce au ca obiect operaiunile desfurate de ctre fptuitori i informaiile de interes accesate. Fr a minimaliza importana tuturor acestor aspecte, prezenta seciune i propune doar o prezentare succint a informaiilor ce pot fi obinute n urma unei eventuale perchezii informatice .14 Metadata - sunt considerate ca fiind probabil cele mai relevante, importante elemente ce pot fi obinute sau recuperate de un expert criminalist n urma unei percheziii informatice. Aceste informaii despre datele informatice supuse expertizei sunt susceptibile s identifice utilizatorul care a scris un anumit fiier, cine a primit respectivul fiier, cine l-a deschis, copiat, editat ori printat, etc. De asemenea, aceste informaii relev data la care fiecare dintre aceste aciuni a avut loc.
14 Legea nr. 135 din 1 iulie 2010 privind Codul de procedura penal reglementeaz n articolul 168 percheziia informatic i accesul ntr-un sistem informatic

Datele informatice terse- sunt caracterizate de faptul c n momentul n care utilizatorul terge anumite date informatice, modificrile se produc doar n cadrul sistemului de operare doar n ceea ce privete sectorul n care acestea sunt stocate. Astfel, prin tergerea datelor informatice, nu se realizeaz dect un transfer al acestora n sectorul dedicat spaiului liber. De aceea, sistemul informatic va interpreta acest transfer ca fiind o aciune de tergere, n ciuda faptului c acele date informatice continu s existe. Practic, doar prin copierea unor noi date informatice pe respectivul sistem informatic se poate produce pierderea total a datelor transferate iniial prin aciunea de tergere. Aceast consecin se datoreaz faptului c, n momentul copierii unor noi date informatice, acestea se suprascriu n tot sau n parte (n funcie de dimensiunea acestora) peste date informatice stocate n sectorul dedicat spaiului disponibil pe respectivul mijloc de stocare Datele informatice temporare - sunt date informatice latente, existente n spaiul swap (swap space) sau ntr-un dosar de fiiere temporare (temporary files) localizat pe harddisk. Este de precizat faptul c fiierele temporare (de regul identificate prin extensia .TMP) pot conine informaii pe care utilizatorul le-a vizualizat la un moment dat, dar pe care nu le-a salvat n sistemul informatic. n principiu, aceste date sunt disponibile doar pentru o scurt perioad de timp, ceea ce implic necesitatea identificrii i colectrii lor imediate. Totui, n funcie de modul de utilizare a sistemului informatic, aceste date pot fi disponibile i pe o perioad mai ndelungat de timp. Procesul de preluare a imaginilor cere nu numai tehnic, dar i personal de specialitate. Un fiier imagine n starea sa nu este adecvat pentru o examinare direct, pentru a fi folosit, imaginea discului trebuie prelucrat, procesul de obinere a imaginilor fiind condiionat de un sistem de operare independent.15
15 Gabriel Ion, OLTEANU, op. cit., p. 413

10

De asemenea, trebuie stabilit sistemul de operare utilizatde ctre calculatorul care a avut fiierele prob. Un al doilea aspect tehnic care prezint interes este modul cum se efectueaz procesarea datelor obinute. Probele informatice trebuie procesate cu mare atenie n laboratoare speciale, unde sunt utilizate tehnici speciale de recuperare a informaiilor de pe orice raport de informaie care a fost creat cu orice sistem de operare. O dat ce o imagine a fost capturat, se pune problema vizualizrii fiierului, cutnd i o alt informaie coninut n imagine. Cteva operaiuni pot fi luate n consideraie n aceast etap :16 crearea unui disc cu o copie a imaginii capturate - se vor determina fiierele terse, modificate i se pot demara operaiile de recuperare. Pe baza fiierelor recuperate se pot ncep operaiile search (cutare) a unor anumite coduri, reprezentnd datele folosite. Zonele hidden (ascunse) trebuie de asemenea, revelate, acesta fiind unul din primii pai ai procesului de procesare emulrea discului- sunt necesare o sum de programe specifice pentru calculator, care ofer o soluie rapid pentru examinarea iniial a discului. Aceast emulare nu ofer faciliti directe de cutare, dar definete dezavantajul asociat clasrii discului. Fiierele sunt protejate la scriere, discul virtual aflat n investigare poate fi de orice capacitate i integritatea datelor este controlat ca o parte a procesului. De asemenea, trebuie analizate cu atenie driverele de disc multiple (driverele logice). indexarea i fiarea- proces ce presupune crearea unui index al tuturor informaiilordisponibile pe disc. Sunt evideniate zonele de pe disc care altfel ar fiinaccesibile, cum ar fi spaiul cart sau spaiul liber

16 ibidem

11

Bibliografie
I. Tratate, cursuri monografii 1. CHIPIL Ion, Criminologie general, Editura Sitech, Craiova, 2009; 2. DOBRINOIU Maxim - Infraciuni n domeniul informatic, Ed. C.H.Beck,
Bucureti 2006;

3. SANDU Florin, IONI Gheorghe-Iulian,

Criminologie teoretic i

aplicat, Editura Universul Juridic, Bucureti, 2005;

4. MUNTEANU Adrian, GREAVU-ERBAN Valeric, Silviu- PRVAN

Andrei, Investigaii informatice judiciare, Suport de curs, 2012;

5. OLTEANU Gabriel Ion,

Metodologia criminalistic Cercetarea

structurilor infracionale i a unora dintre activitile ilicite desfurate de acestea, Editura AIT Laboratories, Bucureti 2005;

6. MOISE Adrian-Cristian, Metodologia investigrii criminalistice a

infraciunilor informatice, Editura Universul Juridic, Bucureti 2011;

II. Articole, studii, note 1. BARBU Andrei Ionu, OPRIAN Cristian, Infraciuni svrite prin
internet n Revista de investigare a criminalitii, anul V, numrul 1/2012, Editura Univesrul Juridic, Bucureti 2012;

III. Resurse internet 1. www.just.ro; 2. www.faqs.org/rfcs/rfc3227.html; 3. www.politiaromana.ro/Criminalistic/expertiza_documentelor_IT.htm;

12

13