C-PROC Electronic Evidence Guide 2.1 MD June 2020 Web2

GHID PRIVIND PROBELE ELECTRONICE
GHID DE BAZĂ PENTRU AGENȚI DE POLIȚIE,

PROCURORI ȘI JUDECĂTORI
Versiune 2.1
Divizia de criminalitate informatică
Direcția generală a drepturilor omului și statul de drept
Strasbourg, Franța
6 martie 2020
Prezentul ghid este rezultatul următoarelor proiecte:

CyberCrime@IPA
GLACY - Acțiunea Globală împotriva Criminalității Informatice
Cybercrime@EAP
Cybercrime@Octopus
CyberEast
Pagina 2 Ghid CoE privind Probele Electronice

Mulțumiri
Prima ediție a prezentului Ghid a fost publicată în martie 2013 în cadrul proiectului comun
CyberCrime@IPA al Consiliului Europei și al Uniunii Europene privind cooperarea împotriva
criminalității informatice în Europa de Sud-Est. Lucrările la acest document au fost coordonate de
Nigel Jones (Regatul Unit). Informații valoroase au fost primite de la experții în domeniul
criminalității informatice din țările și zonele proiectului CyberCrime@IPA, precum și de la o serie de
alți experți internaționali din Africa, Asia și Europa. Versiunile 2.0 și 2.1 ale ghidului reprezintă
actualizări pregătite de Victor Völzow (Germania) în cadrul proiectului GLACY (Versiunea 2.0) și al
proiectului CyberEast (Versiunea 2.1) al Uniunii Europene și al Consiliului Europei.
Autorii sunt:
Nigel Jones (Regatul Unit)

Esther George (Regatul Unit)
Fredesvinda Insa Mérida (Spania)
Uwe Rasmussen (Danemarca)
Victor Völzow (Germania)
CONTACT DECLINARE A RESPONSABILITĂȚII
Divizia de criminalitate cibernetică Opiniile exprimate în prezentul raport

Direcția generală a drepturilor omului și statul de drept tehnic nu reflectă, în mod necesar,
Consiliul Europei, F-67075 Strasbourg Cedex (Franța) pozițiile oficiale ale Consiliului
Europei, ale donatorilor care
Tel +33 3 9021 4506 finanțează acest proiect sau ale
Fax +33 3 9021 5650 Părților la tratatele la care se face
Email alexander.seger@coe.int referire.

Cuprins
1 Introducere ....................................................................................................... 8
1.1 Scopul Ghidului ____________________________________________________________ 8
1.2 Cui îi este destinat Ghidul? ___________________________________________________ 9
1.3 Cum trebuie utilizat Ghidul? __________________________________________________ 9
1.4 Alte instrumente __________________________________________________________ 10

1.5 Ce este proba electronică? __________________________________________________ 12
1.5.1 Caracteristicile probelor electronice _______________________________________ 12
1.5.2 Admisibilitatea probelor electronice _______________________________________ 13
1.6 De ce este important acest lucru? _____________________________________________ 14
1.7 Principiile privind probele electronice __________________________________________ 14
1.7.1 Principiul 1 - Integritatea datelor _________________________________________ 15
1.7.2 Principiul 2 - Pista de audit ______________________________________________ 15
1.7.3 Principiul 3 - Suport specializat ___________________________________________ 15
1.7.4 Principiul 4 - Formare profesională adecvată ________________________________ 16
1.7.5 Principiul 5 - Legalitatea ________________________________________________ 16
2 Sursa probelor ................................................................................................ 17
2.1.1 Dispozitive de stocare __________________________________________________ 18
2.1.2 Dispozitivele tabletă ___________________________________________________ 23
2.1.3 Telefoanemobile ______________________________________________________ 24
2.1.4 Înregistrare foto și video _______________________________________________ 25
2.1.5 Media playerele portabile _______________________________________________ 28
2.1.6 Console de jocuri video _________________________________________________ 29
2.1.7 Potențiale probe pe aceste dispozitive _____________________________________ 29
2.2 Rețelele de calculatoare ____________________________________________________ 30
2.3 Selectarea probei care trebuie capturate________________________________________ 35
2.4 De ce autorizație aveți nevoie? _______________________________________________ 35
2.5 Pregătirea și planificarea ____________________________________________________ 36
2.6 Specialiștii în domeniul criminalisticii digitale ____________________________________ 37
3 Percheziție și indisponibilizare ........................................................................ 40
3.1 Pe cine și ce se duce la fața locului ____________________________________________ 40
3.2 Securizarea locului acțiunii __________________________________________________ 43
3.3 Documentarea locului faptei _________________________________________________ 45
3.4 Percheziția și indisponibilizarea în scenariile de tip „unitate nefuncțională” ______________ 49
3.4.1 Ambalare, transport și depozitare _________________________________________ 50
3.4.2 Colectarea sistemului electronic și a dispozitivelor electronice ___________________ 52
3.4.3 Verificarea stării de alimentare (pornit/oprit) ________________________________ 54
3.4.4 Colectarea rețelei de calculatoare _________________________________________ 56
3.4.5 Componente suplimentare ______________________________________________ 57
3.4.6 Suport de stocare digital ________________________________________________ 58
3.4.7 Alte dispozitive electronice ______________________________________________ 58
3.4.8 Instrucțiuni generale de indisponibilizare pentru dispozitivele electronice __________ 59
3.4.9 Asistenți digitali personali (calculatoare de buzunar) __________________________ 60
3.4.10 Telephone, telefoane inteligente și dispozitive tabletă _________________________ 61
3.4.11 Carduri inteligente și carduri cu bandă magnetică ____________________________ 62
3.4.12 Roboți telefonici ______________________________________________________ 63
3.4.13 Aparate de fotografiat digitale ___________________________________________ 64

3.4.14 Aparatele fax ________________________________________________________ 64
3.4.15 Imprimante __________________________________________________________ 65
3.4.16 Scanere ____________________________________________________________ 65
3.4.17 Fotocopiatoare (copiatoare) _____________________________________________ 65
3.4.18 Aparate multifuncționale ________________________________________________ 66
3.4.19 Pagere _____________________________________________________________ 66
3.4.20 Dispozitive GPS și alte dispozitive de poziționare prin satelit ____________________ 66
3.4.21 Dispozitive purtabile ___________________________________________________ 66
3.4.22 Cititoare cu bandă magnetică ____________________________________________ 67
3.4.23 Sisteme pentru automobile ______________________________________________ 67
3.4.24 Internetul Obiectelor (IO) și dispozitivele inteligente pentru locuințe ______________ 68
3.5 Percheziție și indisponibilizare în cazul scenariilor cu date live _______________________ 69
3.5.1 Date volatile _________________________________________________________ 70
3.5.2 Acces fizic ___________________________________________________________ 72
3.5.3 Acces de la distanță ___________________________________________________ 84
3.5.4 Autorizarea administratorului ____________________________________________ 94
4 Captura probelor de pe internet ...................................................................... 96
O taxonomie a serviciilor web _______________________________________________________ 97
4.1 Site-uri web ca un „mashup” („amalgam”) de probe _______________________________ 98
4.2 Locație virtuală și locație fizică _______________________________________________ 99
4.2.1 Adresa IP (Protocol Internet) ____________________________________________ 99
4.2.2 Adrese IP dinamice și adrese IP statice ___________________________________ 100
4.2.3 IPv6 ______________________________________________________________ 102
4.2.4 DNS pentru Sistemul de nume de domenii _________________________________ 103
4.2.5 Identificator de resurse uniforme (URI) ___________________________________ 105
4.2.6 Înregistrări IP și DNS în investigațiile dumneavoastră online ___________________ 106
4.3 Surse de informare online __________________________________________________ 107

4.3.1 Instrumente OSINT___________________________________________________ 109
4.3.2 Site-uri Web ________________________________________________________ 109
4.3.3 Site-uri de rețele sociale _______________________________________________ 111
4.3.4 Site-uri de blogging și micro-blogging ____________________________________ 112
4.3.5 Servicii webmail _____________________________________________________ 113
4.3.6 Servicii de prescurtare URL _____________________________________________ 114
4.3.7 Rețele publicitare ____________________________________________________ 114
4.3.8 Rețele de stocare a conținutului _________________________________________ 114
4.3.9 Rețele Peer-to-Peer (P2P) de partajare a fișierelor ___________________________ 115
4.3.10 „Deep Web” („Web-ul adânc”) și „Darknet” („Internetul întunecat”) _____________ 116
4.4 Date vs. probe___________________________________________________________ 120
4.4.1 Pentru ce doriți aceste date? ___________________________________________ 120
4.4.2 Utilizați sursa _______________________________________________________ 121
4.4.3 Abordări clasice _____________________________________________________ 123
4.4.4 Abordare clasică bazată pe tehnologii avansate _____________________________ 123
4.4.5 Făcând un pas mai departe_____________________________________________ 127
4.4.6 Marcarea orei _______________________________________________________ 128
4.4.7 Crearea unui duplicat care poate fi vizualizat, al unui site web __________________ 128
4.4.8 Notar _____________________________________________________________ 128
4.4.9 Limitări ale abordărilor existente ________________________________________ 128
4.4.10 Însumând totul ______________________________________________________ 129
4.5 Anchete online sub acoperire _______________________________________________ 129
4.5.1 Riscuri tehnice ______________________________________________________ 130

5 Date deținute de terți .................................................................................... 132
5.1 Deținători independenți de date _____________________________________________ 132
5.1.1 Promovarea cooperării între deținătorii independenți de date și organele de
aplicare a legii______________________________________________________ 133
5.1.2 Păstrarea datelor ____________________________________________________ 134
5.2 Primirea de rapoarte privind infracțiunile informatice _____________________________ 135
5.2.1 Colaționarea mai multor rapoarte ale victimelor pentru a construi un caz _________ 137
5.2.2 Martorii criminalității informatice ________________________________________ 138
6 Analiza probelor ............................................................................................ 140
6.1 Criminalistică digitală _____________________________________________________ 140
6.2 Modelul procesului criminalisticii digitale _______________________________________ 143
6.3 Principii comune la analizarea probelor electronice _______________________________ 143
6.3.1 Integritatea datelor___________________________________________________ 144
6.3.2 Pista de audit _______________________________________________________ 145
6.3.3 Asistență de specialitate _______________________________________________ 145
6.3.4 Pregătire corespunzătoare _____________________________________________ 146
6.3.5 Legalitate __________________________________________________________ 148
6.4 Indicii digitale ___________________________________________________________ 148
6.5 Tipuri de analize criminalistice ______________________________________________ 149

6.5.1 Analiza sistemului de fișiere ____________________________________________ 149
6.5.2 Recuperarea fișierelor _________________________________________________ 151
6.5.3 Căutarea în sistemul de fișiere __________________________________________ 152
6.5.4 Abordarea criptării fișierelor ____________________________________________ 152
6.5.5 Analiza criminalistică a documentelor _____________________________________ 153
6.5.6 Steganografie _______________________________________________________ 154
6.5.7 Analiza criminalistică a fișierelor de jurnalizare _____________________________ 155
6.5.8 Analiza criminalistică a rețelelor _________________________________________ 156
6.5.9 Adrese IP și DNS_____________________________________________________ 156
6.6 Servicii conectate pe dispozitivele indisponibilizate _______________________________ 158
7 Pregătirea și prezentarea probelor ................................................................ 160
7.1 Utilizarea probelor electronice în procedurile judiciare ____________________________ 160
7.2 Probele în cadrul procedurilor penale _________________________________________ 160

7.2.1 Admisibilitate _______________________________________________________ 160
7.2.2 Autenticitate ________________________________________________________ 160
7.2.3 Convingătoare ______________________________________________________ 161
7.3 Explicarea principiilor _____________________________________________________ 161
7.4 Dezvăluire ______________________________________________________________ 162
7.5 Material neutilizat ________________________________________________________ 162

7.6 Grija pentru victime și martori ______________________________________________ 163
7.7 Prezentarea în instanță ____________________________________________________ 163
8 Jurisdicție ..................................................................................................... 165
8.1 Dimensiunea internațională a criminalității informatice ____________________________ 165
8.2 Rețelele internaționale de cooperare în justiție __________________________________ 165
8.3 Asistență juridică reciprocă _________________________________________________ 165
8.4 Cazuri transfrontaliere_____________________________________________________ 166
9 Considerații specifice rolului ......................................................................... 167
9.1 AAL-le, posibil toate autoritățile de investigare __________________________________ 167

9.2 Procurori _______________________________________________________________ 167
9.2.1 Gestionarea investigațiilor _____________________________________________ 167
9.2.2 Gestionarea urmăririlor penale __________________________________________ 167
9.2.3 Dezvăluirea către apărare ______________________________________________ 168
9.2.4 Admisibilitatea probelor _______________________________________________ 168
9.3 Judecători ______________________________________________________________ 169
9.3.1 Rolul investigativ al judecătorului ________________________________________ 169
9.3.2 Rolul expertului ______________________________________________________ 170
9.3.3 Gestionarea materialelor neutilizate ______________________________________ 170
9.3.4 Jurisdicție __________________________________________________________ 170
9.4 Proceduri non-penale _____________________________________________________ 171

9.4.1 Pregătirea indisponibilizării datelor _______________________________________ 171
9.4.2 Procesul de capturare a datelor _________________________________________ 172
9.4.3 Lanțul de custodie a datelor confiscate ____________________________________ 173
9.4.4 Analiza criminalistică _________________________________________________ 173
10 Cauze ............................................................................................................ 174
10.1 Cauze penale ____________________________________________________________ 174
10.1.1 Admisibilitatea documentelor imprimate de pe calculator ca probe ______________ 174
10.1.2 Modificarea neautorizată a unui calculator _________________________________ 175
10.1.3 Angajatul a obținut acces neautorizat la un calculator ________________________ 176
10.1.4 Piratarea sistemelor informatice _________________________________________ 177
10.1.5 Posesia de fotografii indecente cu minori __________________________________ 177
10.1.6 Indisponibilizare datelor extrateritoriale ___________________________________ 178
10.1.7 Furt de identitate, furt de parole, rețele sociale _____________________________ 179
10.1.8 Piratarea sistemelor informatice (Qurban Ali) _______________________________ 181
10.2 Cazuri civile _____________________________________________________________ 182
10.2.1 Atenuarea riscurilor juridice privind concedierile masive în sectorul farmaceutic
_________________________________________________________________ 182
10.2.2 Criminalistica datelor în conformitate cu o încălcare a datelor __________________ 182
10.2.3 Investigații privind boicotarea unui sistem de vânzări online ___________________ 183
10.2.4 Descoperire electronică pentru analiza riscurilor juridice în preluarea unei
companii __________________________________________________________ 183
10.2.5 Dovedirea autenticității unui e-mail ______________________________________ 184
11 Glosar............................................................................................................ 185
12 Informații suplimentare ................................................................................ 207
12.1 Cărți/Ghiduri ____________________________________________________________ 207
12.1.1 Internațional; _______________________________________________________ 207
12.1.2 Statele Unite ale Americii ______________________________________________ 207
12.1.3 Regatul Unit ________________________________________________________ 207
12.2 Jurnale ________________________________________________________________ 208
12.3 Despre autori ___________________________________________________________ 208
13 Anexe ............................................................................................................ 211
Incl. diagrame de flux și șabloane: formulare, înregistrări, etichete, chestionare

1 Introducere
Ghidul privind probele electronice a fost elaborat inițial în cadrul proiectului regional comun
Cybercrime@IPA al Uniunii Europene și al Consiliului Europei (CoE) privind cooperarea împotriva
criminalității informatice în cadrul Instrumentului de asistență pentru preaderare (IPA).
În cadrul Proiectului CyberCrime@IPA, precum și în cadrul Conferințelor Octopus ale Consiliului

Europei, omologii au identificat, în mod constant, necesitatea unei orientări autoritare și a bunelor
practici, în ceea ce privește gestionarea probelor electronice. Ghidul privind probele electronice a
fost elaborat ca răspuns la această necesitate.
Conceptul Ghidului privind probele electronice a fost dezvoltat prin mai multe ateliere de lucru, în
cadrul proiectului CyberCrime@IPA și la o conferință Octopus din anul 2012.
Prima ediție a fost publicată pe data de 18 martie 2013 și a devenit de atunci o resursă populară
pentru organele de aplicare a legii și organele judiciare din numeroase țări. Unele țări au tradus
chiar ghidul în limbile lor naționale.
Modificările la acesta, cea de-a doua ediție a Ghidului, se bazează pe feedback-ul oferit de cititori.
Acestea includ o secțiune complet revizuită privind analiza probelor electronice și a criminalisticii
digitale.
Pentru a treia ediție, publicată în martie 2020, toate capitolele din ghid au fost revizuite și
actualizate, în timp ce au fost adăugate noi subcapitole pentru carduri fără contact, sisteme pentru
automobile și Internetul Obiectelor
1.1 Scopul Ghidului
Scopul Ghidului este de a oferi sprijin și îndrumare profesioniștilor din domeniul justiției penale, cu
privire la modul de identificare și gestionare a probelor electronice astfel încât să se asigure
autenticitatea ulterioară a acestora în instanță. Deși Ghidul nu este destinat să fie un manual de
instrucțiuni cu indicații pas cu pas, acesta oferă o imagine de ansamblu cu privire la tipurile de
probleme care apar adesea în tratarea probelor electronice și oferă recomandări cu privire la modul
de abordare al acestora. Cititorii acestui document ar trebui să verifice dacă astfel de recomandări
există deja la nivel național.
Prezentul Ghid și informațiile cuprinse în acesta sunt considerate valabile până la data de
31 decembrie 2021. În cazul în care condițiile permit Ghidul va fi actualizat înainte de
această dată pentru a reflecta orice schimbări relevante de tehnologie, proceduri și
practici. Orice persoană sau organizație care dorește să utilizeze Ghidul după data de mai
sus trebuie să se adreseze Consiliului Europei pentru a obține cea mai recentă versiune.

1.2 Cui îi este destinat Ghidul?
Prezentul Ghid a fost elaborat pentru uzul țărilor care sunt în proces de elaborare și stabilire a
propriilor norme și protocoale pentru abordarea probelor electronice. Cele mai multe ghiduri
existente au fost create pentru comunitatea de aplicare a legii, dar prezentul Ghid este destinat unei
audiențe mai largi, inclusiv judecători, procurori și alții implicați în sistemul de justiție, care este
posibil să aibă nevoie să cunoască detalii despre probele electronice (cum ar fi investigatorii din
sectorul privat și avocații apărării). Deși în principal un document de nivel de bază, unele secțiuni
ale Ghidului sunt mai detaliate și oferă recomandări practice, care ar putea fi de interes pentru
specialiști.
1.3 Cum trebuie utilizat Ghidul?
Acest Ghid trebuie privit ca un document șablon, care poate fi adaptat și personalizat de diferite țări,
în conformitate cu legislația, practicile și procedurile naționale ale acestora. Principiile generale pe
care le descrie sunt în conformitate cu bunele practici general acceptate pentru tratarea probelor
electronice.
Cititorii trebuie să se asigure că sunt pe deplin familiarizați cu legislațiile din propriile țări referitoare
la probele electronice și la admisibilitatea acestora. Dreptul național trebuie să fie întotdeauna
principalul punct de referință. Recomandările oferite în cadrul Ghidului nu sunt destinate sau
preconizate a contrazice nicio legislație națională și fac, în orice moment, obiectul legilor, normelor
și procedurilor naționale.
Textul este defalcat în secțiuni, care urmează fiecare etapă a unei investigații, în mod cronologic, de
la identificarea inițială a surselor de probe potențiale, la percheziția și indisponibilizare datelor
informatice, până la analiza, pregătirea și raportarea probelor și prezentarea acestora în fața
instanței de judecată. Urmează apoi secțiuni de interes deosebit pentru funcții profesionale specifice,
inclusiv organele de aplicare a legii, procurori, judecători, investigatori din sectorul privat, avocați și
alți profesioniști din domeniul juridic.
O serie de instrumente utile pentru a asista investigatorul sunt anexate la prezentul document:
- Anexa A - Diagrama de flux pentru percheziție și indisponibilizare

- Anexa B - Diagrama de flux pentru criminalistica datelor live
- Anexa C - Diagrama de flux pentru pregătirea în sectorul privat
- Anexa D - Diagrama de flux pentru percheziție și indisponibilizare în sectorul privat
- Anexa E - Achiziția diagramei de flux pentru probele digitale
- Anexa F - Registrul de evidență a custodiei
- Anexa G - Chestionar custode
- Anexa H - Model de etichete pentru probe
- Anexa I - Fișă de lucru pentru achiziția de imagini
Acestea pot fi utilizate și adaptate după cum este necesar.

Pe parcursul Ghidului sunt utilizate diverse simboluri pentru a indica importanța sau dificultatea
conținutului secțiunii pe care o însoțesc.
Acest simbol indică Acest simbol Acest simbol indică

faptul că secțiunea indică informații informații extrem
conține informații. importante. de tehnice
Acest simbol indică Acest simbol Acest simbol indică

faptul că secțiunea indică cunoștințe cunoștințe
conține cunoștințe de avansate specializate
bază
Ori de câte ori cititorii nu sunt siguri ce demersul care trebuie întreprins, aceștia trebuie să consulte
pentru îndrumare principiile generale menționate anterior în secțiunea 1.7. Cititorii trebuie să solicite
întotdeauna asistență de specialitate atunci când situația cu care se confruntă depășește sfera de
aplicare a Ghidului sau a formării lor profesionale.
1.4 Alte instrumente
Există o gamă largă de resurse și instrumente disponibile care completează Ghidul privind probele
electronice. De exemplu:
- Convenția de la Budapesta privind criminalitatea informatică1 Se preconizează ca părțile la

Convenție să dispună măsurile de aplicare a legii pentru securizarea probelor electronice și
pentru a permite o cooperare internațională eficientă. În temeiul articolului 14, aceste măsuri
pot fi aplicate probelor electronice pentru orice infracțiune. Aceste măsuri includ:
- Conservarea accelerată a datelor la nivelele intern (articolul 16) și internațional

(articolul 29), inclusiv dezvăluirea parțială a datelor referitoare la trafic (articolele 17
și 30);
- Percheziția și indisponibilizarea datelor informatice stocate (articolul 19);
- Colectarea în timp real a datelor referitoare la trafic și interceptarea datelor de conținut
la nivel intern (articolele 20 și 21) și internațional (articolele 33 și 34);
- Asistență reciprocă rapidă pentru accesarea datelor în jurisdicții străine (articolul 31);
- Acces transfrontalier la date fără necesitatea asistenței reciproce (articolul 32).
Link: https://www.coe.int/en/web/cybercrime/the-budapest-convention
- Următoarele ghiduri care au fost elaborate de Consiliul Europei în cadrul programelor de

consolidare a capacității sale:
- Proceduri de operare standard pentru colectarea, analiza și prezentarea probelor

electronice;
1
Convenția Consiliului Europei privind criminalitatea informatică (CETS Nr.185)

- Un ghid de bază pentru gestionarea și procedurile unui laborator de criminalistică
digitală;
- Prezentul Ghid privind probele electronice în mai multe limbi, inclusiv anexele la
acesta;
Link: https://www.coe.int/en/web/octopus/training-materials (Înregistrare necesară)
- Următoarele cursuri de formare profesională care au fost elaborate de Consiliul Europei în

cadrul programelor de consolidare a capacităților sale:
- Pachet de formare pentru primul respondent;

- Pregătire judiciară introductivă și avansată în domeniul criminalității informatice și a
probelor electronice;
- Curs de bază privind percheziția, indisponibilizarea și confiscarea veniturilor din
infracțiuni informatice;
- Modul introductiv de formare privind infracțiunile informatice, probele electronice și
veniturile din infracțiuni informatice;
- Manual de formare autodidactă: Curs avansat privind percheziția, indisponibilizarea și
confiscarea veniturilor din infracțiuni informatice;
- Rapoartele privind strategiile de formare în domeniul judiciar și de aplicare a legii elaborate

în cadrul proiectelor GLACY și Cybercrime@EAP;
Link: https://www.coe.int/en/web/cybercrime/all-reports
- Rapoartele privind Strategiile de criminalitate informatică și securitate informatică în
regiunea Parteneriatului Estic, publicate în 2019;
- Ghidurile pentru cooperarea dintre organele de aplicare a legii/furnizorii de servicii de
internet, adoptate în cadrul Conferinței Octopus a Consiliului Europei în 2008;
Link: https://www.coe.int/en/web/cybercrime/lea-/-isp-cooperation
- Studiul de bune practici privind unitățile specializate în domeniul criminalității informatice,
elaborat în cadrul CyberCrime@IPA Necesitatea unor garanții privind statul de drept
(articolul 15 din Convenția de la Budapesta), așa cum este documentată în CyberCrime@IPA;
- Comunitatea Octopus privind criminalitatea informatică, un forum și un punct central de
resurse, care leagă sute și sute de experți din domeniul criminalității informatice din sectorul
public și privat la nivel mondial.
Link: https://www.coe.int/en/web/octopus/home
- Buletinul bi-săptămânal „Cybercrime Digest” și raportul trimestrial „Cybercrime@CoE”.
Link: https://www.coe.int/en/web/cybercrime/cyber-digests-and-updates
Toate aceste standarde și instrumente sunt disponibile pe site-ul web al Diviziei de criminalitate
informatică a Consiliului Europei la https://www.coe.int/en/web/cybercrime/home.

1.5 Ce este proba electronică?
Toate procedurile penale depind de probe pentru a decide vinovăția sau nevinovăția unui acuzat sau
pentru a decide fondul unei cauze în procesul civil. În mod tradițional și istoric, probele au existat în
formă fizică (cum ar fi documente sau fotografii etc.) sau mărturia orală a martorilor.
Probele electronice provin din dispozitive electronice precum calculatoarele și aparatele periferice
ale acestora, rețele de calculatoare, telefoane mobile, aparate de fotografiat digitale și alte
echipamente portabile (inclusiv dispozitive de stocare a datelor), precum și de pe internet.
Informațiile pe care le conțin nu dețin o formă fizică independentă.
Cu toate acestea, în multe privințe, probele electronice nu sunt diferite de probele tradiționale,
întrucât partea care le introduce în procedurile judiciare trebuie să fie în măsură să demonstreze că
acestea reflectă același set de circumstanțe și informații de fapt ca în momentul săvârșirii infracțiunii.
Cu alte cuvinte, aceasta trebuie să poată arăta că nu au avut (sau nu ar fi putut avea) loc schimbări,
ștergeri, adăugări sau alte modificări.
Natura intangibilă a oricăror date și informații stocate în format electronic face ca acestea să fie mult
mai ușor de manipulat și mai predispuse modificărilor decât formele tradiționale de probe. Acest fapt
a creat provocări speciale pentru sistemul de justiție, care impune ca astfel de date să fie tratate
într-un mod special pentru a asigura integritatea probelor pe care le oferă.
Având în vedere caracteristicile unice ale acesteia, proba electronică poate fi definită ca:
Orice informație generată, stocată sau transmisă sub formă digitală care poate fi
necesară ulterior pentru a dovedi sau respinge un fapt contestat în procedurile
judiciare.
1.5.1 Caracteristicile probelor electronice
Probele electronice au în marea majoritate aceleași proprietăți cu formele tradiționale de probe, dar
dețin, de asemenea, și câteva caracteristici unice:
Sunt invizibile pentru persoanele neavizate: Adesea, probele electronice se găsesc în

locuri în care numai specialiștii ar căuta sau în locații care pot fi accesate numai cu ajutorul
unor instrumente speciale.
Sunt foarte volatile: Pe unele dispozitive și în anumite condiții, memoria calculatorului

(și probele pe care le conține) pot fi suprascrise (sau modificate) prin funcționarea sau
operarea obișnuită a dispozitivului. Acest lucru ar putea fi cauzat, de exemplu, de o
pierdere de energie sau în cazul în care sistemul trebuie să aștearnă (sau să „scrie”)
informații noi peste cele vechi din cauza lipsei spațiului de memorie. Memoria calculatorului
poate fi, de asemenea, coruptă sau pierdută prin factori de mediu, cum ar fi căldura sau
umiditatea excesivă, sau prin prezența câmpurilor electromagnetice.

Aceasta poate fi modificată sau distrusă prin utilizarea normală: Calculatoarele își
schimbă constant starea memoriei, fie că este vorba de solicitarea utilizatorului („salvați
acest document”, „copiați acest fișier”) sau în mod automat, de către sistemul de operare
al calculatorului („alocați spațiu pentru acest program”, „stocați temporar informațiile
pentru a face schimb cu acestea între dispozitive”).
Acestea pot fi copiate fără a se degrada: Informațiile digitale pot fi copiate la nesfârșit,
fiecare copie având exact aceeași calitate ca originalul. Acest atribut unic înseamnă că mai
multe copii ale probelor pot fi examinate în mod independent și în paralel de către specialiști
diferiți, din diverse motive, fără a afecta originalul.
Similar cu alte tipuri de probe medico-legale, achiziția și tratarea corectă a probelor electronice sunt
vitale pentru rezultatul unui caz. O atenție deosebită trebuie acordată pentru a asigura respectarea
în orice moment a regulilor generale:
Manipularea de către specialiști: Fiecare tip de dispozitiv electronic are propriile sale
caracteristici, care necesită aplicarea de proceduri corecte și adecvate. Unul dintre cele mai
mari riscuri este modificarea neintenționată a probelor. Nerespectarea procedurilor
aprobate este probabil să ducă la probleme formale în instanță privind integritatea datelor
care pot submina sau invalida probele.
Evoluția rapidă a surselor de probe electronice: Noile tehnologii sunt inventate și se

dezvoltă foarte rapid. În consecință, procedurile și tehnicile care se aplică acestora trebuie,
de asemenea, revizuite și actualizate în mod constant.
Utilizarea procedurilor, tehnicilor și instrumentelor adecvate: Ca și în disciplinele

criminalistice mai tradiționale, specialiștii criminaliști în domeniul digital necesită
instrumente și cunoștințe speciale pentru a-și desfășura investigațiile în mod
corespunzător. Este obligatorie utilizarea tehnicilor și instrumentelor corecte pentru
situațiile întâlnite. Procedurile trebuie să poată fi, de asemenea, auditate și repetate de
către alți specialiști, în cazul în care se dorește ca informațiile obținute să aibă o valoare
probatorie.
Admisibilitatea: Întrucât scopul final este utilizarea probelor pentru a demonstra sau
respinge faptele aflate în litigiu, probele electronice trebuie obținute în conformitate cu
legislația existentă și cu cele mai bune practici, pentru a asigura admisibilitatea la proces.
1.5.2 Admisibilitatea probelor electronice
Deși detaliile pot fi diferite de la o jurisdicție la alta, următoarele criterii trebuie luate în considerare,
în general, la evaluarea probelor electronice pentru proces:
Autenticitatea: Probele trebuie să stabilească fapte într-un mod care nu poate fi contestat
și sunt reprezentative pentru starea inițială a acestora.

Caracterul complet: Analiza sau orice opinie bazată pe dovezi trebuie să spună întreaga
poveste și să nu fie adaptată pentru a se potrivi unei perspective mai favorabile sau dorite.
Fiabilitatea: Nu trebuie să existe nimic despre modul în care au fost colectate și ulterior
administrate probele, care să pună la îndoială autenticitatea sau veridicitatea acestora.
Credibilitatea: Probele trebuie să fie convingătoare în ceea ce privește faptele pe care le

reprezintă și cei care caută faptele în cadrul procesului judiciar trebuie să se poată baza pe
acestea ca reprezentând adevărul.
Proporționalitatea: Metodele utilizate pentru colectarea de probe trebuie să fie corecte

și proporționale cu interesele justiției: prejudiciul (adică nivelul de intruziune sau
constrângere) cauzat drepturilor oricărei părți nu trebuie să depășească „valoarea
probatorie” a probelor (adică valoarea acestora ca probe).
1.6 De ce este important acest lucru?
Infractorii sunt prădători, iar utilizarea în masă a mijloacelor digitale și a internetului le-a oferit noi
oportunități pentru a-și săvârși infracțiunile. Aceștia au dezvoltat noi strategii pentru infracțiunile
tradiționale prin exploatarea acestor noi canale de comunicare și au apărut noi categorii de
infracțiuni. Prin urmare, este imperativ ca toți cei implicați în sistemul juridic să fie familiarizați cu
diferitele forme de probe electronice și să știe cum să le abordeze.
Este probabil ca aproape orice infracțiune din zilele noastre să implice un dispozitiv electronic care
are o memorie sau o formă de programare. Chiar și în cazul în care infracțiunea în sine nu a făcut
uz de un astfel de dispozitiv, este foarte posibil ca acțiunile făptuitorului să fi fost surprinse sau
înregistrate de o cameră de luat vederi cu circuit închis CCTV sau un dispozitiv cu sistem de
poziționare globală (GPS) de pe un dispozitiv mobil sau dintr-un vehicul. Securizarea probelor
electronice prin examinarea și investigarea criminalistică digitală a devenit instrumentul principal
pentru aducerea infractorilor în fața justiției.
Dezvoltarea Internetului și a aplicațiilor sale a dus la găsirea de probe nu numai pe calculatoarele

personale, ci și pe site-uri web, rețele sociale, în e-mailuri și mesagerii. Dezvoltarea informaticii
dematerializate („cloud” computing - în care aplicațiile și datele sunt stocate de la distanță peste
granițele naționale în locații nespecifice) înseamnă că este mai important ca niciodată ca potențialele
probe electronice să fie prelucrate conform principiilor și practicilor încercate și fiabile.
1.7 Principiile privind probele electronice
Următoarele principii sunt furnizate pentru a ghida cititorii atunci când au de a face cu probe
electronice. În deceniul care a trecut de la formularea acestor principii, în lumea tehnologiei s-au
schimbat multe, astfel că acestea au fost modificate pentru a face față provocărilor mediului
operațional de astăzi.

Fiecare țară trebuie să ia în considerare propriile documente și reglementări juridice la
interpretarea măsurilor propuse în prezentul document. Acesta este un punct extrem de
important, va fi deseori repetat!
1.7.1 Principiul 1 - Integritatea datelor
Nicio acțiune întreprinsă nu trebuie să schimbe în mod fizic niciun fel de date,
dispozitive sau suporturi electronice care ar putea fi utilizate ulterior ca probe în
instanță.
- Dispozitivele și datele electronice nu trebuie schimbate, nici în ceea ce privește

componentele de hardware, nici de software. Persoana însărcinată cu locul unei fapte sau
colectarea probelor este responsabilă de păstrarea integrității materialului recuperat și de
asigurarea lanțului criminalistic de custodie. Custozii ulteriori ai dispozitivelor și/sau a datelor
trebuie să își asume această responsabilitate.
- Când datele sunt accesate pe un dispozitiv aflat în stare de funcționare, acest lucru trebuie
efectuat într-un mod care afectează cât mai puțin datele și de către o persoană calificată în
acest sens. Principiile 2 - 5 se aplică în cazul în care se constată că acest curs de acțiune
este necesar.
1.7.2 Principiul 2 - Pista de audit
La gestionarea probelor electronice, trebuie creată și păstrată o evidență a tuturor

acțiunilor întreprinse, pentru ca acestea să poată fi auditate ulterior. Un terț independent
trebuie nu numai să poată repeta respectivele acțiuni, ci și să obțină același rezultat.
- Este necesară înregistrarea cu exactitate a tuturor activităților de la fața locului, pentru a

permite unui terț să refacă, în cazul în care este necesar, acțiunile primului respondent.
Toate activitățile aferente percheziției, indisponibilizării, accesului, stocării sau transferului
probelor electronice trebuie să fie integral documentate, păstrate și disponibile pentru
examinare.
- Orice acțiune ulterioară referitoare la prelucrarea și examinarea probelor electronice trebuie,
de asemenea, să poată fi auditată în același mod.
1.7.3 Principiul 3 - Suport specializat
În cazul în care se preconizează găsirea de probe electronice în cursul unei operațiuni

planificate, persoana responsabilă de operațiune trebuie să anunțe specialiștii/consilierii
externi în timp util și, dacă este posibil, să își organizeze prezența.
- Pentru investigațiile care implică percheziția și indisponibilizarea probelor electronice, este

întotdeauna de dorit să fie implicați, acolo unde este posibil, specialiștii în probe electronice.
Toți acești specialiști, fie din interiorul organizației, fie în calitate de antreprenori externi,
trebuie să aibă cunoștințele adecvate și verificabile obiectiv, pentru a trata probele
electronice în mod corespunzător. Un astfel de specialist trebuie să aibă:

- Suficiente competențe și experiență de specialitate în domeniu;
- Suficiente cunoștințe și abilități în efectuarea investigațiilor;
- Suficiente cunoștințe cu privire la problema în cauză;
- Suficiente cunoștințe juridice;
- Abilități de comunicare adecvate (atât pentru explicații orale, cât și scrise);
- Competențe lingvistice suficiente și adecvate;
- Autorizația și/sau justificarea juridică adecvată pentru implicarea acestuia în
activitate.
1.7.4 Principiul 4 - Formare profesională adecvată
Orice persoană care manipulează probe electronice trebuie să aibă pregătirea necesară și
adecvată.
- În situațiile în care nu este disponibil niciun specialist, primul respondent care

percheziționează, sechestrează și/sau accesează datele originale păstrate pe un dispozitiv
electronic sau pe un suport de stocare digital, trebuie să fie format pentru a face acest lucru
în conformitate cu procedurile sancționate legal și trebuie să poată explica și justifica
relevanța și implicațiile acțiunilor sale.
1.7.5 Principiul 5 - Legalitatea
Persoana și agenția însărcinate cu cazul au responsabilitatea de a se asigura că legea,

garanțiile probatorii și principiile medico-legale și procedurale generale sunt respectate
cu strictețe.

2 Sursa probelor
Anchetatorii trebuie să ia întotdeauna în considerare posibilitatea că orice dispozitive sau

echipamente electronice descoperite în timpul anchetei pot să ofere probe. Este posibil ca prezența
unor astfel de articole să nu fie evidentă sau vizibilă pentru investigator.
Variația dispozitivelor care conțin probe electronice crește aproape zilnic.
Următoarea listă de potențiale surse de probe nu este exhaustivă, dar conține exemple dintre cele
mai frecvent întâlnite.
Un sistem informatic va fi format dintr-un număr de componente diferite, care este probabil să
includă:
- carcasă externă, plăci de circuite, microprocesoare, unitățile de hard disc, memorie și

conexiuni pentru alte dispozitive;
- Un monitor sau alt dispozitiv de afișare;
- tastatură;
- Un mouse;
- Unități conectate extern;
- Dispozitive periferice;
- Programul software;
Sistemele de calculatoare pot avea diferite forme, inclusiv calculatoare de birou (desktop-uri),
calculatoare portabile (laptop-uri), calculatoare turn, sisteme montate în rack, minicalculatoare și
calculatoare principale. Alte dispozitive se vor conecta, în mod obișnuit, la aceste sisteme, inclusiv
imprimante, scanere, routere, unități de hard disc externe și alte dispozitive de stocare, precum și
stații de andocare (care permit realizarea mai multor conexiuni).
Rețineți definiția „sistemului informatic” și a „datelor informatice” utilizate în cadrul Convenției de la

Budapesta privind criminalitatea informatică:
Articolul 1 - Definiții
În sensul prezentei Convenții:
a. "sistem informatic" înseamnă orice dispozitiv izolat sau ansamblu de dispozitive

interconectate ori aflate în legătură, care asigură ori dintre care unul sau mai multe
elemente asigură, prin executarea unui program, prelucrarea automată a datelor;
b. "date informatice" înseamnă orice reprezentare de fapte, informații sau concepte sub
o formă adecvată prelucrării într-un sistem informatic, inclusiv un program capabil să
determine executarea unei funcții de către un sistem informatic;
Această definiție include tablete, telefoane inteligente și alte dispozitive descrise mai jos.

Imagini ale sistemelor informatice2
Desktop / Tower = Calculator de birou / Turn
Laptop = Calculator portabil
Mainframe = Calculator mainframe
2.1.1 Dispozitive de stocare
Dispozitivele de stocare au, de asemenea, multe forme și dimensiuni și variază în ceea ce privește
modul în care stochează și păstrează datele. Următoarea secțiune oferă detalii referitoare la unele
dintre aceste dispozitive și capacitățile acestora.
2.1.1.1 Unități de hard disc și discuri în stare solidă
Unitățile de hard disc (HDD) sunt principalele dispozitive de stocare din sistemele informatice.
Acestea constă dintr-o placă de circuit, date și conexiuni de alimentare. În interiorul unității de hard
disc există platane de ceramică, metal sau sticlă încărcate magnetic (adică plăci sau discuri), care
se rotesc la viteză mare. Un braț trece peste suprafața platanului, ca în cazul pick-up-urilor de modă
veche și „scrie” datele pe disc. Nu este neobișnuit ca, în timpul unei percheziții, să fie descoperite
unități de hard disc separate, care nu sunt conectate la, sau instalate, într-un sistem informatic. De
obicei, o unitate de hard disc va măsura transversal 8,9 cm la calculatoarele de birou și 6,35 cm la
calculatoarele portabile.
Discurile în stare solidă (SSD - solid state disks) au o structură diferită de hard discuri și devin tot
mai populare. În loc să stocheze date pe platane magnetizate, unitățile cu cipuri stochează date
utilizând microcipuri și nu au părți mobile. Ca atare, acestea sunt mai puțin susceptibile a fi
deteriorate atunci când sunt aruncate sau lovite și oferă acces mai rapid la date. SSD-le sunt
disponibile în diferite forme, de ex. în carcase de 6,35 cm, sub formă de carduri care se introduc în
slot-uri mSATA sau M.2, sub formă de carduri de expansiune PCI-e sau lipite direct la placa de bază.
2 Sursa imaginii:
[1] zdnet2.cbsistatic.com/hub/i/r/2015/09/01/dfa86998-089b-473c-8b63-
73b1051b0935/thumbnail/770x578/fb90fb0770a3826f70c9577df2f6e8cd/lenovo-s500-business-desktop-
all-in-one-enterprise-pc.jpg
[2]bhphotovideo.com/images/images2500x2500/lg_14z990_r_aas7u1_gram_i7_8565u_16gb_256ssd_145983
3.jpg
[3] delimitercomau.c.presscdn.com/wp-content/uploads/2013/11/ibm-mainframe.jpg

Fotografii cu diferite tipuri de stocare internă3
Computer Hard Disk = Hard Disc de calculator

Computer Hard Disk interior = Interiorul unui Hard Disc de calculator
Solid State Disk = Disc în stare solidă
2.1.1.2 Suporturi amovibile
Compact-discurile (CD), Discurile Video Digitale4 (DVD) și Discurile Blu-ray (BD) sunt utilizate, de
obicei, pentru stocarea fișierelor video sau audio de mari dimensiuni. Totuși, acestea pot stoca, de
asemenea, și volume mari de alte tipuri de date, care pot avea o valoare probatorie. Deși arată
foarte asemănător, capacitățile de stocare variază foarte mult.
Fotografii cu diferite tipuri de stocare optică amovibilă5
Compact Disk (CD) = Disc compact (CD)

Digital Video Disk (DVD) = Disc video digital (DVD)
Blu-Ray Disk (BD) = Disc Blu-Ray (BD)
3 Sursa imaginii
[8] upload.wikimedia.org/wikipedia/commons/e/e6/Hard_disk_Western_Digital_WD1000_1_ (dark1).jpg
[9] lh3.ggpht.com/_Kkg7XHt7mJA/TLHZioMTiBI/AAAAAAAAAow/FN4THl-QzNQ/s800/Storage-Hard-disk.jpg
[10] extremetech.com/wp-content/uploads/2014/12/samsung-850-evo-exploded-ssd.jpg
[11] pcgamesn.com/gaming-hardware/pcie-ssd-drive-market-share
4
Denumit, de asemenea, și Disc Versatil Digital
5 Sursa imaginii:
[12] jetmedia.co.uk/cdmada80.jpg
[13] 3.bp.blogspot.com/_RzAQQvY1zGw/TPHH3KzB3rI/AAAAAAAAAWg/ctwmTTfTgew/s1600/icon-DVD.png
[14] 4.bp.blogspot.com/_N3kyjbXGs0I/S3OK_6rfzLI/AAAAAAAAADY/S76APQ9wVPE/s320/sony-blu-ray-disc-
format-us.jpg

2.1.1.3 Carduri de memorie
Cardurile de memorie, cunoscute și sub denumirea de carduri flash, sunt, de asemenea, dispozitive
pentru stocarea informațiilor digitale. Acestea sunt utilizate în dispozitive precum aparate de
fotografiat digitale, telefoane mobile, calculatoare portabile, playere audio și console de jocuri.
Acestea păstrează date fără energie și pot stoca volume uriașe de date, fiind în același timp ușor de
ascuns. Cel mai frecvent tip de card de memorie este cardul Secure Digital (SD) în formatele SD,
Mini SD și Micro SD. Alte formate mai puțin obișnuite, cum ar fi cardurile Compact Flash (CF),
cardurile xPicture, stick-urile de memorie (MS), cardurile multimedia (MMC) și cardurile Smart Media
(SM) este posibil să fie disponibile doar pe dispozitivele mai vechi.
Tipuri de carduri de memorie6
Secure Digital Card (SD) = Card digital securizat (SD)

Micro SD Card and Adaptor = Card de memorie MicroSD cu adaptor
Compact Flash Card (CF) = Card de memorie Compact Flash (CF)
2.1.1.4 Dispozitive USB de stocare a datelor
Magistrala Serială Universală (USB) este denumirea dată unui set de reguli sau „protocol” utilizat
pentru comunicare, conexiune și alimentare pentru dispozitivele care sunt conectate la calculatoare.
Gama de dispozitive care utilizează acest protocol s-a dezvoltat enorm de la introducerea sa în anii
’90. Câteva exemple ale celor mai uzuale dispozitive USB sunt prezentate mai jos.
6 Sursa imaginii
[14] boygeniusreport.files.wordpress.com/2016/09/sandisk-1tb-extreme-pro-sd-
card1.jpg?quality=98&strip=all&w=782
[15] portal.lynxmobility.com/images/Accesssories/microSD_2GB_02.jpg
[16] heise.de/imgs/18/4/8/6/8/6/8/SP128GBCFC400V10.jpg-777a6b1cc6a3f2fc.jpeg

Imagini de dispozitive USB obișnuite7
Cu toate acestea, nu toate dispozitivele sunt ceea ce par. Iată doar câteva dintre modalitățile prin
care dispozitivele de stocare USB pot fi mascate. Este important pentru oricine are în vedere probele
electronice să fie vigilent și conștient de posibilele noutăți.
Imagini de dispozitive USB neobișnuite8
7 Sursa imaginii
[17] brain-images-ssl.cdn.dixons.com/0/4/10142340/u_10142340.jpg
[18] sandisk.com/content/dam/sandisk-main/en_us/assets/product/retail/Extreme-PRO-USB-3.1-FlashDrive-
right.png
[19] brain-images-ssl.cdn.dixons.com/3/3/10174633/u_10174633.jpg
[20] merchandisemania.co.uk/productimages/fullsize/XH21-Metal--USB-Flash-Drive-With-Clear-Ends-STR-
CAP-OFF/Personalised-Printed--Metal--USB-Flash-Drive-With-Clear-Ends.jpg
[21] media.tecca.com/2010/11/03/630-usb-lexar-630w.jpg
[22] 1.pcmag.com/media/images/310963-verbatim-tuff-n-tiny-usb-drive.jpg?thumb=y
[23] 3.bp.blogspot.com/_zS2JDRBdNzk/THd83p8BZ8I/AAAAAAAACKc/sgBaS8XLbbg/s1600/4mm +pico-usb-
300x261.jpg
8 Sursa imaginii:
[24] ohgizmo.com/images/imation_4gb_micro_hard_drive.jpg
[25] media.gdgt.com/img/product/11/8ov/oakley-thump-i3m-800.jpg
[26] technabob.com/blog/wp-content/uploads/2006/09/imation_usb_wristbands.jpg
[27] ae01.alicdn.com/kf/HTB1uqhqbrSYBuNjSspfq6AZCpXaI/Lovers-Gift-Jewelry-Usb-Flash-Drive-Necklace-
Pendrive-32-GB-64GB-Usb-Flash-Meomory-Stick-Card.jpg
[28] schweizer-messer.eu/img/Victorinox_Classic_Serie/46125TG4B_victorinox_usb_stick.jpg
[29] latestmsgs.files.wordpress.com/2010/10/watermelon_usb_flash_pen_drive_8gb_04.jpg

2.1.1.5 Discuri cu bandă magnetică de stocare a datelor
Datele stocate pe bandă magnetică sunt mai probabil a fi întâlnite în mediul de afaceri decât în cel
domestic. Cel mai comun tip utilizat în prezent este tehnologia de stocare pe bandă magnetică LTO
(„Linear Tape-Open”), dezvoltată în anii ’90 ca un standard cu format deschis9. Benzile sunt utilizate,
în mod normal, pentru copii de rezervă și, prin urmare, pot fi utile în cazurile în care este necesară
o analiză istorică sau în care calculatorul original nu este disponibil.
Imagini ale dispozitivelor cu bandă magnetică de stocare a datelor10
Linear Tape-Open Storage = stocare pe bandă magnetică LTO

LTO Tape Drive = Unitate cu bandă magnetică LTO
2.1.1.6 Dispozitive periferice
Perifericele sunt dispozitive care nu sunt o parte integrantă a calculatorului, dar se conectează la
acesta pentru a-i crește gama de funcții. Exemple de dispozitive periferice sunt: scanere,
imprimante, unități de bandă, camere web, difuzoare, microfoane, calculatoare, faxuri, roboți
telefonici, și cititoare de carduri. Multe dintre aceste dispozitive au propria lor capacitate de stocare
a datelor și pot fi relevante pentru anumite tipuri de investigații (de exemplu, prezența unui cititor
de carduri poate fi relevantă într-o investigație privind clonarea cardurilor de credit). Iată imagini cu
doar câteva dintre tipurile de dispozitive periferice care pot fi întâlnite:
9
„format deschis” înseamnă că utilizatorii au acces la mai multe surse de stocare compatibile. Sursa:
http://searchstorage.techtarget.com/definition/Linear-Tape-Open
10Sursa imaginii
[30] 2.imimg.com/data2/LO/TG/MY-3658176/fujifilm-linear-tape-open-lto5-250x250.jpg
[31] global.tdk.com/csr/ecolove/img/eco_med03.jpg
[32] 3000newswire.blogs.com/.a/6a00d83452e85869e20134809149c4970c-320wi

Imagini de dispozitive periferice11
Scanner = Scaner
Fax Machine = Fax
Card Reader or Skimmer = Cititor de carduri sau „cititor pentru clonarea de carduri”
Answering Machine = Robot telefonic
Label Printer = Imprimantă de etichete
Printer = Imprimantă
2.1.2 Dispozitivele tabletă
Un calculator tabletă este un dispozitiv care este operat mai degrabă prin atingerea ecranului, decât
prin utilizarea unei tastaturi sau a unui mouse. În mod normal, este mai mare decât un telefon mobil
sau un asistent personal digital (PDA). Tabletele stochează datele, în mod tipic, pe memoria flash,
dar, din ce în ce mai mult, datele generate de utilizator sunt stocate în cloud. În ultimii ani, tabletele
au devenit foarte populare. Acestea utilizează propriile sisteme de operare și sunt adesea conectate
la Internet printr-o rețea wireless locală (WLAN), rețele de date mobile (3G, 4G, 5G).
11Sursa imaginii:
[33] softwaretutor.files.wordpress.com/2010/04/fax.jpg
[34] superwarehouse.com/images/products/hpQ3851AA2L.jpg
[35] static.bhphoto.com/images/images345x345/504534.jpg
[36] carolinabarcode.com/images/ArticleImages/RunMyStore/CreditCardReader.jpg
[37] xactcommunication.com/itempics/48_xlarge.jpg
[38] labelprinter.org.uk/wp-content/uploads/2009/03/dymo-labelwriter-400.jpg

Fotografii cu dispozitive tabletă12
2.1.3 Telefoane mobile
Vremurile în care un telefon era utilizat doar pentru efectuarea și recepționarea de apeluri sunt
demult apuse. În prezent, telefoanele mobile sau „celulare” sunt utilizate pentru multe alte sarcini:
trimiterea și recepționarea de mesaje text și multimedia; accesarea internetului și a e-mailului;
jocuri; ascultarea de muzică; și, efectuarea de fotografii. Majoritatea telefoanelor mobile moderne
sunt calculatoare în adevăratul sens al cuvântului, deși conectivitatea lor impune ca acestea să fie
gestionate într-un mod oarecum diferit. Este important de reținut faptul că diferite telefoane au
capabilități diferite și modul în care se conectează („interfețele de conectare” ale acestora) poate
necesita echipament specializat pentru obținerea de probe.
Imagini de telefoane mobile13
12 Sursa imaginii:
[4] find-cool.net/wp-content/uploads/2012/09/Windows-8-Tablet-PC.jpg
[5] vedainformatics.com/blogs/wp-content/uploads/2010/01/apple-ipad-tablet-pc.png
[6] comparetablets.co.uk/wp-content/uploads/2011/09/galaxy-tab-8.9.jpg
[7] cache.gizmodo.com/assets/images/4/2007/12/delltablet.jpg
13Sursa imaginii:
[39] i.ytimg.com/vi/xTKqEPnd_vc/maxresdefault.jpg
[40] i-cdn.phonearena.com/images/articles/355377-image/galaxy-s20-colors.jpg
[41] 5gmobilephone.net/wp-content/uploads/2019/04/Galaxy-Fold-5G.jpg

2.1.4 Înregistrare foto și video
2.1.4.1 Aparate de fotografiat digitale
Aparatele de fotografiat digitale realizează fotografii sau imagini video sub forma a mii de puncte
mici de lumină numite pixeli. Majoritatea aparatelor de fotografiat digitale moderne pot înregistra,
de asemenea, și sunete și imagini. Aparatele de fotografiat digitale pot stoca mii de imagini pe
„carduri de memorie” mici (a se vedea 2.1.1.3 de mai sus) sau în aparatul de fotografiat în sine.
Pentru investigațiile care implică fotografii, este posibil să se poată dovedi cu ce aparat de fotografiat
a fost făcută o fotografie specifică, deoarece, adesea, împreună cu imaginea sunt stocate și anumite
metadate14. Exemple de tipuri comune de aparate de fotografiat digitale sunt prezentate mai jos,
împreună cu unele aparate de fotografiat deghizate sub forma unor alte dispozitive.
Imagini de aparate de fotografiat digitale15
14
De exemplu, utilizarea standardului Format Interschimbabil pentru Fișiere Imagine - EXIF (Exchangeable
Image Format).
15Sursa imaginii
[42]cdn-4.nikon-cdn.com/e/Q5NM96RZZo-YRYNeYvAi9beHK4x3L-
8u4h56I3YwHLAQ4G0XzTY4Dg==/Views/1590_D3500_front.png
[43] upload.wikimedia.org/wikipedia/commons/d/d1/Nikon_J1_image%2C_10-30mm_lens.jpg
[44] cdn.hasselblad.com/hasselblad-com/fe6809c9-4c18-43ca-b923-6c768130b2fb_X1D+II+45P+front-
right+white.jpg?auto=format&q=97&rect=0,0,3999,2667&w=1024&h=683
[45]iseupshop.com/media/catalog/product/cache/1/image/9df78eab33525d08d6e5fb8d27136e95/w/i/wiseup2
_7.jpg
[46] cnet4.cbsistatic.com/img/Y-HjkDvbcLt1CamB1tauGJUMKKc=/fit-
in/300x250/filters:no_upscale()/2018/02/22/a5714392-97fe-4b0a-8e09-a4ae0d8de1f8/41mvjkhmojl.jpg
[47] wholesales-shopping.com/wp-content/uploads/2011/09/17.jpg
[48]itechde1.nextmp.net/media/catalog/product/cache/1/image/650x650/9df78eab33525d08d6e5fb8d27136e
95/2/1/21738_-_copy_2_1.jpg

2.1.4.2 Camere video digitale
Deseori, o cameră video digitală își stochează imaginile, de asemenea, pe suporturi amovibile, dar
poate și înregistra pe un hard disc conținut în interiorul camerei. În unele cazuri, aceste camere
arată foarte asemănător cu aparatele de fotografiat digitale (având în vedere faptul că aparatele de
fotografiat digitale pot, de obicei, să realizeze, de asemenea, și înregistrări video, iar o cameră video
digitală poate să realizeze fotografii). Câteva exemple de camere video sunt prezentate mai jos.
Imagini de camere video digitale16
2.1.4.3 Înregistratoare video / HDD
Înregistratoarele video se găsesc, de obicei, în mediul rezidențial și sunt utilizate pentru înregistrarea
programelor TV sau a altor activități bazate pe plan local. De asemenea, acestea sunt utilizate pentru
a reda filme, muzică și alte date pre-înregistrate. Înregistratoarele de tip Video Home System (VHS)
au predominat din anii ’70 până când au fost înlocuite de versiunile digitale. VHS înregistra și reda
prin utilizarea unor casete mari cu bandă magnetică, ce pot fi încă găsite în anumite circumstanțe.
Pentru o anumită perioadă de timp, au devenit disponibile înregistratoarele cu DVD și Blu-Ray, în
timp ce, în prezent, sunt populare înregistratoarele cu unități de hard disc sau cu stocare flash. În
mediile moderne, înregistratoarele sunt de domeniul trecutului, deoarece televizoarele și
receptoarele prin satelit / cablu oferă funcția de înregistrare. Pe lângă faptul că difuzarea
(streamingul) video / audio prin Internet este din ce în ce mai popular. Acolo unde există sistemul
cu circuit închis CCTV, imaginile camerelor pot fi înregistrate în oricare dintre aceste formate.
16Sursa imaginii:
[49] alpha.akihabaranews.com/wp-content/uploads/images/6/66/16666//1.jpg
[50] sils.unc.edu/sites/default/files/it/CanonGL2.jpg
[51] pembrokeshirefilmfestival.files.wordpress.com/2012/12/panasonic-hcv100.png

Aparate de înregistrare video17
2.1.4.4 Înregistratoare audio digitale
Înregistratoarele audio digitale sunt mici dispozitive portabile utilizate pentru înregistrarea sunetului
pe un cip de memorie pentru a reda înregistrarea. Acestea sunt disponibile în diverse capacități, în
ceea ce privește timpul de înregistrare și calitatea maxime. Unele înregistratoare au o capacitate
USB care permite încărcarea înregistrărilor pe un calculator și pot avea un program software de
recunoaștere vocală asociat, care permite crearea de transcrieri automate. Acestea sunt utilizate,
de obicei, în mediile de afaceri, academice sau de presă.
Imagini de înregistratoarelor audio digitale18
2.1.4.5 Camere de luat vederi cu circuit închis CCTV
Camerele de televiziune cu circuit închis (CCTV) sunt utilizate de companii, guverne și persoane
fizice. Camerele CCTV pot fi utilizate în mod continuu sau pentru a monitoriza o anumită activitate.
În unele țări, acestea au devenit un instrument de supraveghere în locuri publice, monitorizând
traficul sau fluxurile de mulțime, detectând tulburări publice sau activități infracționale. Unele
17 Sursa imaginii
[52] s14.favim.com/610/160724/news-vcr-vhs-video-cassette-recorder-Favim.com-4547444.jpeg
[53] geraldgiles.co.uk/wp-content/uploads/2017/07/HDD-DMRHWT250EB-3.jpg
18Sursa imaginii
[54] i.ebayimg.com/t/8GB-Digital-Voice-Recorder-650Hr-Dictaphone-MP3-Player-w-U-Disk-Iron-gray-US-
/00/s/MTAwMFgxMDAw/$(KGrHqNHJEgFDTE6vHM3BQ7nlu,LGg~~60_35.JPG
[55] c773974.r74.cf2.rackcdn.com/0330731_617464.jpg
[56] fl12.shopmania.org/files/p/bg/t/472/m-audio-micro-track-ii~3964472.jpg

camere CCTV înregistrează imagini pe suporturi de stocare, în timp ce altele sunt utilizate numai
pentru monitorizarea în direct. De asemenea, acestea pot fi activate prin mișcare și funcționează cu
luminozitate scăzută sau în condiții de infraroșu. Acestea trebuie să fie întotdeauna considerate o
potențială sursă de probe electronice oriunde s-ar afla, la locul unei crime sau în apropierea acestuia.
Câteva exemple cu privire la modul în care ar putea să arate camerele CCTV sunt prezentate mai
jos.
Imagini de camere CCTV19
2.1.5 Media playerele portabile
Media playerele portabile, cum ar fi iPod-urile sau playerele MP320 stochează și redau suporturi
digitale. Acestea pot include muzică și alte materiale audio, fotografii sau video, precum și
documente și alte tipuri de fișiere. Încă o dată, aceste dispozitive prezintă multe asemănări cu
calculatoarele. Unele dintre aceste dispozitive utilizează spații de stocare flash amovibile, în timp ce
altele au hard discuri mari capabile să stocheze mii și mii de fișiere. Câteva exemple de media
playere portabile sunt prezentate mai jos.
„Moving Picture Expert Group Layer Audio3”
Imagini de media playere portabile21
19Sursa imaginii
[57] 9to5mac.com/wp-content/uploads/sites/6/2017/08/netatmo-homekit.jpg?quality=82&strip=all&w=1600
[58]cdn.lorex.com/originals/images/products/_BF2017/LNB8921BW/1200x800/4K-Ultra-HD-IP-Camera-
LNB8921-L1.png
[59] scan.co.ok/images/products/2717762-a.jpg
[60] i.ebayimg.com/images/g/TxYAAOSwRZtc48di/s-l300.jpg
20 ‘Moving Picture Expert Group Audio Layer‘3
21 Sursa imaginii:

2.1.6 Console de jocuri video
Consolele de jocuri video există de la începutul anilor ’70, dar, de-a lungul anilor, s-au dezvoltat
foarte mult. Aceste dispozitive utilizează spații de stocare interne sau amovibile, care le permit
utilizatorilor nu doar să joace jocuri, ci și să viziteze site-uri web și să stocheze și să redea
videoclipuri, fotografii și muzică. Din acest motiv, ele nu trebuie niciodată trecute cu vederea ca
surse de probe electronice, chiar dacă, la prima vedere, acestea par inofensive. Printre principalii
producători de console se numără Sony, Nintendo și Microsoft, iar aceste companii dețin, în prezent,
majoritatea pieței pentru console și jocuri.
Imagini cu console de jocuri video22
2.1.7 Potențiale probe pe aceste dispozitive
Componentele hardware și programele software pentru calculatoare, precum și rețelele și sistemele

la care este conectat un dispozitiv, pot stoca date importante, care au fost fie create în mod automat
de dispozitivul în sine, fie de către utilizator. Datele generate de utilizator pot include documente,
fotografii, fișiere imagine, e-mailuri și atașamente ale acestora, baze de date și informații financiare.
Datele generate de calculator pot include istoricul navigării pe Internet, jurnalele de discuții (chat),
[61] https://store.storeimages.cdn-apple.com/4974/as-
images.apple.com/is/image/AppleInc/aos/published/images/i/po/ipod/nano/ipod-nano-product-
spacegray-2015
[62] 3.bp.blogspot.com/-Cm55ohrNTTc/UKEvulE8ZyI/AAAAAAAADLw/_l9wi1igPrQ/s1600/1.jpg
[63] i.ebayimg.com/images/i/281795555482-0-1/s-l1000.jpg
[64] src.discounto.de/pics/Angebote/2011-06/128207/151759_MP3-Player-S2-GO-4GB-rot_xxl.jpg
[65] ecodigital.co.uk/estore/images/sandisk-sansa-fuze.jpg
22 Sursa imaginii
[66] i.ytimg.com/vi/Hme5BhT52_U/maxresdefault.jpg
[67] gadgetsin.com/uploads/2011/01/sony_psp_2_codenamed_ngp_1.jpg
[68] cbs42.com/wp-content/uploads/sites/81/2019/12/Xbox-2.jpg?w=1280&h=720&crop=1
[69] assets.vg247.com/current/2018/01/Nintendo_switch_new_6.jpg
[70] game-consoles.org/wp-content/uploads/2010/11/nintendo-3ds-video-game-console.jpg
[71] d.ibtimes.co.uk/en/full/1534113/xbox-one-s-microsoft.png

jurnalele de evenimente și date referitoare la alte servicii, calculatoare și rețele la care a fost conectat
dispozitivul.
Deși prezentul Ghid se axează pe probele electronice, un investigator nu trebuie să uite

niciodată rolul important jucat de criminalistica tradițională (cum ar fi amprentele, ADN-
ul și alte urme) în stabilirea legăturii dintre un făptaș și un dispozitiv.
2.2 Rețelele de calculatoare
Când două sau mai multe calculatoare sunt conectate prin cabluri de date sau prin conectivitate
wireless, se creează o „rețea”. Calculatoarele dintr-o rețea sunt capabile să facă schimb de date și
alte resurse unele cu altele și adesea vor fi conectate la componente hardware suplimentare, care
extind domeniul de aplicare și funcțiile disponibile ale acestora. Rețelele de calculatoare pot fi
limitate, cum ar fi cele din locuințe (de ex., în cazul în care membrii unei familii stabilesc o rețea
care partajează un modem de internet) sau la fel de extinse ca cele utilizate de marile corporații sau
guverne care conectează sute sau chiar mii de calculatoare unele cu altele.
Rețea locală (LAN – Local Area Network) - O rețea locală este o rețea de calculatoare care
acoperă o zonă „locală” limitată, cum ar fi o locuință, un birou sau un grup de clădiri (de ex. o
școală). Caracteristicile definitorii ale rețelelor LAN includ viteza mult mai mare pe care acestea o
pot atinge pentru transferul datelor între calculatoarele din rețea, raza geografică limitată și faptul
că acestea nu necesită închirierea de linii de la companiile de telecomunicații.
Rețea extinsă (WAN – Wide Area Network) - O rețea extinsă este o rețea de calculatoare care
acoperă o zonă mai largă și va include orice rețea care trece granițele metropolitane, regionale sau
naționale. Termenul implică o rețea care utilizează routere23 și conexiuni publice de comunicații.
Comparați-le cu rețelele personale (PAN – personal area networks), rețelele de campus

(CAN – campus area networks) sau rețelele metropolitane (MAN – metropolitan area networks), care
sunt, de obicei, limitate la o cameră, clădire, campus sau, respectiv, zona metropolitană specifică.
Cel mai mare și mai cunoscut exemplu de rețea WAN este Internetul.
Unele dintre terminologiile și dispozitivele care pot fi întâlnite în cazul rețelelor sunt:
Port – Există două tipuri de porturi: porturi de calculator sau hardware și porturi de rețea sau
internet. Un port de calculator este un punct de conexiune între un calculator și un alt dispozitiv în
care informațiile intră și ies (exemplele includ porturi USB, Ethernet și paralele, prin care se pot
atașa dispozitive). Un port de rețea este localizat în programul software, în punctul în care programul
software se conectează la internet sau la serviciile de rețea. O analogie comună ar fi ușile și ferestrele
23
Un router este un dispozitiv care direcționează sau „rutează” pachetele de date de-a lungul unei rețele sau
între rețele.

unei clădiri. Fiecărui port i se alocă un număr diferit în programarea calculatorului. Numărul identifică
rolul și funcția portului și este stabilit în conformitate cu standardele comune.
Lățimea de bandă – La fel ca diametrul unei conducte, dimensiunea lățimii de bandă indică volumul
maxim de informații care pot fi transportate de-a lungul unei linii telefonice, linii de cablu, alimentare
prin satelit etc. Cu cât este mai mare lățimea de bandă, cu atât mai rapidă este viteza potențială
pentru descărcarea și încărcarea de date.
Adresa Controlului accesului la mediu (MAC – Media Access Control) – Adresa MAC este un
cod de referință unic atribuit de producător majorității adaptoarelor de rețea sau plăcilor de rețea
(NIC – network interface cards). Adresele MAC funcționează ca o adresă dintr-o rețea, astfel încât
dispozitivele să poată fi identificate și datele corespunzătoare să poată fi transmise la aceasta.
Dispozitiv de stocare atașat la rețea (NAS – Network Attached Storage ) – Un NAS este
similar unui hard disc extern cu diferența că acesta oferă spațiu de stocare pentru o întreagă rețea
nu doar pentru un singur calculator. NAS poate oferi adesea mult mai mult decât doar stocarea de
date. Un NAS poate fi utilizat ca un server de descărcare automată (de ex., uTorrent) și chiar ca un
mic server web. Multe dispozitive NAS găzduiesc mai mult de un hard disc și oferă funcționalitate
„RAID”.
O așa-numită „Matrice redundantă a discurilor independente” (RAID – Redundant Array of

Independent Disks) este o modalitate de a aranja stocarea datelor (o „configurație” a datelor)
utilizând mai multe unități de disc. Datele sunt stocate pe discurile individuale pentru a asigura cel
mai bun nivel de performanță și/sau fiabilitate a datelor. Sistemul de operare va accesa RAID-ul ca
și cum ar fi fost un singur hard disc. Accesul este controlat și coordonat fie de software, fie de un
controler RAID hardware. RAID-urile autonome sunt frecvent întâlnite în configurațiile rețelei și pot
conține cantități uriașe de probe electronice.
Imagini de NAS cu RAID24
24Sursa imaginii
[72] mpcomp.co.uk/5/graphics/import/105481.jpg
[73] resexcellence.com/wp-content/uploads/2013/01/5big_NAS_Pro_back_34_left.jpg

Controlere de interfață de rețea (NIC – Network Interface Controller) – este o placă de
circuit sau card cu circuite instalat într-un calculator, care îi permite să se conecteze la o rețea. În
calculatoarele moderne și alte dispozitive electronice, aceste controlere sunt deja lipite pe placa de
bază.
Controlere de interfață de rețea25

NIC Card = card NIC
USB to Ethernet adaptor = adaptor USB – Ethernet
WiFi Card = card WiFi
Distribuitor/concentrator de rețea (Network Hub) - Un hub sau un distribuitor/concentrator de

rețea este un dispozitiv pentru conectarea mai multor calculatoare sau dispozitive de internet, astfel
încât să acționeze împreună ca o singură parte sau „segment” al unei rețele. Toate calculatoarele
din acest segment au capacitatea de a comunica între ele. Un concentrator transmite orice date
primite din rețea și le transmite tuturor celorlalte dispozitive conectate la el. Pentru un investigator
poate fi greu să facă distincția între concentratoare și comutatoare, deoarece acestea arată, practic,
la fel, dar concentratoarele au fost, în mare parte, înlocuite de comutatoarele de rețea. Principala
diferență este că un concentrator transmite toate pachetele către toate porturile, în timp ce un
comutator îl transmite doar către portul țintă.
Un distribuitor/concentrator de rețea26
[74] gadgetreview.com/wp-content/uploads/2011/03/D-Link-DNS-321-Network-Attached-Storage-
Enclosure.jpg
25 Sursa imaginii:
[75] ssos.com/nic.jpg
[76] ecx.images-amazon.com/images/I/41CAHWZY8LL._SL500_SS500_.jpg
[77] images-na.ssl-images-amazon.com/images/I/51iJnzOQmfL._SY300_.jpg
26Sursa imaginii
[78] omnisecu.com/images/basic-networking/network-ethernet-hub.jpg

Comutator de rețea – Un comutator de rețea este foarte asemănător unui distribuitor/concentrator
de rețea (hub). Comutatoarele sunt utilizate, în principal, pentru a conecta grupuri de dispozitive de
rețea între ele. Spre deosebire de concentratoarele de rețea, acestea utilizează baze de date stocate
intern pentru a-și aminti care adresă MAC a folosit care port al comutatorului. Acest lucru permite
unui comutator să direcționeze pachetele de date mai degrabă către un dispozitiv specific, decât
către toate dispozitivele.
Un comutator de rețea27
Router – Un router este ca un dispozitiv de sortare la poștă. Acesta ete un dispozitiv care identifică
destinația căreia îi este adresat un colet sau un pachet de date și apoi trimite respectivul pachet
până la următorul punct din cea mai apropiată rețea, unde acesta trebuie să meargă. Deși un router
trebuie să fie localizat la poarta de acces între rețele, acesta nu trebuie să fie, în mod necesar,
conectat la Internet. Routerele sunt utilizate, în mod obișnuit, în locuințe, pentru a conecta o casă
la o conexiune de bandă largă. Într-o astfel de situație, acesta va servi adesea mai multor scopuri
acționând, în același timp, ca un comutator, punct de acces, firewall, router și poartă (gateway).
Imagine de router28
Server – Un server este un calculator sau dispozitiv, care oferă informații și/sau servicii altor
calculatoare dintr-o rețea. Având în vedere software-ul potrivit, orice calculator conectat la rețea
poate fi configurat ca server. În majoritatea cazurilor, un server va fi un calculator puternic dedicat
27Sursa imaginii
[79] upload.wikimedia.org/wikipedia/commons/thumb/5/5f/Linksys48portswitch.jpg/220px-
Linksys48portswitch.jpg
28Sursa imaginii:
[80] netgear.com/images/support/networking/wifi-router/XR450_Hero_Transparent.png

conceput să fie „mereu disponibil”. Un server de calculator poate opera mai multe servicii (de ex.,
server web, server de e-mail, server de fișiere, server de imprimare etc.). Adesea, în domeniul
afacerilor, are sens să se opereze diferite servicii pe diferite aparate, din motive de securitate și să
fie minimizat impactul oricărei nefuncționări corespunzătoare.
Imagini de servere29
Firewall – Un firewall este un dispozitiv hardware sau serviciu software care este utilizat pentru a
crește securitatea unei rețele prin prevenirea accesului neautorizat. De exemplu, un firewall poate
fi configurat pentru a detecta și bloca orice încercare de a intra într-o rețea utilizând mai multe
porturi, cu excepția porturilor care au fost configurate pentru a permite traficul de intrare. În
locuințe, cele mai frecvente sunt firewall-urile software, dar în mediile de afaceri, investigatorul este
cel mai probabil să întâlnească firewall-uri hardware.
Imagini de firewall-uri hardware30
29Sursa imaginii:
[81] x3me.info/wp-content/uploads/2011/10/server.jpg
[82] chost.pl/templates/whm/images/servers.png
[83] electroguardpaint.com/images/computerServerRoom.jpg
30Sursa imaginii
[84]hacker10.com/wp-content/uploads/2011/04/Hardware-firewall-WatchGuard-XTM-2Series.jpg
[85] plug.4aero.com/Members/lmarzke/talks/plug_utm/screenshot1.png/image_preview
[86] cloverline-guardline.com/images/firewall.jpg

Punct de acces fără fir (Wireless Access Points) – Punctele de acces wireless conectează
dispozitivele LAN fără fir la restul rețelei. În fiecare infrastructură WLAN este necesar un punct de
acces, ori de câte ori există mai mult de două dispozitive. Routerele moderne pot funcționa adesea
ca punct de acces. NIC-ul unui calculator sau chiar a unui telefon mobil poate fi, de asemenea,
configurat pentru a acționa ca punct de acces.
Imagini ale punctelor de acces31
În timp ce dispozitivele de rețea enumerate mai sus pot fi dispozitive autonome, așa cum se arată
în fotografii, este foarte probabil ca un singur dispozitiv să servească mai multor scopuri. Routerele
din locuință funcționează adesea ca modem, firewall, comutator și punct de acces, iar un sistem de
stocare în rețea atașat (NAS) poate servi, de asemenea, ca rețea privată virtuală, e-mail și server
web, cu funcții de comutare, precum și puncte de acces.
2.3 Selectarea probei care trebuie capturate
Selectarea dispozitivului care trebuie indisponibilizat și a probelor care trebuie colectate sau
capturate la locul unei fapte, poate fi o sarcină mai puțin ușoară decât pare la prima vedere. Factorii
de luat în considerare sunt abordați mai detaliat în secțiunea privind percheziția și indisponibilizarea.
Cu toate acestea, o planificare atentă și pregătirea în avans vor ajuta la evitarea dificultăților la fața
locului și iată câteva considerente preliminare care trebuie luate în considerare.
2.4 Ce autorizații sunt necesare?
Prima considerație în planificarea oricărei activități coercitive este de a stabili natura și nivelul
autorizației legale și/sau autorizația necesară. Respectiva autorizație poate lua o serie de forme. Cea
mai simplă dintre acestea este obținerea consimțământului din partea persoanei responsabile de
echipamentul sau datele care urmează să fie capturate. Un astfel de consimțământ trebuie să fie
obținut întotdeauna în scris și investigatorii trebuie să se asigure că persoana care acordă
31Sursa imaginii :
[87] solwise.co.uk/images/imageswifi/net-el-ecb3500-1.jpg
[88] shop.allnet.de/media/image/3a/fb/15/12221557bd729fe3565.jpg
[89] amlabels.co.uk/files/images/products/5397.jpg

consimțământul își înțelege pe deplin drepturile ce îi revin, precum și implicațiile și consecințele
posibile. Desigur, trebuie respectate legislația și ghidurile naționale.
Alte niveluri de autorizare vor fi prevăzute de lege. Acestea vor depinde de natura investigației și
dacă cei care solicită autorizarea sunt de la o autoritate competentă sau care lucrează la o problemă
civilă privată. În cele mai multe cazuri, vor fi necesare un fel de ordine judecătorești sau mandate.
În cazul în care se preconizează ca probele electronice să fie relevante pentru caz, ordinul sau
mandatul trebuie să includă o autorizație de percheziție și indisponibilizare a acestor probe.
Absolut nicio activitate de constrângere, care implică indisponibilizarea echipamentului sau captura
de date nu trebuie întreprinsă fără a obține nivelul necesar de autorizare.
2.5 Pregătirea și planificarea
În planificarea unei operații, anumite întrebări trebuie avute în vedere în avans.
Unde sunt găzduite datele (adică stocate efectiv)?

Nu este neobișnuit ca datele să fie găzduite într-o altă locație decât cea în care este prezent
echipamentul. Dacă ajungeți la o percheziție fără a lua în considerare mai întâi această
posibilitate, este posibil să constatați că ar putea fi necesară o autorizație legală
suplimentară (în special în cazul în care datele sunt stocate într-o jurisdicție diferită) sau
ar putea fi necesare abilități tehnice sau echipamente suplimentare.
Cât de sofisticat este suspectul?

Este înțelept să se adune cât mai multă informație cu privire la suspect. Este posibil ca un
suspect specializat în domeniul IT să fi implementat proceduri anti-criminalistice care să
interfereze cu indisponibilizarea echipamentelor sau cu captura datelor (de exemplu, este
posibil ca acesta să își fi criptat toate dispozitivele de stocare a datelor sau să își fi instalat
pe calculatoare ștergerea integrală a datelor printr-un singur click). Dacă acesta este cazul,
va fi necesară pregătirea unor contramăsuri. Este posibil, de asemenea, ca suspectul să fi
stocat date în cloud sau să utilizeze alte resurse online, astfel încât pe echipamentele sale
să nu fie găsite niciun fel de date.
Există surse alternative sau complementare de probe?

Înainte de a începe orice acțiune care poate implica un contact direct cu un suspect,
confiscarea echipamentului acestuia sau captura datelor sale, ar trebui ca în faza de
planificare să se ia în considerare dacă există alte surse, de preferat, din care ar putea fi
obținute aceleași informații. De exemplu, puteți lua în considerare contactarea altor părți
la o tranzacție online (cum ar fi un schimb de e-mailuri), un terț, cum ar fi un furnizor de
servicii Internet (FSI) sau un furnizor de servicii online. Cu o utilizare mai mare a serviciului
cloud, aceleași date pot fi recuperate de la o astfel de sursă terță.
Decizia privind recuperarea datelor de la suspect sau de la titularul alternativ de date este
o decizie tactică. În unele jurisdicții, terții sunt obligați prin lege să își notifice clientului cu

privire la orice solicitare de acces la date, care ar putea avertiza în mod inoportun un
suspect și să îl determine să tăinuiască sau să distrugă probe. Investigatorul sau procurorul
responsabil va trebui să ia în considerare modul în care procedura de recuperare a datelor
de la terți ar putea avea impact asupra eficacității unei investigații (mai ales în cazul în
care datele sunt păstrate într-o altă jurisdicție). De asemenea, va fi important să se decidă
care este sursa de probe optimă pentru scopurile investigației și cea mai valoroasă pentru
rezultatul acesteia.
2.6 Specialiștii în domeniul criminalisticii digitale
Deoarece criminalistica digitală este atât de complexă și sunt implicate atât de multe discipline
diferite, un examinator de criminalistică digitală tinde să se specializeze într-un domeniu al probelor
electronice. Aceasta înseamnă că, este posibil ca un investigator sau procuror să aibă uneori nevoie
să apeleze la serviciile unui specialist în domeniul digital, care să îl ajute lîn cazul unor situații tehnice
specifice.
Atunci când selectați un specialist, poate fi utilă verificarea unei forme de acreditare oficială acordată
de un organism academic sau profesionist respectat. Acreditarea reprezintă un anumit nivel de
pregătire educațională și oferă o evaluare independentă a acreditărilor sale, atunci când expertiza
acestuia este examinată cu atenție în instanță. În mod similar, un istoric de publicare în reviste
recunoscute recenzate de experți, experiență în cazuri anterioare și reputația profesională, toate
ajută la creșterea acestei încrederi.
Procesul de selecție nu trebuie să fie întâmplător, ci activ și structurat, încă de la început. Unitățile
de criminalitate informatică pot fi în măsură să ofere consultanță suplimentară cu privire la criteriile
de selecție, cu toate acestea, următoarele criterii pot ajuta la stabilirea valorii și reputației unui
martor consultant independent.
Aptitudini de specialitate
a. Calificările academice și profesionale relevante și acreditarea;
b. Competențe specifice pe care acesta le deține, care sunt relevante pentru cazul în
cauză;
c. Implicarea în orice institute sau asociații profesionale de specialitate relevante;
d. Reputație recunoscută pentru activitatea acestuia în domeniul de expertiză necesar

(de exemplu, specialistul deține premii pentru munca sa?).
Experiență de specialitate
a. Durata și natura experienței acestui tip de muncă;
b. Nivelul și vechimea obținute;
c. Numărul de cazuri în instanță în care acesta a fost implicat;
d. Tipul și complexitatea cazurilor în care a fost implicat specialistul;

e. Dovezile pentru dovedirea nivelului și calității experienței (de exemplu, participarea
în calitate de vorbitor invitat la evenimente de renume; publicații în reviste
recunoscute recenzate de experți, numiri oficiale și onorifice relevante pentru
specialitate).
Cunoașterea investigației
O înțelegere a naturii și a necesităților unei investigații în ceea ce privește

confidențialitatea, relevanța și distincția dintre informație, date operative și probe.
Cunoștințe contextuale
O înțelegere a diferenței dintre abordările, limbajul, filozofiile, practicile și rolurile poliției

și ale legii și cunoștințele tehnice necesare ale tehnologiei informației, precum și
familiarizarea cu conceptul de probabilitate în sensul său cel mai larg și cunoașterea
diferenței dintre standardele probatorii științifice și juridice.
Cunoștințe juridice
Înțelegerea aspectelor relevante ale dreptului în ceea ce privește:
a. Declarațiile;
b. Continuitatea;
c. Normele in materie de probe;
d. Procedurile judecătorești (inclusiv diferențele dintre rolul apărării și al procuraturii);
e. O înțelegere clară a rolurilor și responsabilităților martorului expert.
Abilități de comunicare
Capacitatea de a exprima și explica în limbajul uzual:
a. Natura specialității;
b. Tehnicile și echipamentele utilizate pentru examinare;
c. Metodele de interpretare utilizate;
d. Punctele forte și punctele slabe ale probelor;
e. Orice posibile explicații alternative pentru faptele descoperite.
General
a. Este posibil ca expertul să trebuiască să dețină acces la nivelul de securitate

corespunzător pentru a manipula materialul probatoriu;
b. Expertul trebuie să semneze un Acord de nedivulgare (pentru a se asigura că toate

cunoștințele dobândite pe perioada examinării rămân confidențiale);
c. În cazul în care este relevant, expertul trebuie să fie informat cu privire la orice
ghiduri relevante privind materialele referitoare la pedofilie, inclusiv efectul unor

astfel de materiale asupra celorlalți implicați și să trebuiască să efectueze evaluarea
riscurilor în acest sens, în mod corespunzător;
d. Specialistul nu trebuie să aibă niciun conflict de interese și trebuie să fie obligat să

dea o declarație în acest sens.

3 Percheziție și indisponibilizare
Această secțiune tratează acțiunile care trebuie luate la recuperarea potențialelor surse de probe
electronice din spațiile controlate de un suspect.
3.1 Pe cine și ce se duce la fața locului
Procesul de planificare și pregătire trebuie să fie suficient de riguros pentru a identifica nivelul de
suport criminalistic care va fi necesar la fața locului. În cazul în care a fost identificată necesitatea
de expertiză criminalistică digitală, persoana responsabilă cu percheziția trebuie să informeze, cât
mai curând posibil, unitatea criminalistică locală și/sau specialiștii externi pentru a se asigura că este
disponibil suportul necesar.
Prima decizie cu privire la potențialele probe electronice într-o operațiune planificată va fi natura
locației de percheziție și tipul(le) de indisponibilizări care pot fi necesare; fie indisponibilizarea și
îndepărtarea echipamentelor, care nu sunt utilizate la momentul respectiv (adică, „unitate
nefuncțională”), fie captura de date live de pe dispozitivele care sunt pornite și funcționează, sau o
combinație a celor două.
Este posibil ca astfel de decizii să trebuiască să fie revizuite la locul faptei, odată ce circumstanțele
devin clare, dar, cât mai multe informații referitoare la sistemul informatic utilizat trebuie colectate
în avans. Astfel de detalii pot fi necesare pentru mandatul de percheziție, acolo unde legislația
națională impune acest lucru.
Întrebările pentru procesul de planificare ar include:
- Ce componente hardware/sistem de operare/program software/aplicații și suporturi de

stocare pentru calculator, echipamente de comunicare și de rețea (echipamente de rețea
LAN/WLAN) sunt probabil a fi găsite?
- Cine este responsabil pentru sistemul și/sau rețeaua informatică (de ex., există un
administrator local sau sistemul este administrat de o companie externă)?
- Cât de multe echipamente este probabil să existe?
- Câte date ar putea fi necesar a fi copiate? Și,
- Există o copie de siguranță a sistemului disponibilă pe suporturile de stocare?
După realizarea planificării și judecății inițiale, pregătirea pentru pătrunderea și percheziția efectivă
trebuie să includă următorii pași:
- Verificați dacă intrarea în incinte și indisponibilizarea probelor electronice au fost autorizate,

în mod corespunzător, în conformitate cu legea (de ex., obțineți un mandat de percheziție
sau o altă autorizație, în conformitate cu legile aplicabile);
- Asigurați-vă că sunt disponibile și au fost aranjate mijloace de intrare rapide și sigure;
- Alegeți membrii echipei (inclusiv specialiști externi, dacă este necesar);
- Alocați sarcini individuale membrilor echipei;

- Oferiți ultimele instrucțiuni membrilor echipei cu privire la modul în care își pot îndeplini
sarcinile (aceștia trebuie să fi finalizat formarea de bază corespunzătoare); și,
- Furnizați instrumentele și echipamentele de percheziție necesare.
Nu uitați că toate activitățile trebuie să fie în conformitate cu legile statului și locale, precum și cu
politica instituției.
În cazul în care se știe sau se suspectează că există posibilitatea ca la fața locului să se găsească
probe electronice, echipa de percheziție trebuie să includă membri special formați pentru funcția
respectivă, precum și, dacă este necesar, un specialist independent. În cazul în care sistemul este
administrat sau întreținut de către o companie sau un administrator extern, investigatorul ar putea
lua în considerare implicarea acestora ca martori experți (desigur, în cazul în care acesta nu este
considerat suspect și nu are un alt conflict de interese).
Ca nivel minim, cel puțin cei care se ocupă de probele electronice (și, în mod ideal, toți cei prezenți)
trebuie să fi beneficiat de formarea de bază privind identificarea și colectarea surselor potențiale de
astfel de probe. Atunci când este posibil, fiecare grup însărcinat cu indisponibilizarea probelor
electronice trebuie să fie format din cel puțin doi ofițeri, astfel încât să poată exista doi martori
pentru fiecare acțiune.
Toți membrii echipei trebuie să cunoască principiile care se aplică în cazul manipulării probelor
electronicei, precum și a celor utilizate pentru manipularea altor probe fizice. Aceștia trebuie să fie
conștienți de orice măsuri speciale necesare (de exemplu, să nu utilizeze pulberea de aluminiu pentru
colectarea amprentelor digitale de pe dispozitivele electronice). De asemenea, aceștia trebuie să știe
că, în anumite situații, trebuie să contacteze o unitate de specialitate și să aibă pregătite aceste
informații de contact, în cazul în care nu au implicat specialiști în percheziție.
Uneori, sunt necesare instrumente și echipamente speciale pentru a colecta probe electronice și,
deși progresele tehnologice pot necesita suplimentări la oricare dintre echipamentele utilizate
anterior, următorul set de instrumente de bază va fi de ajutor în multe cazuri.
- Instrumente pentru demontare și îndepărtare:
- Șurubelnițe (cu cap plat și cap în cruce și specific producătorului (de ex., Hewlett
Packard, Apple));
- Chei de piulițe (piuliță hexagonală, piuliță tip stea și biți de siguranță);
- Clești (standard si cu cioc);
- Clește de tăiat sârmă (pentru îndepărtarea brățărilor autoblocante);
- Pensete mici;
- Documentație:
- Registrul de percheziții și indisponibilizări (registrul de proprietăți - a se vedea Anexa

la prezentul ghid);

- Etichete și bandă (pentru a marca și identifica părțile componente ale sistemului,
inclusiv cablurile și prizele);
- Etichete pentru cabluri;
- Etichete pentru probe (cu legare și adezive - a se vedea Anexa la prezentul ghid);
- Alte formulare și documente necesare pentru completare la fața locului (a se vedea
Anexa la prezentul ghid);
- Carioci colorate cu marcaj permanent (pentru a coda și identifica articolele
îndepărtate);
- Aparate de fotografiat și/sau cameră video (pentru a fotografia scena și orice afișaje
pe ecran);
- Pachete și consumabile de transport:
- Saci antistatici (pentru protecția echipamentelor înlăturate, cum ar fi plăcile de circuit).

Trebuie evitate orice materiale (cum ar fi pungi din polietilenă) care pot produce
electricitate statică;
- Pungi Faraday și/sau folie de aluminiu;
- Folie antistatică cu bule;
- Coliere pentru cabluri (pentru fixarea cablurilor);
- Pungi pentru probe și bandă;
- Cutii pentru ambalarea suporturilor de stocare externe, cum ar fi dispozitive USB,
DVD-uri sau CD-uri;
- Materialele de ambalare (materialele care pot produce electricitate statică, cum ar fi
polistirenul sau granulele de polistiren trebuie, de asemenea, evitate);
- Cutii de asamblare a pachetelor plate sau cutii rezistente de diferite dimensiuni
(ambalajul original trebuie utilizat ori de câte ori este disponibil);
- Instrumente de comunicare:
- Telefon mobil sau alte dispozitive de comunicare pentru obținerea de consultanță (nu
trebuie utilizate în apropierea echipamentelor informatice);
- Informații de contact pentru asistență (de ex., numerele de telefon ale unității de
specialitate)
- Alte articole:
- O lanternă mică cu braț de suport;

- Mănuși;
- Cărucior (de ex., cărucior cu platformă sau cărucior de transport cu 2 roți);
- Elastice largi;
- Lupă;
- Hârtie pentru imprimantă;
- Un calculator portabil încărcat cu toate instrumentele criminalistice standard;
- Cabluri de rețea (răsucite în pereche și inversoare);

- Scanner WiFi (pentru a dezvălui și documenta rețelele și dispozitivele WiFi);
- Capacitate suficientă pentru unitatea de hard disc (de ex., unități de hard disc externe
Terabyte);
- Dispozitive hardware de blocare la scriere (pentru imagistica la fața locului și în scop
de triaj);
- DVD-uri criminalistice (pentru utilizare de către agenți instruiți);
- Instrumente criminalistice pentru datele live (pentru utilizare de către agenți instruiți);
- Transport (la și de la locul faptei, pentru membrii echipei, instrumentele și
echipamentele pentru indisponibilizare și probele indisponibilizate).
3.2 Securizarea locului acțiunii
Persoana responsabilă de percheziție trebuie să asigure siguranța tuturor persoanelor aflate la fața
locului și integritatea tuturor probelor, atât tradiționale, cât și electronice. Rețineți faptul că
potențialele probe din calculatoare și alte dispozitive electronice pot fi ușor modificate, șterse sau
distruse, dar probele criminalistice tradiționale joacă, de asemenea, un rol important și sunt
susceptibile la contaminarea încrucișată.
Securizarea locului faptei implică următorii pași:
- Urmați politica și procedura standard din jurisdicția dumneavoastră pentru a asigura

securitatea locului faptei;
- Pentru a evita alterarea datelor la fața locului, se recomandă ca întreg personalul de la fața
locului să își dezactiveze funcționalitatea WiFi și Bluetooth pe propriile dispozitive. În caz
contrar, este posibil ca dispozitivul acestora să se conecteze de ex. la dispozitivele smart-
home (locuință inteligentă) și să modifice datele (de ex., să creeze noi înregistrări în jurnal,
să suprascrie înregistrările anterioare din jurnal);
- Îndepărtați toate persoanele din apropierea oricăror probe care urmează a fi colectate
(inclusiv echipamente și alimentare cu energie)
- Protejați toate dispozitivele electronice, inclusiv dispozitivele personale și portabile;
- Refuzați ofertele de ajutor sau asistență tehnică din partea oricăror persoane neautorizate.
- În cazul în care un calculator sau un dispozitiv electronic este oprit, lăsați-l oprit.
- Dacă un calculator este pornit sau starea nu poate fi determinată, investigatorul trebuie să
urmeze pașii descriși în secțiunea 3.4.3.
- Protejați datele volatile fizic și electronic, urmând pașii descriși în secțiunea 3.5.
- Identificați și documentați componentele electronice conexe care nu vor fi colectate;
- Identificați liniile telefonice și de rețea atașate dispozitivelor, documentați-le și etichetați-le;
- Consultați și decideți cu agentul de caz, dacă este necesară indisponibilizarea oricăror alte
probe de pe un dispozitiv (de ex. ADN, amprente digitale, droguri, catalizatori);
- În caz afirmativ, urmați procedurile generale de manipulare pentru tipul de probe

prevăzut în manualul relevant. Dacă nu există riscul de a pierde date, asigurați
securizarea altor probe, după cum este necesar. Rețineți că acțiunile de urmărire

ulterioară (de ex., utilizarea tastaturii/mouse-ului/ecranului tactil) ar putea distruge
aceste probe.
- Amânați tehnicile distructive până după ce recuperarea probelor electronice a fost
finalizată;
- În cazul în care se utilizează tehnici distructive pentru colectarea altor probe,

mai întâi trebuie finalizate recuperarea și achiziția probelor electronice;
- Nu utilizați pulbere de aluminiu pentru a colecta amprentele digitale de la locul
faptei, deoarece acestea pot deteriora echipamentele și datele.
- Percheziționați locul faptei pentru posibile probe care nu sunt electronice, dar sunt conexe,
cum ar fi:
- parole scrise și alte bilete scrise de mână;

- topuri goale de hârtie cu scris în relief (dar nu hașurați cu creion de grafit);
- manuale pentru hardware si software;
- calendare sau jurnale;
- documente imprimate text sau grafice;
- fotografii; sau,
- informații cu privire la interese personale, care pot fi utile pentru spargerea ulterioară
a parolelor/frazelor de acces (majoritatea parolelor sunt direct legate de mediul
personal, cum ar fi plăcuțe de înmatriculare, parteneri/copii, numere de telefon,
hobby-uri etc.);
- Realizați interviuri preliminare;
- Separați și identificați toate persoanele (martori, subiecți sau alții) la locul faptei și
înregistrați locația acestora la momentul intrării;
- Utilizați o listă de verificare pentru a colecta și înregistra informațiile de la aceste
persoane;
- În concordanță cu politica instituției și cu legea aplicabilă (de exemplu, cu privire

la cerința de a oferi o precauție împotriva autoincriminării sau a listei de
drepturi), obțineți informații de la aceste persoane, cum ar fi:
- Scopul dispozitivului/sistemului (de ex., evidență contabilă);
- Proprietarii și/sau utilizatorii dispozitivelor/sistemelor găsite la locul
faptei, precum și parolele (a se vedea mai jos), numele utilizatorilor și
Furnizorul de servicii de internet;
- Orice parole necesare pentru accesarea sistemului, software-ului sau
datelor. O persoană poate avea mai multe parole (de ex., BIOS, conectare
la sistem, rețea sau ISP, fișiere de aplicație, frază de codare, cum ar fi
pentru PGP/Truecrypt/Veracrypt/Bitlocker/FileVault/dm-crypt/etc., e-
mail, token (jeton) de acces, planificator sau lista de contacte);
- Orice scheme de securitate unice sau dispozitive distructive;

- Informații despre contul de pe rețelele sociale online.
- Orice stocare de date în afara locului faptei; și
- Orice documentație care explică hardware-ul sau software-ul instalat pe
sistem;
- Orice alte informații relevante.
3.3 Documentarea locului faptei
Documentarea locului faptei este un proces continuu, pe parcursul întregii proceduri de

indisponibilizare. Este de importanță crucială documentarea cu exactitate a locației și condiției
calculatoarelor, a suporturilor de stocare și a altor dispozitive electronice și convenționale. Această
secțiune oferă doar un rezumat al informațiilor care trebuie documentate.
În general, trebuie documentate următoarele, dar se poate crea o documentație suplimentară, în

faza de colectare:
- Locul fizic;
- Desenați un schița de plan a sistemului (inclusiv detalii precum poziția mouse-ului și

locația componentelor);
- Fotografiați/efectuați înregistrări video/documentați întregul loc al faptei (acoperire de
360 de grade, dacă este posibil);
- Localizați sistemele informatizate și componentele/dispozitivele/echipamentele
electronice și modul în care acestea sunt conectate.
- Documentați următoarele:
- Detalii cu privire la toate echipamentele relevante găsite (inclusiv marca, modelul și

numărul de serie);
- Condiția și locația fiecărui sistem informatic care conține sau prezintă probe
electronice, inclusiv starea de alimentare a calculatorului (pornit, oprit sau în modul
de repaus (sleep));
- Documentați toate conexiunile (prin cablu sau wireless) către și de la sistemul
informatic sau alte dispozitive (de ex., dispozitive smart home („locuință
inteligentă”));
- Etichetați toate porturile și cablurile (inclusiv conexiunile la dispozitivele periferice)
pentru a permite reasamblarea exactă la o dată ulterioară; Etichetați porturile de
conectare neutilizate ca „neutilizate”;
- Identificați stațiile de andocare a calculatorului portabil pentru a identifica alte
suporturi de stocare;
- Documentați detaliile monitorului în momentul intervenției;
- Fotografiați partea din față a calculatorului, precum și ecranul monitorului și alte
componente;
- Luați note cu privire la ceea ce apare pe ecranul monitorului;

- Înregistrați video programele active sau creați o documentație mai amplă a activității
ecranului monitorului;
- Documentați componentele electronice relevant care nu vor fi colectate;
- Informații de la persoanele găsite la fața locului;

- Intervievați persoanele și documentați răspunsurile acestora completând formularele;
- Documentați următoarele:
- Detaliile tuturor persoanelor prezente în incinta percheziționată;

- Detalii referitoare la toate persoanele care au utilizat sistemul și echipamentul
informatic relevant;
- Observații, comentarii și informații oferite de către utilizatorii/proprietarii/martorii
calculatorului;
- Toate acțiunile efectuate la fața locului;
- Creați o pistă de audit/un registru al indisponibilizărilor, cu descrierea acțiunilor
întreprinse și ora exactă.
Iată câteva exemple referitoare la ceea ce ar putea întâmpina un investigator într-un scenariu de
percheziție și indisponibilizare și modul în care acesta poate să documenteze locul faptei:
Imagini de ansamblu:
1, 2. Hard Disk = Hard disc

3, 4. Notes = Note
5, 6. Running laptop = Calculator personal care rulează

Desktop PC = calculator personal
Tower PC = calculator personal turn
Hub = Distribuitor / concentrator

HTPC = calculator de centru media (calculator „home theater”)
Network Cable = cablu de rețea
Connected network cables = cabluri de rețea conectate

Access Point = punct de acces
Switch = comutator
Detalii:

Stare de conexiune detaliată a unui calculator de birou cu fir:
1. Power supply = alimentare cu curent

2. USB = USB
3. Monitor = monitor
4. Network = rețea
5. Microphone = microfon
6. Speaker = difuzor
3.4 Percheziția și indisponibilizarea în scenariile de tip „unitate

nefuncțională”
Un sistem informatic nu trebuie indisponibilizat ca probă doar pentru că se găsește la locul faptei. O
astfel de măsură trebuie să fie justificată și proporțională cu infracțiunea corespunzătoare, prin
urmare, persoana care a dispus percheziția trebuie să ia o decizie conștientă un articol trebuie luat
sau nu. Acesta/aceasta trebuie să aibă o suspiciune rezonabilă sau suficiente dovezi pentru a justifica
indisponibilizarea.
Scenariul de tip „unitate nefuncțională” se referă la echipamentele care au fost găsite în timpul
percheziție să fie dezactivate. Dispozitivele nefuncționale vor fi îndepărtate de la locul faptei și
examinate ulterior la un laborator al autorităților de aplicare a legii sau un laborator de criminalistică
digitală.
Proba electronică, la fel ca oricare alte tipuri de probe, trebuie să fie tratată cu atenție și într-o
manieră, care să îi păstreze valoarea probatorie. Aceasta se referă nu numai la integritatea fizică a
unui articol sau dispozitiv, ci și la datele electronice pe care le conține. Anumite tipuri de probe
electronice vor necesita colectare, ambalare și transport special. Proba electronică poate fi
susceptibilă a fi deteriorată sau alterată de câmpurile electromagnetice (cum ar fi cele generate de

electricitatea statică, magneți, emițători radio și alte dispozitive) și trebuie protejată în mod
corespunzător.
Recuperarea probelor non-electronice (sau probe convenționale) poate fi, de asemenea, crucială
în cadrul investigației și trebuie acordată atenție adecvată pentru a se asigura recuperarea și
conservarea acestor probe. Alte elemente relevante pentru anchetă sunt frecvent întâlnite în
imediata proximitate a calculatorului sau a articolelor hardware conexe și trebuie, de asemenea,
indisponibilizate. Ca întotdeauna, toate elementele de probă trebuie identificate, securizate,
ambalate și păstrate în conformitate cu politicile instituției și cu legile aplicabile.
3.4.1 Ambalare, transport și depozitare
Calculatoarele și dispozitivele conexe sunt instrumente electronice fragile care sunt sensibile la
temperatură, umiditate, șoc fizic, electricitate statică, surse magnetice și chiar la unele funcții
operaționale (de ex., pornire/oprire). Prin urmare, rebuie luate precauții speciale la ambalarea,
transportul și stocarea probelor electronice. Pentru menținerea lanțului de custodie, trebuie
înregistrate ambalajul, transportul și depozitarea și orice schimbare a custodiei sau a condiției
bunului indisponibilizat trebuie cronometrată și notată.
Manipularea de către persoanele care nu posedă cunoștințele necesare poate provoca deteriorarea
sau distrugerea probelor electronice și trebuie luate următoarele precauții:
- Ambalare:
- Asigurați-vă că toate probele electronice colectate sunt documentate și etichetate în

mod corespunzător înainte de ambalare;
- Ori de câte ori este posibil, transportați probele electronice colectate în ambalajul
original;
- În cazul în care ambalajul original nu este disponibil, utilizați ambalaje antistatice (de
ex., hârtie sau pungi antistatice din plastic). Evitați utilizarea materialelor care pot
produce electricitate statică, cum ar fi pungi de plastic standard;
- Nu pliați, îndoiți sau zgâriați suporturile de stocare, cum ar fi suporturile optice și
benzile;
- Nu lipiți etichete adezive pe suprafața suportului de stocare. Utilizați cutii sau plicuri
pentru ambalarea suporturilor de stocare, ori de câte ori este posibil;
- Asigurați-vă că toate containerele care conțin probe sunt etichetate în mod
corespunzător;
- Dacă sunt colectate mai multe dispozitive, etichetați fiecare sistem astfel încât să
poată fi reasamblat așa cum a fost găsit.
- Lăsați telefonul(ele) celular(e), mobil(e) sau inteligent(e) în starea de alimentare (pornit sau
oprit) în care a fost găsit.
- Împachetați telefonul(ele) mobil(e) sau inteligent(e) în materiale de blocare a

semnalului, cum ar fi pungile izolatoare Faraday, materiale de protecție la

radiofrecvențe sau, dacă nu există nicio altă opțiune disponibilă, învelit(e) în folie de
aluminiu pentru a împiedica trimiterea sau recepționarea mesajelor de date de către
dispozitive. În cazul în care este incorect ambalat sau scos din ambalajul ecranat,
există posibilitatea ca dispozitivul să poată transmite și recepționa mesaje de date.
Rețineți că păstrarea dispozitivelor în ambalaje care blochează semnalele, poate
reduce, în mod semnificativ, durata de viață a bateriei. În cazul în care bateria este
aproape descărcată, luați în considerare setarea dispozitivelor pe „modul avion”
(flight-mode).
- Transport:
- Păstrați proba electronică departe de sursele magnetice. Emițătoarele radio, magneții

de difuzoare și scaunele încălzite sunt exemple de elemente care ar putea deteriora
probele electronice;
- Asigurați-vă că echipamentul este protejat de șocuri și lovituri (adică, deteriorări
mecanice), căldură și umiditate;
- Asigurați-vă că, pe durata transportului, calculatoarele și alte dispozitive care nu sunt
ambalate în containere sunt asigurate pentru a evita șocurile și vibrațiile excesive. De
exemplu, calculatoarele trebuie așezate pe podeaua vehiculului, iar monitoarele
plasate pe scaun, cu ecranul în jos și fixate cu o centură de siguranță;
- Nu așezați obiecte grele deasupra unor piese mai mici de echipamente/suporturi de
stocare;
- Ori de câte ori este posibil, nu depozitați probele electronice în vehicule pe perioade
lungi de timp;
- Documentați transportul probelor digitale și mențineți lanțul de custodie pentru toate
probele transportate.
- Depozitare:
- Asigurați-vă că probele sunt inventariate în conformitate cu politicile relevante;

- Depozitați probele într-o zonă sigură, departe de temperaturi și umiditate extreme;
- Protejați-le de surse magnetice, umiditate, praf și alte particule dăunătoare sau
contaminanți;
- Utilizați o încăpere de depozitare securizată în mod corespunzător, cu:
- controlul accesului;
- sisteme de protecție și stingere a incendiilor (de ex., alarmă, extinctoare,
fumatul interzis în zona de depozitare sau în apropiere);
- controlul temperaturii și umidității; și,
- protecție împotriva surselor magnetice (de ex., izolate de dispozitive radio
direcționale) adecvate.
- Nu depozitați obiecte inflamabile în aceeași cameră sau în apropiere (de ex. substanțe
chimice de curățare sau stocuri de hârtie);
- Utilizați pardoseală adecvată pentru a evita sarcinile statice;

- Nu depozitați probe electronice în încăperile cu conducte de apă, în special de-a lungul
tavanului;
- Rețineți că potențialele probe, cum ar fi configurația datei, orei și sistemului, se pot
pierde ca urmare a stocării prelungite. Întrucât bateriile au o durată de viață limitată,
în cazul în care acestea se descarcă, datele pot fi pierdute. Personalul corespunzător
trebuie informat că un dispozitiv alimentat cu baterii (de ex., un dispozitiv mobil sau
un PC/CMOS (semiconductor complementar din oxid metalic/ceas care indică timpul
real)32) necesită atenție imediată.
3.4.2 Colectarea sistemului electronic și a dispozitivelor electronice
Există multe tipuri diferite de sisteme informatice, inclusiv calculatoare portabile

(laptop)/calculatoare portabile de mici dimensiuni (notebook), calculatoare de birou (desktop),
sisteme turn, sisteme modulare montate pe rack-uri, mini-calculatoare și calculatoare centrale. Pe
acestea, potențialele probe se găsesc, cel mai frecvent, în fișierele care sunt stocate pe dispozitivele
și suporturile de stocare interne (de ex. memorie, hard disc-uri) și externe (de ex. CD, dischetă,
token USB).
Un sistem informatic este, de obicei, format din următoarele componente care trebuie luate în
considerare pentru colectare, în caz de indisponibilizare:
- o unitate principală (o carcasă din plastic sau metal care conține o placă de bază, unitatea
centrală de procesare, memoria și, eventual, plăcile de expansiune);
- un monitor (de obicei, atașat la unitatea principală);
- o tastatură (de obicei, atașată la unitatea principală);
- un mouse;
- cabluri;
- unități de alimentare (de ex., pachete de alimentare și baterii de rezervă);
- eventual componente suplimentare (de ex., modemuri, imprimante, scanere, stații de
andocare, replicatoare de porturi, cititoare de carduri, modemuri USB, carduri inteligente și
dispozitive externe de stocare a datelor); și,
- dispozitive de rețea.
Calculatoarele personale (PC) au diverse tipuri și numere de porturi (adică în acest caz orificii fizice
precum porturile USB) pentru conectarea dispozitivelor de stocare externă, ecranelor de afișare,
tastaturilor, imprimantelor, mouse-urilor și altor dispozitive periferice. Dispozitivele pot fi, de
asemenea, conectate la un calculator printr-o conexiune wireless (de ex., WLAN, Bluetooth,
infraroșu).
32
Bateria care alimentează semiconductorul complementar din oxid metalic (CMOS) este utilizată pentru a
alimenta BIOS-ul (sistemul de intrare/ieșire de bază) care permite pornirea unui calculator.

PC-urile tind să utilizeze următoarele sisteme de operare: Microsoft Windows, Unix, Linux sau
MacOS. Un sistem informatic poate fi autonom sau poate fi conectat la o rețea.
Într-o rețea de calculatoare, se găsesc, de asemenea, componente suplimentare de rețea (de ex.,
cabluri de rețea, routere, hub-uri și comutatoare), care pot oferi conectivitate wireless.
După cum am văzut, suporturile de stocare și alte dispozitive electronice nu sunt întotdeauna ușor
identificabile ca atare. Este posibil ca acestea să fie ascunse în ceasuri de mână, bijuterii, chei, jucării
etc.
Adesea, dispozitivele de stocare digitale nu sunt stocate în apropierea sistemului informatic, ci într-
o cameră separată sau chiar într-o clădire diferită. În unele cazuri, suportul poate fi închis în cutii
speciale sau dulapuri (de ex., seifuri de securitate a datelor)
În sfârșit, următoarele articole pot fi, de asemenea, luate în considerare și pentru colectare și pot
oferi ajutor suplimentar la examinarea unui sistem informatic:
- Manuale pentru hardware și software (inclusiv CD ROM-urile originale);

- Note, jurnale, calendare și articole similare, pe care pot fi notate parole sau alte informații
conexe;
- Topuri de hârtie nescrisă cu indentații în relief;
- Literatură despre calculatoare;
- Documente imprimate de la calculator;
- Fotografii relevante; și
- Chei aferente calculatorului.
Această secțiune următoare descrie pașii necesari pentru indisponibilizarea unui calculator. Unele
dintre etapele inițiale au fost deja descrise în secțiunile anterioare.
Rețineți:
- Documentați locul faptei în mod continuu și înregistrați toate acțiunile pe care le

întreprindeți și orice schimbări pe care le observați pe monitor, calculator, imprimantă sau
alte dispozitive, ca urmare a acțiunilor dumneavoastră.
- Nu urmați niciun sfat neverificat din partea unui potențial suspect.
- În cazul în care aveți de a face cu o rețea de calculatoare, contactați un specialist în
criminalistică digitală din instituția dumneavoastră sau un expert extern identificat de
instituția dumneavoastră pentru asistență.
- Atenție, unele dispozitive pot fi conectate printr-o conexiune wireless (de ex., WLAN,
Bluetooth, infraroșu);

- Atenție, dacă există o conexiune de rețea, sistemul informatic poate fi accesat și
manipulat în timpul indisponibilizării (adică ori de câte ori este pornit și în raza conexiunii de
rețea).
Pași de urmat pentru securizarea locului faptei și indisponibilizarea echipamentelor:
- Percheziționați zona pentru următoarele componente/elemente;
- componentele sistemului informatic;

- suporturi de stocare digitale;
- componente suplimentare;
- alte dispozitive electronice; și,
- probe non-electronice.
- Realizați interviuri preliminare;

- Observați sistemul informatic și determinați dacă acesta este pornit sau oprit (a se vedea
mai jos);
- Documentați toate conexiunile și componentele și puneți etichete pe fiecare conexiune și
dispozitiv:
- Fotografiați și/sau schițați o diagramă a conexiunilor către/de la calculator și a

cablurilor corespunzătoare;
- Înregistrați probele conform procedurilor instituției dumneavoastră.
- Îndepărtați echipamentul cu atenție și înregistrați orice numere de serie sau de identificare.

Lăsați echipamentul să se răcească înainte de ambalare și îndepărtare.
- În cazul în care se impune transportul, împachetați componentele.
Graficele din Anexele A și B oferă o diagramă de flux ușor de urmărit pentru tratarea dispozitivelor
indisponibilizate. Utilizatorii sunt responsabili să se asigure că procedurile prevăzute în aceste
diagrame sunt în conformitate cu orice legislație națională sau ghiduri procedurale.
3.4.3 Verificarea stării de alimentare (pornit/oprit)
Această secțiune oferă câteva sfaturi referitoare la indisponibilizarea echipamentelor informatice și

a suporturilor de stocare.
Stabiliți dacă sistemul informatic este oprit sau pornit.

Majoritatea calculatoarelor au lumini de stare care arată atunci când calculatorul este pornit. Dacă
se aude zgomotul ventilatorului, sistemul este probabil pornit. În cazul în care carcasa calculatorului
este caldă, aceasta poate indica, de asemenea, că este pornit sau a fost oprit recent.
N.B. Unele dispozitive portabile se activează prin deschiderea capacului.
Dacă este posibil, luați întotdeauna în considerare îndepărtarea bateriei din calculatoarele și
dispozitivele portabile.

Calculatoarele portabile (de ex., calculatoarele portabile mici sau calculatoare portabile) au, de
obicei, o baterie, pe lângă alimentarea principală. Unele au chiar și o a doua baterie în unitatea
multifuncțională, în locul unității de dischetă sau unității de CD. Bateriile pentru astfel de dispozitive
sunt încărcate atunci când calculatorul portabil este conectat la o sursă de alimentare și, dacă este
complet încărcat, poate funcționa câteva ore. Adesea este greu de stabilit dacă un calculator portabil
este pornit sau oprit, atunci când este în modul de așteptare (standby).
Este posibil ca un sistem informatic care pare a fi oprit să fie în modul de repaus (sleep mode). Dacă
acesta este cazul, ar putea fi activat și accesat de la distanță permițând modificarea sau ștergerea
fișierelor.
Unele economizoare de ecran (screen saver) dau impresia că computerul este oprit. Observați
monitorul și încercați să determinați dacă acesta este pornit, oprit sau în modul de repaus.
Este posibil să vă confruntați cu una dintre următoarele situații:
Situația 1: Monitorul este pornit și produsul de lucru și/sau desktop-ul este vizibil.
- Documentați detaliile monitorului în momentul intervenției

- Continuați cu „Setarea B” astfel cum este descrisă mai jos.
Situația 2: Monitorul este pornit și ecranul este gol (modul de repaus) sau economizorul de
ecran (de exemplu, o imagine) este vizibil.
- Deplasați ușor mouse-ul (fără a apăsa butoanele). Ecranul ar trebui să se schimbe și

să arate produsul de lucru sau să solicite o parolă.
- Dacă mișcarea mouse-ului nu provoacă o modificare a ecranului, nu efectuați niciun
fel de alte apăsări de taste sau operații ale mouse-ului.
- Documentați detaliile monitorului în momentul intervenției
- Continuați cu „Setarea B” astfel cum este descrisă mai jos.
Situația 3: Monitorul este oprit.
- Luați notițe cu privire la starea „oprit”.

- Porniți monitorul, apoi determinați dacă starea monitorului este așa cum este descris
la Situația 1 sau 2 de mai sus și urmați pașii respectivi.
După ce ați stabilit dacă computerul este pornit sau oprit, va trebui să efectuați una dintre
următoarele:
Setarea A: Ați stabilit că sistemul este oprit; nu îl porniți!
- Scoateți cablul de alimentare de la echipamentul țintă (nu îl opriți la priza de perete)

și înregistrați timpul pentru realizarea acestui lucru.

- Dacă aveți de-a face cu un dispozitiv portabil, scoateți, de asemenea, și bateria, dacă
este posibil. Înlăturați orice baterii suplimentare, dacă este cazul (unele dispozitive
portabile au o a doua baterie în unitatea multifuncțională, în locul unei unități optice).
Dacă sistemul informatic este oprit, lăsați-l oprit, deoarece procesul de pornire va modifica
datele calculatorului și poate distruge probele.
Setarea B: Ați stabilit că sistemul este pornit; nu îl opriți!
- Încercați să contactați un specialist:
- Dacă este disponibil un specialist, urmați recomandarea acestuia;

- Dacă nu este disponibil un specialist, continuați cu instrucțiunea următoare.
- Nu atingeți tastatura sau alte dispozitive de intrare.

- Continuați cu pașii descriși la punctul 3.5.
Rețineți: Înlăturarea cablului de alimentare cu energie electrică din sistemul informatic va

afecta toate programele care rulează în prezent și toate datele stocate în prezent în memoria
RAM a calculatorului (inclusiv datele relevante, cum ar fi parolele) vor fi pierdute. Aceasta
ar include orice conexiune la internet, imprimare, documente nesalvate, istoricul navigării
private și accesul la volume/containere criptate.
Rețineți: Atunci când un sistem este pornit, este crucial să vă asigurați că suspectul este
securizat și nu se află în apropierea panourilor electrice, întrerupătoarelor de alimentare,
precum și a dispozitivelor mobile de comunicații. Au existat cazuri în care sistemele care
rulează cu criptare completă de disc au fost oprite în timpul percheziției, doar pentru că
suspectul a reușit să ajungă la panoul electric sau să trimită un semnal către un adaptor de
alimentare controlabil de la distanță.
Setarea C: Nu puteți determina dacă sistemul este pornit sau oprit.
- Presupuneți că este oprit. Nu apăsați întrerupătorul de rețea (pornit/oprit).

- Scoateți cablul de alimentare din echipamentul țintă (nu îl opriți la priza de perete) și
înregistrați timpul pentru realizarea acestui lucru.
- Dacă aveți de-a face cu un dispozitiv portabil, îndepărtați, de asemenea, și
acumulatorul. Îndepărtați orice baterie suplimentară, dacă este cazul (unele
dispozitive portabile au o a doua baterie în unitatea multifuncțională în locul unei
unități de dischetă sau unități de CD).
3.4.4 Colectarea rețelei de calculatoare
Rețineți - Dacă aveți un motiv întemeiat să credeți că există o rețea, contactați un specialist
în rețelele de calculatoare înainte de a ajunge la locul faptei. În cazul în care nu este

disponibil niciun specialist, informațiile furnizate în această secțiune vă pot ajuta atunci când
indisponibilizați echipamentul relevant.
O rețea de calculatoare poate fi indicată de:
- Prezența mai multor sisteme informatice;

- Prezența componentelor de rețea, cum ar fi:
- Plăcile de rețea (NIC sau interfață de rețea) și cablurile asociate (dacă nu este
wireless);
- Dispozitivele fără rețea wireless locală (WLAN) (de ex., punct de acces fără fir);
- Routere, concentratoare de rețea și comutatoare;
- Servere; și,
- Cablurile de rețea care rulează între calculatoare sau dispozitive centrale, cum ar fi
concentratoarele de rețea.
- Informațiile furnizate de informatori sau persoanele de la locul faptei.
Rețineți: În cazul în care aveți de a face cu o rețea de calculatoare, contactați un specialist

în criminalistică digitală din instituția dumneavoastră sau un specialist extern recomandat
de instituție pentru asistență.
3.4.5 Componente suplimentare
Așa cum am menționat mai sus, un sistem informatic poate include câteva componente
suplimentare, cum ar fi:
- Dispozitive de stocare externe conectate prin cabluri sau alte interfețe;
- Unitățile de hard disc externe,

- Unități optice externe (de ex., inscriptoare CD, DVD sau Blu-ray),
- Unități de dischetă,
- Unități cu bandă magnetică.
- Duplicatoare de unități;
- Mp3 playere;
- Modemuri USB;
- Carduri inteligente și cititoare de carduri inteligente;
- Imprimante;
- Scanere;
- Stații de andocare;
- Replicatoare de porturi;
- Carduri PC și cititoare de carduri de PC;
- Camere web (a se vedea aparatele de fotografiat digitale) și microfoane;

- Modemuri (interne sau externe, DSL, ISDN, rețele de date mobile);
- Dispozitive wireless:
- Dispozitive care activează Bluetooth (de ex., modemuri USB cu Bluetooth pentru
perifericele externe); și,
- Dispozitive cu funcție Bluetooth (de ex. căști, PDA-uri, calculatoare portabile mici,
telefoane, receptoare GPS).
Rețineți: Este posibil ca unele componente să aibă o altă funcție (de ex., pixuri, ceasuri,
bijuterii).
Vă rugăm să consultați informațiile de mai sus pentru instrucțiunile generale de indisponibilizare,

ambalare, transport și depozitare.
3.4.6 Suport de stocare digital
Adesea, următoarele suporturi de stocare nu sunt depozitate lângă calculator, ci fie într-o încăpere
separată, fie într-o clădire diferită (Așa cum s-a menționat la punctul 3.4.2 de mai sus, în unele
cazuri, suportul poate fi închis în căsuțe speciale așa-numitele cabinete de securitate a datelor):
- Dischete;
- Suport de rezervă (de ex. benzi magnetice);
- Suport optic;
- Unitățile de hard disc neconectate la calculator;
- Carduri pentru PC;
- Cartelă cu bandă magnetică;
- Carduri de memorie;
- Stilouri/chei/stick-uri de memorie USB;
- Modemuri USB;
- Discuri în stare solidă.

3.4.7 Alte dispozitive electronice
- Telefoane inteligente, tabele, asistenți digitali personali (PDA);

- Echipamente video (cameră video, videocasetofon (VCR));
- Reportofoane;
- Cipuri;
- Plăci de circuite;
- Plăci de extindere;
- Aparate de fotografiat digitale
- Tokene de acces (pentru informații de identificare/autentificare a cardului și a utilizatorului,
nivel de acces, configurații, permisiuni sau dispozitivul în sine), de ex.

- Carduri inteligente;
- Modemuri USB (modem USB de securitate), numite, de asemenea, și chei hardware;
- Portofele hardware pentru criptomonede; sau,
- Scanere biometrice.
- Telefoane;
- Roboți de telefon;
- Fax;
- Copiatoare.
- Aparate de dictat/reportofoane (a se vedea, de asemenea, roboții telefonici);
- Pagere;
- Console de jocuri cu capacitate de stocare internă și externă, etc .;
- Dispozitive GPS și alte dispozitive de poziționare prin satelit;
- Dispozitive purtabile (wearables - ceasuri inteligente, urmăritori de activitate (tracker) etc.);
- Cititoare pentru clonarea cardurilor de credit sau cititoare cu bandă magnetică;
3.4.8 Instrucțiuni generale de indisponibilizare pentru dispozitivele electronice
Trebuie luate în considerare următoarele aspecte în cazul indisponibilizării unui dispozitiv electronic
(aceleași recomandări oferite deja în Secțiunea 3.4.3 cu privire la calculatoare):
- Dacă dispozitivul este pornit, nu îl opriți, deoarece oprirea acestuia poate activa un mecanism
de blocare:
- Fotografiați afișajul (dacă este cazul) și înregistrați informațiile afișate;

- Dacă dispozitivul oferă „modul avion” sau „modul offline”, puneți dispozitivul în acest
mod, pentru a evita blocarea sau ștergerea de la distanță a datelor;
- Scoateți toate cablurile de alimentare (de obicei, este mai bine să le scoateți din
echipamentul țintă și nu de la priza de perete);
- Nu încercați să accesați memoria internă sau orice suport de stocare.
- Dacă acesta este dezactivat, nu îl porniți, deoarece aceasta ar putea modifica/distruge probe
(ca în sistemele informatice);
- Deconectați mai degrabă cablurile de rețea și de alimentare, decât dispozitivul, apoi
documentați-l și etichetați-l;
- Colectați/înregistrați informațiile importante:
- Colectați manualele și alte instrucțiuni, dacă sunt disponibile;

- Colectați documentația care conține coduri de acces la dispozitive (de exemplu,
numere PIN/PUK);
- Înregistrați datele relevante (de ex., numărul de telefon).
- Vă rugăm să consultați informațiile de mai sus pentru instrucțiunile generale de ambalare,

transport și depozitare:

- Întrucât bateriile au o durată de viață limitată, în cazul în care acestea se descarcă,
datele pot fi pierdute. Prin urmare, personalul corespunzător trebuie informat că un
telefon alimentat cu baterii necesită o atenție imediată;
- După indisponibilizare, înmânați aparatul unui expert, cât mai curând posibil. În cazul
dispozitivelor mobile (de ex. telefoane inteligente, tablete), acest lucru trebuie
efectuat imediat.
Rețineți: După indisponibilizare, dispozitivul trebuie înmânat unui specialist, cât mai curând
posibil. În cazul telefoanelor mobile, acest lucru trebuie efectuat imediat.
3.4.9 Asistenți digitali personali (calculatoare de buzunar)
Chiar dacă asistenții digitali personali (PDA, sau calculatoare de buzunar) nu sunt la fel de populari
în prezent cum erau în trecut, este totuși posibil să existe la locul faptei. Un PDA este un dispozitiv
mic care poate fi utilizat pentru calcule, telefon/fax, paging, conectare la rețea și alte lucruri. Acesta
este (a fost) utilizat, de obicei, ca organizator personal (sau organizator electronic). Un calculator
portabil se apropie de funcționalitatea completă a unui sistem de calculator de birou. Unele PDA-uri
conțin unități de disc, iar altele au slot-uri pentru carduri PC care suportă un modem, hard disc sau
alt dispozitiv. Acestea includ, de obicei, un mecanism de sincronizare a datelor lor cu alte sisteme
informatice, cel mai frecvent printr-o conexiune din suportul de bază. Dacă la locul faptei este găsit
un suport de bază, încercați să localizați dispozitivul de buzunar asociat. Un PDA poate conține
potențiale probe electronice la fel ca un sistem informatic.
Atunci când sunt indisponibilizate PDA-uri ca probe electronice, trebuie luate în considerare
următoarele;
Colectare:
- În cazul în care aveți de a face cu o rețea de calculatoare, contactați un specialist în

criminalistică digitală din instituția dumneavoastră sau un specialist extern recomandat
de instituția dumneavoastră pentru asistență.
- Rețineți faptul că unele PDA-uri pot fi conectate printr-o conexiune wireless (de ex.
Bluetooth, WiFi);
- Rețineți faptul că, dacă există orice conexiune la rețea, PDA poate fi accesat și
manipulat pe durata indisponibilizării (adică, ori de câte ori este pornit și în apropierea
unei conexiuni la rețea).
- Dacă la locul faptei se găsește un PDA pornit, nu apăsați butonul de RESETARE (RESET) și
nu îndepărtați bateriile, deoarece poate duce la pierderea completă a datelor stocate în PDA.
- Nu porniți și nu deschideți PDA-urile la momentul colectării;
- Indisponibilizați cablurile de alimentare și perifericele, inclusiv extensiile de memorie sau
elementele care conectează PDA-ul la calculator (de ex., bază, cablu, set de încărcare);

- PDA-urile au, de obicei, o funcție de oprire automată, care poate activa un mecanism de
blocare sau de criptare (acestea pot fi activate și prin oprirea acestuia):
- Evitați activarea criptării, păstrând PDA-ul în modul de funcționare (de ex., atingând
o secțiune goală a ecranului) până când este disponibilă asistența de specialitate.
- Ambalare, transport și depozitare;

- În așteptarea examinării, așezați PDA-ul în suportul de bază.

3.4.10 Telephone, telefoane inteligente și dispozitive tabletă
Un telefon este un receptor care se găsește fie:
- Independent (ca în cazul telefoanelor mobile);

- Cu o stație de bază la distanță (fără fir) sau
- Conectat direct la sistemul fix.
Un telefon mobil poate avea unele funcționalități suplimentare (de exemplu, posibilitatea de a realiza
fotografii digitale). Telefoanele mobile moderne au adesea un sistem de operare (cum ar fi iOS,
Android) care permite utilizatorului să îndeplinească sarcini care sunt asociate, în mod obișnuit, cu
sistemele informatice tradiționale, inclusiv primirea și transmiterea de e-mailuri, navigarea pe
internet, chat-ul, jocurile etc. Telefoanele mobile cu o astfel de funcționalitate extinsă se numesc
telefoane inteligente (smartphone).
Un telefon se poate alimenta de la o baterie internă, de la o priză electrică sau direct din sistemul
telefonic. Comunicarea în două sensuri este stabilită de la un receptor la altul, prin utilizarea de linii
fixe, transmisie radio, sisteme celulare sau o combinație de sisteme. Multe telefoane pot stoca nume,
numere de telefon și informații de identificare a apelantului. Multe telefoane mobile pot stoca, de
asemenea, nume, adrese, informații din calendar, detalii privind apelurile primite, primi e-mail,
trimite texte, pot acționa ca un reportofon și pot fi utilizate pentru a accesa internetul (așadar conțin
date de acces la internet). Accesul la multe telefoane mobile va necesita coduri PIN, parole sau alte
coduri de acces,
Dispozitivele tabletă sunt foarte similare cu telefoanele inteligente, dar au un ecran mai mare.
Acestea dispun de sisteme de operare proprii bazate pe versiunile de telefonie mobilă ale sistemelor
de operare. La fel ca telefoanele inteligente, acestea oferă o varietate aproape nelimitată de
funcționalități și permit utilizatorului să își instaleze propriile aplicații (apps).

ambalare, transport și depozitare. Acordați o atenție deosebită faptului că aceste dispozitive sunt
conectate, de obicei, la conexiuni WiFi sau de date mobile și pot oferi funcționalități de blocare,
modificare sau chiar ștergere de la distanță a datelor. A se vedea, de asemenea, secțiunea 3.4.

3.4.11 Carduri inteligente și carduri cu bandă magnetică
Un card inteligent este un dispozitiv mic de mână care conține un microprocesor (adică un „cip”.
Uneori acesta este numit card cip) care este capabil să stocheze o valoare monetară, cheie de
criptare sau informații de autentificare (parolă), certificat digital sau alte informații. De fapt, unele
carduri inteligente sunt mici calculatoare, deoarece acestea au, de asemenea, și un sistem de
operare (adică, un sistem de operare pentru carduri inteligente).
Cardurile inteligente pot fi utilizate pentru diferite scopuri și aplicații, de exemplu:
- Ca niște carduri cheie, care permit accesul fizic în zone/clădiri/încăperi cu acces restricționat;
- Furnizarea controlului de acces pentru calculatoare sau programe sau funcții (de ex., ca o
cheie de criptare);
- Permiterea retragerii numerarului la bancomate;
- Acționarea ca o portmoneu/portofel electronic (de ex., pentru plăți în magazinele cu
amănuntul);
- Ca un card de fidelitate sau card bancar de client;
- Ca un card de identificare pentru asigurări sociale sau guvernamental;
- Ca autorizare pentru accesarea anumitor servicii guvernamentale;
- Pentru crearea de semnături digitale;
- Ca o cartelă telefonică; sau,
- Pentru stocarea în alt fel a datelor, adreselor, codurilor de acces personale.
Datorită acestor diverse utilizări și a informațiilor pe care le poate conține, un card inteligent poate
conține potențiale probe, aproape în același mod ca un sistem informatic.
În conformitate cu standardele internaționale, un card inteligent trebuie să aibă 85,6 x 54 x 0,76

mm (adică, format ID-1, așa-numita „dimensiune a cardului ATM”), cu o placă de contact electrică
în partea din față a cardului. Adesea, cardurile inteligente vor avea, de asemenea, o bandă
magnetică pe partea din spate.
Există și alte standarde de carduri cu cip. De exemplu, formatul ID-0 (dimensiune 25x15x0.76mm),
care sunt utilizate în telefoanele mobile (cartela SIM de dimensiune maximă).
Token-urile USB33 conțin atât un cip (pe baza acelorași standarde ca un cip dintr-un card inteligent),
cât și funcționalitatea cititorului de card cu cip. Aceasta înseamnă că acestea sunt din ce în ce mai
populare pentru autentificarea în doi pași în scopul obținerii de servicii informatizate.
Există unele carduri inteligente, numite carduri inteligente fără contact (contactless), care utilizează
tehnologia de inducție în locul unei plăci de contact. Aceste carduri nu necesită contact fizic cu
cititorul de carduri, ci trebuie doar plasate în imediata apropiere a dispozitivului de citire. De
33
În calculul unui token este ceva care permite efectuarea unei anumite acțiuni. Deseori, acesta va fi un obiect
fizic care oferă acces electronic la un sistem sau program protejat sau la un fel de serviciu informatic.

asemenea, au fost dezvoltate carduri „super” inteligente care au o baterie internă, un mic ecran LCD
și o tastatură integrată. Aceste carduri au un nivel de securitate semnificativ îmbunătățit.
Majoritatea datelor și funcțiilor cardurilor inteligente sunt, de obicei, protejate de un cod personal
secret (numit număr de identificare personal sau PIN), iar datele de pe card devin accesibile după
introducerea codului corect pe tastatura calculatorului, pe tastatura cititorului de carduri (sau pe
cardul super inteligent în sine).
Există câteva reguli pentru manipularea cardurilor inteligente:
- Nu îl pliați;
- Nu îl expuneți la temperaturi extreme;
- Nu atingeți placa de contact electrică;
- Protejați-l de zgârieturi, lichide, influențe magnetice, etc
- Încercați să aflați codul PIN (căutați dacă este păstrat împreună cu cardul sau întrebați
utilizatorul (utilizatorii) de încredere).
- Nu încercați să obțineți accesul la datele/funcțiile de pe card, chiar și în cazul în care un
posibil suspect susține că v-a spus codul PIN. Mai multe încercări de introducere a unui PIN
fals pot duce la pierderea irevocabilă a datelor și blocarea cardului (în unele cazuri este
posibilă deblocarea cardului cu un alt cod personal secret numit cheie de deblocare personală
sau PUK).
- Fotografiați/notați/copiați informațiile tipărite pe card (de ex., identificarea deținătorului de
card, numere de cont, companii de cărți de credit, contacte de afaceri etc.
- Utilizați cardurile de protecție RFID pentru a evita alterarea fără contact a datelor;
- Dacă sunt prezente, indisponibilizați, de asemenea, orice cititoare de carduri inteligente
găsite.
3.4.12 Roboți telefonici
Un robot telefonic este un dispozitiv electronic care este parte dintr-un telefon sau este conectat
între un telefon și conexiunea fixă. Modelele mai vechi utilizează micro casete magnetice, în timp ce
aparatele moderne utilizează un sistem de înregistrare electronic (digital). Un robot telefonic
înregistrează mesajele vocale de la apelanți atunci când apelatul nu este disponibil sau alege să nu
răspundă la un apel telefonic. De obicei, acesta redă un mesaj înregistrat de proprietarul telefonului,
solicitând apelantului să lase un mesaj.
Aparatele de răspuns pot stoca mesaje vocale și, în unele cazuri, informații referitoare la ora și data
la care au fost lăsate mesajele. De asemenea, aceștia pot conține, de asemenea, și alte înregistrări
audio.
Potențialele probe de la un robot telefonic pot include:
- Informații de identificare a apelantului;

- Mesaje șterse;
- Ultimul număr apelat;

- Memo-uri vocale;
- Numere de telefon și nume; și,
- Benzi pentru micro casete.
Vă rugăm să consultați, de asemenea, informațiile de mai sus referitoare la instrucțiunile generale

privind indisponibilizarea, ambalarea, transportul și depozitarea.
3.4.13 Aparate de fotografiat digitale
După cum a fost deja discutat, un aparat de fotografiat digital este un dispozitiv pentru captarea de
imagini și video. Acesta are o memorie internă, suporturi de stocare aferente și hardware de
conversie capabil să transfere imagini și video pe calculator.
Potențiale probe pot fi găsite din:
- Aparatul de fotografiat în sine;

- Imagini (inclusiv metadate Exif34);
- Carduri de memorie amovibile;
- Sunet;
- Ora și data; și,
- Video.

3.4.14 Aparatele fax
Un aparat de fax (sau fax) este un dispozitiv pentru scanarea imaginilor și a textului și trimiterea
acestora prin linia telefonică. Această funcționalitate este disponibilă și pentru calculatoare (de ex.,
carduri PC/modem PC). Faxurile pot conține următoarele probe:
- Cartuș de film;
- Numere de telefon pre-programate (adică, liste scurte de apelare);
- Istoricul documentelor transmise și recepționate;
- Memorie care permite scanarea, stocarea și trimiterea faxurilor de ieșire din mai multe pagini
la un moment ulterior, sau stocarea și imprimarea ulterioară a faxurilor recepționate;
- Protocol de transmisie fax (adică jurnal de expediere/recepție);
- Antet; și,
- Reglarea orei.
34
Formatul fișier imagine interschimbabil (EXIF) este un format standard pentru imagini, sunet, aparate de
fotografiat și scanere etc. Dispozitivele care utilizează EXIF vor marca adesea imaginile cu anumite date despre
preluarea imaginii. Multe dispozitive moderne adaugă, de asemenea, și date GPS (așa-numita marcare geografică
(„geotagging”)).

3.4.15 Imprimante
Imprimantele pot păstra jurnalele de utilizare, informațiile privind ora și data și, dacă sunt atașate
la o rețea, acestea pot stoca informații referitoare la identitatea rețelei. În plus, caracteristicile unice
dintr-o imprimare pot permite identificarea unei anumite imprimante.
Potențialele probe de la o imprimantă includ;
- Documente;
- Stocare pe hard disc/memorie flash;
- Cartușe de cerneală;
- Identitatea/informații referitoare la rețea;
- Imagini suprapuse pe rolă;
- Ora și data; și,
- Jurnalul de utilizare a utilizatorului.
Vă rugăm să consultați informațiile de mai sus pentru instrucțiunile generale privind

indisponibilizarea, ambalarea, transportul și depozitarea.
3.4.16 Scanere
Scanerele sunt dispozitive digitale care scanează documente text și imagini pe suport de hârtie și le
stochează în format digital. Dispozitivul în sine poate fi o probă. În plus, imperfecțiunile scanerului,
care sunt reproduse în copiile scanate, pot permite identificarea unui anumit scaner ca fiind cel
implicat într-un act ilegal.

3.4.17 Fotocopiatoare (copiatoare)
Unele fotocopiatoare păstrează evidențele de acces ale utilizatorilor și un istoric al tuturor copiilor
realizate. Copiatoarele cu o caracteristică de tip „scanează o dată/tipărește multe”, salvează
documentul scanat în memorie pentru imprimarea ulterioară. Potențialele probe de la copiatoare
includ documente, marcajul privind ora și data și jurnalul de utilizare.


3.4.18 Aparate multifuncționale
Dispozitivele descrise în cele trei aliniate anterioare pot fi combinate într-un singur dispozitiv (de
ex., copiator, scaner și fax). Mai multe dispozitive separate fizic pot funcționa, de asemenea, ca un
singur aparat multifuncțional, dacă acestea sunt conectate printr-o rețea.
3.4.19 Pagere
Un pager este un dispozitiv care poate fi utilizat pentru a trimite și primi mesaje numerice (de ex.,
numere de telefon) și alfanumerice (text, adesea inclusiv e-mail).
Dispozitivele de calcul și telefoanele mobile pot fi, de asemenea, utilizate în calitate de pagere.

3.4.20 Dispozitive GPS și alte dispozitive de poziționare prin satelit
Dispozitivele de poziționare globală (GPS) pot furniza informații referitoare la locațiile anterioare și
jurnalele de călătorie, inclusiv informații despre destinație, puncte de parcurs și rute. Unele
dispozitive GPS stochează automat aceste informații. Potențialele probe găsite într-un dispozitiv GPS
pot fi următoarele:
- Locația de domiciliu;
- Destinații anterioare;
- Puncte de interes;
- Jurnale de călătorie;
- Urmărire/informații despre traseu;
- Coordonatele destinației; și,
- Numele destinației.

3.4.21 Dispozitive purtabile
Există mai multe tipuri de dispozitive purtabile care încorporează sisteme informatice foarte mici
integrate în haine sau accesorii. De obicei, acestea au un set de senzori (de ex. GPS, senzor giroscop,
senzor de ritm cardiac) și funcționalitate de comunicare (de ex., WLAN, Bluetooth). Aceste
dispozitive pot stoca mesaje și informații suplimentare, cum ar fi carnete de adrese, întâlniri,
calendare, activitatea utilizatorului, informații geografice și note. De asemenea, acestea au
capacitatea de a sincroniza informațiile cu un telefon inteligent sau un calculator. Potențialele probe
care trebuie luate în considerare includ:
- Carnet de adrese
- Calendare de numiri

- E-mail
- Geo-informații
- Evenimente de activitate
- Note și,
- Numere de telefon.
Unele dispozitive purtabile pot conține un dispozitiv de stocare, cum ar fi memoria flash, un token
USB sau chiar un aparat de fotografiat.

3.4.22 Cititoare cu bandă magnetică
Cititoarele cu bandă magnetică (de ex., cititoare pentru clonarea cardurilor de credit) citesc
informațiile conținute pe banda magnetică de pe cardurile de plastic. Potențialele probe conținute
pe banda magnetică includ:
- Detaliile deținătorului cardului;

- Data expirării cardului și numerele cardului de credit; și,
- Informații de securitate.
Vă rugăm să consultați informațiile de mai sus pentru instrucțiuni generale privind confiscarea,
ambalarea, transportul și depozitarea.
3.4.23 Sisteme pentru automobile
Cantitatea de componente electronice în rețea din vehicule este în continuă creștere, la fel și
cantitatea de date potențial probatorii, care pot fi extrase din aceste componente. Majoritatea
componentelor aparțin grupului de dispozitive IO (a se vedea 3.4.24), nefiind în același timp, în mod
necesar, conectate la internet. Sistemele electronice dintr-un vehicul se încadrează, de obicei, în
două categorii distincte:
- Sisteme de informare (locații GPS, Bluetooth, mesaje, apeluri telefonice, istoric internet,
aparate de fotografiat etc.)
- Sisteme auto (GPS, regulator de frână, viteză, regulator de accelerație, senzor de coliziune,
lumină/indicator stare, controler de stabilitate, senzor de distanță, senzor de ploaie, senzor
de presiune a aerului, utilizare airbag, număr de pasageri, service)
Toate informațiile de la senzori și controlul actuatoarelor sunt, de obicei, înregistrate de sistemele

încorporate în mașină. Pe baza acestor informații, pot fi furnizate câteva indicii de investigare
importante. Potențialele probe care trebuie luate în considerare includ:
- Date de navigare cu marcaje de oră (viteză, direcții, altitudine, geolocație, corecții GPS, ...);
- Deschiderea/închiderea portierelor sau a portbagajului;
- Utilizarea a diferite presetări pentru scaune

- Prezența persoanelor pe scaune;
- Apeluri, contacte, mesaje schimbate, agenda telefonică copiată de pe dispozitivele
conectate;
Informațiile colectate pot îmbunătăți calendarul investigației sau chiar pot oferi indicații referitoare
la utilizatorul mașinii și acțiunile acestuia.
În cazul perchezițiilor, mașinile și alte vehicule trebuie tratate cu aceeași prudență și principii care
se aplică și altor locuri ale faptei. Pe lângă instrucțiunile oferite în secțiunea 3.4.8, în cazul
indisponibilizării automobilelor trebuie luate în considerare următoarele:
- Pentru a evita alterarea datelor de pe sistemele electronice ale unui vehicul, se recomandă
ca întreg personalul de la locul faptei să își dezactiveze funcționalitatea WiFi și Bluetooth pe
propriile dispozitive. În caz contrar, dispozitivul acestora s-ar putea conecta la sisteme și ar
putea modifica datele (de ex., crearea de noi înregistrări de jurnal, suprascrierea vechilor
înregistrări de jurnal);
- Sistemele electronice primesc, de obicei, energie de la bateria din vehicul. În funcție de
situația alimentării, trebuie acordată prioritate documentării datelor vizibile pe ecran și
setarea sistemelor auto în modul de economisire a energiei, pentru a evita pierderea datelor
volatile;
- Dacă este posibil, un specialist ar putea analiza informațiile referitoare la sistemele
vehiculului în timpul operării acestora, deoarece unele date s-ar putea pierde la oprirea
sistemelor;
- Sistemele electronice dintr-un vehicul pot fi conectate extern, de ex. la rețelele mobile. Unele
sisteme pot fi controlate de la distanță. Astfel, vehiculul trebuie izolat;
- Numai personalul calificat trebuie să extragă fizic sistemele de informații dintr-un vehicul.
Componentele extrase trebuie considerate deteriorate și, prin urmare, nu trebuie reutilizate
niciodată în traficul real;
3.4.24 Internetul Obiectelor (IO) și dispozitivele inteligente pentru locuințe
Aproape fiecare dispozitiv fizic poate conține electronice încorporate, care conectează acest
dispozitiv fără fir sau conectat la o rețea locală, la Internet sau la ambele. Un astfel de sistem de
dispozitive interrelaționate, care sunt conectate și/sau controlate prin internet sunt denumite
„Internetul Obiectelor” (IO). De obicei, există trei roluri pentru dispozitive IO:
- senzori (termici, mișcare, lumină, deschidere, umiditate, locație, conexiune etc)

- dispozitive (raportarea stării, date de intrare vocale/video, stocare de date, actori
etc)
- Porți (gateway) (conectarea dispozitivelor, transferul datelor, control/filtru, acțiuni
declanșatoare)
Exemplele sunt aproape nedefinite și includ setări „locuință/grădină inteligentă”, roboți industriali,
sisteme de alarmă, sisteme de senzori/gestionare a traficului, sisteme de gestionare a lanțului de

aprovizionare. Vă rugăm să rețineți că oricare dintre aceste setări de automatizare (locuință
inteligentă etc.) poate, la fel de bine, fi un sistem local, nefiind conectat și/sau controlat prin internet.
Majoritatea dispozitivelor IO vor oferi cel puțin informații cu privire la momentul în care a fost utilizat.
Colectarea informațiilor din sursele IO disponibile va ajuta considerabil la documentarea cazului,
adăugând date și ore. În unele cazuri, o cronologie va ajuta la înțelegerea modului de operare,
uneori (in)validarea unui alibi sau excluderea persoanelor dintr-o listă de suspecți.
Pe lângă instrucțiunile date în secțiunea3.4.8, trebuie luate în considerare următoarele la

indisponibilizarea dispozitivelor IO/locuință inteligentă:
- Deoarece unele dispozitive IO își creează propriile puncte de acces WiFi neprotejate sau
încearcă să se conecteze prin Bluetooth, se recomandă ca întregul personal de la locul faptei
să dezactiveze funcționalitatea WiFi și Bluetooth pe propriile dispozitive. În caz contrar, este
posibil ca dispozitivele acestora să se conecteze la rețelele neprotejate și să modifice datele
(de ex., să creeze noi înregistrări de jurnal, să suprascrie vechile înregistrări din jurnal) sau
chiar să declanșeze acțiuni;
- Este dificilă identificarea manuală a tuturor dispozitivelor IO. Un scaner de rețea și/sau un
analizator de spectru ar putea ajuta la depistarea unor astfel de dispozitive, dacă legislația
o permite. Trebuie avut în vedere faptul că diferite standarde IO utilizează frecvențe diferite
în diferite benzi;
- Dacă este posibil, un specialist poate analiza informațiile privind IO în timpul funcționării,
deoarece majoritatea dispozitivelor IO își pierd o parte din date atunci când sunt oprite.
Toate acțiunile întreprinse trebuie documentate în detaliu;
- Cel mai probabil, dispozitivele IO sunt conectate și accesibile extern. Acestea trebuie izolate
de rețelele lor, de ex. prin tăierea alimentării cu energie, după achiziția live a datelor
acestora.
- Ambalați dispozitivele în cutii de carton sau pungi de hârtie și nu în materiale plastice,
separat de alte bunuri, obiecte de valoare sau înscrisuri probatorii;
3.5 Percheziție și indisponibilizare în cazul scenariilor cu date live
Probabil că criminalistica datelor live este necesară atunci când la locul infracțiunii există calculatoare
și dispozitive electronice pornite și în funcțiune. În primii ani ai investigării criminalistice a
calculatoarelor, ori de câte ori un investigator găsea un sistem în funcțiune în timpul unui proces de
percheziție și indisponibilizare, sfatul era „Scoateți din priză”! De atunci, volumul de date volatile
păstrate în memorie, utilizarea conexiunilor la distanță și a software-ului de criptare s-au dezvoltat
enorm. Scoaterea din priză înseamnă că toate datele volatile vor fi pierdute pentru anchetă,
conexiunile de la distanță vor dispărea și fișierele deschise pot fi blocate și criptate. Aceste date și
informații pot avea o valoare probatorie semnificativă, iar necesitatea de a capta date live, a dus la
un set de proceduri și ghiduri revizuite. Posibilitatea de a modifica sau chiar suprascrie probe este

foarte ridicată, iar criminalistica datelor live necesită un nivel mult mai ridicat de cunoștințe și
expertiză tehnică.
În ceea ce privește Criminalistica datelor live, principiile 1 și 2 definite în introducerea la prezentul

Ghid sunt deosebit de relevante. Investigatorii trebuie să fie calificați și competenți pentru a efectua
pașii necesari și pentru a utiliza tehnici care să reducă la minim impactul asupra sistemului. O pistă
detaliată de audit a tuturor acțiunilor efectuate împreună cu orele la care au fost întreprinse este
vitală.
Examinarea criminalistică a unui sistem aflat în funcțiune necesită pregătire specifică, experiență
practică și un set de instrumente criminalistice validate. Dacă la locul faptei nu există niciun
examinator cu acest set de competențe, trebuie solicitată asistența imediată a unei unități de
specialitate. Cu toate acestea, în cazul în care nu poate fi găsită nicio persoană, scoaterea din priză
și pierderea datelor volatile pare o variantă mai justificată decât riscul unei posibile contaminări a
probelor prin încercări neinformate de captură a datelor live.
Înainte de a intra în detalii cu privire la modul de obținere a diferite tipuri de date volatile, trebuie
să definim datele volatile și tipul de probe pe care acestea le pot furniza.
3.5.1 Date volatile
În sensul prezentului Ghid, „Datele volatile” sunt definite după cum urmează:
Datele volatile sunt date care sunt stocate digital într-un mod în care probabilitatea este
foarte mare ca acestea să fie șterse, suprascrise sau modificate într-o perioadă scurtă de
timp, din cauza interacțiunii umane sau automate.
Datele volatile sunt extrem de fragile și se vor pierde dacă nu sunt salvate rapid și corect. În
sistemele IT moderne, cantitatea de informații deținute în Memoria volatilă de acces aleatoriu (RAM)
poate fi de până la 16 GB sau 32 GB de date (echivalentul a aproximativ sute de mii de imagini) și
nu doar datele stocate în memoria RAM pot fi cele pierdute. Datele din mediile IT moderne nu sunt
întotdeauna stocate și prelucrate local. O gamă largă de servicii oferă stocare ieftină și chiar gratuită
și resurse puternice de prelucrare pe sisteme la distanță (adică, Cloud). Accesul la aceste date va fi
reglementat de legislația țării care găzduiește datele și este posibil ca accesul să nu fie posibil decât
pe durata percheziției. Într-adevăr, în unele țări, legile naționale pot interzice accesul la aceste date
sau achiziția acestora, chiar și de pe un sistem aflat în funcțiune.

Există diferite tipuri de date volatile cu care investigatorul trebuie să fie familiarizat:
1. Date volatile pe calculatorul fizic, cum ar fi conexiunile de rețea deschise, procesele și

serviciile care operează, cache-urile ARP35 și DNS36.
2. Datele tranzitorii care nu sunt volatile prin natura lor, ci sunt accesibile doar la locul faptei.
Volumele criptate, precum și resursele la distanță sunt exemple de acest tip de date. Aceste
date pot deveni inaccesibile, pot fi modificate sau șterse, dacă investigatorul nu este în
măsură să le achiziționeze în momentul percheziției.
Ambele categorii sunt examinate în continuare mai jos.
Acest tabel realizat de Farmer și Venema 37 descrie intervalul de timp posibil pentru obținerea
diferitelor tipuri de date:
Tip de date Grad de volatilitate
Registre, memorie periferică, cache-uri etc. Nanosecunde
Memorie principală Zece nanosecunde
Starea rețelei Milisecunde
Procesele în execuție Secunde
Disc Minute
Dischete, suporturi de rezervă etc. Ani
CD-ROM-uri, documente imprimate etc Zeci de ani
Datele volatile pot fi surse bogate de probe. Un calculator „live” (aflat în funcțiune) poate afișa
procesele care sunt executate în prezent (adică, arată ce operațiuni efectuează calculatorul),
memoriile în cache (unde datele sunt stocate temporar), conexiunile la rețea și dezvăluie orice date
stocate în memorie. De asemenea, memoria poate conține informații utile, cum ar fi parole sau
aplicații decriptate (utile, în cazul în care un aparat are instalat software de criptare) și, uneori, chiar
și coduri ostile, care nu au fost salvate pe disc. Dacă ar fi urmată abordarea tradițională de „scoatere
din priză”, astfel de informații utile s-ar pierde. Cu toate acestea, dacă datele sunt capturate înainte
35
ARP înseamnă Protocol de rezolvare a adreselor. Este un set de reguli și standarde acceptate, în mod obișnuit,
utilizate pentru a converti o adresă IP într-o adresă hardware fizică, astfel încât mesajele dintr-o rețea să fie
trimise dispozitivului corect.
36
DNS reprezintă Sistemul de nume de domenii. DNS este un fel de bază de date care leagă seria de numere
utilizate ca adresă IP la numele de domenii mai prietenoase pentru utilizatori.
37
D. Farmer și W. Venema (2006), Descoperirea criminalistică, Addison & Wesley, ISBN 0-201-63497-X

de a întrerupe alimentarea, un investigator va avea o mulțime de informații suplimentare care se
adaugă la dovezile de pe hard disc.
Este probabil ca următoarele să fie stocate în memoria volatilă:
- Procesele în execuție;
- Servicii în execuție;
- Chei de criptare;
- Informații despre sistem;
- Conectat la utilizatori;
- Ascultare și deschiderea porturilor;
- Cache ARP (protocol de rezolvare a adreselor);
- Cache DNS;
- Informații de pornire automată;
- Informații de registru nescrise încă pe disc;
- Documente nesalvate;
- Binare de proces, servicii incluzând cele ale programelor de coduri ostile ce rezidă doar în
memorie.
Într-un scenariu de percheziție și indisponibilizare, un investigator poate conserva datele volatile în

felul următor:
- Identificați, securizați, documentați și fotografiați fiecare dispozitiv care conține date

volatile;
- Observați și izolați potențialii suspecți și alte persoane de la echipament și împiedicați-i să
modifice sau să distrugă probele;
- Monitorizați componentele IT și împiedicați modificarea sau distrugerea automată a probelor.
3.5.2 Acces fizic
În cazul unei percheziții, poate fi dificil să se stabilească cu ușurință dacă un computer este pornit
sau nu. În plus față de pașii prevăzuți în secțiunea 3.4, iată câteva sfaturi referitor la ceea ce trebuie
să faceți în astfel de circumstanțe.
- Documentați starea calculatorului făcând o fotografie.

- Căutați și ascultați semnele care arată că acesta este pornit. Ascultați sunetul ventilatoarelor
care rulează, unitățile care se învârtesc sau verificați dacă diodele care emit lumină (LED)
sunt activate.
- Încercați să mișcați mouse-ul, dar nu apăsați niciun buton.
- Observați ecranul pentru orice indicație a unui economizor de ecran sau ecran de
autentificare (login).
- Documentați starea ecranului făcând o fotografie.

În cazul în care calculatorul se dovedește a fi pornit, dar apare un economizor de ecran, primele
lucruri de făcut sunt:
- Observați ecranul în timp ce mișcați mouse-ul;

- Dacă un economizor de ecran dispare și obțineți acces la sistem fără a vi se solicita o parolă,
puteți continua cu următorii pași de Criminalistică a datelor live (dacă sunteți complet
pregătit și competent în acest sens);
- Dacă economizorul de ecran este blocat cu o parolă întrebați suspectul, verificați dacă indiciul
de parolă este activat în interfața economizorului de ecran, căutați note sau alte indicii. Dacă
se obține parola, atunci dezactivați-o și continuați cu următorii pași de Criminalistică a
datelor live.
- Dacă nu descoperiți parola, există tehnici de achiziție a RAM prin interfețele FireWire și
Thunderbolt, utilizând mecanismele de evitare a parolelor sau prin utilizarea metodei de
pornire la rece („cold boot”). Aceste tehnici trebuie utilizate doar de specialiștii în
Criminalistica datelor live.
- În oricare dintre aceste cazuri: Documentați starea ecranului făcând o fotografie.
În cazul în care calculatorul este pornit, dar nu este protejat de un economizor de ecran sau de un
ecran de autentificare sau ați reușit să obțineți parola:
- Verificați ecranul de afișare pentru a vedea semne că sunt distruse probe digitale. Cuvintele
pe care trebuie să le aveți în vedere includ „șterge”, „formatează”, „elimină”, „copiază”,
„mută”, „taie” sau „șterge”;
- Căutați semnele de criptare utilizate (descrise mai târziu);
- Căutați semne că este accesat calculatorul de la un calculator sau dispozitiv de la distanță;
- Căutați semne că sunt utilizate servicii cloud (descrise la 3.5.3.1.);
- Căutați semne de comunicare activă sau continuă cu alte calculatoare sau utilizatori, cum ar
fi ferestrele de mesagerie instantanee sau camerele de chat;
- Căutați semne că aparatele de fotografiat sau camerele web (web cam) sunt active;
- Continuați să mișcați mouse-ului pentru a evita activarea unui economizor de ecran sau a
blocării;
- Căutați semne că mașinile virtuale sunt pornite și poate că sunt în modul ecran complet (full
screen mode);
- În toate aceste cazuri: Documentați starea ecranului făcând o fotografie.
Nu există nicio Procedură de Operare Standard pentru Criminalistica datelor live care să acopere
absolut fiecare situație. Deoarece fiecare percheziție este diferită, examinatorul cu experiență va
trebui să aleagă măsurile adecvate în funcție de circumstanțe. O diagramă de flux pentru unele
dintre procedurile de bază se găsește în Anexa B:
Pentru a ajuta la o mai bună înțelegere a ceea ce ar putea fi vizibil pe ecranul unui calculator, iată
câteva fotografii din scenarii de percheziții și indisponibilizări simulate.

Turned on = pornit / activat / în funcțiune

Acesta este un calculator portabil care execută sistemul de operare Linux „Ubuntu” cu Interfața
grafică cu utilizatorul (GUI) „Gnome”38. Dreptunghiul roșu din partea de sus a imaginii arată unele
dintre ferestrele active (de ex., programul de navigare (browser) Firefox), data și ora curente (în
centru) și pictogramele din tava de sistem, plus o pictogramă utilizator/ pornit/oprit (în dreapta).
Dreptunghiul albastru arată bara de titlu a ferestrei deschise curent. În acest caz, este afișată pagina
web deschisă curent și faptul că „Mozilla Firefox”, un program de navigare pe internet, este deschis!
Dreptunghiul verde (la stânga) arată programele preferate ale utilizatorului, precum și aplicațiile
care sunt în execuție în prezent (cele cu un mic punct lângă pictogramă). Un investigator
experimentat ar putea observa pictograma Veracrypt , care indică faptul că Veracrypt este în
curs de execuție. Este posibil ca uneori să nu fie cazul, Veracrypt operează, de obicei, în fundal.
Dreptunghiul portocaliu arată că un site web a fost deschis.
Acesta este un exemplu de calculator care operează cu Windows 10. Dreptunghiul roșu arată bara
de activități cu un meniu de program, o bară de căutare și comenzi rapide (în stânga), ferestrele
38
O Interfață grafică cu utilizatorul (GUI) sau interfața grafică este denumirea dată reprezentării prietenoase pe
ecranul unui calculator a modului în care utilizatorul interacționează cu calculatorul prin intermediul imaginilor și
pictogramelor.

active (centru) și pictogramele din tava de sistem, precum și ceasul (dreapta). Programele active
din comenzile rapide pot fi ușor identificate, deoarece au o bară albastră sub pictogramele lor. În
acest caz, Windows Explorer (dreptunghi albastru) și Windows Edge (fereastra din stânga) sunt
deschise, iar Windows Mail (dreptunghi verde) este în execuție în fundal.
Această imagine arată un calculator portabil care pare a fi un MacBook. Pe MacBook, un investigator
s-ar aștepta să opereze sistemul de operare macOS, dar în acest caz, dispozitivul pare să execute
Windows 10. O atenție deosebită trebuie acordată ferestrei „Actualizare Windows” din stânga
ecranului. Un proces de actualizare Windows ar reporni calculatorul dacă investigatorul nu
reacționează în mod prompt. Acest lucru ar putea însemna că documentul nesalvat afișat pe ecran
ar putea fi pierdut pentru totdeauna.

This is our last warning! = Acesta este ultimul nostru avertisment!
Do not mess with us = Nu vă puneți cu noi
We will bomb all your buildings if you… = Vă vom arunca în aer cu bombe toate clădirile dacă voi…
Free them now! = Eliberați-i acum!
Otherwise bad things will happen!!! = În caz contrar se vor petrece lucruri urâte!!!
O privire mai atentă asupra calculatorului dezvăluie faptul că acesta execută, de fapt, Windows 10,
în interiorul unei mașini virtuale, astfel încât șansele de recuperare a documentului respectiv ar fi și
mai scăzute. Bineînțeles, o dată ce a realizat acest lucru, un investigator ar efectua criminalistica
datelor live pe ambele aparate, pe cel virtual și pe „gazda” MacBook.
Atunci când desfășoară criminalistica datelor live în scenarii precum cele din fotografii, schimbările
aduse sistemului sunt inevitabile. Examinarea „live” presupune utilizarea instrumentelor pe sistemul
aflat în funcțiune, ceea ce inevitabil îi va cauza modificări. Totuși, examinatorul trebuie să încerce
să realizeze captura cât mai multor date volatile posibil, lăsând o amprentă cât mai mică a acțiunilor
sale.
Ordinea în care se realizează captura datelor ar putea fi, de asemenea, crucială, iar examinatorul
trebuie să ia în considerare cu atenție ordinea colectării datelor. Deși fiecare scenariu de percheziție
și indisponibilizare va avea în vedere considerente specifice cazului, se recomandă o metodologie
predefinită bazată pe ordinea volatilității.
Poate fi utilizată scrierea unui program simplu (de ex., în Bash (Linux), Batch (Windows) sau Python)
pentru a stabili un flux de lucru standardizat. Cadrele existente, cu funcționalitate suplimentară,
cum ar fi Setul de instrumente al primului respondent FiRST (disponibil gratuit pentru autoritățile de
aplicare a legii prin intermediul FREETOOL Hub39) pot oferi suport unui investigator, în cazul în care
acesta nu are pregătire în domeniul programării.
39
https://thefreetoolproject.eu/

Pentru investigatorii care caută instrumentele potrivite pentru achiziționarea de date volatile, Kuhlee
și Voelzow40 au creat o listă de fragmente de programe și instrumente care să ajute:
Fragment volatil Instrumente Windows Instrumente Linux
Conținutul memoriei calculatorului (RAM) Winpmem Linpmem, Lime
Rutare-Tabele, cache-uri ARP, statistici Kernel Rută PRINT, arp –a, netstat netstat –r –n
route
arp –a
Cache DNS Ipconfig /displaydns rndc dumpdb (if

installed)
Liste de proces PsList, ListDLLs, ps –ef, lsof

CurrProcess, tasklist
Conexiuni active de rețea (prize) netstat –a netstat –a, ifconfig
Programe/servicii care utilizează conexiuni de sc queryex, netstat -ab netstat -tunp

rețea
Fișiere deschise Handle, PsFile, Openfiles, lsof, fuser

net file
Partajări de rețea Net share, Dumpsec showmount –e,

showmount –a
smbclient –L
Porturi deschise OpenPorts, ports, netstat –an, lsof

netstat –an
Utilizatori autentificați acum Psloggedon, whoami, ntlast, w, who -T,

netusers /l last
Sisteme de fișiere criptate montate Manage-bde (Bitlocker), mount -v,

efsinfo (EFS) ls /media
Sisteme de fișiere conectate temporar Fsinfo, reg (Mounted mount -v,

Devices) ls /media
Date de înregistrare și monitorizare de la distanță psloglist /etc/syslog.conf

Port UDP 514
Configurație fizică, topologie de rețea Systeminfo, msinfo32, ifconfig –a

ipconfig /all ip addr
Suport de stocare reg (Mounted Devices), Net mount -v,

share, netstat –a ls /media
40
Kuhlee și Voelzow (2012), Computer Forensik Hacks, O’Reilly, ISBN 978-3-86899-121-5,
http://www.forensikhacks.de

Fragment volatil Instrumente Windows Instrumente Linux
Ceasul sistemului (pentru a determina decalajul cu time /T, date /T, uptime ora, data, ora de
ceas radio) funcționare
Variabile de mediu cmd /c set env, set
Clipboard Pclip xclip
Conținutul discurilor FTK Imager, EnCase, Dc3dd, ewfacquire,

Tableau Imager Guymager
Multe dintre aceste instrumente pot fi găsite fie în suita Sysinternals41 a Microsoft, fie, pentru Linux,
în arhiva CERT. 42 Lista nu este în niciun caz exhaustivă. De exemplu, pe sistemele Linux,
investigatorul trebuie să ia întotdeauna în considerare, de asemenea, și achiziționarea informațiilor
volatile stocate în sistemul de fișiere virtual /proc.
Atunci când alcătuiește un set de instrumente de criminalistică a datelor live, investigatorul trebuie
să ia în considerare următoarele:
- Să selecteze numai instrumente care au cel mai redus impact asupra sistemului. Pentru
achiziționarea RAM, de exemplu, un instrument mic precum „WinPMem 43” este de preferat
unui instrument grafic greu precum “FTK Imager”.
- Instrumentul trebui să fie dotat cu propriile sale fișiere executabile, astfel încât investigatorul
să poată executa instrumentul, fără a utiliza binare care nu sunt de încredere 44 din sistem.
Investigatorul trebuie să utilizeze, de asemenea, numai instrumente și scripturi a căror
funcționalitate o poate explica în instanță.
- Instrumentul/scriptul trebuie să fie automatizat și să nu necesite multă interacțiune cu
utilizatorii. Investigatorul nu își va aminti toate opțiunile pentru toate comenzile și nici nu va
putea monitoriza fiecare proces pe mai multe dispozitive.
- În mediile companiilor, instrumentele trebuie să includă o funcționalitate de triaj, care să
furnizeze investigatorului suficiente informații pentru a determina dacă un incident a avut
loc.
- Instrumentul trebuie să adune numai date care sunt volatile. Nu este necesar să achiziționați
date care pot fi găsite, de asemenea, și pe hard discul calculatorului, odată ce acestea au
fost analizate.
Există, de asemenea, disponibile câteva DVD-uri de Criminalistică preconfigurate, care vin la pachet
cu o gamă largă de instrumente pentru criminalistica live. Deși este foarte recomandat ca
investigatorul să își creeze propriul set de instrumente adaptate propriilor necesități personale,
41
http://technet.microsoft.com/en-gb/sysinternals
42
https://forensics.cert.org
43
https://github.com/Velocidex/c-aff4/releases
44
Un fișier „binar” este un program de calculator care poate fi executat de calculator.

cazuri și legislație, aceste DVD-uri pot oferi o bună idee cu privire la instrumentele care trebuie
încorporate în setul său de instrumente personale și pot fi, de asemenea, o bună alternativă pentru
investigatorii care își încep activitatea în domeniul criminalisticii datelor live.
Caine Live-CD cu NirLauncher, Nanni Bassetti și colab., Https://www.caine-live.net
SIFT, de Institutul SANS, https://digital-forensics.sans.org/community/downloads
Paladin Edge, Sumuri Criminalistica, https://sumuri.com/software/paladin/

Sfaturi suplimentare
Atunci când investigatorii efectuează criminalistica datelor live asupra unui sistem, aceștia nu trebuie
să stocheze niciodată datele obținute pe suporturile de stocare ale calculatorului țintă, ci trebuie să
conecteze suporturile de stocare externe pregătite ca probe judiciare Pe lângă asigurarea unei
rezerve a acestui suport de stocare extern, trebuie să fie pregătite și gata de utilizare alte dispozitive
care conțin instrumente de criminalistică a datelor live.
Opțiunile pentru dispozitivele de stocare includ:
- Stick-uri de memorie USB: Acestea sunt foarte rapide și fiabile, dar sunt necesare stick-
uri USB cu o capacitate de memorie echivalentă cu volumul de RAM;
- Unități de hard disc externe (HDD-uri): Acest tip de opțiune trebuie ales ori de câte ori
urmează a fi copiate volume mari de memorie. Modelele cu o varietate de posibili conectori
(USB/eSATA/FW) sunt mai flexibile.
- DVD-uri: Ideal pentru ca instrumentele de criminalistică a datelor live să fie utilizate pe
sistemul țintă. Protecția la scriere a DVD-R-urilor protejează binarele (programele) de
încredere împotriva modificărilor.
- HDD-uri externe cu DVD-uri virtuale: Acestea combină avantajele ambelor - stocarea
rapidă, accesibilă și fiabilă a hard-discului extern și protecția la scriere a DVD-ROM-ului. Un
investigator își poate salva discurile de pornire (boot) criminalistice ca fișiere ISO45, într-un
folder special și le poate monta46 ca un DVD-ROM virtual, fără riscul de a afecta binarele
validate.47 Un astfel de exemplu de dispozitiv este Zalman ZM-VE500 (USB 3.0).
45
Un fișier ISO este ca o casetă care conține o copie completă, arhivă sau imagine a unui disc.
46
Adică, le face accesibile sistemului.

În pregătirea mijloacelor de achiziție și a instrumentelor de criminalistică a datelor live, investigatorul
trebuie să ia în considerare următoarele:
- Formatați-vă suporturile cu NTFS48 (datorită dimensiunii fișierelor și a limitărilor de volum

ale sistemului de fișiere FAT49);
- Luați în considerare pregătirea unui al doilea set de suporturi cu un format diferit al
sistemului de fișiere (de ex. EXT4 pentru sistemele care nu au suport pentru NTFS);
- Preconizați și fiți pregătiți pentru mai multe sisteme de operare precum Windows, Mac și
Linux;
- Validați-vă în prealabil binarele de încredere50;
- Testați funcționalitatea corectă a configurației dumneavoastră de boot-DVD51/ HDD;
- Asigurați-vă că vă cunoașteți instrumentele ÎNAINTE să percheziționați incinta;
- Aduceți suficient spațiu de stocare;
- Evitați contaminarea încrucișată ștergând unitățile de destinație înainte de fiecare
percheziție;
- Utilizați o structură de folder plată pentru a limita impactul asupra memoriei RAM.
3.5.2.1 Criptarea
Criptarea, în special „criptarea completă de disc” devine din ce în ce mai populară, nu numai pentru
persoanele care doresc să ascundă activitățile infracționale, ci și pentru companiile cu informații
sensibile din punct de vedere comercial sau confidențiale și necesitatea de a proteja date cu caracter
personal. Adesea, politicile companiei vor impune ca toate dispozitivele mobile (inclusiv suporturile
externe și calculatoarele portabile) să fie criptate utilizând software precum Microsoft Bitlocker,
Steganos, PGP etc. În prezent, furnizorii de hardware vor include, de asemenea, și opțiuni de criptare
în calculatoarele lor portabile și unitățile lor de hard disc.
O dată ce criptarea pe un hard disc a fost activată, este posibil să fie prea târziu pentru investigație.
Criptarea puternică necesită clustere criptografice specializate și mult timp pentru a putea fi
decriptată și chiar și în acest caz, este posibil să nu poată fi realizată. În cel mai rău caz, criptarea
va împiedica analizarea oricăror date făcând ca chiar și cele mai mari unități de hard disc, cu terabiți
de informație, să nu aibă nicio valoare.
Așadar, cum ar împiedica investigatorul criptarea unui disc? Cum poate fi detectată criptarea și ce
trebuie făcut atunci când este detectată criptarea?
48
NTFS înseamnă „Sistem de fișiere de tehnologie nouă” și este o modalitate de a înregistra și aranja fișierele
Windows.
49
FAT înseamnă Sistem de alocare fișiere pentru evidența fișierelor stocate pe un hard disc.
50
Cu alte cuvinte, asigurați-vă că instrumentele software pe care le veți utiliza au fost testate și sunt exacte.
51
Un boot-DVD este DVD-ul pe care îl utilizați pentru „pornire” sau încărcarea unui sistem de operare sau a unui
program de utilitate (util).

Un bun punct de plecare este căutarea de semne vizibile ale software-ului de criptare utilizat. Numele
tipice de software sunt, după cum am menționat mai sus, Microsoft Bitlocker, Veracrypt, Truecrypt,
Steganos, PGP și pictogramele acestora pot fi văzute.
Exemplu de elemente din tava de sistem pentru software de criptare
Urmele software-ului de criptare pot fi, de asemenea, găsite în procesele în execuție, în dialogul
software instalat, registru (de ex., dispozitive montate, software instalate, extensii de fișiere
asociate) și, de asemenea, în Windows Explorer.
Discul criptat Microsoft Bitlocker în vizualizarea Windows Explorer
Atunci când a fost utilizat Microsoft Bitlocker, sistemul de operare poate oferi investigatorului
informații referitoare la unitățile criptate montate, prin introducerea următoarei comenzi52:
manage-bde –status
În cazul în care investigatorul observă indicii care arată că este utilizată criptarea, acesta trebuie să
procedeze după cum urmează:
- Dacă descoperiți că discurile sau containerele criptate sunt încă montate în sistem, copiați-
le în timp ce încă mai aveți acces la respectivul sistem live;
- În cazul în care este utilizat Bitlocker pentru a monta un volum criptat, salvați Cheia de
recuperare de 48 de cifre utilizând comanda:
manage-bde -protectors -get <volume name>
- După aceea, copiați fișierele. Dacă volumele sau containerele criptate nu sunt montate și
sunt încă criptate, cereți suspectului parola, tastele/suportul de decriptare și cum să
decriptați fișierele (fără a pierde din vedere faptul că un suspect poate încerca să ofere
informații false);
- Dacă interogarea are succes, decriptați datele și copiați-le;
- Asigurați-vă că niciun economizor de ecran, baterie descărcată sau funcție de economisire a
energiei nu întrerupe și interferează cu salvarea fișierelor criptate.
52
O comandă este o instrucțiune directă către sistemul de operare al unui calculator.

Important: Decriptarea cu succes poate să nu depindă numai de parole, ci și de cipurile TPM (Modul
platformă de încredere) din hardware-ul sistemelor, de fișierele cheie stocate local sau pe suporturi
externe (cum ar fi o Cheie USB). Dacă s-a utilizat autentificarea în două etape, deținerea parolei
este inutilă, cu excepția cazului în care este găsită a doua componentă. De aceea este atât de
importantă indisponibilizarea tuturor surselor de probe digitale existente la fața locului.
Important: În cazul Criptării complete de disc TrueCrypt53/Veracrypt este posibilă împărțirea hard
discului în două părți cu două parole diferite - o parte conținând toate datele secrete, cealaltă parte
conținând doar date neimportante. Dezvoltatorii au inclus această caracteristică pentru situația în
care utilizatorul este obligat să își divulge parola împotriva voinței sale. Pentru a-și demonstra
cooperarea și pentru a evita pedeapsa, utilizatorul trebuie să își divulge parola părții exterioare, care
conține doar datele neimportante. Investigatorul trebuie să verifice întotdeauna dacă dimensiunea
tuturor volumelor afișate se potrivește cu dimensiunea completă a suportului.
Procedurile descrise mai sus sunt disponibile în Anexa B.
3.5.3 Acces de la distanță
Așa cum s-a menționat anterior, un investigator care efectuează o percheziție cu sisteme în execuție,
trebuie să se ocupe nu doar de datele volatile stocate local, în componentele calculatorului, ci și de
datele tranzitorii care ar putea fi stocate în afara calculatorului care rulează. În special în mediile
corporative este posibil să găsiți infrastructuri de rețea cu datele utilizatorului găzduite (stocate) pe
servere centralizate partajate între diferite entități din grupul de rețea. De cele mai multe ori,
serverele companiei nu pot fi închise și hardware-ul nu poate fi indisponibilizat din cauza
constrângerilor operaționale și a obligațiilor comerciale ale companiei. De asemenea, poate exista o
restricție de confidențialitate. De cele mai multe ori, un mandat sau o hotărâre judecătorească, care
permite percheziția, va acoperi doar achiziția de date care aparțin suspectului sau datele la care a
avut acces suspectul. Imagistica întregului server sau pe un sistem partajat ar include date care nu
sunt acoperite în permisiunea judiciară nu ar fi o opțiune.
O modalitate bună de abordare a unor astfel de scenarii comerciale este solicitarea cooperării și
consimțământului celor responsabili (atât timp cât aceștia nu sunt implicați în niciun fel în
investigație). Atunci când se percheziționează sistemele companiilor mai mari, este o practică bună
ca investigatorul principal să organizeze o reuniune cu șeful companiei, un reprezentant al
departamentului juridic și un reprezentant al departamentului de infrastructură IT al companiei. În
cadrul acestor reuniuni, următorul pas, care implică un mandat de percheziție, trebuie planificat cu
cooperarea tuturor părților implicate. Subsecțiunea 3.5.4 acoperă valoarea permisiunii unui
administrator de sistem mai detaliat.
În majoritatea situațiilor, investigatorul se va ocupa fie de locuințe, fie de întreprinderi mici și

mijlocii. În astfel de cazuri, rețeaua poate fi formată din câteva calculatoare individuale dintr-o rețea
53
TrueCrypt a fost întrerupt acum, dar există totuși posibilitatea de a fi întâlnit. Succesorul său neoficial este
Veracrypt.

și un server care conține baza de date centrală pentru software-ul de contabilitate al companiei,
alocarea de acțiuni pentru grupurile de lucru, unele directoare personale 54 și poate un server de
schimb pentru e-mailuri.
Un investigator care efectuează Criminalistica datelor live într-un astfel de mediu trebuie să solicite
întotdeauna cooperarea persoanei responsabile pentru infrastructura de rețea (dacă respectiva
persoană nu este suspectă). Cu cât rețeaua este mai mare, cu atât este mai necesar acest tip de
asistență, deoarece persoana care a înființat infrastructura și o administrează zilnic, știe cel mai bine
care sunt resursele la care ar fi putut avea acces suspectul. Cu toate acestea, investigatorul trebuie
să rămână sceptic și să ia propriile decizii și concluzii. Acesta trebuie să țină cont de faptul că este
posibil ca persoana de la care a solicitat ajutor să fie prieten cu suspectul.
Routerele și firewall-urile pot oferi investigatorului o perspectivă asupra configurației rețelei, prin
intermediul Listelor acestora de control a accesului (ACL) sau seturilor de reguli de securitate. 55
Acest lucru poate fi obținut prin vizualizarea ecranelor de configurare în calitate de administrator al
dispozitivului, dar va necesita numele de utilizator și parolele găsite anterior sau obținute la
momentul indisponibilizării. DVD-urile Instrument menționate în secțiunea precedentă includ, de
asemenea, o varietate de instrumente de recunoaștere a rețelei. Este o practică bună să desenăm
o diagramă a infrastructurii de rețea.
Acest lucru va ajuta investigatorul să înțeleagă și să își amintească mai eficient conexiunile dintre
calculator și restul rețelei.
În cazul în care calculatorul este pornit și au fost capturate alte date volatile, investigatorul trebuie
să caute indicii cu privire la faptul că datele sunt stocate de la distanță. Aceasta poate include:
- Foldere partajate pe alte calculatoare de rețea;

- Unități de rețea cartografiate de pe un server;56
- E-mailuri stocate pe un server IMAP sau Exchange;
- Servicii cloud și stocare online.
Dosarele partajate pe alte calculatoare de rețea și, de asemenea, unitățile de rețea cartografiate de
pe un server, pot fi cercetate fie pur și simplu căutându-le în Windows Explorer, fie utilizând
instrumentul gratuit ShareEnum din suita Sysinternals.57 Ambele abordări pot fi văzute mai jos:
54
Un loc în care sunt stocate fișiere pentru anumiți utilizatori.
55
Ansamblul de reguli stabilite pentru securizarea rețelei și guvernarea gamei sale de utilizare.
56
Maparea unităților este modul în care o rețea atribuie unități (spațiu rezervat) pe o rețea diferitelor calculatoare
care partajează spațiu de stocare.
57
http://technet.microsoft.com/de-de/sysinternals/bb897442

ShareEnum din SysInternals
Vizualizare Windows Explorer:
Verde: Dispozitive de rețea cu

partajări, Roșu: Unități de rețea
cartografiate
Atunci când un astfel de aranjament a fost descoperit, investigatorul trebuie să copieze aceste
partajări. Într-adevăr, dacă este posibil, investigatorul trebuie să se gândească la crearea unei
imagini (adică, o clonă exactă) a calculatoarelor în care se află aceste partajări, deoarece o copie
obișnuită nu va include fișierele șterse, nici „spațiul liber” nealocat de pe unitate.
E-mail-urile stocate de la distanță pe un IMAP58 sau Exchange Server pot fi localizate prin analizarea
setărilor de cont ale clienților de e-mail corespunzători. Pentru POP3 și chiar pentru conturile IMAP
- în funcție de setări - vor exista baze de date locale. Astfel de baze de date nu sunt volatile și nu
trebuie indisponibilizate în cazul criminalisticii live. Dacă nu există un fișier de bază de date local,
investigatorul trebuie să încerce să salveze conținutul contului de e-mail direct de pe serverul de
schimb sau să desemneze gazda contului să efectueze acest lucru.
3.5.3.1 Informatica dematerializată (Cloud computing)
Serviciile cloud și spațiul de stocare online reprezintă un subiect care capătă o importanță
semnificativă. Pentru a putea recunoaște și înțelege aceste servicii, investigatorul trebuie să știe ce
este informatica dematerializată, ce tipuri de servicii sunt disponibile și cum funcționează acestea.
Următorul grafic și definiție oferă o imagine de ansamblu utilă.
58
IMAP reprezintă Protocolul de acces la mesaje Internet

Sursa grafică: Sam Johnston, Wikipedia.com
CLOUD COMPUTING = INFORMATICĂ DEMATERIALIZATĂ

Servers = servere
Laptops = calculatoare personale
Desktops = calculatoare de birou
Phones = telefoane
Tablets = tablete
Application = aplicație
Monitoring = monitorizare
Content = conținut
Collaboration = colaborare
Communication = comunicare
Finance = finanțe
Platform = platformă
Object storage = stocare obiect
Identity = identitate
Runtime = durată de rulare
Queue = suită ordonată de date accesibilă numai prin primul element
Database = bază de date
Infrastructure = infrastructură
Compute = calcul
Block storage = stocare bloc
Network = rețea
Definiția informaticii dematerializate
Informatica dematerializată este un model care permite accesul de rețea omniprezent,

convenabil, la cerere, la un grup comun de resurse informatice configurabile (de ex., rețele,

servere, stocare, aplicații și servicii), care pot fi furnizate rapid și eliberate cu un efort minim
de gestionare sau interacțiune cu furnizorul de servicii. 59
Mell și Grance de la Institutul Național de Standarde și Tehnologie (NIST) identifică trei modele de
servicii pentru Informatica dematerializată (cloud). 60
Software-ul ca serviciu (SaaS): Consumatorului i se oferă capabilitatea de a utiliza aplicațiile

furnizorului care rulează pe o infrastructură cloud. Aplicațiile sunt accesibile de pe diverse dispozitive
ale clienților, fie printr-o interfață client subțire, cum ar fi un browser web (de ex., un e-mail bazat
pe web) sau o interfață de program. Consumatorul nu gestionează sau controlează infrastructura
cloud subiacentă (inclusiv rețeaua, serverele, sistemele de operare sau stocarea) sau chiar aplicații
individuale, cu posibila excepție a setărilor limitate pentru aplicații specifice utilizatorului.
Platforma ca serviciu (PaaS): Consumatorului i se oferă capabilitatea de a instala aplicații create

sau achiziționate de consumatori în infrastructura cloud, create prin utilizarea de limbaje de
programare, biblioteci, servicii și instrumente suportate de furnizor. Consumatorul nu gestionează
sau controlează infrastructura cloud subiacentă inclusiv rețeaua, serverele, sistemele de operare sau
stocarea), dar are control asupra aplicațiilor instalate și, eventual, asupra setărilor de configurare
pentru mediul de găzduire a aplicațiilor.
Infrastructura ca serviciu (IaaS): Consumatorului i se oferă resurse de procesare, stocare, rețea

și alte resurse informatice fundamentale și acesta are capacitatea de a implementa și rula software
arbitrar (inclusiv sisteme de operare și aplicații). Consumatorul nu gestionează sau controlează
infrastructura cloud subiacentă, dar are „libertate extinsă de a alege” sistemele de operare, stocare
și aplicațiile instalate; și, eventual, controlul limitat al componentelor de rețea selectate (de ex.,
firewall-uri gazdă)
59
Mell și Grance, NIST, 2011, http://csrc.nist.gov/publications/PubsSPs.html#800-145
60
Mell și Grance, NIST, 2011, http://csrc.nist.gov/publications/PubsSPs.html#800-145

Câteva exemple de servicii cloud și de stocare online:
Amazon oferă o largă varietate de servicii web. Serviciul Elastic Compute Cloud (EC2) al Amazon este
unul dintre cele mai mari servicii cloud la nivel global. Acesta oferă servicii IaaS tipice.
http://aws.amazon.com/en/ec2/
Microsoft OneDrive oferă clienților săi volume mari de stocare online cu integrare Microsoft Office.
URL: https://onedrive.live.com

Google Docs oferă volume mari de stocare gratuită online pentru documente. Acestea oferă editori
Wysiwyg multi-utilizatori (ceea ce se vede pe ecran este exact ceea ce se va tipări la imprimantă)
pentru crearea de foi de calcul, documente text, prezentări etc., în cadrul browserului.
URL: https://docs.google.com/
Google Drive oferă un volum limitat de stocare gratuită online, care pot fi îmbunătățite prin plata
unei taxe lunare. Utilizatorul poate încărca, sincroniza și partaja tot felul de date, precum și accesa
propriile documente din Google docs.
URL: https://drive.google.com/

Dropbox oferă un volum limitat de stocare gratuită online, care poate fi extins prin achiziționarea de
planuri profesionale. Specialitatea acestora este sincronizarea fișierelor într-o gamă largă de sisteme
diferite de operare a dispozitivelor, cum ar fi Windows, Linux, MacOS, iOS, Android etc.
URL: https://www.dropbox.com
Box este similar cu Dropbox oferind o capacitate limitată de stocare online, care poate fi extinsă
prin achiziționarea de planuri profesionale. De asemenea, acesta oferă posibilități solide de
sincronizare, precum și caracteristici de colaborare.
URL: https://www.box.com

Apple oferă clienților săi un spațiu de stocare gratuit limitat și extensibil în iCloud. Acest serviciu
este capabil să sincronizeze datele între dispozitivele Apple și computerele care execută software-
ul iTunes.
URL: https://www.icloud.com
Punctul forte al Sugarsync este sincronizarea într-o serie de dispozitive diferite. De asemenea,
acesta oferă un spațiu de stocare gratuit limitat, care poate fi extins prin achiziționarea de planuri
profesionale.
URL: https://www.sugarsync.com/
O listă completă a furnizorilor de stocare online și a furnizorilor de cloud poate fi găsită pe Wikipedia:

61
Aspectul interesant în ceea ce privește informatica dematerializată pentru investigator este că datele
nu sunt stocate pe un singur calculator fizic, ci pe mai multe servere. De cele mai multe ori, nici
chiar furnizorul unui serviciu cloud nu poate preciza unde sunt stocate anumite date. Celălalt aspect
interesant este faptul că serviciile cloud au capacitatea să înlocuiască aproape fiecare parte a
infrastructurii IT a unei companii, începând cu serviciile de software, precum procesarea textelor sau
software de contabilitate, până la înlocuirea completă a tuturor stațiilor de lucru ale angajaților.
În consecință, vor exista situații în care nu va fi posibilă extragerea nici măcar a unui singur octet
de date de pe calculatoarele unei companii, deoarece acestea vor constitui doar „clienți subțiri”’ 62,
fără niciun fel de stocare proprie, ci utilizând resursele unei mașini virtuale în cloud. Avantajul, în
acest caz, este că, din punct de vedere tehnic, mașina virtuală poate fi ușor copiată. Totuși, în funcție
de legislația relevantă și aplicabilă, identificarea și obținerea autorizației legale corespunzătoare
pentru interceptarea unor astfel de date ar putea fi o problemă. De asemenea, poate fi dificil și să
se asigure că datele au fost obținute în conformitate cu procedurile juridice din țara solicitantă.
Un alt dezavantaj este că există probabilitatea să existe mult mai puține date recuperabile disponibile
care pot fi găsite. Într-adevăr, în cazul în care un suspect ar crea o mașină virtuală temporară pentru
a-și săvârși infracțiunile și apoi ar șterge respectiva mașină, este posibil să nu existe niciun fel de
probe de recuperat.
Dacă un investigator se confruntă cu un sistem care rulează cu acces la rețea și suspectează că este
vorba de informatică dematerializată, acesta trebuie:
- Căutați pictograme din tava de sistem, care seamănă cu logo-urile serviciilor menționate
mai sus;
- Verificați software-ul instalat pentru serviciile cloud;
- Căutați în lista de procese nume de servicii cloud;
61
http://en.wikipedia.org/wiki/Comparison_of_online_backup_services.
62
Un „client subțire” este, în mod efectiv, doar un portal pentru accesarea programelor de calculator, care
operează într-o altă locație la distanță. Nimic nu se petrece pe calculatorul în sine.

- Căutați partajări de rețea și unități de rețea cartografiate;
- Observați traficul de rețea;
- Monitorizați lista de prize deschise sau de ascultare pentru activități suspecte;
- Obțineți orice date care par a fi stocate la distanță. Chiar dacă un serviciu de stocare online
ar putea sincroniza datele pe hard discul calculatorului, nu trebuie avută niciodată încredere
într-o astfel de sincronizare
După ce investigatorul a achiziționat toate datele volatile și datele tranzitorii, acesta poate proceda
în felul următor:
- Scoateți cablul de alimentare din echipamentul țintă și înregistrați timpul pentru realizarea
acestui lucru (nu îl opriți la priza de perete, deoarece sistemul informatic poate avea o sursă
de alimentare neîntreruptibilă (UPS)).
- Îndepărtați suportul de stocare din unitățile corespunzătoare; așezați suporturile în
cutiile/husele lor originale și etichetați-le în mod corespunzător. Introduceți fie un disc/CD
indisponibilizat, fie o dischetă goală, dacă este disponibilă. Nu îndepărtați DVD-urile și nu
atingeți niciun buton de pe unitatea DVD.
- Deconectați orice modem atașat (este posibil ca doar oprirea acestuia să nu fie întotdeauna
suficientă).
- Dacă aveți de-a face cu un dispozitiv portabil, îndepărtați, de asemenea, și acumulatorul.
Înlăturați orice baterii suplimentare, dacă este cazul (N.B. unele dispozitive portabile au o a
doua baterie în unitatea multifuncțională, în locul unității DVD).
3.5.4 Autorizarea administratorului
Uneori, unele sau chiar toate resursele de rețea ale unei companii vor fi gestionate de companii
externe și sunt găzduite în locații la distanțe. Una dintre problemele privind stocarea la distanță este
că există posibilitatea ca investigatorul să nu poată ajunge acolo personal sau să aibă posibilitatea
de a trimite alți investigatori, la cealaltă locație. În astfel de cazuri, cooperarea administratorului de
sistem la distanță poate fi de neprețuit. În funcție de circumstanțe, poate fi o bună idee să se
organizeze o conferință telefonică/vocală cu administratorul de la distanță și șeful companiei și un
reprezentant al departamentului juridic (dacă nu se crede că sunt implicați în chestiunea
investigată).
În multe cazuri, administratorii nu sunt siguri dacă li se permite să coopereze în cadrul unei
investigații. În cazurile de aplicare a legii, în care cererea a fost formulată în conformitate cu legea,
aceasta poate fi o problemă numai dacă locația de la distanță se află într-o altă țară, cu reguli și
proceduri legale diferite. Lucrurile pot fi ușurate, dacă șeful companiei care deține datele este capabil
să obțină informații de la departamentul legal și autorizează administratorul să coopereze cu
ancheta.
„Cooperarea” în astfel de cazuri nu înseamnă că administratorul de la distanță va face toate lucrările

de achiziție. Opusul este cazul: administratorului trebuie să i se permită accesul minim necesar la
sistem, în timp ce investigatorii trebuie să caute și să achiziționeze ei înșiși toate datele probatorii.

Cooperarea administratorului este necesară numai pentru informații referitoare la infrastructură și
pentru a acorda drepturi de acces la anumite zone ale unui server, stație de lucru sau funcții
software. O întreprindere mare poate avea în vigoare și soluții de descoperire electronică.
Investigatorul trebuie să ceară acest lucru, în mod specific, deoarece aceasta îi va permite percheziții
nedetectate la distanță și accesul pentru achiziționarea anumitor sau a tuturor sistemelor companiei
(inclusiv a datelor volatile).

4 Captura probelor de pe internet
În acest capitol vom analiza procedurile tehnice și metodologice implicate în achiziția de probe online.
Vom sublinia aspecte precum „transparența” și „calitatea” probelor dobândite, deoarece aceste
caracteristici vor juca ulterior un rol major, pe măsură ce admisibilitatea probelor dumneavoastră
va fi pusă sub semnul întrebării. Capitolul tratează achiziționarea de probe din informațiile disponibile
public pe internet, precum și aspectele implicate în investigațiile ascunse pe internet. Aceasta din
urmă este mult mai complicată, deoarece legislația și practicile variază semnificativ între jurisdicții.
Efectuarea unor astfel de investigații necesită cunoștințe și seturi de abilități suplimentare decât cele
necesare pentru desfășurarea activităților prezentate în Capitolul 3.
În ceea ce privește admisibilitatea probe, acest document nu va presupune un cadru legal de

referință și, prin urmare, nu se va baza pe un anumit regim de reglementare legală. Abordarea
generală va permite cititorilor să înțeleagă raționamentul pe care se bazează procesul de achiziție,
care, la rândul său, trebuie să le permită să adapteze conceptele generale la resursele disponibile și
la legislația relevantă. Investigatorul trebuie să fie cu precădere conștient de faptul că orice probă
dobândită astăzi pentru a fi utilizată într-un anumit scop, într-o anumită țară și cadru juridic, poate
fi necesară, în viitor, în altă parte.
În cele din urmă, dar nu în ultimul rând, cititorul este sfătuit că acest capitol va necesita un cadru
tehnic puțin mai ridicat decât capitolele anterioare din prezentul Ghid. În ciuda acestui fapt, și cei
care au un nivel tehnic redus sunt invitați să lectureze prezentul material pentru a înțelege
conceptele generale ale acestuia. Aceasta le va permite să se aștepte și să se asigure că alți
specialiști tehnici din echipă vor utiliza o metodologie valabilă de achiziție.

O taxonomie a serviciilor web63
A Web Services Taxonomy according to data value & transaction level = o taxonomie a serviciilor web, conform valorii
datelor și nivelului de tranzacționare
LOOKUP = CĂUTARE / INTEROGARE
TRANSACTION = TRANZACȚIE
SIMPLE DATA = DATE SIMPLE
HIGH-VALUE DATA = DATE CU VALORI RIDICATE
1. Basic / Pure Data = date de bază / pure
2. High-value data = date cu valori ridicate
3. Transactional = tranzacții
4. High-value transactional = tranzacții cu valoare ridicată
Higher-value services = servicii cu valoare mai ridicată
Lookup = căutare / interogare
Processing (computation, 2-way data, etc.) = prelucrare (calcul, date bidirecționale etc.)
Stateful / Conversational = dinamic / conversațional
User-Contributed System = sistem bazat pe contribuția utilizatorilor
63
Diagramă de Tim McCormick http://tjm.org/wp-content/uploads/2009/05/web-services-taxonomy-
chart_23.gif

Real-world Transactions (e.g. purchase, borrow) = tranzacții din lumea reală (de ex., achiziții, împrumut)
Static Data Store vs. Constantly Changing = stocare de date statice vs. în continuă schimbare
Delayed Update = actualizare întârziată
Real-Time = în timp real
Public = public
Proprietary / Private = cu drepturi de proprietate intelectuală / Privat
Commodity = bun de larg consum
Unique (in Scope, Scale, Price, QoS, Ease-of-use, etc) = unic (d.p.v. al sferei de aplicare, dimensiunii, prețului, calității
serviciilor, ușurinței în utilizare etc)
4.1 Site-uri web ca un „mashup” („amalgam”) de probe
Conform unui articol Wikipedia actual:
„Principalele caracteristici ale mashup-ului sunt combinația, vizualizarea și agregarea ... […]
În ultimii ani [sic], tot mai multe aplicații Web au publicat IPA-uri64 care permit dezvoltatorilor
de software să integreze cu ușurință date și funcții în loc să le construiască singuri.“
Pentru a aplica acest concept de mashup la investigațiile pe internet, investigatorul poate lua în
considerare un serviciu web care stochează date brute pe Amazon S3 65, utilizează autentificarea
Facebook, plăți prin PayPal 66 și oferă informații „push” în timp real privind activitatea relevantă, prin
intermediul Twitter, utilizatorilor săi abonați. Un astfel de serviciu online ar realiza un „mash-up”
(amalgama) dintr-o gamă largă de sub-servicii (sau site-uri web conexe). Ceea ce este și mai
important pentru noi, probele online ar fi, de asemenea, divizate în aceste sub-
servicii/furnizori/companii. Bine ați venit la scenariul real al colectării de probe online!
Acest exemplu de „mashing-up” este extrem de comun pe internet și, deși, la prima vedere,
„recoltarea” probelor din toate acele surse diferite poate părea o muncă grea, uneori se poate dovedi
că aceasta oferă investigatorului date cu o valoare probatorie mai mare: nu există o singură sursă
de probe (companie) cu interese particulare în rezultatul potențial al investigației dumneavoastră.
Calitatea de mashup a multor servicii online poate produce la rândul său multe „terțe părți” implicate
în oricare tranzacție dată, aceasta, după cum vom vedea mai târziu, va ajuta investigatorul să aducă
probe cu șanse mai mari de a fi fiabile.
În alte ocazii, investigatorii vor constata că diferiți furnizori online sunt capabili să coroboreze un
anumit fapt din surse diferite și independente (deși, având în vedere natura internetului, trebuie
avut grijă ca faptele să nu citeze toate o singură sursă). Să luăm, de exemplu, un scenariu de
tranzacționare ilegală bazată pe informații privilegiate, în care Gmail primește un nume de utilizator
și o parolă pentru ETrade Inc.67 (o companie de tranzacționare online) care este citită de pe un
aparat cu adresa IP „X”. Câteva minute mai târziu XE.com (un portal de informații privind schimbul
64
Interfața de programare a aplicației (IPA) este un set de comenzi, funcții și protocoale pe care programatorii
le pot utiliza atunci când construiesc software pentru un sistem de operare specific. Sursa:
www.techterms.com/definition/api
65
Serviciul de stocare simplă al Amazon.
66
Un sistem sigur de plată online.
67
Acesta este un nume imaginar utilizat în scopurile acestui document și nu are nicio legătură cu nicio persoană
juridică sau fizică reală.

valutar) primește întrebări de la aceeași adresă IP „X”, care solicită anumite rate de schimb implicate
în ancheta dumneavoastră. Apoi, ETrade Inc. începe să primească din nou comenzi de achiziție de
la aceeași adresă IP „X”. Acum, investigatorul poate apela la jurnalele ETrade, jurnalele Gmail și
jurnalele XE.com, care se vor corobora reciproc cu link-uri către aceeași adresă IP.
Toate aceste „probe online” necesită proceduri speciale la achiziție pentru a garanta admisibilitatea
probelor rezultate.
4.2 Locație virtuală și locație fizică
Internetul este o rețea globală care conectează calculatoarele din întreaga lume prin intermediul
dispozitivelor și protocoalelor. Deși există mai multe organizații care stabilesc reglementări și
standarde, fiecare nod din rețeaua globală poate fi o subrețea independentă, a cărei proiectare și
întreținere nu depinde de nicio organizație. Internetul poate fi accesat prin multe tipuri de tehnologii
și acest lucru lărgește orizontul serviciilor care pot fi oferite prin intermediul acestuia.
Atunci când se ocupă de probele online, investigatorul trebuie să facă diferența clar și să poată
traduce lumea „virtuală” în lumea „fizică” și invers. În lumea virtuală, o „locație” (unde este proba
mea?) este tradusă, de obicei, în ceva numit URI/URL68 sau în cele din urmă, o adresă IP. Pentru
acei cititori care au nevoie de acest lucru, urmează o examinare simplă și directă a fundalului tehnic
al lucrurilor, cum ar fi URL, DNS și adrese IP. Cititorul tehnic poate dori să omită această secțiune.
4.2.1 Adresa IP (Protocol Internet)
IP-ul este cel mai stabilit set de standarde și reguli utilizate pentru trimiterea sau primirea datelor
pe internet. Adresa IP este cel mai fundamental tip de sursă de informații disponibil pe internet.
Acestea arată unde trebuie livrate pachetele de date. Există două tipuri de adrese IP, adrese IPv4
(versiunea IP 4, denumite, în mod obișnuit, „IP”) și IPv6 (versiunea IP 6). O adresă IPv4 constă
dintr-o secvență de patru numere separate printr-un punct „.”. Fiecare număr poate lua o valoare
între 0 și 255. (Ex.: 192.168.1.252). Pe de altă parte, o adresă IPv6 constă din opt grupuri de patru
cifre hexazecimale. Fiecare grup este separat prin două puncte (adică,
2001:0db8:85a3:0042:0000:8a2e:0370:7334).
Autoritatea de Atribuire a Numerelor pe Internet (AANI) reglementează adresele IP și coordonează

alocarea adreselor IP prin entități regionale cunoscute sub denumirea de Registre Regionale de
Internet (RRI):
- RIPE (Europa și unele părți din Asia)

- APNIC (Asia și regiunea Pacificului)
- ARIN (America de Nord)
- LACNIC (America Latină și Caraibe)
68
Identificatorul uniform de resurse sau Localizatorul uniform de resurse este șirul de caractere care acționează
ca nume sau adresă a unei locații în World Wide Web.

- AfriNIC (Africa)
AANI a definit, de asemenea, spații de adrese care trebuie alocate rețelelor private (adică rețelele
locale). Aceste spații sunt:
10.0.0.0 la 10.255.255.255 – Clasa A
172.16.0.0 la 172.31.255.255 – Clasa B
192.168.0.0 la 192.168.255.255 – Clasa C
Procesul de atribuire a unei adrese IP unui Furnizor de servicii internet este destul de simplu. AANI
informează fiecare entitate regională cu privire la adresele IP disponibile pentru solicitanții din
regiunea lor. Furnizorii de servicii Internet (FSI) solicită apoi alocarea adreselor IP de la entitatea
lor regională. Odată ce un FSI a primit o serie de adrese IP, acesta poate continua să le distribuie
clienților săi (utilizatorul final), iar FSI va construi rețeaua de care va fi responsabil.
Cu alte cuvinte, AANI taie „tortul” în felii mari, entitățile regionale își taie bucata, din nou, în mai
multe felii, pentru a o distribui FSI-lor și, apoi, FSI își reduc propria felia de „tort” în firimituri, care
sunt închiriate în leasing, în mod individual, clienților.
Nu este posibil să aveți două adrese IP publice identice conectate la internet, în același timp. Ca și
adresa poștală în lumea reală, fiecare mașină participantă trebuie să fie identificată, în mod unic,
pentru a trimite și primi date efectiv. Când este realizată o conexiune la internet de un calculator de
acasă, FSI închiriază în leasing o adresă IP unică pentru calculatorul respectiv, pentru momentul
conectării. Aceasta înseamnă că adresa IP va fi asociată cu toate activitățile de internet întreprinse
de calculatorul respectiv, în acea perioadă de timp. Când conexiunea este anulată, adresa IP este
realocată unui alt calculator.
4.2.2 Adrese IP dinamice și adrese IP statice
Dacă se aplică o logică matematică conceptului de adrese IPv4, devine clar faptul că există un număr
finit de adrese IPv4 disponibile. Adresele IPv4 constă dintr-un set de patru numere și fiecare număr
poate lua doar o valoare între 0 și 255. Acest lucru înseamnă că, la nivel global, sunt disponibile
numai 4.294.967.296 de combinații diferite de adrese IPv4 unice. Deoarece există milioane de
calculatoare, dispozitive și persoane care se conectează la Internet, este clar că 4 miliarde de adrese
vor fi insuficiente. Acesta este motivul pentru care Furnizorii de servicii de internet își gestionează
grupurile de adrese IP utilizând ceea ce se numește alocare IPv4 dinamică sau care se numește
Carrier-grade NAT69 (CGN) (adică utilizarea de adrese de port suplimentare pentru fiecare adresă
IP). Pe de altă parte, formatul adresei IPv6 cu cele opt grupuri ale sale de patru numere
hexazecimale, înseamnă că există suficiente adrese IP nu numai pentru fiecare persoană din lume,
ci și pentru fiecare dispozitiv din locuința acestora (a se vedea secțiunea 4.2.3).
69
Acesta este un mecanism pentru maximizarea adreselor IPv4 limitate disponibile.

Așa cum s-a menționat anterior, fiecărui Furnizor de servicii de internet i s-au atribuit o serie de
adrese IP. În unele cazuri, numărul de adrese IP alocate unui FSI este mai mic decât numărul
clienților săi. Cu toate acestea, deoarece nu ar avea sens, din punct de vedere comercial, să se
restricționeze numărul de clienți, pentru a corespunde numărului lor de adrese disponibile, au fost
dezvoltate tehnologii și protocoale pentru a rezolva această problemă. Cel mai comun este Protocolul
de configurare dinamică a gazdei (DHCP).
DHCP este un protocol 70 utilizat pentru a atribui automat un grup de adrese IP unui grup de
dispozitive. Funcționările interne ale acestui protocol sunt destul de „simple”. Când un dispozitiv
dorește să se conecteze la internet, acesta solicită o adresă IP de la FSI-ul său. FSI își consultă apoi
„lista de adrese IP disponibile” Acesta verifică ce adrese IP nu sunt alocate în acel moment unui alt
dispozitiv și alocă una dintre respectivele adrese IP „gratuite”, clientului (dispozitivului) solicitant.
Când efectuează acest lucru, FSI înregistrează data și ora și identitatea clientului. Imediat ce clientul
se deconectează de la internet, respectiva adresă IP revine la „lista de adrese IP disponibile” pentru
alocare unui alt dispozitiv. Aceasta înseamnă că un client sau dispozitiv poate primi o adresă IP
diferită de fiecare dată când se face o conexiune la internet. Este posibil ca, în unele ocazii, adresa
IP să se schimbe chiar de câteva ori, în timpul unei singure sesiuni.
Dacă adresa unei persoane s-ar schimba continuu în lumea reală, trimiterea unei scrisori persoanei
respective ar fi aproape imposibil, deoarece oficiul poștal nu ar ști unde să o livreze. Pe internet,
există anumite tipuri de dispozitive, pentru care adresa IP trebuie să fie cunoscută în orice moment.
În aceste cazuri, sunt utilizate „Adresele IP statice”. Aceasta înseamnă că FSI-ul atribuie o adresă
IP specifică unui singur dispozitiv (client) atâta timp cât proprietarul acelui dispozitiv rămâne client
al FSI-lui respectiv.
Majoritatea FSI-lor păstrează o serie de adrese IP care să fie utilizate ca Adrese IP statice și o altă
gamă pentru Adrese IP dinamice. În orice caz, aceștia știu întotdeauna cui i-a fost atribuită o adresă
IP, la un moment dat. Rețineți faptul că, deși majoritatea contractelor pentru accesul la internet vor
fi cu o organizație sau o persoană, adresele IP sunt atribuite dispozitivelor și nu persoanelor fizice.
Atunci când, în timpul unei investigații pe internet, este detectată o adresă IP, investigatorii pot
solicita FSI-lui (de regulă, cu un ordin din partea instanței de judecată) detaliile dispozitivului și
contractul de servicii, la care a fost atribuită respectiva adresă IP, la momentul respectiv. Trebuie
subliniat faptul că investigatorul trebuie să poată identifica cu precizie absolută momentul în care o
adresă IP alocată devine relevantă pentru investigația sa. Priviți următoarele:
70
Adică, un set de reguli pentru ca dispozitivele să comunice între ele.

Când? Capcanele…
IP X.X.X.X la 24/05/2012 Este posibil ca în ziua respectivă, multor
utilizatori diferiți să le fi fost atribuită
respectiva adresă IP
IP X.X.X.X la 24/05/2012 16:30:12h Pare în regulă, dar când este exact
„16:30:12h”?
IP X.X.X.X la 24/05/2012 16:30:12h (UTC-10) Acesta este timpul exact.
„UTC-10” identifică ceea ce se numește „fusul orar” care, în acest caz, se traduce în „Ora Universală
Coordonată minus 10 ore” (adică, Hawaii). Cererile către FSI pentru adrese IP trebuie să arate
întotdeauna fusul orar.
4.2.3 IPv6
După cum se vede mai sus, numărul de adrese IPv4 disponibile este limitat. Utilizăm IPv4 din 1982,
dar foarte recent IPv4 și-a epuizat, în mod oficial, spațiul de adrese nealocat. Cu alte cuvinte, nu
mai există adrese IPv4 disponibile. Din fericire IPv6 sare în ajutor! IPv6 nu are spațiu de adrese
nelimitat, dar este, cu siguranță, extrem de vast:
340 undecilioane, care este de 340 de trilioane de trilioane de trilioane de adrese (sau
340,000,000,000,000,000,000,000,000,000,000,000,000).
Adresele IPv6 sunt reprezentate de un număr de 128 de biți împărțit în blocuri cu valori hexazecimale
de 16 biți, fiecare separate prin două puncte „:”. Literele nu țin cont de majuscule și 0-le (zerourile)
inițiale dintr-un bloc pot fi omise. De exemplu, una dintre adresele IPv6 ale Google este afișată ca:
2001:4860:b002::68, dar atunci când este scrisă în întregime, adresa IP completă este, de fapt,
2001:4860:b002:0000:0000:0000:0000:0068.
Fiecare dispozitiv sau calculator poate avea acum propria sa adresă IP unică și este probabil ca acest
lucru să ușureze viața unui investigator. Unul dintre cele mai discutate beneficii pe IPv6 este
integrarea Securității Protocoalelor Internet (IPSec) 71 în standardul Ipv6. În mod specific, IPv6 oferă
(printre altele) următoarele caracteristici: confidențialitatea datelor, integritatea datelor,
autentificarea originii datelor. Toate acestea pot fi considerate vești bune sau vești proaste, în funcție
de poziția fiecăruia. De exemplu, „confidențialitatea datelor” sună bine până când furnizează un
canal criptat liber prin care un suspect poate să trimită date sau până când NIDS-ul dumneavoastră
(Sistem de detectare a intruziunilor de rețea) decide că nu își poate face treaba deoarece majoritatea
noii rețele IPv6 este criptată punct-la-punct.
71
Securitatea Protocolului Internet (IPSec) este un cadru de securitate care permite autentificarea și criptarea
pe internet.

Problemele de bază cu care vă veți confrunta vor fi:
Cei care întârzie implementarea IPv6. Unele organizații întârzie implementarea

inevitabilă a IPv6 la scară largă. În aceste cazuri, utilizarea tehnologiilor DHCP și Carrier-
grade NAT este în creștere rapidă. Acest lucru poate fi un lucru rău, din punct de vedere al
trasabilității, dacă nu se efectuează o suficientă „contabilizare” la nivelul implementării
DHCP/NAT.
Cei care „testează” IPv6. Mulți FSI au platforme de testare a configurării pentru IPv6 ca
parte a unei „introduceri” controlate al noului sistem. Aceste platforme conectează, de
obicei, noua facilitate de testare IPv6 la o rețea de bază care rulează în IPv4. Întrucât
platforma se află doar într-o testare/introducere parțială, contabilizarea este incompletă,
astfel că AAl-le pot să urmărească adrese IP doar până unde IPv4 întâlnește IPv6.
FSI leneși Registrele regionale de internet (RRI) au făcut presiuni neoficiale asupra FSI-
lor pentru a-și menține bazele de date Whois72 actualizate. Alocarea unor blocuri uriașe de
adrese IPv6 a limitat presiunea pe care RRI reușiseră să o impună. Aceasta înseamnă că
datele Whois nu pot fi la fel de fiabile sau ușor de obținut ca în trecut.
Tehnologii noi/probleme vechi. Ca în cazul oricărui sistem nou, IPv6 ridică noi probleme
de securitate. De exemplu, există noi vulnerabilități în ceea ce privește stivele IPv6,
firewall-urile sunt brusc larg deschise din cauza aranjamentelor și configurațiilor IPv6
incorecte, IDS-urile (Sisteme de detectare a intruziunilor) nu au fost actualizate pentru a
prelucra IPv6 etc.
Săparea tranșeelor Până la implementarea completă a IPv6, un investigator s-ar putea

confrunta cu IPv6 tunelat prin IPv4 sau invers! Adică, un pachet IPv6 ar putea fi încapsulat
(„înghesuit în interiorul”) într-unul sau mai multe pachete IPv4 sau invers. Desigur, acest
lucru se va combina cu toate celelalte tehnologii de tunelare disponibile, astfel încât este
posibil să descoperiți că IPv6 operează pe IPv4 care, la rândul său, operează printr-un
tunel VPN, care ar putea fi el însuși încapsulat pe alte protocoale de transport. Cu alte
cuvinte, în perioada de tranziție, adresele IP pot fi mascate și confuze, din cauza
interacțiunilor lor și, prin urmare, pot fi dificil de urmărit.
4.2.4 DNS pentru Sistemul de nume de domenii
După cum s-a discutat anterior, pentru a comunica cu un anumit nod de pe Internet, este necesară
cunoașterea adresei IP a acestuia. Problema este că oamenii nu prea au capacitatea de a-și aminti
combinații de patru numere separate prin puncte. Dacă fiecare dispozitiv ar avea o adresă
prietenoasă pentru oameni, în loc de un șir de numere, cu siguranță lucrurile ar fi mai ușoare pentru
noi. Pentru a permite acest lucru, a fost creat un protocol numit DNS.
72
Aceasta este o bază de date care conține detaliile de proprietate a adreselor de domeniu (site-ul web).

Adresele prietenoase pentru oameni sunt, de obicei, cunoscute ca Nume de domeniu complet calificat
(FQDNs) sau, pe scurt „nume de domenii“ și constă dintr-o secvență alfanumerică într-un format
specific (de exemplu, www.coe.int).
Sistemul de nume de domenii (DNS) este un sistem care acționează ca o agendă telefonică dinamică
imensă și înregistrează care adresă IP (sau adrese) a fost atribuită cărui „nume” și invers. Relația
nu este întotdeauna un singur nume la o singură adresă IP (de exemplu, un singur nume poate fi
atribuit mai multor adrese IP și invers).
Să ne imaginăm un serviciu de Internet, care trebuie să fie întotdeauna disponibil. (Astfel de servicii
ar include motoarele de căutare pe internet, serviciile bancare online, webmail etc.) Pentru a vă
asigura că utilizatorii se pot conecta întotdeauna la serviciu, furnizorul de servicii creează mai multe
replici ale unui site web în diferite calculatoare. Fiecare dintre aceste calculatoare are o adresă IP
diferită, dar toate pot răspunde la un nume comun. Pe de altă parte, există și scenarii în care o
singură adresă IP răspunde la mai multe nume de domenii. Companiile de găzduire web utilizează
acest mecanism pentru a reduce costurile și gestionarea pentru a găzdui fiecare domeniu pe un alt
calculator (de ex., cu diferite adrese IP).
Numele de domenii sunt gestionate de către Înregistratorii acreditați de Corporația Internet pentru
Nume și Numere Alocate (CINNA; https://www.icann.org /) sau de Registrele listate de AANI
(Autoritatea de Atribuire a Numerelor pe Internet). Pentru Domeniile generice de nivel superior
(gTLD), cum ar fi .com, .net, .org, .biz, etc. CINNA acreditează Înregistratorii înșiși, în timp ce pentru
Domeniile de nivel superior tip cod de țară (ccTLFD), cum ar fi .us, .uk, .de, .ie etc. AANI deleagă
înregistrarea Registrelor locale precum Nominet UK, Denic eG, IE Domain Registry Limited etc.
Dacă un nume de domeniu nu este înregistrat de o companie de protecție a confidențialității, aceste

Registre pot dezvălui informații valoroase despre proprietarul unui nume de domeniu. O listă a
înregistratorilor CINNA este disponibilă pe site-ul CINNA (https://www.icann.org/registrar-
reports/accreditation-qualified-list.html) în timp ce o listă cu toate registrele ccTLD sunt disponibile
pe site-ul AANI (https://www.iana.org/domains/root/db).
După cum ne putem imagina, există milioane de FQDN-uri la nivel mondial și gestionarea acestei
baze de date imense este o sarcină imposibilă pentru un singur aparat. Pentru a simplifica această
sarcină, Sistemul de nume de domenii utilizează o structură de arbore pentru a efectua rezoluții de
nume (conectarea domeniilor la numărul adresei IP).
Fiecare segment al unui FQDN se referă la un „domeniu” diferit. Ultimul segment al unui FQDN, după
oprirea completă, se numește „Domeniul de nivel superior”. În cazul www.coe.int, „domeniul de
nivel superior” este „int”. Următorul segment (cel din mijloc) este cunoscut sub denumirea de
„domeniu de nivel secund” (adică, „coe”) și, în sfârșit, prima parte a șirului, înainte de primul punct,
este eticheta cu numele gazdei aparatului (în acest caz, „www”).
Ținând cont de acest lucru, DNS este o sursă foarte bogată de informații pentru investigațiile
referitoare la internet, din două motive:

- Pentru ca FQDN să existe este necesar un contract de înregistrare. Fiecare contract trebuie
să conțină datele de contact ale unui administrator. Prin urmare, este posibil să se afle ce
organizație sau persoană este responsabilă de respectivul FQDN. Desigur, aceste informații
pot fi false sau protejate de înregistratorul de domeniu.
- Întrucât FQDN-urile sunt traduse ulterior în adrese IP, este, de asemenea, posibilă
conectarea respectivei adrese IP cu un contract de acces la Internet (din cauza modului în
care sunt distribuite adresele IP, așa cum este explicat în alineatul anterior).
4.2.5 Identificator de resurse uniforme (URI)
URI este eticheta utilizată pentru a identifica locația unei „resurse” sau componente într-un sistem
informatic. URI-le oferă o modalitate prin care o resursă poate fi accesată de alte dispozitive din
aceeași rețea. Cel mai frecvent URI este o adresă a unei pagini web și permite interacțiunea pe
World Wide Web.
World Wide Web (WWW) este un sistem de documente (pagini web) conectate, care pot fi accesate
prin Internet (este o rețea care utilizează internetul, dar nu este sinonim cu Internetul). Paginile
Web utilizează ceva denumit „hipertext” care face posibilă conectarea sau saltul la alte obiecte și
pagini (adică, navigarea pe World Wide Web) și sunt, de obicei, scrise cu cod HTML (Limbaj de
marcare a textului - HyperText Markup Language). Paginile Web sunt, de obicei, grupate în ceea ce
este cunoscut ca site-uri web.
Utilizând o aplicație software cunoscută ca browser web (cum ar fi Internet Explorer al Microsoft,
Firefox Mozilla sau Google Chrome), se poate accesa World Wide Web și, dacă se cunoaște numele
de domeniu sau adresa URL (a se vedea mai jos), se poate recupera o anumită pagină web. Acestea
sunt, de obicei, găzduite pe Servere Web care pot fi localizate oriunde în lume.
Atunci când se referă la adresele de site-uri web, FQDN este cunoscut sub numele de Localizator
uniform de resurse (URL - Uniform Resource Locator). Principala diferență între un FQDN și o adresă
URL este că URL-ul include informațiile necesare pentru accesarea unei anumite resurse și specifică
exact la ce doriți să aveți acces la respectiva resursă (sau server).
Deoarece protocolul HTTP (sau HTTPS) este utilizat pentru a accesa și a transfera documente
hipertext, structura URL pentru orice site web va arăta astfel:
http://www.name-of-the-website.com/name-of-the-webpage.htm
4.2.5.1 URL și URI
Un localizator uniform de resurse (URL) este cel mai comun și binecunoscut subtip de Identificator
uniform de resurse. Principala diferență este că un URI poate fi aplicat pentru a accesa și alte resurse
decât pagini web sau site-uri web.
Iată câteva exemple cu privire la modul în care arată un URI:

Rețele P@P:
ed2k://|file|Galactic_Council_Show.avi|14997504|345c013e991ee123d63d45ea71954d4d|/
Skype:
callto:<screenname>
FaceTime:
facetime://<address>|<MSISDN>|<mobile number>
Spotify:
spotify:track:2jCnn1QPQ3E8ExtLe6INsx
4.2.6 Înregistrări IP și DNS în investigațiile dumneavoastră online
Acum, că cititorii știu cum sunt alocate adresele IP și cum sunt înregistrate numele DNS, aceștia
sunt pregătiți să își înceapă cele mai de bază investigații online. Aceștia știu cum să solicite informații
de contact de la înregistratorii DNS și știu cum să rezolve (conecteze) DNS la adresele IP și să obțină
informații privind cui le-au fost alocate respectivele adrese IP în timpul investigației lor.
În plus față de canalele oficiale utilizate pentru interogarea înregistrărilor DNS și rezolvarea DNS
către adresele IP, există o mulțime de instrumente și site-uri web concepute pentru a automatiza și
ajuta investigatorul pe acest front. Unele dintre cele mai cunoscute sunt: DnsStuff
(www.dnsstuff.com), DomainTools (www.domaintools.com) și CentralOps (www.centralops.net),
dar există multe altele.
Deși aceste site-uri sunt utile, este important să ne amintim că cea mai bună practică este obținerea
de date de la înregistratorii de origine (a se vedea secțiunea 4.2.4).
4.2.6.1 Căutare Whois
Înregistrările Whois pot ajuta un investigator să descopere proprietarul unui nume de domeniu
specific. Înregistrările conțin informații referitoare la cine deține un domeniu, numele, prenumele,
adresa de e-mail și adresa fizică a acestuia, numărul său de telefon și alte informații care ar putea
fi relevante. Investigatorul trebuie să fie conștient de faptul că nu există niciun control de calitate
sau de acuratețe efectuat cu privire la aceste date.
4.2.6.2 Whois inversat
Acest tip de serviciu va enumera toate înregistrările DNS/IP (cunoscute site-ului/instrumentului)

înregistrate sub identitatea furnizată. De obicei, investigatorul poate căuta după nume, e-mail,
număr de telefon sau adresă fizică.
4.2.6.3 Detectare IP
Căutarea IP poate ajuta investigatorul să găsească toate informațiile disponibile asociate cu o adresă
IP dată. Investigatorul poate afla cine este Înregistratorul și DNS Reverse (căutare inversă) și
intervalul de blocuri IP din care face parte. Majoritatea instrumentelor/site-urilor vor identifica, de
asemenea, țara în care se găsește și chiar vor furniza coordonatele geo-locației, orașul sau chiar

coordonatele de latitudine și longitudine. Investigatorul trebuie să știe că tehnicile de geo-Locație
nu sunt perfecte (ca să nu spunem mai mult) și nu trebuie niciodată considerate de încredere, fără
coroborare suplimentară.
4.2.6.4 Mașină a timpului Whois, Whois Reverse și de detectare IP
Investigatorul trebuie să fie conștient de faptul că înregistrările DNS se schimbă din când în când
sau pot să nu fie exacte. O înregistrare DNS își poate schimba proprietarul, de exemplu, sau
proprietarul unui domeniu își poate falsifica informațiile din înregistrările DNS și poate reloca site-ul
web într-o țară îndepărtată înainte de a întreprinde o activitate ilegală. Ceea ce numim „Mașină a
timpului” este practic o interfață care permite investigatorului să preia date din istoricul
înregistrărilor DNS.
4.3 Surse de informare online
Există multe surse de informații disponibile online, care ar putea fi utile pentru o investigație. În
această secțiune, cele mai comune tipuri de surse online sunt enumerate împreună cu tipurile de
dovezi pe care le-ar putea furniza.

Sursă Exemple de probe disponibile
Instrumente OSINT □ Informații personale / profesionale referitoare la
oameni
□ Informații referitoare la adresele de e-mail
□ Text, imagini, videoclipuri postate de oameni
□ Locuri vizitate
□ Prieteni, relații
□ Grupuri, hobby-uri
Site web simplu □ Cod sursă
□ Comentariile codului
□ Câmpuri ascunse
□ Referințe externe la site
□ Publicitate online
□ Coduri de autentificare a domeniului
□ Coduri WebSense / AdSense / SearchSense
□ Metadate (ex. creare / ultima modificare)
□ Versiuni anterioare pe archive.org
Site-uri de rețele sociale □ Cod sursă
□ ID-uri interne
□ Subsistem de chat
Site-uri de blogging □ ID-uri interne (blogID, userID, threadID ...)
□ Coduri de autentificare a domeniului
□ Mashup: Twitter
□ Mashup: FaceBook
□ Mashup: Twitter
□ Mashup: Picasa / Flickr
□ Mashup: Servicii de prescurtare URL
Site-uri WebMail □ Subsistem de chat
Subsistem de voce
□ ID-uri interne
Servicii de prescurtare URL □ Servicii statistice publice
□ Data creării
Rețele publicitare □ ID-uri interne
□ Traseul banilor
Rețele de stocare de conținut □ ID-uri interne (fileID, bucketID, userID, ...)
□ Conținut criptat/distrus
□ Controale de versionare a datelor
□ Traseul banilor
Rețele P2P □ înregistrări DNS
□ IP-uri alocate
□ Porturi utilizate
□ Bucăți/frânturi de hash-uri

4.3.1 Instrumente OSINT
Deoarece oamenii tind să utilizeze rețelele sociale și să partajeze din ce în ce mai mult conținut pe
internet, aceștia lasă urme pe profilurile de social media, în secțiunea de comentarii a site-urilor web
și în multe alte locuri pe internet. Instrumentele de Informații din sursă deschisă (OSINT - Open
Source Intelligence) pot ajuta investitorii la percheziție și să obțină informații doar furnizând un
nume, o adresă de e-mail sau un cuvânt cheie. Există multe instrumente OSINT specializate pentru
multe platforme diferite (de ex. Facebook, Twitter, Instagram, Pastebins, Youtube etc.). Această
secțiune va enumera doar câteva instrumente bine cunoscute și va indica liste de referințe
suplimentare care sunt actualizate mai frecvent pe internet.
Instrument URL
ReconNG http://recon-ng.com/
Sherlock https://github.com/sherlock-project/sherlock
Honeybadger https://github.com/lanmaster53/honeybadger/
FOCA https://www.elevenpaths.com/labstools/foca/index.html
Spiderfoot https://www.spiderfoot.net/
The Harvester https://github.com/laramies/theHarvester
Browser OSINT http://www.osintbrowser.com
Free People Search https://peekyou.com/
Pipl https://pipl.com/
CyberChef https://gchq.github.io/CyberChef/
Youtube Comment Scraper http://ytcomments.klostermann.ca/
Shodan https://shodan.io
Un investigator care trebuie să facă cercetări OSINT va găsi o mulțime de referințe suplimentare pe
următoarele site-uri web:
- https://github.com/Ph055a/OSINT_Collection
- https://github.com/jivoi/awesome-osint
- https://start.me/p/wMdQMQ/tools
- https://github.com/0x90/osint-arsenal
- https://osintframework.com
Aceste site-uri sunt, de obicei, sortate în categorii care se grupează, de ex. instrumente pentru
investigații Instagram, instrumente pentru informații DNS, instrumente pentru informații IP etc.
4.3.2 Site-uri Web
Site-urile web sunt cea mai fundamentală sursă de informații disponibilă pe Internet. Prima probă
potențială este conținutul „vizibil” efectiv al site-ului. Cea de-a doua este, evident, conținutul
„invizibil” asociat acestor site-uri. Conținutul invizibil aici este practic „limbajul de programare”
(HTML, CSS, Javascript etc.) utilizat pentru a crea pagina web, conținutul real pe care serverul îl

trimite browserului și pe care browserul îl interpretează și îl utilizează pentru a construi pagina web
văzută pe ecran.
Partea bună aici este că, în general, sunt disponibile mai multe informații decât cele care apar, de
fapt, pe ecran. Iată în continuare un exemplu de pagină web simplă de conectare (logon) și o
descărcare (dump) parțială (sau extragere) a „codului sursă” subiacent pentru aceeași pagină web
de conectare.
După cum se poate vedea, acolo există mai multe informații, iar unele dintre acestea ar putea fi
foarte utile. Câteva exemple frumoase de date care pot fi obținute în acest fel sunt:
- Comentarii ale utilizatorului/dezvoltatorului (parole, referințe de identitate sau locație sunt

extrem de ușor de găsit și uneori foarte edificatoare);
- Câmpuri ascunse;
- Referințele la site-uri externe care ar putea furniza o sursă independentă de probe (a se
vedea mai târziu Rețelele de conținut, pentru un exemplu).

Codul sursă al unui site poate ajuta specialistul criminalistic al „unității nefuncționale” să
demonstreze că un calculator l-a accesat, chiar dacă suspectul și-a șters înregistrările din istoricul
de internet și și-a golit memoria cache.
Nu în ultimul rând, există „meta-date” care pot furniza informații tehnice de nivel înalt cu privire la
pagina web în sine. Un simplu exemplu al acestui punct este data ultimei modificări pentru o anumită
resursă web (pagină web, imagine etc). Iată o imagine a acestor informații extrase utilizând un
instrument cu sursă deschisă numit FireBug care rulează pe Google Chrome. Sunt disponibile FireBug
plus multe alte instrumente similare (precum și extensiile dezvoltatorilor Google Chrome) care vor
oferi cu ușurință și mai multe informații de pe o simplă pagină web.
4.3.3 Site-uri de rețele sociale
Site-urile de rețele sociale au început ca pagini web obișnuite și au evoluat extraordinar în ceea ce
privește complexitatea lor. Complexitatea este bună pentru investigatorii digitali, deoarece tinde să
crească liniile de anchetă disponibile. Elementele generice pe care investigatorul trebuie să le aibă
în vedere în cazul site-urilor de rețele sociale includ:
- ID-uri interne. Aceste site-uri utilizează în mod extensiv „identificatori” (ID-uri) pentru a
urmări totul (utilizatori, imagini, discuții, sesiuni, grupuri, aprecieri pozitive (like)/aprecieri
negative (dislike) etc.), iar aceste ID-uri se referă de cele mai multe ori la ID-urile interne
disponibile furnizorului de servicii.
Facebook utilizează în mod extensiv “fbid” (Facebook ID) (de ex.
http://www.facebook.com/photo.php?fbid=389359417758298). O imagine instantanee a
profilului/utilizatorului/fotografiei Facebook etc., a unei persoane de interes este utilă, dar
faptul că identificarea internă a acesteia există în baza de date a Facebook, poate fi mult
mai interesantă.
- Discuții (chat). Aceste site-uri oferă servicii prin care utilizatorii întrețin dialoguri video,
audio sau text cu alți utilizatori, cunoscuți sau necunoscuți. Dacă sunt procesate în mod
adecvat, acestea pot furniza informații de înaltă calitate. Elementul cheie pentru investigator
în toate elementele interactive web este să colecteze cât mai multe date și nu doar ceea ce
este afișat pe ecran de browserul web. Ca exemplu, să aruncăm o privire la schimbul de
informații cu serverele Facebook, pur și simplu prin deschiderea unei ferestre de chat, pentru

a discuta cu un prieten. „Target_id” afișat corespunde ID-ului intern al Facebook pentru
utilizatorul care este de interes pentru investigator.
- Fotografii. Chiar dacă site-urile de profil înalt au introdus filtre de „curățare” la imaginile
încărcate pe acestea, investigatorul poate totuși să se confrunte cu unele site-uri de
socializare și alte tipuri de site-uri care publică direct fotografiile încărcate. Aceștia trebuie
să fie conștienți de metadatele atașate imaginilor (în principal, codificate EXIF73), inclusiv:
data și ora fotografiei, distanța focală, latitudinea și longitudinea când a fost realizată
fotografia.
Există, sau pot fi create cu ușurință, programe pentru căutarea și descărcarea unui număr
mare de imagini de pe site-uri specifice și pentru extragerea tuturor metadatelor EXIF
relevante, în decurs de doar câteva minute.
Pentru investigații suplimentare în ceea ce privește rețelele de socializare, poate fi mai ușor să
aruncați o privire mai atentă asupra instrumentelor OSINT (va se vedea secțiunea Error! Reference
source not found.)
4.3.4 Site-uri de blogging și micro-blogging
În trecut, existau mai multe site-uri de bloguri alimentate de mai multe motoare diferite (adică tipuri
de software). Unele erau bune, iar unele erau slabe. Unul dintre cele mai populare motoare utilizate
pentru a eticheta (tag) adresa IP de la care a fost adăugată fiecare postare (înregistrare). Un
investigator putea obține cu ușurință adresa IP doar privind „codul sursă” al paginii web. Acele zile
au apus demult (deși investigatorul ar putea totuși să mai dea peste un cadru de blog vechi). Astăzi
există puține motoare de blogging și aproape toți își dau toată silința pentru a proteja
confidențialitatea bloggerilor. Pe de altă parte, platformele de blogging necesită acum, în general,
un proces de autentificare mai riguros, înainte ca bloggerul să poată posta pe site.
73
Ref. http://en.wikipedia.org/wiki/Exchangeable_image_file_format

Serviciul de blogger de la Google (fostul Blogspot) impune utilizatorului să își autentifice domeniul
(dacă utilizează unul propriu) prin încărcarea a ceva de genul acesta pe site-ul principal:
<meta name="verify-v1" content="h+kBXIgekCCDbSWyZ+jVGQ4LXeZbGnUZOIyZeQTQB04=" >
Această bucată de cod de metadate HTML este apoi utilizată de Google pentru a stabili o legătură
directă între un cont de e-mail Google și domeniul utilizat de Blogger. Utilizatorul este capabil să
înlăture acele metadate de pe web odată ce link-ul a fost creat, dar aproape nimeni nu face acest
lucru și aceste informații rămân acolo pentru totdeauna. Site-uri precum Twitter, Facebook, Google
Analytics și AdSense toate oferă linii suplimentare de anchetă, pentru a stabili cine se află de fapt în
spatele unui anumit blog.
O verificare similară a utilizatorului este necesară pentru Instrumentele Google WebMaster:
<meta name="google-site-verification" content="abcdefghijklmnopqrstuvwxyz0123456789"/>
Este bine știut faptul că ID-ul site-ului Google derivă de la adresa URL a site-ului și de la e-mailul
utilizat pentru validarea site-ului.
Nu în ultimul rând, deși platformele de blogging „serioase” sunt destul de sigure în zilele noastre,
anumite platforme permit totuși posibilitatea de a posta conținut activ limitat, care ar putea fi util.
Pe lângă faptul că utilizează furnizori consacrați de servicii de blogging, dezvoltatorul web calificat
poate configura un blog pe propriul său spațiu web, folosind un sistem de management de conținut
(CMS) conceput pentru blogging. Wordpress este probabil cel mai cunoscut exemplu de astfel de
CMS. În cazul în care investigatorul trebuie să obțină informații referitoare la un blog găzduit pe un
spațiu web privat, acesta se poate referi la furnizorul care găzduiește spațiul respectiv, cartela de
interfață de rețea (NIC) corespunzătoare și, de asemenea, de la codul sursă (precum Instrumentele
WebMaster sau fragmente Google Analytics prezentate în această secțiune).
4.3.5 Servicii webmail
Cele mai multe platforme webmail inserează adresa IP a expeditorului, ca un antet suplimentar pe
e-mailuri trimise prin intermediul acestora. Gmail, pe de altă parte, nu dezvăluie aceste informații,
menționând necesitatea protejării confidențialității utilizatorilor lor. Fiecare dintre marile platforme
de webmail ar putea fi dezbătute în mai multe capitole, dar acestea ar fi prea tehnice și ar depăși
sfera de aplicare a prezentului Ghid. Cu toate acestea, investigatorul trebuie să fie atent atunci când
se ocupă de probele referitoare la aceste site-uri, deoarece există un potențial ridicat de a descoperi
probe.

Ca un exemplu real74, următorul fișier de legătură URL a fost găsit pe hard discul unui suspect, care
a devenit brusc relevant:
https://mail.google.com/mail/h/1fghjf56gshi2/?view=att&th=35hyfdfghdfgdfgwe67tid=0.1&dis
p=attd&realattid=f_gnt1i7j37&zw
După efectuarea unor cercetări, s-a descoperit că ultima parte a acelui „realattid”75 URI reprezintă
„ID-ul de atașare real”. Întrucât Google stochează o singură copie de atașamente pe serverele sale,
indiferent cât de multe e-mailuri diferite sunt asociate cu același fișier, acest lucru le-a permis
anchetatorilor să stabilească ce conținea atașamentul și să le lege suspectul la evenimentele care
făceau obiectul investigației.
4.3.6 Servicii de prescurtare URL
Acestea devin extrem de comune în peisajul Twitter. În afară de faptul că sunt menținute jurnale cu
privire la conexiunile Twitter (ceea ce este bine în scopuri probatorii), anchetatorul trebuie să fie, de
asemenea, conștient de faptul că unele servicii oferă statistici de urmărire cu link-uri deschise.
Aceasta înseamnă că oricine poate găsi statisticile disponibile referitoare la utilizarea unei adrese
URL scurtate. Unele servicii furnizează chiar aceste statistici cu o cronologie care poate indica când
a fost creat link-ul prescurtată.
4.3.7 Rețele publicitare
Anunțurile publicitare online constituie una dintre acele surse de informații care sunt, de obicei,
trecute cu vederea. Atunci când apar pe un site web suspect, anunțurile publicitare vor conduce la
o rețea publicitară precum Google AdSense, AdBrite, 24/7 RealMedia, Microsoft PubCenter/adCenter
etc. Acestea, la rândul lor, pot oferi un ID (care va fi mai mult sau mai puțin fiabil) în funcție de
rețeaua publicitară) și pot duce la „urma banilor”.
Ca o paranteză, și nu strict referitoare la anunțuri publicitare, codurile Google Analytics pot fi găsite
încorporate în codul foarte multor site-uri web. Formatul acestora arată astfel „UA-17576257-1” și
sunt utilizate pentru colectarea datelor operative referitoare la afaceri și preferințele utilizatorului.
De asemenea, infractorii îi utilizează pentru a urmări eficacitatea tuturor felurilor de atacuri și
înșelătorii. ID-urile referitoare la un cont Google Analytics sunt, în general, legate de un cont Google,
care poate duce apoi la un număr de telefon mobil.
4.3.8 Rețele de stocare a conținutului
Rețelele de stocare a conținutului sunt servicii care permit stocarea și partajarea materialelor online
și fac parte din fenomenul informaticii dematerializate (Cloud).
74
Ajustat și anonimizat pentru confidențialitate
75
Identificator uniform de resurse

Investigatorul va considera probabil aceste rețele ca o tehnologie subiacentă și invizibilă. Cu toate
acestea, investigatorul trebuie să fie conștient de existența acestora, deoarece acestea pot furniza
informații suplimentare sau inițiative la anchetă, care ar putea fi trecute cu vederea, în cazul în care
această tehnologie nu este cunoscută în mod corespunzător. Amazon are S3, Google are o rețea de
stocare de conținut pentru Google Apps, iar Microsoft are una pentru Azure. Multe alte aplicații
utilizează aceeași tehnologie. Unul dintre cele mai cunoscute exemple este serviciul cloud de stocare
și partajare numit DropBox, care se bazează intern pe Amazon S3.76
4.3.9 Rețele Peer-to-Peer (P2P) de partajare a fișierelor
În rețelele Peer to Peer (P2P - rețea de entități omoloage), calculatoarele (adică „omologii”) sunt
conectate unele cu altele, fără un server central. Fiecare calculator acționează atât ca client, cât și
ca server și poate partaja fișiere cu orice alt calculator (omolog) conectat la aceeași rețea. Fișierele
care sunt partajate sau descărcate prin majoritatea rețelelor P2P pot fi obținute doar prin conectarea
la rețeaua P2P și prin înregistrarea tranzacțiilor P2P corespunzătoare. Un utilizator poate configura
majoritatea clienților P2P pentru a înregistra tranzacțiile și pentru a salva în mod automat rezultatele
într-un fișier. În funcție de legile naționale, dosarul respectiv poate fi utilizat ca probă.
Iată o imagine a unui client uTorrent în acțiune. Omologii sunt prezentați descărcând același simultan
torent (fișier).
Dacă logarea este activată pentru acest client, toate detaliile necesare (IP, porturi, timestamps,
operații) vor fi înregistrate direct într-un fișier. În acest exemplu, procesul a avut ca rezultat un fișier
care arată cine a descărcat, în mod activ, fișierele de rainbow cracking 77 (spargere parole) de pe
shmoo.com pentru parole alfanumerice.
76
Dacă pot să solicite, în mod oficial date, de la acești furnizori de servicii, anchetatorii pot găsi un tezaur de
probe. De exemplu, Amazon S3 poate furniza obiecte hash, jurnalele de acces complete și chiar versionarea de
fișiere/obiect/shard!
77
Acestea sunt, de fapt, lungi liste de potențiale parole, care sunt apoi introduse automat în caseta de parole a
unui sistem țintă.

Această abordare simplă poate fi dezvoltată în continuare prin construirea (sau cumpărarea) de
clienți P2P modificați în mod specific, care permit înregistrarea fără posibilitatea falsificării, se
alimentează automat din fluxurile78 RSS torent, fără a coopera în procesul efectiv de distribuire a
fișierelor (adică, primește fișiere de la alți omologi, dar nu le distribuie. În funcție de jurisdicție,
participarea la o rețea P2P poate cauza probleme juridice pentru o investigație. Investigația în timp
real poate implica sortarea datelor într-o bază de date sau sondarea în timp real a adreselor IP
implicate pentru a aduna mai multe date. Rețelele P2P sunt utilizate, în mod obișnuit, pentru
circularea conținutului ilegal și sunt extrem de utilizate de către instituțiile de aplicare a legii pentru
investigarea proactivă a abuzurilor asupra copiilor la nivel mondial.
4.3.10 „Deep Web” („Web-ul adânc”) și „Darknet” („Internetul întunecat”)
În timp ce Internetul este un loc în care furnizorii de servicii și informații doresc, în mod obișnuit, să
publice și să partajeze date cu publicul larg, există, de asemenea, și o cerere pentru zone mai
private, accesibile unui grup restrâns de persoane, pentru scopuri exclusiviste. Unele dintre aceste
zone sunt locuri publice, care pot fi găsite doar de persoanele care dețin adresa corectă. Să luăm,
de exemplu, un cuplu care dorește să împărtășească fotografiile de la nunta lor cu familia și prietenii.
Aceștia nu ar dori ca toți utilizatorii de internetului să vadă fotografiile. În acest caz, aceștia ar putea
încărca imaginile într-un serviciu cloud și partaja link-ul către galerie, doar cu prietenii și familia.
78
RSS înseamnă Sindicalizare foarte simplă (Really Simple Syndication). Acesta este un sistem utilizat pentru a
livra conținut de pe web pe măsură ce este încărcat. Foarte des, acesta va avea legătură cu un serviciu de știri
sau media.

Desigur, acesta nu este un mod foarte sigur de partajare a datelor private, dar este ușor și, deoarece
fotografiile nu ar fi considerate ca având un grad ridicat de confidențialitate, această soluție ar putea
fi suficientă pentru majoritatea oamenilor.
Există, de asemenea, alte zone ascunse ale internetului pentru care sunt necesare date de
autentificare. Un panou cu informații tipic și un cont obișnuit de e-mail sunt doar două exemple de
zone private care nu pot fi găsite de către un motor de căutare sau accesate din cauza cerinței de
autentificare a acestora. Pe lângă site-urile care sunt ascunse intenționat motoarelor de căutare
publice, există, de asemenea, și site-uri web și baze de date, care nu pot fi indexate de către
motoarele de căutare, deoarece conținutul lor nu poate fi înțeles sau analizat de către acestea.
Denumirea colectivă pentru toate acele zone ale internetului, care sunt ascunse motoarelor de
căutare, se numește „Deep Web” (alte nume sunt „Hidden Web” („Web-ul ascuns”), “Invisible Web”
(„Web-ul Invizibil”) sau „Deepnet” („Internetul adânc”)).79
După cum se arată în exemplele de mai sus, Deep Web nu este un moft și nici nu este asociat
criminalității. Acesta există încă din primele zile ale internetului. De fapt, primele servere de pe
Internet și primele site-uri web disponibile pe World Wide Web ar putea fi ușor considerate ca fiind
parte a Deep Web. În zilele dinainte ca motoarele de căutare și directoarele publice să devină atât
de sofisticate, utilizatorii puteau vizita paginile doar dacă știau adresa exactă - pentru toți ceilalți
serverul sau site-ul era invizibil.
Este imposibil de măsurat dimensiunea Deep Web în prezent, din cauza naturii acestuia, dar au fost
efectuate câteva estimări aproximative. Un studiu realizat de Bergman 80 , din 2001, a sugerat
următoarele:
Surface Web Deep Web
Dimensiune 19 terabiți 7500 terabiți
Documente 1 miliard 550

miliarde
Pe lângă site-urile web, bazele de date și documentele care nu sunt indexate de motoarele de
căutare, există, de asemenea, un alt nivel al Deep Web: așa-numitul „Darknet” (cunoscut și sub
denumirea de Dark Web). Darknet, la fel ca și Deep Web, nu poate fi căutat de motoarele de căutare
standard. Cu toate acestea, în timp ce site-urile web de pe Deep Web pot fi accesate de un browser
79
Opusul Deep Web este „Surface Web” („Web-ul de suprafață”), deci toate informațiile care pot fi găsite prin
intermediul motoarelor de căutare.
80
Bergman, M. K. (2001). Deep Web: Scoaterea la iveală a valorii ascunse. Journal of Electronic Publishing 7, 1-
17. Disponibil la: http://www.press.umich.edu/jep/07-01/bergman.html

web obișnuit, dacă vizitatorul cunoaște adresa sau datele de autentificare, acest lucru nu este valabil
pentru site-urile web de pe Darknet.
Chiar dacă Darknet utilizează aceeași rețea fizică (internet) ca Deep Web și Surface Web, acesta
utilizează o rețea internă și un spațiu de adrese diferite. Pentru a vizualiza conținutul, pe lângă faptul
că trebuie să cunoască adresa Darknet, un investigator va trebui să se conecteze și prin intermediul
rețelei interne a Darknet.
Rețelele Darknet sunt rețele peer-to-peer, ceea ce înseamnă că fiecare utilizator se conectează în
mod direct la un alt utilizator. Oricine are setul de abilități necesar, poate crea un Darknet și poate
invita un grup de persoane de încredere să participe la această rețea mică. Cu toate acestea, există
și unele rețele Darknet cu mii de utilizatori. Cele mai proeminente dintre acestea sunt Serviciile
ascunse Freenet și The Onion Routing (Tor).
Rețeaua Tor este un canal de anonimizare care direcționează traficul prin mai multe noduri. Fiecare
nod își cunoaște doar vecinul direct, astfel încât nu este posibil pentru niciun nod (sau utilizator) din
lanț să cunoască exact cine a trimis sau a primit o anumită cerere. Un investigator poate accesa
rețeaua Tor pur și simplu descărcând browserul Tor81. Odată conectat la rețeaua Tor, investigatorul
poate accesa și configura serviciile ascunse. Aceste servicii pot fi accesate prin adrese „.onion” în loc
de FQDN (a se vedea pct. 4.2.4.). Un exemplu pentru o astfel de adresă „.onion” ar fi
3g2upl4pq6kufc4m.onion
Acesta este serviciul Darknet al motorului de căutare legitim DuckDuckGo, care oferă servicii de
căutare anonime.
Serviciile Tor ascunse includ portaluri pentru următoarele:
- Directoare, portaluri și informații;

- Motoare de căutare;
- Stocarea fișierelor;
- Partajarea de fișiere peer-to-peer;
- Social media;
- Email;
- Mesagerie instant;
- Piețe (în special pentru materiale și servicii ilegale);
- Știri, denunțări și arhive ale arhivelor de documente;
- Pornografie.
Următorul grafic ilustrează relația dintre Surface Web, Deep Web și Dark Web:
81
https://www.torproject.org/projects/torbrowser.html.en

Internet
Darknet
Surface
Web
Deep Web
Deep Web și, în special, Darknet, sunt relevante pentru investigațiile instituțiilor de aplicare a legii,
deoarece anonimatul Darknet a atras comercianții și clienți care tranzacționează materiale și servicii
ilegale, cum ar fi arme, droguri, bani falsificați, cărți de identitate false, identități furate, botneți,
servicii de hacking (acces ilegal la un sistem informatic), materiale conținând abuzuri asupra copiilor
și ucigași pe bază de contract. Cel mai important exemplu al unei astfel de piețe este „Drumul
Mătăsii”.
Investigarea Deep Web și Darknet este o sarcină de specialitate, care depășește sfera de aplicare a
prezentului ghid de bază. Cu toate acestea, următoarea listă de lectură poate orienta cititorii în
direcția corectă:
- Ghidul începătorului pentru explorarea Dark Net:

https://turbofuture.com/internet/A-Beginners-Guide-to-Exploring-the-Darknet
- Link-uri Deep Web: https://deepweblinks.org
- Directoare și motoare de căutare Deep Web:
http://www.thehiddenwiki.net/deep-web-directories-search-engines/
- Ghid pentru servicii ascunse TOR și elemente ale rețelei TOR:
https://en.wikibooks.org/wiki/Guide_to_Tor_hidden_services_and_elements_of_the_Tor_n
etwork
- Un crawler adaptiv pentru localizarea punctelor de intrare în web-ul ascuns, Luciano
Barbosa, Universitatea din Utah,
http://www.cs.utah.edu/~juliana/pub/ache-www2007.pdf
- Investigarea Dark Web – provocările anonimatului online pentru examinatorii de
criminalistică digitală,
https://articles.forensicfocus.com/2014/07/28/investigating-the-dark-web-the-challenges-
of-online-anonymity-for-digital-forensics-examiners/

- Cu crawler-ele prin web-ul ascuns, Raghavan și colab., În: Cea de-a 27-a conferință
internațională privind bazele de date foarte mari (VLDB 2001), 11-14 septembrie 2001,
Roma, Italia, http://ilpubs.stanford.edu:8090/725/
- Descărcarea de conținut depe web-ul ascuns, Alexandros Ntoulas și colab., UCLA Computer
Science, http://oak.cs.ucla.edu/~cho/papers/ntoulas-hidden.pdf
4.4 Date vs. probe
După ce am analizat unele dintre cele mai proeminente surse de probe pentru investigația online, o
abordare sistematică va asigura posibilitatea utilizării acestora în instanță.
4.4.1 Pentru ce doriți aceste date?
Un investigator trebuie să fie pregătit să răspundă la unele sau la toate întrebările următoare:
- De unde provin datele?

- Sunteți sigur de integritatea acestor date?
- Sunteți sigur că aceste date sunt complete?
- Sunteți sigur că nu există date despre care să nu aveți deloc cunoștințe și care ar putea să
vă invalideze concluziile?
Sau mai simplu:
- Puteți garanta integritatea dovezilor dumneavoastră?
În cadrul investigațiilor cu unități nefuncționale, majoritatea acestor întrebări nu vor crea dificultăți.
Există o metodologie și un set de instrumente prestabilite concepute exclusiv în acest scop. Cu toate
acestea, dacă prezentați un instantaneu al browserului în timp ce vizitați un anumit site, aceste
întrebări s-ar putea dovedi a fi o adevărată provocare.
Următorul este un instantaneu al site-ului web oficial al Consiliului Galactic:

Declinarea responsabilității: Acesta este un site fals!
Desigur, nu există un site web al Consiliului Galactic. Acesta este un alt site web modificat pentru a
oferi cititorului câteva probe false de primă mână.
Au fost necesare aproximativ 60 de secunde pentru a falsifica respectivul instantaneu (dintre care
40 au fost irosite pentru a gândi ce trebuie scris în acesta). Având în vedere ușurința de a crea
această imagine, un simplu instantaneu de conținut online nu ar fi niciodată destul de bun pentru a
demonstra suficient conținutul imaginii pentru o instanță. Cu toate acestea, codul sursă pentru o
pagină web poate ajuta la coroborarea conținutului.
4.4.2 Utilizați sursa
Codul sursă HTML vă poate ajuta să stabiliți un instantaneu a unei pagini web ca probă pentru
instanță. Din cauza limitărilor de spațiu, codul sursă complet nu va fi reprodus, dar iată câteva
statistici referitoare la codul sursă subiacent pentru pagina web falsă prezentată anterior.

Prin compararea acestor numere de metadate cu conținutul imaginii, se poate arăta că s-au adăugat
destul de multe date.
Respectiva pagină web model a fost cu adevărat simplă, dar aici sunt statisticile pentru o pagină de
pornire Facebook implicită:
Există destul de multe date aici și foarte puține dintre acestea sunt, de fapt, transformate în imaginea
ecranului de către browser.
Ca o paranteză, HTML-ul și Javascript-ul pentru respectiva pagină de pornire Facebook, a conținut

38 de referințe la fbid-ul utilizatorului82 (care arăta astfel: 100001248123456) plus sute de ID-uri
pentru fotografii și alți utilizatori care sunt prieteni pe Facebook. Pentru ca cineva să ascundă sau
să mascheze toate referințele din codul sursă, ar fi o sarcină monumentală.
Cum se poate găsi și copia codul sursă HTML a unei pagini web.
Toate browserele au opțiunile de a salva o pagină web și, realizând acest lucru, vor salva efectiv
codul sursă. Meniurile browserului vor oferi opțiuni precum „Salvați pagina ca” (“Save Page As”) sau
„Fișier -> Salvați ca” (“File -> Save As). În mod alternativ, majoritatea browserelor oferă o opțiune
numită „Vizualizare sursă” (“View source”). Un clic dreapta pe o pagină web dată, va dezvălui codul
sursă HTML, care poate fi copiat și lipit într-un fișier text sau document Word sau salvat ca document
HTML (care trebuie deschis de către un browser).
82
ID Facebook

4.4.3 Abordări clasice
O abordare obișnuită cu costuri reduse pentru colectarea de probe online este să configurați o
cameră video obișnuită și să înregistrați, pur și simplu, deschiderea browserului web și înregistrarea
procedurii (afișarea probelor pe care doriți să le înregistrați pe ecran). De asemenea, poate fi util să
navigați mai întâi pe site-ul unui ziar online cunoscut pentru a oferi un fel de marcaj al orei brute.
Ideea aici este că manipularea materialelor video nu este la fel de simplă ca falsificarea conținutului
site-ului web într-un instantaneu.
Cei care utilizează o cameră video, trebui să fie, de asemenea, conștienți de ceva numit „Aberație a
lentilei” cauzată de imperfecțiuni în senzorul camerei (imperfecțiunile unei imprimante au fost
discutate în Secțiunea 3.4.16). Aberația lentilei unei camere poate fi corelată cu probele înregistrate,
care dovedesc că respectivul dispozitiv a fost utilizat pentru a realiza înregistrarea.
4.4.4 Abordare clasică bazată pe tehnologii avansate
Configurarea unei camere video standard în fața calculatorului dumneavoastră poate fi greoaie. O
alternativă ar fi înlocuirea camerei video cu software de captură a ecranului digital. Există multe
instrumente disponibile care pot fi utilizate în acest mod. Unul dintre cele mai populare este
„Camtasia Studio” de TechSmith. Un software foarte asemănător, dar cu sursă deschisă este
„CamStudio Open Source”. Atât software-ul cât și codecul video au o Licență publică generală (GPL)
care permite utilizarea acestuia. Aceste instrumente sunt intuitive și extrem de simplu de utilizat:
Apăsați butonul roșu „Înregistrare” și începeți.
Investigatorul trebuie să fie întotdeauna conștient de faptul că înregistrarea este prevăzută ca

dovadă. Nu trebuie să existe efecte adăugate. Videoclipul nu trebuie editat în niciun fel sau chiar
transcodificat (adică schimbarea formatului pentru utilizare pe alte dispozitive).
Este recomandată înregistrarea întotdeauna pe ecran complet. Acesta va crește nivelul de

transparență. Dacă investigatorul dorește să evidențieze ceva prin mărirea („zoom”) unei zone a
ecranului, trebuie utilizate funcțiile de zoom ale browser-ului de internet (sau lupa ferestrei). Trebuie
evitată tentația de a adăuga un zoom ulterior, în timpul editării. Nu în ultimul rând, dar nu în ultimul
rând, proba trebuie înregistrată video într-un singur fișier, evitând tăierile și pauzele pe parcursul
înregistrării.
Există, de asemenea, unele puncte slabe în abordarea înregistrării. De exemplu, în cazul în care un
server web a fost configurat cu o copie a unei pagini/site web falsificate și înregistrările/rutarea DNS
de pe calculator au fost modificate pentru a indica copia în locul site-ului web online real?
Acesta este exact genul de provocare pe care investigatorul trebuie să încerce să o anticipeze. O
modalitate de a evita această problemă ar putea fi înregistrarea „accesului indirect” la conținutul
online care este înregistrat pentru a arăta că este original. O modalitate simplă de a face acest lucru,
de exemplu, este să utilizați ceva precum Google Translate pentru a accesa site-ul țintă (notă,

Google Translate oferă un buton „Afișează conținut original”, astfel încât să poată fi afișată
vizualizarea indirectă, netradusă).
În această imagine, site-ul web DNSstuff este ținta (nevinovată) și Google Translate este utilizat
pentru a verifica dacă imaginea de pe ecran nu este un site web clonat creat de un hacker. Așadar,
în loc ca computerul dumneavoastră să se conecteze direct la DNSstuff, un server Google
contactează site-ul web și solicită pagina principală. Acest lucru poate demonstra „în direct”, pe
filmarea video, că examinarea este efectuează într-adevăr pe pagina web autentică. În același timp,
ora și data vizitei la Google Translate, adresa IP și adresa URL tradusă vor fi fost înregistrate în
jurnalele serverelor Google.
O modalitate suplimentară de a face ca probele video să fie mai solide este de a demonstra în fața
camerei date suplimentare, mai „tehnice” aferente paginilor web vizate. O posibilitate ar fi navigarea
la http://http-headers.online-domain-tools.com, care va afișa „anteturile HTTP” pentru un anumit
domeniu. Anteturile furnizează, de obicei, un câmp de „Date” furnizat direct de serverul web care
găzduiește site-ul, care arată ora pe serverul web pe care sunt găzduite probele.

Iată un exemplu de antet, în care sunt afișate software-ul serverului (nginx) și unele date cookie:

Un alt exemplu pentru a ilustra faptul că unele anteturi ar putea oferi, de asemenea, și informații
suplimentare:

4.4.5 Făcând un pas mai departe
O bună modalitate de a menține o imagine de ansamblu a ceea ce se întâmplă pe durata investigației

dumneavoastră online și de a păstra toate aspectele tehnice într-un singur loc este utilizarea unui
înregistrator/sniffer (detector) de trafic. Acest software va înregistra fiecare pachet de date trimise
și primite pe internet (adică „datele privind traficul”). Există câteva instrumente excelente cu sursă
deschisă disponibile pentru a face acest lucru, cum ar fi WireShark 83. Software-ul WireShark poate
captura și alte tehnologii online „non-centrice”, inclusiv P2P sau VoIP.84 Dacă se utilizează criptarea
(ca în cazul anumitor servicii P2P și VoIP, sau HTTP-uri pe serviciile webcentrice), atunci
instrumentele precum WireShark vor capta datele criptate. Datele criptate vor avea o valoare
limitată pentru o investigație fără aplicarea unei expertize de specialitate considerabile.
Iată un exemplu de date capturate de Wireshark în timpul încărcării paginii noastre de referință
„http://www.galactic-council.glxy”
Pentru datele webcentrice, un compromis între ușurința de utilizare și detalii ar fi rularea sesiunii
web printr-un „proxy de autentificare”. Un server proxy se află între programul condus de utilizator
(cum ar fi browserul web) și serverul real. Un „proxy de autentificare” înregistrează toate cererile
primite și le transmite la un punct final nominalizat. Această abordare ar putea fi mai ușor de
83
http://www.wireshark.org/download.html
84
VOIP este telefonie bazată pe internet și înseamnă Traficul de voce prin Internet. Skype este un exemplu
binecunoscut în acest sens

configurat și are avantajul suplimentar că poate fi extinsă cu ușurință pentru a se integra soluțiilor
în timp real care semnează și marchează ora în jurnalele generate.
4.4.6 Marcarea orei
Marcarea fiabilă a orei este procesul de înregistrare securizată a orelor la care a fost creat și modificat
un document. Aici, „securizată” înseamnă că nimeni - nici măcar proprietarul documentului - nu
poate schimba înregistrările, după ce acestea au fost înregistrat.
Există câteva opțiuni bune, cu sursă deschisă, de marcare a orei și multe servicii comerciale care ar
putea fi considerate suficient de fiabile pentru necesitățile locale.
4.4.7 Crearea unui duplicat care poate fi vizualizat, al unui site web
O altă tehnică de stocare a conținutului unui site web pentru o examinare ulterioară este crearea
unei copii offline care poate fi vizualizată. Copiatorul de site-uri web HTTrack este capabil să descarce
conținutul site-urilor web, precum și fișierele media de pe Internet. Instrumentul poate schimba
toate căile din codul sursă pentru a indica fișierele media și site-urile conexe, astfel încât site-ul web
să fie, în mod efectiv, reprodus atunci când este vizualizat offline, cu toate imaginile asociate.
Aceasta poate fi o abordare bună atunci când trebuie prezentat conținutul unui site web în instanță,
dar investigatorul trebuie să rețină faptul că codul sursă a fost schimbat de instrument și că astfel
de instrumente sunt adesea incapabile să copieze integral site-ul web, cu toate suporturile și site-
urile conexe.
4.4.8 Notar
Există situații în care un notar sau un alt funcționar juridic ar putea fi cooptat pentru a ajuta la
obținerea de probe. Una dintre funcțiile unui notar în jurisdicțiile de drept civil este de a revizui și
autentifica anumite documente și acorduri juridice, într-un mod acceptabil pentru o instanță de
judecată. Dacă un notar poate fi invitat să acceseze orice material online este necesar ca probă
utilizând calculatorul și conexiunea la internet, acesta poate atesta apoi oficial autenticitatea probelor
descoperite. În cazul în care este necesară cooperarea internațională, multe țări au acorduri care
recunosc reciproc documentele legalizate.
4.4.9 Limitări ale abordărilor existente
Există multe instrumente și servicii care pretind că oferă achiziție automatizată de probe online și
par să garanteze admisibilitatea probelor. Deși multe dintre aceste instrumente și servicii pot crește
probabilitatea ca probele să fie admisibile într-o instanță de judecată, nu există un instrument unic
care să garanteze 100% admisibilitatea în temeiul oricărui cadru juridic.
Există două limitări fundamentale:
1. Toate instrumentele software depind de un mediu de calcul „fiabil”, lucru dificil de realizat și
aproape imposibil de dovedit unui terț. În termeni simpli, orice instrument care rulează pe
calculatorul unui investigator poate fi compromis și modificat. Pe acest front, s-au realizat

recent progrese importante (de exemplu, Modulul Platformei Fiabile), dar astfel de sisteme
nu sunt încă suficient de mature pentru scopuri probatorii.
2. Fiabilitatea unui serviciu comercial este fiabilă doar în măsura fiabilității companiilor care
oferă respectivele servicii. Aceste servicii tind să se comercializeze, oferind o gamă
impresionantă de funcții: „marcarea orei”, „criptare”, „sigilii digitale”, „micro-hashing”.
Punctul slab este, de obicei, în achiziția inițială de date. Dacă există riscul ca serviciul să fie
vulnerabil la corupție cu date false, atunci riscul va fi prezent și în orice probă pe care
pretinde că o furnizează.
4.4.10 Însumând totul
Așa cum se poate observa deja, nu există o metodologie sau un set de instrumente ideale pentru
securizarea probelor digitale online într-un mod care să garanteze admisibilitatea acestora în orice
instanță de judecată de oriunde. Cele mai bune practici în prezent implică maximizarea calității
datelor obținute și luarea tuturor măsurilor necesare pentru a asigura, pe cât posibil, integritatea
probelor și transparența procesului prin care acestea au fost achiziționate. Dacă legile locale permit,
pentru a adăuga un element suplimentar de validare obiectivă, pot fi angajate serviciile unui notar
sau ale unui funcționar public similar sau ale unei Autorități guvernamentale de încredere de marcare
a orei. Ținând cont de toate acestea, admisibilitatea unei proceduri sau metodologii trebuie
verificată înainte de adoptare cu consilieri juridici.
4.5 Anchete online sub acoperire
Acest Ghid nu poate oferi decât sfaturi generale privind implicarea sub acoperire a unui agent de
aplicare a legii. Orice persoană implicată într-o investigație sub acoperire (fie pe internet, fie în
lumea reală) trebuie să fie întotdeauna pregătită, competentă și autorizată în mod corespunzător.
Este posibil ca acest rol să nu existe în anumite jurisdicții sau poate fi chiar interzis de legislația
națională. Ori de câte ori se are în vedere implicarea de agenți sub acoperire, trebuie acordată
întotdeauna o atenție deosebită legislației, politicilor, procedurilor, codurilor de practică și
standardelor aplicabile pentru desfășurarea investigațiilor în respectiva jurisdicție specială.
Înainte de a începe orice investigație online, ofițerul de autorizare și agentul sub acoperire trebuie
să stabilească domeniul de aplicare și cerințele respectivei investigații, precum și parametrii care
trebuie aplicați în implicarea și desfășurarea investigatorului online sub acoperire. Trebuie pregătită
o evaluare a riscurilor și revizitată și revizuită, în mod continuu, pe toată durata implicării.
Toate deciziile și acțiunile trebuie documentate în conformitate cu politica și legislația în vigoare.

Acest jurnal trebuie să arate cum și când au fost luate orice fel de decizii și, dacă este cazul, să
conțină o notă a motivelor unor astfel de decizii.
Înainte de orice implementare, cadrul pentru schimbul de informații și date operative trebuie stabilit
în mod oficial. Acest lucru poate necesita utilizarea unui agent de asistență pentru a oferi asistență
agentului online în cazul oricăror modificări neprevăzute în ceea ce privește investigația. Agentul de

suport va acționa, de asemenea, ca un canal între ofițerul de autorizare și orice alt serviciu necesar
pentru a continua interacțiunea online fără întrerupere.
În timp ce desfășoară operațiuni ascunse, agentul trebuie să stabilească și să mențină identități

online sub acoperire eficiente, adecvate unei serii de investigații, ținând cont de echipamentele,
resursele și suportul disponibile, precum și cunoștințele proprii privind utilitățile bazate pe internet.
Trebuie avută în vedere aprovizionarea cu echipamentele și a serviciile asociate, necesare pentru

întreprinderea unei astfel de investigații sub acoperire și într-un mod nedetectabil. În niciun caz, nu
trebuie să fie posibilă urmărirea oricărui echipament sau servicii, care să conducă la o instituție de
aplicare a legii.
În mod regulat, echipamentele și toate sistemele potențiale de înregistrare trebuie testate pentru a
se asigura că acestea funcționează corect și pentru a confirma caracterul adecvat al acestora pentru
astfel de operațiuni.
Atunci când operează cu identitatea lor sub acoperire, agenții trebuie să respecte standardele etice
și corespunzătoare. În colectarea informațiilor, stabilirea și menținerea contactului cu subiectul
investigației, aceștia trebuie să acționeze în conformitate cu orice condiții prevăzute în instrucțiunile
lor inițiale de angajare în operațiune.
Deoarece investigațiile online se pot dezvolta foarte repede, agenții trebuie să pregătească în
prealabil și să dezvolte strategii pentru a face față eventualelor conflicte sau dificultăți care pot
apărea în timpul unei interacțiuni. În cazuri extreme, acest lucru poate necesita, de exemplu,
simularea defecțiunii echipamentului pentru a permite timp suficient pentru luarea în considerare a
răspunsului adecvat.
Agenții trebuie:
- Să poată identifica limitele legale ale acțiunilor lor (inclusiv să poată recunoaște ceea ce
constituie participarea la infracțiuni);
- Înțelegeți cu atenție necesitatea coroborării probelor;
- Luați în considerare drepturile omului în cauză și toate celelalte părți afectate de investigație.
Agenții trebuie să se asigure întotdeauna că toate materialele relevante pentru investigație sunt
păstrate și înregistrate într-o formă durabilă și care poate fi consultată. Aceasta poate necesita
dezvoltarea de sisteme sigure, care nu sunt disponibile, în mod normal, în cadrul instituției implicate.
4.5.1 Riscuri tehnice
Din punct de vedere tehnic, trebuie luate măsuri pentru a proteja adevărata identitate a agentului
online, la fel ca în orice misiune ascunsă. Majoritatea soluțiilor de e-mail vor furniza suspectului
adresa IP a agentului; chiar și serviciile de e-mail care nu furnizează adrese IP originale (cum ar fi
Gmail) ar putea fi totuși utilizate pentru identificarea agentului. O tehnică clasică utilizată de un
infractor cibernetic constă în trimiterea de atașamente „momeală”, care vor dezvălui adresa IP și

alte informații interesante de la calculatorul agentului odată ce acesta este deschis. Există, de
asemenea, și alte tehnici mai elaborate. Blogging-ul poate fi la fel de revelator și discuțiile (chat) va
stabili, de obicei, o conexiune directă între ambele părți (la un moment dat în timp), care va dezvălui
din nou adresa IP. Din acest motiv, echipamentele sub acoperite trebuie testate înainte de a intra
online. Investigatorii experimentați au descoperit identitatea infractorilor, care au crezut că
utilizează o platformă sigură „Expeditor anonim”, care s-a dovedit sigură numai dacă se plătește
abonamentul. Efectuați o dublă verificare și încercați întotdeauna să urmăriți până la calculatorul
agentului.

5 Date deținute de terți
Este posibil să nu fie întotdeauna posibilă accesarea fizică sau de la distanță a unui dispozitiv, așa
cum este descris în Capitolele 3 și 4. Datele stocate pe dispozitive complexe de mari dimensiuni
(cum ar fi cele ale furnizorilor mari de servicii de internet) pot fi toate, dar imposibil de accesat fără
cooperarea și asistența Furnizorului de servicii de internet. O modalitate de a evita acest lucru poate
fi căutarea cooperării unui terț (cum ar fi furnizorul de găzduire), care poate fi în măsură să furnizeze
fișiere jurnal și date de înregistrare a serviciilor. Obținerea datelor de la terți este discutată în
continuare în secțiunea 5.1.
De asemenea, terții pot colecta probe electronice în mod provizoriu, indicând faptul că a avut loc o
infracțiune informatică și determinând organele de aplicare a legii să inițieze o investigație. Acest
lucru este discutat în continuare în secțiunea 5.2. Simpla dimensiune a internetului și numărul de
tranzacții efectuate în fiecare minut, înseamnă că este imposibil pentru insuficientele resurse
disponibile organelor de aplicare a legii, pentru ca acestea să îl monitorizeze efectiv. Deși unele părți
ale internetului sunt complet accesibile tuturor utilizatorilor de internet, alte părți sunt restricționate
și necesită înregistrare. Atunci când infracțiunea are loc prin canale de comunicare închise (cum ar
fi o infracțiune comisă prin utilizarea e-mail-ului personal), organele de aplicare a legii au șanse mici
să observe respectiva infracțiune sau să obțină probe documentare cu privire la aceasta, exceptând
cazul în care infracțiunea este raportată de o persoană cu acces la acel canal privat.
5.1 Deținători independenți de date
Identificarea autorului infracțiunii comise pe internet poate fi dificilă. Adesea, singura informație
cunoscută despre sursa infracțiunii va fi o adresă IP, o adresă MAC 85, o adresă de e-mail, un nume
de domeniu sau un pseudonim de internet sau „identificator”. Pentru a putea identifica persoana
fizică din spatele adresei de internet, specialistul trebuie să obțină date deținute de Furnizorii de
servicii internet. Furnizorii de acces la internet, e-mail sau găzduire sunt adesea singurele entități
care pot asigura legătura crucială între identitatea cibernetică a făptuitorului și identitatea din lumea
reală. Prin urmare, deținătorii de date independenți pot fi adesea cheia pentru aducerea unui suspect
în justiție.
Următorul scenariu poate ajuta la explicarea modului în care intermediarii pot identifica un infractor:
Calculatorul unei victime este compromis, permițând făptuitorului acces complet la toate fișierele
electronice ale victimei (inclusiv înregistrări bancare și parole de autentificare pentru diverse site-
uri web). Analiza criminalistică relevă faptul că victima a primit un e-mail care conținea programe
de coduri ostile (malware), care instalau software de spionaj pe mașina victimei. Polițistul care
investighează problema poate identifica atât contul de e-mail utilizat pentru a trimite email-ul
infectat, cât și adresa IP de la care a fost trimis. Informațiile furnizate de un Furnizor de servicii de
internet dezvăluie faptul că e-mailul a fost trimis dintr-o rețea corporativă dintr-un oraș important
din Finlanda. Furnizorul de conturi de e-mail arată că același cont de e-mail este accesat nu numai
85
Adresa Control acces media este un număr unic care identifică un dispozitiv dintr-o rețea.

din Finlanda, ci chiar de până la trei țări diferite în aceeași zi. În mod clar, făptuitorul trimite e-
mailuri prin calculatoare piratate sau o rețea proxy. Cu toate acestea, furnizorul de cont de e-mail
dezvăluie, de asemenea, că a existat o încercare de a se plăti contul de e-mail, cu un număr de card
de credit blocat. Investigatorul solicită companiei de carduri de credit informații cu privire la
deținătorul cardului de credit. Informațiile arată că contul cardului de credit aparținuse unui domn
japonez în vârstă, dar că acesta a fost dezactivat recent, după ce numărul fusese utilizat pentru
unele achiziții frauduloase pe Internet. Una dintre achizițiile frauduloase a fost pentru echipamente
informatice printr-o comandă prin poștă. Comerciantul cu amănuntul de echipamente informatice
poate indica adresa de livrare din Olanda către care au fost expediate mărfurile. La percheziția
acestei adrese olandeze, este descoperit un calculator portabil și în memoria acestuia se află o copie
a e-mailului cu codul ostil, care a fost trimis primei victime.
Acest exemplu demonstrează modul în care identificarea autorului unei infracțiuni pe internet poate
implica o serie extinsă de interogări interconectate, precum și necesitatea unei puternice cooperări
internaționale. Astfel de investigații pot dura mult timp (în special atunci când sunt solicitate probe
din străinătate86) și există un risc real ca datele stocate de un terț să nu mai fie disponibile până la
momentul la care se face o solicitare. Aceasta poate fi o dificultate deosebită atunci când sunt căutate
adrese IP ale datelor de trafic.
Este foarte probabil ca terți independenți să solicite o hotărâre judecătorească sau un alt proces
juridic de autorizare înainte de a publica orice date cu caracter personal referitoare la clienți sau la
activitățile pe internet ale clienților. Aceste informații sunt protejate, în mod obișnuit, de legislația
națională privind confidențialitatea și datele cu caracter personal și de termenii și condițiile
contractelor de servicii. Cu toate acestea, datele probatorii eliberate în conformitate cu practica
juridică acceptată vor fi admisibile în instanță.
Deoarece utilizatorii își stochează din ce în ce mai mult datele la FSI în cloud, a devenit din ce în ce
mai frecventă necesitatea abordării unor terți pentru accesul la datele respective. În 2008, Consiliul
Europei a publicat o imagine de ansamblu a bunelor practici și recomandărilor pentru colaborarea
cu FSI pentru a asigura probele, cu titlul „Ghiduri pentru cooperarea dintre organele de
aplicare a legii și furnizorii de servicii de internet împotriva criminalității informatice”.87
5.1.1 Promovarea cooperării între deținătorii independenți de date și organele de

aplicare a legii
Utilizarea bazelor de date pentru identificarea infractorilor este un proces consacrat în sistemul de
justiție penală. Bazele de date pentru amprente digitale și ADN au devenit elemente de bază pentru
cercetările penale în multe jurisdicții. Cu toate acestea, bazele de date implicate în probele
electronice sunt puțin probabil să fie deținute de entități de aplicare a legii sau guvernamentale.
Bazele de date pentru probe electronice sunt răspândite în multitudinea, miile de companii private
care alcătuiesc internetul. Aceasta înseamnă că relația și cooperarea cu companiile private sunt
86
A se vedea secțiunea 8 referitor la jurisdicție.
87
https://www.coe.int/en/web/cybercrime/lea-/-isp-cooperation

extrem de importante. Cu toate acestea, lipsa de informații centrale referitoare la informațiile de
identificare ale clienților deținute de FSI face dificilă stabilirea standardelor pentru schimbul de
informații. Fiecare dintre aceste companii are propriile metode de abordare a activității infracționale
în rețeaua lor, de conservare a datelor solicitate și de prioritizare a cererilor de conservare pe care
le primesc.
Stabilirea unui dialog regulat direct cu un titular independent de date poate ajuta la evitarea
neînțelegerilor și poate oferi îndrumări cu privire la cererile care sunt urgente și care au o prioritate
mai redusă și va contribui, de asemenea, la promovarea unei culturi de cooperare. Un dialog de
cooperare poate, de asemenea, să încurajeze furnizorii de servicii care sunt martorii unei infracțiuni
să o raporteze contactelor lor de aplicare a legii.
Ghidurile Consiliului Europei pentru cooperarea dintre organele de aplicare a legii și

furnizorii de servicii de internet împotriva criminalității informatice oferă o serie de sugestii
cu privire la modul de încurajare a cooperării. Sugestiile includ utilizarea de formate standard pentru
formularea de cereri și răspunsuri, precum și nominalizarea unor puncte de contact unice, pentru a
facilita schimbul de informații. Orientările sugerează, de asemenea, ca ambele părți să pregătească
proceduri scrise, care guvernează modul în care cererile vor fi prelucrate și gestionate. Astfel de
proceduri pot oferi încredere în modul în care datele sunt păstrate și obținute și pot asigura protecția
drepturilor omului și așteptărilor privind viața privată a persoanelor vizate.
Ghidul sugerează, de asemenea, reuniuni periodice între organele de aplicare a legii și FSI și alți
deținători de date terți. Acesta poate deveni un forum pentru a discuta despre dificultățile în ceea
ce privește cooperarea, dar și pentru a discuta tendințele și amenințările emergente, într-o manieră
strategică și de perspectivă. Cooperarea poate include, de asemenea, formarea comună între
organele de aplicare a legii și sectorul privat. O astfel de formare poate ajuta la demontarea
preconcepțiilor și poate promova un mediu de încredere între participanți.
5.1.2 Păstrarea datelor
Orice drept procedural (cum ar fi ordinele de producție, rechizitoriile sau citațiile care solicită
informații de la Furnizorii de servicii de internet), introduse într-o jurisdicție, nu vor fi aplicabile în
alta. Pentru a obține dovezi de la un furnizor de servicii străin, o solicitare trebuie să treacă printr-
un proces de asistență juridică reciprocă autorizat, așa cum este descris în Secțiunea 8. Aceasta
poate dura mult timp și există riscul ca, până la momentul în care deținătorul de date, furnizorul de
servicii, primește solicitarea, astfel de date solicitate să nu mai fie disponibile. Furnizorii de servicii
de comunicare nu stochează date de trafic pe terme nelimitat și, în mod normal, nu vor stoca astfel
de date mai mult decât este necesar în scopuri de facturare.
Un exemplu de legislație privind păstrarea datelor pentru a încerca împiedicarea acestui lucru a fost
Directiva Uniunii Europene 2006/24/CE. Această Directivă avea ca obiectiv armonizarea perioadei
de timp în care furnizorii de comunicații electronice trebuie să păstreze datele privind traficul de

comunicații.88 Directiva impunea statelor membre să legifereze păstrarea datelor de către furnizorii
de servicii, nu mai puțin de 6 luni și nu mai mult de 24 de luni. Cu toate acestea, în aprilie 2014,
Curtea Europeană de Justiție, într-o cauză formulată de grupuri de interese din Irlanda și Austria, a
constatat că directiva era disproporționată în ceea ce privește aplicarea sa și, prin urmare,
incompatibilă cu drepturile fundamentale. Prin urmare, Directiva a fost anulată. De atunci, doctrina
privind păstrarea datelor este în curs de revizuire în UE. Regatul Unit a adoptat imediat legislația de
înlocuire de urgență pentru a asigura păstrarea unor astfel de date. Alte state membre ale UE au
fost mai reticente.
Pentru orice investigație care implică internetul, datele referitoare la trafic pot fi singurele probe care
stabilesc legătura dintre o comunicare electronică și o persoană fizică. Dacă aceste date sunt șterse
înainte ca investigatorul să le poată solicita, legătura este pierdută pentru totdeauna. Din păcate,
poate fi necesar mult timp pentru lansarea unei investigații și chiar mai mult înainte ca ancheta să
identifice resursele de internet utilizate de un infractor (care este destul de probabil să își fi ascuns
urmele). Canalele diplomatice tradiționale pentru solicitările de asistență internațională pot dura, de
asemenea, o lungă perioadă de timp și împiedică depunerea în timp util a unei solicitări către
furnizorul de servicii relevant.
Din acest motiv, articolul 16 din Convenția de la Budapesta permite părților la convenție să solicite
păstrarea datelor informatice chiar înainte de obținerea unei ordonanțe judecătorești. Articolul 17
privind datele de trafic, precum și stabilirea unei proceduri pentru solicitarea păstrarea rapidă a
datelor permite, de asemenea, unei autorități competente să dezvăluie rapid „suficiente date de
trafic” pentru a permite Părții să identifice furnizorii de servicii și calea prin care a fost transmisă
comunicarea”. O Parte la Convenție poate solicita unei alte Părți să păstreze datele de trafic și datele
de conținut, utilizând rețeaua de contact non-stop creată în conformitate cu articolul 35 din
Convenția de la Budapesta.
Se sugerează ca, atunci când se efectuează o solicitare de păstrare a datelor, un investigator trebuie
să solicite, de asemenea, atât confirmarea faptului că datele au fost păstrate, cât și un număr de
referință pentru datele stocate.
Nu este obligatoriu ca părțile la Convenția de la Budapesta să utilizeze rețeaua de puncte de contact

non-stop. Într-adevăr, cooperarea directă între FSI și Autoritățile de aplicare a legii poate fi potențial
mai flexibilă și poate duce la o mai bună înțelegere a nevoilor și limitărilor acestora.
5.2 Primirea de rapoarte privind infracțiunile informatice
În multe cazuri, victima unei infracțiuni pe internet nu va ști că datele sale au fost copiate ilegal,
până în momentul în care datele furate vor începe să fie utilizate de infractor în lumea reală. Într-
adevăr, victimele ar putea să nu știe niciodată că datele lor au fost furate. Dacă nu știu că au fost
victime, acestea nu vor raporta niciodată; organele de aplicare a legii nu vor înregistra niciodată
88
adică, date privind comunicarea datelor, nu conținutul comunicării respective.

infracțiunea și aceasta nu vor apărea niciodată în statisticile oficiale. Se presupune că infracțiunile
informatice sunt extrem de puțin raportate.
O provocare suplimentară pentru organele de aplicare a legii este aceea că pe internet există relativ
puțin spațiu public care poate fi monitorizat. Majoritatea comunicațiilor pe internet (ca în lumea
reală) se desfășoară în privat, între persoane private într-un spațiu privat. Fără permisiunea specială
din partea instanței, organele de aplicare a legii pot monitoriza doar acel volum mic de conținut de
pe internet postat pe paginile web publice.
Deoarece infracțiunile comise pe internet sunt în mare parte invizibile, aplicarea legii depinde mai
mult de raportarea de către terți a unor activități suspecte. Secțiunile de mai jos privind rapoartele
victimelor și ale martorilor explică modul în care pot fi colectate probe electronice pentru a ajuta
organele de aplicare a legii să identifice infracțiunile.
Obținerea de rapoarte credibile, justificate de probe electronice, poate ajuta organele de aplicare a
legii la nivel strategic să înțeleagă ca un fenomen criminalitatea informatică, să identifice tendințele
emergente și amenințările în dezvoltare, precum și să se concentreze pe acele moduri de operare
care produc cel mai mult rău publicului. Rapoartele de la terți pot fi, de asemenea, de valoare pentru
companiile comerciale, care este posibil să nu fie conștiente de faptul că rețeaua și datele lor au fost
compromise. De exemplu, în cazul botneților89, mulți utilizatori nevinovați nu își vor da seama că
mașinile lor au fost infectate și preluate de rețeaua infracțională, până când un terț, cum ar fi o
companie de securitate pe internet, va contacta FSI cu o listă de adrese IP infectate.
În mod normal, victimele infracțiunilor informatice vor raporta o infracțiune în cazul în care au suferit
pierderi sau anumite prejudicii care le afectează personal. Cu toate acestea, o serie de victime ale
infracțiunilor informatice pot alege, de asemenea, să nu raporteze o infracțiune, deoarece pierderea
lor este minoră, nu vor să se implice, aceștia sunt de părere că raportarea infracțiunii îi va implica
într-o birocrație de durată și/sau sunt neîncrezători că organele de aplicare a legii vor putea să aducă
infractorul în fața justiției.
Un exemplu de inconvenient minor, care poate părea nesemnificativ pentru o victimă, dar care are
o amprentă infracțională mai largă, ar fi cazul mesajelor spam (nesolicitate). E-mailurile spam nu
sunt ilegale peste tot, dar chiar și într-o țară în care mesajele spam sunt ilegale, un utilizator care
vede un singur mesaj spam, îl va adăuga, în mod normal, în folderul „coș de gunoi” (junk).
Utilizatorul nu se gândește la milioanele de mesaje similare trimise și utilizate pentru a sprijini
activitatea infracțională organizată. În mod similar, un utilizator poate fi infectat cu un virus
informatic care oferă hackerului acces la calculatorul său, dar odată ce software-ul antivirus
dezinfectează calculatorul, este posibil ca victima să nu se simtă obligată să raporteze infracțiunea
89
Botnet provine din alăturarea cuvintelor roBOT (robot) și NETwork (rețea). Acesta descrie o rețea de
calculatoare care au fost toate infectate de un anumit virus, astfel încât acestea pot fi utilizate de la distanță,
pentru a continua efectuarea în continuare a unor activități ilegale pe internet. Calculatoarele sunt utilizate fără
cunoștințele proprietarilor.

la poliție. Chiar și așa, victimele unor astfel de infracțiuni ar putea totuși furniza informații importante
organelor de aplicare a legii, dacă ar exista o modalitate simplificată de înaintarea a acesteia.
Începând cu anul 2002, Comisia Federală a Comerțului din Statele Unite (FTC) a invitat utilizatorii
să transmită orice mesaj nesolicitat pe care îl primesc, la adresa de e-mail spam@uce.gov, astfel
încât FTC să poată analiza tendințele și să își concentreze mai efectiv eforturile anti-spam.
Mai multe forțe naționale de poliție au lansat, de asemenea, metode ușor de utilizat de către
utilizatori, pentru raportarea infracțiunilor pe internet. Europol găzduiește un site web, care oferă o
bună imagine de ansamblu asupra mecanismelor de raportare din diferite țări ale UE
(https://www.europol.europa.eu/report-a-crime/report-cybercrime-online), inclusiv:
- Poliția Națională Franceză: https://www.internet-signalement.gouv.fr/

- ONG francez: https://www.signal-spam.fr/en/
- Poliția Națională Italiană: https://www.commissariatodips.it/
- Regatul Unit: https://www.actionfraud.police.uk
- Centrul de reclamații privind criminalitatea pe Internet a FBI din Statele Unite:
https://www.ic3.gov/
Trebuie menționat faptul că aceste centre de raportare nu sunt destinate a fi utilizate pentru
raportarea situațiilor de urgență.
5.2.1 Colaționarea mai multor rapoarte ale victimelor pentru a construi un caz
După cum s-a discutat mai sus, este posibil ca o infracțiune de criminalitate informatică să implice
doar o pierdere monetară limitată pentru o persoană, dar aceste sume individuale mici nu vor
reflecta câștigurile generale realizate de infractorii cibernetici implicați și nici prejudiciile pe care
infractorii le provoacă societății în ansamblu. Analiza mai multor cazuri minore avute în vedere
împreună, poate justifica alocarea de resurse și timp de investigație, care nu sunt justificate de o
infracțiune minoră considerată izolat. Într-adevăr, chiar și pentru a prelucra o cerere internațională
de asistență, unele țări impun ca respectivul caz să îndeplinească criterii de prag minime, mai ușor
de îndeplinit atunci când se iau în considerare o serie de infracțiuni minore avute în vedere împreună.
Primirea și colaționarea de rapoarte la nivel internațional pot avea, de asemenea, beneficii, deoarece
este probabil ca țintele criminalității informatice să fie răspândite pe tot globul. Europol a creat o
bază de date de investigații transeuropene în care organele de aplicare a legii din UE pot introduce
date. În mod similar Fundația Inhope (https://www.inhope.org/EN), are o bază de date globală de
adrese raportate ca găzduind pornografia infantilă. Fundația cooperează cu liniile de asistență
telefonică de urgență de raportare afiliate, în scopul identificării rapoartelor comune pe care organele
de aplicare a legii le pot fi utiliza ca probe pentru a solicita eliminarea conținutului și pentru a efectua
investigații suplimentare. Organele de aplicare a legii din întreaga lume pot coopera Interpol
(https://www.interpol.int). Sediul Interpol din Lyon menține o bază de date cu imagini cunoscute de
abuzuri asupra copiilor care pot fi utilizate ca probe. Contactul cu Interpol trebuie efectuat prin
intermediul Birourilor Centrale Naționale din fiecare țară.

De asemenea, pot fi înființate centre de raportare ca un parteneriat public-privat. Un bun exemplu
în acest sens este asociația franceză (https://www.signal-spam.fr/en/) care colectează și
colaționează rapoarte de spam de la publicul larg. Signal-spam raportează propriile constatările nu
numai organelor de aplicare a legii, ci și routerelor de e-mail. Aceasta permite furnizorilor de e-mail
opțiunea de dezabonare a utilizatorilor care se fac responsabili de abuzul serviciilor lor.
5.2.2 Martorii criminalității informatice
În timp ce monitorizează activitatea din rețeaua lor de calculatoare, operatorii de rețea pot descoperi
uneori că are loc un atac. Furnizorii de găzduire e-mail pot vedea un număr neobișnuit de mare de
e-mailuri către sau de la o anumită adresă. Un editor de software antivirus, care analizează o nouă
formă de coduri ostile, poate identifica un server al furnizorilor de găzduire, care este utilizat ca
centru de comandă și control botnet. Toți aceștia sunt martori ai criminalității informatice, dar este
posibil să nu știe cum sau cui să notifice comportamentul infracțional.
Existența unui centru de raportare central unde martorii pot raporta infracțiuni, pot fi foarte benefice
(și pot fi încorporate în tipul de centru pentru victimele menționate în secțiunea 0). Un astfel de
centru de raportare trebuie să fie centralizat, accesibil și distribuit corespunzător publicului larg.
Centrul pentru reclamații privind infracțiunile pe internet IC3 din SUA

(https://www.ic3.gov/default.aspx) a fost creat pentru a primi plângeri privind infracțiunile online,
fie de la victima propriu-zisă, fie de la un terț la reclamant. IC3 lucrează cu organele de aplicare a
legii federale, de stat, locale și internaționale, precum și cu instituții de reglementare, și primește,
dezvoltă și, ulterior, supune informațiile atenției investigative și de urmărire penală. Acesta a format
alianțe cu reprezentanții industriei (de ex., comercianții cu amănuntul online, instituțiile financiare,
furnizorii de servicii de internet și furnizorii de servicii de livrare colete). Plângerile depuse la IC3
acoperă o serie de infracțiuni informatice, inclusiv furtul drepturilor de proprietate intelectuală,
intruziunea informatică, spionajul economic, extorcarea online și spălarea internațională a banilor.
Numeroase scheme de fraudă, precum furtul de identitate, phishing, spam, reexpediere, fraudă la
licitații, fraudă de plată, mărfuri contrafăcute, escrocherii romantice și nelivrare de bunuri sunt, de
asemenea, raportate și la IC3.
Un alt exemplu de arhivă de informații despre martori și probe electronice este site-ul web
https://www.malwareurl.com unde martorii pot raporta paginile web cu activități rău intenționate.
Un centru de raportare poate fi public, dar poate fi, de asemenea, restricționat doar pentru membri
(cum ar fi site-ul web https://portal.ops-trust.net). Atât centrele de raportare publice cât și cele
private colectează o mulțime de informații care pot ajuta la informarea organelor de aplicare a legii,
la nivel strategic, dacă nu la nivel operațional.
În sfârșit, trebuie subliniat faptul că, pentru unele tipuri de infracțiuni, centrele de raportare trebuie
să încurajeze utilizatorii să elaboreze rapoarte, dar să îi descurajeze să desfășoare propriile
investigații sau să caute, în mod activ, materiale ilegale. Într-adevăr, în unele cazuri, cum ar fi în

cazul imaginilor cu abuzuri asupra copiilor, simplul act de căutare a unui astfel de material poate fi
ilegal.

6 Analiza probelor
După ce au fost obținute probe de la un sistem informatic astfel cum este descris în cele trei capitole
anterioare, următoarea fază a investigației este extragerea elementelor importante din datele
indisponibilizate. Adică, acele elemente relevante pentru stabilirea faptelor investigației.
Acest capitol va descrie conceptul de Criminalistică digitală, modelul de proces care construiește
baza pentru examinările medico-legale, principiile care trebuie urmate în timpul unei examinări și
metodele comune utilizate pentru a îndeplini anumite sarcini. De asemenea, acesta examinează mai
atent urmele digitale și tipurile de analize probatorii, care sunt utilizate, în mod obișnuit, de către
specialiștii criminaliști (cum ar fi analiza hard discului, analiza fotografiilor digitale și analiza
jurnalului de trafic).
Principiile comune pentru obținerea datelor enumerate în secțiunea 1.7 se aplică, de asemenea, și
în faza de analiză. Într-adevăr, acestea sunt cu atât mai importante în timpul analizei, cu cât aici
datele vor fi stabilite ca probe juridice.
Un studiu al International Data Corporation (IDC) 90 prognozează că, în anul 2025, un număr de 175
zeta biți (175 trilioane de gigabiți) de date vor fi generate și consumate în întreaga lume. Studiul
IDC s-a bazat pe premisa că volumul de date la nivel mondial se dublează ca dimensiune, la fiecare
doi ani și că aceste date constă, în mare parte, din înregistrări ale activităților utilizatorului
calculatorului. În cadrul unei investigații, aceste date pot oferi informații valoroase asupra activității
utilizatorului.
6.1 Criminalistică digitală
Criminalistica digitală este ramura științei criminalistice, care se concentrează pe identificarea,

dobândirea, prelucrarea, analiza și raportarea datelor stocate pe un sistem informatic, dispozitiv
digital sau alte suporturi de stocare.
Fiecare ramură a Criminalisticii digitale necesită o pregătire și experiență vaste, ceea ce face
imposibil ca un examinator criminalist să fie expert în toate domeniile. Următorul grafic arată
principalele subcategorii și domenii vizate ale Criminalistică digitală:
90
Studiul IDC intitulat „Epoca datelor 2025”, noiembrie 2018, sponsorizat de Seagate la
https://www.seagate.com/files/www-content/our-story/trends/files/idc-seagate-dataage-whitepaper.pdf.

Criminalistică
digitală
Investigarea
criminalistică a Criminalistică Criminalistica
mobilă rețelelor
calculatoarelor
Criminalistică Criminalistică Criminalistica

post-mortem Android rețelelor live
(incl. recuperarea datelor)
Criminalistică iOS Criminalistica
Criminalistică live
pachetelor
Răspuns la capturate
incidente Telefon/ Blackberry
Windows/altele
Criminalistica Analiza codurilor
ostile
aplicațiilor Altele, de ex. Satnav,
Dispozitive purtabile
Criminalistica Internetului
Obiectelor Criminalistica
( tehnologiei informației auto
incl. Locuința inteligentă)
Criminalistica memoriilor flash
Criminalistica altor dispozitive:
DVR, routere, console de jocuri,
CCTV,
dispozitive de skimming etc.
Cele trei categorii principale sunt:
1.) Investigarea criminalistică a calculatoarelor este cea mai veche dintre categorii.
Aceasta afectează calculatoarele personale, serverele și suporturile de stocare. Există patru
domenii de investigare criminalistică a calculatoarelor. Acestea sunt:
- Criminalistică post mortem, care se referă la modul de achiziție, procesare, analiză

și prezentare a datelor stocate pe sisteme informatice care nu erau activate la
momentul indisponibilizării. Acesta este cel mai tradițional domeniu al investigării
criminalistice a calculatoarelor. Criminalistica post mortem include, de asemenea, și
zona largă de recuperare a discului fizic, criminalistica sistemului de fișiere și alte
tehnici avansate.
- Criminalistica live se referă la modul de achiziție, prelucrare, analiză și prezentare

a datelor dintr-un sistem informatic pornit. Răspunsul la incident este ramura
Criminalisticii live, care se referă la incidente care au loc pe sisteme informatice (de
ex., încălcări de securitate) și modul de prevenire și reacție la acestea. În comparație
cu Criminalistica post mortem, aceasta este un domeniu mai degrabă tânăr, care
devine din ce în ce mai important, deoarece atât de multe date sunt acum stocate

temporar, de la distanță sau criptate - sau în cazul unui răspuns la incidente necesită
acțiuni urgente asupra sistemelor în execuție.
- Criminalistica aplicațiilor este domeniul care se concentrează pe analiza urmelor

lăsate de mii de aplicații diferite (programe).
- Criminalistica Internetului Obiectelor este zona care vizează achiziția și analiza

criminalistică a sistemelor interconectate de dispozitive încorporate, așa cum este
descris în secțiune 3.4.24.
- Ultimul domeniul al investigării criminalistice a calculatoarelor este cel referitor la alte

dispozitive hardware, cum ar fi aparatele de înregistrare video digitale, routerele,
consolele de jocuri, dispozitivele de clonare de carduri și multe altele. Multe dintre
aceste dispozitive au propriile lor sisteme de fișiere și operații pentru care există drept
de proprietate.
Primele trei domenii pot fi subdivizate în continuare pentru a se alinia la diferitele sisteme
de operare, cum ar fi Windows, Linux, macOS.
2.) Criminalistica mobilă este, de asemenea, o categorie mai tânără, dar devine destul de
populară o dată cu adoptarea dispozitivelor mobile, cum ar fi telefoanele inteligente și
calculatoarele. Domeniile din această categorie reflectă numeroasele sisteme de operare
diferite. Cele mai populare momentan sunt Google Android și iOS de la Apple. În
criminalistica mobilă, experții fac distincție între achiziție și analiză logică 91 și fizică.
Criminalistica IT auto are, de obicei, unele suprapuneri cu alte domenii ale criminalisticii
mobile, deoarece nu doar unele dintre datele de comunicare sunt similare, dar unele vehicule
folosesc și versiuni ale sistemelor de operare mobile, de ex. sistemul lor de divertisment. Un
domeniu destul de specializat, care trece granița dintre criminalistica mobilă și investigarea
criminalistică a calculatoarelor este criminalistica memoriilor flash, care se concentrează
asupra extragerii fizice, achiziției, interpretării și reasamblării pentru cipurile de stocare
flash.
3.) Criminalistica rețelelor gestionează probe electronice care sunt transmise printr-o rețea,
fie ea fără fir sau prin cablu, internet sau o rețea locală (LAN). În criminalistică în rețeaua
activă, anchetatorii interceptează, în mod normal, o conexiune de rețea și trebuie să
analizeze fluxurile de date „din mers”. În timp ce se în cazul „criminalistica pachetelor
capturate”, aceștia analizează fișiere care conțin deja trafic de rețea înregistrat.
91
adică, ceea ce se poate găsi în circuitele logice ale unui sistem informatic.

6.2 Modelul procesului criminalisticii digitale
Într-un caz care implică criminalistică digitală, procedura standard constă, de obicei, în patru etape:
Achiziţie Prelucrare Analiză Prezentare
Achiziție: Trebuie obținute probe digitale. Acest lucru se poate întâmpla prin colectarea de date
volatile în timpul unei percheziții de domiciliu, prin achiziția discului unui suspect, de la un calculator
indisponibilizat sau în orice alt proces în timpul unei anchete. Aplicarea procedurilor corecte și solide
la etapa de achiziție este crucială, deoarece există riscuri enorme de a face erori ireversibile. Este
important să păstrați lanțul de custodie intact, să documentați cu atenție toate etapele și să verificați
toate imaginile și copiile care au fost achiziționate.
Prelucrare: În timpul prelucrării, examinatorii criminaliști pot acorda prioritate anumitor dispozitive
sau date și vor produce o copie sau imagine 92 exactă a conținutului oricărei stocări digitale
confiscate. Lucrând pe duplicat (niciodată pe original), aceștia pot aplica filtre inteligente, specifice
cazurilor (extragere de date - Data Mining) sau pot doar prelucra imaginea (de ex., prin recuperarea
fișierelor șterse, montarea containerelor, spargerea criptării, analizarea datelor aplicațiilor precum
istoricul de internet, jurnalele de discuții etc.).
Analiză: În faza de analiză, examinatorul caută efectiv probe digitale pe imagini. Acest pas poate
consuma foarte mult timp și poate necesita o mulțime de cunoștințe de specialitate pentru a
interpreta urmele dintr-o varietate de sisteme de fișiere, sisteme de operare și aplicații.
Prezentare: După ce au fost găsite probe în etapa de analiză, examinatorul trebuie să creeze un
raport pentru proces. Sarcina examinatorului este de a ilustra și de a traduce contexte tehnice
complicate în fapte pe care judecătorii, procurorii și alte părți implicate le pot înțelege cu ușurință.
De asemenea, este posibil să existe așteptarea ca acesta să interpreteze respectivele fapte și să își
exprime o opinie asupra sensului acestora.
6.3 Principii comune la analizarea probelor electronice
Principiile comune ajută la asigurarea faptului că probele electronice sunt obținute într-o manieră
care le protejează integritatea și într-un mod care poate fi verificat.
Deoarece calculatoarele au devenit părți atât de integrante ale vieții moderne, acestea nu mai sunt
utilizate doar pentru activități de afaceri, ci conțin tot felul de informații personale, care pot dezvălui
92
O imagine este uneori numită oglindă, copie bitstream sau copie bit cu bit. Acest duplicat reproduce totul
exact, inclusiv spațiul „gol”

detalii intime despre utilizator. În consecință, este probabil ca mai devreme sau mai târziu să fie
dezvăluite informații private, confidențiale sau privilegiate din punct de vedere juridic, ceea ce poate
da naștere unor provocări juridice și probleme privind drepturile fundamentale.93 Astfel de probleme,
dacă apar, nu vor fi ușor de rezolvat pe loc, dar nici nu este neapărat prudentă eliminarea datelor
din cauza unei astfel de provocări. Provocarea ar putea fi greșită. O soluție este indisponibilizarea
datelor, dar sigilarea acestora, sub supravegherea unui server de proces sau executor judecătoresc
până când se poate decide statutul juridic. Într-adevăr, plasarea datelor sub sigiliu, poate oferi, de
asemenea, timp pentru a obține autorizația de acces la date, chiar dacă acestea sunt într-adevăr
confidențiale. Acest lucru este discutat mai detaliat în secțiunea 6.3.5.
6.3.1 Integritatea datelor
Analiza unui calculator este similară cu examinarea de către un investigator a locului fizic al crimei,
în sensul că probele trebuie păstrate intacte, cât mai aproape posibil de starea inițială și fără
contaminare.
În mod similar, analiștii de investigare criminalistică a calculatoarelor trebuie să fie atenți să nu

deranjeze sau să modifice niciuna dintre datele electronice pe care le examinează în laboratorul de
criminalistică. Chiar și cea mai mică operație aplicată unui dispozitiv poate schimba conținutul
memoriei acestuia. Doar listarea conținutului unui director de fișiere sau deschiderea unui fișier vor
modifica înregistrarea „accesat ultima dată” a fișierului.
Așa cum s-a menționat mai sus, principala măsură de precauție pe care
examinatorii criminaliști o iau pentru a proteja integritatea datelor este de a-
și efectua examinarea mai degrabă pe o copie sau o imagine identică a datelor,
decât pe original. Pentru a dovedi faptul că originalul și copia sunt identice, se
aplică un algoritm matematic ambelor seturi de date. Acest algoritm produce
un număr foarte complex numit valoare hash. Dacă valoarea hash pentru
ambele fișiere este aceeași, atunci se consideră că fișierele sunt identice. Cea
mai mică modificare va avea ca rezultat o diferență majoră în ceea ce privește
valoarea hash. Cei mai utilizați algoritmi Hash sunt MD5, SHA-1 și SHA-256.
O altă metodă aplicată în mod obișnuit este accesarea dispozitivului în modul

„numai pentru citire” (read-only). Acest lucru se realizează de obicei utilizând
un dispozitiv hardware de blocare a scrierii, așa cum se arată în imaginea din
stânga.
În cele din urmă, ca parte a principiului integrității datelor, un examinator cu experiență trebuie să
fie întotdeauna atent la posibilitatea tehnicilor anti-criminalistice. Acesta trebuie să examineze datele
pentru a se asigura că acestea arată autentic și nu prezintă nicio trăsătură care să sugereze că este
posibil ca datele să fi fost modificate sau falsificate înainte de indisponibilizarea acestora de către
93
În special dreptul la respectarea vieții private și de familie, articolul 8 din Convenția Europeană a Drepturilor
Omului

organele de aplicare a legii. Cunoașterea tehnicilor anti-criminalistice trebuie să facă parte
întotdeauna din programa de pregătire a examinatorului criminalist.
6.3.2 Pista de audit
Imaginați-vă un scenariu în care serverul unei companii private este piratat și toate datele, inclusiv
detaliile angajaților, au fost copiate. Investigațiile efectuate pe server arată că piratarea provine
dintr-o conexiune la internet rezidențială, dintr-un oraș vecin. Suspectul, ocupantul locuinței de la
care a fost lansat atacul susține că este nevinovat și că făptuitorul trebuie să îi fi piratat calculatorul
de acasă și să îl fi utilizat pentru a pirata serverul companiei de la distanță. Pentru a complica și mai
mult puzzle-ul este faptul că suspectul este un absolvent de informatică care este posibil să aibă
cunoștințele necesare pentru a pirata un server.
În orice investigație complexă, păstrarea și indexarea corespunzătoare a respectivelor înregistrări

este esențială. Acest lucru ajută nu numai la înțelegerea situației și la generarea de noi linii de
anchetă, păstrarea evidenței oferă, de asemenea, o pistă de audit care poate fi examinată ulterior
și utilizată pentru validarea procesului de investigare. Toate investigațiile efectuate pe server și
calculatorul suspectului trebuie înregistrate cu atenție pe tot parcursul procedurii de investigare.
Aceste înregistrări vor ajuta examinatorul să abordeze probele în mod metodic și acesta va identifica
mai ușor orice lacune. Pista de audit trebuie să fie, de asemenea, suficientă pentru a arăta că toate
liniile rezonabile de anchetă au fost respectate și că un cont alternativ al unui suspect a fost
investigat și eliminat. În scenariu, acest lucru ar include demonstrarea faptului că respectivul
calculator de acasă nu a fost piratat de o parte necunoscută.
Mulți analiști utilizează formulare sau liste de verificare standardizate pentru a-și documenta analiza
și pentru a se asigura că efectuează toate acțiunile și examinările necesare. Pe parcursul întregii
investigații trebuie păstrate notele de la momentul respectiv, cu privire la constatările, concluziile și
justificările anumitor acțiuni (sau pentru acțiunile care nu au fost efectuate). Marcajele de timp, în
cazul în care sunt disponibile, pot ajuta la validarea unor astfel de note.
Desigur, documentația poate include, de asemenea, capturi de ecran, fotografii și înregistrări video,
cu condiția ca acestea să fie etichetate și autentificate în mod corespunzător.
6.3.3 Asistență de specialitate
După cum s-a discutat deja, natura tehnică a probelor electronice face necesară utilizarea
specialiștilor care știu unde să caute și cum să extragă datele de natură probatorie. Circumstanțele
cazului vor stabili tipul de expertiză necesară, care poate include abilități particulare în ceea ce
privește criminalistica live, ingineria inversă a codurilor ostile sau recuperarea datelor din sistemele
informatice deteriorate. Cu toate acestea, indiferent de nivelul de competențe și experiență al
specialistului, acesta nu va putea aplica respectivele abilități fără resursele și echipamentele
corespunzătoare.
Acest lucru poate include accesul la un laborator de criminalistică complet echipat dotat cu
instrumente software adecvate pentru automatizarea anumitor examinări, facilități pentru

dispozitivele de imagistică, depozitare securizată într-o încăpere cu climatizare controlată, protejată
de o cușcă Faraday și tipul de echipamente auxiliare, precum cele enumerate la 3.1.
6.3.4 Pregătire corespunzătoare
Ca în cazul oricărui profesionist, specialistul în criminalistică digitală trebuie să rămână la curent cu

toate noile evoluții din domeniul său. Aceasta înseamnă educație profesională continuă și reevaluare
periodică a cadrelor de competență. Investigarea criminalistică a calculatoarelor avansează în același
ritm ca tehnologia informatică și procedurile criminalistice utilizate în urmă cu un an ar putea fi deja
depășite.
În unele cazuri, nivelurile de competențe adecvate pot fi măsurate și evaluate prin pregătire formală
și certificate. Un cadru de pregătire oferit la nivel național, interinstituțional, poate avea avantaje și
trebuie armonizat cu bune practici internaționale.
Examinatorii criminaliști trebuie încurajați să se întâlnească și să facă schimb de informații și

cunoștințe cu alți specialiști criminaliști și să dezvolte cooperarea cu mediul academic și industrie,
pentru a afla despre cele mai recente tehnici și tendințe emergente. Reuniunile și atelierele regulate
la nivel național și la nivel internațional pot promova acest lucru.
În afară de specialiștii în domeniul criminalisticii, este necesară, de asemenea, și consolidarea

capacităților la nivelul investigatorilor, primilor respondenți, judecătorilor și procurorilor. O serie de
concepte și materiale de formare cuprinzătoare sunt disponibile gratuit și pot fi utilizate ca șabloane
pentru dezvoltarea inițiativelor naționale de formare emergente. Acestea includ:
- Rapoartele privind strategiile de formare în domeniul judiciar și de aplicare a legii elaborate

în cadrul proiectelor GLACY și Cybercrime@EAP;
- Rapoartele privind Strategiile de criminalitate informatică și securitate informatică în

regiunea Parteneriatului Estic, publicate în 2019;
- Următoarele ghiduri care au fost elaborate de Consiliul Europei în cadrul programelor de

consolidare a capacității sale:
- Proceduri de operare standard pentru colectarea, analiza și prezentarea probelor
electronice;
- Un ghid de bază pentru gestionarea și procedurile unui laborator de criminalistică
digitală;
- Prezentul Ghid privind probele electronice în mai multe limbi, inclusiv anexele la
acesta;

- Următoarele cursuri de formare profesională care au fost elaborate de Consiliul Europei în
cadrul programelor de consolidare a capacităților sale:
- Pachet de formare pentru primul respondent;
- Pregătire judiciară introductivă și avansată în domeniul criminalității informatice și a
probelor electronice;
- Curs de bază privind percheziția, indisponibilizarea și confiscarea veniturilor din
infracțiuni informatice;
- Modul introductiv de formare privind infracțiunile informatice, probele electronice și
veniturile din infracțiuni informatice;
- Manual de formare autodidactă: Curs avansat privind percheziția, indisponibilizarea și
confiscarea veniturilor din infracțiuni informatice;
Aceste documente sunt disponibile la www.coe.int/cybercrime.
O altă sursă excelentă pentru materiale de formare pe teme de investigare criminalistică a

calculatoarelor este Grupul european de formare și educație în domeniul criminalității informatice
(ECTEG). Pachetele de cursuri includ manuale pentru studenți, manuale pentru formatori, planuri de
lecții, diapozitive și alte materiale didactice (de ex. imagini). ECTEG oferă aceste cursuri gratuit
exclusiv pentru organele de aplicare a legii. Următoarele cursuri erau disponibile la momentul
scrierii:
- Criminalistica sistemului de fișiere Apple
- Examinator de criminalistică digitală - curs introductiv
- Criminalistica datelor live
- Cunoștințe de bază privind Dark web-ul și valutele virtuale
- Linux ca instrument de investigare, partea 1
- Linux ca instrument de investigare, partea 2
- Programare în Python pentru investigatori
- Investigațiile codurilor ostile
- Aptitudini fundamentale în criminalistica mobilă
- Criminalistica telefoanelor mobile, nivel intermediar
- Investigațiile rețelelor
- Curs intermediar privind criminalistica rețelelor
- Investigații pe internet
- Investigații wireless LAN și VOIP
- Criminalistica Windows
- Criminalistică avansată privind sistemele de fișiere Windows
- Curs de criminalistică Mac
- Criminalistica mediilor de stocare cu cipuri și a altor medii de stocare
- Extragerea de date și bazele de date
- Scripturi criminalistice utilizând Bash
Aceste instrumente sunt disponibile la https://www.ecteg.eu.

Unele companii de hardware și software pentru calculatoare pot, de asemenea, să ofere informații
și pregătire suplimentare cu privire la produsele lor de criminalistică digitală. Industria a jucat un rol
important în asistarea organelor de aplicare a legii în ceea ce privește furnizarea de forumuri de
asistență, bazate pe produsele lor, care explică capacitățile criminalistice ale produselor lor.
6.3.5 Legalitate
Așa cum s-a discutat deja la punctul 6.3 de mai sus, lumea stochează din ce în ce mai multe date
personale și confidențiale pe propriile calculatoare și telefoane inteligente. În mod invariabil, orice
examinare a sistemului informatic al unei persoane, va expune ocazional date private care sunt
irelevante, confidențiale și, eventual, care fac obiectul unui secret profesional. Deși este posibil să
nu existe nicio intenție din partea investigatorilor de a intra în sau de a accesa astfel de date, acestea
nu este întotdeauna marcate ca fiind personale și poate fi imposibil de judecat unde încep și unde
se termină informațiile confidențiale. În același dosar de e-mail, pot exista e-mailuri care sunt de
interes pentru investigație, unele care sunt protejate legal și multe altele care nu joacă niciun rol în
cadrul investigației.
În unele jurisdicții, dacă investigatorul descoperă date cu caracter personal, care nu fac obiectul
investigației, acesta are obligația să înceteze imediat vizualizarea acestor date și să le marcheze ca
având un caracter personal, pentru orientarea viitoare. Cu toate acestea, există rezerve, se știe că
infractorii ascund date într-un folder etichetat personal pentru a induce în eroare examinatorul
criminalist.
Am discutat deja posibilitatea de a plasa datele controversate sub sigiliul instanței și de a le păstra
sub rezerva deciziei instanței cu privire la statutul acestora.
6.4 Indicii digitale
La fel cum un criminal lasă indicii fizice în urma sa la locul crimei, infractorul care săvârșește o
infracțiune cu calculatorul, va lăsa indicii la „locul infracțiunii digitale”.
Pentru a vă face o mai bună idee cu privire la tipurile de indicii digitale pe care un examinator le-ar
putea descoperi în timpul analizei criminalistice, are sens să se facă distincția între două tipuri de
indicii digitale:
Indicii care pot fi evitate: Acestea sunt indicii care sunt stocate în mod implicit de sistemul de
operare și de aplicații, dar pe care un sistem poate fi configurat să nu le stocheze. Să luăm ca
exemplu un browser web. Acest software va stoca istoricul de navigare al unui suspect, precum și
detalii referitoare la descărcările sale, din datele de intrare, cookie-uri etc., dar acesta poate fi fie
dezactivat, fie șters de către suspect. Un alt exemplu poate fi meniul „Start” și programele Office
ale suspectului, care „țin minte” fișierele pe care suspectul le-a deschis recent. Există diferite tipuri
de indicii „care pot fi evitate”, care sunt stocate automat pe hard disc în acest mod (așa cum se
arată în tabelul de mai jos). Totuși, acestea pot fi împiedicate de cineva care știe ce face.

Indicii care nu pot fi evitate: În schimb, indiciile care nu pot fi evitate sunt, desigur, cele care nu
pot fi dezactivate sau cele care necesită eforturi considerabile pentru a fi oprite temporar.
Probabilitatea de a găsi astfel de indicii este în mod corespunzător mare, chiar dacă un suspect a
încercat să își acopere urmele.
Următorul tabel prezintă câteva exemple de indicii care pot fi evitate și care nu pot fi evitate:
Indicii care pot fi evitate Indicii care nu pot fi

evitate
Fișiere Thumbcache Rezerve
Cele mai recent utilizate liste Spațiu nealocat
Fișier de jurnalizare Înregistrări MFT
Istoricul browserului RAM
Memoria cache a browserului Indicii ale unor aplicații
Cele mai utilizate programe
Date de formă
Pagefile.sys
Hiberfil.sys
Copii instantanee a volumelor CSV
6.5 Tipuri de analize criminalistice
Această secțiune va oferi exemple de tipuri de analiză criminalistică. Acesta va oferi o perspectivă
asupra provocărilor implicate, dar va arăta și valoarea probatorie pe care analiza criminalistică o
poate avea.
6.5.1 Analiza sistemului de fișiere
Dispozitivele de stocare a datelor își păstrează informațiile într-un format94 binar: ceea ce înseamnă
că minusculele blocuri de construcții care alcătuiesc memoria calculatorului sunt stocate ca zerouri
sau ca unu, sau ca fiind activate sau dezactivate. Aceste particule, care sunt cele mai mici, sunt
numite „biți”. Pentru a structura acești biți în mod metodic, astfel încât un sistem informatic să știe
94
Baza sistemului nostru numeric obișnuit este zece. În sistemele binare, baza este doi.

care biți merg cu care, inginerii informaticieni au inventat sistemul de fișiere. Sistemul de fișiere
poate fi gândit ca sertarele cartonașelor indexate de carton de modă veche găsite într-o bibliotecă
analogică (de carte). Cartonașele sunt „indexate” sau sortate (poate după autor sau titlu sau subiect)
și se face referire încrucișată la locațiile din clădire. Fiecare cartonaș arată în ce culoar, bibliotecă și
raft este așezată cartea la care se referă. În același mod, un sistem de fișiere permite stocarea și
găsirea fișierelor electronice într-un dispozitiv.
Dispozitivele de stocare a datelor pot fi subdivizate în secțiuni numite „partiții” și fiecare partiție
trebuie să aibă un sistem de fișiere aplicat. Partiționarea unui hard disc este analogă cu
compartimentarea clădirii bibliotecii cu un nou perete interior pentru a crea două biblioteci separate,
mai mici. Fiecare mini-bibliotecă va avea propriile sisteme de cartonașe indexate. Când un hard disc
este împărțit în două partiții, acesta va fi afișat ca două unități diferite. În Windows, unitățile diferite
au etichete alfabetice diferite, cum ar fi unitatea c:\ și unitatea d:\.
De asemenea, este posibil ca o partiție de date să acopere mai mult de un hard disc fizic (de obicei
în sistemul RAID 95 descris în Secțiunea 2.2). În acest caz, utilizatorul calculatorului va vedea o
singură unitate de date în interfața software (de exemplu unitatea c:\), dar, în realitate, unitatea C
se întinde pe două sau mai multe unități de hard disc fizice. Ceea ce unește totul este controlerul
RAID (fie el RAID hardware sau software), iar sistemul de fișiere, care face constituie fie o parte a
unui hard disc, fie a mai multor hard discuri, va apărea ca o singură unitate pentru sistemul de
operare.
Cele mai frecvente sisteme de fișiere sunt NTFS (Sistem de fișiere de tehnologie nouă) și FAT (Tabel
alocare fișiere). Sistemul FAT a fost creat în 1980 și a fost utilizat pentru primele calculatoare
personale. Acesta este încă utilizat și în prezent, deoarece este robust și compatibil pe scară largă.
Calculatoarele Apple, PC-urile Windows, Linux și majoritatea altor programe software pot citi partiții
FAT.
Microsoft Windows utilizează sistemul de fișiere NTFS, dar calculatoarele Apple utilizează HFS +, în
timp ce Linux utilizează mai multe sisteme de fișiere diferite, cum ar fi EXT, BTRFS, XFS sau
ReiserFS. Pentru a copia și analiza un dispozitiv, examinatorul criminalist trebuie să identifice câte
partiții sunt pe dispozitivul respectiv și ce sistem de fișiere este utilizat. De asemenea, pot exista și
partiții ascunse pe care sistemul de operare nu le recunoaște imediat, dar pe care utilizatorul
calculatorului le poate monta sau atașa după bunul plac pentru a accesa conținutul. De asemenea,
trebuie luată în considerare existența altor zone ascunse, cum ar fi HPA (Arii protejate de gazdă) și
DCO (Modificarea configurării dispozitivului) care pot fi deschise doar prin comenzi speciale ATA96.
95
Matrice redundantă de discuri independente - un mecanism pentru stocarea datelor pe mai multe discuri.
96
Atașamentul tehnologic avansat este un mecanism de conectare a unităților de calculator.

6.5.2 Recuperarea fișierelor
Întotdeauna merită să verificați folderul de fișiere șterse pentru a vedea dacă utilizatorul a ascuns
fișiere acolo. Conținutul ilegal din folderul respectiv va indica directorul din care acesta a fost șters,
care apoi poate fi percheziționat pentru găsirea unor alte probe.
Chiar și atunci când folderul de fișiere șterse a fost golit, poate fi posibilă recuperarea fișierelor
șterse. Când utilizatorul unui calculator apasă butonul de ștergere, fișierul nu este șters fizic de pe
dispozitivul de stocare a datelor, ci este marcat ca nemaifiind dorit și referințele la locația fișierului
sunt șterse din indexul sistemului de fișiere. Datele vor rămâne pe hard disc până când partea din
disc unde se află este necesară pentru un alt fișier sau se aplică o altă acțiune deliberată. Aceasta
înseamnă că este posibilă recuperarea fișierelor șterse chiar și atunci când sistemul de fișiere nu mai
deține nicio referire la acesta. Există o serie de instrumente pentru revocarea ștergerii fișierelor,
inclusiv instrumentele gratuite TestDisk și PhotoRec de CGsecurity.97
Au fost create instrumente software prin care fișierele pot fi permanent șterse de pe discuri. Aceștia
fac acest lucru prin suprascrierea continuă a zonei de pe discul în care a fost localizat fișierul cu
diverse fișiere false, până când nu mai rămâne nicio urmă a fișierului șters. Aceasta este o tehnică
anti-criminalistică simplă, dar este utilizată relativ rar. Într-adevăr, atunci când sunt utilizate metode
anti-criminalistice, utilizarea acestora trebuie să crească nivelul de suspiciune.
97
http://www.cgsecurity.org/wiki/PhotoRec

Dacă hard discul a fost deteriorat fizic, există posibilitatea să fie totuși posibilă recuperarea unora
dintre fișiere, prin dezasamblarea discurilor și citirea cu atenție a informațiilor magnetice care rămân.
În cazul dispozitivelor de stocare cu memorie flash (precum unitățile SSD), care sunt substanțial
mai robuste decât discurile magnetice, celulele flash individuale, care alcătuiesc discul, pot fi
examinate, de asemenea, și pentru celulele care mai funcționează încă, din care pot fi extrase date.
Aceasta este o sarcină extrem de specializată, care necesită instrumente și cunoștințe de
specialitate.
6.5.3 Căutarea în sistemul de fișiere
Dimensiunea vastă a dispozitivelor de stocare a datelor face imposibilă examinarea individuală a

fiecărui fișier stocat. Pentru a accelera analiza, majoritatea analiștilor criminaliști vor căuta mai întâi
în directoarele comune de stocare a datelor, pentru fișiere și directoare cy nume suspecte. Desigur,
această tehnică nu este suficientă atunci când analizăm sute de sisteme informatice, cu mai mulți
terabiți de date.
O a doua metodă de analiză este utilizarea unui motor de căutare pentru a căuta în sistemul de
fișiere cuvinte cheie de interes pentru investigație. Unele motoare de căutare oferă, de asemenea,
posibilitatea de a căuta imagini (prin efectuarea recunoașterii imaginii și detectarea unor aspecte
precum tonul pielii). Un instrument pentru recunoașterea similitudinilor din imagini este PhotoDNA98
al Microsoft, care este disponibil gratuit pentru organele de aplicare a legii. Utilizarea acestei
tehnologii poate ajuta la găsirea și eliminarea imaginilor cunoscute privind exploatarea copiilor.
6.5.4 Abordarea criptării fișierelor
Pentru a-și proteja fișierele, infractorii pot utiliza tehnologia de criptare pentru a-și converti fișierele
sau chiar întregul hard disc într-un cod care nu poate fi citit. Tehnologia de criptare este încorporată
în multe sisteme de operare moderne: Bitlocker în Windows 7/8/10, FileVault în macOS și
dmCrypt/eCryptFS în multe distribuții Linux. Tehnologia de criptare a fișierelor poate fi, de
asemenea, instalată independent, cum ar fi PGP,99 , Truecrypt.100, Veracrypt. Sistemele moderne de
calculatoare și mobile chiar și-au integrat mecanismele de criptare pe criptoprocesoarele hardware.
De exemplu, Bitlocker poate utiliza cipul TPM (Modul platformă de încredere) din placa principală a
calculatorului, în timp ce criptarea FileVault MacOS poate utiliza cipul de securitate Apple T2 pentru
a-și de-/cripta Sistemul de fișiere Apple (APFS).
Criptarea modifică conținutul digital prin schimbarea biților, a zerourilor și a cifrelor de unu, prin
aplicarea unei operații matematice, care face conținutul neinteligibil. Singura modalitate de a
schimba conținutul în conținutul original este prin aplicarea unei operații matematice inverse.
98
https://www.microsoft.com/en-us/photodna
99
Reprezentă „Confidențialitate destul de bună”
100
TrueCrypt a fost un software de top de criptare a fișierelor, dar a încetat să mai fie disponibil în 2014. Este
posibil să mai existe. Veracrypt însă este un succesor neoficial.

Un examinator criminalist, care nu știe sau nu are acces la parola sau „cheia” corecte, va fi practic
în imposibilitatea accesării datelor criptate. Este posibilă încercarea a diferite combinații de chei de
de-/criptare, una câte una, dar în practică, decriptarea datelor va dura câțiva ani, chiar și cu ajutorul
celor mai puternice calculatoare din lume.
Cu excepția cazului în care suspecții oferă în mod voluntar cheia de decriptare, există opțiuni limitate
pentru examinatorul criminalist. Acesta poate încerca orice parolă pe care suspectul se știe că o
utilizează; căutați combinații de cuvinte sau numere care arată ca niște parole, în apropierea
aparatului sau în posesia suspectului sau încercați liste de parole în uz comun (adesea cuvinte din
dicționar).
Unele studii au arătat că mulți utilizatori folosesc parole ușor de reținut, cum ar fi 123456, parolă,
qwerty, superman sau fotbal. Listele celor mai utilizate parole pot fi obținute cu ușurință căutând pe
internet.
În cazul în care cheile de criptare au fost furnizate de rețeaua de calculatoare, administratorul de

rețea va avea o copie a cheii de decriptare și este posibil să poată să decripteze unitatea. Acesta
este cazul pentru criptarea BitLocker a calculatoarelor, într-un director Windows Active. Așa cum
este descris în secțiunea criminalisticii datelor live 3.5 o modalitate de abordare a criptării fișierelor
și a volumului este prin achiziția memoriei calculatorului în timp ce dispozitivul este în funcțiune și
volumul criptat este montat. Există șanse bune ca cheia de criptare să fie stocată în memorie și să
poată fi utilizată de examinatorul criminalist pentru a sparge criptarea.
Deoarece aceasta reprezintă o problemă atât de semnificativă, unele țări au legislație care permite
organelor de aplicare a legii să obțină, în anumite circumstanțe, un ordin judecătoresc care să îl
oblige pe proprietarul calculatorului să dezvăluie o parolă pentru dispozitivul său de stocare
criptat.101
6.5.5 Analiza criminalistică a documentelor
Criminalistica documentelor electronice (spre deosebire de criminalistica documentelor pe suport de

hârtie) este diferită de criminalistica fișierelor de date, deoarece se concentrează pe obținerea cât
mai multor informații referitoare la un fișier descoperit pe calculator.
Criminalistica documentelor poate fi în măsură să indice cine a creat un anumit fișier electronic, dacă
fișierul a fost modificat și dacă au fost ascunse informații în fișier.
6.5.5.1 Metadate
Metadatele sau date despre date, constă în alte informații despre un fișier, decât conținutul fișierului.
„Proprietățile” fișierului pot include data și ora la care a fost creat documentul, când a fost acesta
modificat ultima dată și accesat ultima dată și de către cine. Aceste date pot fi extrem de utile în
stabilirea conexiunii dintre fișiere și persoane fizice. De exemplu, creatorul virusului informatic
101
Exemplele sunt Regatul Unit (Partea a III-a a Legii privind reglementarea puterilor investigative din 2000) și
Franța (articolul L 434-15-2 din Codul Penal Francez)

Melissa, care a afectat milioane de calculatoare din întreaga lume, a fost identificat datorită
metadatelor găsite în codul sursă al acestui virus macro.
Așa cum s-a menționat în Secțiunea 4.3.3 de mai sus, un fișier cu fotografii digitale conține adesea
metadate într-o parte a fișierului numit secțiunea EXIF102. Orice program de vizualizare a imaginilor
și chiar sistemul de operare pot afișa informații EXIF ca parte a proprietăților fișierului. Datele EXIF
vor include data și ora la care a fost făcută fotografia, timpul de expunere, distanța focală, numărul
de serie al camerei și coordonatele geografice ale locului în care a fost capturată fotografia.
Atunci când încercați să stabiliți identitatea cuiva care a făcut o fotografie, constituie o probă solidă
dacă un aparat de fotografiat aflat în posesia unui suspect are același număr de serie ca cel
înregistrat în imagine. Datele EXIF pot fi modificate, dar orice modificare poate fi, de obicei,
detectată, deoarece o mare parte din datele tehnice ale imaginii din secțiunea EXIF sunt
interconectate.
Multe telefoane mobile au astăzi și o funcționalitate pentru fotografie, iar majoritatea telefoanelor
inteligente pot stoca coordonatele GPS fie în modul fin (cu un nivel de detalii până la 10 metri), fie
în modul grosier, prin triangularea distanțelor față de turnurile de telefonie mobilă din apropiere, cu
o precizie de câțiva kilometri.
Majoritatea documentelor editabile, inclusiv documentele de procesare a textului, stochează

metadate în fișier. Proprietățile documentului pot conține istoricul revizuirilor documentului, inclusiv
numele utilizatorilor care l-au modificat, precum și numele oricărei imprimante utilizate pentru
tipărirea documentului.
6.5.6 Steganografie
Steganografia este o tehnică pentru ascunderea unui mesaj sau a altor informații în interiorul unui
fișier document. Aceasta poate fi comparată cu scrierea unui mesaj pe o bucată de hârtie goală cu
cerneală magică sau suc de lămâie, care dispare când se usucă. La fel ca cerneala magică de pe
hârtie, fișierul ascuns este trecut cu vederea, deoarece este ascuns în ceva nevinovat precum o
fotografie sau un pdf.
102
Format Interschimbabil pentru Fișiere Imagine

Un analist criminalist poate identifica un fișier ascuns în acest mod, prin detectarea unei distribuții
neobișnuite a luminii în imagine (histogramă) sau printr-o analiză statistică a fișierelor de imagine
pentru a vedea dacă acestea prezintă proprietăți neobișnuite. Odată identificat, software-ul de
steganografie poate fi utilizat pentru a încerca extragerea fișierului ascuns. Un examinator
criminalistic poate sî se răzgândească în cazul posibilității existenței unor fișiere ascunse dacă se
constată că sistemul informatic al suspectului are instalat un software de steganografie cunoscut.
6.5.7 Analiza criminalistică a fișierelor de jurnalizare
Scopul criminalisticii fișierelor de jurnalizare este să identifice modul în care au fost utilizate un
sistem informatic și un sistem de operare.
Criminalistica sistemului de fișiere poate identifica un fișier ilegal (cum ar fi un virus informatic).
Criminalistica documentelor poate identifica dacă dosarul a fost creat pe aparatul suspectului.
Următorul pas este de a demonstra că suspectul a fost persoana care a creat virusul.
Criminalistica jurnalelor poate oferi probe cu privire la ce software, procese și servicii rulau pe o
mașină și care sunt utilizatorii care s-au conectat la sistem și când. Aceste examinări criminalistice
pot fi deosebit de valoroase atunci când se caută probe că un terț a accesat sistemul în mod ilegal.
Criminalistica fișierelor de jurnalizare analizează ce s-a întâmplat într-un sistem, într-un context
istoric, în timp ce analiza criminalistică live (așa cum este descris în capitolul 3.5.) pune sub semnul
întrebării ce se întâmplă aici și acum pe un sistem informatic care rulează.
Fișierele de jurnalizare fac parte dintr-un sistem de operare și sunt incluse în Windows, macOS și
Linux. Acestea sunt utilizate pentru a înregistra informații cu privire la ceea ce face/făcea calculatorul
și pentru a crea o evidență cronologică a evenimentelor calculatorului. Scopul inițial al unui fișier
de jurnalizare a fost identificarea cauzelor căderii software-ului pentru a ajuta dezvoltatorii de
software să le corecteze, dar fișierele de jurnalizare includ, de asemenea, înregistrări de interes

pentru profesioniștii în securitate, cum ar fi când un utilizator s-a conectat și când au fost efectuate
încercări de accesare a sistemului.
Posibilitatea de a analiza înregistrarea cronologică și de a vedea cine s-a autentificat, când s-a
conectat, precum și ce software sau serviciu a fost pornit și la ce moment, poate arăta dacă un terț
a accesat sistemul și poate fi o dovadă foarte puternică de acces neautorizat la un sistem informatic.
Fișierele de jurnalizare pot exista și la nivel de aplicație ca, de exemplu, în software-ul de

contabilitate. Aici, jurnalul software poate înregistra ce utilizator a introdus o tranzacție în registru
și analiza unui jurnal de software de contabilitate poate ajuta la dezlegarea înregistrărilor
frauduloase.
Microsoft Windows a furnizat, în paralel cu fișierul de jurnalizare, ceea ce se numește o bază de date
a registrului. Scopul acesteia este ușor diferit prin faptul că înregistrează configurațiile sistemului
informatic, dar registrul poate fi utilizat și în scopuri criminalistice. Aceasta conține informații cu
privire la dispozitivele externe, cum ar fi stick-urile USB care sunt deja configurate pentru a se
conecta la mașină, pentru ce rețea este configurat un calculator etc. De asemenea, aceasta
stochează diferitele rețele, inclusiv rețelele WiFi, la care a fost conectat respectivul sistem informatic.
Registrul Windows poate fi potențial util pentru a demonstra dacă un sistem a fost utilizat într-un
anumit loc sau dacă la acesta a fost conectată o cheie USB.
6.5.8 Analiza criminalistică a rețelelor
Scopul analizei traficului de rețea este identificarea sursei unei comunicări sau a sursei unui atac
prin internet. Adesea, analistul criminalist are deja un punct de plecare, fie prin fișierul de jurnalizare,
care conține adresa IP a comunicării ostile trimise calculatorului sau numele de domeniu și adresa
IP a unui site web cu conținut ilegal sau posibil antetul care conține ruta parcursă de un e-mail cu
conținut penal.
Din acest punct de plecare, examinatorul va analiza legăturile și relațiile cu alte resurse de internet,
atât pentru a ajuta la identificarea făptuitorului, dar și pe măsură ce legăturile asociate încep să se
dezvolte și să dezvăluie și alte comportamente criminale. Dacă sunt descoperite și alte resurse de
internet rău intenționate, organele de aplicare a legii pot solicita închiderea acestora.
6.5.9 Adrese IP și DNS
Secțiunea 4.2 oferă o imagine de ansamblu tehnică a naturii adreselor IP și a serviciului de nume de
domeniu. Analistul criminalist trebuie să analizeze mai atent atât adresele IP, cât și numele de
domeniu utilizate de făptuitor pentru a identifica resursele de internet conexe (cum ar fi alte nume
de domenii găzduite pe același server de internet) și pentru a identifica notația Rutării interdomenii
fără clasă (CIDR) și Sistemul autonom din care face parte adresa IP. Identificarea altor nume de
domeniu și adresele IP utilizate de făptuitor oferă o imagine de ansamblu mai bună asupra tuturor
activităților ilegale potențiale ale suspectului și poate ajuta, de asemenea, la furnizarea de informații
suplimentare prin care acesta poate fi identificat.

Următoarele subsecțiuni vor examina analiza criminalistică a căutărilor prin e-mail și pe internet.
6.5.9.1 Analiza criminalistică a e-mail-urilor
Criminalistica e-mail-urilor examinează textul sursă de e-mail pentru a identifica de unde a fost
trimis mesajul de e-mail. În mod normal, software-ul de e-mail ascunde informațiile tehnice care se
află în mesajul de e-mail de la cititor. Astfel de informații se numesc antetul de e-mail (sau uneori
antetul extins). Antetul de e-mail va fi într-un format internet standardizat comun (RFC 2822), cu
toate acestea, metoda de dezvăluire a informațiilor referitoare la antet variază în funcție de clientul
de e-mail utilizat.
De fiecare dată când un server de e-mail, cunoscut, de asemenea, și ca Agent de transfer prin poștă
(MTA), primește un mesaj de e-mail și îl transmite următorului MTA pe traseul său către destinatar,
acesta adaugă un rând în antetul de e-mail, care arată adresa IP de la care a fost primit, precum și
timpul.
Citind antetul de e-mail, este posibil să urmați traseul parcurs de e-mail în drumul său către căsuța
destinatarului.
Mai jos este prezentat un exemplu de antet de e-mail dintr-un mesaj de e-mail cu subiectul „Antet
de e-mail” și textul principal „Acesta este textul principal”:
Livrat-către: forensics@forensics.com
Recepționat: by 10.229.233.207 with SMTP id jz15csp53304qcb;
Miercuri, 30 mai 2012 00:37:09 -0700 (PDT)
Recepționat: by 10.68.130.9 with SMTP id
oa9mr46792071pbb.95.1338363429020;
Miercuri, 30 mai 2012 00:37:09 -0700 (PDT)
Cale de întoarcere: <forensics@hotmail.com>
Recepționat: from bay0-omc2-s16.bay0.hotmail.com [65.54.190.91]
by mx.google.com with ESMTP id
rg2si17612042pbc.261.2012.05.30.00.37.08;
Miercuri, 30 mai 2012 0:37:08 -0700 (PDT)
Recepționat: from BAY157-W32 ([65.54.190.123]) by with Microsoft
SMTPSVC(6.0.3790.4675);
Miercuri, 30 mai 2012 00:36:32 -0700
ID-Mesaj: <BAY157-W32F746CCEC9B74654CC7C0A40A0@phx.gbl>
Cale de întoarcere: forensics@hotmail.com
X-IP-De origine: [84.169.25.82]
De la: Criminalistică <forensics@hotmail.com>
Expeditor: <forensics@hotmail.com>
Către: <forensics@forensics.com>
Subiect: Antet email
Data: Miercuri, 30 mai 2012 07:36:51 +0000
Importanță: Normal
MIME-Versiune: 1.0
Acesta este textul principal.

Identificarea expeditorului mesajului de e-mail poate fi totuși dificilă în cazul în care expeditorul a
piratat calculatorul cuiva pentru a trimite e-mailul, de exemplu, prin utilizarea unui botnet. De
asemenea, un expeditor își poate ascunde urmele mergând într-o locație publică, cum ar fi o cafenea
cu acces la internet. Adresa IP a expeditorului va aparține cafenelei și nu va duce înapoi la acesta.
În cazul în care analiza dezvăluie că aparatul expeditor este posibil să fi fost piratat, va fi necesară
efectuarea criminalisticii în timp direct și a criminalisticii fișierelor de jurnalizare, pentru a identifica
originea piratării. Dacă e-mailul a fost trimis dintr-o locație publică, cum ar fi un holul unui hotel sau
o cafenea cu acces la internet, poate fi aplicată tradiționala muncă de detectiv, pentru a ajuta la
identificarea clientului care utilizează calculatorul public, la momentul trimiterii e-mailului. De
asemenea, este important de reținut faptul că majoritatea informațiilor dintr-un antet de e-mail pot
fi manipulate, deoarece acestea sunt adăugate de diferite servere de e-mail, care este posibil să nu
fie de încredere. Practic, acest lucru se aplică tuturor informațiilor din partea de jos a unui antet de
e-mail, deoarece acestea provin direct de la serverul de e-mail al expeditorului (care ar putea fi sub
controlul suspectului). Informațiile care se află în partea de sus a antetului sunt mai de încredere,
deoarece acestea au fost adăugate de serverul de poștă electronică al receptorului.
6.5.9.2 Căutări pe internet
Căutările pe internet ale unui utilizator pot dezvălui multe despre acesta. De exemplu, într-un caz
în care un soț și-a raportat soția ca fiind dispărută, poliția a efectuat căutări pe calculatorul de acasă
pentru a vedea dacă soția dispărută a lăsat indicii care să indice unde ar fi putut pleca. Atunci când
pregătesc o călătorie, utilizatorii de calculatoare vor căuta deseori pe internet informații referitoare
la locul pe care îl vizitează sau o cameră de hotel. În acest caz, poliția a analizat istoricul căutărilor
de pe calculatorul de acasă și a descoperit că computerul fusese utilizat pentru a efectua căutări pe
internet pe tema „Cum să omori pe cineva și să nu fii prins” și „să ucizi pe cineva în tăcere”. Această
revelație a schimbat gândirea poliției.
Toate căutările și vizualizările paginilor web sunt disponibile în secțiunea istoric a browserului,
indiferent că este vorba de Internet Explorer, Edge, Mozilla Firefox, Opera, Safari sau Google Chrome
și pot fi vizualizate prin apăsarea Ctrl+H în Windows și Linux, sau Comandă+H în MacOS. Motoarele
de căutare Google și Bing păstrează istoricul căutărilor pe serverele lor timp de câțiva ani. Google
păstrează istoricul și activitatea de căutare a utilizatorului la adresa https://myactivity.google.com,
iar Windows Live (Bing) afișează istoricul căutărilor la adresa https://www.bing.com/profile/history.
Odată autentificat, istoricul de căutare al unui anumit cont de utilizator va afișa căutările efectuate
cu aceste motoare de pe telefonul mobil, calculatorul de birou și calculatorul de acasă al unui
utilizator, toate stocate într-un singur loc central.
6.6 Servicii conectate pe dispozitivele indisponibilizate
Un dispozitiv indisponibilizat poate fi conectat la o serie de servicii online care conțin informații
suplimentare de interes pentru investigație. De exemplu, un dispozitiv poate fi configurat pentru a
se conecta automat într-un cont de rețea socială, un cont VoIP sau un cont de e-mail etc. și poate

avea parole preînregistrate în browser pentru mai multe site-uri web. Accesul la aceste informații
poate fi foarte valoros pentru investigator.
Dispozitivul poate avea o conexiune deschisă la un cont de stocare a datelor în cloud, care oferă
acces la fișierele stocate de utilizator pe internet, care nu sunt stocate local pe dispozitiv. Accesul la
browserul dispozitivului poate dezvălui, de asemenea, o serie de parole comune care pot fi încercate
și pentru alte servicii online utilizate de proprietarul dispozitivului. În caseta de dialog Opțiuni a
Firefox, în secțiunea de securitate, este posibilă apăsarea unui buton pentru a vizualiza oricare dintre
parolele utilizatorilor stocate de browser.
Măsura în care unui specialist, care examinează dispozitivul, i se permite accesul la datele stocate
de la distanță, în special la datele stocate în afara jurisdicției specialistului, va depinde de legislația
națională care se aplică și nu se poate oferi un răspuns în prezentul Ghid.
În mod similar, orice cont de e-mail care utilizează serviciile IMAP, Microsoft Exchange Server sau
Gmail poate stoca local conținutul contului de e-mail al unui utilizator, pe dispozitiv, pentru utilizare
offline. Cu toate acestea, este dificil de răspuns cu certitudine dacă specialistul accesează e-mailurile
locale pe dispozitiv sau de la distanță pe un server. Examinatorii criminaliști trebuie să fie atenți la
posibilitatea ca, din greșeală, să încalce norme juridice internaționale privind jurisdicția.

7 Pregătirea și prezentarea probelor
7.1 Utilizarea probelor electronice în procedurile judiciare
Această secțiune completează secțiunea 1.6 care discută principiile probelor electronice.
Utilizarea probelor electronice a crescut în ultimii ani, deoarece instanțele au fost nevoite să admită
și să ia în considerare probele electronice sub formă de e-mailuri, fotografii digitale, jurnale de
tranzacții la bancomate, documente de procesare a textelor, mesaje instantanee, foi de calcul,
istorice ale browserului de internet, baze de date, conținutul memoriei calculatorului, copii de rezervă
ale calculatorului, imprimări de pe calculator și fișiere video și audio digitale - toate acestea
constituind date digitale.
Un dispozitiv digital implicat în infracțiuni trebuie securizat la fel ca și în cazul altor forme de probe
fizice găsite la locul faptei, deoarece toate aceste dispozitive rămân probe fizice. Ca și în cazul
probele de amprente digitale și ADN, probele digitale sunt fragile și se pot pierde sau modifica foarte
ușor, dacă nu se respectă măsurile de precauție adecvate. La începuturile abordării probelor digitale,
membrii neinstruiți ai organelor de aplicare a legii, porneau calculatoarele pentru a căuta probe,
înainte de a le trimite pentru o examinare criminalistică sau opreau dispozitivele și pierdeau datele
și potențialele probe din memoria RAM.
Este important să înregistrați unde a fost găsit și indisponibilizat dispozitivul digital, deoarece acest
lucru poate dezvălui foarte multe despre intenția infractorului suspectat. O bună practică este
înregistrarea video a percheziției și indisponibilizării. Acest lucru va arăta poziția dispozitivelor
digitale, astfel încât să nu mai existe o controversă, exemplu, cu privire la faptul dacă dispozitivul
wireless a fost găsit mai degrabă ascuns în mansardă, decât într-o zonă cu acces deschis din camera
de zi.
7.2 Probele în cadrul procedurilor penale
7.2.1 Admisibilitate
Probele electronice sunt admisibile dacă se conformează unei serii de legi și norme, care asigură că
acestea sunt acceptabile în instanță. La obținerea probelor, trebuie urmate procedurile adecvate.
Acestea sunt prezentate în capitolele precedente.
7.2.2 Autenticitate
Probele electronice nu diferă de probele fizice, de exemplu, un document înregistrat pe o bucată de

hârtie. Este necesar să se asigure faptul că probele sunt autentice. Diferența dintre probele
electronice și probele fizice este, de obicei, ușurința cu care probele electronice pot fi schimbate și
modificate, fie în mod deliberat, fie din neatenție.

7.2.3 Convingătoare
În cazul în care există o îndoială cu privire la datele electronice aduse ca probe, este datoria apărării
să conteste admisibilitatea acestora. Odată ce problema este abordată, urmărirea penală trebuie să
se ocupe de aceasta, de obicei, furnizând suficiente probe potrivit cărora integritatea datelor este
fiabilă și, prin urmare, acestea sunt considerate ca fiind de încredere.
Un alt aspect important al probelor este modul în care acestea au fost obținute și dacă metodologia
prin care au fost stabilite respectivele probe este susceptibilă a face obiectul validării și revizuirii
științifice obiective. De exemplu, dacă procuratura poate prezenta o factură de telefon care arată că
inculpatul s-a conectat la ISP-ul său la un anumit moment al zilei, atunci aceasta va fi, de obicei,
acceptată. În schimb, dacă procuratura pretinde că „Inculpatul a șters toate fișierele de pe hard
discul său, l-a reformatat, apoi l-a aruncat de la o fereastră de la etajul 10, dar noi am reușit să
reconstruim fișierele, apelând la firmă de recuperare a datelor”, atunci apărarea poate pune sub
semnul întrebării validitatea acestei metode de recuperare a probelor. Este treaba procuraturii să
demonstreze că metodele utilizate pentru recuperarea probelor au fost valabile și să convingă
instanța că probele trebuie admise.
Este necesară atingerea unui echilibru corect. Pe de o parte, nu este rezonabil să se aștepte ca
decidenții de fapt (fie că sunt membrii jurați sau un singur judecător) să înțeleagă detaliile tehnice.
Pe de altă parte, este inadecvat să se preconizeze că aceștia vor accepta tehnicile de recuperare a
datelor ca fiind „magice”. În unele țări, răspunsul este examinarea inter pares - dacă alți specialiști
în domeniu au studiat tehnica, au testat-o și au validat rezultatele, atunci instanța va accepta
probele.
Merită repetat faptul că probele electronice sunt tratate în instanță în același mod ca orice altă formă
de probe. Procuratura va trebui să demonstreze că documentul este autentic și că conținutul acestuia
este admisibil. Toate tranzacțiile cu probe electronice trebuie să corespundă principiilor probelor
electronice prevăzute în prezentul ghid.
7.3 Explicarea principiilor
Atunci când se iau în considerare probele în cadrul procedurilor penale, trebuie reținut faptul că
probele electronice sunt supuse acelorași norme și legi care se aplică înscrisurilor probatorii. Doctrina
înscrisurilor probatorii poate fi explicată astfel: sarcina de a demonstra instanței de judecată că
probele prezentate nu sunt nici mai mult și nici mai puțin, în momentul prezent, decât atunci când
au intrat pentru prima dată în posesia organelor de aplicare a legii, aparține procuraturii. Sistemele
de operare și alte programe modifică frecvent și adaugă la conținutul stocării electronice. Acest lucru
se poate întâmpla automat fără ca utilizatorul să cunoască, în mod necesar, că datele au fost
schimbate.
Așa cum s-a discutat deja în Secțiunea 6.2, acolo unde este posibil, trebuie realizată o imagine
(duplicat) a întregului dispozitiv țintă. Copierea parțială sau selectivă a fișierelor poate fi considerată,
în anumite circumstanțe, o alternativă, de exemplu, atunci când volumul de date care urmează a fi

prezentat, face ca acest lucru să fie imposibil. Cu toate acestea, în cazul în care este adoptată
această abordare, investigatorii trebuie să fie atenți pentru a putea demonstra că toate probele
relevante sunt capturate.
Într-o minoritate de cazuri, este posibil să nu poată fi obținută o imagine utilizând un dispozitiv de
imagistică recunoscut. În aceste condiții, este posibil să fie necesar să obțineți acces la mașina
inițială pentru a recupera probele. Având în vedere acest lucru, este esențial ca probele să fie
obținute de un specialist în probe digitale calificat corespunzător, care este competent să ofere probe
în instanță.
La proces este esențial să fie prezentată obiectivitatea, precum și continuitatea și integritatea

probelor. De asemenea, este necesar să se demonstreze modul în care au fost recuperate probele,
arătând fiecare proces prin care s-au obținut probele. Probele trebuie conservate în așa măsură încât
un terț să poată repeta același proces și să ajungă la același rezultat ca cel prezentat unei instanțe.
7.4 Dezvăluire
Fiecare jurisdicție are norme și proceduri diferite în ceea ce privește dezvăluirea probelor către
apărare. De obicei, investigatorul are obligația de a urmări toate liniile rezonabile de anchetă,
indiferent dacă acestea arată către sau se îndepărtează de suspect. Ștergerea oricăror materiale
generate de organele de aplicare a legii sau materiale ale unui terț, aflate în posesia organelor de
aplicare a legii, înainte de perioadele de reținere respective, poate constitui o încălcare a procedurii,
dacă acestea nu sunt disponibile pentru dezvăluire, cu consecințe fatale pentru cauza procuraturii.
În practică, acest lucru înseamnă că probele generate de organele de aplicare a legii trebuie să fie
întotdeauna însoțite de o pistă de audit completă, de la punctul de captură a acestora, până la
predarea lor către procuratură și pe parcursul întregului proces de gestionare.
7.5 Material neutilizat
În unele jurisdicții, materialul neutilizat este un material care poate fi relevant pentru investigație și
a fost reținut, dar nu face parte din dosarul de urmărire penală împotriva acuzatului. Principiile
dezvăluirii se aplică probelor electronice în același mod ca orice alt material obținut în cursul unei
investigații. Este sarcina investigatorului să decidă ce material este rezonabil să fie cercetat și în ce
mod.
Orice material care nu a fost examinat trebuie descris pe categorii generale, cu măsura și modul
oricărei inspecții sau examinări a materialului înregistrat, cu o justificare a neexaminării acestuia ca
parte a investigație.
Este de preferat ca, ori de câte ori este posibil, informațiile sau datele să fie furnizate procurorului
în formatul inițial, deoarece transferul acestora pe un alt format sau suport, nu va crea copii exacte
și va avea loc o anumită degradare a calității originale. Orice conversie într-un format diferit de
formatul original trebuie să includă examinarea și evaluarea calității copiei. Trebuie depuse eforturi
pentru a captura și stoca probe în formate standard care sunt ușor disponibile procurorului și
sistemului judiciar. În situațiile în care procurorul local nu dispune de capacitatea de a vizualiza cu

ușurință materialul în formatul său original sau nativ, trebuie luate măsuri pentru a facilita
examinarea sau a realiza conversia în alt format. Protocoalele locale, inclusiv acordurile privind
nivelul serviciilor, trebuie elaborate pentru a se asigura că procurorii sunt capabili să vizualizeze
probele rapid pentru a lua decizii în timp util.
7.6 Grija pentru victime și martori
Convenția Europeană a Drepturilor Omului impune autorităților publice să acționeze în moduri

compatibile cu drepturile omului victimelor și martorilor. Totuși, aceste drepturi trebuie respectate
și echilibrate comparativ cu cele ale inculpatului.
Dacă probele din dosar sunt suficiente pentru a justifica urmărirea penală, interesele victimei
constituie o considerație importantă. Trebuie acordată atenție efectului infracțiunii asupra victimei.
Acest lucru este deosebit de important în cazurile care implică abuzuri asupra copiilor și potențialul
unor urmăriri penale aferente imaginilor digitale ale unui astfel de abuz.
Mulți martori ai infracțiunilor pot simți stres și teamă pe parcursul investigării unei infracțiuni și,
ulterior, când participă în instanță și depun mărturie. Stresul poate afecta cantitatea și calitatea
mărturiei martorilor de toate vârstele. Unii martori pot întâmpina dificultăți deosebite în ceea ce
privește prezentarea în instanță și depunerea mărturiei, din cauza vârstei lor, a circumstanțelor
personale, a fricii de intimidare sau din cauza nevoilor lor particulare. Măsuri suplimentare trebuie
asigurate pentru martorii vulnerabili și intimidați, pentru a-i ajuta să ofere cele mai bune mărturii în
instanță și pentru a elimina o parte din stresul asociat depunerii mărturiei.
7.7 Prezentarea în instanță
Prezentarea este importantă în cazul în care avocații, judecătorii și, în cazul în care sistemul prevede
unul, juriul 103 trebuie să acorde probelor experților importanța pe care o merită. Prezentarea
probelor electronice în instanță este mai eficientă dacă este vizuală, utilizând demonstrații
computerizate, demonstrații video, grafică computerizată, programe și diagrame. Cu toate acestea,
procurorii trebuie să fie conștienți de prejudecățile pe care le poate provoca utilizarea unei astfel de
tehnologii și să fie pregătiți să discute aceste probleme cu autoritate în cazul în care apărarea
contestă utilizarea unei astfel de tehnologii.
Cercetările au descoperit că mulți oameni acordă mai multă atenție lucrurilor pe care le văd, decât
celor pe care le aud. Întrucât datoria unui procuror este de a prezenta cazul procuraturii în cea mai
bună lumină posibilă, este recomandabilă prezentarea vizuală a probelor, în special în cazurile
complicate.
Un exemplu privind modul de a dezvolta abilitățile procurorului de prezentare vizuală a probelor

electronice poate fi găsit într-un program de formare pentru stagiari și procurori din Georgia.
103
Juriile sunt o caracteristică în special a sistemului de drept comun, care este de principiu că un acuzat trebuie
să fie judecat de un complet al omologilor săi. Acolo unde există, juriile sunt decidenții de fapt, în timp ce
judecătorul este decidentul de drept.

Toți internii Serviciului de urmărire penală care au promovat cu succes examenele de admitere și un
interviu sunt obligați să urmeze un curs intensiv de o lună de pregătire practică pentru munca de
procuror. Cursul include un curs obligatoriu de trei zile privind competențele pentru proces,
structurate în jurul procesului de prezentare a probelor în instanță. Este necesar ca procurorii să
stăpânească logica, atenția, postura, controlul, tonul și alte elemente necesare pentru prezentarea
cauzei și a argumentele sale, la tribunalul de fapt. Utilizarea de flipchart-uri, dispozitive de
proiectare, prezentări PowerPoint, diagrame și alte materiale vizuale este evidențiată pe parcursul
întregului curs și este o cerință pentru urmărirea penală cu succes în cauzele complexe (cauzele
informatice fiind un astfel de exemplu). Un alt aspect evidențiat de-a lungul cursului este examinarea
încrucișată directă a martorilor experți, care constituie adesea cheia proceselor de succes în cauzele
informatice.
Este de remarcat faptul că cursul de competențe pentru proces este obligatoriu nu numai pentru
procurori, ci și pentru cei care lucrează deja în cadrul Serviciului de urmărire penală. În 2006 și
2010, toți procurorii au beneficiat de formare și perfecționare cu privire la competențele pentru
proces (inclusiv formare avansată de la procurori din Statele Unite și Regatul Unit).
Cursul de redactare juridică de două zile pentru procurori și stagiari ai Serviciului de urmărire penală
este, de asemenea, obligatoriu și predat stagiarilor ca parte a programului de pregătire al acestora,
precum și pentru a servi procurorilor ca parte a programelor de perfecționare. Utilizarea de imagini,
diagrame, figuri descriptive, diagrame etc. este puternic încurajată și adaugă prezentării un element
vizual.
Trebuie menționat faptul că experiența Georgiei menționată mai sus în furnizarea de formare privind
competențele pentru proces și redactare juridică pentru procurori nu este centrată pe cazuri de
criminalitate informatică, ci este mai degrabă un set universal de competențe, care poate fi utilizat
în procese complexe, care implică probleme ce pot fi dificil de înțeles de către judecător și juriu,
cazurile informatice constituind un exemplu clasic de astfel de materiale complexe.

8 Jurisdicție
8.1 Dimensiunea internațională a criminalității informatice
Se poate spune că în lumea interconectată, frontierele naționale facilitează infractorii informatici,

dar limitează justiția penală. Infractorii pe internet călătoresc pe diferite continente „virtual” după
bunul plac. Deși implicarea mai multor jurisdicții legale este regula pentru orice investigator al
criminalității informatice, acesta nu se bucură de aceeași libertate de mișcare în ceea ce privește
urmărirea probelor unei infracțiuni. Circumstanțele în care un agent de aplicare a legii poate să
investigheze, în mod legal, în afara țării sale (inclusiv în ceea ce privește probele stocate în „cloud”)
pot fi foarte diferite în funcție de legislația națională și de orice Cadre de asistență juridică reciprocă
la care Guvernul țării investigatorului este parte.
Există două seturi de circumstanțe între care este important să se facă distincția atunci când este
vorba de probe electronice care nu sunt situate fizic în jurisdicție:
1. În cazul în care un investigator a preluat controlul asupra unui calculator care este conectat
la internet. În astfel de circumstanțe, este posibil ca investigatorul să poată avea puterea de
a da clic pe site-uri web sau de a intra pe calculatoare din alte jurisdicții. Autoritatea de a
face acest lucru poate fi acordată anchetatorului în virtutea dreptului intern sau a unei
combinații de drept intern și a dispozițiilor articolului 32 din Convenția de la Budapesta
privind criminalitatea informatică. (Cu toate acestea, țara în care sunt localizate fizic
serverele sau calculatoarele reale poate avea o altă viziune).
2. În cazul în care probele electronice sunt situate în „cloud” - adică în cazul în care e-mailurile
unui suspect, de exemplu, nu sunt stocate în calculatorul de acasă al acestuia, ci sunt stocate
în altă parte, pe un hard disc separat, într-o jurisdicție străină.
Este important să înțelegem diferența dintre aceste două seturi de circumstanțe, deoarece
autoritățile de anchetă vor trebui să întreprindă acțiuni diferite în fiecare situație, în funcție de legile
care se aplică.
8.2 Rețelele internaționale de cooperare în justiție
Există diverse măsuri care au fost luate la nivel internațional pentru a răspunde criminalității
informatice. Printre cele mai relevante se numără Interpol, Consiliul Europei și progresele inițiate de
Uniunea Europeană (Rețeaua punctelor de contact, Europol, Eurojust și Rețeaua Judiciară Europeană
în materie penală). Resursele acestor grupuri pot fi puse la dispoziția diferiților jucători din sistemul
de justiție penală pentru a-i ajuta în investigații sau în urmărirea penală.
8.3 Asistență juridică reciprocă
Există de mult timp un cadru formal prin care un stat suveran a putut solicita unui alt stat suveran
asistență în probleme juridice. Cea mai comună bază juridică pentru această cooperare sunt

Tratatele de asistență juridică reciprocă (MLA) și Convențiile multilaterale care asigură asistența
reciprocă (cum ar fi Convenția Națiunilor Unite împotriva criminalității transnaționale organizate).
Cererile de asistență transfrontalieră sunt deosebit de importante în cazurile care implică probe
electronice din cauza caracterului internațional al serviciilor de internet. Adevărata provocare în
aceste cazuri este de a putea acționa suficient de rapid pentru a preveni modificarea sau ștergerea
probelor, dar formele tradiționale de cooperare internațională sunt lente și greoaie, iar succesul unei
astfel de cereri depinde adesea de bunăvoința și nivelul de expertiză atât al autorităților solicitante,
cât și al autorităților solicitate. Un instrument pentru rezolvarea provocării privind împiedicarea
modificării sau ștergerii probelor în cazurile urgente, este conservarea rapidă a datelor, astfel cum
este prevăzut la art. 29 și 30 din Convenția de la Budapesta. Părțile la Convenție își pot utiliza
Punctul de contact non-stop (art. 35) pentru a solicita conservarea de urgență a datelor de la o altă
Parte. A fost elaborat un formular exemplar104 care poate fi utilizat ca șablon.
8.4 Cazuri transfrontaliere
Atunci când un caz traversează o serie de jurisdicții, trebuie luată în considerare dreptul material
pentru fiecare jurisdicție. Acesta poate fi un domeniu complex și uneori se ia decizia de a permite
unei singure echipe de investigatori dintr-o singură jurisdicție să preia conducerea. Instituțiile
relevante din celelalte jurisdicții vor fi de acord să coopereze cu instituția principală de investigare
și să obțină probele relevante în propria lor jurisdicție.
Articolul 35 din Convenția de la Budapesta oferă asistență practică investigatorilor, întrucât necesită
ca fiecare Parte „să desemneze un punct de contact disponibil douăzeci și patru de ore, șapte zile
pe săptămână”. Scopul acestui lucru este promovarea „asistenței imediate, în scopul investigațiilor
sau procedurilor privind infracțiunile aferente sistemelor și datelor informatice sau pentru colectarea
de probe în formă electronică cu privire la o infracțiune.”
Părțile la Convenție sunt așteptate să efectueze o serie de alte măsuri, oferindu-și dreptul intern și
autorizația de practică. Acestea sunt următoarele:
1. Furnizarea de consultanță tehnică;

2. Conservarea datelor în conformitate cu articolele 29 și 30;
3. Colectarea de probe, furnizarea de informații juridice și localizarea suspecților.
Aceste măsuri pot juca un rol important în facilitarea activității efective și eficiente a investigațiilor
care abordează infracțiuni ce includ un element de probe electronice, în alte jurisdicții.
104
https://rm.coe.int/t-cy-2018-11-template-article29-request-v26-final/16808c4956

9 Considerații specifice rolului
Există o serie de considerente care sunt specifice diferitelor roluri în cazurile care implică probe
electronice:
- Gestionarea investigațiilor
- Lanțul de custodie
- Examinarea probelor (acțiuni de laborator)
- Impact asupra subiecților perchezițiilor (de ex., rețele corporative)
- Protejează considerațiile privind confidențialitatea, proporționalitatea, intruziunea colaterală
9.1 AAL-le, posibil toate autoritățile de investigare
Nu este necesară furnizarea de informații specifice rolurilor pentru organele de aplicare a legii,
întrucât toate considerentele abordate în această secțiune sunt deja abordate în capitolele
precedente.
9.2 Procurori
9.2.1 Gestionarea investigațiilor
Investigatorii, procurorii, reprezentanții apărării și judecătorii trebuie să înțeleagă cu toții informațiile

și tehnologia. Cazurile pot să nu reușească, dacă procurorul nu este capabil să identifice toate
problemele care trebuie decise într-un caz și să le prezinte simplu și concis în fața instanței, mai ales
dacă sunt implicate aspecte tehnice. Procurorii și investigatorii trebuie să fie formați și echipați cu
abilități și cunoștințe de specialitate pentru a investiga și a judeca, în special când sunt implicate noi
tehnologii.
Procurorii trebuie să poată determina jurisdicția cea mai potrivită pentru o urmărire penală în materie
de criminalitate transfrontalieră și să poată utiliza cele mai noi tehnologii pentru a prezenta
respectivele probe în instanță. Acest lucru poate însemna că audierile în instanță trebuie să fie dotate
cu tehnologie suplimentară pentru a facilita prezentarea probelor.
În funcție de țară, procurorii trebuie să lucreze cot la cot cu organele de aplicare a legii sau să fie
disponibile, în alt fel, pentru a oferi consultanță cu privire la măsurile pentru evitarea capcanelor
juridice, maximizarea posibilităților probatorii și dezvoltarea unor cazuri puternice, solide și bine
prezentate în instanță. Procurorii trebuie să promoveze valorile de bază privind independența,
imparțialitatea și echitatea, în tot ceea ce fac.
9.2.2 Gestionarea urmăririlor penale
Dreptul la un proces echitabil este sacrosant, iar responsabilitatea echipei de urmărire penală în
ceea ce privește colectarea, păstrarea și prezentarea probelor electronice în fața unei instanțe, în
mod echitabil și obiectiv, rămâne primordial. Fiecare membru al echipei de urmărire penală va avea
un rol clar identificat. Pe parcursul cazului, trebuie să existe conferințe periodice cu privire la caz,

între procuror și investigatori și alți membri de personal relevanți. După urmărirea penală, trebuie
să existe sesiuni formale de informare, care să implice toți participanții, pentru a ajuta atât la
identificarea, cât și la diseminarea oricăror lecții care trebuie învățate.
Deoarece criminalitatea informatică nu cunoaște nicio frontieră geografică, procurorii au un rol din
ce în ce mai important în facilitarea legăturii transfrontaliere și în obținerea de probe electronice,
prin asistența juridică reciprocă.
Procurorii trebuie să fie proactivi în ceea ce privește identificarea și, dacă este posibil, remedierea
deficiențelor privind probele electronice și să ofere o concluzie timpurie la respectivele cazuri, care
nu pot fi consolidate prin investigații suplimentare.
Este important să rețineți faptul că fiecare caz este unic și trebuie avute în vedere propriile fapte și
fond al acestuia (și în contextul legislației naționale care se aplică) pentru a putea determina cu
exactitate ce măsuri sunt necesare pentru a asigura rezultatul investigației.
9.2.3 Dezvăluirea către apărare
Așa cum s-a discutat în Secțiunea 7.5, orice investigație va produce materiale care nu pot fi utilizate
cu încredere în instanță. Dreptul unui inculpat de a beneficia de un proces echitabil este consacrat
în articolul 6 din Convenția Europeană a Drepturilor Omului (CEDO) și este important ca un
investigator să identifice orice material care fie ar putea submina cazul procuraturii, fie ar putea
ajuta cazul apărării. În cazul în care practica judecătorească impune ca procuratura să pregătească
pentru apărare planurile probelor deținute de procuratură, investigatorul trebuie să se asigure că
materialele neutilizate sunt evidențiate în mod corespunzător.
Procurorii trebuie să facă tot ceea ce le stă în putință pentru a facilita dezvăluirea corespunzătoare,
în conformitate cu legislația relevantă, ca parte a responsabilității lor generale și profesionale de a
acționa în mod echitabil și imparțial, în interesul justiției și în conformitate cu legea. De asemenea,
procurorii trebuie să fie atenți la necesitatea de a oferi consultanță și, dacă este necesar, de a proba
acțiunile întreprinse de investigatori, pentru a asigura că obligațiile de dezvăluire sunt îndeplinite.
9.2.4 Admisibilitatea probelor
Așa cum este discutat în secțiunea 7 de mai sus, în cadrul proceselor penale, probele digitale trebuie
să fie admisibile, autentice, exacte și complete. Acestea trebuie să fie conforme legilor și normelor
aplicabile și să fie acceptabile de către instanță.
În revizuirea cauzei, procurorul va determina, dacă este posibil, să stabilească o legătură explicită
între fișiere (date care conduc la persoane și evenimente specifice) și să explice modul în care apărut
o probă, arătând continuitatea neîntreruptă a probei.
În timpul proceselor penale, procurorul trebuie să utilizeze probele pentru a dovedi cauza conform
standardului penal (în multe țări, aceasta înseamnă „dincolo de orice îndoială rezonabilă”). Ca parte
a normelor în materie de probe, instanța are întotdeauna dreptul să îi fie prezentate cele mai bune

probe. În mod tradițional, cea mai bună probă este documentul original, dar în anumite
circumstanțe, pot fi acceptate probe secundare. În mod obișnuit, proba secundară cuprinde copii
sau extrase din cele mai bune probe.
O revizuire timpurie de către procuror a probelor electronice într-un caz, care să determine dacă
probele sunt suficiente, unde există puncte slabe și unde sunt necesare alte probe electronice. Dacă
acest lucru se realizează într-o fază incipientă, poate exista încă posibilitatea de a obține probe
suplimentare din alte jurisdicții, înainte ca respectiva cauză să ajungă la proces.
Rolul de bază al martorului criminalist este întocmirea de rapoarte referitoare la probele electronice
obținute, declarațiile și respingerea rapoartelor de opoziție, după caz. Procurorul trebuie să
încurajeze declarațiile scurte, împărțite în mod clar între fapte și opinii, pentru a asigura claritatea
în ceea ce privește procesele de gândire ale martorului și descoperirile acestuia. Dacă este necesar,
procurorul trebuie să solicite ca documentele justificative să fie furnizate mai degrabă ca anexe,
decât într-un document inutil de voluminos.
Un raport scurt poate fi un raport bun; nu este necesar un raport lung dacă nimeni nu este capabil
să îl citească până la capăt.
După ce a analizat raportul (raporturile) (și în cazul în care este necesar în temeiul procedurii penale
naționale), martorului trebuie să i se solicite informații și explicații specifice cu privire la punctele pe
care apărarea este probabil să le ridice - în special în privința oricăror contradicții cuprinse în
declarațiile martorilor opoziției. De asemenea, poate fi foarte util ca martorul să pregătească un
glosar agreat de termeni care să fie utilizat în cauză.
În perioada premergător procesului (și, dacă este necesar, în timpul procesului principal), este
posibil ca procuratura să considere necesar să se întâlnească cu apărarea pentru a discuta sfera
probelor electronice și disponibilitatea/conținutul acestora, pentru a clarifica situația probatorie.
Probele furnizate de martorul criminalist trebuie să fie:
- Credibile
- Imparțiale
- Clare
9.3 Judecători
9.3.1 Rolul investigativ al judecătorului
Deoarece judecătorii joacă un rol crucial în instanță, aceștia trebuie să înțeleagă, de asemenea,
aspectele tehnice ale probelor electronice, precum și unde și cum pot fi localizate probele. De
asemenea, aceștia trebuie să înțeleagă tehnologia și aplicațiile din care provin probele digitale,
pentru a lua decizii solide și adecvate cu privire la admisibilitatea acestora.

Ca și în cazul altor forme de probe, probele digitale trebuie autentificate în mod corespunzător.
Judecătorii trebuie să trateze probele electronice în cadrul procedurilor civile sau penale, în același
mod ca orice alte probe și să se asigure că acestea sunt conforme cu trei principii generale:
- Admisibile;
- Autentice (inclusiv precizie și caracterul complet);
- Convingătoare.
Judecătorii stabilesc ce probe urmează a fi admise într-un caz și pronunță hotărâri privind mărturiile
specialiștilor și experților. În multe jurisdicții, judecătorii decid atât în fapt, cât și în drept. Astfel de
decizii trebuie luate dintr-o perspectivă informată. Orice caz care implică tehnologii avansate poate
implica volume uriașe de material, o mare parte a acestuia de natură complexă și tehnică. Judecătorii
trebuie să poată gestiona astfel de cazuri și să poată face distincția între cererile care sunt întemeiate
și cele care nu sunt.
9.3.2 Rolul expertului
Procedurile juridice recunosc că pot exista aspecte, dincolo de cunoștințele instanței, care trebuie
explicate de cineva care are o mai bună înțelegere și experiență cu privire la un anumit subiect.
Această persoană este martorul „expert” și se distinge prin rolul său, deoarece acesta este în măsură
să discute opinii și nu doar faptele cunoscute personal de el. Un judecător trebuie să poată evalua
calificările și nivelul de perspectivă bazat pe cunoștințe, pe care un expert le aduce cazului.
Normele privind cine poate și cine nu poate fi martor expert diferă de la o țară la alta. În unele,
există cerințe bine dezvoltate;105 în altele, situația este mai puțin normativă.
Un martor expert trebuie să fie independent și imparțial. Acesta are o datorie față de instanță și
trebuie să aducă la cunoștința instanței orice slăbiciune sau limitare a probelor furnizate.
În secțiunea 2.6, sunt discutate unele criterii pentru un „martor consultant independent”. În multe
cazuri, acestea se vor aplica și martorului expert.
9.3.3 Gestionarea materialelor neutilizate
În orice investigație, vor exista materiale care nu vor fi fiabile ca probe. Pentru a se asigura că un
inculpat beneficiază de un proces echitabil, judecătorul trebui să se asigure că procuratura și-a
îndeplinit în mod corespunzător responsabilitățile de dezvăluire a informațiilor.
9.3.4 Jurisdicție
De asemenea, judecătorii vor fi obligați să decidă asupra temeiniciei cererilor aferente asistenței
juridice reciproce, care implică probe electronice - în special atunci când este vorba de necesitatea
emiterii de ordine judecătorești pentru ca investigatorii să acceseze înregistrări și date deținute de
furnizorii de servicii - și în chestiuni de extrădare a infractorilor, care trebuie să facă față unui proces
105
A se vedea, de exemplu, Norma Federală privind probele 702 din SUA.

în țări în care justiția penală poate avea o abordare foarte diferită. Este posibil să fie necesar să se
pronunțe în litigii, cu privire la cea mai potrivită țară în care să se desfășoare procesul.
Așa cum s-a repetat pe parcursul prezentului Ghid, o înțelegere și apreciere a aspectelor tehnice ale
probelor electronice vor face ca astfel de decizii să fie mai ușoare pentru cei implicați, iar acest lucru
include judecătorul.
9.4 Proceduri non-penale
Utilizarea sporită a probelor electronice pentru soluționarea problemelor civile (adică, litigii juridice
între entități private) este o consecință firească a comunicării umane, care trece de la suport de
hârtie la sisteme electronice. Tranzacții de afaceri importante sunt încheiate fără a apela deloc la
hârtie, prin intermediul schimburilor de e-mailuri sau a platformelor de licitare. Unul dintre soți își
poate înșela partenerul și poate lăsa în urmă probe sub formă de mesaje SMS. O companie poate
obține informații privilegiate, în mod necorespunzător, cu privire la tranzacțiile comerciale ale unui
concurent. Toate acestea constituie potențiale investigații, al căror rezultat va depinde de
examinarea digitală și analiza probelor electronice.
O investigație criminalistică în sfera civilă necesită o pregătire și mai atentă. Investigatorii din
sectorul privat nu au aceleași prerogative legale ca cei care lucrează în cadrul autorităților
competente și este esențial să se obțină autorizarea legală corespunzătoare pentru orice activitate
care implică sisteme informatice sau dispozitive electronice aparținând unei părți terțe. În mod
normal, părțile implicate în litigii civile, se vor opune puternic oricărei dezvăluiri de informații
comerciale confidențiale sau informații cu caracter personal către cealaltă parte. Instanțele civile vor
impune, de regulă, cerințe și limitări stricte înainte de a autoriza indisponibilizarea datelor din
calculatoarele sau dispozitivele terților.
9.4.1 Pregătirea indisponibilizării datelor
În cazurile din sectorul privat, lucrările de investigare criminalistică a calculatoarelor, încep, în mod
normal, cu o consultare cu clientul. Această reuniune sau serii de reuniuni vor stabili natura
revendicărilor legale, cerințele și așteptările clientului și vor determina cele mai potrivite proceduri
și strategii care trebuie aplicate. Este extrem de important ca specialistul în criminalistică să se
asigure că termenii de referință agreați sunt în scris, aprobați, în mod formal, de către client și că
aceștia precizează clar sfera de aplicare, responsabilitățile și limitările implicării acestuia.
Dacă este posibil, în timpul consultării, trebuie identificate tipul și gama dispozitivelor electronice și
trebuie determinată natura probelor electronice solicitate. În funcție de problemele care urmează să
fie analizate, captura datelor poate fi necesară numai în scopuri administrative interne sau poate fi
evident de la început că va urma o eventuală răspundere penală. În cazul în care datele trebuie
capturate într-un mod care să asigure admisibilitatea acestora în instanță, este recomandat ca părțile
să utilizeze specialiști calificați în investigarea criminalistică a calculatoarelor, familiarizați cu astfel
de cerințe.

O dată ce aceste formalități au fost finalizate și dispozitivele țintă au fost identificate, va trebui
planificat procesul de capturare a datelor. Obținerea de date de pe dispozitive sau o rețea fără
consimțământul proprietarului, înseamnă inevitabil o cerere către instanță pentru obținerea unei
hotărâri judecătorești.
9.4.2 Procesul de capturare a datelor
Așa cum am explicat deja de mai multe ori în prezentul Ghid, conținutul oricărui dispozitiv electronic
trebuie manipulat și păstrat astfel încât să poată garanta că acesta nu a fost modificat sau manipulat.
A face altfel ar însemna subminarea valorii oricăror probe obținute din acesta.
Trebuie concepută o strategie privind modul de obținere a accesului la date (în special dacă acestea
sunt deținute de o parte neconformă la litigiu). Poate fi realizat acest lucru prin acord scris? Sau va
fi necesară obținerea unei hotărâri judecătorești?
Odată obținută autorizația necesară, procesul real de captură a datelor este același ca în Secțiunile
3.4 și 3.5 de mai sus, dar fără indisponibilizarea dispozitivelor. Investigatorul va realiza o copie
„bitstream” identică a conținutului electronic al dispozitivului (vezi Secțiunea 6.2), care va servi
drept copie principală, din care vor fi făcute copii de lucru. Copia principală va fi apoi sigilată și va
rămâne neatinsă, dar poate fi utilizată ca punct de referință în orice dispută ulterioară.
Strategia de colectare a datelor trebuie să ia în considerare, de asemenea, dacă este necesar și/sau
de dorit ca proprietarul sau utilizatorul dispozitivului electronic identificat să fie informat cu privire
la procesul de captură care va avea loc sau dacă procedura poate fi efectuată ex parte. În mediul
de afaceri (după cum a fost deja menționat), personalul unei facilități terțe poate fi, în orice caz,
obligat contractual să notifice persoana vizată sau proprietarul datelor că acestea au fost accesate
și copiate. Prezența respectivei persoane poate ajuta la protejarea drepturilor acestuia, dar poate
prezenta alte probleme în ceea ce privește interferența și obstrucția.
În unele cazuri, politica și procedura companiei pot permite conducerii superioare să autorizeze
accesul la dispozitivele companiei utilizate de un angajat, fără necesitatea unei hotărâri judecătorești
sau a consimțământului respectivului angajat. În alte situații, drepturile angajaților în ceea ce
privește viața privată vor avea prioritate.
Procedura civilă variază foarte mult de la jurisdicție la jurisdicție, dar majoritatea legilor privind
procedura civilă implică o prezumție de probă conform căreia un funcționar juridic desemnat de o
instanță (cum ar fi un notar public sau un executor judecătoresc) oferă probele instanței. Dacă
acesta este cazul, ar putea fi utilă implicarea unui asemenea funcționar juridic în procesul de
colectare a probelor. Ofițerul juridic poate oferi asistență atât în timpul indisponibilizării, cât și în
fazele de după indisponibilizare, cum ar fi clonarea datelor atunci când sunt necesare copii
suplimentare. În multe cazuri, funcționarul juridic va putea, de asemenea, să ateste faptul că probele
au rămas în custodia sa și nu au fost modificate.

Indiferent dacă un serviciu juridic este sau nu cooptat în captura și copierea datelor, este foarte
recomandat ca acțiunile întreprinse în timpul procesului de captură să fie înregistrate în note de la
momentul respectiv și/sau (după cum se menționează în prezentul Ghid) pe înregistrare video.
Dacă jurnalul sau procesele verbale sunt păstrate de un funcționar juridic (notar public, executor
judecătoresc sau altul) într-un document pe care acesta îl poate autentifica, procesul de captură va
beneficia de o garanție mai mare în ceea ce privește fiabilitatea și integritatea indisponibilizării.
Nu este necesar să fie repetat faptul că orice persoană care efectuează efectiv operațiuni tehnice
asupra dispozitivului trebuie să dețină competențele și experiența corespunzătoare în ceea ce
privește procedurile pe care trebuie să le efectueze.
9.4.3 Lanțul de custodie a datelor confiscate
Așa cum este descris în primul principiu al probelor electronice (secțiunea 1.7.1) și în diferite secțiuni
ulterioare din prezentul Ghid, Lanțul de custodie este un pas esențial în păstrarea și dovedirea
integrității datelor.
În unele cazuri limitate, ar putea fi, de asemenea, fezabil să fie indisponibilizat dispozitivul în sine,
cu condiția să nu existe dificultăți economice sau prejudicii comerciale pentru proprietarul său. În
acest sens, se vor aplica aceleași reguli privind etichetarea, ambalarea și depozitarea descrise în
Secțiunea 3.4.1. Dacă este posibil din punct de vedere fizic, se poate lua în considerare depunerea
oricărui astfel de dispozitiv la un funcționar juridic pentru păstrare (dacă se pot reproduce condițiile
de depozitare corespunzătoare).
Înainte de a returna orice dispozitiv de stocare a datelor indisponibilizat proprietarului acestuia, este
necesar să se aibă în vedere garantarea faptului că nu există date ilegale, cum ar fi imagini de
abuzuri asupra copiilor, informații cu caracter personal aparținând terților obținute în mod ilegal,
nume și parole de autentificare, detalii privind carduri de plată etc. Luați în considerare plasarea
unui avertisment în acest sens, în raportul de examinare.
9.4.4 Analiza criminalistică
Odată indisponibilizate datele, metodele de analiză tehnică vor fi identice atât pentru procedurile
penale, cât și pentru cele civile.

10 Cauze
10.1 Cauze penale
10.1.1 Admisibilitatea documentelor imprimate de pe calculator ca probe
R c. Wood (Stanley William) (1983) 76 Cr. App. R. 23
În această cauză din Anglia, o cantitate de metal a fost furată în tranzit. Același tip de metal a fost
găsit în posesia Domnului Wood și acesta a fost acuzat de manipulare de bunuri furate. Pentru a
stabili că metalul manipulat de Domnul Wood a făcut parte din încărcătura furată, înregistrările
proprietarului privind compoziția chimică a încărcăturii (constând în parte din documentele
imprimate de pe un calculator utilizat pentru a efectua calcule complexe) au fost comparate cu
rezultatele unei analize chimice efectuate pe metalul indisponibilizat de la Domnul Wood. S-a dovedit
că exista o potrivire exactă a compoziției metalului.
În cadrul procesului său, Domnul Wood s-a opus admiterii ca probe a documente imprimate de la
calculator. Judecătorul de proces a respins respectiva obiecție și chimiștii și programatorul software-
ului calculatorului (deținătorii înregistrărilor) au depus mărturii orale, care nu au fost de altfel
contestate de către recurent, cu privire la acțiunile pe care le-au întreprins. Domnul Wood a fost
condamnat și a făcut apel.
În respingerea apelului, Curtea de Apel a statuat că computerul a fost utilizat pur și simplu ca un
calculator pentru efectuarea de calcule, care nu ar fi putut fi efectuate manual - a fost un instrument
(similar unei bucăți de hârtie litmus utilizată pentru a testa aciditatea sau unui aparat de cântărit).
Documentele imprimate au constituit probe reale dovedite de mărturia orală a programatorului
dispozitivului.
Comentariu: În cazurile în care un computer este utilizat ca un calculator, iar programarea și

utilizarea acestuia sunt ambele dovedite prin mărturii orale, documentul imprimat adus ca probă nu
este o mărturie indirectă.

10.1.2 Modificarea neautorizată a unui calculator
Direcția Parchetelor c. Lennon, Divizia Queen’s Bench (Tribunalul Divizionar) Data Audierii 11 mai
2006 Citație: BLD 1205061482.
Acesta a fost prima cauză din Regatul Unit referitor la un atac de tip „blocare a accesului” (denial of
service attack). David Lennon a fost acuzat că, între 30 ianuarie și 5 februarie 2004, a provocat o
modificare neautorizată unui calculator aparținând companiei Domestic and General Group Plc
(„D&G”), cu intenția de a afecta conținutul calculatorului. Faptele au fost că Domnul Lennon a fost
angajat la D&G timp de trei luni, până la demiterea sa în decembrie 2003. Acesta avea atunci 16
ani. La 30 ianuarie 2004, Domnul Lennon a început să trimită e-mailuri către D&G utilizând un
program de „bombardare prin poștă” numit Avalanche V3.6 pe care l-a descărcat de pe Internet.
Programul a fost configurat pe setarea „trimite până la oprire”. Aceasta însemna că programul
continua să trimită e-mailuri până la oprirea sa manuală. S-a estimat că utilizarea programului de
către Domnul Lennon a cauzat primirea a aproximativ 5 milioane de e-mailuri de către serverele de
e-mail D&G.
Serverul de e-mail al companiei s-a blocat, iar Domnul Lennon a fost citat pentru modificarea
neautorizată a conținutului unui calculator, încălcând dispozițiile secțiunii 3 alin. (1) din Legea
utilizării abuzive a calculatoarelor din 1990 (CMA).
Cazul de urmărire penală a fost acela că, prin acțiunile sale în ceea ce privește programul Avalanche,
Domnul Lennon a provocat o modificare neautorizată a conținutului calculatoarelor D&G prin
adăugarea de date la conținutul acestora, adică jumătate de milion de e-mailuri pe care acesta le-a
configurat a fi trimise și că, atunci când a făcut acest lucru, el a avut intenția și cunoștințele necesare.
S-a presupus că acesta avea intenția necesară, deoarece intenționa să obstrucționeze funcționarea
calculatoarelor prin suprasolicitarea lor cu e-mailurile și că, prin urmare, a intenționat să împiedice
sau să îngreuneze accesul la programele și datele acestora și să afecteze funcționarea programelor
lor și fiabilitatea datelor acestora. S-a afirmat că acesta deținea cunoștințele necesare, așa cum se
susținea, deoarece știa că modificările pe care intenționa să le provoace prin adăugarea de e-mailuri
la datele din calculatoare, nu erau autorizate.
La Tribunalul pentru minori, Domnul Lennon a susținut cu succes că respectiva cauză împotriva lui
era neîntemeiată, deoarece funcția serverului de e-mail al companiei era de a primi e-mailuri, D&G
a consimțit să primească e-mailuri și astfel D&G a autorizat potențialii expeditori de e-mailuri să
modifice conținutul serverului, trimițându-le.
Acuzarea a făcut apel și Tribunalul Divizionară a constatat că exista o cauză întemeiată și a dispus
rejudecarea. Curtea Divizionară a declarat că, deși proprietarul unui calculator care are capabilitatea
de a primi e-mailuri consimte, în mod obișnuit, la primirea e-mailului, un astfel de consimțământ
implicit nu este nelimitat, iar consimțământul nu acoperea e-mailurile trimise în alt scop decât cel al
comunicării cu proprietarul, ci în scopul întreruperii funcționării sistemului.

10.1.3 Angajatul a obținut acces neautorizat la un calculator
R v Curtea Magistraților Bow Street și Allison (AP) Ex parte Guvernul Statelor Unite ale Americii
(Allison) [2002] 2 AC 216
La 18 martie 1997, Domnul Allison a fost arestat pe baza unui mandat provizoriu emis în temeiul
Legii privind extrădarea din 1989, la cererea Guvernului Statelor Unite. Acesta a susținut că, între 1
ianuarie 1996 și 18 iunie 1996, acesta conspirase împreună cu Joan Ojomo și alții - în jurisdicția
Statelor Unite ale Americii
a) Pentru a asigura accesul neautorizat la sistemul informatic al American Express cu intenția

de a comite furturi,
b) Pentru a asigura accesul neautorizat la sistemul informatic al American Express cu intenția
de a comite falsuri și
c) Pentru a provoca modificări neautorizate ale conținutului sistemului informatic al American
Express.
Joan Ojomo a fost angajată a American Express. Aceasta a fost repartizată la secția de credite a
biroului companiei din Plantation, Florida, ca analist de credit. În activitatea ei de zi cu zi, aceasta
avea posibilitatea de a accesa toate conturile clienților, dar avea autorizația de a accesa doar acele
conturi care îi erau atribuite ei. Cu toate acestea, ea a accesat diverse alte conturi și fișiere, care nu
i-au fost atribuite și la care nu i se acordase autoritatea de a lucra. După ce a accesat respectivele
conturi și fișiere fără autorizare, aceasta a transmis informațiile confidențiale obținute din aceste
conturi și fișiere, printre altele, către Domnul Allison. Informațiile pe care le-a oferit acestuia și altora
au fost apoi utilizate pentru a codifica alte cărți de credit și pentru a furniza numere PIN, care puteau
fi apoi utilizate, în mod fraudulos, pentru a obține sume mari de bani de la bancomate.
Probele privind autoritatea lui Joan Ojomo de a accesa datele materiale au arătat că aceasta nu avea
autoritatea de a accesa datele pe care le-a utilizat în acest scop. Aceasta nu a avut, în niciun
moment, nicio autorizație globală pentru a accesa orice cont sau fișier, care nu îi fusese atribuit, în
mod special, pentru a lucra la acesta. Orice acces de către aceasta la un cont la care nu avea
autorizația să lucreze, ar fi considerat o încălcare a politicii și eticii companiei și ar fi considerat un
acces neautorizat de către Companie. Evidențele electronice au arătat că aceasta a accesat 189 de
conturi, care nu intrau în sfera de aplicare a sarcinilor acesteia. Accesarea de către aceasta a
respectivelor conturi a fost neautorizată.
Utilizând aceste metode, ea și colegii ei care au conspirat, au fraudat American Express cu

aproximativ 1.000.000 USD. Domnul Allison a fost arestat cu carduri American Express falsificate în
posesia sa și a fost fotografiat utilizând un astfel de card pentru a obține numerar de la un bancomat
din Londra.
Camera Lorzilor din Regatul Unit a analizat dacă un angajat ar putea săvârși o infracțiune de „acces
neautorizat” la un calculator, încălcând dispoziţiile secţiunii 1 din Legea utilizării abuzive a
calculatoarelor din 1990. S-a considerat că angajata se încadrează, în mod clar, în prevederile

secțiunii 1 din CMA, deoarece angajata a utilizat, în mod intenționat, un calculator care să îi ofere
acces la date, pe care știa că nu este autorizată să le acceseze.
Lorzii au arătat, în mod clar, că un angajat ar fi vinovat de o infracțiune numai dacă angajatorul a
definit clar limitele autorității angajatului în ceea ce privește accesarea unui program sau date.
10.1.4 Piratarea sistemelor informatice
Yarimaka c. Guvernatorului penitenciarului HM Brixton: Zezev c. Guvernului Statelor Unite ale

Americii (2002).
Acesta a fost un caz de extrădare, care a rezultat dintr-o încercare de a extorca 200.000 de dolari
de la Michael Bloomberg prin piratarea sistemul informatic al companiei acestuia și apoi arătând cum
a fost realizat acest lucru. Unul dintre argumentele avansate în numele inculpaților a fost acela că
determinarea unui calculator să înregistreze recepția informațiilor, care nu proveneau de la sursa de
la care se presupunea că provin (de fapt, prin furnizarea de date false) nu a fost o conduită care să
afecteze fiabilitatea datelor, în sensul articolului 3 privind Legea utilizării abuzive a calculatoarelor
(CMA).
Curtea de Apel a respins această interpretare, iar Wright J a declarat: „Dar dacă o persoană, prin
utilizarea abuzivă sau ocolirea oricărei parole relevante, plasează în fișierele calculatorului un e-mail
fals, pretinzând că titularul parolei este autorul, când, de fapt, nu este, atunci o astfel de adăugare
la respectivele date este absolut neautorizată, astfel cum este definit în secțiunea 17 alin. (8) din
AMC; intenția de a modifica conținutul calculatorului, astfel cum este definit în secțiunea 3 alin. (2)
din CMA este de la sine înțeleasă și, făcând acest lucru, fiabilitatea datelor din calculator este
afectată, în sensul secțiunii 3 alin. (2) lit. (c) din CMA.“
10.1.5 Posesia de fotografii indecente cu minori
R c. Ross Warwick Porter [Numărul de citare neutru: [2006] EWCA Crim 560
La 5 noiembrie 2002, poliția a efectuat un raid la casa recurentului și a indisponibilizat câteva unități
de hard disc și două calculatoare, care erau conectate la internet aproape permanent. Recurentul
lucra în domeniul tehnologiei informației și construise două calculatoare. De pe unitățile de hard disc
ale celor două calculatoare au fost recuperate 3575 de imagini statice și 40 de fișiere video de
pornografie infantilă.
Dintre cele 3575 de imagini statice, 873 din cele 3573 rămase găsite au fost șterse, în sensul că
fuseseră introduse în „coșul de reciclare” al calculatorului, care a fost apoi golit. Restul de 2700 de
imagini statice au fost salvate într-o bază de date al unui program numit ACDSee. Acest program
este conceput pentru vizualizarea imaginilor grafice și este utilizat de fotografi. Când este deschis în
„vizualizarea galeriei” (gallery view), programul creează imagini „miniatură” (thumbnail) din
imaginile vizualizate. Acestea ar fi fost inițial imagini mai mari asociate fiecărei imagini în miniatură.
Dacă s-ar fi dat clic pe miniatură, ar fi putut fi vizualizată imaginea mai mare. Cu toate acestea,
toate imaginile mai mari au fost șterse. Efectul ștergerii imaginilor mai mari a fost că imaginea în

miniatură nu mai putea fi vizualizată în vizualizarea galeriei, dar o urmă a fiecărei miniaturi
(„metadate”) a rămas în baza de date a programului.
Curtea Coroanei a recunoscut că:
1. Toate articolele șterse au fost șterse înainte de 5 noiembrie 2002;

2. Recurenta nu a avut software-ul pentru recuperarea sau vizualizarea fișierelor statice sau
video șterse;
3. Imaginile în miniatură puteau fi recuperate numai prin utilizarea de tehnici și echipamente
criminalistice de specialitate, care nu ar fi fost disponibile publicului. Este de necontestat
faptul că recurentul ar fi putut să achiziționeze software-ul care să îi permită recuperarea
obiectelor care fuseseră golite din coșul de reciclare. Nu a existat nicio dovadă că recurentul
a încercat să facă acest lucru.
Recurentul a fost găsit vinovat la Curtea Coroanei din Snaresbrook pentru cincisprezece capete de
acuzare, pentru realizarea unei fotografii indecente a unui minor, încălcând dispoziţiile secţiunii 1
alin. (1) lit. (a) din Legea privind protecția minorilor din 1978 și două capete de acuzare pentru
deținerea de fotografii indecente cu minori, încălcând dispoziţiile articolului 160 alin. (1) din Legea
Justiției Penale din 1988 („Legea din 1988”). Recurentul a făcut apel împotriva condamnării pentru
două capete de acuzare de deținere de fotografii indecente cu minori.
Curtea a decis că, în cazul special al imaginilor șterse din calculator, în cazul în care o persoană nu
ar putea recupera sau obține accesul la o imagine, aceasta nu ar mai avea custodia sau controlul
asupra acesteia. A rezultat faptul că nu era potrivit să se afirme că o persoană care nu poate recupera
o imagine de pe unitatea de hard disc ar fi în posesia imaginii, din cauza faptului că este în posesia
hard discului.
10.1.6 Indisponibilizare datelor extrateritoriale
Arestarea lui Vasily Gorshkov și a lui Alexey Ivanov din Rusia în noiembrie 2000106
Vasily Gorshkov și Alexey Ivanov au fost arestați (și ulterior condamnați) în Statele Unite în
noiembrie 2000. Se presupunea că bărbații erau liderii criminalității informatice ruse, care au piratat
rețelele a cel puțin 40 de companii americane și apoi au încercat să le extorcheze de bani.
„Ivanov a atras atenția FBI în toamna anului 1999, atunci când furnizorul de servicii de internet
(FSI) Speakeasy a descoperit că rețeaua sa fusese compromisă și a informat filiala din Seattle a FBI.
La începutul anului 2000, OIB a detectat, de asemenea, un atac și a notificat sediul FBI din
Connecticut. În perioada dintre sfârșitul anului 1999 și începutul anului 2000, alte mari corporații de
internet, inclusiv CD Universe, Yahoo și Ebay, s-au confruntat, de asemenea, cu atacuri similare
celor denunțate de Speakeasy și OIB. Investigarea criminalistică a calculatoarelor a determinat că
traficul de internet pentru toate aceste atacurile proveneau de la aceeași mașină din Rusia. După ce
106
Sursa: http://en.wikipedia.org/wiki/United_States_v._Ivanov#cite_note-resume-3

a făcut legătura dintre numele său fals online „subbsta” și CV-ul acestuia, FBI-ul a stabilit identitatea
lui Ivanov și a inițiat un flagrant pentru a-l atrage în Statele Unite pentru arestare.
„FBI a construit o companie falsă de securitate informatică, Invita, în Seattle, Washington și l-a
invitat pe Ivanov la un interviu pentru o poziție, în 10 noiembrie 2000. Interviul lui Ivanov a implicat
piratarea unui sistem capcană de tip „honeypot” controlat de FBI. În timp ce Ivanov pirata sistemul
honeypot al FBI, toate tastările și traficul de rețea au fost înregistrate ca potențiale probe. În plus,
FBI a realizat înregistrări video și audio ale întregului proces de interviu. După ce Ivanov a reușit să
obțină accesul la sistemul honeypot al FBI, a fost arestat. FBI a utilizat tastările înregistrate și
jurnalul de trafic de rețea pentru a accesa calculatoarele intermediare pe care Ivanov le-a utilizat în
Rusia.”
„După arestarea bărbaților, agenții au utilizat numerele de cont și parolele obținute de program
pentru a obține accesul la datele stocate pe calculatoarele celor doi din Rusia. Când FBI a accesat
dispozitivele lui Ivanov, a găsit dosare cu datele corespunzătoare companiilor pe care le atacase de
la distanță. Peste 2,3 GB de date au fost recuperate de dispozitivele lui Ivanov, inclusiv instrumentele
utilizate pentru a obține accesul ilegal și scripturile care făceau referire la companiile care fuseseră
atacate."
Agenții FBI au descărcat probele înainte de a obține un mandat de percheziție. Serviciul Federal de
Securitate rus a demarat procedurile penale împotriva agentului FBI Michael Schuler pentru acces
neautorizat la informațiile informatice.
Vă rugăm să rețineți: Acțiunile agentului FBI pentru obținerea de probe de pe calculatorul lui Ivanov
din Rusia, nu ar fi acceptabile în anumite jurisdicții.
10.1.7 Furt de identitate, furt de parole, rețele sociale
Departamentul de Poliție din Old Tbilisi a primit o plângere din partea cetățeanului S. S. cu privire
la piratarea și manipularea ilegală a contului ei de Facebook de către cineva care i-a schimbat parola
la contul de Facebook și apoi a postat fotografii intime și indecente cu aceasta. De asemenea, un
cont fals al S. S. a fost creat fără aprobarea acesteia și în rețeaua de socializare Odnoklassniki.ru,
unde au fost postate numerele de telefon ale S. S. și ale membrilor de familie ai acesteia, ca numere
de contact pentru servicii de escortă sexuală. O serie de astfel de apeluri de la diverse persoane
care solicitau servicii sexuale au fost primite de S. S. și de membrii familiei sale. A fost lansată o
anchetă, în temeiul articolului 284, alin. 1 din Codul Penal al Georgiei (acces la un sistem informatic
fără drept).
Principalul suspect al cazului, după cum a indicat victima intervievată și familia acesteia, era fostul
iubit al S. S., G. A., care, de la despărțirea de S. S., a fost extrem de gelos și insistent cu apelurile
telefonice către victimă, nemaifiind în contact cu S. S. doar pentru ultimele câteva luni (când au
avut loc, de fapt, acțiunile descrise). De asemenea, în trecut, S. S. și G. A. au creat și gestionat o
pagină Facebook comună. Un alt argument al victimelor a fost că imaginile indecente postate pe

Facebook și Odnoklassniki.ru îi înfățișau atât pe S. S., cât și pe G. A., în diferite situații și
circumstanțe, inclusiv momente intime.
Au fost solicitate a fi prezentate codurile IMEI, care identifică toate apelurile efectuate către S. S.,
care solicitau favoruri sexuale, de la birourile centrale Geocell și Magticom (principalii operatori de
telecomunicații), iar tabelele relevante care afișau apelurile primite, numerele de telefon, IMEI și ID-
urile apelantului au fost primite fără întârziere. Niciunul dintre acestea nu conținea date referitoare
la G. A., care, în ciuda acestui fapt, rămânea principalul suspect.
O percheziție și indisponibilizare în circumstanțe de urgență au fost efectuate la locația lui G. A., iar
calculatorul personal al acestuia a fost indisponibilizat. Investigația a susținut că, întrucât G. A. a
aflat cu mare probabilitate despre investigațiile în curs împotriva sa, acesta ar avea înclinarea să
distrugă probele conexe și, prin urmare, percheziția și indisponibilizarea de urgență erau justificate.
Judecătorul a aprobat motivele prezentate și a declarat percheziția și indisponibilizarea ca fiind
legale.
Calculatorul personal indisponibilizat a fost trimis la laboratorul de examinare criminalistică cu

întrebări adresate unui expert, dacă au fost găsite probe potrivit cărora G. A. a accesat paginile
rețelelor sociale în cauză, ce parole au fost utilizate pentru un astfel de acces și dacă imaginile
postate pe acestea au fost încărcate de pe calculatorul menționat. Expertul a oferit răspunsuri
negative la toate întrebările de mai sus, cu excepția fotografiilor găsite pe o unitate de hard, precum
și un CD care a fost indisponibilizat împreună cu calculatorul. Cu toate acestea, pe calculator nu s-a
găsit niciun istoric de încărcare sau navigare pe internet a acțiunilor menționate.
Istoricul activității IP a fost solicitat furnizorului de servicii de internet, precum și furnizorilor de

servicii mobile, pentru a identifica istoricul activității pe internet al G. A. în perioada relevantă.
Niciunul dintre FSI nu a putut furniza informații, deoarece, în conformitate cu legislația Georgiei, FSI
nu sunt obligați să păstreze și să mențină datele despre trafic.
Cu atât de puține probe disponibile, procurorul a decis totuși să îl acuze pe G. A. Pentru un singur
cap de acuzare de acces ilegal la un sistem informatic, iar în timpul interviului inițial al acuzatului
G.A. acesta și-a admis pe deplin vinovăția și a furnizat investigației informații detaliate referitoare
la acțiunile sale, inclusiv parola utilizată pentru accesarea S. S. paginile Facebook și Odnoklassniki,
precum și motivele și mobilele pentru astfel de acțiuni (gelozie, stres post-despărțire etc.). Ca
urmare a admiterii vinovăției de către acesta și a negocierilor care l-au implicat pe avocatul său și
procuratura, a fost încheiată o înțelegere între părți, în care procuratura a pledat pentru aceeași
infracțiune, dar cu suspendarea pedepsei și o amendă de 3000 GEL (aprox. 1500 EUR).
Judecătorul a organizat o audiere a doua zi după încheierea înțelegerii. Judecătorul a examinat

materialele cauzei, l-a audiat pe inculpat cu privire la posibile constrângeri sau la orice altă
circumstanță care ar putea să îi altereze libera admitere a vinovăției și a constatat că inculpatul este
vinovat, condamnându-l la 2 ani de închisoare (cu suspendare) și o amendă de 3000 GEL. Niciuna
dintre părți, inclusiv victima, nu a atacat decizia.

10.1.8 Piratarea sistemelor informatice (Qurban Ali)
Qurban Ali și altul c. Statului (2007) P Cr. L J 675 [Karachi]
Acest caz a implicat răpirea unui bărbat pentru răscumpărare. Răscumpărarea a fost achitată în mod
corespunzător, persoana răpită a fost eliberată și, ulterior, a putut identifica pe unii dintre răpitori.
Curtea a constatat că au fost disponibile probe de e-mail datorită dispozitivelor moderne. Curtea a
analizat valoarea probatorie a e-mailului. Curtea a recunoscut că orice persoană poate trimite e-
mailuri oricărei alte persoane, dacă aceasta cunoaște numele contului de e-mail al celeilalte
persoane. Parola persoanei destinatare nu a fost necesară în acest scop, iar adresa
titularului/proprietarului telefonului putea fi obținută de la P.T.C.L / N.T.C.
În acest fel, calculatorul care a trimis e-mailul poate fi identificat și datele de e-mail pot fi recuperate
din acesta prin utilizarea de instrumente criminalistice. De asemenea, acest lucru poate fi
demonstrat într-o instanță de judecată, cu condiția să existe un lanț adecvat de custodie. În acest
caz, a fost totuși dificilă identificarea persoanei care a trimis e-mailul.
Curtea a recunoscut că acesta este un domeniu în care este necesară investigarea de către o agenție
de poliție, nu există nicio lege prin care internet cafe-urile să fie obligate să păstreze evidența
persoanelor care își utilizează propriile calculatoare și nici nu păstrează datele de istoric pentru mult
timp. În acest caz, Procuratura nu a furnizat un lanț de custodie corespunzător pentru probele de e-
mail, în conformitate cu legea și, prin urmare, acestea nu au putut fi invocate și astfel, au fost
eliminate.

10.2 Cazuri civile
10.2.1 Atenuarea riscurilor juridice privind concedierile masive în sectorul

farmaceutic
O companie farmaceutică urmează să concedieze o sută de angajați și caută o modalitate de a

atenua riscurile juridice. Aceasta solicită unui expert în investigarea criminalistică a calculatoarelor
să obțină o copie criminalistică a calculatoarelor atribuite fiecărui angajat, imediat ce acesta/aceasta
părăsește compania. Aceasta trebuie să „înghețe” probele disponibile la timp, pentru a le putea
analiza în cazul în care acest lucru ar fi necesar.
Experții criminaliști au conceput o strategie de achiziție special pentru a face față vitezei cu care
dispozitivele trebuiau să efectueze vizualizarea, să organizeze fișierele ca hash și să le eticheteze.
Logistica și tehnologia au fost punctele cheie care au permis echipei să producă imagini criminalistice
mai rapid, încât computerele să poată fi aduse la laboratorul intern temporar care a fost creat pentru
operațiune.
Nouă luni mai târziu, șapte dintre respectivele imagini criminalistice au permis companiei
farmaceutice să furnizeze probe cruciale pentru a respinge mărturie mincinoasă în instanță a unui
grup de angajați.
În acest caz, a fost esențial să se asigure ca dispozitivele electronice implicate să își păstreze
conținutul original și să poată dovedi sau respinge faptele controversate în instanță sau să fie
utilizate în negocieri interne. În acest caz, a fost crucial să se poată identifica cu exactitate care
dispozitive electronice au fost implicate, pentru a se proceda imediat la păstrarea conținutului inițial
al acestora și a-l putea utiliza ulterior pentru a obține probele electronice aferente cazului.
10.2.2 Criminalistica datelor în conformitate cu o încălcare a datelor
Mai mulți angajați prezintă demisii voluntare în același timp. Conducerea suspectează că informații
confidențiale și instrumente dezvoltate intern ar putea ajunge la un concurent direct.
Echipa de experți a început ancheta pe calculatoarele alocate celor douăzeci și șase de foști angajați.
Rezultatele obținute prin Investigarea criminalistică a calculatoarelor efectuată pe dispozitivele
electronice implicate în investigație au demonstrat că informațiile corporative strategice au fost
furate. În raportul criminalistic rezultat, au fost furnizate specificații privind furtul de date, au fost
recuperate din sistemele corporative, drepturi de proprietate intelectuală în materie de brevete,
codul sursă și o descărcare parțială a MRC corporatist.
Experții au reușit să facă un pas suplimentar în cadrul investigației, dovedind faptul că codul sursă
furat a fost ușor modificat și a fost utilizat și vândut de un concurent după câteva luni.
Raportul criminalistic a devenit o probă esențială în instanță, permițând urmărirea penală rapidă și
de succes. În acest caz, a fost imperativ să se analizeze calculatoarele angajatului pentru a obține
probele electronice necesare pentru a demonstra că frauda a avut loc. În acest fel, a fost necesară

clonarea dispozitivului electronic original pentru a practica o analiză de criminalistică informatică de
către experții corespunzători, care dețineau cunoștințele și experiența corecte. Acești profesioniști,
cu instrumentele criminalistice adecvate, au reușit să obțină probele electronice relevante, care au
fost esențiale pentru a demonstra frauda comisă de către angajații companiei. De asemenea, este
esențial să se ia toate măsurile tehnice și juridice, pe durata procedurii de investigare criminalistică
a calculatoarelor, pentru a asigura admisibilitatea în instanță a probelor electronice obținute.
10.2.3 Investigații privind boicotarea unui sistem de vânzări online
O companie aeriană suferă un boicot care implică site-ul de vânzări online al acesteia. Clienții au
probleme în a cumpăra bilete online pe site-ul web corporativ și acest lucru începe să afecteze rapid
economia și imaginea publică a companiei.
Expertul în criminalistică informatică, prin serviciile sale de investigare online, este capabil să ofere
informațiile necesare referitoare la caz. A existat o activitate neobișnuit de mare în jurnalele site-
urilor web, ceea ce îi determină pe experți să dezvăluie faptul că clienții sunt redirecționați în mod
aleatoriu, către alte pagini, prin procesul de achiziție.
Prin investigația și raportul său, expertul permite companiei să ia măsuri tehnice și juridice pentru
a rezolva problema și a-și redresa imaginea corporativă. În acest caz, a fost foarte important să se
poată demonstra și explica aspectele tehnice care dovedeau că pagina web corporativă a fost
manipulată. Pentru realizarea acestui lucru, expertul a trebuit să analizeze conținutul tehnic al paginii
web afectate și apoi să efectueze investigația online necesară pentru a strânge probele de bază
necesare pentru a susține acuzația.
10.2.4 Descoperire electronică pentru analiza riscurilor juridice în preluarea unei

companii
Ca parte a condițiilor unui Contract de fuziune și achiziție, clientului i s-a impus o clauză care
reglementa, în mod specific, transferul proprietății intelectuale asociate anumitor brevete, în ultimii
cinci ani. Această clauză includea, în mod specific, orice tip de transfer de proprietate intelectuală,
indiferent dacă era sau nu formal. Din cauza sancțiunilor pe care această clauză le includea în
contract, clientul nostru trebuia să fie sigur 100% că niciun transfer formal sau informal de IP, de
niciun fel, nu a avut loc din partea niciunuia dintre cei 2.500 de angajați ai Grupului.
Echipa de investigarea criminalistică a calculatoarelor, prin serviciul său de Depistare electronică (e-
Discovery), a localizat toate documentele și e-mailurile al căror conținut era asociat IP-ului brevetat.
Milioane de documente și e-mailuri au fost identificate, copiate, categorisite, indexate și puse la
dispoziția personalului companiei și a firmei de avocatură care a oferit consultanță pentru
operațiunea M&A, pentru a revizui întregul material într-un mod confortabil și eficient.
Caracterul complet al lucrării efectuate a permis atât clientului, cât și firmei de avocatură să
măsoare, în mod adecvat, riscurile implicate de operațiune. Fără serviciul de investigare
criminalistică a calculatoarelor pentru depistare electronică, identificarea și selecția documentelor

relevante în acest caz ar fi durat o veșnicie. Prin utilizarea acestui serviciu de investigare
criminalistică a calculatoarelor, experții, printr-o selecție a cuvintelor cheie corecte, au reușit să
obțină toate documentele relevante dintre milioane de documente, care erau potențial implicate în
investigație.
10.2.5 Dovedirea autenticității unui e-mail
Împotriva neplății unei datorii îndatorate prin e-mail naște un proces în care e-mailul joacă un rol
cheie. Pârâtul neagă că datoria a fost recunoscută și susține că e-mailul nu a fost trimis niciodată.
Prin implementarea unui serviciu specializat de expertiză al e-mailului advers, care permite
recunoașterea datoriei efectuate prin e-mail, experții sunt capabili să acceseze partea tehnică a e-
mailului și să recunoască dacă acesta este original sau dacă a fost manipulat. În acest caz specific,
e-mailul a fost proba necesară pentru a dovedi situația de conflict dintre părți, ceea ce a făcut ca
clientul să înțeleagă că este necesar să se poată garanta autenticitatea acestuia în fața instanței.
Prin implementarea acestui serviciu, clientul a reușit să dovedească autorităților judiciare

competente versiunea sa cu privire la evenimente. Clientul a obținut o hotărâre în favoarea sa, care
obliga pârâtul la plata datoriei restante, plus a dobânzii, cu impunerea statutară expresă a
cheltuielilor suportate de pârât.

11 Glosar107
24/7 RealMedia: este o companie de tehnologie cu sediul în New York specializată în Marketing
Digital. Aceasta oferă soluții de marketing digital pentru editori, agenți de publicitate și agenții la
nivel global. Aceasta a fost listată anterior ca „TFSM” la bursa NASDAQ.
Rețele 3G: Telecomunicații mobile 3G sau de a 3-a generație este o generație de standarde
pentru telefoanele mobile și serviciile de telecomunicații mobile, care îndeplinesc specificațiile
Telecomunicațiilor Mobile Internaționale-2000 (IMT-2000) ale Uniunii Internaționale de
Telecomunicații. Serviciile de aplicații includ acces voce telefon, internet mobil wireless extins,
apeluri video și TV mobil, toate într-un mediu mobil.
Liste de control de acces (LCA): este o listă de permisiuni atașate unui obiect. Un LCA specifică
căror utilizatori sau procese de sistem le este acordat accesul la obiecte, precum și ce operații sunt
permise pentru obiectele date. Fiecare înregistrare într-un LCA tipic specifică un subiect și o operație.
Token de acces: este un obiect care încapsulează descriptorul de securitate al unui proces. Atașat
unui proces, un descriptor de securitate identifică proprietarul obiectului (în acest caz, procesul) și
LCA-uri care specifică drepturile de acces permise sau refuzate proprietarului obiectului. În timp ce
un token este utilizat pentru a reprezenta doar informațiile de securitate, acesta este, din punct de
vedere tehnic, în formă liberă și poate cuprinde orice date. Token-ul de acces este utilizat de
Windows atunci când procesul sau thread-ul încearcă să interacționeze cu obiecte ai căror descriptori
de securitate impun controlul accesului (obiecte securizabile).
Achiziția: un proces denumit Imagistică. Duplicatul este creat utilizând un duplicator de hard disc
sau instrumente de imagistică software precum DCFLdd, IXimager, Guymager, TrueBack, EnCase,
FTK Imager sau FDAS. Unitatea originală este apoi returnată pentru stocarea securizată în scopul
prevenirii alterării. Imaginea dobândită este verificată prin utilizarea funcțiilor hash SHA-1 sau MD5.
În punctele critice de-a lungul analizei, suportul media este verificat din nou, cunoscută sub
denumirea de „hashing”, pentru a se asigura că probele sunt încă în starea lor inițială. În mediile
corporative care solicită taxe civile sau interne, astfel de pași sunt, în general, trecuți cu vederea
din cauza timpului necesar pentru efectuarea acestora.
Date active: Fișierele și folderele care se află în unitățile de stocare a sistemului IT, care sunt
accesibile și vizibile pentru utilizatori într-o manieră imediată și directă cu ajutorul instrumentelor
sistemului de operare.
AdBrite: este o rețea de publicitate online, cu sediul în San Francisco, California, care a fost fondată
de Philip J. Kaplan și Gidon Wise, în anul 2002. Fondat inițial ca Marketbanker.com, site-ul a fost
relansat ca AdBrite în 2004 și servește acum reclame pe sute de mii de site-uri, conform statisticilor
publicate ale acestuia.
107
Sursă: Definiții și extrase proprii de pe Wikipedia.org

AdCenter: Microsoft adCenter (fostă MSN adCenter), este divizia Rețelei Microsoft (MSN)
responsabilă pentru serviciile de publicitate ale MSN. Microsoft adCenter oferă reclame pay per click
(plată pe clic). Acesta este un serviciu adresat persoanelor care doresc să facă publicitate unui
produs. De asemenea, Microsoft are un serviciu (încă în versiune beta) pentru administratorii de site
care doresc să genereze bani pe site-ul lor: Microsoft pubCenter.
AfriNIC (Centrul de informare al rețelei africane): este registrul regional de internet (RRI)
pentru Africa.
Amazon S3 (Serviciul Simplu de Stocare): este un serviciu web de stocare online oferit de
Amazon Web Services. Amazon S3 oferă stocare prin interfețe de servicii web (REST, SOAP și
BitTorrent). Amazon a lansat S3, primul său serviciu web disponibil public, în Statele Unite în martie
2006 și în Europa în noiembrie 2007.
IPA: O interfață de programare a aplicației este o specificație destinată a fi utilizată ca o

interfață de componentele software, pentru a comunica între ele. O IPA poate include specificații
pentru routine, structuri de date, clase de obiecte și variabile. O specificație IPA poate lua mai multe
forme, inclusiv un standard internațional, cum ar fi POSIX sau documentația furnizorului, cum ar fi
IPA Windows a Microsoft, sau bibliotecile unui limbaj de programare, de ex. Biblioteca de formate
standard (Standard Template Library) în C++ sau IPA Java.
APNIC (Centrul de informare al rețelei din Asia Pacific): este registrul regional de internet
pentru regiunea Asia-Pacific. APNIC oferă servicii de alocare și înregistrare a resurselor de numere,
care susțin funcționarea globală a internetului. Este o organizație nonprofit, pe bază de membri, ai
cărei membri includ Furnizori de servicii de internet, Registre naționale de internet și organizații
similare.
ARIN (Registrul american pentru numere de internet): este Registrul regional de internet
(RRI) pentru Canada, multe insule din Caraibe și Atlanticul de Nord și Statele Unite. ARIN
gestionează distribuția resurselor de numere de internet, inclusiv spațiul de adrese IPv4 și IPv6 și
numerele AS.
Asistent (PDA): Aceștia sunt disponibili în multe forme și dimensiuni și au, de obicei, capacitatea
de stocare încorporată sub formă de hard discuri sau de memorie flash. Aceștia au devenit foarte
populari în ultimii ani și pot fi surse utile de probe electronice, deoarece își administrează propriile
sisteme de operare și sunt adesea conectați la internet prin rețelele WLAN, 3G sau LTE.
ATM: Un bancomat (ATM), este un dispozitiv de telecomunicații computerizat care oferă clienților
unei instituții financiare cu acces la tranzacții financiare într-un spațiu public, fără necesitatea unui
casier, funcționar uman sau casier bancar (din Wikipedia)
Sistem autonom: este o colecție de prefixe conectate ale Protocolului Internet (IP) de rutare aflată
sub controlul unuia sau mai multor operatori de rețea care prezintă o politică de rutare comună și
clar definită către internet.

Azure: Platforma Azure a Microsoft Windows este o platformă de informatică dematerializată
(cloud computing) a Microsoft utilizată pentru a construi, găzdui și scala aplicații web prin centrele
de date Microsoft. Azure este clasificată ca platformă ca un serviciu și face parte din strategia de
cloud computing a Microsoft, împreună cu software-ul său, ca serviciu oferind, Serviciile Online
Microsoft. Platforma constă din diverse servicii la cerere găzduite în centrele de date Microsoft și
comercializate prin intermediul a trei mărci de produse. Acestea sunt Windows Azure (un sistem de
operare care oferă facilități de calcul și stocare scalabile), SQL Azure (o versiune bazată pe cloud,
scale-out a SQL Server) și Windows Azure AppFabric (o colecție de servicii care acceptă aplicații
atât în cloud cât și la bază). Microsoft a anunțat Ingress gratuit pentru toți clienții Azure începând
cu 1 iulie 2011.
Copie de rezervă: O copie a tuturor informațiilor deținute pe un calculator, în cazul în care ceva nu
funcționează la varianta originală.
Scanere biometrice: un dispozitiv conectat la un sistem informatic care recunoaște caracteristicile

fizice ale unei persoane (de ex., amprentă digitală, voce, retină).
BIOS: Sistem de bază de intrare-ieșire. Ansamblul de operații de rutină stocate în memoria numai
pentru citire, care permit unui calculator să pornească sistemul de operare și să comunice cu
diferitele dispozitive din sistem, cum ar fi unități de disc, tastatură, monitor, imprimantă și porturi
de comunicare.
Bit: Un bit (prescurtare de la binary digit - „cifră binară”) este capacitatea de bază a informației în
informatică și telecomunicații; un bit reprezintă exclusiv fie 1, fie 0 (unu sau zero). Reprezentarea
poate fi implementată, într-o varietate de sisteme, cu ajutorul unui dispozitiv cu două stări. În
informatică, un bit poate fi definit și ca o cantitate variabilă sau calculată care poate avea doar două
valori posibile. Aceste două valori sunt adesea interpretate ca cifre binare și sunt de obicei notate
cu cifrele numerice 0 și 1. Cele două valori pot fi de asemenea interpretate ca valori logice
(adevărat/fals, da/nu), semne algebrice (+/−), stări de activare (pornit/oprit) sau orice alt atribut
cu două valori. Corespondența dintre aceste valori și stările fizice ale stocării sau dispozitivului de
bază este o problemă de convenție și pot fi utilizate diferite atribuții chiar și în cadrul aceluiași
dispozitiv sau program. Lungimea unui număr binar poate fi denumită „"lungimea bitului.”
Bluetooth: O specificație a industriei telecomunicațiilor, care descrie modul în care telefoanele

mobile, calculatoarele și PDA-le se pot interconecta ușor unele cu altele și cu telefoanele și
calculatoarele de acasă și de afaceri, utilizând o conexiune wireless cu rază mică de acțiune.
Bluetooth necesită ca în fiecare dispozitiv să fie inclus un cip de emisie-recepție de costuri reduse.
Disc Blu-ray (BD): este un mediu de stocare pe disc optic conceput să înlocuiască formatul DVD.
Discul de plastic are diametrul de 120 mm și grosimea de 1,2 mm, aceeași dimensiune ca DVD-le și
CD-le. Discurile Blu-ray conțin 25 GB pe strat, cu discuri în două straturi (50 GB) fiind norma pentru
discurile video de lung metraj. Pentru unitățile de rescriere BD-XL sunt disponibile discuri cu strat
triplu (100 GB) și strat cvadruplu (128 GB).

Captura datelor: Captura datelor înseamnă copierea datelor dintr-un sistem informatic sau
suporturi electronice și stocarea acestora pe un suport de stocare extern, înainte de a verifica
integritatea datelor, atunci când este posibil (de ex., nu este posibil pentru captura RAM). Captura
datelor poate fi posibilă și pentru datele de rețea. În acest context, mașina din rețea este utilizată
pentru a capta pachetele din rețea și pentru a stoca informațiile acestora într-un fișier (de ex., în
format PCAP).
CentralOps: CentralOps este un site web care oferă posibilități de căutare investigativă, cum ar fi
un dosar de domenii, dosar de e-mail, căutări whois etc. Aceste servicii pot oferi informații referitoare
la adrese IP, domenii și adrese de e-mail. Site-ul web este condus de Hexillion este o companie
privată cu sediul în SUA. Adresa acesteia este: http://centralops.net
Jurnale de chat: este o arhivă de transcrieri din discuții online și conversații de mesagerie
instantanee. Multe aplicații de discuții sau MI permit arhivarea conversațiilor online de către client,
în timp ce un subset de clienți de discuții sau MI (adică Google Talk și Yahoo! Messenger 11 Beta)
permite salvarea arhivelor de discuții pe un server pentru recuperări viitoare. A doua tendință a fost
adoptată de furnizorii aplicațiilor datorită costurilor tot mai mici ale spațiului unității de hard de pe
serverul web.
Notarea CIDR: este o specificație compactă a unei adrese a Protocolului Internet și a prefixului de
rutare asociat acesteia. Rutarea interdomenii fără clasă (CIDR) este o alocare a adreselor
Protocolului Internet (IP) și a metodologie de agregare a rutelor[1] utilizată în arhitectura de
adresare Internet care a înlocuit organizarea rețelei clasice Ipv4 a spațiului de adrese IP. Aceasta
este utilizată și pentru realizarea de rețele IPv6, următoarea generație a arhitecturii de adresare IP.
Plăci de circuite: O placă subțire cu cipuri, dispozitive și alte componente electronice instalate pe
placă (denumită și placa de circuit imprimat).
Televiziune cu circuit închis (CCTV): Acestea sunt utilizate de companii, guverne și persoane
fizice pentru securitate și pot oferi probe că anumite activități au avut sau nu au avut loc.
Cloud: Informatica dematerializată este un model care permite accesul de rețea omniprezent,
convenabil, la cerere, la un grup comun de resurse informatice configurabile (de ex., rețele, servere,
stocare, aplicații și servicii), care poate fi furnizate rapid și eliberate cu un efort minim de gestionare
sau interacțiune cu furnizorul de servicii. […]
CMOS: Semiconductor de metal-oxid complementar. Tehnologia semiconductoare utilizată în

tranzistoarele care sunt fabricate în majoritatea microcipurilor pentru calculatoare din prezent.
Aceasta deține, în mod obișnuit, preferințele BIOS ale calculatorului prin oprire, cu ajutorul unei
baterii (adaptată de la).
Discul compact (CD): Disc optic cu diametrul de 12cm utilizat pentru stocarea de informații binare.
Capacitatea formatată a acesteia este cuprinsă între 640-700 Mb și a fost utilizată, în principal,
pentru stocare audio. În cazul utilizării pentru stocarea de date generice, acesta se numește CD-
ROM.

Memoria calculatorului: Memoria este locul de păstrare electronică a instrucțiunilor și datelor pe
care microprocesorul unui calculator le poate accesa rapid. RAM este localizat pe unul sau mai multe
microcipuri instalate într-un calculator.
Rețele de calculatoare: constă din conexiuni între două sau mai multe calculatoare, care sunt
conectate prin cabluri de date sau prin conectivitate wireless (fără fir). Aceste calculatoare sunt
capabile să partajeze date și alte resurse între ele. Adesea, acestea sunt dotate și cu alte componente
hardware, care să permită sfera activităților impuse rețelei.
Cookie: Cookie-urile sunt fișiere mici pe care serverul de internet le descarcă pe hard discul
calculatorului utilizatorului. Aceste fișiere conțin informații specifice care identifică utilizatorul (de
exemplu, prin intermediul parolelor și a listelor de site-uri web vizitate).
UCP: Unitatea centrală de procesare. Unitatea de calcul și de control a unui calculator. Situată în
interiorul unui calculator, aceasta este „creierul” care îndeplinește toate funcțiile aritmetice, logice
și de control ale unui calculator.
Cracker (spărgător de parole): Un cracker este o persoană care intră într-un sistem fără
autorizație, cu intenția de a provoca o formă de prejudicii sau de a obține câștiguri.
Criminalitate informatică: se referă la orice infracțiune care implică un calculator și o rețea. Este
posibil ca respectivul calculator să fi fost utilizat în săvârșirea unei infracțiuni sau acesta poate fi
ținta.
Cybersquatter: Un Cybersquatter este o persoană care își rezervă sau cumpără nume de domenii,
cu intenția de a le vinde companiilor interesate în viitor.
DAT (bandă digitală audio): Banda audio digitală utilizată pentru stocarea de materiale pe sisteme
de rezervă (back-up).
Dispozitive de stocare de date: Un dispozitiv de stocare a datelor este un dispozitiv pentru

înregistrarea (stocarea) informațiilor (datelor). Înregistrarea se poate face utilizând aproape orice
formă de energie, de la puterea musculară manuală, în cazul scrierii de mână, la vibrațiile acustice,
în cazul înregistrării fonografice, la energia electromagnetică ce modulează banda magnetică și
discurile optice.
BAZĂ DE DATE: Colecție structurată de date care poate fi accesată în mai multe moduri. Programele
comune de baze de date sunt: Dbase, Paradox, Access. Utilizări: diverse, inclusiv - link-uri de adresă,
informații de facturare etc.
Criminalistica unităților nefuncționale: Criminalistica unităților nefuncționale este o parte a

investigării criminalistice a calculatoarelor, care este o ramură a criminalisticii digitale referitoare la
probele juridice descoperite în calculatoare. Investigarea criminalistică a calculatoarelor se ocupă cu
examinarea sistemelor informatice într-o manieră solidă din punct de vedere criminalistic, cu scopul
de a identifica, păstra, recupera, analiza și prezenta fapte care ar putea deveni probe în cadrul unui

proces. Criminalistica unităților nefuncționale urmează acest obiectiv, dar se axează numai pe
suporturile de stocare din sistemele informatice care sunt dezactivate.
Date șterse: Fișierele și folderele care existau anterior în calculator ca date active, dar care au fost
șterse de atunci de sistemul de operare sau de către utilizatorul final. Datele șterse vor rămâne în
unitatea de stocare până când sunt suprascrise de un alt fișier.
Dispozitive de birou (desktop-uri): Termenul a fost adoptat ca un adjectiv pentru a face distincția
între dispozitivele de birou (cum ar fi fotocopiatoare și imprimante), care pot fi montate pe un birou
și echipamentele mai mari, care acoperă propria suprafață pe podea. Dispozitivul de birou se poate
referi, de asemenea, și la calculatorul de birou, un calculator personal conceput pentru a încăpea pe
un birou.
Criminalistică digitală: Criminalistica digitală este o ramură a științei criminalistice referitoare la

achiziția, prelucrarea, analiza și raportarea probelor, care sunt stocate pe sisteme informatice,
dispozitive digitale și alte suporturi de stocare, în scopul admisibilității acestora în instanță.
Suport digital: este o formă de suport electronic pe care datele sunt stocate în formă digitală (spre
deosebire de cea analogică). Acesta se poate referi la aspectul tehnic al stocării și transmiterii (de
ex. unități de hard disc sau rețea de calculatoare) informațiilor sau la „produsul final”, cum ar fi
video-ul digital, realitatea augmentată sau arta digitală.
Fotografie digitală: Fotografia digitală este o formă de fotografie care utilizează o serie de senzori
sensibili la lumină pentru a captura imaginea focalizată de obiectiv, (din Wikipedia)
Disc Video Digital (DVD): Disc Digital Versatil (video). În prezent, succesorul natural al CD-ului
pentru reproducerea sunetului și imaginii de calitate.
VIDEO DIGITAL: Video capturat, manipulat și stocat într-un format digital.
Digitalizare: Stocarea informațiilor electronice ca un lanț de „unu” și „zero”. Datorită faptului că

pot fi reprezentate cu ușurință la fel de multe cifre de „zero” ca și „unu” de 2 niveluri voltaice în
media electronică, sistemul de numerotare binară este utilizat pe scară largă în lumea IT digitală.
Dischete brevetate: Aplicațiile IT dezvoltate, în mod expres, pentru a ține pasul cu funcționalitățile
și funcționarea companiei care le utilizează și care, în general, nu sunt disponibile pentru
achiziționare pe piața deschisă.
Discheta: Formă a suportului de stocare, care devine mai puțin utilizată, care constă dintr-o bucată
circulară de material magnetic într-o cutie/carcasă din plastic.
DNS: Sistemul de nume de domeniu (DNS). Transformă numele unui domeniu, de exemplu
www.cybex.es, în adresa IP unde se află localizat serverul pe care îl căutați.
Stații de andocare: Dispozitiv la care poate fi atașat un calculator portabil (de ex., calculator
portabil, calculator portabil mic) pentru a fi utilizat ca un calculator de birou, având de obicei un

conector pentru dispozitive conectate extern, cum ar fi unități de hard disc, scanere, tastaturi,
monitoare și imprimante.
Numele de domeniu: Sistemul de nume de domeniu (DNS) este un sistem de denumire ierarhic
distribuit pentru calculatoare, servicii sau orice resursă conectată la internet sau o rețea privată.
Acesta asociază diverse informații cu nume de domeniu alocate fiecăreia dintre entitățile
participante. Un Serviciu de nume de domeniu rezolvă interogări pentru nume de domeniu (care
sunt mai ușor de înțeles și de utilizat la accesarea internetului) în adrese IP în scopul localizării
serviciilor și dispozitivelor informatice în întreaga lume. O analogie des utilizată pentru a explica
sistemul de nume de domeniu este că servește ca agendă telefonică pentru internet, prin traducerea
numelor de gazdă pentru calculator prietenoase cu oamenii, în adrese IP. De exemplu, numele de
domeniu www.example.com se traduce în adresele 192.0.43.10 (IPv4) și 2620:0:2d0:200::10
(IPv6).
DomainTools: DomainTools, LLC oferă înregistrări de proprietate al directorului de nume de

domenii Whois care servește ca o imagine completă a evidențelor de înregistrări și proprietăți de
nume de domeniu anterioare și prezente, care acoperă mai mult de un deceniu de istoric al
internetului. Pe lângă datele Whois, DomainTools oferă un set de instrumente de cercetare, care
ajută persoanele fizice și organizațiile să descopere și să monitorizeze totul despre un nume de
domeniu. DomainTools este cunoscut, de asemenea, pentru că oferă tehnologie avansată semantică
de sugestie de nume, tehnologie patentată Reverse IP și încorporare a milioane de capturi de ecran
într-o vizualizare combinată a istoricului capturilor de ecran, privind modul în care arată un site web
în prezent și cum arăta în trecut.
Modem USB: este o componentă hardware de mici dimensiuni, care se conectează într-un conector
electric al unui calculator și servește drept „cheie” electronică pentru un program software;
programul va rula numai atunci când modemul USB este conectat. Termenul „de „modem USB” a
fost utilizat inițial pentru a se referi numai la modemurile USB de protecție a software-ului; cu toate
acestea, în prezent „modem USB” este adesea utilizat pentru a face referire la orice piesă mică de
hardware care se conectează la un calculator. Acest articol este limitat ca sferă de aplicabilitate la
modemurile USB utilizate în scopul protejării copiilor sau autentificării software-ului care urmează a
fi utilizat pe sistemul respectiv.
Duplicatoare de unități: Un dispozitiv pentru copierea rapidă (duplicarea) a diferitelor suporturi

de stocare, de ex., hard discuri sau CD-uri.
DropBox: este un serviciu de găzduire de fișiere operate de Dropbox, Inc., care oferă stocare în
cloud, sincronizare a fișierelor și software client.
Protocolul de configurare dinamică a gazdei (DHCP): este un protocol utilizat pentru atribuirea
automată a unui grup de adrese IP unui grup de dispozitive.
Probe electronice: Probele electronice sunt informații generate, stocate sau transmise utilizând
dispozitive electronice, care pot fi invocate în instanță. Pentru a garanta că probele sunt acceptate

în instanță, este necesar să se obțină informațiile urmând procese foarte bine definite, utilizând
personal specializat și operând într-un cadru juridic adecvat.
Virus prin e-mail: Virușii nu pot călători în mesajele de e-mail, deoarece utilizează un format de 7
biți pentru a transfera textul. Singurul mod prin care pot călători este prin fișiere binare, care sunt
trimise ca atașamente, cu mesajul text. Se recomandă să verificați aceste fișiere cu un antivirus
înainte de a le deschide.
Email: Schimbul de mesaje stocate de calculator prin telecomunicații
Criptare: Metoda de bruiere și codificare a datelor. Utilizată pentru a converti textul simplu în text
cifrat (prin folosirea unui parametru matematic numit cheie criptografică) pentru a împiedica pe
oricine, în afară de destinatarul intenționat, să citească aceste date.
Date de mediu: Se referă, în ansamblu, la datele care nu sunt active pe sistemul IT. Datele de
mediu includ: Date găsite în zone neutilizate sau nealocate, Date găsite în spațiul de fișier „Liber” și
Date de fișiere care au fost șterse, care nu sunt vizibile prin utilizarea instrumentelor sistemului de
operare.
Jurnale de evenimente: Jurnalele de evenimente sunt fișierele de înregistrare salvate de sistemele

de operare Windows De obicei, există mai multe Jurnale de evenimente, care verifică o varietate de
evenimente de la diferite servicii Windows. Crearea anumitor Jurnalele de evenimente este activată
implicit, dar poate fi dezactivată de utilizator. Locația implicită de stocare pentru mașinile Windows
XP este: C:\Windows\system32\config\*.evt, pentru Windows Vista/7 mașini este:
C:\Windows\system32\Winevt\*.evtx
Metadate EXIF: Formatul Interschimbabil pentru Fișiere Imagine (Exif) este un standard care
specifică formatele pentru imagini, sunet și etichete auxiliare, utilizate de aparatele de fotografiat
digitale (inclusiv telefoanele inteligente), scanere și alte sisteme care gestionează fișiere de imagine
și sunet înregistrate de aparate de fotografiat digitale. În mod obișnuit, există multe informații care
pot fi descoperite în metadatele EXIF, de ex. ora, data și locul, când și unde a fost realizată o
fotografie și ce model de aparat de fotografiat cu care a fost utilizată configurația.
EXT4: sau al patrulea sistem de fișiere extins este un sistem de fișiere de jurnalizare pentru
Linux, dezvoltat ca succesor al EXT3.
Unități de hard disc externe: Unitățile de hard disc externe sunt un tip de suport de stocare
extern. Unitățile de hard disc externe moderne constă dintr-o carcasă, ce oferă conectivitate prin
intermediul USB, Firewire, eSATA și/sau Thunderbolt și un hard disc obișnuit de 2,5 ”sau 3,5” sau
SSD, care se află în interiorul carcasei. În mod obișnuit, unitățile de hard disc externe pot stoca o
cantitate mai mare de date în comparație cu unitățile de memorie USB sau cardurile SD.
Pungi izolatoare Faraday: O unitate adimensională a cantității de încărcare electrică, egală cu

aproximativ 6,02 x 10 purtători de sarcină electrică. Aceasta este echivalentă cu un mol, cunoscut

și sub denumirea de constanta lui Avogadro. Pungile de izolare Faraday sunt utilizate pentru a
împiedica conectarea telefoanelor și a dispozitivelor mobile la semnale de comunicare
FAT (Tabel de alocare fișiere): este numele unei arhitecturi informatice de sisteme de fișiere și a
unei familii de sisteme de fișiere standard din industrie care o utilizează. Sistemul de fișiere FAT este
relativ simplu, dar robust. Acesta oferă performanțe rezonabil de bune chiar și în cazul
implementărilor ușoare și, prin urmare, este adoptat și susținut pe scară largă de practic toate
sistemele de operare existente pentru calculatoarele personale. Aceasta îl face un format adecvat
pentru schimbul de date între calculatoare și dispozitive de aproape orice tip și vârstă, de la începutul
anilor 1980, până în prezent.
Extensie de fișier: Eticheta fișierului, de obicei, cu o lungime de 3 caractere, precedată de un punct

zecimal, care identifică formatul fișierului de date sau al aplicației utilizate pentru modificarea
acestuia.
FireBug: se integrează cu Firefox pentru a pune la dispoziție o mulțime de instrumente de dezvoltare

în timpul navigării. Acesta permite utilizatorului să editeze, să corecteze și să monitorizeze CSS,
HTML și JavaScript live, în orice pagină web.
FireWire: O magistrală serială de mare viteză, care permite conectarea a până la 63 de dispozitive.
Widelz utilizat pentru descărcarea videoclipurilor de pe camerele video digitale pe calculator.
Carduri flash: sunt dispozitive pentru stocarea informațiilor digitale. Acestea sunt adesea utilizate
în multe dispozitive electronice, precum aparate de fotografiat digitale, telefoane mobile,
calculatoare portabile, playere audio și console de jocuri. Acestea au capacitatea de a reține datele
fără alimentare și sunt disponibile într-o varietate de capacități, ceea ce înseamnă că pot stoca
volume uriașe de date, care pot fi ușor se ascuns vederii.
DVD-uri criminalistice de pornire: DVD-le criminalistice sunt DVD-uri care sunt bootabile și conțin
un sistem de operare care conține un software pentru a efectua activități de criminalistică digitală.
Pe lângă faptul că oferă doar instrumentele criminalistice, aceste DVD-uri de pornire iau măsuri
pentru a preveni operațiunile de scriere neintenționate, pe oricare dintre suporturile de stocare
atașate.
FQDN (Nume de domeniu complet calificat): uneori denumit și nume de domeniu absolut, este
un nume de domeniu care specifică locația sa exactă în ierarhia arbore a Sistemului de nume de
domeniu (DNS). Acesta specifică toate nivelurile de domeniu, inclusiv domeniul de nivel superior și
zona rădăcină. Un nume de domeniu complet calificat se remarcă prin lipsa de ambiguitate; acesta
poate fi interpretat doar într-un singur fel.
Date fragmentate: Datele fragmentate sunt date active, care au fost împărțite și stocate în diferite
locații fizice de pe hard disc.
FTK Imager: FTK Imager este un software polivalent al Access Data Inc. Acesta este gratuit și este
capabil să genereze imagini, să verifice, să convertească și să introducă informații pe hard discuri și

fișiere de imagine. FTK Imager poate fi descărcat de pe următorul site web:
http://accessdata.com/support/adownloads
FTP (Protocol de transfer de fișiere): Protocol de internet care permite transferul fișierelor /
datelor între calculatoare conectate prin internet.
Google AdSense: este un program executat de Google Inc., care permite editorilor din Rețeaua
Google a site-urilor de conținut să servească automat text, imagine, video și reclame media
îmbunătățite, care vizează conținutul și audiența site-ului. Aceste reclame sunt administrate, sortate
și întreținute de Google și pot genera venituri fie pe clic, fie pe afișare.
GPS: GPS-ul (Sistem de poziționare globală) este o „constelație” de 24 de sateliți bine distanțați,
care orbitează Pământul și fac posibil ca persoanele care dețin receptoare la sol, să își identifice
locația geografică. Precizia locației este oriunde de la 100m la 10m pentru majoritatea
echipamentelor. Dispozitivele GPS pot furniza informații cu privire la călătoriile anterioare cu ajutorul
informațiilor referitoare la destinație, puncte de parcurs și rute.
Spărgător de coduri (hacker): Persoană care are cunoștințe minuțioase despre funcționalitatea
calculatoarelor și rețelelor, care le permite să profite de erorile și deficiențele existente în securitatea
sistemelor menționate.
Hard disc: Disc metalic acoperit cu un strat feromagnetic de inscripționare. Realizând o analogie cu
un disc de vinil, laturile plane ale discului sunt stratul de ardere, brațul plăcii turnante este brațul
laser, iar acul de pe brațul cu placă turnantă este fasciculul laser care citește / scrie informațiile. Un
utilizator poate scrie, șterge sau re-scrie pe discurile magnetice ca în cazul benzii audio.
Unități de hard disc: Unitățile de hard disc sunt dispozitivele majore de stocare din sistemele
informatice. Acestea constă dintr-o placă de circuit, date și conexiuni de alimentare, împreună cu
platane interne de ceramică, metal sau sticlă încărcate magnetic, care stochează datele. Nu este
neobișnuit să se descopere hard discuri care nu sunt conectate la un sistem informatic sau instalate
în acesta.
Hardware: Componentele fizice care alcătuiesc un sistem informatic, cum ar fi tastatura, monitorul
și mouse-ul.
Farsă: Termen utilizat pentru a defini zvonuri false, în special despre virușii inexistenți răspândiți în
rețea. Uneori acestea sunt reușite și provoacă la fel de multe prejudicii ca un virus real.
Furnizori de servicii de găzduire: Un serviciu de găzduire pe internet este un serviciu care

rulează servere de internet, permițând organizațiilor și persoanelor fizice să servească conținut pe
internet. Există diferite niveluri de servicii și diverse tipuri de servicii oferite. Un tip comun de
găzduire este găzduirea web (web hosting). Majoritatea furnizorilor de hosting oferă o varietate de
servicii combinate. Serviciile de găzduire web oferă, de asemenea, și serviciu de găzduire prin e-
mail, de exemplu. Serviciul de găzduire DNS este, de obicei, inclus în înregistrarea numelor de
domeniu.

Cod HTML (Limbaj de marcare hipertext): Limbaj utilizat pentru scrierea documentelor pentru
serverele web. HTML este o aplicație din standardul ISO 8879:1986.
HTTP (Protocol de transfer de hipertext): HTTP este un protocol cu agilitatea și viteza necesare
pentru a distribui și trata sistemele de informații multimedia pe internet. O caracteristică a HTTP
este independența în vizualizarea și reprezentarea datelor, permițând construirea sistemelor
independent de dezvoltarea de noi progrese în ceea ce privește reprezentarea datelor.
HTTP-uri: Protocol HTTP securizat. Cele 2 caracteristici principale sunt codificarea și autentificarea.
Prin intermediul codificării, se ascunde conținutul comunicării serverului către terț. Autentificarea
permite utilizatorilor să știe că serverul este de bună credință cu utilizarea semnăturilor certificate
prin Certificarea Autorității.
Copie criminalistică: O copie exactă (bit cu bit) a unității de stocare a unui sistem IT utilizat într-
o investigație criminalistică.
Distribuitoarele de rețea (hub-uri): Un loc de convergență într-o rețea, în care datele sosesc
dintr-una sau mai multe direcții și sunt transmise într-una sau mai multe alte direcții. De obicei,
funcționează ca un releu multiport prin generarea unui număr de ieșiri identice, dintr-o singură
intrare (ieșiri = intrări). Un distribuitor de rețea poate include un comutator de un anumit fel (adaptat
de la).
Memorie I ROM: ROM înseamnă memorie care poate fi doar citită. Memoria semiconductorului,
care nu poate fi suprascrisă și menține informațiile stocate intacte, inclusiv în cazul pierderii
alimentării cu energie. ROM-ul este utilizat pentru stocarea configurației sistemului sau a
programului de la pornirea calculatorului.
ICQ: este un program de calculator pentru mesagerie instantanee, care a fost dezvoltat și
popularizat pentru prima dată de către compania israeliană Mirabilis, apoi cumpărat de America
Online, și din aprilie 2010, deținut de Mail.ru Group. Numele ICQ este un omofon pentru expresia
„te caut” (în limba engleză, „I seek you”, adică „ICQ”). Aceasta este o adaptare a apelului de cod
Morse „CQ”, care înseamnă „apelarea oricărei stații”.
IMAP: Protocol de acces la mesajele internet. Un serviciu de internet bazat pe un protocol

standardizat pentru recuperarea și/sau accesarea mesajelor de e-mail de pe serverul de mail (adică,
server IMAP).
Infraroșu: Tehnologia wireless infraroșu este utilizată pentru comunicații și control pe distanțe
scurte și medii, într-o varietate de aplicații (de ex., rețele locale fără fir, legături între calculatoare
portabile mici și calculatoare de birou, modemuri fără fir, detectoare de intruziune). Infraroșul se
referă la energia din regiunea spectrului de radiații electromagnetice la lungimi de undă mai lungi
decât cele ale luminii vizibile, dar mai scurte decât cele ale undelor radio.
Instrument de preaderare: Instrumentul pentru asistență de preaderare (IPA) este instrumentul

financiar pentru procesul de preaderare la Uniunea Europeană (UE) pentru perioada 2007-2013.

Asistența este oferită pe baza Parteneriatelor europene ale potențialilor candidați și a Parteneriatelor
de aderare ale țărilor candidate, ceea ce înseamnă țările din Balcanii de Vest, Turcia și Islanda. IPA
este conceput ca un instrument flexibil și, prin urmare, oferă asistență care depinde de progresele
înregistrate de țările beneficiare și de necesitățile acestora, așa cum se arată în evaluările și
documentele de strategie ale Comisiei.
Interfața „Gnome”: Este interfața de utilizator principală a mediului desktop GNOME utilizată de
o varietate de distribuții Linux diferite. Aceasta oferă funcționalități de bază, precum trecerea între
ferestre și lansarea aplicațiilor. Aceasta înlocuiește Panoul GNOME și alte componente software ale
GNOME 2, pentru a oferi o experiență de utilizator, care se desprinde de modelul anterior de
metaforă desktop, utilizată în versiunile anterioare ale GNOME.
Acces la internet: este mijlocul prin care terminalele, calculatoarele, dispozitivele mobile, și rețelele
locale individuale sunt conectate la internetul global. Accesul la internet este, de obicei, vândut de
furnizorii de servicii de internet (FSI) care utilizează multe tehnologii diferite, oferind utilizatorului
final o gamă largă de rate de date.
Autoritatea de Atribuire a Numerelor pe Internet (AANI): este entitatea care supraveghează

alocarea globală a adreselor IP, alocarea numerelor sistemului autonom, gestionarea zonei rădăcină
în Sistemul de nume de domeniu (DNS), tipurile de medii și alte simboluri și numere aferente
Protocolului Internet. AANI este un departament operat de Corporația Internet pentru Nume și
Numere Alocate, cunoscut și sub denumirea de CINNA.
Istoricul navigării pe Internet: Software-ul care este conceput pentru a naviga site-uri web
precum Apple Safari, Google Chrome, Microsoft Internet Explorer, Mozilla Firefox etc, salvează
adesea istoricul site-urilor web care au fost vizitate de către utilizatorii unui sistem informatic. Scopul
principal al acestor fișiere de jurnalizare sau baze de date de istoric este de a permite utilizatorului
să aleagă cu ușurință site-uri web care au fost vizitate recent sau foarte des. Pentru examinatorii
criminaliști, istoricul navigării pe internet salvat de browsere poate fi o sursă valoroasă pentru
găsirea de probe.
Furnizor de servicii de internet (FSI): este o organizație care oferă acces la internet. Furnizorii
de servicii de internet pot fi fie proprietate comunitară și non-profit, fie proprietate privată și pentru
profit.
Internet: Rețea globală de date bazată pe protocolul TCP/IP, care sunt utilizate pentru
interconectarea calculatoarelor și, ca atare, transportul diverselor servicii, cele mai populare fiind
serviciile de e-mail, web și FTP.
Adresă IP: Lanț de 4 numere separate prin zecimale care sunt utilizate pentru a reprezenta și
identifica un calculator pe internet. FSI-le alocă IP-uri automat atunci când ne conectăm la internet.
FSI (Furnizor de servicii de internet): Organizație care oferă conexiune la internet pentru
calculatoarele care sunt linii sau comutatoare dedicate. O entitate care face profit, care, pe lângă

faptul că oferă acces la internet pentru persoane fizice și/sau juridice, poate oferi servicii precum
găzduire web, consultanță web-design, integrare de site-uri web și intraneturi etc.
Sistem IT: Un sistem informațional (SI) - sau peisajul aplicațiilor - este orice combinație de
tehnologia informației și activități ale oamenilor, care sprijină operațiunile, managementul și luarea
deciziilor. Într-un sens foarte larg, termenul sistem informațional este frecvent utilizat pentru a face
referire la interacțiunea dintre oameni, procese, date și tehnologie. În acest sens, termenul este
utilizat pentru a se referi nu numai la tehnologia informației și comunicațiilor (TIC), pe care o
organizație o folosește, ci și la modul în care oamenii interacționează cu această tehnologie pentru
a sprijini procesele de afaceri.
JAVA: Java este un limbaj orientat către obiecte și dezvoltat de către Sun Microsystems. Acesta se
aseamănă cu C, C ++ și Objective C. Bazându-se pe alte limbaje orientate spre obiecte, Java
utilizează cele mai bune părți ale celorlalte și elimină punctele cele mai puțin eficiente. Obiectivul
principal al Java a fost de a crea un limbaj care să aibă capacitatea de a fi executat într-un mod
sigur pe internet (deși codul a fost scris în sens distructiv). Această caracteristică necesită eliminarea
multor utilizări și construcții C și C ++. Cel mai important este că nu există indicii. În Java, programul
nu poate accesa în mod arbitrar adrese de memorie.
LACNIC (Centrul de informare al rețelei din America Latină și Caraibe): este Registrul
regional de internet pentru regiunile din America Latină și Caraibe. LACNIC oferă servicii de alocare
și înregistrare a resurselor de numere, care susțin funcționarea globală a internetului. Acesta este o
organizație non-profit, bazată pe membri, ai cărei membri includ Furnizori de servicii de internet și
organizații similare.
LAN: Rețea locală. Un nume obișnuit pentru tehnologiile de stabilire de rețele, standardizat de IIEE
(Institutul de Inginerie Electrică și Electronică).
CONFIGURARE LAN Topologie LAN, precum Ethernet sau rețea de tip token ring, sau adrese MAC,
precum adresa Ethernet (MAC: Control acces mediu, o parte a nivelului legăturii de date din modelul
OSI cu șapte niveluri).
Linux: este un sistem de operare pentru calculator de tip Unix asamblat conform modelului de
dezvoltare și distribuție de software liber și cu sursă deschisă. Componenta definitorie a Linux este
nucleul Linux („kernel”), un nucleu de sistem de operare lansat pentru prima dată la 5 octombrie
1991 de către Linus Torvalds.
Sistem informatic Live: Un sistem informatic Live este un sistem informatic care este pornit.
Criminalistica datelor Live: Criminalistica datelor Live este o parte a investigării criminalistice a
calculatoarelor, care este o ramură a criminalisticii digitale referitoare la probele juridice descoperite
în calculatoare. Investigarea criminalistică a calculatoarelor se ocupă cu examinarea sistemelor
informatice într-o manieră solidă din punct de vedere criminalistic, cu scopul de a identifica, păstra,
recupera, analiza și prezenta fapte care ar putea deveni probe în cadrul unui proces. Criminalistica
datelor Live urmează acest obiectiv, dar se axează numai pe sistemele informatice care sunt

activate. Scopul principal este achiziția de date volatile care, în caz contrar, s-ar pierde, dacă
sistemul informatic ar fi dezactivat sau ar fi suprascrise, dacă sistemul informatic ar rămâne pornit
o perioadă mai lungă de timp.
Jurnal Registrul evenimentelor determinate generate de sistemul sau aplicație de operare, cu privire
la o anumită perioadă de timp. Jurnalele pot fi utilizate de auditori externi pentru înregistrarea /
reconstrucția utilizării calculatorului sau a aplicației.
Rețele LTE: LTE Advanced este un standard de comunicații mobile, prezentat oficial ca sistem 4G
candidat, către ITU-T, la sfârșitul anului 2009, a fost aprobat în UIT, Uniunea Internațională a
Telecomunicațiilor, IMT-Advanced și a fost finalizat de 3GPP în martie 2011. Acesta este standardizat
prin Proiectul de parteneriat pentru generația a treia (3GPP), ca o îmbunătățire majoră a
standardului de Evoluție pe termen lung (ETL).
Adresa MAC (Control acces media): Cunoscut, de asemenea, și sub numele de adresă hardware
sau Ethernet. Un identificator unic specific cardului de rețea din interiorul unui calculator. Permite
serverului DHCP să confirme că computerului i se permite accesul în rețea. Adresele MAC sunt scrise
sub forma XX-XX-XX-XX-XX-XX, unde X-urile reprezintă cifre sau litere de la A la F.
macOS: reprezintă o serie de sisteme de operare cu interfață grafică cu utilizatorul, dezvoltată de

Apple Inc. (fostă Apple Computer, Inc.) pentru linia sa de sisteme de calculatoare Macintosh.
Experiența utilizatorului în ceea ce privește Macintosh este creditată cu popularizarea interfeței
grafice cu utilizatorul. Forma originală a ceea ce Apple va numi mai târziu „MacOS” a fost software-
ul de sistem integral și fără nume, introdus pentru prima dată în 1984 cu Macintosh original,
denumit, de obicei, simplu, software-ul Sistemului.
Macro virus: Prezentarea finală a virusului. Aceștia sunt transportați în fișierele aplicațiilor (Word,
Excel etc.) și nu în fișiere binare (așa cum sunt virușii tradiționali). Aceștia sunt executați la
deschiderea fișierului de date în care sunt conținuți.
Calculatoare mainframe: Termen utilizat în industrie pentru un calculator de dimensiuni mari,

fabricat, de obicei, de o companie mare, cum ar fi IBM, pentru aplicații comerciale și alte scopuri
informatice pe scară largă.
Coduri ostile: Software rău intenționat. Orice program al cărui obiectiv este de a provoca pagube
calculatoarelor, sistemelor sau rețelelor și, în consecință, utilizatorilor acestora.
Memorie cache: Un tip de memorie care stochează temporar informațiile care sunt utilizate
frecvent, pentru a permite accesul rapid la aceste date.
Carduri de memorie: sunt dispozitive pentru stocarea informațiilor digitale. Acestea sunt adesea
utilizate în multe dispozitive electronice, precum aparate de fotografiat digitale, telefoane mobile,
calculatoare portabile, playere audio și console de jocuri. Acestea au capacitatea de a reține datele
fără alimentare și sunt disponibile într-o varietate de capacități, ceea ce înseamnă că pot stoca
volume uriașe de date, care pot fi ușor de ascuns vederii.

Dispozitive de memorie: Un dispozitiv de memorie este orice dispozitiv care are capacitatea de a
stoca date, fie permanent, fie temporar.
Metadate: Metadatele sunt informații referitoare la o combinație de fișiere și / sau foldere, care pot
descrie, de exemplu, cum și când a fost creată, recepționată, accesată și modificată, și de către cine.
Aceste date sunt utilizate în Investigarea criminalistică a calculatoarelor pentru a reconstrui lanțul
de evenimente asociate fișierului analizat. În funcție de contextul în care este utilizat termenul,
acesta se poate referi la o informație sau la alta.
Microprocesoare: încorporează funcțiile unității centrale de procesare (UCP) a calculatorului pe un

singur circuit integrat (CI) sau cel mult câteva circuite integrate. Acesta este un dispozitiv
programabil, multifuncțional, care acceptă date digitale ca informații de intrare, le prelucrează
conform instrucțiunilor stocate în memoria sa și oferă rezultate ca ieșire. Este un exemplu de logică
digitală secvențială, deoarece are memorie internă. Microprocesoarele funcționează pe numere și
simboluri reprezentate în sistemul numeric binar.
COFEE: Extractor de probe criminalistice online de pe calculatoare (Computer Online

Forensic Evidence Extractor) este un set de instrumente dezvoltat de Microsoft, pentru a ajuta
anchetatorii specializați în investigarea criminalistică a calculatoarelor să extragă probe de pe un
calculator Windows. Instalat pe o unitate flash USB sau o altă unitate externă de hard disc, acesta
acționează ca un instrument criminalistic automatizat în timpul unei analize live. Microsoft oferă
dispozitive COFEE și suport tehnic online gratuit instituțiilor de aplicare a legii.
Microsoft PubCenter este aplicația de difuzare a anunțurilor publicitare a unui distribuitor,

dezvoltată de Microsoft, pe lângă Microsoft adCenter, care permite agenților de publicitate să plaseze
anunțuri pe motoarele de căutare, precum și să selecteze site-uri web sau aplicații MSN. Aflat, în
prezent, în versiunea sa beta.
Microsoft Windows este o serie de sisteme de operare cu interfață grafică dezvoltată,

comercializată și vândută de Microsoft.
Minicalculatoare: este un termen pentru o clasă de calculatoare mai mici, care a evoluat la mijlocul
anilor '60 și s-au vândut pentru mult mai puțin decât calculatoarele mainframe și de dimensiuni
mijlocii de la IBM și concurenții direcți ai acestuia.
Modem: MOdulator/DEModulator. Dispozitiv utilizat de calculatoare pentru a comunica prin

intermediul liniilor telefonice. De obicei este recunoscut prin conectarea la o linie telefonică, dar
există și modemuri de cablu bazate pe tehnologia DSL (de ex., modemuri cu cablu). Poate fi
combinat cu o funcționalitate fax pe un card de calculator personal (adaptată de la).
Sisteme modulare montate pe rack: Sistemele modulare instalate în rack sunt sisteme
informatice care sunt găzduite într-un rack și deseori sunt construite într-un mod modular, care
permite înlocuirea instantanee a fiecărui modul hardware, fără a avea impact negativ asupra
întregului sistem. De obicei, aceste rafturi pot găzdui mai multe sisteme informatice cu factor de
formă de 19”.

Mozilla Firefox este un browser web gratuit și cu sursă deschisă dezvoltat pentru Microsoft
Windows, MacOS, și Linux coordonat de Mozilla Corporation și Mozilla Foundation. Firefox utilizează
motorul de afișare Gecko pentru a reda pagini web, care implementează standardele web actuale și
anticipate.
Carduri de interfață de rețea: Oferă conexiune la rețea (fie cu cablu, fie fără fir). Poate fi sub
forma unei plăci de expansiune sau a unui card pentru calculatoare personale.
NTFS (sistem de fișiere de tehnologie nouă): este un sistem de fișiere proprietar dezvoltat de
Microsoft Corporation pentru linia sa de sisteme de operare Windows, începând cu Windows NT 3.1
și Windows 2000, inclusiv Windows XP, Windows Server 2003, și toți succesorii acestora până în
prezent.
Furnizor de servicii online: poate fi, de exemplu, un furnizor de servicii de internet, furnizor de
e-mail, furnizor de știri (presă), furnizor de divertisment (muzică, filme), căutare, site de
cumpărături electronice (magazine online), site de e-finance sau e-banking, site e-health, site e-
government, Wikipedia, Usenet. În definiția sa inițială, mai limitată, acesta s-a referit doar la un
serviciu comercial de comunicare computerizată, în cadrul căruia membrii plătiți puteau să apeleze
prin intermediul unui modem de calculator, rețeaua de calculatoare privată a serviciului și să
acceseze diverse servicii și resurse informaționale, cum ar fi buletine informative, fișiere și programe
care pot fi descărcate, articole de știri, camere de discuții și servicii de poștă electronică.
P2P-Peer to Peer: Protocol care utilizează internetul pentru schimbul și descărcarea de fișiere.
Termenul P2P provine de la peer-to-peer („ de la omolog la omolog”) și se referă la o rețea de egali,
ceea ce înseamnă că statutul fiecărui client este același. Existența serverelor în aplicația practică a
rețelelor P2P se datorează faptului că clienții săi nu dețin adrese IP fixe. În consecință, aceste servere
oferă doar o listă de clienți și căutări de fișiere.
Pagere: Un pager este un dispozitiv care poate fi utilizat pentru a trimite și a primi mesaje
electronice, numerice (de ex., numere de telefon) și alfanumerice (text, adesea inclusiv e-mail)
Modem USB cu port paralel: Un dispozitiv mic cu conector de port paralel, care poate furniza
memorie programabilă, actualizare la distanță, algoritmi de control a închirierii sau calculatoare.
Partiții: este actul de a împărți o unitate de hard disc în mai multe unități de stocare logice,
denumite partiții, pentru a trata o unitate fizică de hard disc, ca și cum ar fi mai multe discuri.
Partițiile mai sunt denumite și „felii” pentru sistemele de operare bazate pe BSD, Solaris sau GNU
Hurd. Un program software editor de partiții poate fi utilizat pentru a crea, redimensiona, șterge și
manipula aceste partiții pe hard disc.
Dispozitive periferice: nu sunt o parte integrantă a calculatorului, dar se conectează la acesta

pentru a-i îmbunătăți capacitățile. Exemple de dispozitive periferice sunt: scanere, imprimante,
unități de bandă, camere web, difuzoare, microfoane, fax, roboți telefonici și cititoare de carduri.

Asistent digital personal (PDA): Un dispozitiv mic (adică, de buzunar), care poate include funcții
de calcul, telefonie/fax, paging, conectare la rețea și alte caracteristici.
PGP: Confidențialitate destul de bună. Software de criptografie freeware (a se vedea, de exemplu,

www.pgpI.org) dezvoltat inițial de Philip R. Zimmermann în 1991. Poate fi utilizat pentru
criptarea/semnarea e-mailurilor sau criptarea fișierelor de calculator. Există, de asemenea, și o
versiune comercială cu preț redus.
Pharming: O tehnică cu același obiectiv ca Phishing-ul, dar nu se bazează pe inducerea în eroare a

utilizatorului, ci a Sistemului de nume de domeniu (DNS). În acest fel, dacă FSI-ul utilizatorului
utilizează DNS-uri vulnerabile, „pharmer-ul” redirecționează tot traficul adreselor URL care sunt de
interes, către serverele aflate sub controlul său. Acestea au un aspect identic cu originalele. Singura
modalitate de a detecta acest tip de atac este prin intermediul serverelor certificate, care, în cazul
„pharmer-ului”, nu vor avea o Certificare de autoritate.
Phishing: Tehnica de înșelăciune care combină ingineria socială cu anumite trucuri tehnice, cu
obiectivul de a fura informații bancare personale de la un utilizator individual. Atacurile de phishing
iau, în mod inteligent, aspectul de e-mailuri din partea unei entități de încredere, care solicită detalii
bancare sau parole ale utilizatorului.
Phreaker sau Phreak: Pirați IT specializați în utilizarea rețelelor telefonice pentru a accesa
sistemele altor persoane sau, adesea, doar pentru a evita plata facturilor telefonice. Tehnicile
utilizate de Phreaker-și sunt cunoscute, în mod obișnuit, sub denumirea de phreaks.
Piratarea programului: Activitate de copiere, distribuire sau utilizare a programelor IT existente,

care încalcă din punct de vedere juridic drepturile de proprietate intelectuală care îi protejează pe
autori acestora.
POP3: Protocol de poștă. Un serviciu de internet bazat pe un protocol standardizat pentru

recuperarea mesajelor de e-mail de pe serverul de mail (adică, server POP).
Replicatoare de porturi: Un dispozitiv care conține porturi de calculator personal comune, cum ar
fi porturile seriale, paralele și de rețea, care se conectează la un calculator portabil. Un replicator de
porturi este similar unei stații de andocare, dar stațiile de andocare oferă, în mod normal, capabilități
pentru plăci de expansiune suplimentare.
Playere media portabile: stochează și redau suporturi digitale, cum ar fi muzică și alte materiale
audio, imagini, video, precum și alte fișiere, inclusiv documente și alte tipuri de unități care pot fi
stocate digital.
Proxy: În rețelele de calculatoare, un server proxy este un server (un calculator sau o aplicație)
care acționează ca un intermediar pentru solicitările din partea clienților care caută resurse de pe
alte servere. Un client se conectează la serverul proxy solicitând un serviciu, cum ar fi un fișier,
conexiune, pagină web sau alte resurse disponibile de la un server diferit. Serverul proxy evaluează

solicitarea, ca o modalitate de a simplifica și controla complexitatea acesteia. În prezent, majoritatea
proxy-urilor sunt proxy-uri web, care facilitează accesul la conținutul de pe World Wide Web.
Qwerty: este cea mai frecventă configurație de tastatură din zilele noastre.
Memorie RAM: RAM înseamnă Memorie cu acces aleator. Memoria RAM stochează temporar datele
cu care lucrează calculatorul. Această memorie își pierde conținutul ca urmare a unei pierderi de
energie.
Date recuperate: Termenul care identifică fișierele sau folderele recuperate sau reconstruite, care
au fost șterse din zona de date activă. Aceste fișiere pot fi recuperate cu dimensiunea și formatul
original sau în fragmente mici care vor necesita o sarcină de reconstrucție criminalistică.
Refuzul serviciului: Incident în care unui utilizator sau unei organizații i se refuză accesul la o
resursă, pe care, în mod normal, o poate utiliza. De obicei, pierderea accesului se datorează
indisponibilității unui anumit serviciu de rețea, cum ar fi e-mail, sau pierderii temporare a tuturor
conexiunilor și serviciilor de rețea. De exemplu, în cel mai rău caz, un site web în care accesul a
milioane de persoane poate fi forțat să își înceteze temporar funcționarea. Deși, în mod normal,
intenționate și rău intenționate, aceste tipuri de atacuri se produc uneori accidental. Dacă aceste
atacuri nu au întotdeauna ca rezultat furtul de informații, aproape invariabil acestea costă mult timp
și bani pentru persoana sau organizația afectată.
Inginerie inversă: Constă în analiza codului binar al unui program sau aplicații, pentru a determina
comportamentul acestuia.
RIPE Réseaux IP Européens (RIPE, termenul în limba franceză pentru „Rețele IP Europene”):
este un forum deschis tuturor părților interesate de dezvoltarea tehnică a internetului. Obiectivul
comunității RIPE este să asigure continuarea coordonării administrative și tehnice necesare pentru
menținerea și dezvoltarea internetului. Nu este o organizație de standardizare precum IETF și nu se
ocupă de nume de domeniu precum CINNA.
Routere: este un dispozitiv care determină următorul punct de rețea că un pachet trebuie
redirecționat către destinația sa. Trebuie să fie conectat la cel puțin 2 rețele. Este inteligent și
funcționează pe tabele de rutare. Deși este localizat la poarta de acces către o rețea, nu trebuie să
fie, în mod necesar, poarta de acces a rețelei la internet.
Planificator: este metoda prin care thread-urile, procesele sau fluxurile de date au acces la
resursele sistemului (de ex., timpul procesorului, lățimea de bandă a comunicațiilor). Acest lucru se
realizează, de obicei, pentru a distribui sarcina unui sistem, în mod efectiv, sau pentru a atinge o
anumită calitate a serviciilor. Necesitatea unui algoritm de planificare apare din exigența ca
majoritatea sistemelor moderne să fie multifuncționale (să executa mai multe procese simultan) și
să efectueze multiplexarea (să transmită mai multe fluxuri simultan).
Hash SHA-256: este un set de funcții hash criptografice (SHA-224, SHA-256, SHA-384, SHA-
512) conceput de Agenția Națională de Securitate (NSA) și publicat în 2001 de NIST ca Standard

Federal de Procesare a Informației din SUA. SHA înseamnă Algoritm de hash securizat. SHA-2 include
un număr semnificativ de modificări față de predecesorul său, SHA-1. SHA-2 constă dintr-un set de
patru funcții de hash cu digesturi (valori hash) care sunt de 224, 256, 384 sau 512 biți.
Date referitoare la zona liberă: Datorită necesității calculatorului de a atribui blocuri de

dimensiuni fixe de spațiu pe disc, există o zonă la sfârșitul fiecărui fișier, care, deși este atribuit
fișierului, conține informații care nu au legătură cu celelalte informații conținute în acesta. Această
zonă se numește „zonă liberă/neutilizată” și conține informații cu privire la conținutul care a existat
pe acest spațiu bloc, înainte de a-i fi alocat un nou fișier.
Spațiu liber: Spațiul liber este o zonă de spațiu pe dispozitivele de stocare, ce este alocat unei
anumite unități, de ex. un fișier, o partiție, un disc, o înregistrare MFT, dar nu este utilizat de această
unitate. De multe ori, un specialist criminalist poate găsi date aparținând fișierelor stocate anterior,
în aceste spații libere. De exemplu, dacă un cluster este alocat unui fișier nou creat, dar datele
acestui fișier nu utilizează întregul cluster, atunci există o șansă bună de a găsi urme ale unui fișier
stocat anterior, în spațiul liber al clusterului.
Inginerie socială: Tehnici sau abilități ce permit manipularea unei persoane, care desfășoară, în
mod voluntar, acțiuni, pe care nu le-ar face, în mod normal, cum ar fi dezvăluirea de informații.
Program software: Programe de calculator concepute pentru a îndeplini sarcini specifice, cum ar
fi procesarea textelor, contabilitate, administrarea rețelei, dezvoltarea de site-uri web, gestionarea
fișierelor sau gestionarea stocurilor.
Discuri în stare solidă: acestea stochează informații într-un mod diferit față de hard discuri, în
timp ce intenționează să ofere acces în același mod ca și hard discurile tradiționale. În timp ce hard
discurile stochează date pe platane, discurile în stare solidă stochează date utilizând microcipuri,
care nu au părți mobile. Ca atare, acestea sunt mai puțin susceptibile a fi deteriorate în cazul unor
șocuri și oferă acces mai rapid la date. Aceste dispozitive pot conține dovezi valoroase.
Magneți pentru difuzor: Difuzoarele obișnuite constă într-un magnet, o bobină și un con. Magnetul
difuzorului este prezent pentru a asigura un câmp magnetic permanent bobinei difuzorului, care este
încorporată în hârtia conului difuzorului. Când semnalul audio curge, bobina difuzorului generează
un câmp magnetic redus a cărui rezistență variază proporțional cu puterea semnalului audio. Acest
câmp magnetic redus este respins sau atras de câmpul magnetic permanent produs de magnetul
difuzorului.
Dispozitive de stocare a datelor: este un dispozitiv pentru înregistrarea (stocarea) informațiilor

(datelor). Înregistrarea se poate face utilizând aproape orice formă de energie, de la puterea
musculară manuală, în cazul scrierii de mână, la vibrațiile acustice, în cazul înregistrării fonografice,
la energia electromagnetică ce modulează banda magnetică și discurile optice.
Dispozitivele tabletă: Un calculator tabletă este un dispozitiv care este operat mai degrabă prin
atingerea ecranului, decât prin utilizarea unei tastaturi sau a unui mouse. În mod normal, acesta
este mai mare decât un telefon mobil sau un asistent personal digital

Trasabil: Trasabilitatea se referă la caracterul complet al informațiilor privind fiecare pas dintr-un
lanț de proces. Definiția formală a trasabilității este capacitatea de a corela cronologic entități care
pot fi identificate în mod unic, într-o manieră verificabilă. Trasabilitatea este capacitatea de a verifica
istoricul, locația sau aplicarea unui articol prin intermediul unei identificări documentate înregistrate.
TrueCrypt: este o aplicație software gratuită utilizată pentru criptarea în timp real („on-the-fly”)
(OTFE). Aceasta poate crea un disc virtual criptat într-un fișier sau cripta o partiție sau (în Microsoft
Windows cu excepția Windows 2000) întregul dispozitiv de stocare (autentificare înainte de pornire).
Modul de platformă de încredere (TPM): Cel mai frecvent, conceptul de TPM este aplicat într-un
criptoprocesor TPM, cunoscut ca cip TPM. Acest cip, care este responsabil pentru efectuarea sarcinilor
TPM este sudat pe placa de bază a unui sistem informatic. Scopul principal al unui TPM este de a
asigura integritatea unei platforme. În acest context, „integritate” înseamnă „comportament
conform destinației” și o „platformă” este, generic, orice platformă de calculator: Porniți procesul de
pornire prin activare de la o condiție de încredere și extindeți această încredere până când sistemul
de operare s-a pornit complet și aplicațiile rulează. De asemenea, TPM este deseori utilizat în
combinație cu criptarea discului, de ex. Criptarea completă a discului, Truecrypt sau Bitlocker, unde
aceasta este utilizată pentru a proteja tastele utilizate pentru a cripta hard discurile calculatorului și
pentru a oferi autentificarea integrității pentru o cale de pornire de încredere.
Ubuntu Linux: este un sistem de operare pentru calculatoare bazat pe distribuția Linux Debian și
distribuit ca software liber și cu sursă deschisă, care utilizează propriul mediu desktop. Acesta este
denumit după filosofia sud-africană ubuntu („umanitate față de ceilalți”). Ubuntu este conceput, în
principal, pentru a fi utilizat pe calculatoarele personale, deși există, de asemenea, și o ediție pentru
servere.
Magistrală Serială Universală (USB): este un standard care definește protocoalele de

comunicare, conexiune și alimentare cu energie pentru dispozitivele care urmează să fie conectate
la calculatoare. Încă de la apariția sa în anii ‚ ’90, numărul dispozitivelor, care au acum capacitatea
de a se conecta prin utilizarea acestui protocol, a crescut și, în prezent, sunt utilizate dispozitive noi,
de toate formele și dimensiunile, pentru stocarea datelor.
Unix: este un sistem de operare pentru calculatoare, multifuncțional, cu utilizatori multipli, dezvoltat
inițial în anul 1969.
Binare nesigure: Termenul „binar nesigur” este cel mai adesea utilizat în relație cu fișiere binare
executabile, care sunt stocate sau copiate dintr-o sursă nesigură. Orice sursă care nu poate fi
verificată sau nu a fost supusă unor proceduri de validare bine definite și stricte, poate conține un
cod sursă alterat sau chiar dăunător și, prin urmare, trebuie să fie considerat ca fiind nesigur. Un
exemplu tipic pentru binarele nesigure sunt fișierele executabile, care sunt stocate pe un alt sistem
decât mașina validată a specialistului criminalist.
Date din zona neutilizată sau nealocată: Date care sunt stocate, în prezent, în zona de disc care
nu aparține unui fișier; restul documentelor digitale șterse.

URL (Localizator uniform de resurse): Un lanț de caractere căruia i se atribuie o adresă unică
fiecăruia dintre documentele din World Wide Web (știri, gopher etc.)
UTorrent: este un client BitTorrent freeware, cu sursă închisă deținut acum de BitTorrent, Inc.
Acesta este cel mai larg utilizat client BitTorrent în afara Chinei (unde Xunlei este mai popular).
Acesta primește „µ” în numele său de la prefixul SI „micro-”, care face referire la amprenta de
memorie redusă a programului: programul a fost conceput să utilizeze resurse informatice minime,
oferind, în același timp, funcționalități comparabile clienților BitTorrent mai mari, precum Vuze sau
BitComet. Programul a primit, în mod constant, recenzii bune pentru setul său de funcții,
performanța, stabilitatea și suportul său privind componentele hardware și versiunile Windows mai
vechi.
Mediu virtual: Simularea computațională a unui mediu de lucru format prin interconectarea mai
multor calculatoare, care permite accesul la informații digitale, independent de locația fizică a
acestora.
Virus: Program care poate infecta alte programe, modificându-le pentru a include o copie a sa.
Practic, virușii au funcția de propagare și replicare, dar există, de asemenea, și unii care au conținut
nociv (sarcină), cu obiective diferite, de la o simplă glumă, până la cauzarea de prejudicii grave
asupra sistemelor. Aceste tipuri de programe pot funcționa în diverse moduri: Doar notificând
utilizatorul cu privire la prezența sa, fără a provoca prejudicii aparente, Încercarea de a trece
neobservat pentru a provoca cele mai multe prejudicii posibile sau Preluarea funcțiilor principale
(pentru a infecta sistemul de arhivare).
VoIP: Voce peste Protocol de Internet. Tehnologia utilizată pentru a transmite conversații vocale
printr-o rețea de date utilizând Protocolul Internet. Rețeaua de date poate fi internetul sau un
internet corporativ.
Date volatile: Datele volatile sunt date stocate digital într-un mod în care probabilitatea este foarte
mare ca conținutul acestora să fie șters, suprascris sau modificat într-o perioadă scurtă de timp, din
cauza interacțiunii umane sau automate.
Warez: Copii piratate ale programelor. Versiuni protejate de software cărora le-a fost îndepărtată
protecția.
Browser web: Un browser web poate fi definit, de asemenea, și ca un software sau program de
aplicație conceput pentru a permite utilizatorilor să acceseze, să recupereze și să vizualizeze
documente și alte resurse pe internet.
Windows Explorer: este o aplicație manager de fișiere care a fost inclusă în versiunile sistemului
de operare Microsoft Windows, începând de la Windows 95 până în prezent. Aceasta oferă o interfață
grafică de utilizator pentru accesarea sistemelor de fișiere. Aceasta este, de asemenea, și
componenta sistemului de operare care prezintă multe elemente de interfață cu utilizatorul pe
monitor, cum ar fi bara de activități și desktop-ul. Controlul calculatorului este posibil fără ca
Windows Explorer să funcționeze (de exemplu, comanda Fișier | Executare din Managerul de

activități, din versiunile de Windows derivate din NT, va funcționa fără acesta, la fel și comenzile
tastate într-o fereastră de prompt a comenzii).
Modemuri wireless (fără fir): Un modem wireless este un tip de modulator-demodulator care se
conectează la o rețea wireless, în loc să utilizeze linii de telefonie sau televiziune prin cablu. Un
utilizator de internet mobil se poate conecta utilizând un modem wireless la un Furnizor de servicii
de internet wireless (FSI) pentru a obține acces la internet.
WireShark: este un analizor de pachete gratuit și cu sursă deschisă. Acesta este utilizat pentru
depanări de rețea, analiză, dezvoltarea de software și protocol de comunicații și educație. Denumit
inițial Ethereal, în mai 2006, proiectul a fost redenumit Wireshark din cauza problemelor de marcă
înregistrată.
Rețele WLAN: rețeaua wireless locală (WLAN) conectează două sau mai multe dispozitive utilizând
o anumită metodă de distribuție wireless (de obicei, spectru de propagare sau radio OFDM) și, de
obicei, furnizează o conexiune printr-un punct de acces la internetul mai larg. Acest lucru oferă
utilizatorilor mobilitatea de a se deplasa într-o zonă locală de acoperire și de a fi încă conectați la
rețea. Majoritatea rețelelor WLAN moderne se bazează pe standardele IEEE 802.11 comercializate
sub numele de marcă Wi-Fi.
Procesor de text: Un program software utilizat pentru a transforma calculator într-o mașină de
scris pentru cablare de scrisori, rapoarte și documente. Programe comune de procesare a textelor:
Wordstar, Wordperfect, MS-Word.
Vierme: Program IT care se auto-reproduce și se auto-propagă. Spre deosebire de viruși, viermii

sunt, de obicei, scriși, în mod special, pentru rețele. Viermii de rețea au fost definiți pentru prima
dată de Shoch & Hupp, de la Xerox, în revista ACM Communications (martie 1982). Primul vierme
de internet faimos, apărut în noiembrie 1988, s-a auto-propagat la peste 6.000 de sisteme, în
general, pe internet.
WWW (World Wide Web): Universul informațiilor accesibile în rețea, adică, toate resursele și
utilizatorii de pe internet, care utilizează Protocolul de transfer de hipertext (HTTP)
Unități ZIP: Un sistem de hard disc detașabil. O unitate ZIP este o unitate disc mică, portabilă
utilizată, în principal, pentru realizarea unor copii de siguranță și arhivarea fișierelor pe calculatorul
personal. Unitatea ZIP marcă înregistrată a fost dezvoltată și este vândută de către Iomega
Corporation. Unitățile și discurile zip sunt disponibile în două dimensiuni.

12 Informații suplimentare
12.1 Cărți/Ghiduri
12.1.1 Internațional;
- ISO/IEC 27037: 2012: Ghid pentru colectarea, identificarea și păstrarea probelor electronice
- ISO/IEC 27041: 2015: Ghid pentru investigarea incidentelor
- ISO/IEC 27042: 2015: Ghid pentru analiza probelor digitale
- ISO/IEC 27043: 2015: Principii și procese de investigare a incidentelor
- Interpol: Ghiduri globale pentru laboratoarele de criminalistică digitală.
https://www.interpol.int/en/content/download/13501/file/INTERPOL_DFL_GlobalGuidelines
DigitalForensicsLaboratory.pdf
- Stephen Mason, Probe Electronice (ediția a 2-a, LexisNexis Butterworths, 2010)
- Stephen Mason (Editor), Probe Electronice Internaționale (Institutul Britanic de Drept
Internațional și Comparativ, 2008)
12.1.2 Statele Unite ale Americii
- Departamentul de Justiție al SUA - Investigarea locului faptei infracțiunilor electronice - Un

ghid pentru primii respondenți. https://www.ncjrs.gov/pdffiles1/nij/187736.pdf
- Departamentul de Justiție al SUA - Examinarea criminalistică a probelor digitale: Un ghid
pentru organele de aplicare a legii. https://www.ncjrs.gov/pdffiles1/nij/199408.pdf
- Michael R Arkfeld, Arkfeld despre descoperire și probele electronice (ediția a 3-a, Lexis,
2011) Looseleaf
- Adam I. Cohen și David J. Lender, Descoperiri electronice: Lege și practică (ediția a 2-a,
Aspen Publishers, 2011) Looseleaf
- Jay E. Grenig, William C. Gleisner, Troy Larson și John L. Carroll, Descoperirile electronice
și probele digitale (ediția a 2-a, Westlaw, 2011) Looseleaf
- Michele C.S. Lange și Kristen M. Nimsger, Probe și descoperiri electronice: Ce trebuie să
știe orice avocat (ediția a 2-a, Asociația Barourilor Americane, 2009)
- George L. Paul, Fundamentele probelor digitale (Asociația Barourilor Americane, 2008)
- Paul R. Rice, Probe electronice - lege și practică (Asociația Barourilor Americane, 2005)
12.1.3 Regatul Unit
- Serviciul de urmărire a coroanei Ghid juridic. https://www.cps.gov.uk/prosecution-

guidance
- Asociația ofițerilor șefi de poliție (ACPO) Ghid pentru probe electronice.
https://www.7safe.com/docs/default-source/default-document-
library/acpo_guidelines_computer_evidence_v4_web.pdf

12.2 Jurnale
- Revista internațională de știință criminalistică digitală/multimedia și răspuns la incidente

bazat pe probe. https://www.journals.elsevier.com/forensic-science-international-digital-
investigation
- Revista internațională de criminalitate și criminalistică digitală. https://www.igi-
global.com/journal/international-journal-digital-crime-forensics/1112
- Revista internațională de informatică criminalistică. http://ijofcs.org
- Revizuirea legii privind probele digitale și semnătura electronică.
https://journals.sas.ac.uk/deeslr/
- Revista de criminalistică, securitate și legislație digitală. http://www.jdfsl.org
- Tranzacții IEEE privind criminalistica și securitatea informațiilor.
https://signalprocessingsociety.org/publications-resources/ieee-transactions-information-
forensics-and-security
12.3 Despre autori
Consiliul Europei a selectat persoane cu pregătiri complementare pentru a fi autorii prezentului ghid.
Aceștia sunt:
Esther George (Regatul Unit) LLB(Hons), LLM, MA (Licențiată în științe juridice - cu

distincție, Master în drept, Master în filologie); Până în 2014, Esther a fost consilier de politică
și procuror superior al Coroanei în cadrul Serviciului de Procuratură al Coroanei (CPS) din Anglia și
Țara Galilor. Acum lucrează în calitate de consultant internațional. Esther este specializată în
infracțiuni pe internet și informatice, probe digitale, furt de proprietate intelectuală și protecția
datelor. Aceasta a dezvoltat și proiectat cursul național de formare în domeniul criminalității bazate
pe tehnologii avansate pentru procurori, pentru Serviciul de Procuratură al Coroanei. În 2010, Esther
a primit o Diplomă de Onoare din partea Asociației Internaționale a Procurorilor pentru inițierea și
dezvoltarea Rețelei Globale a Procurorilor Specializați în domeniul Criminalității Informatice (GPEN),
care este o rețea online de partajare a informațiilor pentru a ajuta la rezolvarea criminalității bazate
pe tehnologii avansate din întreaga lume. Esther vorbește, în mod periodic, despre problemele
privind criminalitatea bazată pe tehnologii avansate, în cadrul conferințelor și sesiunilor de formare,
la nivel național și internațional.
Fredesvinda Insa Mérida; Fredesvinda este absolventă de drept și Doctor în Tehnologia

Informației și Comunicațiilor. Aceasta a lucrat în calitate de avocat pentru Price Waterhouse Coopers,
Consiliul Europei și, ulterior, în Cybex, din 2004 până în 2010, anul în care Cybex a încetat să mai
funcționeze. A fost Director de Dezvoltare Strategică în Cybex și a gestionat relațiile instituționale la
nivel național, european și internațional. A supravegheat departamentele juridic, de formare,
proiecte și comunicare din Cybex. Este specializată în analiza criminalistică a suporturilor electronice
și a probelor electronice din punct de vedere juridic, studiind și analizând situația juridică a probelor
electronice din Spania și Europa, promovând sectorul și răspândind cunoștințe cu privire la acest
subiect. Aceasta a gestionat proiectele europene intitulate „Admisibilitatea probelor electronice în

instanță: Lupta împotriva criminalității bazate pe tehnologii avansate”, „Certificat european privind
criminalitatea informatică și probele electronice” și „Buletin informativ electronic privind lupta
împotriva criminalității informatice” finanțat de Comisia Europeană. Aceasta este expert numit în
aceste probleme de către Comisia Europeană și Consiliul Europei și membru al Grupului de experți
la nivel înalt al agenției Uniunii Internaționale de Telecomunicații a Organizației Națiunilor Unite.
Este creatoarea și organizatoarea Seminarelor privind probele electronice, care au avut loc în fiecare
an, începând din 2004, în Spania, la Consiliul General al Puterii Judiciare din Spania. Aceasta
colaborează cu reviste de specialitate și ia parte la conferințe și evenimente. Fredesvinda Insa este,
în prezent, Director de dezvoltare strategică pentru CFLabs.
Uwe Rasmussen; Uwe este avocat principal în cadrul departamentului de PI/IT al casei de
avocatură August & Debouzy cu sediul la Paris, unde acesta gestionează cazuri în domeniile
drepturilor de autor, drepturilor asupra bazelor de date, protecției datelor cu caracter personal și
conformității. Din 2006, a activat prin detașare la Unitatea privind infracțiunile digitale a Microsoft,
pentru a lucra la inițiative de cooperare și aplicare a legii în domeniul criminalității informatice.
Domnul Rasmussen deține diplome de drept de la Sorbona, din Paris, și de la Universitatea din
Copenhaga și a studiat drepturile de proprietate intelectuală la Universitatea Santa Clara și, în plus,
este Inginer de Sisteme Certificat Microsoft. Vorbește limbile daneză, olandeză, engleză, franceză,
germană și spaniolă.
Victor Völzow; Victor este formator în domeniul criminalisticii digitale și investigării criminalității
informatice la Academia de Poliție de Stat de la Hesse. În această funcție, este responsabil pentru
elaborarea și implementarea programei pentru examinatorii de criminalistică digitală. Pe lângă
predare, meseria sa în cadrul academiei implică, de asemenea, și furnizarea de sprijin practic și
consultanță tehnică pentru unitățile de combatere a criminalității bazate pe tehnologii avansate și
alte instituții de aplicare a legii. Victor oferă, de asemenea, cursuri de formare de nivel expert pentru
organizații precum Consiliul Europei (CE), Oficiul European de Luptă Antifraudă (OLAF), OSCE și
Europol. Acesta a acționat în calitate de vorbitor invitat la diferite universități și este implicat în
programul german de formare a experților în domeniul criminalisticii digitale la Bundeskriminalamt
(BKA). Fiind agent de poliție de aproape 20 de ani, acesta a petrecut mai mult de 12 ani în domeniul
criminalisticii digitale și al investigațiilor informatice și a acționat în calitate de martor expert în mai
multe rânduri. Pe lângă deținerea certificărilor profesionale Profesionist Certificat în Criminalistică
Informatică (CCFP - EU), Examinator Certificat EnCase (EnCE), Examinator Certificat Date de Acces
(ACE) și Hacker Etic Certificat (CEH), Victor a absolvit cu diploma universitară de master în
informatică criminalistică și investigarea criminalității informatice, la University College din Dublin,
primind în 2011 Medalia Garda Commissioner (Șeful Poliției Naționale din Republica Irlanda) pentru
cel mai bun rezultat.
Nigel Jones MBE (Master în ingineria afacerilor) FBCS; În prezent, Nigel este Director al
Technology Risk Limited, o companie specializată în soluții și formare în domeniul riscurilor
tehnologice și este profesor invitat la Universitatea Canterbury Christ Church din Anglia. De
asemenea, acesta este coordonatorul privind aplicarea legii pentru un proiect care dezvoltă o rețea
de combatere a criminalității informatice a unui centru de excelență, în domeniul formării, cercetării

și educației (2CENTRE). Înainte de aceasta, a fost responsabil pentru crearea și conducerea Centrului
Național de Formare pentru Combaterea Criminalității bazate pe Tehnologii Avansate, la Centrul
Național pentru Excelență în Poliție din Wyboston, Regatul Unit. Acesta este co-autor al lucrării
„Probele informatice - Ghid de bune practici” al ACPO și membru al Grupului Tehnic de Lucru privind
Investigarea Probelor Electronice (TWGIEE) din SUA. Nigel a ținut discursuri la numeroase
evenimente naționale și internaționale, inclusiv pregătirea și moderarea unui scenariu privind
criminalitatea bazată pe tehnologii avansate la Al 10-lea Congres al ONU pentru prevenirea
criminalității. În ianuarie 2005, Nigel a fost ales de țările membre în funcția de Președinte al Grupului
de lucru european al Interpol pentru criminalitatea informatică. Nigel a oferit formare în domeniul
informatic în numele Interpol, personalului propriu, precum și cursuri internaționale în India, Cipru
și Siria. Acesta a asigurat recent cursuri de formare autorităților de justiție penală din Georgia, în
numele Consiliului Europei. De asemenea, a asigurat cursuri de formare în Europa, Orientul Mijlociu
și America de Nord.

13 Anexe
Anexa A - Diagrama de flux a organelor de aplicare a legii privind perchezițiile și indisponibilizările
Anexa B - Diagrama de flux privind criminalistica datelor live
Anexa C - Diagrama de flux privind pregătirea în sectorul privat
Anexa D - Diagrama de flux privind perchezițiile și indisponibilizările în sectorul privat
Anexa E - Diagrama de flux privind achiziția probelor digitale
Anexa F - Evidența lanțului de custodie
Anexa G - Chestionar custode
Anexa H - Model de etichete pentru probe
Anexa I - Fișă de achiziție

C-PROC Electronic Evidence Guide 2.1 MD June 2020 Web2

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

C-PROC Electronic Evidence Guide 2.1 MD June 2020 Web2

Încărcat de

Drepturi de autor:

Formate disponibile

GHID PRIVIND PROBELE ELECTRONICE

GHID DE BAZĂ PENTRU AGENȚI DE POLIȚIE,

Prezentul ghid este rezultatul următoarelor proiecte:

Pagina 2 Ghid CoE privind Probele Electronice

Nigel Jones (Regatul Unit)

CONTACT DECLINARE A RESPONSABILITĂȚII

Divizia de criminalitate cibernetică Opiniile exprimate în prezentul raport

Pagina 3 Ghid CoE privind Probele Electronice

1.4 Alte instrumente __________________________________________________________ 10

Pagina 4 Ghid CoE privind Probele Electronice

4.3 Surse de informare online __________________________________________________ 107

Pagina 5 Ghid CoE privind Probele Electronice

6.5 Tipuri de analize criminalistice ______________________________________________ 149

7.2 Probele în cadrul procedurilor penale _________________________________________ 160

7.5 Material neutilizat ________________________________________________________ 162

Pagina 6 Ghid CoE privind Probele Electronice

9.4 Proceduri non-penale _____________________________________________________ 171

Pagina 7 Ghid CoE privind Probele Electronice

În cadrul Proiectului CyberCrime@IPA, precum și în cadrul Conferințelor Octopus ale Consiliului

1.1 Scopul Ghidului

Pagina 8 Ghid CoE privind Probele Electronice

1.3 Cum trebuie utilizat Ghidul?

- Anexa A - Diagrama de flux pentru percheziție și indisponibilizare

Acestea pot fi utilizate și adaptate după cum este necesar.

Pagina 9 Ghid CoE privind Probele Electronice

Acest simbol indică Acest simbol Acest simbol indică

Acest simbol indică Acest simbol Acest simbol indică

1.4 Alte instrumente

- Convenția de la Budapesta privind criminalitatea informatică1 Se preconizează ca părțile la

- Conservarea accelerată a datelor la nivelele intern (articolul 16) și internațional

- Următoarele ghiduri care au fost elaborate de Consiliul Europei în cadrul programelor de

- Proceduri de operare standard pentru colectarea, analiza și prezentarea probelor

Pagina 10 Ghid CoE privind Probele Electronice

- Următoarele cursuri de formare profesională care au fost elaborate de Consiliul Europei în

- Pachet de formare pentru primul respondent;

- Rapoartele privind strategiile de formare în domeniul judiciar și de aplicare a legii elaborate

Pagina 11 Ghid CoE privind Probele Electronice

1.5.1 Caracteristicile probelor electronice

Sunt invizibile pentru persoanele neavizate: Adesea, probele electronice se găsesc în

Sunt foarte volatile: Pe unele dispozitive și în anumite condiții, memoria calculatorului

Pagina 12 Ghid CoE privind Probele Electronice

Evoluția rapidă a surselor de probe electronice: Noile tehnologii sunt inventate și se

Utilizarea procedurilor, tehnicilor și instrumentelor adecvate: Ca și în disciplinele

1.5.2 Admisibilitatea probelor electronice

Pagina 13 Ghid CoE privind Probele Electronice

Credibilitatea: Probele trebuie să fie convingătoare în ceea ce privește faptele pe care le

Proporționalitatea: Metodele utilizate pentru colectarea de probe trebuie să fie corecte

1.6 De ce este important acest lucru?

Dezvoltarea Internetului și a aplicațiilor sale a dus la găsirea de probe nu numai pe calculatoarele

1.7 Principiile privind probele electronice

Pagina 14 Ghid CoE privind Probele Electronice

1.7.1 Principiul 1 - Integritatea datelor

- Dispozitivele și datele electronice nu trebuie schimbate, nici în ceea ce privește

1.7.2 Principiul 2 - Pista de audit

La gestionarea probelor electronice, trebuie creată și păstrată o evidență a tuturor

- Este necesară înregistrarea cu exactitate a tuturor activităților de la fața locului, pentru a

1.7.3 Principiul 3 - Suport specializat

În cazul în care se preconizează găsirea de probe electronice în cursul unei operațiuni

- Pentru investigațiile care implică percheziția și indisponibilizarea probelor electronice, este

Pagina 15 Ghid CoE privind Probele Electronice

1.7.4 Principiul 4 - Formare profesională adecvată

- În situațiile în care nu este disponibil niciun specialist, primul respondent care

1.7.5 Principiul 5 - Legalitatea