UNIVERSITATEA SPIRU HARET

FACULTATEA DE DREPT ŞI ADMINISTRAŢIE PUBLICĂ

MASTER – ŞTIINŢE PENALE

PARTICULARITATILE INVESTIGARII
CRIMINALISTICE A INFRACTIONALITATII
INFORMATICE

Coordonator ştiinţific:

Masterand:

1
 CUPRINS:

1. CRIMINALITATEA INFORMATICĂ

2. CERCETAREA FRAUDELOR INFORMATICE

3. DATE CREATE ŞI MENŢINUTE DE SUSPECŢI

4. ARII LIMITATE DE CERCETARE

5. INFRACŢIUNI PE INTERNET

6. SECURITATEA ŞI VULNERABILITATEA

7. CATEGORII DE ATACURI ASUPRA REŢELELOR DE

CALCULATOARE

2
 BIBLIOGRAFIE:

1. IOANA VASUI „Criminalitatea informatică”, Editura Nemira, Bucureşti,1998

2. ASOCIAŢIA CRIMINALIŞTILOR DIN ROMÂNIA „Investigarea criminalistică a

locului faptei” Bucureşti, 2004

3. EMILIAN STANCU „ Tratat de criminalistică”, Ed. universul juridic, Bucureşti, 2002

4. MINISTERUL DE INTERNE „Tratat practic de criminalistică”, vol. III, Bucureşti,
1980

5. TRAIAN GHERASIM „Investigarea criminalistică a unor infracţiuni financiar

bancare” Teză de doctorat, Bucureşti, 2003

6. OPREA D. „Protecţia şi securitatea sistemelor informaţionale” Editura Polirom, 2002

7. Victor Valeriu Patriciu, Ioana Vasiu, Şerban George Patriciu “ Internetul şi Dreptul”,
Editura All Beck, Bucureşti, 1999

3
 1. CRIMINALITATEA INFORMATICĂ
Prin termenul de „computer” se înţelege totalitatea componentelor hardware, software
şi informaţiilor stocate în unitatea centrală. Componentele fizice ale unui calculator sunt
denumite hardware. Calculatorul este format din: monitor, tastatură, mouse şi unitatea
centrală. Soft-ul este reprezentat de o componentă imaterială, adică de programe.
Sistemele de operare sunt programele de bază, care coordonează şi controlează un
computer. Aplicaţiile sunt produse software, proiectate să execute o anumită sarcină ca:
editare text, tabele, grafice etc. Pe lângă aceste componente există şi echipamentele
periferice: imprimantă, modem, alt echipament exterior. Dispozitivele de înmagazinare a
datelor sunt:discurile fixe, dischetele flexibile,, CD-ROM-urile, etc. Din punct de vedere
criminalistic, ne interesează urmele electronice, lăsate de către făptuitorul cibernetic, în
câmpul infracţional. Aceste urme sunt latente, necesitând anumite activităţi informatice
pentru a putea fi relevate. În concret, acestea sunt reprezentate de informaţiile stocate/
transmise cu ajutorul unui instrument electronic.
Cercetarea la faţa locului se efectuează atunci când este necesar să se facă constatări
cu privire la situaţia locului săvârşirii infracţiunii, să se descopere şi să se fixeze urmele
infracţiunii, să se stabilească poziţia şi starea mijloacelor materiale de probă şi
împrejurările în care infracţiunea a fost săvârşită.
O astfel de cercetare, ţinând cont de specificitatea urmelor ce trebuie să fie căutate,
descoperite, relevate, ridicate, interpretate, necesită o pregătire minuţioasă, amplasată, ca
timp, anterior desfăşurării ei propriu-zise. În primul rând, se vor lua toate măsurile
necesare pentru a acorda un maximum de securitate operaţiunilor, în scopul de a nu fi
schimbate, alterate probele. Activităţile referitoare la: măsurarea, examinarea,, stocarea,
transportarea urmelor electronice, trebuie să fie fixate prin: proces-verbal. Fotografii,
schiţe, urmele propriu-zise trebuind să fie foarte bine conservate, pentru analize
anterioare.

4
 În principiu, activităţile ce se pot succeda la faţa locului sunt următoarele:
♦ recunoaşterea şi identificarea acestui tip de urme;
♦ documentarea la faţa locului;
♦ colectarea şi conservarea urmelor electronice;
♦ ambalarea şi transportarea acestora.1
În cazul în care se deduce că este vorba de o cercetare complexă, din echipa de
cercetare la faţa locului vor face faţă şi experţi informaticieni.
Este de menţionat că, în general, crimele informatice şi investigaţiile se referă la:
- intruziuni în reţele publice de telefonie;
- majoritatea intruziunilor în reţele de calculatoare;
- violarea integrităţii unei reţele de calculatoare;
- violarea intimităţii;
- spionajul industrial;
- programele pentru calculatorul privat.
Procedurile pe care un utilizator trebuie să le instituie înainte de a deveni victima unei
infracţiuni informatice, ca şi după aceea, includ:
♦ plasarea unei bariere privind conectarea efectivă pentru a se asigura că utilizatorii
neautorizaţi sunt avertizaţi de faptul că ar putea fi monitorizaţi;
♦ activarea trasării operaţiilor efectuate;
♦ solicitarea înregistrării apelurilor de către compania telefonică;
♦ instalarea unei proceduri de identificare a apelatorului;
♦ realizarea de copii ale fişierelor corupte sau alterate;
♦ menţinerea vechilor copii pentru a putea reconstitui originalul;
♦ înregistrarea resurselor utilizate pentru a restabili funcţionarea sistemului şi a
localiza infractorul.

1
IOANA VASUI „Criminalitatea informatică”, Editura Nemira, Bucureşti,1998

5
 Atacul unui site informatic este tot timpul posibil. El este brutal şi vizează
distrugerea sit-ului sau a datelor. Numeroşi serveruri piraţi au acces prin adresa de
Internet, prin numărul de telefon, prin adresa X-25 internaţional. Această situaţie de
schimb planetar a condus la apariţia fenomenului de pirataj, de hacker. Piraţii din
lumea întreagă schimbă informaţii şi la sfârşit atacă reţelele internaţionale
informatice.2

2.CERCETAREA FRAUDELOR INFORMATICE

Putem spune că investigarea unei fraude informatice nu implică o procedură
complet diferită de modul de cercetare a infracţionalităţii clasice. Totul constă în
adunarea probelor şi mijloacelor de probă care să conducă, în final la identificarea
făptuitorului.
Internetul este alcătuit din computere diverse, sofisticate, motiv pentru care probele
trebuie căutate ţinând cont de funcţia pe care o îndeplineşte computerul investigat în reţea
şi de modul cum acesta este configurat. În toate situaţiile însă comportamentul
utilizatorilor este înregistrat în fişiere care poartă numele de „log” (jurnal). Aceste fişiere
reprezintă principala resursă pentru identificarea indiciilor şi probelor în investigaţiile on-
line. Unii administratori îşi configurează computerele astfel încât fişierele jurnal să fie
păstrate doar pentru câteva zile după care sunt în mod automat şterse. Acesta este
principalul motiv pentru care trebuie acţionat cu rapiditate. Un alt motiv este securizarea
probei respective înainte ca aceasta să fie distrusă.
Atunci când este identificat un indiciu într-un fişier jurnal, acesta ne poate conduce
către alt computer şi aşa mai departe. De aceea, colectarea informaţiilor de la diferiţi
furnizori de servicii internet, poate, şi în mod sigur, va lua ceva timp, mai ales atunci
când unul dintre aceste computere se află în afara graniţelor ţării.3

2
ASOCIAŢIA CRIMINALIŞTILOR DIN ROMÂNIA „Investigarea criminalistică a locului faptei” Bucureşti, 2004
3
EMILIAN STANCU „ Tratat de criminalistică”, Editura universul juridic, Bucureşti, 2002

6
 Identificarea datelor în mediul informatic şi transformarea acestora în probe se va
face în funcţie de indiciile existente în cauzele propriu-zise, caracteristicile acestora
determinând procedura ce trebuie urmată.
Astfel, dacă se porneşte de la o adresă de e-mail, în mod normal primul lucru care
va fi avut în vedere este identificarea posesorului acestei adrese.
De asemenea, cu ajutorul bazelor de date aparţinând unor site-uri dedicate acestui
scop, se pot face căutări în vederea identificării eventualelor mesaje postate de titularul
adresei respective de e-mail în cadrul unor forumuri sau grupuri de discuţii.
Utilizatorul poate fi identificat şi localizat pe baza analizării fişierelor jurnal care
conţin înregistrările unor acţiuni şi evenimente cum ar fi conectarea sau deconectarea de
la reţeaua Internet. În majoritatea cazurilor utilizatorul se va conecta la Internet cu
ajutorul unei linii telefonice folosind un cont furnizat de un Internet Servece Provider.
Analizarea fişierelor jurnal va furniza date importante referitoare la cine s-a conectat da
la un anume computer, unde este localizat acest computer, când s-a stabilit conexiunea şi
cât a durat aceasta. Calculatorul care va genera fişierul jurnal va folosi în mod normal
timpul local şi menţionăm că trebuie luate în calcul diferenţele de fus orar şi cele legate
de sincronizarea setărilor unui sistem cu timpul real. Fişierele jurnal fac referire, în partea
de început a acestora, la elementul timp sub forma unor abrevieri, ce trebuie cunoscute
pentru a putea citi un asemenea log.
Efectuarea verificărilor şi percheziţiilor în mediul informatic presupune utilizarea
unor procese mentale şi aptitudini noi. Astfel dacă, în cazul unei percheziţii clasice,
obiectele ce ar putea constitui probe pot fi vizualizate în mod direct, în situaţia unei
percheziţii, efectuată într-un mediu informatic, dispozitivele de stocare a probelor
electronice s-ar putea să nu fie atât de evidente pentru cei care desfăşoară acest act
procedural, mijloace importante de probă putând să fie omise sau deteriorate în procesul
de percheziţie.4
4
MINISTERUL DE INTERNE „Tratat practic de criminalistică”, vol. III, Bucureşti, 1980

7
 3. DATE CREATE ŞI MENŢINUTE DE SUSPECŢI
Ţintele investigaţiilor criminale, în particular a crimelor prin intermediul
calculatorului, pot deţine date într-un sistem computerizat cu mulţi utilizatori.
Acolo unde suspecţii deţin sau operează respectivul sistem, este indicată obţinerea
unui mandat. Dacă suspectul nu controlează sistemul dar are date în el, directorul de
sistem poate livra datele cerute, asumându-şi autoritatea de a face acest lucru. În mod
normal, un sistem computerizat cu mai mulţi utilizatori va avea conturi specifice,
corespondente fiecărui utilizator sau grup de utilizatori. În timp ce diferiţi utilizatori nu
pot accesa fişierele celorlalţi, operatorul de sistem poate examina şi copia fişierele din
sistem.
Anumite sisteme pot avea reguli prestabilite ce prohibitează accesul managerilor
sau operatorilor la accesarea anumitor fişiere, sau pot reduce în mod expres scopurile
pentru care îşi limitează accesul. Dacă, pe de altă parte, utilizatorii au consimţit accesul
total al operatorilor de sistem, o cerere către aceştia (pentru identificarea informaţiilor)
este tot ceea ce se cere. În ambele cazuri este neindicată pentru anchetatori cercetarea
unui sistem de anvergură prin propriile forţe. Fără ajutorul operatorului de sistem ar putea
fi dificil pentru anchetatori să acopere tot sistemul.

4. ARII LIMITATE DE CERCETARE

Odată ce analistul a identificat sistemul în care a fost săvârşită infracţiunea şi a luat
măsurile necesare protejării integrităţii datelor, specialiştii vor selecta instrumentele
ajutătoare în cercetare. Utilizarea unor software specializat numit „utilităţi” va fi de mare
ajutor, deoarece analiştii vor fixa limitele cercetării la căutarea anumitor extensii de
fişiere, nume sau date. Aceştia pot scana hard-discul şi recupera fişierele şterse recent
(parţial sau în totalitate); pot, de asemenea, identifica şi accesa fişierele ascunse. În
anumite cazuri, analiştii ar putea identifica fişierele care au un format „necitibil” (datele

8
au fost compresate pentru a salva spaţiul sau au fost criptate). În acest caz, pachetele de
utilităţi vor fi din nou de mare folos.
Exemplificăm câteva raţiuni pentru care analiştii vor dori, probabil, executarea mai
degrabă a unei cercetări limitate decât complete. În primul rând, mandatul poate specifica
anumite fişiere particulare, directoare sau subdirectoare ori anumite categorii de date. În
final, chiar dacă faptele cazului îi dau analistului libertatea de a cerceta toate datele,
criteriile legate de eficienţă vor cere în mod normal, o abordare mai sistematică. Analiştii
ar trebui să planifice un inventar metodic al tuturor directoarelor şi subdirectoarelor,
precum şi pregătirea unei documentaţii cu toţi paşii realizaţi.
Deoarece datele sunt atât de uşor de alterat şi distrus, analiştii trebuie să presteze
activitatea într-un mod precaut, astfel încât eforturile lor să poată fi valabile în sensul
recreării pentru sala de tribunal. În examinarea datelor, analiştii vor executa nişte sortări
în sensul ignorării obiectivelor nerelevante şi reţinerii celor relevante. Doar în situaţiile
rare, acestora li se va permite accesul sau chiar citirea datelor din computerul cercetat.
Chiar şi aşa, precauţia este indicată deoarece numele directoarelor sau fişierelor pot
conduce deseori în direcţii greşite.
În completarea la cercetarea fişierelor, directoarelor sau subdirectoarelor,
configuraţia puternică a unui computer poate permite analistului să proiecteze o cercetare
limitată în alte moduri la fel de eficiente. Experţii pot căuta date conţinând anumite nume
(nume de clienţi complici sau numele victimei), cuvinte (droguri, taxe,”hacking”), locuri
(fie localităţi geografice, fie electronice) sau orice alte combinaţii formate de acestea.
Cercetătorii ştiu foarte bine că definiţia corectă a cuvântului cheie pentru cercetare poate
fi un mod eficient de găsire „a acului în carul cu fân”. Acest lucru este posibil doar dacă
analiştii pornesc de la un indiciu şi ştiu cum sunt organizate datele.
De exemplu criptarea, compresarea şi alte software-uri de modificare a formatului
vor avea ca urmare dificultatea cercetării datelor prin metoda de mai sus. În lista
fişierelor dintr-un director sau subdirector vor exista alte tipuri de informaţii ce ar putea

9
indica dacă respectivul fişier există sau ce face acesta. Aceste extensii de fişiere sunt
deseori asociate cu aplicaţiile software comune, cum ar fi: foile de calcul (care ar putea să
conţină date contabile) baze de date (ce pot conţine fişiere despre clienţi), text sau
grafice. Vor exista de asemenea o dată şi o oră listate pentru fiecare fişier. Deşi aceste
informaţii pot fi uşor alterate şi pot conduce în direcţii greşite, în anumite cazuri ar putea
reflecta cu acurateţe ultima dată când fişierul a fost revăzut.
În continuare, tipul de software încărcat într-un computer poate dezvălui modul de
utilizare a acestuia. De exemplu, dacă este un software de comunicare, computerul ar fi
putut trimite date incriminatoare către un sistem computerizat într-o altă locaţie. Un
modem sau o altă probă a controlului asupra accesului în alte reţele ar trebui să fie un
indiciu pentru această situaţie, extinzând investigaţia şi implicit nevoia pentru un alt
mandat; de exemplu, atunci când cercetarea originală scoate în evidenţă facturi telefonice
care implică apeluri frecvente la mare distanţă la un anumit număr şi dacă apelul către
acest număr se dovedeşte a fi un ton de modem, investigarea ulterioară va fi mandatată.
În mod clar , persoana ce conduce percheziţia unui computer trebuie să aibă un
nivel ridicat de profesionalism. Deseori, un investigator bine intenţionat dar amator s-a
dovedit a fi total neeficient după ce datele erau deteriorate întâmplător, însă irecuperabil.5

5. INFRACŢIUNI PE INTERNET
Cele mai multe calculatoare sunt folosite azi în interconectare, în reţele locale şi de
arie largă, ceea ce conferă informaticii un rol determinant în asigurarea legăturilor
ştiinţifice, de afaceri, bancare sau de natură umană între persoane şi instituţii.
Internetul reprezintă cel mai mare proiect informatic de interconectare umană creat
vreodată pe pământ. Câteva zeci de milioane de utilizatori sunt conectaţi în fiecare
moment la internet. Societate modernă informatizată reprezintă deja o realitate, în care se
5
TRAIAN GHERASIM „Investigarea criminalistică a unor infracţiuni financiar bancare” Teză de doctorat, Bucureşti, 2003

10
ignoră frontierele şi se trece peste orice constrângeri de ordin spaţial sau temporal.
Economia, politica şi societatea se bazează azi, din ce în ce mai mult, pe această
infrastructură informatică. De asemenea, guvernele, firmele din sectorul public şi privat,
organismele financiare naţionale şi internaţionale, învăţământul, cultura şi cercetarea
ştiinţifică, beneficiază toate de aceste forme eficiente de conducere, informare şi
comunicare.6

6. SECURITATEA ŞI VULNERABILITATEA
Securitatea informatică a devenit una din componentele majore ale Internet-ului.
Analiştii acestui concept au sesizat o contradicţie aparentă – antinomie – între nevoia de
comunicaţii şi conectivitate, pe de o parte, şi necesitatea asigurării confidenţialităţii,
integrităţii şi autenticităţii informaţiilor, pe de altă parte. Domeniul relativ nou al
securităţii informatice caută soluţii tehnice pentru rezolvarea acestei contradicţii aparente.
Viteza şi eficienţa comunicaţiilor „instantanee” de documente şi mesaje conferă
numeroase atuuri actului decizional într-o societate modernă, bazată pe economie
concurenţială însă utilizarea serviciilor de poştă electronică, Web, transfer electronic de
fonduri etc. se bazează pe un sentiment, adeseori fals, de securitate a comunicaţiilor, care
poate transforma potenţialele câştiguri generate de accesul rapid la informaţii, în pierderi
majore, cauzate de furtul de date sau de inserarea de date false ori denaturate.
Sistemele informatice sunt ameninţate atât din interior cât şi din exterior. Pot fi
persoane bine intenţionate, care fac diferite erori de operare sau persoane rău intenţionate,
care sacrifică timp şi bani pentru penetrarea sistemelor informatice. Dintre factorii tehnici
care permit fisuri de securitate pot fi anumite erori ale software-ului de prelucrare sau de
comunicare sau anumite defecte ale echipamentelor de calcul sau de comunicaţie. De
asemenea, lipsa unei pregătiri adecvate a administratorilor, operatorilor şi utilizatorilor de

6
IOANA VASUI „Criminalitatea informatică”, Editura Nemira, Bucureşti,1998

11
sisteme amplifică probabilitatea unor breşe de securitate. Folosirea abuzivă a unor
sisteme reprezintă, de asemenea, unul din factorii de risc major privind securitatea
sistemelor informatice.
Sistemele sunt vulnerabile la penetrări neautorizate, la distrugeri sau modificări
accidentale sau voite de date ori programe. Aceste sisteme pot deservi elemente vitale
pentru societate cum ar fi: sisteme militare, bănci, spitale,sisteme de transport, burse de
valori, oferind în acelaşi timp un cadru de comportament antisocial sau de terorism.
Tendinţa actuală privind extinderea conectivităţii, în special în Internet, amplifică aceste
vulnerabilităţi: este din ce în ce mai greu să se localizeze un defect, un punct de acces
ilegal în reţea, un utilizator cu comportament inadecvat. Se consideră că Internet-ul este
unul din cele mai complexe sisteme create de tehnologia umană care, alături de sistemul
financiar mondial, nu poate fi controlat în totalitate. Vulnerabilitatea sistemelor
informatice actuale poate antrena pierderi imense de ordin financiar, direct sau indirect,
cum ar fi scurgerea de informaţii confidenţiale cu caracter personal, militar sau
economic.7

7. CATEGORII DE ATACURI ASUPRA REŢELELOR DE

CALCULATOARE
Ameninţările la adresa securităţii unei reţele de calculatoare pot avea următoarele
origini: dezastre sau calamităţi naturale, defectări ale echipamentelor, greşeli umane de
operare sau manipulare, fraude. Câteva studii de securitate a calculatoarelor estimează că
jumătate din costurile implicate de incidente sunt datorate acţiunilor voit distructive, un
sfert dezastrelor accidentale şi un sfert greşelilor umane. În ameninţările datorate
acţiunilor voite, se disting două categorii principale de atacuri: pasive şi active.

7
OPREA D. „Protecţia şi securitatea sistemelor informaţionale” Editura Polirom, 2002

12
 Atacuri pasive – sunt acelea în cadrul cărora intrusul observă informaţia ca trece
prin „canal” fără să interfereze cu fluxul sau conţinutul mesajelor. Ca urmare se face doar
analiza traficului, prin citirea identităţii părţilor care comunică şi „învăţând” lungimea şi
frecvenţa mesajelor vehiculate pe un anumit canal logic, chiar dacă conţinutul este
neinteligibil. Atacurile pasive au următoarele caracteristici comune:
- nu cauzează pagube (nu se şterg sau se modifică date);
- încalcă regulile de confidenţialitate;
- obiectivul este de a „asculta” datele schimbate prin reţea;
- pot fi realizate printr-o varietate de metode, cum ar fi supravegherea legăturilor
telefonice sau radio, exploatarea radiaţiilor electromagnetice emise.
Atacuri active – sunt acelea în care intrusul se angajează fie în furtul mesajelor, fie
în modificarea, reluarea sau inserarea de mesaje false. Aceasta înseamnă că el poate
şterge, întârzia sau modifica mesaje, poate să facă inserarea unor mesaje false sau vechi,
poate schimba ordinea mesajelor, fie pe o anumită direcţie, fie pe ambele direcţii ale unui
canal logic. Aceste atacuri sunt serioase deoarece modifică starea sistemelor de calcul, a
datelor sau a sistemelor de comunicaţii. Există următoarele tipuri de ameninţări active:
- mascarada – este un tip de atac în care o entitate pretinde a fi o altă entitate. De
exemplu, un utilizator încearcă să se substituie altuia sau un serviciu pretinde a fi
un alt serviciu, în intenţia de a lua date secrete (numărul cărţii de credit, parola sau
cheia algoritmului de criptare). O „mascaradă” este însoţită, de regulă de o altă
ameninţare activă, cum ar fi înlocuirea sau modificarea mesajelor;
- reluarea – se produce atunci când un mesaj sau o parte a acestuia este reluată, în
intenţia de a produce un efect neautorizat. De exemplu este posibilă reutilizarea
informaţiei de autentificare a unui mesaj anterior. În conturile bancare, reluarea
unităţilor de date implică dublări şi/sau alte modificări nereale ale valorii
conturilor,

13
 - modificarea mesajelor – face ca datele mesajului să fie alterate prin modificare,
inserare sau ştergere. Poate fi folosită pentru a se schimba beneficiarul unui credit.
O altă utilizare poate fi modificarea câmpului destinatar/expeditor al poştei
electronice;
- refuzul serviciului – se produce când o entitate nu izbuteşte să îndeplinească
propria funcţie sau când face acţiuni care împiedică o altă entitate de la
îndeplinirea propriei funcţii;
- repudierea serviciului – se produce când o entitate refuză să recunoască un
serviciu executat. Este evident că în aplicaţiile de transfer electronic de fonduri este
important să se evite repudierea serviciului atât de către emiţător, cât şi de către
destinatar.
În cazul atacurilor active se înscriu şi unele programe create cu scop distructiv şi
care afectează, uneori esenţial, securitatea calculatoarelor. Există o terminologie care
poate fi folosită pentru a prezenta diferitele posibilităţi de atac asupra unui sistem. Acest
vocabular este bine popularizat de „poveştile” despre „hackeri”. Atacurile presupun în
general, fie citirea informaţiilor neautorizate, fie distrugerea parţială sau totală a datelor
sau chiar a calculatoarelor.8

8
Victor Valeriu Patriciu, Ioana Vasiu, Şerban George Patriciu “ Internetul şi Dreptul”, Editura All Beck, Bucureşti, 1999

14