Documente Academic
Documente Profesional
Documente Cultură
Versiune 2.1
Divizia de criminalitate informatică
Direcția generală a drepturilor omului și statul de drept
Strasbourg, Franța
6 martie 2020
Prima ediție a prezentului Ghid a fost publicată în martie 2013 în cadrul proiectului comun
CyberCrime@IPA al Consiliului Europei și al Uniunii Europene privind cooperarea împotriva
criminalității informatice în Europa de Sud-Est. Lucrările la acest document au fost coordonate de
Nigel Jones (Regatul Unit). Informații valoroase au fost primite de la experții în domeniul
criminalității informatice din țările și zonele proiectului CyberCrime@IPA, precum și de la o serie de
alți experți internaționali din Africa, Asia și Europa. Versiunile 2.0 și 2.1 ale ghidului reprezintă
actualizări pregătite de Victor Völzow (Germania) în cadrul proiectului GLACY (Versiunea 2.0) și al
proiectului CyberEast (Versiunea 2.1) al Uniunii Europene și al Consiliului Europei.
Autorii sunt:
Ghidul privind probele electronice a fost elaborat inițial în cadrul proiectului regional comun
Cybercrime@IPA al Uniunii Europene și al Consiliului Europei (CoE) privind cooperarea împotriva
criminalității informatice în cadrul Instrumentului de asistență pentru preaderare (IPA).
Conceptul Ghidului privind probele electronice a fost dezvoltat prin mai multe ateliere de lucru, în
cadrul proiectului CyberCrime@IPA și la o conferință Octopus din anul 2012.
Prima ediție a fost publicată pe data de 18 martie 2013 și a devenit de atunci o resursă populară
pentru organele de aplicare a legii și organele judiciare din numeroase țări. Unele țări au tradus
chiar ghidul în limbile lor naționale.
Modificările la acesta, cea de-a doua ediție a Ghidului, se bazează pe feedback-ul oferit de cititori.
Acestea includ o secțiune complet revizuită privind analiza probelor electronice și a criminalisticii
digitale.
Pentru a treia ediție, publicată în martie 2020, toate capitolele din ghid au fost revizuite și
actualizate, în timp ce au fost adăugate noi subcapitole pentru carduri fără contact, sisteme pentru
automobile și Internetul Obiectelor
Scopul Ghidului este de a oferi sprijin și îndrumare profesioniștilor din domeniul justiției penale, cu
privire la modul de identificare și gestionare a probelor electronice astfel încât să se asigure
autenticitatea ulterioară a acestora în instanță. Deși Ghidul nu este destinat să fie un manual de
instrucțiuni cu indicații pas cu pas, acesta oferă o imagine de ansamblu cu privire la tipurile de
probleme care apar adesea în tratarea probelor electronice și oferă recomandări cu privire la modul
de abordare al acestora. Cititorii acestui document ar trebui să verifice dacă astfel de recomandări
există deja la nivel național.
Prezentul Ghid și informațiile cuprinse în acesta sunt considerate valabile până la data de
31 decembrie 2021. În cazul în care condițiile permit Ghidul va fi actualizat înainte de
această dată pentru a reflecta orice schimbări relevante de tehnologie, proceduri și
practici. Orice persoană sau organizație care dorește să utilizeze Ghidul după data de mai
sus trebuie să se adreseze Consiliului Europei pentru a obține cea mai recentă versiune.
Prezentul Ghid a fost elaborat pentru uzul țărilor care sunt în proces de elaborare și stabilire a
propriilor norme și protocoale pentru abordarea probelor electronice. Cele mai multe ghiduri
existente au fost create pentru comunitatea de aplicare a legii, dar prezentul Ghid este destinat unei
audiențe mai largi, inclusiv judecători, procurori și alții implicați în sistemul de justiție, care este
posibil să aibă nevoie să cunoască detalii despre probele electronice (cum ar fi investigatorii din
sectorul privat și avocații apărării). Deși în principal un document de nivel de bază, unele secțiuni
ale Ghidului sunt mai detaliate și oferă recomandări practice, care ar putea fi de interes pentru
specialiști.
Acest Ghid trebuie privit ca un document șablon, care poate fi adaptat și personalizat de diferite țări,
în conformitate cu legislația, practicile și procedurile naționale ale acestora. Principiile generale pe
care le descrie sunt în conformitate cu bunele practici general acceptate pentru tratarea probelor
electronice.
Cititorii trebuie să se asigure că sunt pe deplin familiarizați cu legislațiile din propriile țări referitoare
la probele electronice și la admisibilitatea acestora. Dreptul național trebuie să fie întotdeauna
principalul punct de referință. Recomandările oferite în cadrul Ghidului nu sunt destinate sau
preconizate a contrazice nicio legislație națională și fac, în orice moment, obiectul legilor, normelor
și procedurilor naționale.
Textul este defalcat în secțiuni, care urmează fiecare etapă a unei investigații, în mod cronologic, de
la identificarea inițială a surselor de probe potențiale, la percheziția și indisponibilizare datelor
informatice, până la analiza, pregătirea și raportarea probelor și prezentarea acestora în fața
instanței de judecată. Urmează apoi secțiuni de interes deosebit pentru funcții profesionale specifice,
inclusiv organele de aplicare a legii, procurori, judecători, investigatori din sectorul privat, avocați și
alți profesioniști din domeniul juridic.
O serie de instrumente utile pentru a asista investigatorul sunt anexate la prezentul document:
Ori de câte ori cititorii nu sunt siguri ce demersul care trebuie întreprins, aceștia trebuie să consulte
pentru îndrumare principiile generale menționate anterior în secțiunea 1.7. Cititorii trebuie să solicite
întotdeauna asistență de specialitate atunci când situația cu care se confruntă depășește sfera de
aplicare a Ghidului sau a formării lor profesionale.
Există o gamă largă de resurse și instrumente disponibile care completează Ghidul privind probele
electronice. De exemplu:
1
Convenția Consiliului Europei privind criminalitatea informatică (CETS Nr.185)
Toate aceste standarde și instrumente sunt disponibile pe site-ul web al Diviziei de criminalitate
informatică a Consiliului Europei la https://www.coe.int/en/web/cybercrime/home.
Toate procedurile penale depind de probe pentru a decide vinovăția sau nevinovăția unui acuzat sau
pentru a decide fondul unei cauze în procesul civil. În mod tradițional și istoric, probele au existat în
formă fizică (cum ar fi documente sau fotografii etc.) sau mărturia orală a martorilor.
Probele electronice provin din dispozitive electronice precum calculatoarele și aparatele periferice
ale acestora, rețele de calculatoare, telefoane mobile, aparate de fotografiat digitale și alte
echipamente portabile (inclusiv dispozitive de stocare a datelor), precum și de pe internet.
Informațiile pe care le conțin nu dețin o formă fizică independentă.
Cu toate acestea, în multe privințe, probele electronice nu sunt diferite de probele tradiționale,
întrucât partea care le introduce în procedurile judiciare trebuie să fie în măsură să demonstreze că
acestea reflectă același set de circumstanțe și informații de fapt ca în momentul săvârșirii infracțiunii.
Cu alte cuvinte, aceasta trebuie să poată arăta că nu au avut (sau nu ar fi putut avea) loc schimbări,
ștergeri, adăugări sau alte modificări.
Natura intangibilă a oricăror date și informații stocate în format electronic face ca acestea să fie mult
mai ușor de manipulat și mai predispuse modificărilor decât formele tradiționale de probe. Acest fapt
a creat provocări speciale pentru sistemul de justiție, care impune ca astfel de date să fie tratate
într-un mod special pentru a asigura integritatea probelor pe care le oferă.
Având în vedere caracteristicile unice ale acesteia, proba electronică poate fi definită ca:
Orice informație generată, stocată sau transmisă sub formă digitală care poate fi
necesară ulterior pentru a dovedi sau respinge un fapt contestat în procedurile
judiciare.
Probele electronice au în marea majoritate aceleași proprietăți cu formele tradiționale de probe, dar
dețin, de asemenea, și câteva caracteristici unice:
Acestea pot fi copiate fără a se degrada: Informațiile digitale pot fi copiate la nesfârșit,
fiecare copie având exact aceeași calitate ca originalul. Acest atribut unic înseamnă că mai
multe copii ale probelor pot fi examinate în mod independent și în paralel de către specialiști
diferiți, din diverse motive, fără a afecta originalul.
Similar cu alte tipuri de probe medico-legale, achiziția și tratarea corectă a probelor electronice sunt
vitale pentru rezultatul unui caz. O atenție deosebită trebuie acordată pentru a asigura respectarea
în orice moment a regulilor generale:
Manipularea de către specialiști: Fiecare tip de dispozitiv electronic are propriile sale
caracteristici, care necesită aplicarea de proceduri corecte și adecvate. Unul dintre cele mai
mari riscuri este modificarea neintenționată a probelor. Nerespectarea procedurilor
aprobate este probabil să ducă la probleme formale în instanță privind integritatea datelor
care pot submina sau invalida probele.
Admisibilitatea: Întrucât scopul final este utilizarea probelor pentru a demonstra sau
respinge faptele aflate în litigiu, probele electronice trebuie obținute în conformitate cu
legislația existentă și cu cele mai bune practici, pentru a asigura admisibilitatea la proces.
Deși detaliile pot fi diferite de la o jurisdicție la alta, următoarele criterii trebuie luate în considerare,
în general, la evaluarea probelor electronice pentru proces:
Autenticitatea: Probele trebuie să stabilească fapte într-un mod care nu poate fi contestat
și sunt reprezentative pentru starea inițială a acestora.
Fiabilitatea: Nu trebuie să existe nimic despre modul în care au fost colectate și ulterior
administrate probele, care să pună la îndoială autenticitatea sau veridicitatea acestora.
Infractorii sunt prădători, iar utilizarea în masă a mijloacelor digitale și a internetului le-a oferit noi
oportunități pentru a-și săvârși infracțiunile. Aceștia au dezvoltat noi strategii pentru infracțiunile
tradiționale prin exploatarea acestor noi canale de comunicare și au apărut noi categorii de
infracțiuni. Prin urmare, este imperativ ca toți cei implicați în sistemul juridic să fie familiarizați cu
diferitele forme de probe electronice și să știe cum să le abordeze.
Este probabil ca aproape orice infracțiune din zilele noastre să implice un dispozitiv electronic care
are o memorie sau o formă de programare. Chiar și în cazul în care infracțiunea în sine nu a făcut
uz de un astfel de dispozitiv, este foarte posibil ca acțiunile făptuitorului să fi fost surprinse sau
înregistrate de o cameră de luat vederi cu circuit închis CCTV sau un dispozitiv cu sistem de
poziționare globală (GPS) de pe un dispozitiv mobil sau dintr-un vehicul. Securizarea probelor
electronice prin examinarea și investigarea criminalistică digitală a devenit instrumentul principal
pentru aducerea infractorilor în fața justiției.
Următoarele principii sunt furnizate pentru a ghida cititorii atunci când au de a face cu probe
electronice. În deceniul care a trecut de la formularea acestor principii, în lumea tehnologiei s-au
schimbat multe, astfel că acestea au fost modificate pentru a face față provocărilor mediului
operațional de astăzi.
Nicio acțiune întreprinsă nu trebuie să schimbe în mod fizic niciun fel de date,
dispozitive sau suporturi electronice care ar putea fi utilizate ulterior ca probe în
instanță.
Orice persoană care manipulează probe electronice trebuie să aibă pregătirea necesară și
adecvată.
Următoarea listă de potențiale surse de probe nu este exhaustivă, dar conține exemple dintre cele
mai frecvent întâlnite.
Un sistem informatic va fi format dintr-un număr de componente diferite, care este probabil să
includă:
Sistemele de calculatoare pot avea diferite forme, inclusiv calculatoare de birou (desktop-uri),
calculatoare portabile (laptop-uri), calculatoare turn, sisteme montate în rack, minicalculatoare și
calculatoare principale. Alte dispozitive se vor conecta, în mod obișnuit, la aceste sisteme, inclusiv
imprimante, scanere, routere, unități de hard disc externe și alte dispozitive de stocare, precum și
stații de andocare (care permit realizarea mai multor conexiuni).
Articolul 1 - Definiții
b. "date informatice" înseamnă orice reprezentare de fapte, informații sau concepte sub
o formă adecvată prelucrării într-un sistem informatic, inclusiv un program capabil să
determine executarea unei funcții de către un sistem informatic;
Această definiție include tablete, telefoane inteligente și alte dispozitive descrise mai jos.
Dispozitivele de stocare au, de asemenea, multe forme și dimensiuni și variază în ceea ce privește
modul în care stochează și păstrează datele. Următoarea secțiune oferă detalii referitoare la unele
dintre aceste dispozitive și capacitățile acestora.
Unitățile de hard disc (HDD) sunt principalele dispozitive de stocare din sistemele informatice.
Acestea constă dintr-o placă de circuit, date și conexiuni de alimentare. În interiorul unității de hard
disc există platane de ceramică, metal sau sticlă încărcate magnetic (adică plăci sau discuri), care
se rotesc la viteză mare. Un braț trece peste suprafața platanului, ca în cazul pick-up-urilor de modă
veche și „scrie” datele pe disc. Nu este neobișnuit ca, în timpul unei percheziții, să fie descoperite
unități de hard disc separate, care nu sunt conectate la, sau instalate, într-un sistem informatic. De
obicei, o unitate de hard disc va măsura transversal 8,9 cm la calculatoarele de birou și 6,35 cm la
calculatoarele portabile.
Discurile în stare solidă (SSD - solid state disks) au o structură diferită de hard discuri și devin tot
mai populare. În loc să stocheze date pe platane magnetizate, unitățile cu cipuri stochează date
utilizând microcipuri și nu au părți mobile. Ca atare, acestea sunt mai puțin susceptibile a fi
deteriorate atunci când sunt aruncate sau lovite și oferă acces mai rapid la date. SSD-le sunt
disponibile în diferite forme, de ex. în carcase de 6,35 cm, sub formă de carduri care se introduc în
slot-uri mSATA sau M.2, sub formă de carduri de expansiune PCI-e sau lipite direct la placa de bază.
2 Sursa imaginii:
[1] zdnet2.cbsistatic.com/hub/i/r/2015/09/01/dfa86998-089b-473c-8b63-
73b1051b0935/thumbnail/770x578/fb90fb0770a3826f70c9577df2f6e8cd/lenovo-s500-business-desktop-
all-in-one-enterprise-pc.jpg
[2]bhphotovideo.com/images/images2500x2500/lg_14z990_r_aas7u1_gram_i7_8565u_16gb_256ssd_145983
3.jpg
[3] delimitercomau.c.presscdn.com/wp-content/uploads/2013/11/ibm-mainframe.jpg
Compact-discurile (CD), Discurile Video Digitale4 (DVD) și Discurile Blu-ray (BD) sunt utilizate, de
obicei, pentru stocarea fișierelor video sau audio de mari dimensiuni. Totuși, acestea pot stoca, de
asemenea, și volume mari de alte tipuri de date, care pot avea o valoare probatorie. Deși arată
foarte asemănător, capacitățile de stocare variază foarte mult.
3 Sursa imaginii
[8] upload.wikimedia.org/wikipedia/commons/e/e6/Hard_disk_Western_Digital_WD1000_1_ (dark1).jpg
[9] lh3.ggpht.com/_Kkg7XHt7mJA/TLHZioMTiBI/AAAAAAAAAow/FN4THl-QzNQ/s800/Storage-Hard-disk.jpg
[10] extremetech.com/wp-content/uploads/2014/12/samsung-850-evo-exploded-ssd.jpg
[11] pcgamesn.com/gaming-hardware/pcie-ssd-drive-market-share
4
Denumit, de asemenea, și Disc Versatil Digital
5 Sursa imaginii:
[12] jetmedia.co.uk/cdmada80.jpg
[13] 3.bp.blogspot.com/_RzAQQvY1zGw/TPHH3KzB3rI/AAAAAAAAAWg/ctwmTTfTgew/s1600/icon-DVD.png
[14] 4.bp.blogspot.com/_N3kyjbXGs0I/S3OK_6rfzLI/AAAAAAAAADY/S76APQ9wVPE/s320/sony-blu-ray-disc-
format-us.jpg
Cardurile de memorie, cunoscute și sub denumirea de carduri flash, sunt, de asemenea, dispozitive
pentru stocarea informațiilor digitale. Acestea sunt utilizate în dispozitive precum aparate de
fotografiat digitale, telefoane mobile, calculatoare portabile, playere audio și console de jocuri.
Acestea păstrează date fără energie și pot stoca volume uriașe de date, fiind în același timp ușor de
ascuns. Cel mai frecvent tip de card de memorie este cardul Secure Digital (SD) în formatele SD,
Mini SD și Micro SD. Alte formate mai puțin obișnuite, cum ar fi cardurile Compact Flash (CF),
cardurile xPicture, stick-urile de memorie (MS), cardurile multimedia (MMC) și cardurile Smart Media
(SM) este posibil să fie disponibile doar pe dispozitivele mai vechi.
Magistrala Serială Universală (USB) este denumirea dată unui set de reguli sau „protocol” utilizat
pentru comunicare, conexiune și alimentare pentru dispozitivele care sunt conectate la calculatoare.
Gama de dispozitive care utilizează acest protocol s-a dezvoltat enorm de la introducerea sa în anii
’90. Câteva exemple ale celor mai uzuale dispozitive USB sunt prezentate mai jos.
6 Sursa imaginii
[14] boygeniusreport.files.wordpress.com/2016/09/sandisk-1tb-extreme-pro-sd-
card1.jpg?quality=98&strip=all&w=782
[15] portal.lynxmobility.com/images/Accesssories/microSD_2GB_02.jpg
[16] heise.de/imgs/18/4/8/6/8/6/8/SP128GBCFC400V10.jpg-777a6b1cc6a3f2fc.jpeg
Cu toate acestea, nu toate dispozitivele sunt ceea ce par. Iată doar câteva dintre modalitățile prin
care dispozitivele de stocare USB pot fi mascate. Este important pentru oricine are în vedere probele
electronice să fie vigilent și conștient de posibilele noutăți.
7 Sursa imaginii
[17] brain-images-ssl.cdn.dixons.com/0/4/10142340/u_10142340.jpg
[18] sandisk.com/content/dam/sandisk-main/en_us/assets/product/retail/Extreme-PRO-USB-3.1-FlashDrive-
right.png
[19] brain-images-ssl.cdn.dixons.com/3/3/10174633/u_10174633.jpg
[20] merchandisemania.co.uk/productimages/fullsize/XH21-Metal--USB-Flash-Drive-With-Clear-Ends-STR-
CAP-OFF/Personalised-Printed--Metal--USB-Flash-Drive-With-Clear-Ends.jpg
[21] media.tecca.com/2010/11/03/630-usb-lexar-630w.jpg
[22] 1.pcmag.com/media/images/310963-verbatim-tuff-n-tiny-usb-drive.jpg?thumb=y
[23] 3.bp.blogspot.com/_zS2JDRBdNzk/THd83p8BZ8I/AAAAAAAACKc/sgBaS8XLbbg/s1600/4mm +pico-usb-
300x261.jpg
8 Sursa imaginii:
[24] ohgizmo.com/images/imation_4gb_micro_hard_drive.jpg
[25] media.gdgt.com/img/product/11/8ov/oakley-thump-i3m-800.jpg
[26] technabob.com/blog/wp-content/uploads/2006/09/imation_usb_wristbands.jpg
[27] ae01.alicdn.com/kf/HTB1uqhqbrSYBuNjSspfq6AZCpXaI/Lovers-Gift-Jewelry-Usb-Flash-Drive-Necklace-
Pendrive-32-GB-64GB-Usb-Flash-Meomory-Stick-Card.jpg
[28] schweizer-messer.eu/img/Victorinox_Classic_Serie/46125TG4B_victorinox_usb_stick.jpg
[29] latestmsgs.files.wordpress.com/2010/10/watermelon_usb_flash_pen_drive_8gb_04.jpg
Datele stocate pe bandă magnetică sunt mai probabil a fi întâlnite în mediul de afaceri decât în cel
domestic. Cel mai comun tip utilizat în prezent este tehnologia de stocare pe bandă magnetică LTO
(„Linear Tape-Open”), dezvoltată în anii ’90 ca un standard cu format deschis9. Benzile sunt utilizate,
în mod normal, pentru copii de rezervă și, prin urmare, pot fi utile în cazurile în care este necesară
o analiză istorică sau în care calculatorul original nu este disponibil.
Perifericele sunt dispozitive care nu sunt o parte integrantă a calculatorului, dar se conectează la
acesta pentru a-i crește gama de funcții. Exemple de dispozitive periferice sunt: scanere,
imprimante, unități de bandă, camere web, difuzoare, microfoane, calculatoare, faxuri, roboți
telefonici, și cititoare de carduri. Multe dintre aceste dispozitive au propria lor capacitate de stocare
a datelor și pot fi relevante pentru anumite tipuri de investigații (de exemplu, prezența unui cititor
de carduri poate fi relevantă într-o investigație privind clonarea cardurilor de credit). Iată imagini cu
doar câteva dintre tipurile de dispozitive periferice care pot fi întâlnite:
9
„format deschis” înseamnă că utilizatorii au acces la mai multe surse de stocare compatibile. Sursa:
http://searchstorage.techtarget.com/definition/Linear-Tape-Open
10Sursa imaginii
[30] 2.imimg.com/data2/LO/TG/MY-3658176/fujifilm-linear-tape-open-lto5-250x250.jpg
[31] global.tdk.com/csr/ecolove/img/eco_med03.jpg
[32] 3000newswire.blogs.com/.a/6a00d83452e85869e20134809149c4970c-320wi
Scanner = Scaner
Fax Machine = Fax
Card Reader or Skimmer = Cititor de carduri sau „cititor pentru clonarea de carduri”
Answering Machine = Robot telefonic
Label Printer = Imprimantă de etichete
Printer = Imprimantă
Un calculator tabletă este un dispozitiv care este operat mai degrabă prin atingerea ecranului, decât
prin utilizarea unei tastaturi sau a unui mouse. În mod normal, este mai mare decât un telefon mobil
sau un asistent personal digital (PDA). Tabletele stochează datele, în mod tipic, pe memoria flash,
dar, din ce în ce mai mult, datele generate de utilizator sunt stocate în cloud. În ultimii ani, tabletele
au devenit foarte populare. Acestea utilizează propriile sisteme de operare și sunt adesea conectate
la Internet printr-o rețea wireless locală (WLAN), rețele de date mobile (3G, 4G, 5G).
11Sursa imaginii:
[33] softwaretutor.files.wordpress.com/2010/04/fax.jpg
[34] superwarehouse.com/images/products/hpQ3851AA2L.jpg
[35] static.bhphoto.com/images/images345x345/504534.jpg
[36] carolinabarcode.com/images/ArticleImages/RunMyStore/CreditCardReader.jpg
[37] xactcommunication.com/itempics/48_xlarge.jpg
[38] labelprinter.org.uk/wp-content/uploads/2009/03/dymo-labelwriter-400.jpg
Vremurile în care un telefon era utilizat doar pentru efectuarea și recepționarea de apeluri sunt
demult apuse. În prezent, telefoanele mobile sau „celulare” sunt utilizate pentru multe alte sarcini:
trimiterea și recepționarea de mesaje text și multimedia; accesarea internetului și a e-mailului;
jocuri; ascultarea de muzică; și, efectuarea de fotografii. Majoritatea telefoanelor mobile moderne
sunt calculatoare în adevăratul sens al cuvântului, deși conectivitatea lor impune ca acestea să fie
gestionate într-un mod oarecum diferit. Este important de reținut faptul că diferite telefoane au
capabilități diferite și modul în care se conectează („interfețele de conectare” ale acestora) poate
necesita echipament specializat pentru obținerea de probe.
12 Sursa imaginii:
[4] find-cool.net/wp-content/uploads/2012/09/Windows-8-Tablet-PC.jpg
[5] vedainformatics.com/blogs/wp-content/uploads/2010/01/apple-ipad-tablet-pc.png
[6] comparetablets.co.uk/wp-content/uploads/2011/09/galaxy-tab-8.9.jpg
[7] cache.gizmodo.com/assets/images/4/2007/12/delltablet.jpg
13Sursa imaginii:
[39] i.ytimg.com/vi/xTKqEPnd_vc/maxresdefault.jpg
[40] i-cdn.phonearena.com/images/articles/355377-image/galaxy-s20-colors.jpg
[41] 5gmobilephone.net/wp-content/uploads/2019/04/Galaxy-Fold-5G.jpg
Aparatele de fotografiat digitale realizează fotografii sau imagini video sub forma a mii de puncte
mici de lumină numite pixeli. Majoritatea aparatelor de fotografiat digitale moderne pot înregistra,
de asemenea, și sunete și imagini. Aparatele de fotografiat digitale pot stoca mii de imagini pe
„carduri de memorie” mici (a se vedea 2.1.1.3 de mai sus) sau în aparatul de fotografiat în sine.
Pentru investigațiile care implică fotografii, este posibil să se poată dovedi cu ce aparat de fotografiat
a fost făcută o fotografie specifică, deoarece, adesea, împreună cu imaginea sunt stocate și anumite
metadate14. Exemple de tipuri comune de aparate de fotografiat digitale sunt prezentate mai jos,
împreună cu unele aparate de fotografiat deghizate sub forma unor alte dispozitive.
14
De exemplu, utilizarea standardului Format Interschimbabil pentru Fișiere Imagine - EXIF (Exchangeable
Image Format).
15Sursa imaginii
[42]cdn-4.nikon-cdn.com/e/Q5NM96RZZo-YRYNeYvAi9beHK4x3L-
8u4h56I3YwHLAQ4G0XzTY4Dg==/Views/1590_D3500_front.png
[43] upload.wikimedia.org/wikipedia/commons/d/d1/Nikon_J1_image%2C_10-30mm_lens.jpg
[44] cdn.hasselblad.com/hasselblad-com/fe6809c9-4c18-43ca-b923-6c768130b2fb_X1D+II+45P+front-
right+white.jpg?auto=format&q=97&rect=0,0,3999,2667&w=1024&h=683
[45]iseupshop.com/media/catalog/product/cache/1/image/9df78eab33525d08d6e5fb8d27136e95/w/i/wiseup2
_7.jpg
[46] cnet4.cbsistatic.com/img/Y-HjkDvbcLt1CamB1tauGJUMKKc=/fit-
in/300x250/filters:no_upscale()/2018/02/22/a5714392-97fe-4b0a-8e09-a4ae0d8de1f8/41mvjkhmojl.jpg
[47] wholesales-shopping.com/wp-content/uploads/2011/09/17.jpg
[48]itechde1.nextmp.net/media/catalog/product/cache/1/image/650x650/9df78eab33525d08d6e5fb8d27136e
95/2/1/21738_-_copy_2_1.jpg
Deseori, o cameră video digitală își stochează imaginile, de asemenea, pe suporturi amovibile, dar
poate și înregistra pe un hard disc conținut în interiorul camerei. În unele cazuri, aceste camere
arată foarte asemănător cu aparatele de fotografiat digitale (având în vedere faptul că aparatele de
fotografiat digitale pot, de obicei, să realizeze, de asemenea, și înregistrări video, iar o cameră video
digitală poate să realizeze fotografii). Câteva exemple de camere video sunt prezentate mai jos.
Înregistratoarele video se găsesc, de obicei, în mediul rezidențial și sunt utilizate pentru înregistrarea
programelor TV sau a altor activități bazate pe plan local. De asemenea, acestea sunt utilizate pentru
a reda filme, muzică și alte date pre-înregistrate. Înregistratoarele de tip Video Home System (VHS)
au predominat din anii ’70 până când au fost înlocuite de versiunile digitale. VHS înregistra și reda
prin utilizarea unor casete mari cu bandă magnetică, ce pot fi încă găsite în anumite circumstanțe.
Pentru o anumită perioadă de timp, au devenit disponibile înregistratoarele cu DVD și Blu-Ray, în
timp ce, în prezent, sunt populare înregistratoarele cu unități de hard disc sau cu stocare flash. În
mediile moderne, înregistratoarele sunt de domeniul trecutului, deoarece televizoarele și
receptoarele prin satelit / cablu oferă funcția de înregistrare. Pe lângă faptul că difuzarea
(streamingul) video / audio prin Internet este din ce în ce mai popular. Acolo unde există sistemul
cu circuit închis CCTV, imaginile camerelor pot fi înregistrate în oricare dintre aceste formate.
16Sursa imaginii:
[49] alpha.akihabaranews.com/wp-content/uploads/images/6/66/16666//1.jpg
[50] sils.unc.edu/sites/default/files/it/CanonGL2.jpg
[51] pembrokeshirefilmfestival.files.wordpress.com/2012/12/panasonic-hcv100.png
Înregistratoarele audio digitale sunt mici dispozitive portabile utilizate pentru înregistrarea sunetului
pe un cip de memorie pentru a reda înregistrarea. Acestea sunt disponibile în diverse capacități, în
ceea ce privește timpul de înregistrare și calitatea maxime. Unele înregistratoare au o capacitate
USB care permite încărcarea înregistrărilor pe un calculator și pot avea un program software de
recunoaștere vocală asociat, care permite crearea de transcrieri automate. Acestea sunt utilizate,
de obicei, în mediile de afaceri, academice sau de presă.
Camerele de televiziune cu circuit închis (CCTV) sunt utilizate de companii, guverne și persoane
fizice. Camerele CCTV pot fi utilizate în mod continuu sau pentru a monitoriza o anumită activitate.
În unele țări, acestea au devenit un instrument de supraveghere în locuri publice, monitorizând
traficul sau fluxurile de mulțime, detectând tulburări publice sau activități infracționale. Unele
17 Sursa imaginii
[52] s14.favim.com/610/160724/news-vcr-vhs-video-cassette-recorder-Favim.com-4547444.jpeg
[53] geraldgiles.co.uk/wp-content/uploads/2017/07/HDD-DMRHWT250EB-3.jpg
18Sursa imaginii
[54] i.ebayimg.com/t/8GB-Digital-Voice-Recorder-650Hr-Dictaphone-MP3-Player-w-U-Disk-Iron-gray-US-
/00/s/MTAwMFgxMDAw/$(KGrHqNHJEgFDTE6vHM3BQ7nlu,LGg~~60_35.JPG
[55] c773974.r74.cf2.rackcdn.com/0330731_617464.jpg
[56] fl12.shopmania.org/files/p/bg/t/472/m-audio-micro-track-ii~3964472.jpg
Media playerele portabile, cum ar fi iPod-urile sau playerele MP320 stochează și redau suporturi
digitale. Acestea pot include muzică și alte materiale audio, fotografii sau video, precum și
documente și alte tipuri de fișiere. Încă o dată, aceste dispozitive prezintă multe asemănări cu
calculatoarele. Unele dintre aceste dispozitive utilizează spații de stocare flash amovibile, în timp ce
altele au hard discuri mari capabile să stocheze mii și mii de fișiere. Câteva exemple de media
playere portabile sunt prezentate mai jos.
19Sursa imaginii
[57] 9to5mac.com/wp-content/uploads/sites/6/2017/08/netatmo-homekit.jpg?quality=82&strip=all&w=1600
[58]cdn.lorex.com/originals/images/products/_BF2017/LNB8921BW/1200x800/4K-Ultra-HD-IP-Camera-
LNB8921-L1.png
[59] scan.co.ok/images/products/2717762-a.jpg
[60] i.ebayimg.com/images/g/TxYAAOSwRZtc48di/s-l300.jpg
20 ‘Moving Picture Expert Group Audio Layer‘3
21 Sursa imaginii:
Consolele de jocuri video există de la începutul anilor ’70, dar, de-a lungul anilor, s-au dezvoltat
foarte mult. Aceste dispozitive utilizează spații de stocare interne sau amovibile, care le permit
utilizatorilor nu doar să joace jocuri, ci și să viziteze site-uri web și să stocheze și să redea
videoclipuri, fotografii și muzică. Din acest motiv, ele nu trebuie niciodată trecute cu vederea ca
surse de probe electronice, chiar dacă, la prima vedere, acestea par inofensive. Printre principalii
producători de console se numără Sony, Nintendo și Microsoft, iar aceste companii dețin, în prezent,
majoritatea pieței pentru console și jocuri.
[61] https://store.storeimages.cdn-apple.com/4974/as-
images.apple.com/is/image/AppleInc/aos/published/images/i/po/ipod/nano/ipod-nano-product-
spacegray-2015
[62] 3.bp.blogspot.com/-Cm55ohrNTTc/UKEvulE8ZyI/AAAAAAAADLw/_l9wi1igPrQ/s1600/1.jpg
[63] i.ebayimg.com/images/i/281795555482-0-1/s-l1000.jpg
[64] src.discounto.de/pics/Angebote/2011-06/128207/151759_MP3-Player-S2-GO-4GB-rot_xxl.jpg
[65] ecodigital.co.uk/estore/images/sandisk-sansa-fuze.jpg
22 Sursa imaginii
[66] i.ytimg.com/vi/Hme5BhT52_U/maxresdefault.jpg
[67] gadgetsin.com/uploads/2011/01/sony_psp_2_codenamed_ngp_1.jpg
[68] cbs42.com/wp-content/uploads/sites/81/2019/12/Xbox-2.jpg?w=1280&h=720&crop=1
[69] assets.vg247.com/current/2018/01/Nintendo_switch_new_6.jpg
[70] game-consoles.org/wp-content/uploads/2010/11/nintendo-3ds-video-game-console.jpg
[71] d.ibtimes.co.uk/en/full/1534113/xbox-one-s-microsoft.png
Când două sau mai multe calculatoare sunt conectate prin cabluri de date sau prin conectivitate
wireless, se creează o „rețea”. Calculatoarele dintr-o rețea sunt capabile să facă schimb de date și
alte resurse unele cu altele și adesea vor fi conectate la componente hardware suplimentare, care
extind domeniul de aplicare și funcțiile disponibile ale acestora. Rețelele de calculatoare pot fi
limitate, cum ar fi cele din locuințe (de ex., în cazul în care membrii unei familii stabilesc o rețea
care partajează un modem de internet) sau la fel de extinse ca cele utilizate de marile corporații sau
guverne care conectează sute sau chiar mii de calculatoare unele cu altele.
Rețea locală (LAN – Local Area Network) - O rețea locală este o rețea de calculatoare care
acoperă o zonă „locală” limitată, cum ar fi o locuință, un birou sau un grup de clădiri (de ex. o
școală). Caracteristicile definitorii ale rețelelor LAN includ viteza mult mai mare pe care acestea o
pot atinge pentru transferul datelor între calculatoarele din rețea, raza geografică limitată și faptul
că acestea nu necesită închirierea de linii de la companiile de telecomunicații.
Rețea extinsă (WAN – Wide Area Network) - O rețea extinsă este o rețea de calculatoare care
acoperă o zonă mai largă și va include orice rețea care trece granițele metropolitane, regionale sau
naționale. Termenul implică o rețea care utilizează routere23 și conexiuni publice de comunicații.
Unele dintre terminologiile și dispozitivele care pot fi întâlnite în cazul rețelelor sunt:
Port – Există două tipuri de porturi: porturi de calculator sau hardware și porturi de rețea sau
internet. Un port de calculator este un punct de conexiune între un calculator și un alt dispozitiv în
care informațiile intră și ies (exemplele includ porturi USB, Ethernet și paralele, prin care se pot
atașa dispozitive). Un port de rețea este localizat în programul software, în punctul în care programul
software se conectează la internet sau la serviciile de rețea. O analogie comună ar fi ușile și ferestrele
23
Un router este un dispozitiv care direcționează sau „rutează” pachetele de date de-a lungul unei rețele sau
între rețele.
Lățimea de bandă – La fel ca diametrul unei conducte, dimensiunea lățimii de bandă indică volumul
maxim de informații care pot fi transportate de-a lungul unei linii telefonice, linii de cablu, alimentare
prin satelit etc. Cu cât este mai mare lățimea de bandă, cu atât mai rapidă este viteza potențială
pentru descărcarea și încărcarea de date.
Adresa Controlului accesului la mediu (MAC – Media Access Control) – Adresa MAC este un
cod de referință unic atribuit de producător majorității adaptoarelor de rețea sau plăcilor de rețea
(NIC – network interface cards). Adresele MAC funcționează ca o adresă dintr-o rețea, astfel încât
dispozitivele să poată fi identificate și datele corespunzătoare să poată fi transmise la aceasta.
Dispozitiv de stocare atașat la rețea (NAS – Network Attached Storage ) – Un NAS este
similar unui hard disc extern cu diferența că acesta oferă spațiu de stocare pentru o întreagă rețea
nu doar pentru un singur calculator. NAS poate oferi adesea mult mai mult decât doar stocarea de
date. Un NAS poate fi utilizat ca un server de descărcare automată (de ex., uTorrent) și chiar ca un
mic server web. Multe dispozitive NAS găzduiesc mai mult de un hard disc și oferă funcționalitate
„RAID”.
24Sursa imaginii
[72] mpcomp.co.uk/5/graphics/import/105481.jpg
[73] resexcellence.com/wp-content/uploads/2013/01/5big_NAS_Pro_back_34_left.jpg
Un distribuitor/concentrator de rețea26
[74] gadgetreview.com/wp-content/uploads/2011/03/D-Link-DNS-321-Network-Attached-Storage-
Enclosure.jpg
25 Sursa imaginii:
[75] ssos.com/nic.jpg
[76] ecx.images-amazon.com/images/I/41CAHWZY8LL._SL500_SS500_.jpg
[77] images-na.ssl-images-amazon.com/images/I/51iJnzOQmfL._SY300_.jpg
26Sursa imaginii
[78] omnisecu.com/images/basic-networking/network-ethernet-hub.jpg
Un comutator de rețea27
Router – Un router este ca un dispozitiv de sortare la poștă. Acesta ete un dispozitiv care identifică
destinația căreia îi este adresat un colet sau un pachet de date și apoi trimite respectivul pachet
până la următorul punct din cea mai apropiată rețea, unde acesta trebuie să meargă. Deși un router
trebuie să fie localizat la poarta de acces între rețele, acesta nu trebuie să fie, în mod necesar,
conectat la Internet. Routerele sunt utilizate, în mod obișnuit, în locuințe, pentru a conecta o casă
la o conexiune de bandă largă. Într-o astfel de situație, acesta va servi adesea mai multor scopuri
acționând, în același timp, ca un comutator, punct de acces, firewall, router și poartă (gateway).
Imagine de router28
Server – Un server este un calculator sau dispozitiv, care oferă informații și/sau servicii altor
calculatoare dintr-o rețea. Având în vedere software-ul potrivit, orice calculator conectat la rețea
poate fi configurat ca server. În majoritatea cazurilor, un server va fi un calculator puternic dedicat
27Sursa imaginii
[79] upload.wikimedia.org/wikipedia/commons/thumb/5/5f/Linksys48portswitch.jpg/220px-
Linksys48portswitch.jpg
28Sursa imaginii:
[80] netgear.com/images/support/networking/wifi-router/XR450_Hero_Transparent.png
Imagini de servere29
Firewall – Un firewall este un dispozitiv hardware sau serviciu software care este utilizat pentru a
crește securitatea unei rețele prin prevenirea accesului neautorizat. De exemplu, un firewall poate
fi configurat pentru a detecta și bloca orice încercare de a intra într-o rețea utilizând mai multe
porturi, cu excepția porturilor care au fost configurate pentru a permite traficul de intrare. În
locuințe, cele mai frecvente sunt firewall-urile software, dar în mediile de afaceri, investigatorul este
cel mai probabil să întâlnească firewall-uri hardware.
29Sursa imaginii:
[81] x3me.info/wp-content/uploads/2011/10/server.jpg
[82] chost.pl/templates/whm/images/servers.png
[83] electroguardpaint.com/images/computerServerRoom.jpg
30Sursa imaginii
[84]hacker10.com/wp-content/uploads/2011/04/Hardware-firewall-WatchGuard-XTM-2Series.jpg
[85] plug.4aero.com/Members/lmarzke/talks/plug_utm/screenshot1.png/image_preview
[86] cloverline-guardline.com/images/firewall.jpg
În timp ce dispozitivele de rețea enumerate mai sus pot fi dispozitive autonome, așa cum se arată
în fotografii, este foarte probabil ca un singur dispozitiv să servească mai multor scopuri. Routerele
din locuință funcționează adesea ca modem, firewall, comutator și punct de acces, iar un sistem de
stocare în rețea atașat (NAS) poate servi, de asemenea, ca rețea privată virtuală, e-mail și server
web, cu funcții de comutare, precum și puncte de acces.
Selectarea dispozitivului care trebuie indisponibilizat și a probelor care trebuie colectate sau
capturate la locul unei fapte, poate fi o sarcină mai puțin ușoară decât pare la prima vedere. Factorii
de luat în considerare sunt abordați mai detaliat în secțiunea privind percheziția și indisponibilizarea.
Cu toate acestea, o planificare atentă și pregătirea în avans vor ajuta la evitarea dificultăților la fața
locului și iată câteva considerente preliminare care trebuie luate în considerare.
Prima considerație în planificarea oricărei activități coercitive este de a stabili natura și nivelul
autorizației legale și/sau autorizația necesară. Respectiva autorizație poate lua o serie de forme. Cea
mai simplă dintre acestea este obținerea consimțământului din partea persoanei responsabile de
echipamentul sau datele care urmează să fie capturate. Un astfel de consimțământ trebuie să fie
obținut întotdeauna în scris și investigatorii trebuie să se asigure că persoana care acordă
31Sursa imaginii :
[87] solwise.co.uk/images/imageswifi/net-el-ecb3500-1.jpg
[88] shop.allnet.de/media/image/3a/fb/15/12221557bd729fe3565.jpg
[89] amlabels.co.uk/files/images/products/5397.jpg
Alte niveluri de autorizare vor fi prevăzute de lege. Acestea vor depinde de natura investigației și
dacă cei care solicită autorizarea sunt de la o autoritate competentă sau care lucrează la o problemă
civilă privată. În cele mai multe cazuri, vor fi necesare un fel de ordine judecătorești sau mandate.
În cazul în care se preconizează ca probele electronice să fie relevante pentru caz, ordinul sau
mandatul trebuie să includă o autorizație de percheziție și indisponibilizare a acestor probe.
Absolut nicio activitate de constrângere, care implică indisponibilizarea echipamentului sau captura
de date nu trebuie întreprinsă fără a obține nivelul necesar de autorizare.
Decizia privind recuperarea datelor de la suspect sau de la titularul alternativ de date este
o decizie tactică. În unele jurisdicții, terții sunt obligați prin lege să își notifice clientului cu
Deoarece criminalistica digitală este atât de complexă și sunt implicate atât de multe discipline
diferite, un examinator de criminalistică digitală tinde să se specializeze într-un domeniu al probelor
electronice. Aceasta înseamnă că, este posibil ca un investigator sau procuror să aibă uneori nevoie
să apeleze la serviciile unui specialist în domeniul digital, care să îl ajute lîn cazul unor situații tehnice
specifice.
Atunci când selectați un specialist, poate fi utilă verificarea unei forme de acreditare oficială acordată
de un organism academic sau profesionist respectat. Acreditarea reprezintă un anumit nivel de
pregătire educațională și oferă o evaluare independentă a acreditărilor sale, atunci când expertiza
acestuia este examinată cu atenție în instanță. În mod similar, un istoric de publicare în reviste
recunoscute recenzate de experți, experiență în cazuri anterioare și reputația profesională, toate
ajută la creșterea acestei încrederi.
Procesul de selecție nu trebuie să fie întâmplător, ci activ și structurat, încă de la început. Unitățile
de criminalitate informatică pot fi în măsură să ofere consultanță suplimentară cu privire la criteriile
de selecție, cu toate acestea, următoarele criterii pot ajuta la stabilirea valorii și reputației unui
martor consultant independent.
Aptitudini de specialitate
b. Competențe specifice pe care acesta le deține, care sunt relevante pentru cazul în
cauză;
Experiență de specialitate
Cunoașterea investigației
Cunoștințe contextuale
Cunoștințe juridice
a. Declarațiile;
b. Continuitatea;
Abilități de comunicare
a. Natura specialității;
General
c. În cazul în care este relevant, expertul trebuie să fie informat cu privire la orice
ghiduri relevante privind materialele referitoare la pedofilie, inclusiv efectul unor
Această secțiune tratează acțiunile care trebuie luate la recuperarea potențialelor surse de probe
electronice din spațiile controlate de un suspect.
Procesul de planificare și pregătire trebuie să fie suficient de riguros pentru a identifica nivelul de
suport criminalistic care va fi necesar la fața locului. În cazul în care a fost identificată necesitatea
de expertiză criminalistică digitală, persoana responsabilă cu percheziția trebuie să informeze, cât
mai curând posibil, unitatea criminalistică locală și/sau specialiștii externi pentru a se asigura că este
disponibil suportul necesar.
Prima decizie cu privire la potențialele probe electronice într-o operațiune planificată va fi natura
locației de percheziție și tipul(le) de indisponibilizări care pot fi necesare; fie indisponibilizarea și
îndepărtarea echipamentelor, care nu sunt utilizate la momentul respectiv (adică, „unitate
nefuncțională”), fie captura de date live de pe dispozitivele care sunt pornite și funcționează, sau o
combinație a celor două.
Este posibil ca astfel de decizii să trebuiască să fie revizuite la locul faptei, odată ce circumstanțele
devin clare, dar, cât mai multe informații referitoare la sistemul informatic utilizat trebuie colectate
în avans. Astfel de detalii pot fi necesare pentru mandatul de percheziție, acolo unde legislația
națională impune acest lucru.
După realizarea planificării și judecății inițiale, pregătirea pentru pătrunderea și percheziția efectivă
trebuie să includă următorii pași:
Nu uitați că toate activitățile trebuie să fie în conformitate cu legile statului și locale, precum și cu
politica instituției.
În cazul în care se știe sau se suspectează că există posibilitatea ca la fața locului să se găsească
probe electronice, echipa de percheziție trebuie să includă membri special formați pentru funcția
respectivă, precum și, dacă este necesar, un specialist independent. În cazul în care sistemul este
administrat sau întreținut de către o companie sau un administrator extern, investigatorul ar putea
lua în considerare implicarea acestora ca martori experți (desigur, în cazul în care acesta nu este
considerat suspect și nu are un alt conflict de interese).
Ca nivel minim, cel puțin cei care se ocupă de probele electronice (și, în mod ideal, toți cei prezenți)
trebuie să fi beneficiat de formarea de bază privind identificarea și colectarea surselor potențiale de
astfel de probe. Atunci când este posibil, fiecare grup însărcinat cu indisponibilizarea probelor
electronice trebuie să fie format din cel puțin doi ofițeri, astfel încât să poată exista doi martori
pentru fiecare acțiune.
Toți membrii echipei trebuie să cunoască principiile care se aplică în cazul manipulării probelor
electronicei, precum și a celor utilizate pentru manipularea altor probe fizice. Aceștia trebuie să fie
conștienți de orice măsuri speciale necesare (de exemplu, să nu utilizeze pulberea de aluminiu pentru
colectarea amprentelor digitale de pe dispozitivele electronice). De asemenea, aceștia trebuie să știe
că, în anumite situații, trebuie să contacteze o unitate de specialitate și să aibă pregătite aceste
informații de contact, în cazul în care nu au implicat specialiști în percheziție.
Uneori, sunt necesare instrumente și echipamente speciale pentru a colecta probe electronice și,
deși progresele tehnologice pot necesita suplimentări la oricare dintre echipamentele utilizate
anterior, următorul set de instrumente de bază va fi de ajutor în multe cazuri.
- Șurubelnițe (cu cap plat și cap în cruce și specific producătorului (de ex., Hewlett
Packard, Apple));
- Chei de piulițe (piuliță hexagonală, piuliță tip stea și biți de siguranță);
- Clești (standard si cu cioc);
- Clește de tăiat sârmă (pentru îndepărtarea brățărilor autoblocante);
- Pensete mici;
- Documentație:
- Instrumente de comunicare:
- Telefon mobil sau alte dispozitive de comunicare pentru obținerea de consultanță (nu
trebuie utilizate în apropierea echipamentelor informatice);
- Informații de contact pentru asistență (de ex., numerele de telefon ale unității de
specialitate)
- Alte articole:
Persoana responsabilă de percheziție trebuie să asigure siguranța tuturor persoanelor aflate la fața
locului și integritatea tuturor probelor, atât tradiționale, cât și electronice. Rețineți faptul că
potențialele probe din calculatoare și alte dispozitive electronice pot fi ușor modificate, șterse sau
distruse, dar probele criminalistice tradiționale joacă, de asemenea, un rol important și sunt
susceptibile la contaminarea încrucișată.
- Separați și identificați toate persoanele (martori, subiecți sau alții) la locul faptei și
înregistrați locația acestora la momentul intrării;
- Utilizați o listă de verificare pentru a colecta și înregistra informațiile de la aceste
persoane;
- Locul fizic;
- Documentați următoarele:
Iată câteva exemple referitoare la ceea ce ar putea întâmpina un investigator într-un scenariu de
percheziție și indisponibilizare și modul în care acesta poate să documenteze locul faptei:
Imagini de ansamblu:
Detalii:
Un sistem informatic nu trebuie indisponibilizat ca probă doar pentru că se găsește la locul faptei. O
astfel de măsură trebuie să fie justificată și proporțională cu infracțiunea corespunzătoare, prin
urmare, persoana care a dispus percheziția trebuie să ia o decizie conștientă un articol trebuie luat
sau nu. Acesta/aceasta trebuie să aibă o suspiciune rezonabilă sau suficiente dovezi pentru a justifica
indisponibilizarea.
Scenariul de tip „unitate nefuncțională” se referă la echipamentele care au fost găsite în timpul
percheziție să fie dezactivate. Dispozitivele nefuncționale vor fi îndepărtate de la locul faptei și
examinate ulterior la un laborator al autorităților de aplicare a legii sau un laborator de criminalistică
digitală.
Proba electronică, la fel ca oricare alte tipuri de probe, trebuie să fie tratată cu atenție și într-o
manieră, care să îi păstreze valoarea probatorie. Aceasta se referă nu numai la integritatea fizică a
unui articol sau dispozitiv, ci și la datele electronice pe care le conține. Anumite tipuri de probe
electronice vor necesita colectare, ambalare și transport special. Proba electronică poate fi
susceptibilă a fi deteriorată sau alterată de câmpurile electromagnetice (cum ar fi cele generate de
Recuperarea probelor non-electronice (sau probe convenționale) poate fi, de asemenea, crucială
în cadrul investigației și trebuie acordată atenție adecvată pentru a se asigura recuperarea și
conservarea acestor probe. Alte elemente relevante pentru anchetă sunt frecvent întâlnite în
imediata proximitate a calculatorului sau a articolelor hardware conexe și trebuie, de asemenea,
indisponibilizate. Ca întotdeauna, toate elementele de probă trebuie identificate, securizate,
ambalate și păstrate în conformitate cu politicile instituției și cu legile aplicabile.
Calculatoarele și dispozitivele conexe sunt instrumente electronice fragile care sunt sensibile la
temperatură, umiditate, șoc fizic, electricitate statică, surse magnetice și chiar la unele funcții
operaționale (de ex., pornire/oprire). Prin urmare, rebuie luate precauții speciale la ambalarea,
transportul și stocarea probelor electronice. Pentru menținerea lanțului de custodie, trebuie
înregistrate ambalajul, transportul și depozitarea și orice schimbare a custodiei sau a condiției
bunului indisponibilizat trebuie cronometrată și notată.
Manipularea de către persoanele care nu posedă cunoștințele necesare poate provoca deteriorarea
sau distrugerea probelor electronice și trebuie luate următoarele precauții:
- Ambalare:
- Lăsați telefonul(ele) celular(e), mobil(e) sau inteligent(e) în starea de alimentare (pornit sau
oprit) în care a fost găsit.
- Transport:
- Depozitare:
Un sistem informatic este, de obicei, format din următoarele componente care trebuie luate în
considerare pentru colectare, în caz de indisponibilizare:
- o unitate principală (o carcasă din plastic sau metal care conține o placă de bază, unitatea
centrală de procesare, memoria și, eventual, plăcile de expansiune);
- un monitor (de obicei, atașat la unitatea principală);
- o tastatură (de obicei, atașată la unitatea principală);
- un mouse;
- cabluri;
- unități de alimentare (de ex., pachete de alimentare și baterii de rezervă);
- eventual componente suplimentare (de ex., modemuri, imprimante, scanere, stații de
andocare, replicatoare de porturi, cititoare de carduri, modemuri USB, carduri inteligente și
dispozitive externe de stocare a datelor); și,
- dispozitive de rețea.
Calculatoarele personale (PC) au diverse tipuri și numere de porturi (adică în acest caz orificii fizice
precum porturile USB) pentru conectarea dispozitivelor de stocare externă, ecranelor de afișare,
tastaturilor, imprimantelor, mouse-urilor și altor dispozitive periferice. Dispozitivele pot fi, de
asemenea, conectate la un calculator printr-o conexiune wireless (de ex., WLAN, Bluetooth,
infraroșu).
32
Bateria care alimentează semiconductorul complementar din oxid metalic (CMOS) este utilizată pentru a
alimenta BIOS-ul (sistemul de intrare/ieșire de bază) care permite pornirea unui calculator.
Într-o rețea de calculatoare, se găsesc, de asemenea, componente suplimentare de rețea (de ex.,
cabluri de rețea, routere, hub-uri și comutatoare), care pot oferi conectivitate wireless.
După cum am văzut, suporturile de stocare și alte dispozitive electronice nu sunt întotdeauna ușor
identificabile ca atare. Este posibil ca acestea să fie ascunse în ceasuri de mână, bijuterii, chei, jucării
etc.
Adesea, dispozitivele de stocare digitale nu sunt stocate în apropierea sistemului informatic, ci într-
o cameră separată sau chiar într-o clădire diferită. În unele cazuri, suportul poate fi închis în cutii
speciale sau dulapuri (de ex., seifuri de securitate a datelor)
În sfârșit, următoarele articole pot fi, de asemenea, luate în considerare și pentru colectare și pot
oferi ajutor suplimentar la examinarea unui sistem informatic:
Această secțiune următoare descrie pașii necesari pentru indisponibilizarea unui calculator. Unele
dintre etapele inițiale au fost deja descrise în secțiunile anterioare.
Rețineți:
- Atenție, unele dispozitive pot fi conectate printr-o conexiune wireless (de ex., WLAN,
Bluetooth, infraroșu);
Graficele din Anexele A și B oferă o diagramă de flux ușor de urmărit pentru tratarea dispozitivelor
indisponibilizate. Utilizatorii sunt responsabili să se asigure că procedurile prevăzute în aceste
diagrame sunt în conformitate cu orice legislație națională sau ghiduri procedurale.
Dacă este posibil, luați întotdeauna în considerare îndepărtarea bateriei din calculatoarele și
dispozitivele portabile.
Este posibil ca un sistem informatic care pare a fi oprit să fie în modul de repaus (sleep mode). Dacă
acesta este cazul, ar putea fi activat și accesat de la distanță permițând modificarea sau ștergerea
fișierelor.
Unele economizoare de ecran (screen saver) dau impresia că computerul este oprit. Observați
monitorul și încercați să determinați dacă acesta este pornit, oprit sau în modul de repaus.
Situația 1: Monitorul este pornit și produsul de lucru și/sau desktop-ul este vizibil.
Situația 2: Monitorul este pornit și ecranul este gol (modul de repaus) sau economizorul de
ecran (de exemplu, o imagine) este vizibil.
După ce ați stabilit dacă computerul este pornit sau oprit, va trebui să efectuați una dintre
următoarele:
Dacă sistemul informatic este oprit, lăsați-l oprit, deoarece procesul de pornire va modifica
datele calculatorului și poate distruge probele.
Rețineți: Atunci când un sistem este pornit, este crucial să vă asigurați că suspectul este
securizat și nu se află în apropierea panourilor electrice, întrerupătoarelor de alimentare,
precum și a dispozitivelor mobile de comunicații. Au existat cazuri în care sistemele care
rulează cu criptare completă de disc au fost oprite în timpul percheziției, doar pentru că
suspectul a reușit să ajungă la panoul electric sau să trimită un semnal către un adaptor de
alimentare controlabil de la distanță.
Rețineți - Dacă aveți un motiv întemeiat să credeți că există o rețea, contactați un specialist
în rețelele de calculatoare înainte de a ajunge la locul faptei. În cazul în care nu este
- Plăcile de rețea (NIC sau interfață de rețea) și cablurile asociate (dacă nu este
wireless);
- Dispozitivele fără rețea wireless locală (WLAN) (de ex., punct de acces fără fir);
- Routere, concentratoare de rețea și comutatoare;
- Servere; și,
- Cablurile de rețea care rulează între calculatoare sau dispozitive centrale, cum ar fi
concentratoarele de rețea.
Așa cum am menționat mai sus, un sistem informatic poate include câteva componente
suplimentare, cum ar fi:
- Dispozitive de stocare externe conectate prin cabluri sau alte interfețe;
- Duplicatoare de unități;
- Mp3 playere;
- Modemuri USB;
- Carduri inteligente și cititoare de carduri inteligente;
- Imprimante;
- Scanere;
- Stații de andocare;
- Replicatoare de porturi;
- Carduri PC și cititoare de carduri de PC;
- Camere web (a se vedea aparatele de fotografiat digitale) și microfoane;
- Dispozitive care activează Bluetooth (de ex., modemuri USB cu Bluetooth pentru
perifericele externe); și,
- Dispozitive cu funcție Bluetooth (de ex. căști, PDA-uri, calculatoare portabile mici,
telefoane, receptoare GPS).
Rețineți: Este posibil ca unele componente să aibă o altă funcție (de ex., pixuri, ceasuri,
bijuterii).
Adesea, următoarele suporturi de stocare nu sunt depozitate lângă calculator, ci fie într-o încăpere
separată, fie într-o clădire diferită (Așa cum s-a menționat la punctul 3.4.2 de mai sus, în unele
cazuri, suportul poate fi închis în căsuțe speciale așa-numitele cabinete de securitate a datelor):
- Dischete;
- Suport de rezervă (de ex. benzi magnetice);
- Suport optic;
- Unitățile de hard disc neconectate la calculator;
- Carduri pentru PC;
- Cartelă cu bandă magnetică;
- Carduri de memorie;
- Stilouri/chei/stick-uri de memorie USB;
- Modemuri USB;
- Discuri în stare solidă.
- Telefoane;
- Roboți de telefon;
- Fax;
- Copiatoare.
- Aparate de dictat/reportofoane (a se vedea, de asemenea, roboții telefonici);
- Pagere;
- Console de jocuri cu capacitate de stocare internă și externă, etc .;
- Dispozitive GPS și alte dispozitive de poziționare prin satelit;
- Dispozitive purtabile (wearables - ceasuri inteligente, urmăritori de activitate (tracker) etc.);
- Cititoare pentru clonarea cardurilor de credit sau cititoare cu bandă magnetică;
Trebuie luate în considerare următoarele aspecte în cazul indisponibilizării unui dispozitiv electronic
(aceleași recomandări oferite deja în Secțiunea 3.4.3 cu privire la calculatoare):
- Dacă dispozitivul este pornit, nu îl opriți, deoarece oprirea acestuia poate activa un mecanism
de blocare:
- Dacă acesta este dezactivat, nu îl porniți, deoarece aceasta ar putea modifica/distruge probe
(ca în sistemele informatice);
- Deconectați mai degrabă cablurile de rețea și de alimentare, decât dispozitivul, apoi
documentați-l și etichetați-l;
- Colectați/înregistrați informațiile importante:
Rețineți: După indisponibilizare, dispozitivul trebuie înmânat unui specialist, cât mai curând
posibil. În cazul telefoanelor mobile, acest lucru trebuie efectuat imediat.
Chiar dacă asistenții digitali personali (PDA, sau calculatoare de buzunar) nu sunt la fel de populari
în prezent cum erau în trecut, este totuși posibil să existe la locul faptei. Un PDA este un dispozitiv
mic care poate fi utilizat pentru calcule, telefon/fax, paging, conectare la rețea și alte lucruri. Acesta
este (a fost) utilizat, de obicei, ca organizator personal (sau organizator electronic). Un calculator
portabil se apropie de funcționalitatea completă a unui sistem de calculator de birou. Unele PDA-uri
conțin unități de disc, iar altele au slot-uri pentru carduri PC care suportă un modem, hard disc sau
alt dispozitiv. Acestea includ, de obicei, un mecanism de sincronizare a datelor lor cu alte sisteme
informatice, cel mai frecvent printr-o conexiune din suportul de bază. Dacă la locul faptei este găsit
un suport de bază, încercați să localizați dispozitivul de buzunar asociat. Un PDA poate conține
potențiale probe electronice la fel ca un sistem informatic.
Atunci când sunt indisponibilizate PDA-uri ca probe electronice, trebuie luate în considerare
următoarele;
Colectare:
- Rețineți faptul că unele PDA-uri pot fi conectate printr-o conexiune wireless (de ex.
Bluetooth, WiFi);
- Rețineți faptul că, dacă există orice conexiune la rețea, PDA poate fi accesat și
manipulat pe durata indisponibilizării (adică, ori de câte ori este pornit și în apropierea
unei conexiuni la rețea).
- Dacă la locul faptei se găsește un PDA pornit, nu apăsați butonul de RESETARE (RESET) și
nu îndepărtați bateriile, deoarece poate duce la pierderea completă a datelor stocate în PDA.
- Nu porniți și nu deschideți PDA-urile la momentul colectării;
- Indisponibilizați cablurile de alimentare și perifericele, inclusiv extensiile de memorie sau
elementele care conectează PDA-ul la calculator (de ex., bază, cablu, set de încărcare);
- Evitați activarea criptării, păstrând PDA-ul în modul de funcționare (de ex., atingând
o secțiune goală a ecranului) până când este disponibilă asistența de specialitate.
Un telefon mobil poate avea unele funcționalități suplimentare (de exemplu, posibilitatea de a realiza
fotografii digitale). Telefoanele mobile moderne au adesea un sistem de operare (cum ar fi iOS,
Android) care permite utilizatorului să îndeplinească sarcini care sunt asociate, în mod obișnuit, cu
sistemele informatice tradiționale, inclusiv primirea și transmiterea de e-mailuri, navigarea pe
internet, chat-ul, jocurile etc. Telefoanele mobile cu o astfel de funcționalitate extinsă se numesc
telefoane inteligente (smartphone).
Un telefon se poate alimenta de la o baterie internă, de la o priză electrică sau direct din sistemul
telefonic. Comunicarea în două sensuri este stabilită de la un receptor la altul, prin utilizarea de linii
fixe, transmisie radio, sisteme celulare sau o combinație de sisteme. Multe telefoane pot stoca nume,
numere de telefon și informații de identificare a apelantului. Multe telefoane mobile pot stoca, de
asemenea, nume, adrese, informații din calendar, detalii privind apelurile primite, primi e-mail,
trimite texte, pot acționa ca un reportofon și pot fi utilizate pentru a accesa internetul (așadar conțin
date de acces la internet). Accesul la multe telefoane mobile va necesita coduri PIN, parole sau alte
coduri de acces,
Dispozitivele tabletă sunt foarte similare cu telefoanele inteligente, dar au un ecran mai mare.
Acestea dispun de sisteme de operare proprii bazate pe versiunile de telefonie mobilă ale sistemelor
de operare. La fel ca telefoanele inteligente, acestea oferă o varietate aproape nelimitată de
funcționalități și permit utilizatorului să își instaleze propriile aplicații (apps).
Un card inteligent este un dispozitiv mic de mână care conține un microprocesor (adică un „cip”.
Uneori acesta este numit card cip) care este capabil să stocheze o valoare monetară, cheie de
criptare sau informații de autentificare (parolă), certificat digital sau alte informații. De fapt, unele
carduri inteligente sunt mici calculatoare, deoarece acestea au, de asemenea, și un sistem de
operare (adică, un sistem de operare pentru carduri inteligente).
- Ca niște carduri cheie, care permit accesul fizic în zone/clădiri/încăperi cu acces restricționat;
- Furnizarea controlului de acces pentru calculatoare sau programe sau funcții (de ex., ca o
cheie de criptare);
- Permiterea retragerii numerarului la bancomate;
- Acționarea ca o portmoneu/portofel electronic (de ex., pentru plăți în magazinele cu
amănuntul);
- Ca un card de fidelitate sau card bancar de client;
- Ca un card de identificare pentru asigurări sociale sau guvernamental;
- Ca autorizare pentru accesarea anumitor servicii guvernamentale;
- Pentru crearea de semnături digitale;
- Ca o cartelă telefonică; sau,
- Pentru stocarea în alt fel a datelor, adreselor, codurilor de acces personale.
Datorită acestor diverse utilizări și a informațiilor pe care le poate conține, un card inteligent poate
conține potențiale probe, aproape în același mod ca un sistem informatic.
Există și alte standarde de carduri cu cip. De exemplu, formatul ID-0 (dimensiune 25x15x0.76mm),
care sunt utilizate în telefoanele mobile (cartela SIM de dimensiune maximă).
Token-urile USB33 conțin atât un cip (pe baza acelorași standarde ca un cip dintr-un card inteligent),
cât și funcționalitatea cititorului de card cu cip. Aceasta înseamnă că acestea sunt din ce în ce mai
populare pentru autentificarea în doi pași în scopul obținerii de servicii informatizate.
Există unele carduri inteligente, numite carduri inteligente fără contact (contactless), care utilizează
tehnologia de inducție în locul unei plăci de contact. Aceste carduri nu necesită contact fizic cu
cititorul de carduri, ci trebuie doar plasate în imediata apropiere a dispozitivului de citire. De
33
În calculul unui token este ceva care permite efectuarea unei anumite acțiuni. Deseori, acesta va fi un obiect
fizic care oferă acces electronic la un sistem sau program protejat sau la un fel de serviciu informatic.
Majoritatea datelor și funcțiilor cardurilor inteligente sunt, de obicei, protejate de un cod personal
secret (numit număr de identificare personal sau PIN), iar datele de pe card devin accesibile după
introducerea codului corect pe tastatura calculatorului, pe tastatura cititorului de carduri (sau pe
cardul super inteligent în sine).
- Nu îl pliați;
- Nu îl expuneți la temperaturi extreme;
- Nu atingeți placa de contact electrică;
- Protejați-l de zgârieturi, lichide, influențe magnetice, etc
- Încercați să aflați codul PIN (căutați dacă este păstrat împreună cu cardul sau întrebați
utilizatorul (utilizatorii) de încredere).
- Nu încercați să obțineți accesul la datele/funcțiile de pe card, chiar și în cazul în care un
posibil suspect susține că v-a spus codul PIN. Mai multe încercări de introducere a unui PIN
fals pot duce la pierderea irevocabilă a datelor și blocarea cardului (în unele cazuri este
posibilă deblocarea cardului cu un alt cod personal secret numit cheie de deblocare personală
sau PUK).
- Fotografiați/notați/copiați informațiile tipărite pe card (de ex., identificarea deținătorului de
card, numere de cont, companii de cărți de credit, contacte de afaceri etc.
- Utilizați cardurile de protecție RFID pentru a evita alterarea fără contact a datelor;
- Dacă sunt prezente, indisponibilizați, de asemenea, orice cititoare de carduri inteligente
găsite.
Un robot telefonic este un dispozitiv electronic care este parte dintr-un telefon sau este conectat
între un telefon și conexiunea fixă. Modelele mai vechi utilizează micro casete magnetice, în timp ce
aparatele moderne utilizează un sistem de înregistrare electronic (digital). Un robot telefonic
înregistrează mesajele vocale de la apelanți atunci când apelatul nu este disponibil sau alege să nu
răspundă la un apel telefonic. De obicei, acesta redă un mesaj înregistrat de proprietarul telefonului,
solicitând apelantului să lase un mesaj.
Aparatele de răspuns pot stoca mesaje vocale și, în unele cazuri, informații referitoare la ora și data
la care au fost lăsate mesajele. De asemenea, aceștia pot conține, de asemenea, și alte înregistrări
audio.
După cum a fost deja discutat, un aparat de fotografiat digital este un dispozitiv pentru captarea de
imagini și video. Acesta are o memorie internă, suporturi de stocare aferente și hardware de
conversie capabil să transfere imagini și video pe calculator.
Un aparat de fax (sau fax) este un dispozitiv pentru scanarea imaginilor și a textului și trimiterea
acestora prin linia telefonică. Această funcționalitate este disponibilă și pentru calculatoare (de ex.,
carduri PC/modem PC). Faxurile pot conține următoarele probe:
- Cartuș de film;
- Numere de telefon pre-programate (adică, liste scurte de apelare);
- Istoricul documentelor transmise și recepționate;
- Memorie care permite scanarea, stocarea și trimiterea faxurilor de ieșire din mai multe pagini
la un moment ulterior, sau stocarea și imprimarea ulterioară a faxurilor recepționate;
- Protocol de transmisie fax (adică jurnal de expediere/recepție);
- Antet; și,
- Reglarea orei.
34
Formatul fișier imagine interschimbabil (EXIF) este un format standard pentru imagini, sunet, aparate de
fotografiat și scanere etc. Dispozitivele care utilizează EXIF vor marca adesea imaginile cu anumite date despre
preluarea imaginii. Multe dispozitive moderne adaugă, de asemenea, și date GPS (așa-numita marcare geografică
(„geotagging”)).
3.4.15 Imprimante
Imprimantele pot păstra jurnalele de utilizare, informațiile privind ora și data și, dacă sunt atașate
la o rețea, acestea pot stoca informații referitoare la identitatea rețelei. În plus, caracteristicile unice
dintr-o imprimare pot permite identificarea unei anumite imprimante.
- Documente;
- Stocare pe hard disc/memorie flash;
- Cartușe de cerneală;
- Identitatea/informații referitoare la rețea;
- Imagini suprapuse pe rolă;
- Ora și data; și,
- Jurnalul de utilizare a utilizatorului.
3.4.16 Scanere
Scanerele sunt dispozitive digitale care scanează documente text și imagini pe suport de hârtie și le
stochează în format digital. Dispozitivul în sine poate fi o probă. În plus, imperfecțiunile scanerului,
care sunt reproduse în copiile scanate, pot permite identificarea unui anumit scaner ca fiind cel
implicat într-un act ilegal.
Unele fotocopiatoare păstrează evidențele de acces ale utilizatorilor și un istoric al tuturor copiilor
realizate. Copiatoarele cu o caracteristică de tip „scanează o dată/tipărește multe”, salvează
documentul scanat în memorie pentru imprimarea ulterioară. Potențialele probe de la copiatoare
includ documente, marcajul privind ora și data și jurnalul de utilizare.
Dispozitivele descrise în cele trei aliniate anterioare pot fi combinate într-un singur dispozitiv (de
ex., copiator, scaner și fax). Mai multe dispozitive separate fizic pot funcționa, de asemenea, ca un
singur aparat multifuncțional, dacă acestea sunt conectate printr-o rețea.
3.4.19 Pagere
Un pager este un dispozitiv care poate fi utilizat pentru a trimite și primi mesaje numerice (de ex.,
numere de telefon) și alfanumerice (text, adesea inclusiv e-mail).
Dispozitivele de calcul și telefoanele mobile pot fi, de asemenea, utilizate în calitate de pagere.
Dispozitivele de poziționare globală (GPS) pot furniza informații referitoare la locațiile anterioare și
jurnalele de călătorie, inclusiv informații despre destinație, puncte de parcurs și rute. Unele
dispozitive GPS stochează automat aceste informații. Potențialele probe găsite într-un dispozitiv GPS
pot fi următoarele:
- Locația de domiciliu;
- Destinații anterioare;
- Puncte de interes;
- Jurnale de călătorie;
- Urmărire/informații despre traseu;
- Coordonatele destinației; și,
- Numele destinației.
Există mai multe tipuri de dispozitive purtabile care încorporează sisteme informatice foarte mici
integrate în haine sau accesorii. De obicei, acestea au un set de senzori (de ex. GPS, senzor giroscop,
senzor de ritm cardiac) și funcționalitate de comunicare (de ex., WLAN, Bluetooth). Aceste
dispozitive pot stoca mesaje și informații suplimentare, cum ar fi carnete de adrese, întâlniri,
calendare, activitatea utilizatorului, informații geografice și note. De asemenea, acestea au
capacitatea de a sincroniza informațiile cu un telefon inteligent sau un calculator. Potențialele probe
care trebuie luate în considerare includ:
- Carnet de adrese
- Calendare de numiri
Unele dispozitive purtabile pot conține un dispozitiv de stocare, cum ar fi memoria flash, un token
USB sau chiar un aparat de fotografiat.
Cititoarele cu bandă magnetică (de ex., cititoare pentru clonarea cardurilor de credit) citesc
informațiile conținute pe banda magnetică de pe cardurile de plastic. Potențialele probe conținute
pe banda magnetică includ:
Vă rugăm să consultați informațiile de mai sus pentru instrucțiuni generale privind confiscarea,
ambalarea, transportul și depozitarea.
Cantitatea de componente electronice în rețea din vehicule este în continuă creștere, la fel și
cantitatea de date potențial probatorii, care pot fi extrase din aceste componente. Majoritatea
componentelor aparțin grupului de dispozitive IO (a se vedea 3.4.24), nefiind în același timp, în mod
necesar, conectate la internet. Sistemele electronice dintr-un vehicul se încadrează, de obicei, în
două categorii distincte:
- Sisteme de informare (locații GPS, Bluetooth, mesaje, apeluri telefonice, istoric internet,
aparate de fotografiat etc.)
- Sisteme auto (GPS, regulator de frână, viteză, regulator de accelerație, senzor de coliziune,
lumină/indicator stare, controler de stabilitate, senzor de distanță, senzor de ploaie, senzor
de presiune a aerului, utilizare airbag, număr de pasageri, service)
- Date de navigare cu marcaje de oră (viteză, direcții, altitudine, geolocație, corecții GPS, ...);
- Deschiderea/închiderea portierelor sau a portbagajului;
- Utilizarea a diferite presetări pentru scaune
Informațiile colectate pot îmbunătăți calendarul investigației sau chiar pot oferi indicații referitoare
la utilizatorul mașinii și acțiunile acestuia.
În cazul perchezițiilor, mașinile și alte vehicule trebuie tratate cu aceeași prudență și principii care
se aplică și altor locuri ale faptei. Pe lângă instrucțiunile oferite în secțiunea 3.4.8, în cazul
indisponibilizării automobilelor trebuie luate în considerare următoarele:
- Pentru a evita alterarea datelor de pe sistemele electronice ale unui vehicul, se recomandă
ca întreg personalul de la locul faptei să își dezactiveze funcționalitatea WiFi și Bluetooth pe
propriile dispozitive. În caz contrar, dispozitivul acestora s-ar putea conecta la sisteme și ar
putea modifica datele (de ex., crearea de noi înregistrări de jurnal, suprascrierea vechilor
înregistrări de jurnal);
- Sistemele electronice primesc, de obicei, energie de la bateria din vehicul. În funcție de
situația alimentării, trebuie acordată prioritate documentării datelor vizibile pe ecran și
setarea sistemelor auto în modul de economisire a energiei, pentru a evita pierderea datelor
volatile;
- Dacă este posibil, un specialist ar putea analiza informațiile referitoare la sistemele
vehiculului în timpul operării acestora, deoarece unele date s-ar putea pierde la oprirea
sistemelor;
- Sistemele electronice dintr-un vehicul pot fi conectate extern, de ex. la rețelele mobile. Unele
sisteme pot fi controlate de la distanță. Astfel, vehiculul trebuie izolat;
- Numai personalul calificat trebuie să extragă fizic sistemele de informații dintr-un vehicul.
Componentele extrase trebuie considerate deteriorate și, prin urmare, nu trebuie reutilizate
niciodată în traficul real;
Aproape fiecare dispozitiv fizic poate conține electronice încorporate, care conectează acest
dispozitiv fără fir sau conectat la o rețea locală, la Internet sau la ambele. Un astfel de sistem de
dispozitive interrelaționate, care sunt conectate și/sau controlate prin internet sunt denumite
„Internetul Obiectelor” (IO). De obicei, există trei roluri pentru dispozitive IO:
Exemplele sunt aproape nedefinite și includ setări „locuință/grădină inteligentă”, roboți industriali,
sisteme de alarmă, sisteme de senzori/gestionare a traficului, sisteme de gestionare a lanțului de
Majoritatea dispozitivelor IO vor oferi cel puțin informații cu privire la momentul în care a fost utilizat.
Colectarea informațiilor din sursele IO disponibile va ajuta considerabil la documentarea cazului,
adăugând date și ore. În unele cazuri, o cronologie va ajuta la înțelegerea modului de operare,
uneori (in)validarea unui alibi sau excluderea persoanelor dintr-o listă de suspecți.
- Deoarece unele dispozitive IO își creează propriile puncte de acces WiFi neprotejate sau
încearcă să se conecteze prin Bluetooth, se recomandă ca întregul personal de la locul faptei
să dezactiveze funcționalitatea WiFi și Bluetooth pe propriile dispozitive. În caz contrar, este
posibil ca dispozitivele acestora să se conecteze la rețelele neprotejate și să modifice datele
(de ex., să creeze noi înregistrări de jurnal, să suprascrie vechile înregistrări din jurnal) sau
chiar să declanșeze acțiuni;
- Este dificilă identificarea manuală a tuturor dispozitivelor IO. Un scaner de rețea și/sau un
analizator de spectru ar putea ajuta la depistarea unor astfel de dispozitive, dacă legislația
o permite. Trebuie avut în vedere faptul că diferite standarde IO utilizează frecvențe diferite
în diferite benzi;
- Dacă este posibil, un specialist poate analiza informațiile privind IO în timpul funcționării,
deoarece majoritatea dispozitivelor IO își pierd o parte din date atunci când sunt oprite.
Toate acțiunile întreprinse trebuie documentate în detaliu;
- Cel mai probabil, dispozitivele IO sunt conectate și accesibile extern. Acestea trebuie izolate
de rețelele lor, de ex. prin tăierea alimentării cu energie, după achiziția live a datelor
acestora.
- Ambalați dispozitivele în cutii de carton sau pungi de hârtie și nu în materiale plastice,
separat de alte bunuri, obiecte de valoare sau înscrisuri probatorii;
Probabil că criminalistica datelor live este necesară atunci când la locul infracțiunii există calculatoare
și dispozitive electronice pornite și în funcțiune. În primii ani ai investigării criminalistice a
calculatoarelor, ori de câte ori un investigator găsea un sistem în funcțiune în timpul unui proces de
percheziție și indisponibilizare, sfatul era „Scoateți din priză”! De atunci, volumul de date volatile
păstrate în memorie, utilizarea conexiunilor la distanță și a software-ului de criptare s-au dezvoltat
enorm. Scoaterea din priză înseamnă că toate datele volatile vor fi pierdute pentru anchetă,
conexiunile de la distanță vor dispărea și fișierele deschise pot fi blocate și criptate. Aceste date și
informații pot avea o valoare probatorie semnificativă, iar necesitatea de a capta date live, a dus la
un set de proceduri și ghiduri revizuite. Posibilitatea de a modifica sau chiar suprascrie probe este
Examinarea criminalistică a unui sistem aflat în funcțiune necesită pregătire specifică, experiență
practică și un set de instrumente criminalistice validate. Dacă la locul faptei nu există niciun
examinator cu acest set de competențe, trebuie solicitată asistența imediată a unei unități de
specialitate. Cu toate acestea, în cazul în care nu poate fi găsită nicio persoană, scoaterea din priză
și pierderea datelor volatile pare o variantă mai justificată decât riscul unei posibile contaminări a
probelor prin încercări neinformate de captură a datelor live.
Înainte de a intra în detalii cu privire la modul de obținere a diferite tipuri de date volatile, trebuie
să definim datele volatile și tipul de probe pe care acestea le pot furniza.
În sensul prezentului Ghid, „Datele volatile” sunt definite după cum urmează:
Datele volatile sunt date care sunt stocate digital într-un mod în care probabilitatea este
foarte mare ca acestea să fie șterse, suprascrise sau modificate într-o perioadă scurtă de
timp, din cauza interacțiunii umane sau automate.
Datele volatile sunt extrem de fragile și se vor pierde dacă nu sunt salvate rapid și corect. În
sistemele IT moderne, cantitatea de informații deținute în Memoria volatilă de acces aleatoriu (RAM)
poate fi de până la 16 GB sau 32 GB de date (echivalentul a aproximativ sute de mii de imagini) și
nu doar datele stocate în memoria RAM pot fi cele pierdute. Datele din mediile IT moderne nu sunt
întotdeauna stocate și prelucrate local. O gamă largă de servicii oferă stocare ieftină și chiar gratuită
și resurse puternice de prelucrare pe sisteme la distanță (adică, Cloud). Accesul la aceste date va fi
reglementat de legislația țării care găzduiește datele și este posibil ca accesul să nu fie posibil decât
pe durata percheziției. Într-adevăr, în unele țări, legile naționale pot interzice accesul la aceste date
sau achiziția acestora, chiar și de pe un sistem aflat în funcțiune.
2. Datele tranzitorii care nu sunt volatile prin natura lor, ci sunt accesibile doar la locul faptei.
Volumele criptate, precum și resursele la distanță sunt exemple de acest tip de date. Aceste
date pot deveni inaccesibile, pot fi modificate sau șterse, dacă investigatorul nu este în
măsură să le achiziționeze în momentul percheziției.
Acest tabel realizat de Farmer și Venema 37 descrie intervalul de timp posibil pentru obținerea
diferitelor tipuri de date:
Disc Minute
Datele volatile pot fi surse bogate de probe. Un calculator „live” (aflat în funcțiune) poate afișa
procesele care sunt executate în prezent (adică, arată ce operațiuni efectuează calculatorul),
memoriile în cache (unde datele sunt stocate temporar), conexiunile la rețea și dezvăluie orice date
stocate în memorie. De asemenea, memoria poate conține informații utile, cum ar fi parole sau
aplicații decriptate (utile, în cazul în care un aparat are instalat software de criptare) și, uneori, chiar
și coduri ostile, care nu au fost salvate pe disc. Dacă ar fi urmată abordarea tradițională de „scoatere
din priză”, astfel de informații utile s-ar pierde. Cu toate acestea, dacă datele sunt capturate înainte
35
ARP înseamnă Protocol de rezolvare a adreselor. Este un set de reguli și standarde acceptate, în mod obișnuit,
utilizate pentru a converti o adresă IP într-o adresă hardware fizică, astfel încât mesajele dintr-o rețea să fie
trimise dispozitivului corect.
36
DNS reprezintă Sistemul de nume de domenii. DNS este un fel de bază de date care leagă seria de numere
utilizate ca adresă IP la numele de domenii mai prietenoase pentru utilizatori.
37
D. Farmer și W. Venema (2006), Descoperirea criminalistică, Addison & Wesley, ISBN 0-201-63497-X
- Procesele în execuție;
- Servicii în execuție;
- Chei de criptare;
- Informații despre sistem;
- Conectat la utilizatori;
- Ascultare și deschiderea porturilor;
- Cache ARP (protocol de rezolvare a adreselor);
- Cache DNS;
- Informații de pornire automată;
- Informații de registru nescrise încă pe disc;
- Documente nesalvate;
- Binare de proces, servicii incluzând cele ale programelor de coduri ostile ce rezidă doar în
memorie.
În cazul unei percheziții, poate fi dificil să se stabilească cu ușurință dacă un computer este pornit
sau nu. În plus față de pașii prevăzuți în secțiunea 3.4, iată câteva sfaturi referitor la ceea ce trebuie
să faceți în astfel de circumstanțe.
În cazul în care calculatorul este pornit, dar nu este protejat de un economizor de ecran sau de un
ecran de autentificare sau ați reușit să obțineți parola:
- Verificați ecranul de afișare pentru a vedea semne că sunt distruse probe digitale. Cuvintele
pe care trebuie să le aveți în vedere includ „șterge”, „formatează”, „elimină”, „copiază”,
„mută”, „taie” sau „șterge”;
- Căutați semnele de criptare utilizate (descrise mai târziu);
- Căutați semne că este accesat calculatorul de la un calculator sau dispozitiv de la distanță;
- Căutați semne că sunt utilizate servicii cloud (descrise la 3.5.3.1.);
- Căutați semne de comunicare activă sau continuă cu alte calculatoare sau utilizatori, cum ar
fi ferestrele de mesagerie instantanee sau camerele de chat;
- Căutați semne că aparatele de fotografiat sau camerele web (web cam) sunt active;
- Continuați să mișcați mouse-ului pentru a evita activarea unui economizor de ecran sau a
blocării;
- Căutați semne că mașinile virtuale sunt pornite și poate că sunt în modul ecran complet (full
screen mode);
- În toate aceste cazuri: Documentați starea ecranului făcând o fotografie.
Nu există nicio Procedură de Operare Standard pentru Criminalistica datelor live care să acopere
absolut fiecare situație. Deoarece fiecare percheziție este diferită, examinatorul cu experiență va
trebui să aleagă măsurile adecvate în funcție de circumstanțe. O diagramă de flux pentru unele
dintre procedurile de bază se găsește în Anexa B:
Pentru a ajuta la o mai bună înțelegere a ceea ce ar putea fi vizibil pe ecranul unui calculator, iată
câteva fotografii din scenarii de percheziții și indisponibilizări simulate.
Dreptunghiul albastru arată bara de titlu a ferestrei deschise curent. În acest caz, este afișată pagina
web deschisă curent și faptul că „Mozilla Firefox”, un program de navigare pe internet, este deschis!
Dreptunghiul verde (la stânga) arată programele preferate ale utilizatorului, precum și aplicațiile
care sunt în execuție în prezent (cele cu un mic punct lângă pictogramă). Un investigator
experimentat ar putea observa pictograma Veracrypt , care indică faptul că Veracrypt este în
curs de execuție. Este posibil ca uneori să nu fie cazul, Veracrypt operează, de obicei, în fundal.
Acesta este un exemplu de calculator care operează cu Windows 10. Dreptunghiul roșu arată bara
de activități cu un meniu de program, o bară de căutare și comenzi rapide (în stânga), ferestrele
38
O Interfață grafică cu utilizatorul (GUI) sau interfața grafică este denumirea dată reprezentării prietenoase pe
ecranul unui calculator a modului în care utilizatorul interacționează cu calculatorul prin intermediul imaginilor și
pictogramelor.
Această imagine arată un calculator portabil care pare a fi un MacBook. Pe MacBook, un investigator
s-ar aștepta să opereze sistemul de operare macOS, dar în acest caz, dispozitivul pare să execute
Windows 10. O atenție deosebită trebuie acordată ferestrei „Actualizare Windows” din stânga
ecranului. Un proces de actualizare Windows ar reporni calculatorul dacă investigatorul nu
reacționează în mod prompt. Acest lucru ar putea însemna că documentul nesalvat afișat pe ecran
ar putea fi pierdut pentru totdeauna.
O privire mai atentă asupra calculatorului dezvăluie faptul că acesta execută, de fapt, Windows 10,
în interiorul unei mașini virtuale, astfel încât șansele de recuperare a documentului respectiv ar fi și
mai scăzute. Bineînțeles, o dată ce a realizat acest lucru, un investigator ar efectua criminalistica
datelor live pe ambele aparate, pe cel virtual și pe „gazda” MacBook.
Atunci când desfășoară criminalistica datelor live în scenarii precum cele din fotografii, schimbările
aduse sistemului sunt inevitabile. Examinarea „live” presupune utilizarea instrumentelor pe sistemul
aflat în funcțiune, ceea ce inevitabil îi va cauza modificări. Totuși, examinatorul trebuie să încerce
să realizeze captura cât mai multor date volatile posibil, lăsând o amprentă cât mai mică a acțiunilor
sale.
Ordinea în care se realizează captura datelor ar putea fi, de asemenea, crucială, iar examinatorul
trebuie să ia în considerare cu atenție ordinea colectării datelor. Deși fiecare scenariu de percheziție
și indisponibilizare va avea în vedere considerente specifice cazului, se recomandă o metodologie
predefinită bazată pe ordinea volatilității.
Poate fi utilizată scrierea unui program simplu (de ex., în Bash (Linux), Batch (Windows) sau Python)
pentru a stabili un flux de lucru standardizat. Cadrele existente, cu funcționalitate suplimentară,
cum ar fi Setul de instrumente al primului respondent FiRST (disponibil gratuit pentru autoritățile de
aplicare a legii prin intermediul FREETOOL Hub39) pot oferi suport unui investigator, în cazul în care
acesta nu are pregătire în domeniul programării.
39
https://thefreetoolproject.eu/
Rutare-Tabele, cache-uri ARP, statistici Kernel Rută PRINT, arp –a, netstat netstat –r –n
route
arp –a
40
Kuhlee și Voelzow (2012), Computer Forensik Hacks, O’Reilly, ISBN 978-3-86899-121-5,
http://www.forensikhacks.de
Ceasul sistemului (pentru a determina decalajul cu time /T, date /T, uptime ora, data, ora de
ceas radio) funcționare
Multe dintre aceste instrumente pot fi găsite fie în suita Sysinternals41 a Microsoft, fie, pentru Linux,
în arhiva CERT. 42 Lista nu este în niciun caz exhaustivă. De exemplu, pe sistemele Linux,
investigatorul trebuie să ia întotdeauna în considerare, de asemenea, și achiziționarea informațiilor
volatile stocate în sistemul de fișiere virtual /proc.
Atunci când alcătuiește un set de instrumente de criminalistică a datelor live, investigatorul trebuie
să ia în considerare următoarele:
- Să selecteze numai instrumente care au cel mai redus impact asupra sistemului. Pentru
achiziționarea RAM, de exemplu, un instrument mic precum „WinPMem 43” este de preferat
unui instrument grafic greu precum “FTK Imager”.
- Instrumentul trebui să fie dotat cu propriile sale fișiere executabile, astfel încât investigatorul
să poată executa instrumentul, fără a utiliza binare care nu sunt de încredere 44 din sistem.
Investigatorul trebuie să utilizeze, de asemenea, numai instrumente și scripturi a căror
funcționalitate o poate explica în instanță.
- Instrumentul/scriptul trebuie să fie automatizat și să nu necesite multă interacțiune cu
utilizatorii. Investigatorul nu își va aminti toate opțiunile pentru toate comenzile și nici nu va
putea monitoriza fiecare proces pe mai multe dispozitive.
- În mediile companiilor, instrumentele trebuie să includă o funcționalitate de triaj, care să
furnizeze investigatorului suficiente informații pentru a determina dacă un incident a avut
loc.
- Instrumentul trebuie să adune numai date care sunt volatile. Nu este necesar să achiziționați
date care pot fi găsite, de asemenea, și pe hard discul calculatorului, odată ce acestea au
fost analizate.
Există, de asemenea, disponibile câteva DVD-uri de Criminalistică preconfigurate, care vin la pachet
cu o gamă largă de instrumente pentru criminalistica live. Deși este foarte recomandat ca
investigatorul să își creeze propriul set de instrumente adaptate propriilor necesități personale,
41
http://technet.microsoft.com/en-gb/sysinternals
42
https://forensics.cert.org
43
https://github.com/Velocidex/c-aff4/releases
44
Un fișier „binar” este un program de calculator care poate fi executat de calculator.
Atunci când investigatorii efectuează criminalistica datelor live asupra unui sistem, aceștia nu trebuie
să stocheze niciodată datele obținute pe suporturile de stocare ale calculatorului țintă, ci trebuie să
conecteze suporturile de stocare externe pregătite ca probe judiciare Pe lângă asigurarea unei
rezerve a acestui suport de stocare extern, trebuie să fie pregătite și gata de utilizare alte dispozitive
care conțin instrumente de criminalistică a datelor live.
- Stick-uri de memorie USB: Acestea sunt foarte rapide și fiabile, dar sunt necesare stick-
uri USB cu o capacitate de memorie echivalentă cu volumul de RAM;
- Unități de hard disc externe (HDD-uri): Acest tip de opțiune trebuie ales ori de câte ori
urmează a fi copiate volume mari de memorie. Modelele cu o varietate de posibili conectori
(USB/eSATA/FW) sunt mai flexibile.
- DVD-uri: Ideal pentru ca instrumentele de criminalistică a datelor live să fie utilizate pe
sistemul țintă. Protecția la scriere a DVD-R-urilor protejează binarele (programele) de
încredere împotriva modificărilor.
- HDD-uri externe cu DVD-uri virtuale: Acestea combină avantajele ambelor - stocarea
rapidă, accesibilă și fiabilă a hard-discului extern și protecția la scriere a DVD-ROM-ului. Un
investigator își poate salva discurile de pornire (boot) criminalistice ca fișiere ISO45, într-un
folder special și le poate monta46 ca un DVD-ROM virtual, fără riscul de a afecta binarele
validate.47 Un astfel de exemplu de dispozitiv este Zalman ZM-VE500 (USB 3.0).
45
Un fișier ISO este ca o casetă care conține o copie completă, arhivă sau imagine a unui disc.
46
Adică, le face accesibile sistemului.
3.5.2.1 Criptarea
Criptarea, în special „criptarea completă de disc” devine din ce în ce mai populară, nu numai pentru
persoanele care doresc să ascundă activitățile infracționale, ci și pentru companiile cu informații
sensibile din punct de vedere comercial sau confidențiale și necesitatea de a proteja date cu caracter
personal. Adesea, politicile companiei vor impune ca toate dispozitivele mobile (inclusiv suporturile
externe și calculatoarele portabile) să fie criptate utilizând software precum Microsoft Bitlocker,
Steganos, PGP etc. În prezent, furnizorii de hardware vor include, de asemenea, și opțiuni de criptare
în calculatoarele lor portabile și unitățile lor de hard disc.
O dată ce criptarea pe un hard disc a fost activată, este posibil să fie prea târziu pentru investigație.
Criptarea puternică necesită clustere criptografice specializate și mult timp pentru a putea fi
decriptată și chiar și în acest caz, este posibil să nu poată fi realizată. În cel mai rău caz, criptarea
va împiedica analizarea oricăror date făcând ca chiar și cele mai mari unități de hard disc, cu terabiți
de informație, să nu aibă nicio valoare.
Așadar, cum ar împiedica investigatorul criptarea unui disc? Cum poate fi detectată criptarea și ce
trebuie făcut atunci când este detectată criptarea?
48
NTFS înseamnă „Sistem de fișiere de tehnologie nouă” și este o modalitate de a înregistra și aranja fișierele
Windows.
49
FAT înseamnă Sistem de alocare fișiere pentru evidența fișierelor stocate pe un hard disc.
50
Cu alte cuvinte, asigurați-vă că instrumentele software pe care le veți utiliza au fost testate și sunt exacte.
51
Un boot-DVD este DVD-ul pe care îl utilizați pentru „pornire” sau încărcarea unui sistem de operare sau a unui
program de utilitate (util).
Urmele software-ului de criptare pot fi, de asemenea, găsite în procesele în execuție, în dialogul
software instalat, registru (de ex., dispozitive montate, software instalate, extensii de fișiere
asociate) și, de asemenea, în Windows Explorer.
Atunci când a fost utilizat Microsoft Bitlocker, sistemul de operare poate oferi investigatorului
informații referitoare la unitățile criptate montate, prin introducerea următoarei comenzi52:
manage-bde –status
În cazul în care investigatorul observă indicii care arată că este utilizată criptarea, acesta trebuie să
procedeze după cum urmează:
- Dacă descoperiți că discurile sau containerele criptate sunt încă montate în sistem, copiați-
le în timp ce încă mai aveți acces la respectivul sistem live;
- În cazul în care este utilizat Bitlocker pentru a monta un volum criptat, salvați Cheia de
recuperare de 48 de cifre utilizând comanda:
manage-bde -protectors -get <volume name>
- După aceea, copiați fișierele. Dacă volumele sau containerele criptate nu sunt montate și
sunt încă criptate, cereți suspectului parola, tastele/suportul de decriptare și cum să
decriptați fișierele (fără a pierde din vedere faptul că un suspect poate încerca să ofere
informații false);
- Dacă interogarea are succes, decriptați datele și copiați-le;
- Asigurați-vă că niciun economizor de ecran, baterie descărcată sau funcție de economisire a
energiei nu întrerupe și interferează cu salvarea fișierelor criptate.
52
O comandă este o instrucțiune directă către sistemul de operare al unui calculator.
Important: În cazul Criptării complete de disc TrueCrypt53/Veracrypt este posibilă împărțirea hard
discului în două părți cu două parole diferite - o parte conținând toate datele secrete, cealaltă parte
conținând doar date neimportante. Dezvoltatorii au inclus această caracteristică pentru situația în
care utilizatorul este obligat să își divulge parola împotriva voinței sale. Pentru a-și demonstra
cooperarea și pentru a evita pedeapsa, utilizatorul trebuie să își divulge parola părții exterioare, care
conține doar datele neimportante. Investigatorul trebuie să verifice întotdeauna dacă dimensiunea
tuturor volumelor afișate se potrivește cu dimensiunea completă a suportului.
Așa cum s-a menționat anterior, un investigator care efectuează o percheziție cu sisteme în execuție,
trebuie să se ocupe nu doar de datele volatile stocate local, în componentele calculatorului, ci și de
datele tranzitorii care ar putea fi stocate în afara calculatorului care rulează. În special în mediile
corporative este posibil să găsiți infrastructuri de rețea cu datele utilizatorului găzduite (stocate) pe
servere centralizate partajate între diferite entități din grupul de rețea. De cele mai multe ori,
serverele companiei nu pot fi închise și hardware-ul nu poate fi indisponibilizat din cauza
constrângerilor operaționale și a obligațiilor comerciale ale companiei. De asemenea, poate exista o
restricție de confidențialitate. De cele mai multe ori, un mandat sau o hotărâre judecătorească, care
permite percheziția, va acoperi doar achiziția de date care aparțin suspectului sau datele la care a
avut acces suspectul. Imagistica întregului server sau pe un sistem partajat ar include date care nu
sunt acoperite în permisiunea judiciară nu ar fi o opțiune.
O modalitate bună de abordare a unor astfel de scenarii comerciale este solicitarea cooperării și
consimțământului celor responsabili (atât timp cât aceștia nu sunt implicați în niciun fel în
investigație). Atunci când se percheziționează sistemele companiilor mai mari, este o practică bună
ca investigatorul principal să organizeze o reuniune cu șeful companiei, un reprezentant al
departamentului juridic și un reprezentant al departamentului de infrastructură IT al companiei. În
cadrul acestor reuniuni, următorul pas, care implică un mandat de percheziție, trebuie planificat cu
cooperarea tuturor părților implicate. Subsecțiunea 3.5.4 acoperă valoarea permisiunii unui
administrator de sistem mai detaliat.
53
TrueCrypt a fost întrerupt acum, dar există totuși posibilitatea de a fi întâlnit. Succesorul său neoficial este
Veracrypt.
Un investigator care efectuează Criminalistica datelor live într-un astfel de mediu trebuie să solicite
întotdeauna cooperarea persoanei responsabile pentru infrastructura de rețea (dacă respectiva
persoană nu este suspectă). Cu cât rețeaua este mai mare, cu atât este mai necesar acest tip de
asistență, deoarece persoana care a înființat infrastructura și o administrează zilnic, știe cel mai bine
care sunt resursele la care ar fi putut avea acces suspectul. Cu toate acestea, investigatorul trebuie
să rămână sceptic și să ia propriile decizii și concluzii. Acesta trebuie să țină cont de faptul că este
posibil ca persoana de la care a solicitat ajutor să fie prieten cu suspectul.
Routerele și firewall-urile pot oferi investigatorului o perspectivă asupra configurației rețelei, prin
intermediul Listelor acestora de control a accesului (ACL) sau seturilor de reguli de securitate. 55
Acest lucru poate fi obținut prin vizualizarea ecranelor de configurare în calitate de administrator al
dispozitivului, dar va necesita numele de utilizator și parolele găsite anterior sau obținute la
momentul indisponibilizării. DVD-urile Instrument menționate în secțiunea precedentă includ, de
asemenea, o varietate de instrumente de recunoaștere a rețelei. Este o practică bună să desenăm
o diagramă a infrastructurii de rețea.
Acest lucru va ajuta investigatorul să înțeleagă și să își amintească mai eficient conexiunile dintre
calculator și restul rețelei.
În cazul în care calculatorul este pornit și au fost capturate alte date volatile, investigatorul trebuie
să caute indicii cu privire la faptul că datele sunt stocate de la distanță. Aceasta poate include:
Dosarele partajate pe alte calculatoare de rețea și, de asemenea, unitățile de rețea cartografiate de
pe un server, pot fi cercetate fie pur și simplu căutându-le în Windows Explorer, fie utilizând
instrumentul gratuit ShareEnum din suita Sysinternals.57 Ambele abordări pot fi văzute mai jos:
54
Un loc în care sunt stocate fișiere pentru anumiți utilizatori.
55
Ansamblul de reguli stabilite pentru securizarea rețelei și guvernarea gamei sale de utilizare.
56
Maparea unităților este modul în care o rețea atribuie unități (spațiu rezervat) pe o rețea diferitelor calculatoare
care partajează spațiu de stocare.
57
http://technet.microsoft.com/de-de/sysinternals/bb897442
Atunci când un astfel de aranjament a fost descoperit, investigatorul trebuie să copieze aceste
partajări. Într-adevăr, dacă este posibil, investigatorul trebuie să se gândească la crearea unei
imagini (adică, o clonă exactă) a calculatoarelor în care se află aceste partajări, deoarece o copie
obișnuită nu va include fișierele șterse, nici „spațiul liber” nealocat de pe unitate.
E-mail-urile stocate de la distanță pe un IMAP58 sau Exchange Server pot fi localizate prin analizarea
setărilor de cont ale clienților de e-mail corespunzători. Pentru POP3 și chiar pentru conturile IMAP
- în funcție de setări - vor exista baze de date locale. Astfel de baze de date nu sunt volatile și nu
trebuie indisponibilizate în cazul criminalisticii live. Dacă nu există un fișier de bază de date local,
investigatorul trebuie să încerce să salveze conținutul contului de e-mail direct de pe serverul de
schimb sau să desemneze gazda contului să efectueze acest lucru.
Serviciile cloud și spațiul de stocare online reprezintă un subiect care capătă o importanță
semnificativă. Pentru a putea recunoaște și înțelege aceste servicii, investigatorul trebuie să știe ce
este informatica dematerializată, ce tipuri de servicii sunt disponibile și cum funcționează acestea.
Următorul grafic și definiție oferă o imagine de ansamblu utilă.
58
IMAP reprezintă Protocolul de acces la mesaje Internet
Mell și Grance de la Institutul Național de Standarde și Tehnologie (NIST) identifică trei modele de
servicii pentru Informatica dematerializată (cloud). 60
59
Mell și Grance, NIST, 2011, http://csrc.nist.gov/publications/PubsSPs.html#800-145
60
Mell și Grance, NIST, 2011, http://csrc.nist.gov/publications/PubsSPs.html#800-145
Amazon oferă o largă varietate de servicii web. Serviciul Elastic Compute Cloud (EC2) al Amazon este
unul dintre cele mai mari servicii cloud la nivel global. Acesta oferă servicii IaaS tipice.
http://aws.amazon.com/en/ec2/
Microsoft OneDrive oferă clienților săi volume mari de stocare online cu integrare Microsoft Office.
URL: https://onedrive.live.com
URL: https://docs.google.com/
Google Drive oferă un volum limitat de stocare gratuită online, care pot fi îmbunătățite prin plata
unei taxe lunare. Utilizatorul poate încărca, sincroniza și partaja tot felul de date, precum și accesa
propriile documente din Google docs.
URL: https://drive.google.com/
URL: https://www.dropbox.com
Box este similar cu Dropbox oferind o capacitate limitată de stocare online, care poate fi extinsă
prin achiziționarea de planuri profesionale. De asemenea, acesta oferă posibilități solide de
sincronizare, precum și caracteristici de colaborare.
URL: https://www.box.com
URL: https://www.icloud.com
Punctul forte al Sugarsync este sincronizarea într-o serie de dispozitive diferite. De asemenea,
acesta oferă un spațiu de stocare gratuit limitat, care poate fi extins prin achiziționarea de planuri
profesionale.
URL: https://www.sugarsync.com/
O listă completă a furnizorilor de stocare online și a furnizorilor de cloud poate fi găsită pe Wikipedia:
Aspectul interesant în ceea ce privește informatica dematerializată pentru investigator este că datele
nu sunt stocate pe un singur calculator fizic, ci pe mai multe servere. De cele mai multe ori, nici
chiar furnizorul unui serviciu cloud nu poate preciza unde sunt stocate anumite date. Celălalt aspect
interesant este faptul că serviciile cloud au capacitatea să înlocuiască aproape fiecare parte a
infrastructurii IT a unei companii, începând cu serviciile de software, precum procesarea textelor sau
software de contabilitate, până la înlocuirea completă a tuturor stațiilor de lucru ale angajaților.
În consecință, vor exista situații în care nu va fi posibilă extragerea nici măcar a unui singur octet
de date de pe calculatoarele unei companii, deoarece acestea vor constitui doar „clienți subțiri”’ 62,
fără niciun fel de stocare proprie, ci utilizând resursele unei mașini virtuale în cloud. Avantajul, în
acest caz, este că, din punct de vedere tehnic, mașina virtuală poate fi ușor copiată. Totuși, în funcție
de legislația relevantă și aplicabilă, identificarea și obținerea autorizației legale corespunzătoare
pentru interceptarea unor astfel de date ar putea fi o problemă. De asemenea, poate fi dificil și să
se asigure că datele au fost obținute în conformitate cu procedurile juridice din țara solicitantă.
Un alt dezavantaj este că există probabilitatea să existe mult mai puține date recuperabile disponibile
care pot fi găsite. Într-adevăr, în cazul în care un suspect ar crea o mașină virtuală temporară pentru
a-și săvârși infracțiunile și apoi ar șterge respectiva mașină, este posibil să nu existe niciun fel de
probe de recuperat.
Dacă un investigator se confruntă cu un sistem care rulează cu acces la rețea și suspectează că este
vorba de informatică dematerializată, acesta trebuie:
- Căutați pictograme din tava de sistem, care seamănă cu logo-urile serviciilor menționate
mai sus;
- Verificați software-ul instalat pentru serviciile cloud;
- Căutați în lista de procese nume de servicii cloud;
61
http://en.wikipedia.org/wiki/Comparison_of_online_backup_services.
62
Un „client subțire” este, în mod efectiv, doar un portal pentru accesarea programelor de calculator, care
operează într-o altă locație la distanță. Nimic nu se petrece pe calculatorul în sine.
După ce investigatorul a achiziționat toate datele volatile și datele tranzitorii, acesta poate proceda
în felul următor:
- Scoateți cablul de alimentare din echipamentul țintă și înregistrați timpul pentru realizarea
acestui lucru (nu îl opriți la priza de perete, deoarece sistemul informatic poate avea o sursă
de alimentare neîntreruptibilă (UPS)).
- Îndepărtați suportul de stocare din unitățile corespunzătoare; așezați suporturile în
cutiile/husele lor originale și etichetați-le în mod corespunzător. Introduceți fie un disc/CD
indisponibilizat, fie o dischetă goală, dacă este disponibilă. Nu îndepărtați DVD-urile și nu
atingeți niciun buton de pe unitatea DVD.
- Deconectați orice modem atașat (este posibil ca doar oprirea acestuia să nu fie întotdeauna
suficientă).
- Dacă aveți de-a face cu un dispozitiv portabil, îndepărtați, de asemenea, și acumulatorul.
Înlăturați orice baterii suplimentare, dacă este cazul (N.B. unele dispozitive portabile au o a
doua baterie în unitatea multifuncțională, în locul unității DVD).
Uneori, unele sau chiar toate resursele de rețea ale unei companii vor fi gestionate de companii
externe și sunt găzduite în locații la distanțe. Una dintre problemele privind stocarea la distanță este
că există posibilitatea ca investigatorul să nu poată ajunge acolo personal sau să aibă posibilitatea
de a trimite alți investigatori, la cealaltă locație. În astfel de cazuri, cooperarea administratorului de
sistem la distanță poate fi de neprețuit. În funcție de circumstanțe, poate fi o bună idee să se
organizeze o conferință telefonică/vocală cu administratorul de la distanță și șeful companiei și un
reprezentant al departamentului juridic (dacă nu se crede că sunt implicați în chestiunea
investigată).
În multe cazuri, administratorii nu sunt siguri dacă li se permite să coopereze în cadrul unei
investigații. În cazurile de aplicare a legii, în care cererea a fost formulată în conformitate cu legea,
aceasta poate fi o problemă numai dacă locația de la distanță se află într-o altă țară, cu reguli și
proceduri legale diferite. Lucrurile pot fi ușurate, dacă șeful companiei care deține datele este capabil
să obțină informații de la departamentul legal și autorizează administratorul să coopereze cu
ancheta.
În acest capitol vom analiza procedurile tehnice și metodologice implicate în achiziția de probe online.
Vom sublinia aspecte precum „transparența” și „calitatea” probelor dobândite, deoarece aceste
caracteristici vor juca ulterior un rol major, pe măsură ce admisibilitatea probelor dumneavoastră
va fi pusă sub semnul întrebării. Capitolul tratează achiziționarea de probe din informațiile disponibile
public pe internet, precum și aspectele implicate în investigațiile ascunse pe internet. Aceasta din
urmă este mult mai complicată, deoarece legislația și practicile variază semnificativ între jurisdicții.
Efectuarea unor astfel de investigații necesită cunoștințe și seturi de abilități suplimentare decât cele
necesare pentru desfășurarea activităților prezentate în Capitolul 3.
În cele din urmă, dar nu în ultimul rând, cititorul este sfătuit că acest capitol va necesita un cadru
tehnic puțin mai ridicat decât capitolele anterioare din prezentul Ghid. În ciuda acestui fapt, și cei
care au un nivel tehnic redus sunt invitați să lectureze prezentul material pentru a înțelege
conceptele generale ale acestuia. Aceasta le va permite să se aștepte și să se asigure că alți
specialiști tehnici din echipă vor utiliza o metodologie valabilă de achiziție.
A Web Services Taxonomy according to data value & transaction level = o taxonomie a serviciilor web, conform valorii
datelor și nivelului de tranzacționare
LOOKUP = CĂUTARE / INTEROGARE
TRANSACTION = TRANZACȚIE
SIMPLE DATA = DATE SIMPLE
HIGH-VALUE DATA = DATE CU VALORI RIDICATE
1. Basic / Pure Data = date de bază / pure
2. High-value data = date cu valori ridicate
3. Transactional = tranzacții
4. High-value transactional = tranzacții cu valoare ridicată
Higher-value services = servicii cu valoare mai ridicată
Lookup = căutare / interogare
Processing (computation, 2-way data, etc.) = prelucrare (calcul, date bidirecționale etc.)
Stateful / Conversational = dinamic / conversațional
User-Contributed System = sistem bazat pe contribuția utilizatorilor
63
Diagramă de Tim McCormick http://tjm.org/wp-content/uploads/2009/05/web-services-taxonomy-
chart_23.gif
„Principalele caracteristici ale mashup-ului sunt combinația, vizualizarea și agregarea ... […]
În ultimii ani [sic], tot mai multe aplicații Web au publicat IPA-uri64 care permit dezvoltatorilor
de software să integreze cu ușurință date și funcții în loc să le construiască singuri.“
Pentru a aplica acest concept de mashup la investigațiile pe internet, investigatorul poate lua în
considerare un serviciu web care stochează date brute pe Amazon S3 65, utilizează autentificarea
Facebook, plăți prin PayPal 66 și oferă informații „push” în timp real privind activitatea relevantă, prin
intermediul Twitter, utilizatorilor săi abonați. Un astfel de serviciu online ar realiza un „mash-up”
(amalgama) dintr-o gamă largă de sub-servicii (sau site-uri web conexe). Ceea ce este și mai
important pentru noi, probele online ar fi, de asemenea, divizate în aceste sub-
servicii/furnizori/companii. Bine ați venit la scenariul real al colectării de probe online!
Acest exemplu de „mashing-up” este extrem de comun pe internet și, deși, la prima vedere,
„recoltarea” probelor din toate acele surse diferite poate părea o muncă grea, uneori se poate dovedi
că aceasta oferă investigatorului date cu o valoare probatorie mai mare: nu există o singură sursă
de probe (companie) cu interese particulare în rezultatul potențial al investigației dumneavoastră.
Calitatea de mashup a multor servicii online poate produce la rândul său multe „terțe părți” implicate
în oricare tranzacție dată, aceasta, după cum vom vedea mai târziu, va ajuta investigatorul să aducă
probe cu șanse mai mari de a fi fiabile.
În alte ocazii, investigatorii vor constata că diferiți furnizori online sunt capabili să coroboreze un
anumit fapt din surse diferite și independente (deși, având în vedere natura internetului, trebuie
avut grijă ca faptele să nu citeze toate o singură sursă). Să luăm, de exemplu, un scenariu de
tranzacționare ilegală bazată pe informații privilegiate, în care Gmail primește un nume de utilizator
și o parolă pentru ETrade Inc.67 (o companie de tranzacționare online) care este citită de pe un
aparat cu adresa IP „X”. Câteva minute mai târziu XE.com (un portal de informații privind schimbul
64
Interfața de programare a aplicației (IPA) este un set de comenzi, funcții și protocoale pe care programatorii
le pot utiliza atunci când construiesc software pentru un sistem de operare specific. Sursa:
www.techterms.com/definition/api
65
Serviciul de stocare simplă al Amazon.
66
Un sistem sigur de plată online.
67
Acesta este un nume imaginar utilizat în scopurile acestui document și nu are nicio legătură cu nicio persoană
juridică sau fizică reală.
Toate aceste „probe online” necesită proceduri speciale la achiziție pentru a garanta admisibilitatea
probelor rezultate.
Internetul este o rețea globală care conectează calculatoarele din întreaga lume prin intermediul
dispozitivelor și protocoalelor. Deși există mai multe organizații care stabilesc reglementări și
standarde, fiecare nod din rețeaua globală poate fi o subrețea independentă, a cărei proiectare și
întreținere nu depinde de nicio organizație. Internetul poate fi accesat prin multe tipuri de tehnologii
și acest lucru lărgește orizontul serviciilor care pot fi oferite prin intermediul acestuia.
Atunci când se ocupă de probele online, investigatorul trebuie să facă diferența clar și să poată
traduce lumea „virtuală” în lumea „fizică” și invers. În lumea virtuală, o „locație” (unde este proba
mea?) este tradusă, de obicei, în ceva numit URI/URL68 sau în cele din urmă, o adresă IP. Pentru
acei cititori care au nevoie de acest lucru, urmează o examinare simplă și directă a fundalului tehnic
al lucrurilor, cum ar fi URL, DNS și adrese IP. Cititorul tehnic poate dori să omită această secțiune.
IP-ul este cel mai stabilit set de standarde și reguli utilizate pentru trimiterea sau primirea datelor
pe internet. Adresa IP este cel mai fundamental tip de sursă de informații disponibil pe internet.
Acestea arată unde trebuie livrate pachetele de date. Există două tipuri de adrese IP, adrese IPv4
(versiunea IP 4, denumite, în mod obișnuit, „IP”) și IPv6 (versiunea IP 6). O adresă IPv4 constă
dintr-o secvență de patru numere separate printr-un punct „.”. Fiecare număr poate lua o valoare
între 0 și 255. (Ex.: 192.168.1.252). Pe de altă parte, o adresă IPv6 constă din opt grupuri de patru
cifre hexazecimale. Fiecare grup este separat prin două puncte (adică,
2001:0db8:85a3:0042:0000:8a2e:0370:7334).
68
Identificatorul uniform de resurse sau Localizatorul uniform de resurse este șirul de caractere care acționează
ca nume sau adresă a unei locații în World Wide Web.
AANI a definit, de asemenea, spații de adrese care trebuie alocate rețelelor private (adică rețelele
locale). Aceste spații sunt:
Procesul de atribuire a unei adrese IP unui Furnizor de servicii internet este destul de simplu. AANI
informează fiecare entitate regională cu privire la adresele IP disponibile pentru solicitanții din
regiunea lor. Furnizorii de servicii Internet (FSI) solicită apoi alocarea adreselor IP de la entitatea
lor regională. Odată ce un FSI a primit o serie de adrese IP, acesta poate continua să le distribuie
clienților săi (utilizatorul final), iar FSI va construi rețeaua de care va fi responsabil.
Cu alte cuvinte, AANI taie „tortul” în felii mari, entitățile regionale își taie bucata, din nou, în mai
multe felii, pentru a o distribui FSI-lor și, apoi, FSI își reduc propria felia de „tort” în firimituri, care
sunt închiriate în leasing, în mod individual, clienților.
Nu este posibil să aveți două adrese IP publice identice conectate la internet, în același timp. Ca și
adresa poștală în lumea reală, fiecare mașină participantă trebuie să fie identificată, în mod unic,
pentru a trimite și primi date efectiv. Când este realizată o conexiune la internet de un calculator de
acasă, FSI închiriază în leasing o adresă IP unică pentru calculatorul respectiv, pentru momentul
conectării. Aceasta înseamnă că adresa IP va fi asociată cu toate activitățile de internet întreprinse
de calculatorul respectiv, în acea perioadă de timp. Când conexiunea este anulată, adresa IP este
realocată unui alt calculator.
Dacă se aplică o logică matematică conceptului de adrese IPv4, devine clar faptul că există un număr
finit de adrese IPv4 disponibile. Adresele IPv4 constă dintr-un set de patru numere și fiecare număr
poate lua doar o valoare între 0 și 255. Acest lucru înseamnă că, la nivel global, sunt disponibile
numai 4.294.967.296 de combinații diferite de adrese IPv4 unice. Deoarece există milioane de
calculatoare, dispozitive și persoane care se conectează la Internet, este clar că 4 miliarde de adrese
vor fi insuficiente. Acesta este motivul pentru care Furnizorii de servicii de internet își gestionează
grupurile de adrese IP utilizând ceea ce se numește alocare IPv4 dinamică sau care se numește
Carrier-grade NAT69 (CGN) (adică utilizarea de adrese de port suplimentare pentru fiecare adresă
IP). Pe de altă parte, formatul adresei IPv6 cu cele opt grupuri ale sale de patru numere
hexazecimale, înseamnă că există suficiente adrese IP nu numai pentru fiecare persoană din lume,
ci și pentru fiecare dispozitiv din locuința acestora (a se vedea secțiunea 4.2.3).
69
Acesta este un mecanism pentru maximizarea adreselor IPv4 limitate disponibile.
DHCP este un protocol 70 utilizat pentru a atribui automat un grup de adrese IP unui grup de
dispozitive. Funcționările interne ale acestui protocol sunt destul de „simple”. Când un dispozitiv
dorește să se conecteze la internet, acesta solicită o adresă IP de la FSI-ul său. FSI își consultă apoi
„lista de adrese IP disponibile” Acesta verifică ce adrese IP nu sunt alocate în acel moment unui alt
dispozitiv și alocă una dintre respectivele adrese IP „gratuite”, clientului (dispozitivului) solicitant.
Când efectuează acest lucru, FSI înregistrează data și ora și identitatea clientului. Imediat ce clientul
se deconectează de la internet, respectiva adresă IP revine la „lista de adrese IP disponibile” pentru
alocare unui alt dispozitiv. Aceasta înseamnă că un client sau dispozitiv poate primi o adresă IP
diferită de fiecare dată când se face o conexiune la internet. Este posibil ca, în unele ocazii, adresa
IP să se schimbe chiar de câteva ori, în timpul unei singure sesiuni.
Dacă adresa unei persoane s-ar schimba continuu în lumea reală, trimiterea unei scrisori persoanei
respective ar fi aproape imposibil, deoarece oficiul poștal nu ar ști unde să o livreze. Pe internet,
există anumite tipuri de dispozitive, pentru care adresa IP trebuie să fie cunoscută în orice moment.
În aceste cazuri, sunt utilizate „Adresele IP statice”. Aceasta înseamnă că FSI-ul atribuie o adresă
IP specifică unui singur dispozitiv (client) atâta timp cât proprietarul acelui dispozitiv rămâne client
al FSI-lui respectiv.
Majoritatea FSI-lor păstrează o serie de adrese IP care să fie utilizate ca Adrese IP statice și o altă
gamă pentru Adrese IP dinamice. În orice caz, aceștia știu întotdeauna cui i-a fost atribuită o adresă
IP, la un moment dat. Rețineți faptul că, deși majoritatea contractelor pentru accesul la internet vor
fi cu o organizație sau o persoană, adresele IP sunt atribuite dispozitivelor și nu persoanelor fizice.
Atunci când, în timpul unei investigații pe internet, este detectată o adresă IP, investigatorii pot
solicita FSI-lui (de regulă, cu un ordin din partea instanței de judecată) detaliile dispozitivului și
contractul de servicii, la care a fost atribuită respectiva adresă IP, la momentul respectiv. Trebuie
subliniat faptul că investigatorul trebuie să poată identifica cu precizie absolută momentul în care o
adresă IP alocată devine relevantă pentru investigația sa. Priviți următoarele:
70
Adică, un set de reguli pentru ca dispozitivele să comunice între ele.
„UTC-10” identifică ceea ce se numește „fusul orar” care, în acest caz, se traduce în „Ora Universală
Coordonată minus 10 ore” (adică, Hawaii). Cererile către FSI pentru adrese IP trebuie să arate
întotdeauna fusul orar.
4.2.3 IPv6
După cum se vede mai sus, numărul de adrese IPv4 disponibile este limitat. Utilizăm IPv4 din 1982,
dar foarte recent IPv4 și-a epuizat, în mod oficial, spațiul de adrese nealocat. Cu alte cuvinte, nu
mai există adrese IPv4 disponibile. Din fericire IPv6 sare în ajutor! IPv6 nu are spațiu de adrese
nelimitat, dar este, cu siguranță, extrem de vast:
340 undecilioane, care este de 340 de trilioane de trilioane de trilioane de adrese (sau
340,000,000,000,000,000,000,000,000,000,000,000,000).
Adresele IPv6 sunt reprezentate de un număr de 128 de biți împărțit în blocuri cu valori hexazecimale
de 16 biți, fiecare separate prin două puncte „:”. Literele nu țin cont de majuscule și 0-le (zerourile)
inițiale dintr-un bloc pot fi omise. De exemplu, una dintre adresele IPv6 ale Google este afișată ca:
2001:4860:b002::68, dar atunci când este scrisă în întregime, adresa IP completă este, de fapt,
2001:4860:b002:0000:0000:0000:0000:0068.
Fiecare dispozitiv sau calculator poate avea acum propria sa adresă IP unică și este probabil ca acest
lucru să ușureze viața unui investigator. Unul dintre cele mai discutate beneficii pe IPv6 este
integrarea Securității Protocoalelor Internet (IPSec) 71 în standardul Ipv6. În mod specific, IPv6 oferă
(printre altele) următoarele caracteristici: confidențialitatea datelor, integritatea datelor,
autentificarea originii datelor. Toate acestea pot fi considerate vești bune sau vești proaste, în funcție
de poziția fiecăruia. De exemplu, „confidențialitatea datelor” sună bine până când furnizează un
canal criptat liber prin care un suspect poate să trimită date sau până când NIDS-ul dumneavoastră
(Sistem de detectare a intruziunilor de rețea) decide că nu își poate face treaba deoarece majoritatea
noii rețele IPv6 este criptată punct-la-punct.
71
Securitatea Protocolului Internet (IPSec) este un cadru de securitate care permite autentificarea și criptarea
pe internet.
Cei care „testează” IPv6. Mulți FSI au platforme de testare a configurării pentru IPv6 ca
parte a unei „introduceri” controlate al noului sistem. Aceste platforme conectează, de
obicei, noua facilitate de testare IPv6 la o rețea de bază care rulează în IPv4. Întrucât
platforma se află doar într-o testare/introducere parțială, contabilizarea este incompletă,
astfel că AAl-le pot să urmărească adrese IP doar până unde IPv4 întâlnește IPv6.
FSI leneși Registrele regionale de internet (RRI) au făcut presiuni neoficiale asupra FSI-
lor pentru a-și menține bazele de date Whois72 actualizate. Alocarea unor blocuri uriașe de
adrese IPv6 a limitat presiunea pe care RRI reușiseră să o impună. Aceasta înseamnă că
datele Whois nu pot fi la fel de fiabile sau ușor de obținut ca în trecut.
Tehnologii noi/probleme vechi. Ca în cazul oricărui sistem nou, IPv6 ridică noi probleme
de securitate. De exemplu, există noi vulnerabilități în ceea ce privește stivele IPv6,
firewall-urile sunt brusc larg deschise din cauza aranjamentelor și configurațiilor IPv6
incorecte, IDS-urile (Sisteme de detectare a intruziunilor) nu au fost actualizate pentru a
prelucra IPv6 etc.
După cum s-a discutat anterior, pentru a comunica cu un anumit nod de pe Internet, este necesară
cunoașterea adresei IP a acestuia. Problema este că oamenii nu prea au capacitatea de a-și aminti
combinații de patru numere separate prin puncte. Dacă fiecare dispozitiv ar avea o adresă
prietenoasă pentru oameni, în loc de un șir de numere, cu siguranță lucrurile ar fi mai ușoare pentru
noi. Pentru a permite acest lucru, a fost creat un protocol numit DNS.
72
Aceasta este o bază de date care conține detaliile de proprietate a adreselor de domeniu (site-ul web).
Sistemul de nume de domenii (DNS) este un sistem care acționează ca o agendă telefonică dinamică
imensă și înregistrează care adresă IP (sau adrese) a fost atribuită cărui „nume” și invers. Relația
nu este întotdeauna un singur nume la o singură adresă IP (de exemplu, un singur nume poate fi
atribuit mai multor adrese IP și invers).
Să ne imaginăm un serviciu de Internet, care trebuie să fie întotdeauna disponibil. (Astfel de servicii
ar include motoarele de căutare pe internet, serviciile bancare online, webmail etc.) Pentru a vă
asigura că utilizatorii se pot conecta întotdeauna la serviciu, furnizorul de servicii creează mai multe
replici ale unui site web în diferite calculatoare. Fiecare dintre aceste calculatoare are o adresă IP
diferită, dar toate pot răspunde la un nume comun. Pe de altă parte, există și scenarii în care o
singură adresă IP răspunde la mai multe nume de domenii. Companiile de găzduire web utilizează
acest mecanism pentru a reduce costurile și gestionarea pentru a găzdui fiecare domeniu pe un alt
calculator (de ex., cu diferite adrese IP).
Numele de domenii sunt gestionate de către Înregistratorii acreditați de Corporația Internet pentru
Nume și Numere Alocate (CINNA; https://www.icann.org /) sau de Registrele listate de AANI
(Autoritatea de Atribuire a Numerelor pe Internet). Pentru Domeniile generice de nivel superior
(gTLD), cum ar fi .com, .net, .org, .biz, etc. CINNA acreditează Înregistratorii înșiși, în timp ce pentru
Domeniile de nivel superior tip cod de țară (ccTLFD), cum ar fi .us, .uk, .de, .ie etc. AANI deleagă
înregistrarea Registrelor locale precum Nominet UK, Denic eG, IE Domain Registry Limited etc.
După cum ne putem imagina, există milioane de FQDN-uri la nivel mondial și gestionarea acestei
baze de date imense este o sarcină imposibilă pentru un singur aparat. Pentru a simplifica această
sarcină, Sistemul de nume de domenii utilizează o structură de arbore pentru a efectua rezoluții de
nume (conectarea domeniilor la numărul adresei IP).
Fiecare segment al unui FQDN se referă la un „domeniu” diferit. Ultimul segment al unui FQDN, după
oprirea completă, se numește „Domeniul de nivel superior”. În cazul www.coe.int, „domeniul de
nivel superior” este „int”. Următorul segment (cel din mijloc) este cunoscut sub denumirea de
„domeniu de nivel secund” (adică, „coe”) și, în sfârșit, prima parte a șirului, înainte de primul punct,
este eticheta cu numele gazdei aparatului (în acest caz, „www”).
Ținând cont de acest lucru, DNS este o sursă foarte bogată de informații pentru investigațiile
referitoare la internet, din două motive:
URI este eticheta utilizată pentru a identifica locația unei „resurse” sau componente într-un sistem
informatic. URI-le oferă o modalitate prin care o resursă poate fi accesată de alte dispozitive din
aceeași rețea. Cel mai frecvent URI este o adresă a unei pagini web și permite interacțiunea pe
World Wide Web.
World Wide Web (WWW) este un sistem de documente (pagini web) conectate, care pot fi accesate
prin Internet (este o rețea care utilizează internetul, dar nu este sinonim cu Internetul). Paginile
Web utilizează ceva denumit „hipertext” care face posibilă conectarea sau saltul la alte obiecte și
pagini (adică, navigarea pe World Wide Web) și sunt, de obicei, scrise cu cod HTML (Limbaj de
marcare a textului - HyperText Markup Language). Paginile Web sunt, de obicei, grupate în ceea ce
este cunoscut ca site-uri web.
Utilizând o aplicație software cunoscută ca browser web (cum ar fi Internet Explorer al Microsoft,
Firefox Mozilla sau Google Chrome), se poate accesa World Wide Web și, dacă se cunoaște numele
de domeniu sau adresa URL (a se vedea mai jos), se poate recupera o anumită pagină web. Acestea
sunt, de obicei, găzduite pe Servere Web care pot fi localizate oriunde în lume.
Atunci când se referă la adresele de site-uri web, FQDN este cunoscut sub numele de Localizator
uniform de resurse (URL - Uniform Resource Locator). Principala diferență între un FQDN și o adresă
URL este că URL-ul include informațiile necesare pentru accesarea unei anumite resurse și specifică
exact la ce doriți să aveți acces la respectiva resursă (sau server).
Deoarece protocolul HTTP (sau HTTPS) este utilizat pentru a accesa și a transfera documente
hipertext, structura URL pentru orice site web va arăta astfel:
http://www.name-of-the-website.com/name-of-the-webpage.htm
Un localizator uniform de resurse (URL) este cel mai comun și binecunoscut subtip de Identificator
uniform de resurse. Principala diferență este că un URI poate fi aplicat pentru a accesa și alte resurse
decât pagini web sau site-uri web.
Acum, că cititorii știu cum sunt alocate adresele IP și cum sunt înregistrate numele DNS, aceștia
sunt pregătiți să își înceapă cele mai de bază investigații online. Aceștia știu cum să solicite informații
de contact de la înregistratorii DNS și știu cum să rezolve (conecteze) DNS la adresele IP și să obțină
informații privind cui le-au fost alocate respectivele adrese IP în timpul investigației lor.
În plus față de canalele oficiale utilizate pentru interogarea înregistrărilor DNS și rezolvarea DNS
către adresele IP, există o mulțime de instrumente și site-uri web concepute pentru a automatiza și
ajuta investigatorul pe acest front. Unele dintre cele mai cunoscute sunt: DnsStuff
(www.dnsstuff.com), DomainTools (www.domaintools.com) și CentralOps (www.centralops.net),
dar există multe altele.
Deși aceste site-uri sunt utile, este important să ne amintim că cea mai bună practică este obținerea
de date de la înregistratorii de origine (a se vedea secțiunea 4.2.4).
Înregistrările Whois pot ajuta un investigator să descopere proprietarul unui nume de domeniu
specific. Înregistrările conțin informații referitoare la cine deține un domeniu, numele, prenumele,
adresa de e-mail și adresa fizică a acestuia, numărul său de telefon și alte informații care ar putea
fi relevante. Investigatorul trebuie să fie conștient de faptul că nu există niciun control de calitate
sau de acuratețe efectuat cu privire la aceste date.
4.2.6.3 Detectare IP
Căutarea IP poate ajuta investigatorul să găsească toate informațiile disponibile asociate cu o adresă
IP dată. Investigatorul poate afla cine este Înregistratorul și DNS Reverse (căutare inversă) și
intervalul de blocuri IP din care face parte. Majoritatea instrumentelor/site-urilor vor identifica, de
asemenea, țara în care se găsește și chiar vor furniza coordonatele geo-locației, orașul sau chiar
Investigatorul trebuie să fie conștient de faptul că înregistrările DNS se schimbă din când în când
sau pot să nu fie exacte. O înregistrare DNS își poate schimba proprietarul, de exemplu, sau
proprietarul unui domeniu își poate falsifica informațiile din înregistrările DNS și poate reloca site-ul
web într-o țară îndepărtată înainte de a întreprinde o activitate ilegală. Ceea ce numim „Mașină a
timpului” este practic o interfață care permite investigatorului să preia date din istoricul
înregistrărilor DNS.
Există multe surse de informații disponibile online, care ar putea fi utile pentru o investigație. În
această secțiune, cele mai comune tipuri de surse online sunt enumerate împreună cu tipurile de
dovezi pe care le-ar putea furniza.
Deoarece oamenii tind să utilizeze rețelele sociale și să partajeze din ce în ce mai mult conținut pe
internet, aceștia lasă urme pe profilurile de social media, în secțiunea de comentarii a site-urilor web
și în multe alte locuri pe internet. Instrumentele de Informații din sursă deschisă (OSINT - Open
Source Intelligence) pot ajuta investitorii la percheziție și să obțină informații doar furnizând un
nume, o adresă de e-mail sau un cuvânt cheie. Există multe instrumente OSINT specializate pentru
multe platforme diferite (de ex. Facebook, Twitter, Instagram, Pastebins, Youtube etc.). Această
secțiune va enumera doar câteva instrumente bine cunoscute și va indica liste de referințe
suplimentare care sunt actualizate mai frecvent pe internet.
Instrument URL
ReconNG http://recon-ng.com/
Sherlock https://github.com/sherlock-project/sherlock
Honeybadger https://github.com/lanmaster53/honeybadger/
FOCA https://www.elevenpaths.com/labstools/foca/index.html
Spiderfoot https://www.spiderfoot.net/
The Harvester https://github.com/laramies/theHarvester
Browser OSINT http://www.osintbrowser.com
Free People Search https://peekyou.com/
Pipl https://pipl.com/
CyberChef https://gchq.github.io/CyberChef/
Youtube Comment Scraper http://ytcomments.klostermann.ca/
Shodan https://shodan.io
Un investigator care trebuie să facă cercetări OSINT va găsi o mulțime de referințe suplimentare pe
următoarele site-uri web:
- https://github.com/Ph055a/OSINT_Collection
- https://github.com/jivoi/awesome-osint
- https://start.me/p/wMdQMQ/tools
- https://github.com/0x90/osint-arsenal
- https://osintframework.com
Aceste site-uri sunt, de obicei, sortate în categorii care se grupează, de ex. instrumente pentru
investigații Instagram, instrumente pentru informații DNS, instrumente pentru informații IP etc.
Site-urile web sunt cea mai fundamentală sursă de informații disponibilă pe Internet. Prima probă
potențială este conținutul „vizibil” efectiv al site-ului. Cea de-a doua este, evident, conținutul
„invizibil” asociat acestor site-uri. Conținutul invizibil aici este practic „limbajul de programare”
(HTML, CSS, Javascript etc.) utilizat pentru a crea pagina web, conținutul real pe care serverul îl
Partea bună aici este că, în general, sunt disponibile mai multe informații decât cele care apar, de
fapt, pe ecran. Iată în continuare un exemplu de pagină web simplă de conectare (logon) și o
descărcare (dump) parțială (sau extragere) a „codului sursă” subiacent pentru aceeași pagină web
de conectare.
După cum se poate vedea, acolo există mai multe informații, iar unele dintre acestea ar putea fi
foarte utile. Câteva exemple frumoase de date care pot fi obținute în acest fel sunt:
Nu în ultimul rând, există „meta-date” care pot furniza informații tehnice de nivel înalt cu privire la
pagina web în sine. Un simplu exemplu al acestui punct este data ultimei modificări pentru o anumită
resursă web (pagină web, imagine etc). Iată o imagine a acestor informații extrase utilizând un
instrument cu sursă deschisă numit FireBug care rulează pe Google Chrome. Sunt disponibile FireBug
plus multe alte instrumente similare (precum și extensiile dezvoltatorilor Google Chrome) care vor
oferi cu ușurință și mai multe informații de pe o simplă pagină web.
Site-urile de rețele sociale au început ca pagini web obișnuite și au evoluat extraordinar în ceea ce
privește complexitatea lor. Complexitatea este bună pentru investigatorii digitali, deoarece tinde să
crească liniile de anchetă disponibile. Elementele generice pe care investigatorul trebuie să le aibă
în vedere în cazul site-urilor de rețele sociale includ:
- ID-uri interne. Aceste site-uri utilizează în mod extensiv „identificatori” (ID-uri) pentru a
urmări totul (utilizatori, imagini, discuții, sesiuni, grupuri, aprecieri pozitive (like)/aprecieri
negative (dislike) etc.), iar aceste ID-uri se referă de cele mai multe ori la ID-urile interne
disponibile furnizorului de servicii.
Facebook utilizează în mod extensiv “fbid” (Facebook ID) (de ex.
http://www.facebook.com/photo.php?fbid=389359417758298). O imagine instantanee a
profilului/utilizatorului/fotografiei Facebook etc., a unei persoane de interes este utilă, dar
faptul că identificarea internă a acesteia există în baza de date a Facebook, poate fi mult
mai interesantă.
- Discuții (chat). Aceste site-uri oferă servicii prin care utilizatorii întrețin dialoguri video,
audio sau text cu alți utilizatori, cunoscuți sau necunoscuți. Dacă sunt procesate în mod
adecvat, acestea pot furniza informații de înaltă calitate. Elementul cheie pentru investigator
în toate elementele interactive web este să colecteze cât mai multe date și nu doar ceea ce
este afișat pe ecran de browserul web. Ca exemplu, să aruncăm o privire la schimbul de
informații cu serverele Facebook, pur și simplu prin deschiderea unei ferestre de chat, pentru
- Fotografii. Chiar dacă site-urile de profil înalt au introdus filtre de „curățare” la imaginile
încărcate pe acestea, investigatorul poate totuși să se confrunte cu unele site-uri de
socializare și alte tipuri de site-uri care publică direct fotografiile încărcate. Aceștia trebuie
să fie conștienți de metadatele atașate imaginilor (în principal, codificate EXIF73), inclusiv:
data și ora fotografiei, distanța focală, latitudinea și longitudinea când a fost realizată
fotografia.
Există, sau pot fi create cu ușurință, programe pentru căutarea și descărcarea unui număr
mare de imagini de pe site-uri specifice și pentru extragerea tuturor metadatelor EXIF
relevante, în decurs de doar câteva minute.
Pentru investigații suplimentare în ceea ce privește rețelele de socializare, poate fi mai ușor să
aruncați o privire mai atentă asupra instrumentelor OSINT (va se vedea secțiunea Error! Reference
source not found.)
În trecut, existau mai multe site-uri de bloguri alimentate de mai multe motoare diferite (adică tipuri
de software). Unele erau bune, iar unele erau slabe. Unul dintre cele mai populare motoare utilizate
pentru a eticheta (tag) adresa IP de la care a fost adăugată fiecare postare (înregistrare). Un
investigator putea obține cu ușurință adresa IP doar privind „codul sursă” al paginii web. Acele zile
au apus demult (deși investigatorul ar putea totuși să mai dea peste un cadru de blog vechi). Astăzi
există puține motoare de blogging și aproape toți își dau toată silința pentru a proteja
confidențialitatea bloggerilor. Pe de altă parte, platformele de blogging necesită acum, în general,
un proces de autentificare mai riguros, înainte ca bloggerul să poată posta pe site.
73
Ref. http://en.wikipedia.org/wiki/Exchangeable_image_file_format
Această bucată de cod de metadate HTML este apoi utilizată de Google pentru a stabili o legătură
directă între un cont de e-mail Google și domeniul utilizat de Blogger. Utilizatorul este capabil să
înlăture acele metadate de pe web odată ce link-ul a fost creat, dar aproape nimeni nu face acest
lucru și aceste informații rămân acolo pentru totdeauna. Site-uri precum Twitter, Facebook, Google
Analytics și AdSense toate oferă linii suplimentare de anchetă, pentru a stabili cine se află de fapt în
spatele unui anumit blog.
Este bine știut faptul că ID-ul site-ului Google derivă de la adresa URL a site-ului și de la e-mailul
utilizat pentru validarea site-ului.
Nu în ultimul rând, deși platformele de blogging „serioase” sunt destul de sigure în zilele noastre,
anumite platforme permit totuși posibilitatea de a posta conținut activ limitat, care ar putea fi util.
Pe lângă faptul că utilizează furnizori consacrați de servicii de blogging, dezvoltatorul web calificat
poate configura un blog pe propriul său spațiu web, folosind un sistem de management de conținut
(CMS) conceput pentru blogging. Wordpress este probabil cel mai cunoscut exemplu de astfel de
CMS. În cazul în care investigatorul trebuie să obțină informații referitoare la un blog găzduit pe un
spațiu web privat, acesta se poate referi la furnizorul care găzduiește spațiul respectiv, cartela de
interfață de rețea (NIC) corespunzătoare și, de asemenea, de la codul sursă (precum Instrumentele
WebMaster sau fragmente Google Analytics prezentate în această secțiune).
Cele mai multe platforme webmail inserează adresa IP a expeditorului, ca un antet suplimentar pe
e-mailuri trimise prin intermediul acestora. Gmail, pe de altă parte, nu dezvăluie aceste informații,
menționând necesitatea protejării confidențialității utilizatorilor lor. Fiecare dintre marile platforme
de webmail ar putea fi dezbătute în mai multe capitole, dar acestea ar fi prea tehnice și ar depăși
sfera de aplicare a prezentului Ghid. Cu toate acestea, investigatorul trebuie să fie atent atunci când
se ocupă de probele referitoare la aceste site-uri, deoarece există un potențial ridicat de a descoperi
probe.
https://mail.google.com/mail/h/1fghjf56gshi2/?view=att&th=35hyfdfghdfgdfgwe67tid=0.1&dis
p=attd&realattid=f_gnt1i7j37&zw
După efectuarea unor cercetări, s-a descoperit că ultima parte a acelui „realattid”75 URI reprezintă
„ID-ul de atașare real”. Întrucât Google stochează o singură copie de atașamente pe serverele sale,
indiferent cât de multe e-mailuri diferite sunt asociate cu același fișier, acest lucru le-a permis
anchetatorilor să stabilească ce conținea atașamentul și să le lege suspectul la evenimentele care
făceau obiectul investigației.
Acestea devin extrem de comune în peisajul Twitter. În afară de faptul că sunt menținute jurnale cu
privire la conexiunile Twitter (ceea ce este bine în scopuri probatorii), anchetatorul trebuie să fie, de
asemenea, conștient de faptul că unele servicii oferă statistici de urmărire cu link-uri deschise.
Aceasta înseamnă că oricine poate găsi statisticile disponibile referitoare la utilizarea unei adrese
URL scurtate. Unele servicii furnizează chiar aceste statistici cu o cronologie care poate indica când
a fost creat link-ul prescurtată.
Anunțurile publicitare online constituie una dintre acele surse de informații care sunt, de obicei,
trecute cu vederea. Atunci când apar pe un site web suspect, anunțurile publicitare vor conduce la
o rețea publicitară precum Google AdSense, AdBrite, 24/7 RealMedia, Microsoft PubCenter/adCenter
etc. Acestea, la rândul lor, pot oferi un ID (care va fi mai mult sau mai puțin fiabil) în funcție de
rețeaua publicitară) și pot duce la „urma banilor”.
Ca o paranteză, și nu strict referitoare la anunțuri publicitare, codurile Google Analytics pot fi găsite
încorporate în codul foarte multor site-uri web. Formatul acestora arată astfel „UA-17576257-1” și
sunt utilizate pentru colectarea datelor operative referitoare la afaceri și preferințele utilizatorului.
De asemenea, infractorii îi utilizează pentru a urmări eficacitatea tuturor felurilor de atacuri și
înșelătorii. ID-urile referitoare la un cont Google Analytics sunt, în general, legate de un cont Google,
care poate duce apoi la un număr de telefon mobil.
Rețelele de stocare a conținutului sunt servicii care permit stocarea și partajarea materialelor online
și fac parte din fenomenul informaticii dematerializate (Cloud).
74
Ajustat și anonimizat pentru confidențialitate
75
Identificator uniform de resurse
În rețelele Peer to Peer (P2P - rețea de entități omoloage), calculatoarele (adică „omologii”) sunt
conectate unele cu altele, fără un server central. Fiecare calculator acționează atât ca client, cât și
ca server și poate partaja fișiere cu orice alt calculator (omolog) conectat la aceeași rețea. Fișierele
care sunt partajate sau descărcate prin majoritatea rețelelor P2P pot fi obținute doar prin conectarea
la rețeaua P2P și prin înregistrarea tranzacțiilor P2P corespunzătoare. Un utilizator poate configura
majoritatea clienților P2P pentru a înregistra tranzacțiile și pentru a salva în mod automat rezultatele
într-un fișier. În funcție de legile naționale, dosarul respectiv poate fi utilizat ca probă.
Iată o imagine a unui client uTorrent în acțiune. Omologii sunt prezentați descărcând același simultan
torent (fișier).
Dacă logarea este activată pentru acest client, toate detaliile necesare (IP, porturi, timestamps,
operații) vor fi înregistrate direct într-un fișier. În acest exemplu, procesul a avut ca rezultat un fișier
care arată cine a descărcat, în mod activ, fișierele de rainbow cracking 77 (spargere parole) de pe
shmoo.com pentru parole alfanumerice.
76
Dacă pot să solicite, în mod oficial date, de la acești furnizori de servicii, anchetatorii pot găsi un tezaur de
probe. De exemplu, Amazon S3 poate furniza obiecte hash, jurnalele de acces complete și chiar versionarea de
fișiere/obiect/shard!
77
Acestea sunt, de fapt, lungi liste de potențiale parole, care sunt apoi introduse automat în caseta de parole a
unui sistem țintă.
În timp ce Internetul este un loc în care furnizorii de servicii și informații doresc, în mod obișnuit, să
publice și să partajeze date cu publicul larg, există, de asemenea, și o cerere pentru zone mai
private, accesibile unui grup restrâns de persoane, pentru scopuri exclusiviste. Unele dintre aceste
zone sunt locuri publice, care pot fi găsite doar de persoanele care dețin adresa corectă. Să luăm,
de exemplu, un cuplu care dorește să împărtășească fotografiile de la nunta lor cu familia și prietenii.
Aceștia nu ar dori ca toți utilizatorii de internetului să vadă fotografiile. În acest caz, aceștia ar putea
încărca imaginile într-un serviciu cloud și partaja link-ul către galerie, doar cu prietenii și familia.
78
RSS înseamnă Sindicalizare foarte simplă (Really Simple Syndication). Acesta este un sistem utilizat pentru a
livra conținut de pe web pe măsură ce este încărcat. Foarte des, acesta va avea legătură cu un serviciu de știri
sau media.
Există, de asemenea, alte zone ascunse ale internetului pentru care sunt necesare date de
autentificare. Un panou cu informații tipic și un cont obișnuit de e-mail sunt doar două exemple de
zone private care nu pot fi găsite de către un motor de căutare sau accesate din cauza cerinței de
autentificare a acestora. Pe lângă site-urile care sunt ascunse intenționat motoarelor de căutare
publice, există, de asemenea, și site-uri web și baze de date, care nu pot fi indexate de către
motoarele de căutare, deoarece conținutul lor nu poate fi înțeles sau analizat de către acestea.
Denumirea colectivă pentru toate acele zone ale internetului, care sunt ascunse motoarelor de
căutare, se numește „Deep Web” (alte nume sunt „Hidden Web” („Web-ul ascuns”), “Invisible Web”
(„Web-ul Invizibil”) sau „Deepnet” („Internetul adânc”)).79
După cum se arată în exemplele de mai sus, Deep Web nu este un moft și nici nu este asociat
criminalității. Acesta există încă din primele zile ale internetului. De fapt, primele servere de pe
Internet și primele site-uri web disponibile pe World Wide Web ar putea fi ușor considerate ca fiind
parte a Deep Web. În zilele dinainte ca motoarele de căutare și directoarele publice să devină atât
de sofisticate, utilizatorii puteau vizita paginile doar dacă știau adresa exactă - pentru toți ceilalți
serverul sau site-ul era invizibil.
Este imposibil de măsurat dimensiunea Deep Web în prezent, din cauza naturii acestuia, dar au fost
efectuate câteva estimări aproximative. Un studiu realizat de Bergman 80 , din 2001, a sugerat
următoarele:
Pe lângă site-urile web, bazele de date și documentele care nu sunt indexate de motoarele de
căutare, există, de asemenea, un alt nivel al Deep Web: așa-numitul „Darknet” (cunoscut și sub
denumirea de Dark Web). Darknet, la fel ca și Deep Web, nu poate fi căutat de motoarele de căutare
standard. Cu toate acestea, în timp ce site-urile web de pe Deep Web pot fi accesate de un browser
79
Opusul Deep Web este „Surface Web” („Web-ul de suprafață”), deci toate informațiile care pot fi găsite prin
intermediul motoarelor de căutare.
80
Bergman, M. K. (2001). Deep Web: Scoaterea la iveală a valorii ascunse. Journal of Electronic Publishing 7, 1-
17. Disponibil la: http://www.press.umich.edu/jep/07-01/bergman.html
Chiar dacă Darknet utilizează aceeași rețea fizică (internet) ca Deep Web și Surface Web, acesta
utilizează o rețea internă și un spațiu de adrese diferite. Pentru a vizualiza conținutul, pe lângă faptul
că trebuie să cunoască adresa Darknet, un investigator va trebui să se conecteze și prin intermediul
rețelei interne a Darknet.
Rețelele Darknet sunt rețele peer-to-peer, ceea ce înseamnă că fiecare utilizator se conectează în
mod direct la un alt utilizator. Oricine are setul de abilități necesar, poate crea un Darknet și poate
invita un grup de persoane de încredere să participe la această rețea mică. Cu toate acestea, există
și unele rețele Darknet cu mii de utilizatori. Cele mai proeminente dintre acestea sunt Serviciile
ascunse Freenet și The Onion Routing (Tor).
Rețeaua Tor este un canal de anonimizare care direcționează traficul prin mai multe noduri. Fiecare
nod își cunoaște doar vecinul direct, astfel încât nu este posibil pentru niciun nod (sau utilizator) din
lanț să cunoască exact cine a trimis sau a primit o anumită cerere. Un investigator poate accesa
rețeaua Tor pur și simplu descărcând browserul Tor81. Odată conectat la rețeaua Tor, investigatorul
poate accesa și configura serviciile ascunse. Aceste servicii pot fi accesate prin adrese „.onion” în loc
de FQDN (a se vedea pct. 4.2.4.). Un exemplu pentru o astfel de adresă „.onion” ar fi
3g2upl4pq6kufc4m.onion
Acesta este serviciul Darknet al motorului de căutare legitim DuckDuckGo, care oferă servicii de
căutare anonime.
Următorul grafic ilustrează relația dintre Surface Web, Deep Web și Dark Web:
81
https://www.torproject.org/projects/torbrowser.html.en
Darknet
Surface
Web
Deep Web
Deep Web și, în special, Darknet, sunt relevante pentru investigațiile instituțiilor de aplicare a legii,
deoarece anonimatul Darknet a atras comercianții și clienți care tranzacționează materiale și servicii
ilegale, cum ar fi arme, droguri, bani falsificați, cărți de identitate false, identități furate, botneți,
servicii de hacking (acces ilegal la un sistem informatic), materiale conținând abuzuri asupra copiilor
și ucigași pe bază de contract. Cel mai important exemplu al unei astfel de piețe este „Drumul
Mătăsii”.
Investigarea Deep Web și Darknet este o sarcină de specialitate, care depășește sfera de aplicare a
prezentului ghid de bază. Cu toate acestea, următoarea listă de lectură poate orienta cititorii în
direcția corectă:
După ce am analizat unele dintre cele mai proeminente surse de probe pentru investigația online, o
abordare sistematică va asigura posibilitatea utilizării acestora în instanță.
Un investigator trebuie să fie pregătit să răspundă la unele sau la toate întrebările următoare:
În cadrul investigațiilor cu unități nefuncționale, majoritatea acestor întrebări nu vor crea dificultăți.
Există o metodologie și un set de instrumente prestabilite concepute exclusiv în acest scop. Cu toate
acestea, dacă prezentați un instantaneu al browserului în timp ce vizitați un anumit site, aceste
întrebări s-ar putea dovedi a fi o adevărată provocare.
Desigur, nu există un site web al Consiliului Galactic. Acesta este un alt site web modificat pentru a
oferi cititorului câteva probe false de primă mână.
Au fost necesare aproximativ 60 de secunde pentru a falsifica respectivul instantaneu (dintre care
40 au fost irosite pentru a gândi ce trebuie scris în acesta). Având în vedere ușurința de a crea
această imagine, un simplu instantaneu de conținut online nu ar fi niciodată destul de bun pentru a
demonstra suficient conținutul imaginii pentru o instanță. Cu toate acestea, codul sursă pentru o
pagină web poate ajuta la coroborarea conținutului.
Codul sursă HTML vă poate ajuta să stabiliți un instantaneu a unei pagini web ca probă pentru
instanță. Din cauza limitărilor de spațiu, codul sursă complet nu va fi reprodus, dar iată câteva
statistici referitoare la codul sursă subiacent pentru pagina web falsă prezentată anterior.
Respectiva pagină web model a fost cu adevărat simplă, dar aici sunt statisticile pentru o pagină de
pornire Facebook implicită:
Există destul de multe date aici și foarte puține dintre acestea sunt, de fapt, transformate în imaginea
ecranului de către browser.
Cum se poate găsi și copia codul sursă HTML a unei pagini web.
Toate browserele au opțiunile de a salva o pagină web și, realizând acest lucru, vor salva efectiv
codul sursă. Meniurile browserului vor oferi opțiuni precum „Salvați pagina ca” (“Save Page As”) sau
„Fișier -> Salvați ca” (“File -> Save As). În mod alternativ, majoritatea browserelor oferă o opțiune
numită „Vizualizare sursă” (“View source”). Un clic dreapta pe o pagină web dată, va dezvălui codul
sursă HTML, care poate fi copiat și lipit într-un fișier text sau document Word sau salvat ca document
HTML (care trebuie deschis de către un browser).
82
ID Facebook
O abordare obișnuită cu costuri reduse pentru colectarea de probe online este să configurați o
cameră video obișnuită și să înregistrați, pur și simplu, deschiderea browserului web și înregistrarea
procedurii (afișarea probelor pe care doriți să le înregistrați pe ecran). De asemenea, poate fi util să
navigați mai întâi pe site-ul unui ziar online cunoscut pentru a oferi un fel de marcaj al orei brute.
Ideea aici este că manipularea materialelor video nu este la fel de simplă ca falsificarea conținutului
site-ului web într-un instantaneu.
Cei care utilizează o cameră video, trebui să fie, de asemenea, conștienți de ceva numit „Aberație a
lentilei” cauzată de imperfecțiuni în senzorul camerei (imperfecțiunile unei imprimante au fost
discutate în Secțiunea 3.4.16). Aberația lentilei unei camere poate fi corelată cu probele înregistrate,
care dovedesc că respectivul dispozitiv a fost utilizat pentru a realiza înregistrarea.
Configurarea unei camere video standard în fața calculatorului dumneavoastră poate fi greoaie. O
alternativă ar fi înlocuirea camerei video cu software de captură a ecranului digital. Există multe
instrumente disponibile care pot fi utilizate în acest mod. Unul dintre cele mai populare este
„Camtasia Studio” de TechSmith. Un software foarte asemănător, dar cu sursă deschisă este
„CamStudio Open Source”. Atât software-ul cât și codecul video au o Licență publică generală (GPL)
care permite utilizarea acestuia. Aceste instrumente sunt intuitive și extrem de simplu de utilizat:
Apăsați butonul roșu „Înregistrare” și începeți.
Există, de asemenea, unele puncte slabe în abordarea înregistrării. De exemplu, în cazul în care un
server web a fost configurat cu o copie a unei pagini/site web falsificate și înregistrările/rutarea DNS
de pe calculator au fost modificate pentru a indica copia în locul site-ului web online real?
Acesta este exact genul de provocare pe care investigatorul trebuie să încerce să o anticipeze. O
modalitate de a evita această problemă ar putea fi înregistrarea „accesului indirect” la conținutul
online care este înregistrat pentru a arăta că este original. O modalitate simplă de a face acest lucru,
de exemplu, este să utilizați ceva precum Google Translate pentru a accesa site-ul țintă (notă,
În această imagine, site-ul web DNSstuff este ținta (nevinovată) și Google Translate este utilizat
pentru a verifica dacă imaginea de pe ecran nu este un site web clonat creat de un hacker. Așadar,
în loc ca computerul dumneavoastră să se conecteze direct la DNSstuff, un server Google
contactează site-ul web și solicită pagina principală. Acest lucru poate demonstra „în direct”, pe
filmarea video, că examinarea este efectuează într-adevăr pe pagina web autentică. În același timp,
ora și data vizitei la Google Translate, adresa IP și adresa URL tradusă vor fi fost înregistrate în
jurnalele serverelor Google.
O modalitate suplimentară de a face ca probele video să fie mai solide este de a demonstra în fața
camerei date suplimentare, mai „tehnice” aferente paginilor web vizate. O posibilitate ar fi navigarea
la http://http-headers.online-domain-tools.com, care va afișa „anteturile HTTP” pentru un anumit
domeniu. Anteturile furnizează, de obicei, un câmp de „Date” furnizat direct de serverul web care
găzduiește site-ul, care arată ora pe serverul web pe care sunt găzduite probele.
Iată un exemplu de date capturate de Wireshark în timpul încărcării paginii noastre de referință
„http://www.galactic-council.glxy”
Pentru datele webcentrice, un compromis între ușurința de utilizare și detalii ar fi rularea sesiunii
web printr-un „proxy de autentificare”. Un server proxy se află între programul condus de utilizator
(cum ar fi browserul web) și serverul real. Un „proxy de autentificare” înregistrează toate cererile
primite și le transmite la un punct final nominalizat. Această abordare ar putea fi mai ușor de
83
http://www.wireshark.org/download.html
84
VOIP este telefonie bazată pe internet și înseamnă Traficul de voce prin Internet. Skype este un exemplu
binecunoscut în acest sens
Marcarea fiabilă a orei este procesul de înregistrare securizată a orelor la care a fost creat și modificat
un document. Aici, „securizată” înseamnă că nimeni - nici măcar proprietarul documentului - nu
poate schimba înregistrările, după ce acestea au fost înregistrat.
Există câteva opțiuni bune, cu sursă deschisă, de marcare a orei și multe servicii comerciale care ar
putea fi considerate suficient de fiabile pentru necesitățile locale.
4.4.7 Crearea unui duplicat care poate fi vizualizat, al unui site web
O altă tehnică de stocare a conținutului unui site web pentru o examinare ulterioară este crearea
unei copii offline care poate fi vizualizată. Copiatorul de site-uri web HTTrack este capabil să descarce
conținutul site-urilor web, precum și fișierele media de pe Internet. Instrumentul poate schimba
toate căile din codul sursă pentru a indica fișierele media și site-urile conexe, astfel încât site-ul web
să fie, în mod efectiv, reprodus atunci când este vizualizat offline, cu toate imaginile asociate.
Aceasta poate fi o abordare bună atunci când trebuie prezentat conținutul unui site web în instanță,
dar investigatorul trebuie să rețină faptul că codul sursă a fost schimbat de instrument și că astfel
de instrumente sunt adesea incapabile să copieze integral site-ul web, cu toate suporturile și site-
urile conexe.
4.4.8 Notar
Există situații în care un notar sau un alt funcționar juridic ar putea fi cooptat pentru a ajuta la
obținerea de probe. Una dintre funcțiile unui notar în jurisdicțiile de drept civil este de a revizui și
autentifica anumite documente și acorduri juridice, într-un mod acceptabil pentru o instanță de
judecată. Dacă un notar poate fi invitat să acceseze orice material online este necesar ca probă
utilizând calculatorul și conexiunea la internet, acesta poate atesta apoi oficial autenticitatea probelor
descoperite. În cazul în care este necesară cooperarea internațională, multe țări au acorduri care
recunosc reciproc documentele legalizate.
Există multe instrumente și servicii care pretind că oferă achiziție automatizată de probe online și
par să garanteze admisibilitatea probelor. Deși multe dintre aceste instrumente și servicii pot crește
probabilitatea ca probele să fie admisibile într-o instanță de judecată, nu există un instrument unic
care să garanteze 100% admisibilitatea în temeiul oricărui cadru juridic.
1. Toate instrumentele software depind de un mediu de calcul „fiabil”, lucru dificil de realizat și
aproape imposibil de dovedit unui terț. În termeni simpli, orice instrument care rulează pe
calculatorul unui investigator poate fi compromis și modificat. Pe acest front, s-au realizat
Așa cum se poate observa deja, nu există o metodologie sau un set de instrumente ideale pentru
securizarea probelor digitale online într-un mod care să garanteze admisibilitatea acestora în orice
instanță de judecată de oriunde. Cele mai bune practici în prezent implică maximizarea calității
datelor obținute și luarea tuturor măsurilor necesare pentru a asigura, pe cât posibil, integritatea
probelor și transparența procesului prin care acestea au fost achiziționate. Dacă legile locale permit,
pentru a adăuga un element suplimentar de validare obiectivă, pot fi angajate serviciile unui notar
sau ale unui funcționar public similar sau ale unei Autorități guvernamentale de încredere de marcare
a orei. Ținând cont de toate acestea, admisibilitatea unei proceduri sau metodologii trebuie
verificată înainte de adoptare cu consilieri juridici.
Acest Ghid nu poate oferi decât sfaturi generale privind implicarea sub acoperire a unui agent de
aplicare a legii. Orice persoană implicată într-o investigație sub acoperire (fie pe internet, fie în
lumea reală) trebuie să fie întotdeauna pregătită, competentă și autorizată în mod corespunzător.
Este posibil ca acest rol să nu existe în anumite jurisdicții sau poate fi chiar interzis de legislația
națională. Ori de câte ori se are în vedere implicarea de agenți sub acoperire, trebuie acordată
întotdeauna o atenție deosebită legislației, politicilor, procedurilor, codurilor de practică și
standardelor aplicabile pentru desfășurarea investigațiilor în respectiva jurisdicție specială.
Înainte de a începe orice investigație online, ofițerul de autorizare și agentul sub acoperire trebuie
să stabilească domeniul de aplicare și cerințele respectivei investigații, precum și parametrii care
trebuie aplicați în implicarea și desfășurarea investigatorului online sub acoperire. Trebuie pregătită
o evaluare a riscurilor și revizitată și revizuită, în mod continuu, pe toată durata implicării.
Înainte de orice implementare, cadrul pentru schimbul de informații și date operative trebuie stabilit
în mod oficial. Acest lucru poate necesita utilizarea unui agent de asistență pentru a oferi asistență
agentului online în cazul oricăror modificări neprevăzute în ceea ce privește investigația. Agentul de
În mod regulat, echipamentele și toate sistemele potențiale de înregistrare trebuie testate pentru a
se asigura că acestea funcționează corect și pentru a confirma caracterul adecvat al acestora pentru
astfel de operațiuni.
Atunci când operează cu identitatea lor sub acoperire, agenții trebuie să respecte standardele etice
și corespunzătoare. În colectarea informațiilor, stabilirea și menținerea contactului cu subiectul
investigației, aceștia trebuie să acționeze în conformitate cu orice condiții prevăzute în instrucțiunile
lor inițiale de angajare în operațiune.
Deoarece investigațiile online se pot dezvolta foarte repede, agenții trebuie să pregătească în
prealabil și să dezvolte strategii pentru a face față eventualelor conflicte sau dificultăți care pot
apărea în timpul unei interacțiuni. În cazuri extreme, acest lucru poate necesita, de exemplu,
simularea defecțiunii echipamentului pentru a permite timp suficient pentru luarea în considerare a
răspunsului adecvat.
Agenții trebuie:
- Să poată identifica limitele legale ale acțiunilor lor (inclusiv să poată recunoaște ceea ce
constituie participarea la infracțiuni);
- Înțelegeți cu atenție necesitatea coroborării probelor;
- Luați în considerare drepturile omului în cauză și toate celelalte părți afectate de investigație.
Agenții trebuie să se asigure întotdeauna că toate materialele relevante pentru investigație sunt
păstrate și înregistrate într-o formă durabilă și care poate fi consultată. Aceasta poate necesita
dezvoltarea de sisteme sigure, care nu sunt disponibile, în mod normal, în cadrul instituției implicate.
Din punct de vedere tehnic, trebuie luate măsuri pentru a proteja adevărata identitate a agentului
online, la fel ca în orice misiune ascunsă. Majoritatea soluțiilor de e-mail vor furniza suspectului
adresa IP a agentului; chiar și serviciile de e-mail care nu furnizează adrese IP originale (cum ar fi
Gmail) ar putea fi totuși utilizate pentru identificarea agentului. O tehnică clasică utilizată de un
infractor cibernetic constă în trimiterea de atașamente „momeală”, care vor dezvălui adresa IP și
Este posibil să nu fie întotdeauna posibilă accesarea fizică sau de la distanță a unui dispozitiv, așa
cum este descris în Capitolele 3 și 4. Datele stocate pe dispozitive complexe de mari dimensiuni
(cum ar fi cele ale furnizorilor mari de servicii de internet) pot fi toate, dar imposibil de accesat fără
cooperarea și asistența Furnizorului de servicii de internet. O modalitate de a evita acest lucru poate
fi căutarea cooperării unui terț (cum ar fi furnizorul de găzduire), care poate fi în măsură să furnizeze
fișiere jurnal și date de înregistrare a serviciilor. Obținerea datelor de la terți este discutată în
continuare în secțiunea 5.1.
De asemenea, terții pot colecta probe electronice în mod provizoriu, indicând faptul că a avut loc o
infracțiune informatică și determinând organele de aplicare a legii să inițieze o investigație. Acest
lucru este discutat în continuare în secțiunea 5.2. Simpla dimensiune a internetului și numărul de
tranzacții efectuate în fiecare minut, înseamnă că este imposibil pentru insuficientele resurse
disponibile organelor de aplicare a legii, pentru ca acestea să îl monitorizeze efectiv. Deși unele părți
ale internetului sunt complet accesibile tuturor utilizatorilor de internet, alte părți sunt restricționate
și necesită înregistrare. Atunci când infracțiunea are loc prin canale de comunicare închise (cum ar
fi o infracțiune comisă prin utilizarea e-mail-ului personal), organele de aplicare a legii au șanse mici
să observe respectiva infracțiune sau să obțină probe documentare cu privire la aceasta, exceptând
cazul în care infracțiunea este raportată de o persoană cu acces la acel canal privat.
Identificarea autorului infracțiunii comise pe internet poate fi dificilă. Adesea, singura informație
cunoscută despre sursa infracțiunii va fi o adresă IP, o adresă MAC 85, o adresă de e-mail, un nume
de domeniu sau un pseudonim de internet sau „identificator”. Pentru a putea identifica persoana
fizică din spatele adresei de internet, specialistul trebuie să obțină date deținute de Furnizorii de
servicii internet. Furnizorii de acces la internet, e-mail sau găzduire sunt adesea singurele entități
care pot asigura legătura crucială între identitatea cibernetică a făptuitorului și identitatea din lumea
reală. Prin urmare, deținătorii de date independenți pot fi adesea cheia pentru aducerea unui suspect
în justiție.
Următorul scenariu poate ajuta la explicarea modului în care intermediarii pot identifica un infractor:
Calculatorul unei victime este compromis, permițând făptuitorului acces complet la toate fișierele
electronice ale victimei (inclusiv înregistrări bancare și parole de autentificare pentru diverse site-
uri web). Analiza criminalistică relevă faptul că victima a primit un e-mail care conținea programe
de coduri ostile (malware), care instalau software de spionaj pe mașina victimei. Polițistul care
investighează problema poate identifica atât contul de e-mail utilizat pentru a trimite email-ul
infectat, cât și adresa IP de la care a fost trimis. Informațiile furnizate de un Furnizor de servicii de
internet dezvăluie faptul că e-mailul a fost trimis dintr-o rețea corporativă dintr-un oraș important
din Finlanda. Furnizorul de conturi de e-mail arată că același cont de e-mail este accesat nu numai
85
Adresa Control acces media este un număr unic care identifică un dispozitiv dintr-o rețea.
Acest exemplu demonstrează modul în care identificarea autorului unei infracțiuni pe internet poate
implica o serie extinsă de interogări interconectate, precum și necesitatea unei puternice cooperări
internaționale. Astfel de investigații pot dura mult timp (în special atunci când sunt solicitate probe
din străinătate86) și există un risc real ca datele stocate de un terț să nu mai fie disponibile până la
momentul la care se face o solicitare. Aceasta poate fi o dificultate deosebită atunci când sunt căutate
adrese IP ale datelor de trafic.
Este foarte probabil ca terți independenți să solicite o hotărâre judecătorească sau un alt proces
juridic de autorizare înainte de a publica orice date cu caracter personal referitoare la clienți sau la
activitățile pe internet ale clienților. Aceste informații sunt protejate, în mod obișnuit, de legislația
națională privind confidențialitatea și datele cu caracter personal și de termenii și condițiile
contractelor de servicii. Cu toate acestea, datele probatorii eliberate în conformitate cu practica
juridică acceptată vor fi admisibile în instanță.
Deoarece utilizatorii își stochează din ce în ce mai mult datele la FSI în cloud, a devenit din ce în ce
mai frecventă necesitatea abordării unor terți pentru accesul la datele respective. În 2008, Consiliul
Europei a publicat o imagine de ansamblu a bunelor practici și recomandărilor pentru colaborarea
cu FSI pentru a asigura probele, cu titlul „Ghiduri pentru cooperarea dintre organele de
aplicare a legii și furnizorii de servicii de internet împotriva criminalității informatice”.87
Utilizarea bazelor de date pentru identificarea infractorilor este un proces consacrat în sistemul de
justiție penală. Bazele de date pentru amprente digitale și ADN au devenit elemente de bază pentru
cercetările penale în multe jurisdicții. Cu toate acestea, bazele de date implicate în probele
electronice sunt puțin probabil să fie deținute de entități de aplicare a legii sau guvernamentale.
Bazele de date pentru probe electronice sunt răspândite în multitudinea, miile de companii private
care alcătuiesc internetul. Aceasta înseamnă că relația și cooperarea cu companiile private sunt
86
A se vedea secțiunea 8 referitor la jurisdicție.
87
https://www.coe.int/en/web/cybercrime/lea-/-isp-cooperation
Stabilirea unui dialog regulat direct cu un titular independent de date poate ajuta la evitarea
neînțelegerilor și poate oferi îndrumări cu privire la cererile care sunt urgente și care au o prioritate
mai redusă și va contribui, de asemenea, la promovarea unei culturi de cooperare. Un dialog de
cooperare poate, de asemenea, să încurajeze furnizorii de servicii care sunt martorii unei infracțiuni
să o raporteze contactelor lor de aplicare a legii.
Ghidul sugerează, de asemenea, reuniuni periodice între organele de aplicare a legii și FSI și alți
deținători de date terți. Acesta poate deveni un forum pentru a discuta despre dificultățile în ceea
ce privește cooperarea, dar și pentru a discuta tendințele și amenințările emergente, într-o manieră
strategică și de perspectivă. Cooperarea poate include, de asemenea, formarea comună între
organele de aplicare a legii și sectorul privat. O astfel de formare poate ajuta la demontarea
preconcepțiilor și poate promova un mediu de încredere între participanți.
Orice drept procedural (cum ar fi ordinele de producție, rechizitoriile sau citațiile care solicită
informații de la Furnizorii de servicii de internet), introduse într-o jurisdicție, nu vor fi aplicabile în
alta. Pentru a obține dovezi de la un furnizor de servicii străin, o solicitare trebuie să treacă printr-
un proces de asistență juridică reciprocă autorizat, așa cum este descris în Secțiunea 8. Aceasta
poate dura mult timp și există riscul ca, până la momentul în care deținătorul de date, furnizorul de
servicii, primește solicitarea, astfel de date solicitate să nu mai fie disponibile. Furnizorii de servicii
de comunicare nu stochează date de trafic pe terme nelimitat și, în mod normal, nu vor stoca astfel
de date mai mult decât este necesar în scopuri de facturare.
Un exemplu de legislație privind păstrarea datelor pentru a încerca împiedicarea acestui lucru a fost
Directiva Uniunii Europene 2006/24/CE. Această Directivă avea ca obiectiv armonizarea perioadei
de timp în care furnizorii de comunicații electronice trebuie să păstreze datele privind traficul de
Pentru orice investigație care implică internetul, datele referitoare la trafic pot fi singurele probe care
stabilesc legătura dintre o comunicare electronică și o persoană fizică. Dacă aceste date sunt șterse
înainte ca investigatorul să le poată solicita, legătura este pierdută pentru totdeauna. Din păcate,
poate fi necesar mult timp pentru lansarea unei investigații și chiar mai mult înainte ca ancheta să
identifice resursele de internet utilizate de un infractor (care este destul de probabil să își fi ascuns
urmele). Canalele diplomatice tradiționale pentru solicitările de asistență internațională pot dura, de
asemenea, o lungă perioadă de timp și împiedică depunerea în timp util a unei solicitări către
furnizorul de servicii relevant.
Din acest motiv, articolul 16 din Convenția de la Budapesta permite părților la convenție să solicite
păstrarea datelor informatice chiar înainte de obținerea unei ordonanțe judecătorești. Articolul 17
privind datele de trafic, precum și stabilirea unei proceduri pentru solicitarea păstrarea rapidă a
datelor permite, de asemenea, unei autorități competente să dezvăluie rapid „suficiente date de
trafic” pentru a permite Părții să identifice furnizorii de servicii și calea prin care a fost transmisă
comunicarea”. O Parte la Convenție poate solicita unei alte Părți să păstreze datele de trafic și datele
de conținut, utilizând rețeaua de contact non-stop creată în conformitate cu articolul 35 din
Convenția de la Budapesta.
Se sugerează ca, atunci când se efectuează o solicitare de păstrare a datelor, un investigator trebuie
să solicite, de asemenea, atât confirmarea faptului că datele au fost păstrate, cât și un număr de
referință pentru datele stocate.
În multe cazuri, victima unei infracțiuni pe internet nu va ști că datele sale au fost copiate ilegal,
până în momentul în care datele furate vor începe să fie utilizate de infractor în lumea reală. Într-
adevăr, victimele ar putea să nu știe niciodată că datele lor au fost furate. Dacă nu știu că au fost
victime, acestea nu vor raporta niciodată; organele de aplicare a legii nu vor înregistra niciodată
88
adică, date privind comunicarea datelor, nu conținutul comunicării respective.
O provocare suplimentară pentru organele de aplicare a legii este aceea că pe internet există relativ
puțin spațiu public care poate fi monitorizat. Majoritatea comunicațiilor pe internet (ca în lumea
reală) se desfășoară în privat, între persoane private într-un spațiu privat. Fără permisiunea specială
din partea instanței, organele de aplicare a legii pot monitoriza doar acel volum mic de conținut de
pe internet postat pe paginile web publice.
Deoarece infracțiunile comise pe internet sunt în mare parte invizibile, aplicarea legii depinde mai
mult de raportarea de către terți a unor activități suspecte. Secțiunile de mai jos privind rapoartele
victimelor și ale martorilor explică modul în care pot fi colectate probe electronice pentru a ajuta
organele de aplicare a legii să identifice infracțiunile.
Obținerea de rapoarte credibile, justificate de probe electronice, poate ajuta organele de aplicare a
legii la nivel strategic să înțeleagă ca un fenomen criminalitatea informatică, să identifice tendințele
emergente și amenințările în dezvoltare, precum și să se concentreze pe acele moduri de operare
care produc cel mai mult rău publicului. Rapoartele de la terți pot fi, de asemenea, de valoare pentru
companiile comerciale, care este posibil să nu fie conștiente de faptul că rețeaua și datele lor au fost
compromise. De exemplu, în cazul botneților89, mulți utilizatori nevinovați nu își vor da seama că
mașinile lor au fost infectate și preluate de rețeaua infracțională, până când un terț, cum ar fi o
companie de securitate pe internet, va contacta FSI cu o listă de adrese IP infectate.
În mod normal, victimele infracțiunilor informatice vor raporta o infracțiune în cazul în care au suferit
pierderi sau anumite prejudicii care le afectează personal. Cu toate acestea, o serie de victime ale
infracțiunilor informatice pot alege, de asemenea, să nu raporteze o infracțiune, deoarece pierderea
lor este minoră, nu vor să se implice, aceștia sunt de părere că raportarea infracțiunii îi va implica
într-o birocrație de durată și/sau sunt neîncrezători că organele de aplicare a legii vor putea să aducă
infractorul în fața justiției.
Un exemplu de inconvenient minor, care poate părea nesemnificativ pentru o victimă, dar care are
o amprentă infracțională mai largă, ar fi cazul mesajelor spam (nesolicitate). E-mailurile spam nu
sunt ilegale peste tot, dar chiar și într-o țară în care mesajele spam sunt ilegale, un utilizator care
vede un singur mesaj spam, îl va adăuga, în mod normal, în folderul „coș de gunoi” (junk).
Utilizatorul nu se gândește la milioanele de mesaje similare trimise și utilizate pentru a sprijini
activitatea infracțională organizată. În mod similar, un utilizator poate fi infectat cu un virus
informatic care oferă hackerului acces la calculatorul său, dar odată ce software-ul antivirus
dezinfectează calculatorul, este posibil ca victima să nu se simtă obligată să raporteze infracțiunea
89
Botnet provine din alăturarea cuvintelor roBOT (robot) și NETwork (rețea). Acesta descrie o rețea de
calculatoare care au fost toate infectate de un anumit virus, astfel încât acestea pot fi utilizate de la distanță,
pentru a continua efectuarea în continuare a unor activități ilegale pe internet. Calculatoarele sunt utilizate fără
cunoștințele proprietarilor.
Începând cu anul 2002, Comisia Federală a Comerțului din Statele Unite (FTC) a invitat utilizatorii
să transmită orice mesaj nesolicitat pe care îl primesc, la adresa de e-mail spam@uce.gov, astfel
încât FTC să poată analiza tendințele și să își concentreze mai efectiv eforturile anti-spam.
Mai multe forțe naționale de poliție au lansat, de asemenea, metode ușor de utilizat de către
utilizatori, pentru raportarea infracțiunilor pe internet. Europol găzduiește un site web, care oferă o
bună imagine de ansamblu asupra mecanismelor de raportare din diferite țări ale UE
(https://www.europol.europa.eu/report-a-crime/report-cybercrime-online), inclusiv:
Trebuie menționat faptul că aceste centre de raportare nu sunt destinate a fi utilizate pentru
raportarea situațiilor de urgență.
5.2.1 Colaționarea mai multor rapoarte ale victimelor pentru a construi un caz
După cum s-a discutat mai sus, este posibil ca o infracțiune de criminalitate informatică să implice
doar o pierdere monetară limitată pentru o persoană, dar aceste sume individuale mici nu vor
reflecta câștigurile generale realizate de infractorii cibernetici implicați și nici prejudiciile pe care
infractorii le provoacă societății în ansamblu. Analiza mai multor cazuri minore avute în vedere
împreună, poate justifica alocarea de resurse și timp de investigație, care nu sunt justificate de o
infracțiune minoră considerată izolat. Într-adevăr, chiar și pentru a prelucra o cerere internațională
de asistență, unele țări impun ca respectivul caz să îndeplinească criterii de prag minime, mai ușor
de îndeplinit atunci când se iau în considerare o serie de infracțiuni minore avute în vedere împreună.
Primirea și colaționarea de rapoarte la nivel internațional pot avea, de asemenea, beneficii, deoarece
este probabil ca țintele criminalității informatice să fie răspândite pe tot globul. Europol a creat o
bază de date de investigații transeuropene în care organele de aplicare a legii din UE pot introduce
date. În mod similar Fundația Inhope (https://www.inhope.org/EN), are o bază de date globală de
adrese raportate ca găzduind pornografia infantilă. Fundația cooperează cu liniile de asistență
telefonică de urgență de raportare afiliate, în scopul identificării rapoartelor comune pe care organele
de aplicare a legii le pot fi utiliza ca probe pentru a solicita eliminarea conținutului și pentru a efectua
investigații suplimentare. Organele de aplicare a legii din întreaga lume pot coopera Interpol
(https://www.interpol.int). Sediul Interpol din Lyon menține o bază de date cu imagini cunoscute de
abuzuri asupra copiilor care pot fi utilizate ca probe. Contactul cu Interpol trebuie efectuat prin
intermediul Birourilor Centrale Naționale din fiecare țară.
În timp ce monitorizează activitatea din rețeaua lor de calculatoare, operatorii de rețea pot descoperi
uneori că are loc un atac. Furnizorii de găzduire e-mail pot vedea un număr neobișnuit de mare de
e-mailuri către sau de la o anumită adresă. Un editor de software antivirus, care analizează o nouă
formă de coduri ostile, poate identifica un server al furnizorilor de găzduire, care este utilizat ca
centru de comandă și control botnet. Toți aceștia sunt martori ai criminalității informatice, dar este
posibil să nu știe cum sau cui să notifice comportamentul infracțional.
Existența unui centru de raportare central unde martorii pot raporta infracțiuni, pot fi foarte benefice
(și pot fi încorporate în tipul de centru pentru victimele menționate în secțiunea 0). Un astfel de
centru de raportare trebuie să fie centralizat, accesibil și distribuit corespunzător publicului larg.
Un alt exemplu de arhivă de informații despre martori și probe electronice este site-ul web
https://www.malwareurl.com unde martorii pot raporta paginile web cu activități rău intenționate.
Un centru de raportare poate fi public, dar poate fi, de asemenea, restricționat doar pentru membri
(cum ar fi site-ul web https://portal.ops-trust.net). Atât centrele de raportare publice cât și cele
private colectează o mulțime de informații care pot ajuta la informarea organelor de aplicare a legii,
la nivel strategic, dacă nu la nivel operațional.
În sfârșit, trebuie subliniat faptul că, pentru unele tipuri de infracțiuni, centrele de raportare trebuie
să încurajeze utilizatorii să elaboreze rapoarte, dar să îi descurajeze să desfășoare propriile
investigații sau să caute, în mod activ, materiale ilegale. Într-adevăr, în unele cazuri, cum ar fi în
După ce au fost obținute probe de la un sistem informatic astfel cum este descris în cele trei capitole
anterioare, următoarea fază a investigației este extragerea elementelor importante din datele
indisponibilizate. Adică, acele elemente relevante pentru stabilirea faptelor investigației.
Acest capitol va descrie conceptul de Criminalistică digitală, modelul de proces care construiește
baza pentru examinările medico-legale, principiile care trebuie urmate în timpul unei examinări și
metodele comune utilizate pentru a îndeplini anumite sarcini. De asemenea, acesta examinează mai
atent urmele digitale și tipurile de analize probatorii, care sunt utilizate, în mod obișnuit, de către
specialiștii criminaliști (cum ar fi analiza hard discului, analiza fotografiilor digitale și analiza
jurnalului de trafic).
Principiile comune pentru obținerea datelor enumerate în secțiunea 1.7 se aplică, de asemenea, și
în faza de analiză. Într-adevăr, acestea sunt cu atât mai importante în timpul analizei, cu cât aici
datele vor fi stabilite ca probe juridice.
Un studiu al International Data Corporation (IDC) 90 prognozează că, în anul 2025, un număr de 175
zeta biți (175 trilioane de gigabiți) de date vor fi generate și consumate în întreaga lume. Studiul
IDC s-a bazat pe premisa că volumul de date la nivel mondial se dublează ca dimensiune, la fiecare
doi ani și că aceste date constă, în mare parte, din înregistrări ale activităților utilizatorului
calculatorului. În cadrul unei investigații, aceste date pot oferi informații valoroase asupra activității
utilizatorului.
Fiecare ramură a Criminalisticii digitale necesită o pregătire și experiență vaste, ceea ce face
imposibil ca un examinator criminalist să fie expert în toate domeniile. Următorul grafic arată
principalele subcategorii și domenii vizate ale Criminalistică digitală:
90
Studiul IDC intitulat „Epoca datelor 2025”, noiembrie 2018, sponsorizat de Seagate la
https://www.seagate.com/files/www-content/our-story/trends/files/idc-seagate-dataage-whitepaper.pdf.
Investigarea
criminalistică a Criminalistică Criminalistica
mobilă rețelelor
calculatoarelor
Criminalistica Internetului
Obiectelor Criminalistica
( tehnologiei informației auto
incl. Locuința inteligentă)
Criminalistica memoriilor flash
Criminalistica altor dispozitive:
DVR, routere, console de jocuri,
CCTV,
1.) Investigarea criminalistică a calculatoarelor este cea mai veche dintre categorii.
Aceasta afectează calculatoarele personale, serverele și suporturile de stocare. Există patru
domenii de investigare criminalistică a calculatoarelor. Acestea sunt:
Primele trei domenii pot fi subdivizate în continuare pentru a se alinia la diferitele sisteme
de operare, cum ar fi Windows, Linux, macOS.
2.) Criminalistica mobilă este, de asemenea, o categorie mai tânără, dar devine destul de
populară o dată cu adoptarea dispozitivelor mobile, cum ar fi telefoanele inteligente și
calculatoarele. Domeniile din această categorie reflectă numeroasele sisteme de operare
diferite. Cele mai populare momentan sunt Google Android și iOS de la Apple. În
criminalistica mobilă, experții fac distincție între achiziție și analiză logică 91 și fizică.
Criminalistica IT auto are, de obicei, unele suprapuneri cu alte domenii ale criminalisticii
mobile, deoarece nu doar unele dintre datele de comunicare sunt similare, dar unele vehicule
folosesc și versiuni ale sistemelor de operare mobile, de ex. sistemul lor de divertisment. Un
domeniu destul de specializat, care trece granița dintre criminalistica mobilă și investigarea
criminalistică a calculatoarelor este criminalistica memoriilor flash, care se concentrează
asupra extragerii fizice, achiziției, interpretării și reasamblării pentru cipurile de stocare
flash.
3.) Criminalistica rețelelor gestionează probe electronice care sunt transmise printr-o rețea,
fie ea fără fir sau prin cablu, internet sau o rețea locală (LAN). În criminalistică în rețeaua
activă, anchetatorii interceptează, în mod normal, o conexiune de rețea și trebuie să
analizeze fluxurile de date „din mers”. În timp ce se în cazul „criminalistica pachetelor
capturate”, aceștia analizează fișiere care conțin deja trafic de rețea înregistrat.
91
adică, ceea ce se poate găsi în circuitele logice ale unui sistem informatic.
Într-un caz care implică criminalistică digitală, procedura standard constă, de obicei, în patru etape:
Achiziție: Trebuie obținute probe digitale. Acest lucru se poate întâmpla prin colectarea de date
volatile în timpul unei percheziții de domiciliu, prin achiziția discului unui suspect, de la un calculator
indisponibilizat sau în orice alt proces în timpul unei anchete. Aplicarea procedurilor corecte și solide
la etapa de achiziție este crucială, deoarece există riscuri enorme de a face erori ireversibile. Este
important să păstrați lanțul de custodie intact, să documentați cu atenție toate etapele și să verificați
toate imaginile și copiile care au fost achiziționate.
Prelucrare: În timpul prelucrării, examinatorii criminaliști pot acorda prioritate anumitor dispozitive
sau date și vor produce o copie sau imagine 92 exactă a conținutului oricărei stocări digitale
confiscate. Lucrând pe duplicat (niciodată pe original), aceștia pot aplica filtre inteligente, specifice
cazurilor (extragere de date - Data Mining) sau pot doar prelucra imaginea (de ex., prin recuperarea
fișierelor șterse, montarea containerelor, spargerea criptării, analizarea datelor aplicațiilor precum
istoricul de internet, jurnalele de discuții etc.).
Analiză: În faza de analiză, examinatorul caută efectiv probe digitale pe imagini. Acest pas poate
consuma foarte mult timp și poate necesita o mulțime de cunoștințe de specialitate pentru a
interpreta urmele dintr-o varietate de sisteme de fișiere, sisteme de operare și aplicații.
Prezentare: După ce au fost găsite probe în etapa de analiză, examinatorul trebuie să creeze un
raport pentru proces. Sarcina examinatorului este de a ilustra și de a traduce contexte tehnice
complicate în fapte pe care judecătorii, procurorii și alte părți implicate le pot înțelege cu ușurință.
De asemenea, este posibil să existe așteptarea ca acesta să interpreteze respectivele fapte și să își
exprime o opinie asupra sensului acestora.
Principiile comune ajută la asigurarea faptului că probele electronice sunt obținute într-o manieră
care le protejează integritatea și într-un mod care poate fi verificat.
Deoarece calculatoarele au devenit părți atât de integrante ale vieții moderne, acestea nu mai sunt
utilizate doar pentru activități de afaceri, ci conțin tot felul de informații personale, care pot dezvălui
92
O imagine este uneori numită oglindă, copie bitstream sau copie bit cu bit. Acest duplicat reproduce totul
exact, inclusiv spațiul „gol”
Analiza unui calculator este similară cu examinarea de către un investigator a locului fizic al crimei,
în sensul că probele trebuie păstrate intacte, cât mai aproape posibil de starea inițială și fără
contaminare.
Așa cum s-a menționat mai sus, principala măsură de precauție pe care
examinatorii criminaliști o iau pentru a proteja integritatea datelor este de a-
și efectua examinarea mai degrabă pe o copie sau o imagine identică a datelor,
decât pe original. Pentru a dovedi faptul că originalul și copia sunt identice, se
aplică un algoritm matematic ambelor seturi de date. Acest algoritm produce
un număr foarte complex numit valoare hash. Dacă valoarea hash pentru
ambele fișiere este aceeași, atunci se consideră că fișierele sunt identice. Cea
mai mică modificare va avea ca rezultat o diferență majoră în ceea ce privește
valoarea hash. Cei mai utilizați algoritmi Hash sunt MD5, SHA-1 și SHA-256.
În cele din urmă, ca parte a principiului integrității datelor, un examinator cu experiență trebuie să
fie întotdeauna atent la posibilitatea tehnicilor anti-criminalistice. Acesta trebuie să examineze datele
pentru a se asigura că acestea arată autentic și nu prezintă nicio trăsătură care să sugereze că este
posibil ca datele să fi fost modificate sau falsificate înainte de indisponibilizarea acestora de către
93
În special dreptul la respectarea vieții private și de familie, articolul 8 din Convenția Europeană a Drepturilor
Omului
Imaginați-vă un scenariu în care serverul unei companii private este piratat și toate datele, inclusiv
detaliile angajaților, au fost copiate. Investigațiile efectuate pe server arată că piratarea provine
dintr-o conexiune la internet rezidențială, dintr-un oraș vecin. Suspectul, ocupantul locuinței de la
care a fost lansat atacul susține că este nevinovat și că făptuitorul trebuie să îi fi piratat calculatorul
de acasă și să îl fi utilizat pentru a pirata serverul companiei de la distanță. Pentru a complica și mai
mult puzzle-ul este faptul că suspectul este un absolvent de informatică care este posibil să aibă
cunoștințele necesare pentru a pirata un server.
Mulți analiști utilizează formulare sau liste de verificare standardizate pentru a-și documenta analiza
și pentru a se asigura că efectuează toate acțiunile și examinările necesare. Pe parcursul întregii
investigații trebuie păstrate notele de la momentul respectiv, cu privire la constatările, concluziile și
justificările anumitor acțiuni (sau pentru acțiunile care nu au fost efectuate). Marcajele de timp, în
cazul în care sunt disponibile, pot ajuta la validarea unor astfel de note.
Desigur, documentația poate include, de asemenea, capturi de ecran, fotografii și înregistrări video,
cu condiția ca acestea să fie etichetate și autentificate în mod corespunzător.
După cum s-a discutat deja, natura tehnică a probelor electronice face necesară utilizarea
specialiștilor care știu unde să caute și cum să extragă datele de natură probatorie. Circumstanțele
cazului vor stabili tipul de expertiză necesară, care poate include abilități particulare în ceea ce
privește criminalistica live, ingineria inversă a codurilor ostile sau recuperarea datelor din sistemele
informatice deteriorate. Cu toate acestea, indiferent de nivelul de competențe și experiență al
specialistului, acesta nu va putea aplica respectivele abilități fără resursele și echipamentele
corespunzătoare.
Acest lucru poate include accesul la un laborator de criminalistică complet echipat dotat cu
instrumente software adecvate pentru automatizarea anumitor examinări, facilități pentru
În unele cazuri, nivelurile de competențe adecvate pot fi măsurate și evaluate prin pregătire formală
și certificate. Un cadru de pregătire oferit la nivel național, interinstituțional, poate avea avantaje și
trebuie armonizat cu bune practici internaționale.
6.3.5 Legalitate
Așa cum s-a discutat deja la punctul 6.3 de mai sus, lumea stochează din ce în ce mai multe date
personale și confidențiale pe propriile calculatoare și telefoane inteligente. În mod invariabil, orice
examinare a sistemului informatic al unei persoane, va expune ocazional date private care sunt
irelevante, confidențiale și, eventual, care fac obiectul unui secret profesional. Deși este posibil să
nu existe nicio intenție din partea investigatorilor de a intra în sau de a accesa astfel de date, acestea
nu este întotdeauna marcate ca fiind personale și poate fi imposibil de judecat unde încep și unde
se termină informațiile confidențiale. În același dosar de e-mail, pot exista e-mailuri care sunt de
interes pentru investigație, unele care sunt protejate legal și multe altele care nu joacă niciun rol în
cadrul investigației.
În unele jurisdicții, dacă investigatorul descoperă date cu caracter personal, care nu fac obiectul
investigației, acesta are obligația să înceteze imediat vizualizarea acestor date și să le marcheze ca
având un caracter personal, pentru orientarea viitoare. Cu toate acestea, există rezerve, se știe că
infractorii ascund date într-un folder etichetat personal pentru a induce în eroare examinatorul
criminalist.
Am discutat deja posibilitatea de a plasa datele controversate sub sigiliul instanței și de a le păstra
sub rezerva deciziei instanței cu privire la statutul acestora.
La fel cum un criminal lasă indicii fizice în urma sa la locul crimei, infractorul care săvârșește o
infracțiune cu calculatorul, va lăsa indicii la „locul infracțiunii digitale”.
Pentru a vă face o mai bună idee cu privire la tipurile de indicii digitale pe care un examinator le-ar
putea descoperi în timpul analizei criminalistice, are sens să se facă distincția între două tipuri de
indicii digitale:
Indicii care pot fi evitate: Acestea sunt indicii care sunt stocate în mod implicit de sistemul de
operare și de aplicații, dar pe care un sistem poate fi configurat să nu le stocheze. Să luăm ca
exemplu un browser web. Acest software va stoca istoricul de navigare al unui suspect, precum și
detalii referitoare la descărcările sale, din datele de intrare, cookie-uri etc., dar acesta poate fi fie
dezactivat, fie șters de către suspect. Un alt exemplu poate fi meniul „Start” și programele Office
ale suspectului, care „țin minte” fișierele pe care suspectul le-a deschis recent. Există diferite tipuri
de indicii „care pot fi evitate”, care sunt stocate automat pe hard disc în acest mod (așa cum se
arată în tabelul de mai jos). Totuși, acestea pot fi împiedicate de cineva care știe ce face.
Următorul tabel prezintă câteva exemple de indicii care pot fi evitate și care nu pot fi evitate:
Date de formă
Pagefile.sys
Hiberfil.sys
Această secțiune va oferi exemple de tipuri de analiză criminalistică. Acesta va oferi o perspectivă
asupra provocărilor implicate, dar va arăta și valoarea probatorie pe care analiza criminalistică o
poate avea.
Dispozitivele de stocare a datelor își păstrează informațiile într-un format94 binar: ceea ce înseamnă
că minusculele blocuri de construcții care alcătuiesc memoria calculatorului sunt stocate ca zerouri
sau ca unu, sau ca fiind activate sau dezactivate. Aceste particule, care sunt cele mai mici, sunt
numite „biți”. Pentru a structura acești biți în mod metodic, astfel încât un sistem informatic să știe
94
Baza sistemului nostru numeric obișnuit este zece. În sistemele binare, baza este doi.
Dispozitivele de stocare a datelor pot fi subdivizate în secțiuni numite „partiții” și fiecare partiție
trebuie să aibă un sistem de fișiere aplicat. Partiționarea unui hard disc este analogă cu
compartimentarea clădirii bibliotecii cu un nou perete interior pentru a crea două biblioteci separate,
mai mici. Fiecare mini-bibliotecă va avea propriile sisteme de cartonașe indexate. Când un hard disc
este împărțit în două partiții, acesta va fi afișat ca două unități diferite. În Windows, unitățile diferite
au etichete alfabetice diferite, cum ar fi unitatea c:\ și unitatea d:\.
De asemenea, este posibil ca o partiție de date să acopere mai mult de un hard disc fizic (de obicei
în sistemul RAID 95 descris în Secțiunea 2.2). În acest caz, utilizatorul calculatorului va vedea o
singură unitate de date în interfața software (de exemplu unitatea c:\), dar, în realitate, unitatea C
se întinde pe două sau mai multe unități de hard disc fizice. Ceea ce unește totul este controlerul
RAID (fie el RAID hardware sau software), iar sistemul de fișiere, care face constituie fie o parte a
unui hard disc, fie a mai multor hard discuri, va apărea ca o singură unitate pentru sistemul de
operare.
Cele mai frecvente sisteme de fișiere sunt NTFS (Sistem de fișiere de tehnologie nouă) și FAT (Tabel
alocare fișiere). Sistemul FAT a fost creat în 1980 și a fost utilizat pentru primele calculatoare
personale. Acesta este încă utilizat și în prezent, deoarece este robust și compatibil pe scară largă.
Calculatoarele Apple, PC-urile Windows, Linux și majoritatea altor programe software pot citi partiții
FAT.
Microsoft Windows utilizează sistemul de fișiere NTFS, dar calculatoarele Apple utilizează HFS +, în
timp ce Linux utilizează mai multe sisteme de fișiere diferite, cum ar fi EXT, BTRFS, XFS sau
ReiserFS. Pentru a copia și analiza un dispozitiv, examinatorul criminalist trebuie să identifice câte
partiții sunt pe dispozitivul respectiv și ce sistem de fișiere este utilizat. De asemenea, pot exista și
partiții ascunse pe care sistemul de operare nu le recunoaște imediat, dar pe care utilizatorul
calculatorului le poate monta sau atașa după bunul plac pentru a accesa conținutul. De asemenea,
trebuie luată în considerare existența altor zone ascunse, cum ar fi HPA (Arii protejate de gazdă) și
DCO (Modificarea configurării dispozitivului) care pot fi deschise doar prin comenzi speciale ATA96.
95
Matrice redundantă de discuri independente - un mecanism pentru stocarea datelor pe mai multe discuri.
96
Atașamentul tehnologic avansat este un mecanism de conectare a unităților de calculator.
Întotdeauna merită să verificați folderul de fișiere șterse pentru a vedea dacă utilizatorul a ascuns
fișiere acolo. Conținutul ilegal din folderul respectiv va indica directorul din care acesta a fost șters,
care apoi poate fi percheziționat pentru găsirea unor alte probe.
Chiar și atunci când folderul de fișiere șterse a fost golit, poate fi posibilă recuperarea fișierelor
șterse. Când utilizatorul unui calculator apasă butonul de ștergere, fișierul nu este șters fizic de pe
dispozitivul de stocare a datelor, ci este marcat ca nemaifiind dorit și referințele la locația fișierului
sunt șterse din indexul sistemului de fișiere. Datele vor rămâne pe hard disc până când partea din
disc unde se află este necesară pentru un alt fișier sau se aplică o altă acțiune deliberată. Aceasta
înseamnă că este posibilă recuperarea fișierelor șterse chiar și atunci când sistemul de fișiere nu mai
deține nicio referire la acesta. Există o serie de instrumente pentru revocarea ștergerii fișierelor,
inclusiv instrumentele gratuite TestDisk și PhotoRec de CGsecurity.97
Au fost create instrumente software prin care fișierele pot fi permanent șterse de pe discuri. Aceștia
fac acest lucru prin suprascrierea continuă a zonei de pe discul în care a fost localizat fișierul cu
diverse fișiere false, până când nu mai rămâne nicio urmă a fișierului șters. Aceasta este o tehnică
anti-criminalistică simplă, dar este utilizată relativ rar. Într-adevăr, atunci când sunt utilizate metode
anti-criminalistice, utilizarea acestora trebuie să crească nivelul de suspiciune.
97
http://www.cgsecurity.org/wiki/PhotoRec
O a doua metodă de analiză este utilizarea unui motor de căutare pentru a căuta în sistemul de
fișiere cuvinte cheie de interes pentru investigație. Unele motoare de căutare oferă, de asemenea,
posibilitatea de a căuta imagini (prin efectuarea recunoașterii imaginii și detectarea unor aspecte
precum tonul pielii). Un instrument pentru recunoașterea similitudinilor din imagini este PhotoDNA98
al Microsoft, care este disponibil gratuit pentru organele de aplicare a legii. Utilizarea acestei
tehnologii poate ajuta la găsirea și eliminarea imaginilor cunoscute privind exploatarea copiilor.
Pentru a-și proteja fișierele, infractorii pot utiliza tehnologia de criptare pentru a-și converti fișierele
sau chiar întregul hard disc într-un cod care nu poate fi citit. Tehnologia de criptare este încorporată
în multe sisteme de operare moderne: Bitlocker în Windows 7/8/10, FileVault în macOS și
dmCrypt/eCryptFS în multe distribuții Linux. Tehnologia de criptare a fișierelor poate fi, de
asemenea, instalată independent, cum ar fi PGP,99 , Truecrypt.100, Veracrypt. Sistemele moderne de
calculatoare și mobile chiar și-au integrat mecanismele de criptare pe criptoprocesoarele hardware.
De exemplu, Bitlocker poate utiliza cipul TPM (Modul platformă de încredere) din placa principală a
calculatorului, în timp ce criptarea FileVault MacOS poate utiliza cipul de securitate Apple T2 pentru
a-și de-/cripta Sistemul de fișiere Apple (APFS).
Criptarea modifică conținutul digital prin schimbarea biților, a zerourilor și a cifrelor de unu, prin
aplicarea unei operații matematice, care face conținutul neinteligibil. Singura modalitate de a
schimba conținutul în conținutul original este prin aplicarea unei operații matematice inverse.
98
https://www.microsoft.com/en-us/photodna
99
Reprezentă „Confidențialitate destul de bună”
100
TrueCrypt a fost un software de top de criptare a fișierelor, dar a încetat să mai fie disponibil în 2014. Este
posibil să mai existe. Veracrypt însă este un succesor neoficial.
Cu excepția cazului în care suspecții oferă în mod voluntar cheia de decriptare, există opțiuni limitate
pentru examinatorul criminalist. Acesta poate încerca orice parolă pe care suspectul se știe că o
utilizează; căutați combinații de cuvinte sau numere care arată ca niște parole, în apropierea
aparatului sau în posesia suspectului sau încercați liste de parole în uz comun (adesea cuvinte din
dicționar).
Unele studii au arătat că mulți utilizatori folosesc parole ușor de reținut, cum ar fi 123456, parolă,
qwerty, superman sau fotbal. Listele celor mai utilizate parole pot fi obținute cu ușurință căutând pe
internet.
Deoarece aceasta reprezintă o problemă atât de semnificativă, unele țări au legislație care permite
organelor de aplicare a legii să obțină, în anumite circumstanțe, un ordin judecătoresc care să îl
oblige pe proprietarul calculatorului să dezvăluie o parolă pentru dispozitivul său de stocare
criptat.101
Criminalistica documentelor poate fi în măsură să indice cine a creat un anumit fișier electronic, dacă
fișierul a fost modificat și dacă au fost ascunse informații în fișier.
6.5.5.1 Metadate
Metadatele sau date despre date, constă în alte informații despre un fișier, decât conținutul fișierului.
„Proprietățile” fișierului pot include data și ora la care a fost creat documentul, când a fost acesta
modificat ultima dată și accesat ultima dată și de către cine. Aceste date pot fi extrem de utile în
stabilirea conexiunii dintre fișiere și persoane fizice. De exemplu, creatorul virusului informatic
101
Exemplele sunt Regatul Unit (Partea a III-a a Legii privind reglementarea puterilor investigative din 2000) și
Franța (articolul L 434-15-2 din Codul Penal Francez)
Așa cum s-a menționat în Secțiunea 4.3.3 de mai sus, un fișier cu fotografii digitale conține adesea
metadate într-o parte a fișierului numit secțiunea EXIF102. Orice program de vizualizare a imaginilor
și chiar sistemul de operare pot afișa informații EXIF ca parte a proprietăților fișierului. Datele EXIF
vor include data și ora la care a fost făcută fotografia, timpul de expunere, distanța focală, numărul
de serie al camerei și coordonatele geografice ale locului în care a fost capturată fotografia.
Atunci când încercați să stabiliți identitatea cuiva care a făcut o fotografie, constituie o probă solidă
dacă un aparat de fotografiat aflat în posesia unui suspect are același număr de serie ca cel
înregistrat în imagine. Datele EXIF pot fi modificate, dar orice modificare poate fi, de obicei,
detectată, deoarece o mare parte din datele tehnice ale imaginii din secțiunea EXIF sunt
interconectate.
Multe telefoane mobile au astăzi și o funcționalitate pentru fotografie, iar majoritatea telefoanelor
inteligente pot stoca coordonatele GPS fie în modul fin (cu un nivel de detalii până la 10 metri), fie
în modul grosier, prin triangularea distanțelor față de turnurile de telefonie mobilă din apropiere, cu
o precizie de câțiva kilometri.
6.5.6 Steganografie
Steganografia este o tehnică pentru ascunderea unui mesaj sau a altor informații în interiorul unui
fișier document. Aceasta poate fi comparată cu scrierea unui mesaj pe o bucată de hârtie goală cu
cerneală magică sau suc de lămâie, care dispare când se usucă. La fel ca cerneala magică de pe
hârtie, fișierul ascuns este trecut cu vederea, deoarece este ascuns în ceva nevinovat precum o
fotografie sau un pdf.
102
Format Interschimbabil pentru Fișiere Imagine
Scopul criminalisticii fișierelor de jurnalizare este să identifice modul în care au fost utilizate un
sistem informatic și un sistem de operare.
Criminalistica sistemului de fișiere poate identifica un fișier ilegal (cum ar fi un virus informatic).
Criminalistica documentelor poate identifica dacă dosarul a fost creat pe aparatul suspectului.
Următorul pas este de a demonstra că suspectul a fost persoana care a creat virusul.
Criminalistica jurnalelor poate oferi probe cu privire la ce software, procese și servicii rulau pe o
mașină și care sunt utilizatorii care s-au conectat la sistem și când. Aceste examinări criminalistice
pot fi deosebit de valoroase atunci când se caută probe că un terț a accesat sistemul în mod ilegal.
Criminalistica fișierelor de jurnalizare analizează ce s-a întâmplat într-un sistem, într-un context
istoric, în timp ce analiza criminalistică live (așa cum este descris în capitolul 3.5.) pune sub semnul
întrebării ce se întâmplă aici și acum pe un sistem informatic care rulează.
Fișierele de jurnalizare fac parte dintr-un sistem de operare și sunt incluse în Windows, macOS și
Linux. Acestea sunt utilizate pentru a înregistra informații cu privire la ceea ce face/făcea calculatorul
și pentru a crea o evidență cronologică a evenimentelor calculatorului. Scopul inițial al unui fișier
de jurnalizare a fost identificarea cauzelor căderii software-ului pentru a ajuta dezvoltatorii de
software să le corecteze, dar fișierele de jurnalizare includ, de asemenea, înregistrări de interes
Posibilitatea de a analiza înregistrarea cronologică și de a vedea cine s-a autentificat, când s-a
conectat, precum și ce software sau serviciu a fost pornit și la ce moment, poate arăta dacă un terț
a accesat sistemul și poate fi o dovadă foarte puternică de acces neautorizat la un sistem informatic.
Microsoft Windows a furnizat, în paralel cu fișierul de jurnalizare, ceea ce se numește o bază de date
a registrului. Scopul acesteia este ușor diferit prin faptul că înregistrează configurațiile sistemului
informatic, dar registrul poate fi utilizat și în scopuri criminalistice. Aceasta conține informații cu
privire la dispozitivele externe, cum ar fi stick-urile USB care sunt deja configurate pentru a se
conecta la mașină, pentru ce rețea este configurat un calculator etc. De asemenea, aceasta
stochează diferitele rețele, inclusiv rețelele WiFi, la care a fost conectat respectivul sistem informatic.
Registrul Windows poate fi potențial util pentru a demonstra dacă un sistem a fost utilizat într-un
anumit loc sau dacă la acesta a fost conectată o cheie USB.
Scopul analizei traficului de rețea este identificarea sursei unei comunicări sau a sursei unui atac
prin internet. Adesea, analistul criminalist are deja un punct de plecare, fie prin fișierul de jurnalizare,
care conține adresa IP a comunicării ostile trimise calculatorului sau numele de domeniu și adresa
IP a unui site web cu conținut ilegal sau posibil antetul care conține ruta parcursă de un e-mail cu
conținut penal.
Din acest punct de plecare, examinatorul va analiza legăturile și relațiile cu alte resurse de internet,
atât pentru a ajuta la identificarea făptuitorului, dar și pe măsură ce legăturile asociate încep să se
dezvolte și să dezvăluie și alte comportamente criminale. Dacă sunt descoperite și alte resurse de
internet rău intenționate, organele de aplicare a legii pot solicita închiderea acestora.
Secțiunea 4.2 oferă o imagine de ansamblu tehnică a naturii adreselor IP și a serviciului de nume de
domeniu. Analistul criminalist trebuie să analizeze mai atent atât adresele IP, cât și numele de
domeniu utilizate de făptuitor pentru a identifica resursele de internet conexe (cum ar fi alte nume
de domenii găzduite pe același server de internet) și pentru a identifica notația Rutării interdomenii
fără clasă (CIDR) și Sistemul autonom din care face parte adresa IP. Identificarea altor nume de
domeniu și adresele IP utilizate de făptuitor oferă o imagine de ansamblu mai bună asupra tuturor
activităților ilegale potențiale ale suspectului și poate ajuta, de asemenea, la furnizarea de informații
suplimentare prin care acesta poate fi identificat.
Criminalistica e-mail-urilor examinează textul sursă de e-mail pentru a identifica de unde a fost
trimis mesajul de e-mail. În mod normal, software-ul de e-mail ascunde informațiile tehnice care se
află în mesajul de e-mail de la cititor. Astfel de informații se numesc antetul de e-mail (sau uneori
antetul extins). Antetul de e-mail va fi într-un format internet standardizat comun (RFC 2822), cu
toate acestea, metoda de dezvăluire a informațiilor referitoare la antet variază în funcție de clientul
de e-mail utilizat.
De fiecare dată când un server de e-mail, cunoscut, de asemenea, și ca Agent de transfer prin poștă
(MTA), primește un mesaj de e-mail și îl transmite următorului MTA pe traseul său către destinatar,
acesta adaugă un rând în antetul de e-mail, care arată adresa IP de la care a fost primit, precum și
timpul.
Citind antetul de e-mail, este posibil să urmați traseul parcurs de e-mail în drumul său către căsuța
destinatarului.
Mai jos este prezentat un exemplu de antet de e-mail dintr-un mesaj de e-mail cu subiectul „Antet
de e-mail” și textul principal „Acesta este textul principal”:
Livrat-către: forensics@forensics.com
Recepționat: by 10.229.233.207 with SMTP id jz15csp53304qcb;
Miercuri, 30 mai 2012 00:37:09 -0700 (PDT)
Recepționat: by 10.68.130.9 with SMTP id
oa9mr46792071pbb.95.1338363429020;
Miercuri, 30 mai 2012 00:37:09 -0700 (PDT)
Cale de întoarcere: <forensics@hotmail.com>
Recepționat: from bay0-omc2-s16.bay0.hotmail.com [65.54.190.91]
by mx.google.com with ESMTP id
rg2si17612042pbc.261.2012.05.30.00.37.08;
Miercuri, 30 mai 2012 0:37:08 -0700 (PDT)
Recepționat: from BAY157-W32 ([65.54.190.123]) by with Microsoft
SMTPSVC(6.0.3790.4675);
Miercuri, 30 mai 2012 00:36:32 -0700
ID-Mesaj: <BAY157-W32F746CCEC9B74654CC7C0A40A0@phx.gbl>
Cale de întoarcere: forensics@hotmail.com
X-IP-De origine: [84.169.25.82]
De la: Criminalistică <forensics@hotmail.com>
Expeditor: <forensics@hotmail.com>
Către: <forensics@forensics.com>
Subiect: Antet email
Data: Miercuri, 30 mai 2012 07:36:51 +0000
Importanță: Normal
MIME-Versiune: 1.0
În cazul în care analiza dezvăluie că aparatul expeditor este posibil să fi fost piratat, va fi necesară
efectuarea criminalisticii în timp direct și a criminalisticii fișierelor de jurnalizare, pentru a identifica
originea piratării. Dacă e-mailul a fost trimis dintr-o locație publică, cum ar fi un holul unui hotel sau
o cafenea cu acces la internet, poate fi aplicată tradiționala muncă de detectiv, pentru a ajuta la
identificarea clientului care utilizează calculatorul public, la momentul trimiterii e-mailului. De
asemenea, este important de reținut faptul că majoritatea informațiilor dintr-un antet de e-mail pot
fi manipulate, deoarece acestea sunt adăugate de diferite servere de e-mail, care este posibil să nu
fie de încredere. Practic, acest lucru se aplică tuturor informațiilor din partea de jos a unui antet de
e-mail, deoarece acestea provin direct de la serverul de e-mail al expeditorului (care ar putea fi sub
controlul suspectului). Informațiile care se află în partea de sus a antetului sunt mai de încredere,
deoarece acestea au fost adăugate de serverul de poștă electronică al receptorului.
Căutările pe internet ale unui utilizator pot dezvălui multe despre acesta. De exemplu, într-un caz
în care un soț și-a raportat soția ca fiind dispărută, poliția a efectuat căutări pe calculatorul de acasă
pentru a vedea dacă soția dispărută a lăsat indicii care să indice unde ar fi putut pleca. Atunci când
pregătesc o călătorie, utilizatorii de calculatoare vor căuta deseori pe internet informații referitoare
la locul pe care îl vizitează sau o cameră de hotel. În acest caz, poliția a analizat istoricul căutărilor
de pe calculatorul de acasă și a descoperit că computerul fusese utilizat pentru a efectua căutări pe
internet pe tema „Cum să omori pe cineva și să nu fii prins” și „să ucizi pe cineva în tăcere”. Această
revelație a schimbat gândirea poliției.
Toate căutările și vizualizările paginilor web sunt disponibile în secțiunea istoric a browserului,
indiferent că este vorba de Internet Explorer, Edge, Mozilla Firefox, Opera, Safari sau Google Chrome
și pot fi vizualizate prin apăsarea Ctrl+H în Windows și Linux, sau Comandă+H în MacOS. Motoarele
de căutare Google și Bing păstrează istoricul căutărilor pe serverele lor timp de câțiva ani. Google
păstrează istoricul și activitatea de căutare a utilizatorului la adresa https://myactivity.google.com,
iar Windows Live (Bing) afișează istoricul căutărilor la adresa https://www.bing.com/profile/history.
Odată autentificat, istoricul de căutare al unui anumit cont de utilizator va afișa căutările efectuate
cu aceste motoare de pe telefonul mobil, calculatorul de birou și calculatorul de acasă al unui
utilizator, toate stocate într-un singur loc central.
Un dispozitiv indisponibilizat poate fi conectat la o serie de servicii online care conțin informații
suplimentare de interes pentru investigație. De exemplu, un dispozitiv poate fi configurat pentru a
se conecta automat într-un cont de rețea socială, un cont VoIP sau un cont de e-mail etc. și poate
Dispozitivul poate avea o conexiune deschisă la un cont de stocare a datelor în cloud, care oferă
acces la fișierele stocate de utilizator pe internet, care nu sunt stocate local pe dispozitiv. Accesul la
browserul dispozitivului poate dezvălui, de asemenea, o serie de parole comune care pot fi încercate
și pentru alte servicii online utilizate de proprietarul dispozitivului. În caseta de dialog Opțiuni a
Firefox, în secțiunea de securitate, este posibilă apăsarea unui buton pentru a vizualiza oricare dintre
parolele utilizatorilor stocate de browser.
Măsura în care unui specialist, care examinează dispozitivul, i se permite accesul la datele stocate
de la distanță, în special la datele stocate în afara jurisdicției specialistului, va depinde de legislația
națională care se aplică și nu se poate oferi un răspuns în prezentul Ghid.
În mod similar, orice cont de e-mail care utilizează serviciile IMAP, Microsoft Exchange Server sau
Gmail poate stoca local conținutul contului de e-mail al unui utilizator, pe dispozitiv, pentru utilizare
offline. Cu toate acestea, este dificil de răspuns cu certitudine dacă specialistul accesează e-mailurile
locale pe dispozitiv sau de la distanță pe un server. Examinatorii criminaliști trebuie să fie atenți la
posibilitatea ca, din greșeală, să încalce norme juridice internaționale privind jurisdicția.
Această secțiune completează secțiunea 1.6 care discută principiile probelor electronice.
Utilizarea probelor electronice a crescut în ultimii ani, deoarece instanțele au fost nevoite să admită
și să ia în considerare probele electronice sub formă de e-mailuri, fotografii digitale, jurnale de
tranzacții la bancomate, documente de procesare a textelor, mesaje instantanee, foi de calcul,
istorice ale browserului de internet, baze de date, conținutul memoriei calculatorului, copii de rezervă
ale calculatorului, imprimări de pe calculator și fișiere video și audio digitale - toate acestea
constituind date digitale.
Un dispozitiv digital implicat în infracțiuni trebuie securizat la fel ca și în cazul altor forme de probe
fizice găsite la locul faptei, deoarece toate aceste dispozitive rămân probe fizice. Ca și în cazul
probele de amprente digitale și ADN, probele digitale sunt fragile și se pot pierde sau modifica foarte
ușor, dacă nu se respectă măsurile de precauție adecvate. La începuturile abordării probelor digitale,
membrii neinstruiți ai organelor de aplicare a legii, porneau calculatoarele pentru a căuta probe,
înainte de a le trimite pentru o examinare criminalistică sau opreau dispozitivele și pierdeau datele
și potențialele probe din memoria RAM.
Este important să înregistrați unde a fost găsit și indisponibilizat dispozitivul digital, deoarece acest
lucru poate dezvălui foarte multe despre intenția infractorului suspectat. O bună practică este
înregistrarea video a percheziției și indisponibilizării. Acest lucru va arăta poziția dispozitivelor
digitale, astfel încât să nu mai existe o controversă, exemplu, cu privire la faptul dacă dispozitivul
wireless a fost găsit mai degrabă ascuns în mansardă, decât într-o zonă cu acces deschis din camera
de zi.
7.2.1 Admisibilitate
Probele electronice sunt admisibile dacă se conformează unei serii de legi și norme, care asigură că
acestea sunt acceptabile în instanță. La obținerea probelor, trebuie urmate procedurile adecvate.
Acestea sunt prezentate în capitolele precedente.
7.2.2 Autenticitate
În cazul în care există o îndoială cu privire la datele electronice aduse ca probe, este datoria apărării
să conteste admisibilitatea acestora. Odată ce problema este abordată, urmărirea penală trebuie să
se ocupe de aceasta, de obicei, furnizând suficiente probe potrivit cărora integritatea datelor este
fiabilă și, prin urmare, acestea sunt considerate ca fiind de încredere.
Un alt aspect important al probelor este modul în care acestea au fost obținute și dacă metodologia
prin care au fost stabilite respectivele probe este susceptibilă a face obiectul validării și revizuirii
științifice obiective. De exemplu, dacă procuratura poate prezenta o factură de telefon care arată că
inculpatul s-a conectat la ISP-ul său la un anumit moment al zilei, atunci aceasta va fi, de obicei,
acceptată. În schimb, dacă procuratura pretinde că „Inculpatul a șters toate fișierele de pe hard
discul său, l-a reformatat, apoi l-a aruncat de la o fereastră de la etajul 10, dar noi am reușit să
reconstruim fișierele, apelând la firmă de recuperare a datelor”, atunci apărarea poate pune sub
semnul întrebării validitatea acestei metode de recuperare a probelor. Este treaba procuraturii să
demonstreze că metodele utilizate pentru recuperarea probelor au fost valabile și să convingă
instanța că probele trebuie admise.
Este necesară atingerea unui echilibru corect. Pe de o parte, nu este rezonabil să se aștepte ca
decidenții de fapt (fie că sunt membrii jurați sau un singur judecător) să înțeleagă detaliile tehnice.
Pe de altă parte, este inadecvat să se preconizeze că aceștia vor accepta tehnicile de recuperare a
datelor ca fiind „magice”. În unele țări, răspunsul este examinarea inter pares - dacă alți specialiști
în domeniu au studiat tehnica, au testat-o și au validat rezultatele, atunci instanța va accepta
probele.
Merită repetat faptul că probele electronice sunt tratate în instanță în același mod ca orice altă formă
de probe. Procuratura va trebui să demonstreze că documentul este autentic și că conținutul acestuia
este admisibil. Toate tranzacțiile cu probe electronice trebuie să corespundă principiilor probelor
electronice prevăzute în prezentul ghid.
Atunci când se iau în considerare probele în cadrul procedurilor penale, trebuie reținut faptul că
probele electronice sunt supuse acelorași norme și legi care se aplică înscrisurilor probatorii. Doctrina
înscrisurilor probatorii poate fi explicată astfel: sarcina de a demonstra instanței de judecată că
probele prezentate nu sunt nici mai mult și nici mai puțin, în momentul prezent, decât atunci când
au intrat pentru prima dată în posesia organelor de aplicare a legii, aparține procuraturii. Sistemele
de operare și alte programe modifică frecvent și adaugă la conținutul stocării electronice. Acest lucru
se poate întâmpla automat fără ca utilizatorul să cunoască, în mod necesar, că datele au fost
schimbate.
Așa cum s-a discutat deja în Secțiunea 6.2, acolo unde este posibil, trebuie realizată o imagine
(duplicat) a întregului dispozitiv țintă. Copierea parțială sau selectivă a fișierelor poate fi considerată,
în anumite circumstanțe, o alternativă, de exemplu, atunci când volumul de date care urmează a fi
Într-o minoritate de cazuri, este posibil să nu poată fi obținută o imagine utilizând un dispozitiv de
imagistică recunoscut. În aceste condiții, este posibil să fie necesar să obțineți acces la mașina
inițială pentru a recupera probele. Având în vedere acest lucru, este esențial ca probele să fie
obținute de un specialist în probe digitale calificat corespunzător, care este competent să ofere probe
în instanță.
7.4 Dezvăluire
Fiecare jurisdicție are norme și proceduri diferite în ceea ce privește dezvăluirea probelor către
apărare. De obicei, investigatorul are obligația de a urmări toate liniile rezonabile de anchetă,
indiferent dacă acestea arată către sau se îndepărtează de suspect. Ștergerea oricăror materiale
generate de organele de aplicare a legii sau materiale ale unui terț, aflate în posesia organelor de
aplicare a legii, înainte de perioadele de reținere respective, poate constitui o încălcare a procedurii,
dacă acestea nu sunt disponibile pentru dezvăluire, cu consecințe fatale pentru cauza procuraturii.
În practică, acest lucru înseamnă că probele generate de organele de aplicare a legii trebuie să fie
întotdeauna însoțite de o pistă de audit completă, de la punctul de captură a acestora, până la
predarea lor către procuratură și pe parcursul întregului proces de gestionare.
În unele jurisdicții, materialul neutilizat este un material care poate fi relevant pentru investigație și
a fost reținut, dar nu face parte din dosarul de urmărire penală împotriva acuzatului. Principiile
dezvăluirii se aplică probelor electronice în același mod ca orice alt material obținut în cursul unei
investigații. Este sarcina investigatorului să decidă ce material este rezonabil să fie cercetat și în ce
mod.
Orice material care nu a fost examinat trebuie descris pe categorii generale, cu măsura și modul
oricărei inspecții sau examinări a materialului înregistrat, cu o justificare a neexaminării acestuia ca
parte a investigație.
Este de preferat ca, ori de câte ori este posibil, informațiile sau datele să fie furnizate procurorului
în formatul inițial, deoarece transferul acestora pe un alt format sau suport, nu va crea copii exacte
și va avea loc o anumită degradare a calității originale. Orice conversie într-un format diferit de
formatul original trebuie să includă examinarea și evaluarea calității copiei. Trebuie depuse eforturi
pentru a captura și stoca probe în formate standard care sunt ușor disponibile procurorului și
sistemului judiciar. În situațiile în care procurorul local nu dispune de capacitatea de a vizualiza cu
Dacă probele din dosar sunt suficiente pentru a justifica urmărirea penală, interesele victimei
constituie o considerație importantă. Trebuie acordată atenție efectului infracțiunii asupra victimei.
Acest lucru este deosebit de important în cazurile care implică abuzuri asupra copiilor și potențialul
unor urmăriri penale aferente imaginilor digitale ale unui astfel de abuz.
Mulți martori ai infracțiunilor pot simți stres și teamă pe parcursul investigării unei infracțiuni și,
ulterior, când participă în instanță și depun mărturie. Stresul poate afecta cantitatea și calitatea
mărturiei martorilor de toate vârstele. Unii martori pot întâmpina dificultăți deosebite în ceea ce
privește prezentarea în instanță și depunerea mărturiei, din cauza vârstei lor, a circumstanțelor
personale, a fricii de intimidare sau din cauza nevoilor lor particulare. Măsuri suplimentare trebuie
asigurate pentru martorii vulnerabili și intimidați, pentru a-i ajuta să ofere cele mai bune mărturii în
instanță și pentru a elimina o parte din stresul asociat depunerii mărturiei.
Prezentarea este importantă în cazul în care avocații, judecătorii și, în cazul în care sistemul prevede
unul, juriul 103 trebuie să acorde probelor experților importanța pe care o merită. Prezentarea
probelor electronice în instanță este mai eficientă dacă este vizuală, utilizând demonstrații
computerizate, demonstrații video, grafică computerizată, programe și diagrame. Cu toate acestea,
procurorii trebuie să fie conștienți de prejudecățile pe care le poate provoca utilizarea unei astfel de
tehnologii și să fie pregătiți să discute aceste probleme cu autoritate în cazul în care apărarea
contestă utilizarea unei astfel de tehnologii.
Cercetările au descoperit că mulți oameni acordă mai multă atenție lucrurilor pe care le văd, decât
celor pe care le aud. Întrucât datoria unui procuror este de a prezenta cazul procuraturii în cea mai
bună lumină posibilă, este recomandabilă prezentarea vizuală a probelor, în special în cazurile
complicate.
103
Juriile sunt o caracteristică în special a sistemului de drept comun, care este de principiu că un acuzat trebuie
să fie judecat de un complet al omologilor săi. Acolo unde există, juriile sunt decidenții de fapt, în timp ce
judecătorul este decidentul de drept.
Este de remarcat faptul că cursul de competențe pentru proces este obligatoriu nu numai pentru
procurori, ci și pentru cei care lucrează deja în cadrul Serviciului de urmărire penală. În 2006 și
2010, toți procurorii au beneficiat de formare și perfecționare cu privire la competențele pentru
proces (inclusiv formare avansată de la procurori din Statele Unite și Regatul Unit).
Cursul de redactare juridică de două zile pentru procurori și stagiari ai Serviciului de urmărire penală
este, de asemenea, obligatoriu și predat stagiarilor ca parte a programului de pregătire al acestora,
precum și pentru a servi procurorilor ca parte a programelor de perfecționare. Utilizarea de imagini,
diagrame, figuri descriptive, diagrame etc. este puternic încurajată și adaugă prezentării un element
vizual.
Trebuie menționat faptul că experiența Georgiei menționată mai sus în furnizarea de formare privind
competențele pentru proces și redactare juridică pentru procurori nu este centrată pe cazuri de
criminalitate informatică, ci este mai degrabă un set universal de competențe, care poate fi utilizat
în procese complexe, care implică probleme ce pot fi dificil de înțeles de către judecător și juriu,
cazurile informatice constituind un exemplu clasic de astfel de materiale complexe.
Există două seturi de circumstanțe între care este important să se facă distincția atunci când este
vorba de probe electronice care nu sunt situate fizic în jurisdicție:
1. În cazul în care un investigator a preluat controlul asupra unui calculator care este conectat
la internet. În astfel de circumstanțe, este posibil ca investigatorul să poată avea puterea de
a da clic pe site-uri web sau de a intra pe calculatoare din alte jurisdicții. Autoritatea de a
face acest lucru poate fi acordată anchetatorului în virtutea dreptului intern sau a unei
combinații de drept intern și a dispozițiilor articolului 32 din Convenția de la Budapesta
privind criminalitatea informatică. (Cu toate acestea, țara în care sunt localizate fizic
serverele sau calculatoarele reale poate avea o altă viziune).
2. În cazul în care probele electronice sunt situate în „cloud” - adică în cazul în care e-mailurile
unui suspect, de exemplu, nu sunt stocate în calculatorul de acasă al acestuia, ci sunt stocate
în altă parte, pe un hard disc separat, într-o jurisdicție străină.
Este important să înțelegem diferența dintre aceste două seturi de circumstanțe, deoarece
autoritățile de anchetă vor trebui să întreprindă acțiuni diferite în fiecare situație, în funcție de legile
care se aplică.
Există diverse măsuri care au fost luate la nivel internațional pentru a răspunde criminalității
informatice. Printre cele mai relevante se numără Interpol, Consiliul Europei și progresele inițiate de
Uniunea Europeană (Rețeaua punctelor de contact, Europol, Eurojust și Rețeaua Judiciară Europeană
în materie penală). Resursele acestor grupuri pot fi puse la dispoziția diferiților jucători din sistemul
de justiție penală pentru a-i ajuta în investigații sau în urmărirea penală.
Există de mult timp un cadru formal prin care un stat suveran a putut solicita unui alt stat suveran
asistență în probleme juridice. Cea mai comună bază juridică pentru această cooperare sunt
Atunci când un caz traversează o serie de jurisdicții, trebuie luată în considerare dreptul material
pentru fiecare jurisdicție. Acesta poate fi un domeniu complex și uneori se ia decizia de a permite
unei singure echipe de investigatori dintr-o singură jurisdicție să preia conducerea. Instituțiile
relevante din celelalte jurisdicții vor fi de acord să coopereze cu instituția principală de investigare
și să obțină probele relevante în propria lor jurisdicție.
Articolul 35 din Convenția de la Budapesta oferă asistență practică investigatorilor, întrucât necesită
ca fiecare Parte „să desemneze un punct de contact disponibil douăzeci și patru de ore, șapte zile
pe săptămână”. Scopul acestui lucru este promovarea „asistenței imediate, în scopul investigațiilor
sau procedurilor privind infracțiunile aferente sistemelor și datelor informatice sau pentru colectarea
de probe în formă electronică cu privire la o infracțiune.”
Părțile la Convenție sunt așteptate să efectueze o serie de alte măsuri, oferindu-și dreptul intern și
autorizația de practică. Acestea sunt următoarele:
Aceste măsuri pot juca un rol important în facilitarea activității efective și eficiente a investigațiilor
care abordează infracțiuni ce includ un element de probe electronice, în alte jurisdicții.
104
https://rm.coe.int/t-cy-2018-11-template-article29-request-v26-final/16808c4956
Există o serie de considerente care sunt specifice diferitelor roluri în cazurile care implică probe
electronice:
- Gestionarea investigațiilor
- Lanțul de custodie
- Examinarea probelor (acțiuni de laborator)
- Impact asupra subiecților perchezițiilor (de ex., rețele corporative)
- Protejează considerațiile privind confidențialitatea, proporționalitatea, intruziunea colaterală
Nu este necesară furnizarea de informații specifice rolurilor pentru organele de aplicare a legii,
întrucât toate considerentele abordate în această secțiune sunt deja abordate în capitolele
precedente.
9.2 Procurori
Procurorii trebuie să poată determina jurisdicția cea mai potrivită pentru o urmărire penală în materie
de criminalitate transfrontalieră și să poată utiliza cele mai noi tehnologii pentru a prezenta
respectivele probe în instanță. Acest lucru poate însemna că audierile în instanță trebuie să fie dotate
cu tehnologie suplimentară pentru a facilita prezentarea probelor.
În funcție de țară, procurorii trebuie să lucreze cot la cot cu organele de aplicare a legii sau să fie
disponibile, în alt fel, pentru a oferi consultanță cu privire la măsurile pentru evitarea capcanelor
juridice, maximizarea posibilităților probatorii și dezvoltarea unor cazuri puternice, solide și bine
prezentate în instanță. Procurorii trebuie să promoveze valorile de bază privind independența,
imparțialitatea și echitatea, în tot ceea ce fac.
Dreptul la un proces echitabil este sacrosant, iar responsabilitatea echipei de urmărire penală în
ceea ce privește colectarea, păstrarea și prezentarea probelor electronice în fața unei instanțe, în
mod echitabil și obiectiv, rămâne primordial. Fiecare membru al echipei de urmărire penală va avea
un rol clar identificat. Pe parcursul cazului, trebuie să existe conferințe periodice cu privire la caz,
Deoarece criminalitatea informatică nu cunoaște nicio frontieră geografică, procurorii au un rol din
ce în ce mai important în facilitarea legăturii transfrontaliere și în obținerea de probe electronice,
prin asistența juridică reciprocă.
Procurorii trebuie să fie proactivi în ceea ce privește identificarea și, dacă este posibil, remedierea
deficiențelor privind probele electronice și să ofere o concluzie timpurie la respectivele cazuri, care
nu pot fi consolidate prin investigații suplimentare.
Este important să rețineți faptul că fiecare caz este unic și trebuie avute în vedere propriile fapte și
fond al acestuia (și în contextul legislației naționale care se aplică) pentru a putea determina cu
exactitate ce măsuri sunt necesare pentru a asigura rezultatul investigației.
Așa cum s-a discutat în Secțiunea 7.5, orice investigație va produce materiale care nu pot fi utilizate
cu încredere în instanță. Dreptul unui inculpat de a beneficia de un proces echitabil este consacrat
în articolul 6 din Convenția Europeană a Drepturilor Omului (CEDO) și este important ca un
investigator să identifice orice material care fie ar putea submina cazul procuraturii, fie ar putea
ajuta cazul apărării. În cazul în care practica judecătorească impune ca procuratura să pregătească
pentru apărare planurile probelor deținute de procuratură, investigatorul trebuie să se asigure că
materialele neutilizate sunt evidențiate în mod corespunzător.
Procurorii trebuie să facă tot ceea ce le stă în putință pentru a facilita dezvăluirea corespunzătoare,
în conformitate cu legislația relevantă, ca parte a responsabilității lor generale și profesionale de a
acționa în mod echitabil și imparțial, în interesul justiției și în conformitate cu legea. De asemenea,
procurorii trebuie să fie atenți la necesitatea de a oferi consultanță și, dacă este necesar, de a proba
acțiunile întreprinse de investigatori, pentru a asigura că obligațiile de dezvăluire sunt îndeplinite.
Așa cum este discutat în secțiunea 7 de mai sus, în cadrul proceselor penale, probele digitale trebuie
să fie admisibile, autentice, exacte și complete. Acestea trebuie să fie conforme legilor și normelor
aplicabile și să fie acceptabile de către instanță.
În revizuirea cauzei, procurorul va determina, dacă este posibil, să stabilească o legătură explicită
între fișiere (date care conduc la persoane și evenimente specifice) și să explice modul în care apărut
o probă, arătând continuitatea neîntreruptă a probei.
În timpul proceselor penale, procurorul trebuie să utilizeze probele pentru a dovedi cauza conform
standardului penal (în multe țări, aceasta înseamnă „dincolo de orice îndoială rezonabilă”). Ca parte
a normelor în materie de probe, instanța are întotdeauna dreptul să îi fie prezentate cele mai bune
O revizuire timpurie de către procuror a probelor electronice într-un caz, care să determine dacă
probele sunt suficiente, unde există puncte slabe și unde sunt necesare alte probe electronice. Dacă
acest lucru se realizează într-o fază incipientă, poate exista încă posibilitatea de a obține probe
suplimentare din alte jurisdicții, înainte ca respectiva cauză să ajungă la proces.
Rolul de bază al martorului criminalist este întocmirea de rapoarte referitoare la probele electronice
obținute, declarațiile și respingerea rapoartelor de opoziție, după caz. Procurorul trebuie să
încurajeze declarațiile scurte, împărțite în mod clar între fapte și opinii, pentru a asigura claritatea
în ceea ce privește procesele de gândire ale martorului și descoperirile acestuia. Dacă este necesar,
procurorul trebuie să solicite ca documentele justificative să fie furnizate mai degrabă ca anexe,
decât într-un document inutil de voluminos.
Un raport scurt poate fi un raport bun; nu este necesar un raport lung dacă nimeni nu este capabil
să îl citească până la capăt.
După ce a analizat raportul (raporturile) (și în cazul în care este necesar în temeiul procedurii penale
naționale), martorului trebuie să i se solicite informații și explicații specifice cu privire la punctele pe
care apărarea este probabil să le ridice - în special în privința oricăror contradicții cuprinse în
declarațiile martorilor opoziției. De asemenea, poate fi foarte util ca martorul să pregătească un
glosar agreat de termeni care să fie utilizat în cauză.
În perioada premergător procesului (și, dacă este necesar, în timpul procesului principal), este
posibil ca procuratura să considere necesar să se întâlnească cu apărarea pentru a discuta sfera
probelor electronice și disponibilitatea/conținutul acestora, pentru a clarifica situația probatorie.
- Credibile
- Imparțiale
- Clare
9.3 Judecători
Deoarece judecătorii joacă un rol crucial în instanță, aceștia trebuie să înțeleagă, de asemenea,
aspectele tehnice ale probelor electronice, precum și unde și cum pot fi localizate probele. De
asemenea, aceștia trebuie să înțeleagă tehnologia și aplicațiile din care provin probele digitale,
pentru a lua decizii solide și adecvate cu privire la admisibilitatea acestora.
- Admisibile;
- Autentice (inclusiv precizie și caracterul complet);
- Convingătoare.
Judecătorii stabilesc ce probe urmează a fi admise într-un caz și pronunță hotărâri privind mărturiile
specialiștilor și experților. În multe jurisdicții, judecătorii decid atât în fapt, cât și în drept. Astfel de
decizii trebuie luate dintr-o perspectivă informată. Orice caz care implică tehnologii avansate poate
implica volume uriașe de material, o mare parte a acestuia de natură complexă și tehnică. Judecătorii
trebuie să poată gestiona astfel de cazuri și să poată face distincția între cererile care sunt întemeiate
și cele care nu sunt.
Procedurile juridice recunosc că pot exista aspecte, dincolo de cunoștințele instanței, care trebuie
explicate de cineva care are o mai bună înțelegere și experiență cu privire la un anumit subiect.
Această persoană este martorul „expert” și se distinge prin rolul său, deoarece acesta este în măsură
să discute opinii și nu doar faptele cunoscute personal de el. Un judecător trebuie să poată evalua
calificările și nivelul de perspectivă bazat pe cunoștințe, pe care un expert le aduce cazului.
Normele privind cine poate și cine nu poate fi martor expert diferă de la o țară la alta. În unele,
există cerințe bine dezvoltate;105 în altele, situația este mai puțin normativă.
Un martor expert trebuie să fie independent și imparțial. Acesta are o datorie față de instanță și
trebuie să aducă la cunoștința instanței orice slăbiciune sau limitare a probelor furnizate.
În secțiunea 2.6, sunt discutate unele criterii pentru un „martor consultant independent”. În multe
cazuri, acestea se vor aplica și martorului expert.
În orice investigație, vor exista materiale care nu vor fi fiabile ca probe. Pentru a se asigura că un
inculpat beneficiază de un proces echitabil, judecătorul trebui să se asigure că procuratura și-a
îndeplinit în mod corespunzător responsabilitățile de dezvăluire a informațiilor.
9.3.4 Jurisdicție
De asemenea, judecătorii vor fi obligați să decidă asupra temeiniciei cererilor aferente asistenței
juridice reciproce, care implică probe electronice - în special atunci când este vorba de necesitatea
emiterii de ordine judecătorești pentru ca investigatorii să acceseze înregistrări și date deținute de
furnizorii de servicii - și în chestiuni de extrădare a infractorilor, care trebuie să facă față unui proces
105
A se vedea, de exemplu, Norma Federală privind probele 702 din SUA.
Așa cum s-a repetat pe parcursul prezentului Ghid, o înțelegere și apreciere a aspectelor tehnice ale
probelor electronice vor face ca astfel de decizii să fie mai ușoare pentru cei implicați, iar acest lucru
include judecătorul.
Utilizarea sporită a probelor electronice pentru soluționarea problemelor civile (adică, litigii juridice
între entități private) este o consecință firească a comunicării umane, care trece de la suport de
hârtie la sisteme electronice. Tranzacții de afaceri importante sunt încheiate fără a apela deloc la
hârtie, prin intermediul schimburilor de e-mailuri sau a platformelor de licitare. Unul dintre soți își
poate înșela partenerul și poate lăsa în urmă probe sub formă de mesaje SMS. O companie poate
obține informații privilegiate, în mod necorespunzător, cu privire la tranzacțiile comerciale ale unui
concurent. Toate acestea constituie potențiale investigații, al căror rezultat va depinde de
examinarea digitală și analiza probelor electronice.
O investigație criminalistică în sfera civilă necesită o pregătire și mai atentă. Investigatorii din
sectorul privat nu au aceleași prerogative legale ca cei care lucrează în cadrul autorităților
competente și este esențial să se obțină autorizarea legală corespunzătoare pentru orice activitate
care implică sisteme informatice sau dispozitive electronice aparținând unei părți terțe. În mod
normal, părțile implicate în litigii civile, se vor opune puternic oricărei dezvăluiri de informații
comerciale confidențiale sau informații cu caracter personal către cealaltă parte. Instanțele civile vor
impune, de regulă, cerințe și limitări stricte înainte de a autoriza indisponibilizarea datelor din
calculatoarele sau dispozitivele terților.
În cazurile din sectorul privat, lucrările de investigare criminalistică a calculatoarelor, încep, în mod
normal, cu o consultare cu clientul. Această reuniune sau serii de reuniuni vor stabili natura
revendicărilor legale, cerințele și așteptările clientului și vor determina cele mai potrivite proceduri
și strategii care trebuie aplicate. Este extrem de important ca specialistul în criminalistică să se
asigure că termenii de referință agreați sunt în scris, aprobați, în mod formal, de către client și că
aceștia precizează clar sfera de aplicare, responsabilitățile și limitările implicării acestuia.
Dacă este posibil, în timpul consultării, trebuie identificate tipul și gama dispozitivelor electronice și
trebuie determinată natura probelor electronice solicitate. În funcție de problemele care urmează să
fie analizate, captura datelor poate fi necesară numai în scopuri administrative interne sau poate fi
evident de la început că va urma o eventuală răspundere penală. În cazul în care datele trebuie
capturate într-un mod care să asigure admisibilitatea acestora în instanță, este recomandat ca părțile
să utilizeze specialiști calificați în investigarea criminalistică a calculatoarelor, familiarizați cu astfel
de cerințe.
Așa cum am explicat deja de mai multe ori în prezentul Ghid, conținutul oricărui dispozitiv electronic
trebuie manipulat și păstrat astfel încât să poată garanta că acesta nu a fost modificat sau manipulat.
A face altfel ar însemna subminarea valorii oricăror probe obținute din acesta.
Trebuie concepută o strategie privind modul de obținere a accesului la date (în special dacă acestea
sunt deținute de o parte neconformă la litigiu). Poate fi realizat acest lucru prin acord scris? Sau va
fi necesară obținerea unei hotărâri judecătorești?
Odată obținută autorizația necesară, procesul real de captură a datelor este același ca în Secțiunile
3.4 și 3.5 de mai sus, dar fără indisponibilizarea dispozitivelor. Investigatorul va realiza o copie
„bitstream” identică a conținutului electronic al dispozitivului (vezi Secțiunea 6.2), care va servi
drept copie principală, din care vor fi făcute copii de lucru. Copia principală va fi apoi sigilată și va
rămâne neatinsă, dar poate fi utilizată ca punct de referință în orice dispută ulterioară.
Strategia de colectare a datelor trebuie să ia în considerare, de asemenea, dacă este necesar și/sau
de dorit ca proprietarul sau utilizatorul dispozitivului electronic identificat să fie informat cu privire
la procesul de captură care va avea loc sau dacă procedura poate fi efectuată ex parte. În mediul
de afaceri (după cum a fost deja menționat), personalul unei facilități terțe poate fi, în orice caz,
obligat contractual să notifice persoana vizată sau proprietarul datelor că acestea au fost accesate
și copiate. Prezența respectivei persoane poate ajuta la protejarea drepturilor acestuia, dar poate
prezenta alte probleme în ceea ce privește interferența și obstrucția.
În unele cazuri, politica și procedura companiei pot permite conducerii superioare să autorizeze
accesul la dispozitivele companiei utilizate de un angajat, fără necesitatea unei hotărâri judecătorești
sau a consimțământului respectivului angajat. În alte situații, drepturile angajaților în ceea ce
privește viața privată vor avea prioritate.
Procedura civilă variază foarte mult de la jurisdicție la jurisdicție, dar majoritatea legilor privind
procedura civilă implică o prezumție de probă conform căreia un funcționar juridic desemnat de o
instanță (cum ar fi un notar public sau un executor judecătoresc) oferă probele instanței. Dacă
acesta este cazul, ar putea fi utilă implicarea unui asemenea funcționar juridic în procesul de
colectare a probelor. Ofițerul juridic poate oferi asistență atât în timpul indisponibilizării, cât și în
fazele de după indisponibilizare, cum ar fi clonarea datelor atunci când sunt necesare copii
suplimentare. În multe cazuri, funcționarul juridic va putea, de asemenea, să ateste faptul că probele
au rămas în custodia sa și nu au fost modificate.
Dacă jurnalul sau procesele verbale sunt păstrate de un funcționar juridic (notar public, executor
judecătoresc sau altul) într-un document pe care acesta îl poate autentifica, procesul de captură va
beneficia de o garanție mai mare în ceea ce privește fiabilitatea și integritatea indisponibilizării.
Nu este necesar să fie repetat faptul că orice persoană care efectuează efectiv operațiuni tehnice
asupra dispozitivului trebuie să dețină competențele și experiența corespunzătoare în ceea ce
privește procedurile pe care trebuie să le efectueze.
Așa cum este descris în primul principiu al probelor electronice (secțiunea 1.7.1) și în diferite secțiuni
ulterioare din prezentul Ghid, Lanțul de custodie este un pas esențial în păstrarea și dovedirea
integrității datelor.
În unele cazuri limitate, ar putea fi, de asemenea, fezabil să fie indisponibilizat dispozitivul în sine,
cu condiția să nu existe dificultăți economice sau prejudicii comerciale pentru proprietarul său. În
acest sens, se vor aplica aceleași reguli privind etichetarea, ambalarea și depozitarea descrise în
Secțiunea 3.4.1. Dacă este posibil din punct de vedere fizic, se poate lua în considerare depunerea
oricărui astfel de dispozitiv la un funcționar juridic pentru păstrare (dacă se pot reproduce condițiile
de depozitare corespunzătoare).
Înainte de a returna orice dispozitiv de stocare a datelor indisponibilizat proprietarului acestuia, este
necesar să se aibă în vedere garantarea faptului că nu există date ilegale, cum ar fi imagini de
abuzuri asupra copiilor, informații cu caracter personal aparținând terților obținute în mod ilegal,
nume și parole de autentificare, detalii privind carduri de plată etc. Luați în considerare plasarea
unui avertisment în acest sens, în raportul de examinare.
Odată indisponibilizate datele, metodele de analiză tehnică vor fi identice atât pentru procedurile
penale, cât și pentru cele civile.
În această cauză din Anglia, o cantitate de metal a fost furată în tranzit. Același tip de metal a fost
găsit în posesia Domnului Wood și acesta a fost acuzat de manipulare de bunuri furate. Pentru a
stabili că metalul manipulat de Domnul Wood a făcut parte din încărcătura furată, înregistrările
proprietarului privind compoziția chimică a încărcăturii (constând în parte din documentele
imprimate de pe un calculator utilizat pentru a efectua calcule complexe) au fost comparate cu
rezultatele unei analize chimice efectuate pe metalul indisponibilizat de la Domnul Wood. S-a dovedit
că exista o potrivire exactă a compoziției metalului.
În cadrul procesului său, Domnul Wood s-a opus admiterii ca probe a documente imprimate de la
calculator. Judecătorul de proces a respins respectiva obiecție și chimiștii și programatorul software-
ului calculatorului (deținătorii înregistrărilor) au depus mărturii orale, care nu au fost de altfel
contestate de către recurent, cu privire la acțiunile pe care le-au întreprins. Domnul Wood a fost
condamnat și a făcut apel.
În respingerea apelului, Curtea de Apel a statuat că computerul a fost utilizat pur și simplu ca un
calculator pentru efectuarea de calcule, care nu ar fi putut fi efectuate manual - a fost un instrument
(similar unei bucăți de hârtie litmus utilizată pentru a testa aciditatea sau unui aparat de cântărit).
Documentele imprimate au constituit probe reale dovedite de mărturia orală a programatorului
dispozitivului.
Direcția Parchetelor c. Lennon, Divizia Queen’s Bench (Tribunalul Divizionar) Data Audierii 11 mai
2006 Citație: BLD 1205061482.
Acesta a fost prima cauză din Regatul Unit referitor la un atac de tip „blocare a accesului” (denial of
service attack). David Lennon a fost acuzat că, între 30 ianuarie și 5 februarie 2004, a provocat o
modificare neautorizată unui calculator aparținând companiei Domestic and General Group Plc
(„D&G”), cu intenția de a afecta conținutul calculatorului. Faptele au fost că Domnul Lennon a fost
angajat la D&G timp de trei luni, până la demiterea sa în decembrie 2003. Acesta avea atunci 16
ani. La 30 ianuarie 2004, Domnul Lennon a început să trimită e-mailuri către D&G utilizând un
program de „bombardare prin poștă” numit Avalanche V3.6 pe care l-a descărcat de pe Internet.
Programul a fost configurat pe setarea „trimite până la oprire”. Aceasta însemna că programul
continua să trimită e-mailuri până la oprirea sa manuală. S-a estimat că utilizarea programului de
către Domnul Lennon a cauzat primirea a aproximativ 5 milioane de e-mailuri de către serverele de
e-mail D&G.
Serverul de e-mail al companiei s-a blocat, iar Domnul Lennon a fost citat pentru modificarea
neautorizată a conținutului unui calculator, încălcând dispozițiile secțiunii 3 alin. (1) din Legea
utilizării abuzive a calculatoarelor din 1990 (CMA).
Cazul de urmărire penală a fost acela că, prin acțiunile sale în ceea ce privește programul Avalanche,
Domnul Lennon a provocat o modificare neautorizată a conținutului calculatoarelor D&G prin
adăugarea de date la conținutul acestora, adică jumătate de milion de e-mailuri pe care acesta le-a
configurat a fi trimise și că, atunci când a făcut acest lucru, el a avut intenția și cunoștințele necesare.
S-a presupus că acesta avea intenția necesară, deoarece intenționa să obstrucționeze funcționarea
calculatoarelor prin suprasolicitarea lor cu e-mailurile și că, prin urmare, a intenționat să împiedice
sau să îngreuneze accesul la programele și datele acestora și să afecteze funcționarea programelor
lor și fiabilitatea datelor acestora. S-a afirmat că acesta deținea cunoștințele necesare, așa cum se
susținea, deoarece știa că modificările pe care intenționa să le provoace prin adăugarea de e-mailuri
la datele din calculatoare, nu erau autorizate.
La Tribunalul pentru minori, Domnul Lennon a susținut cu succes că respectiva cauză împotriva lui
era neîntemeiată, deoarece funcția serverului de e-mail al companiei era de a primi e-mailuri, D&G
a consimțit să primească e-mailuri și astfel D&G a autorizat potențialii expeditori de e-mailuri să
modifice conținutul serverului, trimițându-le.
Acuzarea a făcut apel și Tribunalul Divizionară a constatat că exista o cauză întemeiată și a dispus
rejudecarea. Curtea Divizionară a declarat că, deși proprietarul unui calculator care are capabilitatea
de a primi e-mailuri consimte, în mod obișnuit, la primirea e-mailului, un astfel de consimțământ
implicit nu este nelimitat, iar consimțământul nu acoperea e-mailurile trimise în alt scop decât cel al
comunicării cu proprietarul, ci în scopul întreruperii funcționării sistemului.
R v Curtea Magistraților Bow Street și Allison (AP) Ex parte Guvernul Statelor Unite ale Americii
(Allison) [2002] 2 AC 216
La 18 martie 1997, Domnul Allison a fost arestat pe baza unui mandat provizoriu emis în temeiul
Legii privind extrădarea din 1989, la cererea Guvernului Statelor Unite. Acesta a susținut că, între 1
ianuarie 1996 și 18 iunie 1996, acesta conspirase împreună cu Joan Ojomo și alții - în jurisdicția
Statelor Unite ale Americii
Joan Ojomo a fost angajată a American Express. Aceasta a fost repartizată la secția de credite a
biroului companiei din Plantation, Florida, ca analist de credit. În activitatea ei de zi cu zi, aceasta
avea posibilitatea de a accesa toate conturile clienților, dar avea autorizația de a accesa doar acele
conturi care îi erau atribuite ei. Cu toate acestea, ea a accesat diverse alte conturi și fișiere, care nu
i-au fost atribuite și la care nu i se acordase autoritatea de a lucra. După ce a accesat respectivele
conturi și fișiere fără autorizare, aceasta a transmis informațiile confidențiale obținute din aceste
conturi și fișiere, printre altele, către Domnul Allison. Informațiile pe care le-a oferit acestuia și altora
au fost apoi utilizate pentru a codifica alte cărți de credit și pentru a furniza numere PIN, care puteau
fi apoi utilizate, în mod fraudulos, pentru a obține sume mari de bani de la bancomate.
Probele privind autoritatea lui Joan Ojomo de a accesa datele materiale au arătat că aceasta nu avea
autoritatea de a accesa datele pe care le-a utilizat în acest scop. Aceasta nu a avut, în niciun
moment, nicio autorizație globală pentru a accesa orice cont sau fișier, care nu îi fusese atribuit, în
mod special, pentru a lucra la acesta. Orice acces de către aceasta la un cont la care nu avea
autorizația să lucreze, ar fi considerat o încălcare a politicii și eticii companiei și ar fi considerat un
acces neautorizat de către Companie. Evidențele electronice au arătat că aceasta a accesat 189 de
conturi, care nu intrau în sfera de aplicare a sarcinilor acesteia. Accesarea de către aceasta a
respectivelor conturi a fost neautorizată.
Camera Lorzilor din Regatul Unit a analizat dacă un angajat ar putea săvârși o infracțiune de „acces
neautorizat” la un calculator, încălcând dispoziţiile secţiunii 1 din Legea utilizării abuzive a
calculatoarelor din 1990. S-a considerat că angajata se încadrează, în mod clar, în prevederile
Lorzii au arătat, în mod clar, că un angajat ar fi vinovat de o infracțiune numai dacă angajatorul a
definit clar limitele autorității angajatului în ceea ce privește accesarea unui program sau date.
Acesta a fost un caz de extrădare, care a rezultat dintr-o încercare de a extorca 200.000 de dolari
de la Michael Bloomberg prin piratarea sistemul informatic al companiei acestuia și apoi arătând cum
a fost realizat acest lucru. Unul dintre argumentele avansate în numele inculpaților a fost acela că
determinarea unui calculator să înregistreze recepția informațiilor, care nu proveneau de la sursa de
la care se presupunea că provin (de fapt, prin furnizarea de date false) nu a fost o conduită care să
afecteze fiabilitatea datelor, în sensul articolului 3 privind Legea utilizării abuzive a calculatoarelor
(CMA).
Curtea de Apel a respins această interpretare, iar Wright J a declarat: „Dar dacă o persoană, prin
utilizarea abuzivă sau ocolirea oricărei parole relevante, plasează în fișierele calculatorului un e-mail
fals, pretinzând că titularul parolei este autorul, când, de fapt, nu este, atunci o astfel de adăugare
la respectivele date este absolut neautorizată, astfel cum este definit în secțiunea 17 alin. (8) din
AMC; intenția de a modifica conținutul calculatorului, astfel cum este definit în secțiunea 3 alin. (2)
din CMA este de la sine înțeleasă și, făcând acest lucru, fiabilitatea datelor din calculator este
afectată, în sensul secțiunii 3 alin. (2) lit. (c) din CMA.“
R c. Ross Warwick Porter [Numărul de citare neutru: [2006] EWCA Crim 560
La 5 noiembrie 2002, poliția a efectuat un raid la casa recurentului și a indisponibilizat câteva unități
de hard disc și două calculatoare, care erau conectate la internet aproape permanent. Recurentul
lucra în domeniul tehnologiei informației și construise două calculatoare. De pe unitățile de hard disc
ale celor două calculatoare au fost recuperate 3575 de imagini statice și 40 de fișiere video de
pornografie infantilă.
Dintre cele 3575 de imagini statice, 873 din cele 3573 rămase găsite au fost șterse, în sensul că
fuseseră introduse în „coșul de reciclare” al calculatorului, care a fost apoi golit. Restul de 2700 de
imagini statice au fost salvate într-o bază de date al unui program numit ACDSee. Acest program
este conceput pentru vizualizarea imaginilor grafice și este utilizat de fotografi. Când este deschis în
„vizualizarea galeriei” (gallery view), programul creează imagini „miniatură” (thumbnail) din
imaginile vizualizate. Acestea ar fi fost inițial imagini mai mari asociate fiecărei imagini în miniatură.
Dacă s-ar fi dat clic pe miniatură, ar fi putut fi vizualizată imaginea mai mare. Cu toate acestea,
toate imaginile mai mari au fost șterse. Efectul ștergerii imaginilor mai mari a fost că imaginea în
Recurentul a fost găsit vinovat la Curtea Coroanei din Snaresbrook pentru cincisprezece capete de
acuzare, pentru realizarea unei fotografii indecente a unui minor, încălcând dispoziţiile secţiunii 1
alin. (1) lit. (a) din Legea privind protecția minorilor din 1978 și două capete de acuzare pentru
deținerea de fotografii indecente cu minori, încălcând dispoziţiile articolului 160 alin. (1) din Legea
Justiției Penale din 1988 („Legea din 1988”). Recurentul a făcut apel împotriva condamnării pentru
două capete de acuzare de deținere de fotografii indecente cu minori.
Curtea a decis că, în cazul special al imaginilor șterse din calculator, în cazul în care o persoană nu
ar putea recupera sau obține accesul la o imagine, aceasta nu ar mai avea custodia sau controlul
asupra acesteia. A rezultat faptul că nu era potrivit să se afirme că o persoană care nu poate recupera
o imagine de pe unitatea de hard disc ar fi în posesia imaginii, din cauza faptului că este în posesia
hard discului.
Arestarea lui Vasily Gorshkov și a lui Alexey Ivanov din Rusia în noiembrie 2000106
Vasily Gorshkov și Alexey Ivanov au fost arestați (și ulterior condamnați) în Statele Unite în
noiembrie 2000. Se presupunea că bărbații erau liderii criminalității informatice ruse, care au piratat
rețelele a cel puțin 40 de companii americane și apoi au încercat să le extorcheze de bani.
„Ivanov a atras atenția FBI în toamna anului 1999, atunci când furnizorul de servicii de internet
(FSI) Speakeasy a descoperit că rețeaua sa fusese compromisă și a informat filiala din Seattle a FBI.
La începutul anului 2000, OIB a detectat, de asemenea, un atac și a notificat sediul FBI din
Connecticut. În perioada dintre sfârșitul anului 1999 și începutul anului 2000, alte mari corporații de
internet, inclusiv CD Universe, Yahoo și Ebay, s-au confruntat, de asemenea, cu atacuri similare
celor denunțate de Speakeasy și OIB. Investigarea criminalistică a calculatoarelor a determinat că
traficul de internet pentru toate aceste atacurile proveneau de la aceeași mașină din Rusia. După ce
106
Sursa: http://en.wikipedia.org/wiki/United_States_v._Ivanov#cite_note-resume-3
„FBI a construit o companie falsă de securitate informatică, Invita, în Seattle, Washington și l-a
invitat pe Ivanov la un interviu pentru o poziție, în 10 noiembrie 2000. Interviul lui Ivanov a implicat
piratarea unui sistem capcană de tip „honeypot” controlat de FBI. În timp ce Ivanov pirata sistemul
honeypot al FBI, toate tastările și traficul de rețea au fost înregistrate ca potențiale probe. În plus,
FBI a realizat înregistrări video și audio ale întregului proces de interviu. După ce Ivanov a reușit să
obțină accesul la sistemul honeypot al FBI, a fost arestat. FBI a utilizat tastările înregistrate și
jurnalul de trafic de rețea pentru a accesa calculatoarele intermediare pe care Ivanov le-a utilizat în
Rusia.”
„După arestarea bărbaților, agenții au utilizat numerele de cont și parolele obținute de program
pentru a obține accesul la datele stocate pe calculatoarele celor doi din Rusia. Când FBI a accesat
dispozitivele lui Ivanov, a găsit dosare cu datele corespunzătoare companiilor pe care le atacase de
la distanță. Peste 2,3 GB de date au fost recuperate de dispozitivele lui Ivanov, inclusiv instrumentele
utilizate pentru a obține accesul ilegal și scripturile care făceau referire la companiile care fuseseră
atacate."
Agenții FBI au descărcat probele înainte de a obține un mandat de percheziție. Serviciul Federal de
Securitate rus a demarat procedurile penale împotriva agentului FBI Michael Schuler pentru acces
neautorizat la informațiile informatice.
Vă rugăm să rețineți: Acțiunile agentului FBI pentru obținerea de probe de pe calculatorul lui Ivanov
din Rusia, nu ar fi acceptabile în anumite jurisdicții.
Departamentul de Poliție din Old Tbilisi a primit o plângere din partea cetățeanului S. S. cu privire
la piratarea și manipularea ilegală a contului ei de Facebook de către cineva care i-a schimbat parola
la contul de Facebook și apoi a postat fotografii intime și indecente cu aceasta. De asemenea, un
cont fals al S. S. a fost creat fără aprobarea acesteia și în rețeaua de socializare Odnoklassniki.ru,
unde au fost postate numerele de telefon ale S. S. și ale membrilor de familie ai acesteia, ca numere
de contact pentru servicii de escortă sexuală. O serie de astfel de apeluri de la diverse persoane
care solicitau servicii sexuale au fost primite de S. S. și de membrii familiei sale. A fost lansată o
anchetă, în temeiul articolului 284, alin. 1 din Codul Penal al Georgiei (acces la un sistem informatic
fără drept).
Principalul suspect al cazului, după cum a indicat victima intervievată și familia acesteia, era fostul
iubit al S. S., G. A., care, de la despărțirea de S. S., a fost extrem de gelos și insistent cu apelurile
telefonice către victimă, nemaifiind în contact cu S. S. doar pentru ultimele câteva luni (când au
avut loc, de fapt, acțiunile descrise). De asemenea, în trecut, S. S. și G. A. au creat și gestionat o
pagină Facebook comună. Un alt argument al victimelor a fost că imaginile indecente postate pe
Au fost solicitate a fi prezentate codurile IMEI, care identifică toate apelurile efectuate către S. S.,
care solicitau favoruri sexuale, de la birourile centrale Geocell și Magticom (principalii operatori de
telecomunicații), iar tabelele relevante care afișau apelurile primite, numerele de telefon, IMEI și ID-
urile apelantului au fost primite fără întârziere. Niciunul dintre acestea nu conținea date referitoare
la G. A., care, în ciuda acestui fapt, rămânea principalul suspect.
O percheziție și indisponibilizare în circumstanțe de urgență au fost efectuate la locația lui G. A., iar
calculatorul personal al acestuia a fost indisponibilizat. Investigația a susținut că, întrucât G. A. a
aflat cu mare probabilitate despre investigațiile în curs împotriva sa, acesta ar avea înclinarea să
distrugă probele conexe și, prin urmare, percheziția și indisponibilizarea de urgență erau justificate.
Judecătorul a aprobat motivele prezentate și a declarat percheziția și indisponibilizarea ca fiind
legale.
Cu atât de puține probe disponibile, procurorul a decis totuși să îl acuze pe G. A. Pentru un singur
cap de acuzare de acces ilegal la un sistem informatic, iar în timpul interviului inițial al acuzatului
G.A. acesta și-a admis pe deplin vinovăția și a furnizat investigației informații detaliate referitoare
la acțiunile sale, inclusiv parola utilizată pentru accesarea S. S. paginile Facebook și Odnoklassniki,
precum și motivele și mobilele pentru astfel de acțiuni (gelozie, stres post-despărțire etc.). Ca
urmare a admiterii vinovăției de către acesta și a negocierilor care l-au implicat pe avocatul său și
procuratura, a fost încheiată o înțelegere între părți, în care procuratura a pledat pentru aceeași
infracțiune, dar cu suspendarea pedepsei și o amendă de 3000 GEL (aprox. 1500 EUR).
Acest caz a implicat răpirea unui bărbat pentru răscumpărare. Răscumpărarea a fost achitată în mod
corespunzător, persoana răpită a fost eliberată și, ulterior, a putut identifica pe unii dintre răpitori.
Curtea a constatat că au fost disponibile probe de e-mail datorită dispozitivelor moderne. Curtea a
analizat valoarea probatorie a e-mailului. Curtea a recunoscut că orice persoană poate trimite e-
mailuri oricărei alte persoane, dacă aceasta cunoaște numele contului de e-mail al celeilalte
persoane. Parola persoanei destinatare nu a fost necesară în acest scop, iar adresa
titularului/proprietarului telefonului putea fi obținută de la P.T.C.L / N.T.C.
În acest fel, calculatorul care a trimis e-mailul poate fi identificat și datele de e-mail pot fi recuperate
din acesta prin utilizarea de instrumente criminalistice. De asemenea, acest lucru poate fi
demonstrat într-o instanță de judecată, cu condiția să existe un lanț adecvat de custodie. În acest
caz, a fost totuși dificilă identificarea persoanei care a trimis e-mailul.
Curtea a recunoscut că acesta este un domeniu în care este necesară investigarea de către o agenție
de poliție, nu există nicio lege prin care internet cafe-urile să fie obligate să păstreze evidența
persoanelor care își utilizează propriile calculatoare și nici nu păstrează datele de istoric pentru mult
timp. În acest caz, Procuratura nu a furnizat un lanț de custodie corespunzător pentru probele de e-
mail, în conformitate cu legea și, prin urmare, acestea nu au putut fi invocate și astfel, au fost
eliminate.
Experții criminaliști au conceput o strategie de achiziție special pentru a face față vitezei cu care
dispozitivele trebuiau să efectueze vizualizarea, să organizeze fișierele ca hash și să le eticheteze.
Logistica și tehnologia au fost punctele cheie care au permis echipei să producă imagini criminalistice
mai rapid, încât computerele să poată fi aduse la laboratorul intern temporar care a fost creat pentru
operațiune.
Nouă luni mai târziu, șapte dintre respectivele imagini criminalistice au permis companiei
farmaceutice să furnizeze probe cruciale pentru a respinge mărturie mincinoasă în instanță a unui
grup de angajați.
În acest caz, a fost esențial să se asigure ca dispozitivele electronice implicate să își păstreze
conținutul original și să poată dovedi sau respinge faptele controversate în instanță sau să fie
utilizate în negocieri interne. În acest caz, a fost crucial să se poată identifica cu exactitate care
dispozitive electronice au fost implicate, pentru a se proceda imediat la păstrarea conținutului inițial
al acestora și a-l putea utiliza ulterior pentru a obține probele electronice aferente cazului.
Mai mulți angajați prezintă demisii voluntare în același timp. Conducerea suspectează că informații
confidențiale și instrumente dezvoltate intern ar putea ajunge la un concurent direct.
Echipa de experți a început ancheta pe calculatoarele alocate celor douăzeci și șase de foști angajați.
Rezultatele obținute prin Investigarea criminalistică a calculatoarelor efectuată pe dispozitivele
electronice implicate în investigație au demonstrat că informațiile corporative strategice au fost
furate. În raportul criminalistic rezultat, au fost furnizate specificații privind furtul de date, au fost
recuperate din sistemele corporative, drepturi de proprietate intelectuală în materie de brevete,
codul sursă și o descărcare parțială a MRC corporatist.
Experții au reușit să facă un pas suplimentar în cadrul investigației, dovedind faptul că codul sursă
furat a fost ușor modificat și a fost utilizat și vândut de un concurent după câteva luni.
Raportul criminalistic a devenit o probă esențială în instanță, permițând urmărirea penală rapidă și
de succes. În acest caz, a fost imperativ să se analizeze calculatoarele angajatului pentru a obține
probele electronice necesare pentru a demonstra că frauda a avut loc. În acest fel, a fost necesară
O companie aeriană suferă un boicot care implică site-ul de vânzări online al acesteia. Clienții au
probleme în a cumpăra bilete online pe site-ul web corporativ și acest lucru începe să afecteze rapid
economia și imaginea publică a companiei.
Expertul în criminalistică informatică, prin serviciile sale de investigare online, este capabil să ofere
informațiile necesare referitoare la caz. A existat o activitate neobișnuit de mare în jurnalele site-
urilor web, ceea ce îi determină pe experți să dezvăluie faptul că clienții sunt redirecționați în mod
aleatoriu, către alte pagini, prin procesul de achiziție.
Prin investigația și raportul său, expertul permite companiei să ia măsuri tehnice și juridice pentru
a rezolva problema și a-și redresa imaginea corporativă. În acest caz, a fost foarte important să se
poată demonstra și explica aspectele tehnice care dovedeau că pagina web corporativă a fost
manipulată. Pentru realizarea acestui lucru, expertul a trebuit să analizeze conținutul tehnic al paginii
web afectate și apoi să efectueze investigația online necesară pentru a strânge probele de bază
necesare pentru a susține acuzația.
Ca parte a condițiilor unui Contract de fuziune și achiziție, clientului i s-a impus o clauză care
reglementa, în mod specific, transferul proprietății intelectuale asociate anumitor brevete, în ultimii
cinci ani. Această clauză includea, în mod specific, orice tip de transfer de proprietate intelectuală,
indiferent dacă era sau nu formal. Din cauza sancțiunilor pe care această clauză le includea în
contract, clientul nostru trebuia să fie sigur 100% că niciun transfer formal sau informal de IP, de
niciun fel, nu a avut loc din partea niciunuia dintre cei 2.500 de angajați ai Grupului.
Echipa de investigarea criminalistică a calculatoarelor, prin serviciul său de Depistare electronică (e-
Discovery), a localizat toate documentele și e-mailurile al căror conținut era asociat IP-ului brevetat.
Milioane de documente și e-mailuri au fost identificate, copiate, categorisite, indexate și puse la
dispoziția personalului companiei și a firmei de avocatură care a oferit consultanță pentru
operațiunea M&A, pentru a revizui întregul material într-un mod confortabil și eficient.
Caracterul complet al lucrării efectuate a permis atât clientului, cât și firmei de avocatură să
măsoare, în mod adecvat, riscurile implicate de operațiune. Fără serviciul de investigare
criminalistică a calculatoarelor pentru depistare electronică, identificarea și selecția documentelor
Împotriva neplății unei datorii îndatorate prin e-mail naște un proces în care e-mailul joacă un rol
cheie. Pârâtul neagă că datoria a fost recunoscută și susține că e-mailul nu a fost trimis niciodată.
Prin implementarea unui serviciu specializat de expertiză al e-mailului advers, care permite
recunoașterea datoriei efectuate prin e-mail, experții sunt capabili să acceseze partea tehnică a e-
mailului și să recunoască dacă acesta este original sau dacă a fost manipulat. În acest caz specific,
e-mailul a fost proba necesară pentru a dovedi situația de conflict dintre părți, ceea ce a făcut ca
clientul să înțeleagă că este necesar să se poată garanta autenticitatea acestuia în fața instanței.
24/7 RealMedia: este o companie de tehnologie cu sediul în New York specializată în Marketing
Digital. Aceasta oferă soluții de marketing digital pentru editori, agenți de publicitate și agenții la
nivel global. Aceasta a fost listată anterior ca „TFSM” la bursa NASDAQ.
Rețele 3G: Telecomunicații mobile 3G sau de a 3-a generație este o generație de standarde
pentru telefoanele mobile și serviciile de telecomunicații mobile, care îndeplinesc specificațiile
Telecomunicațiilor Mobile Internaționale-2000 (IMT-2000) ale Uniunii Internaționale de
Telecomunicații. Serviciile de aplicații includ acces voce telefon, internet mobil wireless extins,
apeluri video și TV mobil, toate într-un mediu mobil.
Liste de control de acces (LCA): este o listă de permisiuni atașate unui obiect. Un LCA specifică
căror utilizatori sau procese de sistem le este acordat accesul la obiecte, precum și ce operații sunt
permise pentru obiectele date. Fiecare înregistrare într-un LCA tipic specifică un subiect și o operație.
Token de acces: este un obiect care încapsulează descriptorul de securitate al unui proces. Atașat
unui proces, un descriptor de securitate identifică proprietarul obiectului (în acest caz, procesul) și
LCA-uri care specifică drepturile de acces permise sau refuzate proprietarului obiectului. În timp ce
un token este utilizat pentru a reprezenta doar informațiile de securitate, acesta este, din punct de
vedere tehnic, în formă liberă și poate cuprinde orice date. Token-ul de acces este utilizat de
Windows atunci când procesul sau thread-ul încearcă să interacționeze cu obiecte ai căror descriptori
de securitate impun controlul accesului (obiecte securizabile).
Achiziția: un proces denumit Imagistică. Duplicatul este creat utilizând un duplicator de hard disc
sau instrumente de imagistică software precum DCFLdd, IXimager, Guymager, TrueBack, EnCase,
FTK Imager sau FDAS. Unitatea originală este apoi returnată pentru stocarea securizată în scopul
prevenirii alterării. Imaginea dobândită este verificată prin utilizarea funcțiilor hash SHA-1 sau MD5.
În punctele critice de-a lungul analizei, suportul media este verificat din nou, cunoscută sub
denumirea de „hashing”, pentru a se asigura că probele sunt încă în starea lor inițială. În mediile
corporative care solicită taxe civile sau interne, astfel de pași sunt, în general, trecuți cu vederea
din cauza timpului necesar pentru efectuarea acestora.
Date active: Fișierele și folderele care se află în unitățile de stocare a sistemului IT, care sunt
accesibile și vizibile pentru utilizatori într-o manieră imediată și directă cu ajutorul instrumentelor
sistemului de operare.
AdBrite: este o rețea de publicitate online, cu sediul în San Francisco, California, care a fost fondată
de Philip J. Kaplan și Gidon Wise, în anul 2002. Fondat inițial ca Marketbanker.com, site-ul a fost
relansat ca AdBrite în 2004 și servește acum reclame pe sute de mii de site-uri, conform statisticilor
publicate ale acestuia.
107
Sursă: Definiții și extrase proprii de pe Wikipedia.org
AfriNIC (Centrul de informare al rețelei africane): este registrul regional de internet (RRI)
pentru Africa.
Amazon S3 (Serviciul Simplu de Stocare): este un serviciu web de stocare online oferit de
Amazon Web Services. Amazon S3 oferă stocare prin interfețe de servicii web (REST, SOAP și
BitTorrent). Amazon a lansat S3, primul său serviciu web disponibil public, în Statele Unite în martie
2006 și în Europa în noiembrie 2007.
APNIC (Centrul de informare al rețelei din Asia Pacific): este registrul regional de internet
pentru regiunea Asia-Pacific. APNIC oferă servicii de alocare și înregistrare a resurselor de numere,
care susțin funcționarea globală a internetului. Este o organizație nonprofit, pe bază de membri, ai
cărei membri includ Furnizori de servicii de internet, Registre naționale de internet și organizații
similare.
ARIN (Registrul american pentru numere de internet): este Registrul regional de internet
(RRI) pentru Canada, multe insule din Caraibe și Atlanticul de Nord și Statele Unite. ARIN
gestionează distribuția resurselor de numere de internet, inclusiv spațiul de adrese IPv4 și IPv6 și
numerele AS.
Asistent (PDA): Aceștia sunt disponibili în multe forme și dimensiuni și au, de obicei, capacitatea
de stocare încorporată sub formă de hard discuri sau de memorie flash. Aceștia au devenit foarte
populari în ultimii ani și pot fi surse utile de probe electronice, deoarece își administrează propriile
sisteme de operare și sunt adesea conectați la internet prin rețelele WLAN, 3G sau LTE.
ATM: Un bancomat (ATM), este un dispozitiv de telecomunicații computerizat care oferă clienților
unei instituții financiare cu acces la tranzacții financiare într-un spațiu public, fără necesitatea unui
casier, funcționar uman sau casier bancar (din Wikipedia)
Sistem autonom: este o colecție de prefixe conectate ale Protocolului Internet (IP) de rutare aflată
sub controlul unuia sau mai multor operatori de rețea care prezintă o politică de rutare comună și
clar definită către internet.
Copie de rezervă: O copie a tuturor informațiilor deținute pe un calculator, în cazul în care ceva nu
funcționează la varianta originală.
BIOS: Sistem de bază de intrare-ieșire. Ansamblul de operații de rutină stocate în memoria numai
pentru citire, care permit unui calculator să pornească sistemul de operare și să comunice cu
diferitele dispozitive din sistem, cum ar fi unități de disc, tastatură, monitor, imprimantă și porturi
de comunicare.
Bit: Un bit (prescurtare de la binary digit - „cifră binară”) este capacitatea de bază a informației în
informatică și telecomunicații; un bit reprezintă exclusiv fie 1, fie 0 (unu sau zero). Reprezentarea
poate fi implementată, într-o varietate de sisteme, cu ajutorul unui dispozitiv cu două stări. În
informatică, un bit poate fi definit și ca o cantitate variabilă sau calculată care poate avea doar două
valori posibile. Aceste două valori sunt adesea interpretate ca cifre binare și sunt de obicei notate
cu cifrele numerice 0 și 1. Cele două valori pot fi de asemenea interpretate ca valori logice
(adevărat/fals, da/nu), semne algebrice (+/−), stări de activare (pornit/oprit) sau orice alt atribut
cu două valori. Corespondența dintre aceste valori și stările fizice ale stocării sau dispozitivului de
bază este o problemă de convenție și pot fi utilizate diferite atribuții chiar și în cadrul aceluiași
dispozitiv sau program. Lungimea unui număr binar poate fi denumită „"lungimea bitului.”
Disc Blu-ray (BD): este un mediu de stocare pe disc optic conceput să înlocuiască formatul DVD.
Discul de plastic are diametrul de 120 mm și grosimea de 1,2 mm, aceeași dimensiune ca DVD-le și
CD-le. Discurile Blu-ray conțin 25 GB pe strat, cu discuri în două straturi (50 GB) fiind norma pentru
discurile video de lung metraj. Pentru unitățile de rescriere BD-XL sunt disponibile discuri cu strat
triplu (100 GB) și strat cvadruplu (128 GB).
CentralOps: CentralOps este un site web care oferă posibilități de căutare investigativă, cum ar fi
un dosar de domenii, dosar de e-mail, căutări whois etc. Aceste servicii pot oferi informații referitoare
la adrese IP, domenii și adrese de e-mail. Site-ul web este condus de Hexillion este o companie
privată cu sediul în SUA. Adresa acesteia este: http://centralops.net
Jurnale de chat: este o arhivă de transcrieri din discuții online și conversații de mesagerie
instantanee. Multe aplicații de discuții sau MI permit arhivarea conversațiilor online de către client,
în timp ce un subset de clienți de discuții sau MI (adică Google Talk și Yahoo! Messenger 11 Beta)
permite salvarea arhivelor de discuții pe un server pentru recuperări viitoare. A doua tendință a fost
adoptată de furnizorii aplicațiilor datorită costurilor tot mai mici ale spațiului unității de hard de pe
serverul web.
Notarea CIDR: este o specificație compactă a unei adrese a Protocolului Internet și a prefixului de
rutare asociat acesteia. Rutarea interdomenii fără clasă (CIDR) este o alocare a adreselor
Protocolului Internet (IP) și a metodologie de agregare a rutelor[1] utilizată în arhitectura de
adresare Internet care a înlocuit organizarea rețelei clasice Ipv4 a spațiului de adrese IP. Aceasta
este utilizată și pentru realizarea de rețele IPv6, următoarea generație a arhitecturii de adresare IP.
Plăci de circuite: O placă subțire cu cipuri, dispozitive și alte componente electronice instalate pe
placă (denumită și placa de circuit imprimat).
Televiziune cu circuit închis (CCTV): Acestea sunt utilizate de companii, guverne și persoane
fizice pentru securitate și pot oferi probe că anumite activități au avut sau nu au avut loc.
Cloud: Informatica dematerializată este un model care permite accesul de rețea omniprezent,
convenabil, la cerere, la un grup comun de resurse informatice configurabile (de ex., rețele, servere,
stocare, aplicații și servicii), care poate fi furnizate rapid și eliberate cu un efort minim de gestionare
sau interacțiune cu furnizorul de servicii. […]
Discul compact (CD): Disc optic cu diametrul de 12cm utilizat pentru stocarea de informații binare.
Capacitatea formatată a acesteia este cuprinsă între 640-700 Mb și a fost utilizată, în principal,
pentru stocare audio. În cazul utilizării pentru stocarea de date generice, acesta se numește CD-
ROM.
Rețele de calculatoare: constă din conexiuni între două sau mai multe calculatoare, care sunt
conectate prin cabluri de date sau prin conectivitate wireless (fără fir). Aceste calculatoare sunt
capabile să partajeze date și alte resurse între ele. Adesea, acestea sunt dotate și cu alte componente
hardware, care să permită sfera activităților impuse rețelei.
Cookie: Cookie-urile sunt fișiere mici pe care serverul de internet le descarcă pe hard discul
calculatorului utilizatorului. Aceste fișiere conțin informații specifice care identifică utilizatorul (de
exemplu, prin intermediul parolelor și a listelor de site-uri web vizitate).
UCP: Unitatea centrală de procesare. Unitatea de calcul și de control a unui calculator. Situată în
interiorul unui calculator, aceasta este „creierul” care îndeplinește toate funcțiile aritmetice, logice
și de control ale unui calculator.
Cracker (spărgător de parole): Un cracker este o persoană care intră într-un sistem fără
autorizație, cu intenția de a provoca o formă de prejudicii sau de a obține câștiguri.
Criminalitate informatică: se referă la orice infracțiune care implică un calculator și o rețea. Este
posibil ca respectivul calculator să fi fost utilizat în săvârșirea unei infracțiuni sau acesta poate fi
ținta.
Cybersquatter: Un Cybersquatter este o persoană care își rezervă sau cumpără nume de domenii,
cu intenția de a le vinde companiilor interesate în viitor.
DAT (bandă digitală audio): Banda audio digitală utilizată pentru stocarea de materiale pe sisteme
de rezervă (back-up).
BAZĂ DE DATE: Colecție structurată de date care poate fi accesată în mai multe moduri. Programele
comune de baze de date sunt: Dbase, Paradox, Access. Utilizări: diverse, inclusiv - link-uri de adresă,
informații de facturare etc.
Date șterse: Fișierele și folderele care existau anterior în calculator ca date active, dar care au fost
șterse de atunci de sistemul de operare sau de către utilizatorul final. Datele șterse vor rămâne în
unitatea de stocare până când sunt suprascrise de un alt fișier.
Dispozitive de birou (desktop-uri): Termenul a fost adoptat ca un adjectiv pentru a face distincția
între dispozitivele de birou (cum ar fi fotocopiatoare și imprimante), care pot fi montate pe un birou
și echipamentele mai mari, care acoperă propria suprafață pe podea. Dispozitivul de birou se poate
referi, de asemenea, și la calculatorul de birou, un calculator personal conceput pentru a încăpea pe
un birou.
Suport digital: este o formă de suport electronic pe care datele sunt stocate în formă digitală (spre
deosebire de cea analogică). Acesta se poate referi la aspectul tehnic al stocării și transmiterii (de
ex. unități de hard disc sau rețea de calculatoare) informațiilor sau la „produsul final”, cum ar fi
video-ul digital, realitatea augmentată sau arta digitală.
Fotografie digitală: Fotografia digitală este o formă de fotografie care utilizează o serie de senzori
sensibili la lumină pentru a captura imaginea focalizată de obiectiv, (din Wikipedia)
Disc Video Digital (DVD): Disc Digital Versatil (video). În prezent, succesorul natural al CD-ului
pentru reproducerea sunetului și imaginii de calitate.
Dischete brevetate: Aplicațiile IT dezvoltate, în mod expres, pentru a ține pasul cu funcționalitățile
și funcționarea companiei care le utilizează și care, în general, nu sunt disponibile pentru
achiziționare pe piața deschisă.
Discheta: Formă a suportului de stocare, care devine mai puțin utilizată, care constă dintr-o bucată
circulară de material magnetic într-o cutie/carcasă din plastic.
DNS: Sistemul de nume de domeniu (DNS). Transformă numele unui domeniu, de exemplu
www.cybex.es, în adresa IP unde se află localizat serverul pe care îl căutați.
Stații de andocare: Dispozitiv la care poate fi atașat un calculator portabil (de ex., calculator
portabil, calculator portabil mic) pentru a fi utilizat ca un calculator de birou, având de obicei un
Numele de domeniu: Sistemul de nume de domeniu (DNS) este un sistem de denumire ierarhic
distribuit pentru calculatoare, servicii sau orice resursă conectată la internet sau o rețea privată.
Acesta asociază diverse informații cu nume de domeniu alocate fiecăreia dintre entitățile
participante. Un Serviciu de nume de domeniu rezolvă interogări pentru nume de domeniu (care
sunt mai ușor de înțeles și de utilizat la accesarea internetului) în adrese IP în scopul localizării
serviciilor și dispozitivelor informatice în întreaga lume. O analogie des utilizată pentru a explica
sistemul de nume de domeniu este că servește ca agendă telefonică pentru internet, prin traducerea
numelor de gazdă pentru calculator prietenoase cu oamenii, în adrese IP. De exemplu, numele de
domeniu www.example.com se traduce în adresele 192.0.43.10 (IPv4) și 2620:0:2d0:200::10
(IPv6).
Modem USB: este o componentă hardware de mici dimensiuni, care se conectează într-un conector
electric al unui calculator și servește drept „cheie” electronică pentru un program software;
programul va rula numai atunci când modemul USB este conectat. Termenul „de „modem USB” a
fost utilizat inițial pentru a se referi numai la modemurile USB de protecție a software-ului; cu toate
acestea, în prezent „modem USB” este adesea utilizat pentru a face referire la orice piesă mică de
hardware care se conectează la un calculator. Acest articol este limitat ca sferă de aplicabilitate la
modemurile USB utilizate în scopul protejării copiilor sau autentificării software-ului care urmează a
fi utilizat pe sistemul respectiv.
DropBox: este un serviciu de găzduire de fișiere operate de Dropbox, Inc., care oferă stocare în
cloud, sincronizare a fișierelor și software client.
Protocolul de configurare dinamică a gazdei (DHCP): este un protocol utilizat pentru atribuirea
automată a unui grup de adrese IP unui grup de dispozitive.
Probe electronice: Probele electronice sunt informații generate, stocate sau transmise utilizând
dispozitive electronice, care pot fi invocate în instanță. Pentru a garanta că probele sunt acceptate
Virus prin e-mail: Virușii nu pot călători în mesajele de e-mail, deoarece utilizează un format de 7
biți pentru a transfera textul. Singurul mod prin care pot călători este prin fișiere binare, care sunt
trimise ca atașamente, cu mesajul text. Se recomandă să verificați aceste fișiere cu un antivirus
înainte de a le deschide.
Criptare: Metoda de bruiere și codificare a datelor. Utilizată pentru a converti textul simplu în text
cifrat (prin folosirea unui parametru matematic numit cheie criptografică) pentru a împiedica pe
oricine, în afară de destinatarul intenționat, să citească aceste date.
Date de mediu: Se referă, în ansamblu, la datele care nu sunt active pe sistemul IT. Datele de
mediu includ: Date găsite în zone neutilizate sau nealocate, Date găsite în spațiul de fișier „Liber” și
Date de fișiere care au fost șterse, care nu sunt vizibile prin utilizarea instrumentelor sistemului de
operare.
Metadate EXIF: Formatul Interschimbabil pentru Fișiere Imagine (Exif) este un standard care
specifică formatele pentru imagini, sunet și etichete auxiliare, utilizate de aparatele de fotografiat
digitale (inclusiv telefoanele inteligente), scanere și alte sisteme care gestionează fișiere de imagine
și sunet înregistrate de aparate de fotografiat digitale. În mod obișnuit, există multe informații care
pot fi descoperite în metadatele EXIF, de ex. ora, data și locul, când și unde a fost realizată o
fotografie și ce model de aparat de fotografiat cu care a fost utilizată configurația.
EXT4: sau al patrulea sistem de fișiere extins este un sistem de fișiere de jurnalizare pentru
Linux, dezvoltat ca succesor al EXT3.
Unități de hard disc externe: Unitățile de hard disc externe sunt un tip de suport de stocare
extern. Unitățile de hard disc externe moderne constă dintr-o carcasă, ce oferă conectivitate prin
intermediul USB, Firewire, eSATA și/sau Thunderbolt și un hard disc obișnuit de 2,5 ”sau 3,5” sau
SSD, care se află în interiorul carcasei. În mod obișnuit, unitățile de hard disc externe pot stoca o
cantitate mai mare de date în comparație cu unitățile de memorie USB sau cardurile SD.
FAT (Tabel de alocare fișiere): este numele unei arhitecturi informatice de sisteme de fișiere și a
unei familii de sisteme de fișiere standard din industrie care o utilizează. Sistemul de fișiere FAT este
relativ simplu, dar robust. Acesta oferă performanțe rezonabil de bune chiar și în cazul
implementărilor ușoare și, prin urmare, este adoptat și susținut pe scară largă de practic toate
sistemele de operare existente pentru calculatoarele personale. Aceasta îl face un format adecvat
pentru schimbul de date între calculatoare și dispozitive de aproape orice tip și vârstă, de la începutul
anilor 1980, până în prezent.
FireWire: O magistrală serială de mare viteză, care permite conectarea a până la 63 de dispozitive.
Widelz utilizat pentru descărcarea videoclipurilor de pe camerele video digitale pe calculator.
Carduri flash: sunt dispozitive pentru stocarea informațiilor digitale. Acestea sunt adesea utilizate
în multe dispozitive electronice, precum aparate de fotografiat digitale, telefoane mobile,
calculatoare portabile, playere audio și console de jocuri. Acestea au capacitatea de a reține datele
fără alimentare și sunt disponibile într-o varietate de capacități, ceea ce înseamnă că pot stoca
volume uriașe de date, care pot fi ușor se ascuns vederii.
DVD-uri criminalistice de pornire: DVD-le criminalistice sunt DVD-uri care sunt bootabile și conțin
un sistem de operare care conține un software pentru a efectua activități de criminalistică digitală.
Pe lângă faptul că oferă doar instrumentele criminalistice, aceste DVD-uri de pornire iau măsuri
pentru a preveni operațiunile de scriere neintenționate, pe oricare dintre suporturile de stocare
atașate.
FQDN (Nume de domeniu complet calificat): uneori denumit și nume de domeniu absolut, este
un nume de domeniu care specifică locația sa exactă în ierarhia arbore a Sistemului de nume de
domeniu (DNS). Acesta specifică toate nivelurile de domeniu, inclusiv domeniul de nivel superior și
zona rădăcină. Un nume de domeniu complet calificat se remarcă prin lipsa de ambiguitate; acesta
poate fi interpretat doar într-un singur fel.
Date fragmentate: Datele fragmentate sunt date active, care au fost împărțite și stocate în diferite
locații fizice de pe hard disc.
FTK Imager: FTK Imager este un software polivalent al Access Data Inc. Acesta este gratuit și este
capabil să genereze imagini, să verifice, să convertească și să introducă informații pe hard discuri și
FTP (Protocol de transfer de fișiere): Protocol de internet care permite transferul fișierelor /
datelor între calculatoare conectate prin internet.
Google AdSense: este un program executat de Google Inc., care permite editorilor din Rețeaua
Google a site-urilor de conținut să servească automat text, imagine, video și reclame media
îmbunătățite, care vizează conținutul și audiența site-ului. Aceste reclame sunt administrate, sortate
și întreținute de Google și pot genera venituri fie pe clic, fie pe afișare.
GPS: GPS-ul (Sistem de poziționare globală) este o „constelație” de 24 de sateliți bine distanțați,
care orbitează Pământul și fac posibil ca persoanele care dețin receptoare la sol, să își identifice
locația geografică. Precizia locației este oriunde de la 100m la 10m pentru majoritatea
echipamentelor. Dispozitivele GPS pot furniza informații cu privire la călătoriile anterioare cu ajutorul
informațiilor referitoare la destinație, puncte de parcurs și rute.
Spărgător de coduri (hacker): Persoană care are cunoștințe minuțioase despre funcționalitatea
calculatoarelor și rețelelor, care le permite să profite de erorile și deficiențele existente în securitatea
sistemelor menționate.
Hard disc: Disc metalic acoperit cu un strat feromagnetic de inscripționare. Realizând o analogie cu
un disc de vinil, laturile plane ale discului sunt stratul de ardere, brațul plăcii turnante este brațul
laser, iar acul de pe brațul cu placă turnantă este fasciculul laser care citește / scrie informațiile. Un
utilizator poate scrie, șterge sau re-scrie pe discurile magnetice ca în cazul benzii audio.
Unități de hard disc: Unitățile de hard disc sunt dispozitivele majore de stocare din sistemele
informatice. Acestea constă dintr-o placă de circuit, date și conexiuni de alimentare, împreună cu
platane interne de ceramică, metal sau sticlă încărcate magnetic, care stochează datele. Nu este
neobișnuit să se descopere hard discuri care nu sunt conectate la un sistem informatic sau instalate
în acesta.
Hardware: Componentele fizice care alcătuiesc un sistem informatic, cum ar fi tastatura, monitorul
și mouse-ul.
Farsă: Termen utilizat pentru a defini zvonuri false, în special despre virușii inexistenți răspândiți în
rețea. Uneori acestea sunt reușite și provoacă la fel de multe prejudicii ca un virus real.
HTTP (Protocol de transfer de hipertext): HTTP este un protocol cu agilitatea și viteza necesare
pentru a distribui și trata sistemele de informații multimedia pe internet. O caracteristică a HTTP
este independența în vizualizarea și reprezentarea datelor, permițând construirea sistemelor
independent de dezvoltarea de noi progrese în ceea ce privește reprezentarea datelor.
HTTP-uri: Protocol HTTP securizat. Cele 2 caracteristici principale sunt codificarea și autentificarea.
Prin intermediul codificării, se ascunde conținutul comunicării serverului către terț. Autentificarea
permite utilizatorilor să știe că serverul este de bună credință cu utilizarea semnăturilor certificate
prin Certificarea Autorității.
Copie criminalistică: O copie exactă (bit cu bit) a unității de stocare a unui sistem IT utilizat într-
o investigație criminalistică.
Distribuitoarele de rețea (hub-uri): Un loc de convergență într-o rețea, în care datele sosesc
dintr-una sau mai multe direcții și sunt transmise într-una sau mai multe alte direcții. De obicei,
funcționează ca un releu multiport prin generarea unui număr de ieșiri identice, dintr-o singură
intrare (ieșiri = intrări). Un distribuitor de rețea poate include un comutator de un anumit fel (adaptat
de la).
Memorie I ROM: ROM înseamnă memorie care poate fi doar citită. Memoria semiconductorului,
care nu poate fi suprascrisă și menține informațiile stocate intacte, inclusiv în cazul pierderii
alimentării cu energie. ROM-ul este utilizat pentru stocarea configurației sistemului sau a
programului de la pornirea calculatorului.
ICQ: este un program de calculator pentru mesagerie instantanee, care a fost dezvoltat și
popularizat pentru prima dată de către compania israeliană Mirabilis, apoi cumpărat de America
Online, și din aprilie 2010, deținut de Mail.ru Group. Numele ICQ este un omofon pentru expresia
„te caut” (în limba engleză, „I seek you”, adică „ICQ”). Aceasta este o adaptare a apelului de cod
Morse „CQ”, care înseamnă „apelarea oricărei stații”.
Infraroșu: Tehnologia wireless infraroșu este utilizată pentru comunicații și control pe distanțe
scurte și medii, într-o varietate de aplicații (de ex., rețele locale fără fir, legături între calculatoare
portabile mici și calculatoare de birou, modemuri fără fir, detectoare de intruziune). Infraroșul se
referă la energia din regiunea spectrului de radiații electromagnetice la lungimi de undă mai lungi
decât cele ale luminii vizibile, dar mai scurte decât cele ale undelor radio.
Interfața „Gnome”: Este interfața de utilizator principală a mediului desktop GNOME utilizată de
o varietate de distribuții Linux diferite. Aceasta oferă funcționalități de bază, precum trecerea între
ferestre și lansarea aplicațiilor. Aceasta înlocuiește Panoul GNOME și alte componente software ale
GNOME 2, pentru a oferi o experiență de utilizator, care se desprinde de modelul anterior de
metaforă desktop, utilizată în versiunile anterioare ale GNOME.
Acces la internet: este mijlocul prin care terminalele, calculatoarele, dispozitivele mobile, și rețelele
locale individuale sunt conectate la internetul global. Accesul la internet este, de obicei, vândut de
furnizorii de servicii de internet (FSI) care utilizează multe tehnologii diferite, oferind utilizatorului
final o gamă largă de rate de date.
Istoricul navigării pe Internet: Software-ul care este conceput pentru a naviga site-uri web
precum Apple Safari, Google Chrome, Microsoft Internet Explorer, Mozilla Firefox etc, salvează
adesea istoricul site-urilor web care au fost vizitate de către utilizatorii unui sistem informatic. Scopul
principal al acestor fișiere de jurnalizare sau baze de date de istoric este de a permite utilizatorului
să aleagă cu ușurință site-uri web care au fost vizitate recent sau foarte des. Pentru examinatorii
criminaliști, istoricul navigării pe internet salvat de browsere poate fi o sursă valoroasă pentru
găsirea de probe.
Furnizor de servicii de internet (FSI): este o organizație care oferă acces la internet. Furnizorii
de servicii de internet pot fi fie proprietate comunitară și non-profit, fie proprietate privată și pentru
profit.
Internet: Rețea globală de date bazată pe protocolul TCP/IP, care sunt utilizate pentru
interconectarea calculatoarelor și, ca atare, transportul diverselor servicii, cele mai populare fiind
serviciile de e-mail, web și FTP.
Adresă IP: Lanț de 4 numere separate prin zecimale care sunt utilizate pentru a reprezenta și
identifica un calculator pe internet. FSI-le alocă IP-uri automat atunci când ne conectăm la internet.
FSI (Furnizor de servicii de internet): Organizație care oferă conexiune la internet pentru
calculatoarele care sunt linii sau comutatoare dedicate. O entitate care face profit, care, pe lângă
Sistem IT: Un sistem informațional (SI) - sau peisajul aplicațiilor - este orice combinație de
tehnologia informației și activități ale oamenilor, care sprijină operațiunile, managementul și luarea
deciziilor. Într-un sens foarte larg, termenul sistem informațional este frecvent utilizat pentru a face
referire la interacțiunea dintre oameni, procese, date și tehnologie. În acest sens, termenul este
utilizat pentru a se referi nu numai la tehnologia informației și comunicațiilor (TIC), pe care o
organizație o folosește, ci și la modul în care oamenii interacționează cu această tehnologie pentru
a sprijini procesele de afaceri.
JAVA: Java este un limbaj orientat către obiecte și dezvoltat de către Sun Microsystems. Acesta se
aseamănă cu C, C ++ și Objective C. Bazându-se pe alte limbaje orientate spre obiecte, Java
utilizează cele mai bune părți ale celorlalte și elimină punctele cele mai puțin eficiente. Obiectivul
principal al Java a fost de a crea un limbaj care să aibă capacitatea de a fi executat într-un mod
sigur pe internet (deși codul a fost scris în sens distructiv). Această caracteristică necesită eliminarea
multor utilizări și construcții C și C ++. Cel mai important este că nu există indicii. În Java, programul
nu poate accesa în mod arbitrar adrese de memorie.
LACNIC (Centrul de informare al rețelei din America Latină și Caraibe): este Registrul
regional de internet pentru regiunile din America Latină și Caraibe. LACNIC oferă servicii de alocare
și înregistrare a resurselor de numere, care susțin funcționarea globală a internetului. Acesta este o
organizație non-profit, bazată pe membri, ai cărei membri includ Furnizori de servicii de internet și
organizații similare.
LAN: Rețea locală. Un nume obișnuit pentru tehnologiile de stabilire de rețele, standardizat de IIEE
(Institutul de Inginerie Electrică și Electronică).
CONFIGURARE LAN Topologie LAN, precum Ethernet sau rețea de tip token ring, sau adrese MAC,
precum adresa Ethernet (MAC: Control acces mediu, o parte a nivelului legăturii de date din modelul
OSI cu șapte niveluri).
Linux: este un sistem de operare pentru calculator de tip Unix asamblat conform modelului de
dezvoltare și distribuție de software liber și cu sursă deschisă. Componenta definitorie a Linux este
nucleul Linux („kernel”), un nucleu de sistem de operare lansat pentru prima dată la 5 octombrie
1991 de către Linus Torvalds.
Sistem informatic Live: Un sistem informatic Live este un sistem informatic care este pornit.
Criminalistica datelor Live: Criminalistica datelor Live este o parte a investigării criminalistice a
calculatoarelor, care este o ramură a criminalisticii digitale referitoare la probele juridice descoperite
în calculatoare. Investigarea criminalistică a calculatoarelor se ocupă cu examinarea sistemelor
informatice într-o manieră solidă din punct de vedere criminalistic, cu scopul de a identifica, păstra,
recupera, analiza și prezenta fapte care ar putea deveni probe în cadrul unui proces. Criminalistica
datelor Live urmează acest obiectiv, dar se axează numai pe sistemele informatice care sunt
Jurnal Registrul evenimentelor determinate generate de sistemul sau aplicație de operare, cu privire
la o anumită perioadă de timp. Jurnalele pot fi utilizate de auditori externi pentru înregistrarea /
reconstrucția utilizării calculatorului sau a aplicației.
Rețele LTE: LTE Advanced este un standard de comunicații mobile, prezentat oficial ca sistem 4G
candidat, către ITU-T, la sfârșitul anului 2009, a fost aprobat în UIT, Uniunea Internațională a
Telecomunicațiilor, IMT-Advanced și a fost finalizat de 3GPP în martie 2011. Acesta este standardizat
prin Proiectul de parteneriat pentru generația a treia (3GPP), ca o îmbunătățire majoră a
standardului de Evoluție pe termen lung (ETL).
Adresa MAC (Control acces media): Cunoscut, de asemenea, și sub numele de adresă hardware
sau Ethernet. Un identificator unic specific cardului de rețea din interiorul unui calculator. Permite
serverului DHCP să confirme că computerului i se permite accesul în rețea. Adresele MAC sunt scrise
sub forma XX-XX-XX-XX-XX-XX, unde X-urile reprezintă cifre sau litere de la A la F.
Macro virus: Prezentarea finală a virusului. Aceștia sunt transportați în fișierele aplicațiilor (Word,
Excel etc.) și nu în fișiere binare (așa cum sunt virușii tradiționali). Aceștia sunt executați la
deschiderea fișierului de date în care sunt conținuți.
Coduri ostile: Software rău intenționat. Orice program al cărui obiectiv este de a provoca pagube
calculatoarelor, sistemelor sau rețelelor și, în consecință, utilizatorilor acestora.
Memorie cache: Un tip de memorie care stochează temporar informațiile care sunt utilizate
frecvent, pentru a permite accesul rapid la aceste date.
Carduri de memorie: sunt dispozitive pentru stocarea informațiilor digitale. Acestea sunt adesea
utilizate în multe dispozitive electronice, precum aparate de fotografiat digitale, telefoane mobile,
calculatoare portabile, playere audio și console de jocuri. Acestea au capacitatea de a reține datele
fără alimentare și sunt disponibile într-o varietate de capacități, ceea ce înseamnă că pot stoca
volume uriașe de date, care pot fi ușor de ascuns vederii.
Metadate: Metadatele sunt informații referitoare la o combinație de fișiere și / sau foldere, care pot
descrie, de exemplu, cum și când a fost creată, recepționată, accesată și modificată, și de către cine.
Aceste date sunt utilizate în Investigarea criminalistică a calculatoarelor pentru a reconstrui lanțul
de evenimente asociate fișierului analizat. În funcție de contextul în care este utilizat termenul,
acesta se poate referi la o informație sau la alta.
Minicalculatoare: este un termen pentru o clasă de calculatoare mai mici, care a evoluat la mijlocul
anilor '60 și s-au vândut pentru mult mai puțin decât calculatoarele mainframe și de dimensiuni
mijlocii de la IBM și concurenții direcți ai acestuia.
Sisteme modulare montate pe rack: Sistemele modulare instalate în rack sunt sisteme
informatice care sunt găzduite într-un rack și deseori sunt construite într-un mod modular, care
permite înlocuirea instantanee a fiecărui modul hardware, fără a avea impact negativ asupra
întregului sistem. De obicei, aceste rafturi pot găzdui mai multe sisteme informatice cu factor de
formă de 19”.
Carduri de interfață de rețea: Oferă conexiune la rețea (fie cu cablu, fie fără fir). Poate fi sub
forma unei plăci de expansiune sau a unui card pentru calculatoare personale.
NTFS (sistem de fișiere de tehnologie nouă): este un sistem de fișiere proprietar dezvoltat de
Microsoft Corporation pentru linia sa de sisteme de operare Windows, începând cu Windows NT 3.1
și Windows 2000, inclusiv Windows XP, Windows Server 2003, și toți succesorii acestora până în
prezent.
Furnizor de servicii online: poate fi, de exemplu, un furnizor de servicii de internet, furnizor de
e-mail, furnizor de știri (presă), furnizor de divertisment (muzică, filme), căutare, site de
cumpărături electronice (magazine online), site de e-finance sau e-banking, site e-health, site e-
government, Wikipedia, Usenet. În definiția sa inițială, mai limitată, acesta s-a referit doar la un
serviciu comercial de comunicare computerizată, în cadrul căruia membrii plătiți puteau să apeleze
prin intermediul unui modem de calculator, rețeaua de calculatoare privată a serviciului și să
acceseze diverse servicii și resurse informaționale, cum ar fi buletine informative, fișiere și programe
care pot fi descărcate, articole de știri, camere de discuții și servicii de poștă electronică.
P2P-Peer to Peer: Protocol care utilizează internetul pentru schimbul și descărcarea de fișiere.
Termenul P2P provine de la peer-to-peer („ de la omolog la omolog”) și se referă la o rețea de egali,
ceea ce înseamnă că statutul fiecărui client este același. Existența serverelor în aplicația practică a
rețelelor P2P se datorează faptului că clienții săi nu dețin adrese IP fixe. În consecință, aceste servere
oferă doar o listă de clienți și căutări de fișiere.
Pagere: Un pager este un dispozitiv care poate fi utilizat pentru a trimite și a primi mesaje
electronice, numerice (de ex., numere de telefon) și alfanumerice (text, adesea inclusiv e-mail)
Modem USB cu port paralel: Un dispozitiv mic cu conector de port paralel, care poate furniza
memorie programabilă, actualizare la distanță, algoritmi de control a închirierii sau calculatoare.
Partiții: este actul de a împărți o unitate de hard disc în mai multe unități de stocare logice,
denumite partiții, pentru a trata o unitate fizică de hard disc, ca și cum ar fi mai multe discuri.
Partițiile mai sunt denumite și „felii” pentru sistemele de operare bazate pe BSD, Solaris sau GNU
Hurd. Un program software editor de partiții poate fi utilizat pentru a crea, redimensiona, șterge și
manipula aceste partiții pe hard disc.
Phishing: Tehnica de înșelăciune care combină ingineria socială cu anumite trucuri tehnice, cu
obiectivul de a fura informații bancare personale de la un utilizator individual. Atacurile de phishing
iau, în mod inteligent, aspectul de e-mailuri din partea unei entități de încredere, care solicită detalii
bancare sau parole ale utilizatorului.
Phreaker sau Phreak: Pirați IT specializați în utilizarea rețelelor telefonice pentru a accesa
sistemele altor persoane sau, adesea, doar pentru a evita plata facturilor telefonice. Tehnicile
utilizate de Phreaker-și sunt cunoscute, în mod obișnuit, sub denumirea de phreaks.
Replicatoare de porturi: Un dispozitiv care conține porturi de calculator personal comune, cum ar
fi porturile seriale, paralele și de rețea, care se conectează la un calculator portabil. Un replicator de
porturi este similar unei stații de andocare, dar stațiile de andocare oferă, în mod normal, capabilități
pentru plăci de expansiune suplimentare.
Playere media portabile: stochează și redau suporturi digitale, cum ar fi muzică și alte materiale
audio, imagini, video, precum și alte fișiere, inclusiv documente și alte tipuri de unități care pot fi
stocate digital.
Proxy: În rețelele de calculatoare, un server proxy este un server (un calculator sau o aplicație)
care acționează ca un intermediar pentru solicitările din partea clienților care caută resurse de pe
alte servere. Un client se conectează la serverul proxy solicitând un serviciu, cum ar fi un fișier,
conexiune, pagină web sau alte resurse disponibile de la un server diferit. Serverul proxy evaluează
Qwerty: este cea mai frecventă configurație de tastatură din zilele noastre.
Memorie RAM: RAM înseamnă Memorie cu acces aleator. Memoria RAM stochează temporar datele
cu care lucrează calculatorul. Această memorie își pierde conținutul ca urmare a unei pierderi de
energie.
Date recuperate: Termenul care identifică fișierele sau folderele recuperate sau reconstruite, care
au fost șterse din zona de date activă. Aceste fișiere pot fi recuperate cu dimensiunea și formatul
original sau în fragmente mici care vor necesita o sarcină de reconstrucție criminalistică.
Refuzul serviciului: Incident în care unui utilizator sau unei organizații i se refuză accesul la o
resursă, pe care, în mod normal, o poate utiliza. De obicei, pierderea accesului se datorează
indisponibilității unui anumit serviciu de rețea, cum ar fi e-mail, sau pierderii temporare a tuturor
conexiunilor și serviciilor de rețea. De exemplu, în cel mai rău caz, un site web în care accesul a
milioane de persoane poate fi forțat să își înceteze temporar funcționarea. Deși, în mod normal,
intenționate și rău intenționate, aceste tipuri de atacuri se produc uneori accidental. Dacă aceste
atacuri nu au întotdeauna ca rezultat furtul de informații, aproape invariabil acestea costă mult timp
și bani pentru persoana sau organizația afectată.
Inginerie inversă: Constă în analiza codului binar al unui program sau aplicații, pentru a determina
comportamentul acestuia.
RIPE Réseaux IP Européens (RIPE, termenul în limba franceză pentru „Rețele IP Europene”):
este un forum deschis tuturor părților interesate de dezvoltarea tehnică a internetului. Obiectivul
comunității RIPE este să asigure continuarea coordonării administrative și tehnice necesare pentru
menținerea și dezvoltarea internetului. Nu este o organizație de standardizare precum IETF și nu se
ocupă de nume de domeniu precum CINNA.
Routere: este un dispozitiv care determină următorul punct de rețea că un pachet trebuie
redirecționat către destinația sa. Trebuie să fie conectat la cel puțin 2 rețele. Este inteligent și
funcționează pe tabele de rutare. Deși este localizat la poarta de acces către o rețea, nu trebuie să
fie, în mod necesar, poarta de acces a rețelei la internet.
Planificator: este metoda prin care thread-urile, procesele sau fluxurile de date au acces la
resursele sistemului (de ex., timpul procesorului, lățimea de bandă a comunicațiilor). Acest lucru se
realizează, de obicei, pentru a distribui sarcina unui sistem, în mod efectiv, sau pentru a atinge o
anumită calitate a serviciilor. Necesitatea unui algoritm de planificare apare din exigența ca
majoritatea sistemelor moderne să fie multifuncționale (să executa mai multe procese simultan) și
să efectueze multiplexarea (să transmită mai multe fluxuri simultan).
Hash SHA-256: este un set de funcții hash criptografice (SHA-224, SHA-256, SHA-384, SHA-
512) conceput de Agenția Națională de Securitate (NSA) și publicat în 2001 de NIST ca Standard
Spațiu liber: Spațiul liber este o zonă de spațiu pe dispozitivele de stocare, ce este alocat unei
anumite unități, de ex. un fișier, o partiție, un disc, o înregistrare MFT, dar nu este utilizat de această
unitate. De multe ori, un specialist criminalist poate găsi date aparținând fișierelor stocate anterior,
în aceste spații libere. De exemplu, dacă un cluster este alocat unui fișier nou creat, dar datele
acestui fișier nu utilizează întregul cluster, atunci există o șansă bună de a găsi urme ale unui fișier
stocat anterior, în spațiul liber al clusterului.
Inginerie socială: Tehnici sau abilități ce permit manipularea unei persoane, care desfășoară, în
mod voluntar, acțiuni, pe care nu le-ar face, în mod normal, cum ar fi dezvăluirea de informații.
Program software: Programe de calculator concepute pentru a îndeplini sarcini specifice, cum ar
fi procesarea textelor, contabilitate, administrarea rețelei, dezvoltarea de site-uri web, gestionarea
fișierelor sau gestionarea stocurilor.
Discuri în stare solidă: acestea stochează informații într-un mod diferit față de hard discuri, în
timp ce intenționează să ofere acces în același mod ca și hard discurile tradiționale. În timp ce hard
discurile stochează date pe platane, discurile în stare solidă stochează date utilizând microcipuri,
care nu au părți mobile. Ca atare, acestea sunt mai puțin susceptibile a fi deteriorate în cazul unor
șocuri și oferă acces mai rapid la date. Aceste dispozitive pot conține dovezi valoroase.
Magneți pentru difuzor: Difuzoarele obișnuite constă într-un magnet, o bobină și un con. Magnetul
difuzorului este prezent pentru a asigura un câmp magnetic permanent bobinei difuzorului, care este
încorporată în hârtia conului difuzorului. Când semnalul audio curge, bobina difuzorului generează
un câmp magnetic redus a cărui rezistență variază proporțional cu puterea semnalului audio. Acest
câmp magnetic redus este respins sau atras de câmpul magnetic permanent produs de magnetul
difuzorului.
Dispozitivele tabletă: Un calculator tabletă este un dispozitiv care este operat mai degrabă prin
atingerea ecranului, decât prin utilizarea unei tastaturi sau a unui mouse. În mod normal, acesta
este mai mare decât un telefon mobil sau un asistent personal digital
TrueCrypt: este o aplicație software gratuită utilizată pentru criptarea în timp real („on-the-fly”)
(OTFE). Aceasta poate crea un disc virtual criptat într-un fișier sau cripta o partiție sau (în Microsoft
Windows cu excepția Windows 2000) întregul dispozitiv de stocare (autentificare înainte de pornire).
Modul de platformă de încredere (TPM): Cel mai frecvent, conceptul de TPM este aplicat într-un
criptoprocesor TPM, cunoscut ca cip TPM. Acest cip, care este responsabil pentru efectuarea sarcinilor
TPM este sudat pe placa de bază a unui sistem informatic. Scopul principal al unui TPM este de a
asigura integritatea unei platforme. În acest context, „integritate” înseamnă „comportament
conform destinației” și o „platformă” este, generic, orice platformă de calculator: Porniți procesul de
pornire prin activare de la o condiție de încredere și extindeți această încredere până când sistemul
de operare s-a pornit complet și aplicațiile rulează. De asemenea, TPM este deseori utilizat în
combinație cu criptarea discului, de ex. Criptarea completă a discului, Truecrypt sau Bitlocker, unde
aceasta este utilizată pentru a proteja tastele utilizate pentru a cripta hard discurile calculatorului și
pentru a oferi autentificarea integrității pentru o cale de pornire de încredere.
Ubuntu Linux: este un sistem de operare pentru calculatoare bazat pe distribuția Linux Debian și
distribuit ca software liber și cu sursă deschisă, care utilizează propriul mediu desktop. Acesta este
denumit după filosofia sud-africană ubuntu („umanitate față de ceilalți”). Ubuntu este conceput, în
principal, pentru a fi utilizat pe calculatoarele personale, deși există, de asemenea, și o ediție pentru
servere.
Unix: este un sistem de operare pentru calculatoare, multifuncțional, cu utilizatori multipli, dezvoltat
inițial în anul 1969.
Binare nesigure: Termenul „binar nesigur” este cel mai adesea utilizat în relație cu fișiere binare
executabile, care sunt stocate sau copiate dintr-o sursă nesigură. Orice sursă care nu poate fi
verificată sau nu a fost supusă unor proceduri de validare bine definite și stricte, poate conține un
cod sursă alterat sau chiar dăunător și, prin urmare, trebuie să fie considerat ca fiind nesigur. Un
exemplu tipic pentru binarele nesigure sunt fișierele executabile, care sunt stocate pe un alt sistem
decât mașina validată a specialistului criminalist.
Date din zona neutilizată sau nealocată: Date care sunt stocate, în prezent, în zona de disc care
nu aparține unui fișier; restul documentelor digitale șterse.
UTorrent: este un client BitTorrent freeware, cu sursă închisă deținut acum de BitTorrent, Inc.
Acesta este cel mai larg utilizat client BitTorrent în afara Chinei (unde Xunlei este mai popular).
Acesta primește „µ” în numele său de la prefixul SI „micro-”, care face referire la amprenta de
memorie redusă a programului: programul a fost conceput să utilizeze resurse informatice minime,
oferind, în același timp, funcționalități comparabile clienților BitTorrent mai mari, precum Vuze sau
BitComet. Programul a primit, în mod constant, recenzii bune pentru setul său de funcții,
performanța, stabilitatea și suportul său privind componentele hardware și versiunile Windows mai
vechi.
Mediu virtual: Simularea computațională a unui mediu de lucru format prin interconectarea mai
multor calculatoare, care permite accesul la informații digitale, independent de locația fizică a
acestora.
Virus: Program care poate infecta alte programe, modificându-le pentru a include o copie a sa.
Practic, virușii au funcția de propagare și replicare, dar există, de asemenea, și unii care au conținut
nociv (sarcină), cu obiective diferite, de la o simplă glumă, până la cauzarea de prejudicii grave
asupra sistemelor. Aceste tipuri de programe pot funcționa în diverse moduri: Doar notificând
utilizatorul cu privire la prezența sa, fără a provoca prejudicii aparente, Încercarea de a trece
neobservat pentru a provoca cele mai multe prejudicii posibile sau Preluarea funcțiilor principale
(pentru a infecta sistemul de arhivare).
VoIP: Voce peste Protocol de Internet. Tehnologia utilizată pentru a transmite conversații vocale
printr-o rețea de date utilizând Protocolul Internet. Rețeaua de date poate fi internetul sau un
internet corporativ.
Date volatile: Datele volatile sunt date stocate digital într-un mod în care probabilitatea este foarte
mare ca conținutul acestora să fie șters, suprascris sau modificat într-o perioadă scurtă de timp, din
cauza interacțiunii umane sau automate.
Warez: Copii piratate ale programelor. Versiuni protejate de software cărora le-a fost îndepărtată
protecția.
Browser web: Un browser web poate fi definit, de asemenea, și ca un software sau program de
aplicație conceput pentru a permite utilizatorilor să acceseze, să recupereze și să vizualizeze
documente și alte resurse pe internet.
Windows Explorer: este o aplicație manager de fișiere care a fost inclusă în versiunile sistemului
de operare Microsoft Windows, începând de la Windows 95 până în prezent. Aceasta oferă o interfață
grafică de utilizator pentru accesarea sistemelor de fișiere. Aceasta este, de asemenea, și
componenta sistemului de operare care prezintă multe elemente de interfață cu utilizatorul pe
monitor, cum ar fi bara de activități și desktop-ul. Controlul calculatorului este posibil fără ca
Windows Explorer să funcționeze (de exemplu, comanda Fișier | Executare din Managerul de
Modemuri wireless (fără fir): Un modem wireless este un tip de modulator-demodulator care se
conectează la o rețea wireless, în loc să utilizeze linii de telefonie sau televiziune prin cablu. Un
utilizator de internet mobil se poate conecta utilizând un modem wireless la un Furnizor de servicii
de internet wireless (FSI) pentru a obține acces la internet.
WireShark: este un analizor de pachete gratuit și cu sursă deschisă. Acesta este utilizat pentru
depanări de rețea, analiză, dezvoltarea de software și protocol de comunicații și educație. Denumit
inițial Ethereal, în mai 2006, proiectul a fost redenumit Wireshark din cauza problemelor de marcă
înregistrată.
Rețele WLAN: rețeaua wireless locală (WLAN) conectează două sau mai multe dispozitive utilizând
o anumită metodă de distribuție wireless (de obicei, spectru de propagare sau radio OFDM) și, de
obicei, furnizează o conexiune printr-un punct de acces la internetul mai larg. Acest lucru oferă
utilizatorilor mobilitatea de a se deplasa într-o zonă locală de acoperire și de a fi încă conectați la
rețea. Majoritatea rețelelor WLAN moderne se bazează pe standardele IEEE 802.11 comercializate
sub numele de marcă Wi-Fi.
Procesor de text: Un program software utilizat pentru a transforma calculator într-o mașină de
scris pentru cablare de scrisori, rapoarte și documente. Programe comune de procesare a textelor:
Wordstar, Wordperfect, MS-Word.
WWW (World Wide Web): Universul informațiilor accesibile în rețea, adică, toate resursele și
utilizatorii de pe internet, care utilizează Protocolul de transfer de hipertext (HTTP)
Unități ZIP: Un sistem de hard disc detașabil. O unitate ZIP este o unitate disc mică, portabilă
utilizată, în principal, pentru realizarea unor copii de siguranță și arhivarea fișierelor pe calculatorul
personal. Unitatea ZIP marcă înregistrată a fost dezvoltată și este vândută de către Iomega
Corporation. Unitățile și discurile zip sunt disponibile în două dimensiuni.
12.1 Cărți/Ghiduri
12.1.1 Internațional;
- ISO/IEC 27037: 2012: Ghid pentru colectarea, identificarea și păstrarea probelor electronice
- ISO/IEC 27041: 2015: Ghid pentru investigarea incidentelor
- ISO/IEC 27042: 2015: Ghid pentru analiza probelor digitale
- ISO/IEC 27043: 2015: Principii și procese de investigare a incidentelor
- Interpol: Ghiduri globale pentru laboratoarele de criminalistică digitală.
https://www.interpol.int/en/content/download/13501/file/INTERPOL_DFL_GlobalGuidelines
DigitalForensicsLaboratory.pdf
- Stephen Mason, Probe Electronice (ediția a 2-a, LexisNexis Butterworths, 2010)
- Stephen Mason (Editor), Probe Electronice Internaționale (Institutul Britanic de Drept
Internațional și Comparativ, 2008)
Consiliul Europei a selectat persoane cu pregătiri complementare pentru a fi autorii prezentului ghid.
Aceștia sunt:
Uwe Rasmussen; Uwe este avocat principal în cadrul departamentului de PI/IT al casei de
avocatură August & Debouzy cu sediul la Paris, unde acesta gestionează cazuri în domeniile
drepturilor de autor, drepturilor asupra bazelor de date, protecției datelor cu caracter personal și
conformității. Din 2006, a activat prin detașare la Unitatea privind infracțiunile digitale a Microsoft,
pentru a lucra la inițiative de cooperare și aplicare a legii în domeniul criminalității informatice.
Domnul Rasmussen deține diplome de drept de la Sorbona, din Paris, și de la Universitatea din
Copenhaga și a studiat drepturile de proprietate intelectuală la Universitatea Santa Clara și, în plus,
este Inginer de Sisteme Certificat Microsoft. Vorbește limbile daneză, olandeză, engleză, franceză,
germană și spaniolă.
Victor Völzow; Victor este formator în domeniul criminalisticii digitale și investigării criminalității
informatice la Academia de Poliție de Stat de la Hesse. În această funcție, este responsabil pentru
elaborarea și implementarea programei pentru examinatorii de criminalistică digitală. Pe lângă
predare, meseria sa în cadrul academiei implică, de asemenea, și furnizarea de sprijin practic și
consultanță tehnică pentru unitățile de combatere a criminalității bazate pe tehnologii avansate și
alte instituții de aplicare a legii. Victor oferă, de asemenea, cursuri de formare de nivel expert pentru
organizații precum Consiliul Europei (CE), Oficiul European de Luptă Antifraudă (OLAF), OSCE și
Europol. Acesta a acționat în calitate de vorbitor invitat la diferite universități și este implicat în
programul german de formare a experților în domeniul criminalisticii digitale la Bundeskriminalamt
(BKA). Fiind agent de poliție de aproape 20 de ani, acesta a petrecut mai mult de 12 ani în domeniul
criminalisticii digitale și al investigațiilor informatice și a acționat în calitate de martor expert în mai
multe rânduri. Pe lângă deținerea certificărilor profesionale Profesionist Certificat în Criminalistică
Informatică (CCFP - EU), Examinator Certificat EnCase (EnCE), Examinator Certificat Date de Acces
(ACE) și Hacker Etic Certificat (CEH), Victor a absolvit cu diploma universitară de master în
informatică criminalistică și investigarea criminalității informatice, la University College din Dublin,
primind în 2011 Medalia Garda Commissioner (Șeful Poliției Naționale din Republica Irlanda) pentru
cel mai bun rezultat.
Nigel Jones MBE (Master în ingineria afacerilor) FBCS; În prezent, Nigel este Director al
Technology Risk Limited, o companie specializată în soluții și formare în domeniul riscurilor
tehnologice și este profesor invitat la Universitatea Canterbury Christ Church din Anglia. De
asemenea, acesta este coordonatorul privind aplicarea legii pentru un proiect care dezvoltă o rețea
de combatere a criminalității informatice a unui centru de excelență, în domeniul formării, cercetării