INVESTIGAREA FRAUDELORINFORMATICE

Prep.univ.drd.ing.IoanCosmin MIHAI
AcademiadePoliieAlexandruioanCuza
cosmin.mihai@academiadepolitie.ro
Abstract
The Internet is a phenomenon which changed our lives and continue to change our lives in
futuretoo.Nowadays,almosteverythingcanbeobtainedfromtheInternet.Theonlinebusinesshada
bigamplitudelatelysoasthenumberofthefraudontheInternet.
Like in the case of the real fraud, the investigator must consider the potential risk of the
verifications such as: the alteration of the crime scene, the destruction of the important evidences or
leavingbehindremainswhichcouldalertthecriminal.
In this paper I made the analysis of the procedure online made by the investigator, the
information acquisition from the informatics domain, the localization and the identification of the
investigatesubject,thetechnologicalmethodsforthelocalizationandidentification,theeffectuationof
verificationsandsearchingininformaticsdomain.
In the end I focus on the necessity of doing the verification and the perquisitions beside of
qualifiedpersonstoidentifythehiddenfilesorthedeletedfileswhichcanberecoverwiththehelpof
specialprograms.
1. Introducere
Internetul este un fenomen care nea schimbat i ne va schimba n continuare vieile.
Posibilitatea pe care o avem astzi de a afla aproape orice informaie printrun simplu click este un
lucrupecareacum10anifoartepuinlumeilarfipututimagina.ncetncetvieilenoastresemut
online. Citim ziarele online, scriem emailuri, comunicm cu prietenii online. Comandm produse
online. Aflm informaii despre partenerii de afaceri sau chiar facem afaceri online. Cu ct crete
amploareaafaceriloronline,cuattcreteinumruldefrauderealizatepeInternet.
Ca i n cazul fraudelor din lumea real, investigatorul trebuie s ia n considerare riscurile
potenialealeverificrilorcumarfialterarealoculuifaptei,distrugereadeprobeimportantesaulsarea
deurmecelpotalertapefptuitor.
Deaceancazulanchetelordesfuratenlumeavirtualareelelor,investigatorultrebuiesse
cunoasc foarte bine softwareul, instrumentele i aplicaiile folosite prin testarea acestora ntrun
mediu sigur, nainte de nceperea cercetrii propriuzise. De asemenea, trebuie studiate conceptele de
baz ale funcionrii Internetului i ale reelelor locale (conceptul clientserver, modul de realizare a
comunicaiilor,securizareadatelor,etc.).
2. Proceduradesfurriiinvestigaiiloronline
Toatproceduraconstnadunareaprobelorimijloacelordeprobcaresconducnfinalla
identificareafptuitorului.
Oreeadecalculatoareestealctuitdincomputere,unelemaicomplexeimaisofisticatedect
altele,nfunciedesarcinapecaretrebuiesondeplineasc.nacestcontext,probeletrebuiecutate
inndcontdefunciapecareondeplinetecomputerulinvestigatnreeaidemodulcumacestaeste
configurat. n toate situaiile, ns, comportamentul utilizatorilor este nregistrat n fiiere care poart
numele de log (jurnal). Aceste fiiere reprezint principala resurs pentru identificarea indiciilor i
probelorninvestigaiileonline.
n funcie de anumii factori i setri, mrimea acestor fiiere tinde s creasc foarte repede,
putnd ajunge la civa Gigabytes pe zi, n situaia unui Internet Server Provider (ISP). De aceea, n
general,administratoriiunorasemeneasistemeiconfigureazcomputereleastfelnctfiierelejurnal
s fie pstrate doar pentru cteva zile dup care sunt n mod automat terse. Acesta este principalul
motivpentrucareinvestigatorultrebuiesacionezecurapiditate.Unaltmotivestesecurizareaprobei
respectivenaintecasuspectulsodistrugprindiferitemijloace.
Unaltaspectimportantndesfurareainvestigaiilorinformaticeestecooperareaanchetatorilor
cu furnizorii de servicii Internet, cu operatorii de telecomunicaii i cu alte organisme private din
domeniultehnologieiinformaieiinunumai.
Infrastructura, organizarea i multitudinea de reele implicate in cadrul Internetului fac ca
investigaiile desfurate n acest mediu s fie foarte dificile. De exemplu, pentru a supraveghea
comportamentulonlinealunuisuspect,decelemaimulteoriestenecesarcooperareantremaimulte
organizaiicuactivitiiresponsabilitinacestdomeniu.
CaracterultransfrontalieralInternetuluiialinfracionalitiinformaticenecesitunrspunspe
msurprinrealizareauneicooperriinternaionalentrejurisdiciileiinstituiilenaionalecuatribuii
n combaterea infraciunilor informatice. De aceea este esenial ca investigatorii din diferite ri s
conlucreze n pofida diferenelor legislative i procedurale, prin formarea unor puncte de contact n
rndulforelordepoliiecompetentendomeniu.
n cazul n care nu exist posibiliti imediate pentru a solicita operatorilor de servicii de
Internetsautelecomunicaiisauforelordepoliiedinafaragranielorpunerealadispoziieaprobelor
i mijloacelor de prob, se poate solicita securizarea acestora i pstrarea lor pn la ndeplinirea
condiiilordeform.nacestmodsevornlturainconvenieneleproceduralenanchetelecuimplicaii
internaionale iar n investigaiile cu caracter naional, se va asigura respectarea angajamentelor de
confidenialitatefcutedeoperatoriideserviciiInternetidetelecomunicaiifadeclieni.
n investigarea fraudelor informatice trebuie avut n vedere elementul timp, prin acesta
nelegndusediferenelede fusoraricelegeneratedesincronizarea setrilorunuisistemcutimpul
real.
3. Culegereainformaiilordinmediulinformatic
Culegereadatelor n mediul informatic itransformareaacestoranprobe se va face n funcie
de indiciile existente n cazul investigat, caracteristicile acestora determinnd procedura ce trebuie
urmat.
Astfel,dacsepornetedelaoadresdeemail(nume@mail.ro),nmodnormal,primullucru
carevafiavutnvedereesteidentificareaposesoruluiacesteiadrese.
Inaceastsituaiesepotidentificamaimulteposibiliti :
adresadeemailestegestionatdeunoperatornaionaldeserviciiInternet,situaiencare
acesta trebuie contactat imediat, cu respectarea condiiilor legale, n vederea aflrii
identitiipersoaneicareutilizeazadresancauz
adresa de email nu este gestionat de un operator naional de servicii Internet, situaie n
care,princooperareinternaionalicurespectareaprocedurilorlegale,sepotsolicitadatele
de identitate furnizatedetitularuladreseideemail laconstituireaacesteia. In acestcazse
potidentifica adresedeemail aparinndunor locaiicareoferserviciuldeemailgratuit
(www.Yahoo.com www.hotmail.com etc.). Este motivul pentru care, la constituirea
acestoradrese,utilizatoriifurnizeazdatenerealecuprivirelaidentitate,datfiindfaptulc
aceste informaii nu sunt verificate. ns, n majoritatea cazurilor serverul va pstra
suficienteinformaiireferitoarelatipuldeconectareilaadresadeIPautilizatorului.
Deasemenea,cuajutorul bazelordedateaparinndunorsiteuridedicateacestui scop,sepot
facecutrinvedereaidentificriieventualelormesajepostatedetitularuladreseirespectivedeemail
ncadrulunorforumurisaugrupuridediscuii.
DacindiciulexistentfacereferirelaoadresWeb(exemplu:http://numeweb.ro/paginaweb),
cuajutorulunuibrowsertrebuievizualizatsiteulncauz,saucuajutorulunoraplicaiiacestasepoate
copia n totalitate. Nu trebuie uitat faptul c adresa IP a calculatorului folosit pentru vizualizarea sau
downloadulsiteuluipoateficolectatdeserverulwebinvestigat.
Dacinformaiaprivindcomitereauneifraudeinformaticefacereferirelaunnume(nickname)
saucanalIRCesterecomandatfolosireamotoarelordecutarepebazaunorcuvintecheie.Opartedin
aceste motoare de cutare vor folosi baze de date orientate n plan local dar se pot folosi i serviciile
unorsiteuriprecumYahoo,Altavista,Google,etc.pentruocutareaprofundat.
4. Localizareaiidentificareasubiectuluiinvestigat
n general, un utilizator poate fi identificat i localizat pe baza analizrii fiierelor jurnal care
conin nregistrrile unor aciuni i evenimente cum ar fi conectarea sau deconectarea de la reeaua
Internet.
Analiza fiierelor jurnal va furniza date importante referitoare la cine sa conectat de la un
anumecomputer,undeestelocalizatacestcomputer,cndsastabilitconexiuneaictadurataceasta.
Calculatorul care va genera fiierul jurnal va folosi n mod normal timpul local i aa cum sa
menionatanteriortrebuieluatencalculdifereneledefusoraricelelegatedesincronizareasetrilor
unuisistemcutimpulreal.
Fiierele jurnal fac referire, n partea de nceput a acestora (header), la elementul timp sub
formaunorabrevieri,cetrebuiecunoscutedeinvestigatorpentruaputeacitiunasemenealog:
UTsauGMT Universal/Greenwichmeantimetimpuluniversal(Greenwich)
ESTsauEDT EasternTimeZonetimpuldinzonaEstEuropean
CSTsauCDT CentralTimeZonetimpuldinzonaCentralEuropean
PSTsauPDT PacificTimeZonetimpuldinzonaPacificului
HHMMorele(HH)iminutele(MM)cesescaddinUT
+HHMMoreleiminuteleceseadauglaUT
Z timpuluniversal
A timpuluniversal(UT)minusoor
M timpuluniversal(UT)minus12ore
N timpuluniversal(UT)plusoor
Y timpuluniversal(UT)plus12ore.
De asemenea, trebuie avut n vedere faptul c o conexiune la Internet prin intermediul liniei
telefonice i a furnizorului local de asemenea servicii se realizeaz n fapt prin intermediul altor
calculatoare interconectate. Deaceea, trebuie luat nconsiderare, n momentulcomparrii,diferenele
detimpcevorfinregistratedefiierelejurnalgeneratedesistemeleimplicatenconexiune.
Tipuridefiierejurnal
Fiierele jurnal ale serverelor (host), care vor fi diferite n funcie de sistemul de operare
utilizat.nprezentseremarcutilizareadince n ce mairspnditaplatformelorUNIX,faptdatorat
nprimulrndgratuitiiacestorsistemedeoperaredaridatoritstabilitiiisecuritiisporite.
Majoritatea fiierelor de log generate de platforma UNIX sunt n format text i stocheaz,
fiecare nparte, n funciedeconfigurareasistemului ncauz, informaiicuprivire latoateprocesele
rulatedeplatformadeoperare.
Fiierele jurnal ale aplicaiilor client (programe pentru calculator scrise i utilizate pentru a
comunica cu un anumit server de pe Internet, n scopul asigurrii unui anumit serviciu). Fiecare
programdeacestgen(browsereweb,softwaredeemailsauIRC,etc.)vagenera fiiere logspecifice
careconininformaiifoarteutilepentruinvestigator.
FiierelejurnaldetelecomunicaiipotfiidentificatensituaiancareconectarealaInternet
sa realizat prin intermediul unei reele telefonice, iar nregistrarea acestora va putea fi solicitat, cu
ndeplinirea condiiilor legale, de la operatorul de telefonie prin care sa realizat legtura cu serverul
operatoruluideserviciideInternet.
Fiierele jurnal stocate de serverele ISP fac referire la momentul accesrii (login)
serverului, durata conexiunii (session) i momentul deconectrii (logout), i pot fi identificate de la
operatorul de servicii Internet, acetia stocnd aceste informaii pentru a calcula i deduce costurile
legate de acces. De asemenea, o parte din Internet Server Providers pot stoca, n scopuri care in de
politicafirmei(publicitate, marketing)informaiireferitoarelalocaiiledeInternetvizitatedeclientn
timpulsesiunii,datecarepotfiextremdevaloroasepentruinvestigator.
FiierelejurnaldeaccesareaInternetuluidectreunutilizatoraparinnduneireelelocale
situaie n care dispozitivele i programele de securitate instalate pentru protecia reelei n cauz
genereazfiierelogcepotconineinformaiiimportantepentruanchetator.
5. Mijloacetehnicedelocalizareiidentificareasubiectuluiinvestigat
Majoritatea mijloacelor i instrumentelor de localizare i identificare sunt dezvoltate sub
platformeUNIXdarpotfifolositeincazulsistemelorMSWindowssauMAC.
Instrumentelecevorfiprezentatefuncioneazpeprincipiileunoraplicaiiclientcarecomunic
cuserverelefcndschimbdeinformaii.
TraceroutestabileterutapnlaoanumitadresIP,identificndporiledeacces
(prin numele i adresa IP a serverului n cauz) dea lungul traseului parcurs. Acest
instrumentsepoatefolosipentruaidentificalocaiaunuicalculatoridentificatprinIP
Ping verific dac serverul poate fi accesat prin trimiterea unei solicitri.
Calculatorul verificat va rspunde confirmnd starea sa de funcionare i faptul c o
conexiunesepoatestabilisaunu.
Whois aceast aplicaie ofer informaii detaliate referitoare la aproape orice site
web (numele domeniului, adresa de IP i numele serverului, locaia geografic,
persoaneiinformaiidecontact).
6. Mijloacedeinterceptareadatelor
Exist mai multe posibiliti de interceptare a datelor, dar aceste tehnici complexe necesit
cunoatereai nelegereantotalitateamoduluideorganizareifuncionareatransmiteriidatelor.
nacestsens,dacserespectcondiiilelegale,sepotfolosiurmtoareletehnicideinterceptare
imonitorizareatraficuluisubiectuluiinvestigat.
Emailboxshadowingconstninterceptareaicopiereacuajutoruloperatorilorde
Internet a mesajelor tip email adresate sau trimise de suspect, aceste emailuri
trecndprinserveruldemailalISPului
Scanarea newsgroupurilor cu ajutorul programelor pentru calculator dedicate
acestuiscop,pebazaunorcuvintecheie,datfiindvolumulfoartemarededatecarese
stocheazicarempiedicverificarentotalitateaacestora
Interceptarea comunicaiilor folosinduse dispozitive speciale (data analyser) care,
dacsuntplasatenanumitenoduridereea(ctmaiaproapedesuspectulinvestigat),
au capacitate de a intercepta i filtra pachetele de date chiar n situaia folosirii unor
protocoale alternative. Unele din aceste dispozitive pot reface n totalitate fluxul
informaionaloriginal.
7. Efectuareaverificriloripercheziiilornmediulinformatic
Dei principiile stabilite de actele normative n vigoare pentru efectuarea unei verificri sau
percheziiinuseschimbnmediulelectronic,trebuietotui utilizateprocesementaleiaptitudininoi.
Astfel,dacncazuluneipercheziiiclasice,anchetatorulpoatevizualizaobiectelecearputeaconstitui
probe,nsituaiauneipercheziiiefectuatentrunmediuinformatic,dispozitiveledestocareaprobelor
electronicesarputesnufieattdeevidentepentruanchetator,mijloaceimportantedeprobputnd
fiomisesaudeterioratenprocesuldepercheziie.
Exist trei probleme care trebuie abordate n legtur cu iniierea i executarea unei astfel de
percheziii:
prima ar fi ca n momentul solicitriiautorizaiei de percheziie n cuprinsul acesteia
sfiemenionati faptulcurmeazsfieverificateimediiledestocareelectronice.
cea de a doua privete locul unde se va efectua analiza probelor informatice, lucru
care trebuie stabilit nainte de nceperea verificrii mediului informatic. Acestea sar
putea desfura ntrun laborator sau chiar la locul unde au fost descoperite probele,
situaie n care se va cunoate de la nceput dac este necesar sau nu ridicarea
elementelordehardwarenvedereaverificrii.
a treia problem se refer la mediile ce vor fi cercetate, existnd n esen trei
categorii: calculatoarele de sine stttoare, reelele de calculatoare i mediile de
stocareportabile.
Pregtirea unei verificri sau percheziii ntrun mediu informatic necesit respectarea
urmtoareloretape:
colectarea informailor privind sistemele informatice ce urmeaz a fi verificate, tipul
destocareadatelor,locaiaechipamentuluiiadispozitivelordestocareetc.
alegerea momentului efecturii verificrii sau percheziiei depinde de doi factori:
statutulsistemuluiinformaticiprezenasauabsenaanumitorpersoane
stabilirea participanilor la verificare sau percheziie n afara investigatorilor vor
participa i persoane cu calificare tehnic adecvat (criminaliti, ingineri de sistem,
etc.)
stabilirea logisticii ce urmeaz a fi folosit (instrumente, programe software, medii
nenregistrate,etc.)
n desfurarea propriuzis a verificrii sau percheziiei exist cteva lucruri de o importan
major ce trebuie realizate n primele minute imediat dup iniierea aciunii, pe ct posibil n
urmtoareasuccesiune:
securizarea locului faptei prin ndeprtarea persoanelor aflate la calculatoare, ntructo parte
dinacesteaarputeaaveaaptitudinileichiarmotivaianecesardistrugeriiprobelorelectronice.Vorfi
identificateprobeleceseaflnpericolimediat(deexemplu,procesulformatriiunuidiscsituaien
caresevantrerupeaceastoperaiechiardacestenecesardeconectareasistemului)
stabilizarea mediului n care urmeaz s se desfoare verificarea prin asigurarea zonelor n
care se afl calculatoarele fa de accesul tuturor persoanelor, respectiv prin stabilirea faptului dac
sistemul informatic verificat este conectat cu zona de afar situaie n care se va proceda la
deconectare
identificareapersoanelorcareaucunotineiaptitudiniinformaticeceurmeazafiaudiate
cuprivirelaatribuiiledeserviciuiinformaiilestocatensistemulinformatic
identificareaacelpuindoimartoriasistenineutri.
Proceduraverificriisaupercheziieivacontinuaprininspectareaatentaloculuipercheziiein
vedereaidentificriiurmtoarelorelemente:
numrulitipulunitilorcentraledeprocesare
locaiaunitiicentraledeprocesare
tipulitopologiareelei
sistemuldeoperarealreelei
dimensiuneainaturamediilordestocareareelei
existenaunormediideefectuareaunorcopiiderezerv.
8. Analizareaprobeloritransformareaacestoranmijloacedeprob
Datele colectate referitoare la activitile subiectului investigat se vor analiza prin mijloace
specificenvedereatransformriiacestoranmijloacedeprob.
Analizaacestordatesevafacenfunciedenaturaacestora.
a. Mesajeledepotelectronic(email)
Serviciuldeemail permiteutilizatorului:
strimit(send)isprimeasc(receive)mesaje
srspund(reply)istransmitmaideparte(forward)mesajeleprimite
strimitunmesajnacelaitimplamaimulteadresedeemail
sataezediferitefiieremesajuluitrimis
ssalvezesubdiferiteformemesajultrimisislprinteze
scriptezeisascundmesajul.
Adresadeemailesteformatdintreicomponente(deexempluadresapolacad@yahoo.com):
numeutilizatorusername(exemplupolacad)
numele serverului de mail unde este gzduit csua potal a utilizatorului (exemplu
Yahoo)
prescurtareatipuluidomeniului (exemplucom).
Mesajele email propriuzise sunt similare unei scrisori clasice, fiind formate din dou pri
principale: partea superioar (header) a emailului, care conine informaii referitoare la numele i
adresaexpeditoruluirespectivdestinatarului,precumisubiectulmesajuluitrimis,icorpulacestuia
(body)carecuprindemesajulefectivtransmis.
Pentruinvestigatorprezint importanambelepri ale mesajuluidar maiales headerul i, n
special,parteaascunsaacestuia,respectivproprietilemesajului.
Headerulemailuluimaipoateconineialteinformaii,uneleajutndladescriereamaiexact
a sistemului de care dispune suspectul investigat, altele furniznd mai multe informaii referitoare la
tipuldemesajanalizat.
Astfel, serverele de mail ale Hotmail i Yahoo adaug la header o linie de text deosebit de
importantpentruanchetator,referitoare laadresadeIP(XoriginatingIP)acalculatoruluidepecare
sarealizatconexiunealaacesteservere.
Analiza headerului mesajelor primite sau trimise se poate face i cu ajutorul unor programe
pentrucalculatorspeciale
Studierea fiierelor de email ale suspectului poate releva suficiente informaii referitoare la
activitatea infracional a acestuia. Cu acest prilej, de o mare importan pentru investigator sunt
fiierele ce se pot ataa mesajelor de email (attachement). Este foarte uor ca astfel de fiiere s fie
redenumite i salvate cu extensii diferite fa de cele reale (fiierele document cu extensie .doc pot fi
convertite n fiiere grafice .bmp, .jpeg, sau chiar ntrun format inexistent), ngreunnd astfel
deschidereaicitirealordectreinvestigator.
b. Fiierelejurnal
nanalizaacestorfiieretrebuieavutenvederectevaregulidebaz:
Se va lucra numai cu copii ale fiierelor analizate, iar datele originale se vor stoca n locuri
sigure.Deasemenea,esterecomandabilcadateleobinutes fieorganizateistocatesub formaunor
bazededatesautabele,carespermitsortarealornfunciedediferitecriterii.
Utilizareaunuisoftwaredeanalizadatelorculese,nvedereaidentificriilegturilorexistente
ntreacesteinformaii,sepoatedovedidemarevaloarepentruinvestigator.
Evenimentele investigate vor fi regrupate pentru a stabili dac acestea se ncadreaz ntro
liniecronologicfireasc
Sevastabiliordineacronologicaevenimentelorinvestigatepentrufiecareelementnpartei
ulterior pentrutoate fiierele de log, recalculnd toate informaiile n funcie de tipul zonal n care se
lucreaz,cusincronizrileicoreciilenecesare
nceledinurmsevaverificadacordineacronologicainformaiiloresterespectatdetoate
fiierelejurnal,nsuccesiuneafireascaacestora.
c. Paginile de web (WWW World Wide Web) i fiierele generate de
activitateapeInternetasuspectului
Multe organizaii sau persoane i creeaz pagini de web speciale, cu informaii referitoare la
scopurile urmrite de structura respectiv, interesele individuale, etc. Atunci cnd coninutul unor
asemenealocaiiprejudiciazordineapublic(propagandrasist,pornografieinfantil)sauinteresele
altor persoane (nclcarea drepturilor de proprietate intelectual) se impune identificarea entitilor
aflatenspateleacestora.
Prima etap n desfurarea investigaiei const n observarea direct a siteului prin
vizualizareaacestuiapentruastabilidacdateleprezentatenpaginileacestuiaaducatingereordiniide
dreptsau intereselorpublice saupersonale. Cuaceastocazie,pe baza linkurilorprezentate npagina
principalsepoatecreaohartasiteului,cuindicareapaginilorcareconindatencauz.
Urmtorulpasconstnstabilirealocaieifiziceasiteului,maiprecisnidentificareaserverului
care l gzduiete. Aceast operaie se face pe baza numelui de sau pe baza adresei de IP asociat
numeluidedomeniu.
Pentrustabilirealocaieisiteuluisepotfolosiprogramepentrucalculatordedicateacestuiscop
(VisualRoute,SamSpade,etc.).
n vederea asigurrii materialului probator, investigarea online a siteului n cauz poate
necesita copierea (prin download) a unei pri a informaiilor coninute de paginile acestuia sau a
ntregului site, operaie ce se poate realiza, de asemenea, cu ajutorul unor programe pentru calculator
specializate.
Paginile web (n seciunea Contact i nu numai) pot oferi, prin coninutul propriuzis al
acestora, informaii importantepentru identificareaceluicarea creatsiteul(adresedeemail i chiar
numere de telefon pentru eventualitatea n care vizitatorul dorete s l contacteze pe titularul site
ului).
Dacseconstatcsuspectulacreatsiteulrespectivfolosindcalculatorulpersonal(cetrebuie
identificat i indisponibilizat n urma unei percheziii), nainte ca acesta s fie ncrcat (upload) pe
serverulcarelgzduiete,atunciinformaiileprezentatepepaginilewebinvestigatevorfiregsitepe
mediile de stocare ale acestui computer. Mai mult, prin verificarea browserului folosit i a
directoarelorHistory, Favourites, Cache/TemporaryInternetFiles i Cookies,anchetatorulva
puteastabililocaiiledeInternetvizitatenmoduzual,determinndprofilulsuspectului.
d. IRC(InternetRelayChat)
IRC este un serviciu care permite comunicarea n scris ntre dou sau mai multe persoane n
timpreal.Utilizatorii,cunoscuisubunanumitnume(nickname),ruleazunprogram,denumitclient
(deexemplumIRCetc.),cuajutorulcruiaseconecteazlaserverelesaureeauaIRCundevorintrape
unuldinmultelecanaleexistente,undepotcomunicacucelelaltepersoane.
Conversaiarespectivpoatesfiepublic(situaiencaretoatepersoaneleaflatepecanaluln
cauz vor putea citi ceea ce scriu ceilali) sau privat(ntre dou sau mai multe persoane, fr ca
celelaltepersoaneaflatepecanalulrespectivspoatcitimesajeletransmise).
Existfoartemultecanale,fiecarefiindmpritntretoateservereleireeleleIRC,astfelnct
unutilizatornutrebuiesfieconectatlaacelaiservercupersoanelecucarecorespondeaz.Uneledin
acestecanalesuntsecrete,nsensulcaccesulvafipermisnumaiunorindiviziselectai nprealabil.
Conversaiile pe chat se desfoar folosinduse anumite prescurtri sau simboluri ce trebuie
cunoscutedeinvestigatorpentruanelegecesediscut.
InvestigareafiierelorlogcesepotidentificancomputerulsuspectuluisaunservereledeIRC
potscoatelaivealdatefoarteimportantenlegturcuactivitateainfracionalaceluincauz.
e. Grupuriledediscuii(NewsGroupsUsenet)
SpredeosebiredeIRC,discuiilencadrulgrupurilordeUsenetnusedesfoarntimpreal.O
persoancaredoretestrimitun mesajunuianumitgrupopoatefaceutilizndunsoftwaresimilar
celui de email (group mail) iar rspunsurile sau replyurile se pot transmite pe aceeai cale sau
alternativprintrunemailadresatdirectpersoaneicareatrimismesajuliniial.
Grupuriledediscuiispecializatensubiecteilegale,precumpornografiainfantil,suntgzduite
deservereceseaflnalteridectceadeorigineamembrilorgrupului
Aceste grupuri de discuii sunt un mediu propice i pentru comercializarea unor produse
rezultatedinactivitiinfracionalesaumaterialeaudio,videosausoftwarepiratat.
AnalizareamesajelordeUsenet,caresuntsimilarecuceledeemail,sevafacenacelaimod
ca n cazul acestora din urm, n special n privina headerului, cu ajutorul unor programe pentru
calculatorspecializate.
Internetul ofer i alte servicii de comunicaie precum ICQ I Seek You (o variant mai
avansat de IRC, care permite notificarea utilizatorului n momentul n care o anumit persoan este
conectatlaInternet)sauNetmeeting(unprogramcareoferposibilitateacomunicriintimprealprin
imagineisunet).
f. Fiiereletemporare
Informaii importante pot fi identificate n diverse tipuri de fiiere temporare cum ar fi cele
stocate n directoarele Temporary, Temporary Internet Files (Windows Explorer), Cache (Netscape
Navigator)saunfiierulSwapfile(Windows).
Fiierele temporare sunt create de sistemul de operare n scopul de a crete capacitatea de
prelucrareimemorareadatelor.
Analizareaacestorfiieresevafacecurespectarearegulilorenunatemaisus,pentruapreveni
distrugereasaumodificarealor.
9. Analizareamediilordestocareindisponibilizatecuocaziaverificrilor
Scopul analizrii mediilor de stocare indisponibilizate pe parcursul verificrilor este de a
identifica probe care s confirme sau s nlture suspiciunile referitoare la svrirea unei fraude
informatice.
Unmediudestocarepoateconinenmodnormalurmtoareletipuridefiiere:
fiierealeunorprogramepentrucalculator
fiieregeneratedeutilizator
fiieretemporaredediferitetipuri,createdesistemuldeoperare.
Probele legate de comiterea unei infraciuni trebuie ntotdeauna cutate n ultimele dou
categoriienunate,darnutrebuieuitatfaptulcdateimportantepotfi identificaten fiiere ascunse
printrefiiereleunorprogramesauaplicaii.
Fiiereletersearputeafirecuperatentotalitatecuajutorulunorinstrumentespecialconcepute
nacestsens.
Analizareadatelorstocatenecesitcunotinetehnicedespecialitatedarirbdare,concentrare
iunmediudelucrucorespunztor,feritdefactoriperturbani.
Datele stocate pe mediile originale (harddisk, CDROMuri, dischete, etc.)trebuie transferate
prin copiere pe alte medii de stocare similare, acestea urmnd s fie folosite n vederea studierii
fiierelor. Aceasta este o regul important ce trebuie respectat pentru a evita deteriorarea sau
modificareainvoluntarainformaiilorifolosireaacesteimprejurridectrefptuitornaprareasa.
n vederea efecturii acestor lucruri trebuie ca pregtirea unei verificri sau percheziii ntrun
mediuinformaticssefacalturidepersoanecucalificaretehnicadecvatndomeniulinformatic.
La finalizareaanalizeidatelorcuprinse ndiferitele fiiereenunate,se vaelaboraunraportcu
descriereadesfurriiverificrilor,cuprinznd,nmodobligatoriu,urmtoareledate:
cineaefectuatanaliza,loculundeaavutloc, intervaluldetimpncaresadesfurat
iobiectulanalizei
cesoftwaresafolositnanaliz
indicarea documentelor care au fost printate, cu menionarea locului unde au fost
identificate.
Bibliografie
1. Criminalitateainformatic,TudorAMZA,Ed.LuminaLex,2003
2. Combatereacriminalitiiinformatice,VladimirMELNIC,Ed.Lucman,2002
3. Criminalitateainformatic,IoanaVASIU,Ed.Nemira,2001
4. Internetulicriminalitateainformatic,DanBANCIU,raporttehnic,martie2004
5. Dimensiuni ale infracionalitii n spaiul virtual, Ciprian Pnzaru, raport tehnic, ianuarie
2005
6. Internetul,criminalitateaidreptul,DanBANCIU,referat,iunie2004
7. Damian,Vasile,FraudapeInternetaresediulnRomnia.Romniiconducdetaatntopul
celormaiingenioihoidinreeauamondial, nCapital,nr.38,21septembrie2000
8. FraudalaniveleuropeaninRomnia,IleanaRducanu,referat,august2003
9. http://www.upgploiesti.ro/sescom/pdf/s13/s13l34ir.pdf,16dec.2004
10. http://www.mcti.ro/fileadmin/uploads/tehnologia%20informatiei/studii/Frauda_in_comertul
_electronic_romanesc.doc,9ian.2005
11. http://linkmagazine.ro/prezentari/BCCO%20%20Virgil%20Spiridon.ppt,9ian.2005
12. http://www.biblioteca.ase.ro/downres.php?tc=4510,12.ian2005
13. http://www.cnrcme.ro/FOREN2004/lucrari_foren_ro/s4/pdf_poster_s4/s4p10ro.pdf, 21
ian.2005
14. http://www.securizare.ro/content/view/606/36/,2feb.2005
15. http://www.legiinternet.ro/blogs/index.php?cat=20,10feb.2005
16. http://ro.wikinews.org/wiki/Infrac%C5%A3iuni_informatice_%C5%9Fi_fraude_prin_Inter
net,10feb.2005
17. http://www.marketwatch.ro/articles.php?ai=969,15feb.2005
18. http://www.cnrcme.ro/FOREN2004/lucrari_foren_ro/s4/pdf_poster_s4/s4p10ro.pdf, 20
feb.2005