Calculatorul electronic propriu-zis este principala sursă de informaţii pentru investigator. Pe calculator, informaţiile sunt stocate pe unităţile de hard-disc. O unitate de hard-disc este un dispozitiv ce permite înregistrarea magnetică a datelor, alcătuit din unul sau mai multe discuri rigide, capete de citire/scriere şi mecanisme mecanice protejate de o carcasă metalică, închisă ăetanş. Capacitatea de stocare a unui hard-disc normal este în zilele noastre de câteva zeci sau sute de gigabytes. Un calculator poate avea unul sau mai multe hard-discuri, de tipuri şi capacităţi diferite.

 Calculator Personal – PC

Calculatoarele portabile sunt calculatoare concepute pentru a putea fi mutate cu uşurinţă. Datorită performanţelor la care au ajuns, unele dintre acestea pot fi folosite de utilizatori ca staţie de lucru permanentă.

Laptop

Tipurile de calculatoare portabile sunt:

• transportabile Smartphone
• laptop
• ultra-uşoare
• de mână (se mai numesc Poket PC-uri, Palm-uri sau PDA-uri -personal digital assistant)

Chiar şi în cazul în care nu sunt folosite în mod permanent, calculatoarele portabile sunt o sursă importantă de informaţii, deoarece pot fi folosite pentru stocarea unor date, posibil confidenţiale, ce trebuie transportate în afara locaţiilor unde securitatea este asigurată.

Smartphone

În ultima vreme, datorită posibilităţilor tehnice de a miniaturiza dispozitivele de calcul, acestea au fost integrate în echipamente portabile de mici dimensiuni. Cel mai bun exemplu în acest sens este telefonul mobil, care a căpătat caracteristici de mini-calculator. Pe lângă jurnalele ultimelor convorbiri, un telefon modern poate conţine liste de adrese, calendarele întâlnirilor, documente şi notiţe etc. având capacităţi superioare chiar PC-urilor de acum câţiva ani.

Echipamentele periferice:

• tastatura nu are funcţia de stocare de informaţii, fiind doar un dispozitiv de introducere a datelor. Totuşi există anumite dispozitive care se pot ataşa tastaturilor şi care pot să înregistreze secvenţele de taste apăsate de utilizatori. Deşi sunt răspândite foarte puţin, aceste dispozitive sunt foarte uşor de procurat.
• monitoarele nu sunt capabile să stocheze informaţii. În trecut, datorită limitărilor tehnice se puteau determina imagini sau text ce au rămas un timp mai îndelungat pe ecran, prin impresiunile produse pe fosforul tubului catodic. Monitoarele moderne nu mai prezintă acest efect.
• imprimantele pot constitui surse de informaţii importante. De exemplu: imprimantele de tip laser permit relevarea imaginii ultimelor pagini imprimate. Această tehnică trebuie utilizată înainte de decuplarea imprimantei de la reţeaua de alimentare cu energie electrică, fapt ce necesită prezenţa unui expert la locul percheziţiei. Unele imprimante laser dispun de un hard-disc de buffer pe care sunt stocate informaţiile ce urmează a fi imprimate. Capacitatea unui astfel de disc este între 2 şi 10 Mb. Datele stocate pe aceste discuri pot fi obiectivate potrivit unor proceduri relativ simple. Pentru modelele mai vechi de imprimante, ce utilizează cartuşe cu bandă ă(ribbon), se poate reconstitui textul imprimat prin examinarea panglicii. Metoda este Imprimantă ăsimilară analizei panglicii de la maşina de scris.

Imprimanta

Sisteme de fişiere

Funcţia primară a sistemelor informatice este să stocheze şi să proceseze date. Datele procesate şi stocate de sistemele informatice pot fi clasificate în patru mari categorii: date active, date arhivate, date salvate de siguranţă ăşi date reziduale.

Datele active: informaţii disponibile şi accesibile utilizatorilor. Ele se prezintă sub forme foarte variate, cum ar fi: documente realizate de procesoarele de text, calendare electronice, liste de adrese, fişiere grafice, fişiere audio, etc.

O particularitate o reprezintă faptul că în cazul datelor de natură informatică copia şi originalul sunt absolut identice (prin copiere nu se schimbă nimic). Evidenţa datelor active poate fi făcută cu ajutorul unor programe speciale denumite gestionare de fişiere, sau prin executarea unor comenzi specifice sistemelor de operare.

Datele arhivate sunt informaţii care nu mai sunt utilizate în mod curent, fiind stocate în mod separat, pentru a elibera spaţiul de pe disc. Datele arhivate cuprind şi fişierele duplicat. Fişierele duplicat sunt fişierele create automat de calculator în cazul apariţiei unor probleme tehnice (cum ar fi blocarea sistemului, întreruperea alimentării cu energie electrică etc.), având rol de recuperare a datelor. Ele au terminaţii de fişier specifice, şi sunt stocate de obicei în locaţii diferite de fişierele originale. Importanţa lor constă în crearea unor copii multiple ale documentelor, copii pe care utilizatorul nu le poate şterge şi de a căror existenţă, de cele mai multe ori, nici nu are cunoştinţă. Prin compararea copiilor duplicate cu originalul pot fi făcute observaţii asupra modificărilor intervenite între diferitele variante ale documentului.

Datele salvate de siguranţă (sau datele de backup) sunt informaţii copiate pe medii de stocare portabile, cu scopul punerii la dispoziţia utilizatorilor a datelor lor în cazul intervenţiei unei pene a sistemului. Frecvenţa de realizare a copiilor de siguranţă ădepinde atât de tipul sistemelor informatice (calculator neconectat în reţea, sau reţea de calculatoare) cât şi de procedurile utilizatorilor.

În cazul reţelelor, o practică tipică este realizarea unei copii de siguranţă complete o dată pe săptămână, de obicei vinerea, şi realizarea zilnică a unei copii suplimentare, vizând salvarea datelor modificate în ziua respectivă; în aceste cazuri, se copiază de obicei numai informaţia aflată pe serverul reţelei, nu şi cea aflată pe calculatoarele (terminalele) utilizatorilor individuali. La sfârşitul lunii este realizată copia de siguranţă ălunară, care este stocată separat, şi este păstrată o perioadă de timp variind de la câteva săptămâni la câteva luni. În practică mediile pe care se realizează copiile lunare se reutilizează după o anumită perioadă de timp.

Pentru calculatoarele ce nu sunt conectate în reţea, în lipsa unui sistem de copiere de siguranţă propriu, posesorii lor copiază de regulă fişierele cărora le atribuie mai mare importanţă, fie pe dischete, fie pe alte medii de stocare, cum ar fi hard-discuri detaşabile, CD-uri inscriptibile, discuri flash, etc.

Folosirea informaţiilor de pe mediile de stocare pentru copiile de siguranţă este utilă ădatorită păstrării informaţiei un timp mai îndelungat. Cu toate acestea, lipsa unei organizări a datelor aflate pe aceste medii, precum şi faptul că de obicei fişierele salvate de siguranţă sunt compresate din economie de spaţiu, fac mai dificilă investigaţia.

Datele reziduale sunt informaţii ce aparent au fost eliminate din sistem dar care mai persistă în forme specifice, putând fi recuperate. Astfel de date reziduale sunt: fişierele şterse care se mai află pe disc, fişierele temporare, fişierele de schimb, datele aflate în spaţiul inactiv, datele din buffer şi clipboard.

În cazul ştergerii normale a unui fişier, datele nu sunt eliminate de pe disc, ci calculatorul marchează porţiunile pe care s-a aflat fişierul respectiv ca libere, putând fi deci rescrise. În cazul în care suprascrierea nu are loc (în cazurile în care ştergerea a fost recentă, sau dacă există suficient spaţiu liber pe disc, şi nu au avut loc operaţiuni de rutină privind întreţinerea sistemului, cum ar fi defragmentări sau optimizări), fişierul, sau porţiuni ale acestuia se află încă pe disc, putând fi recuperate. Pentru recuperare se utilizează programe speciale. De fapt, datele devin nerecuperabile abia după ce spaţiul de pe disc pe care se aflau au fost suprascrise de 7 ori. Există programe speciale care pot face această operaţiune (suprascrierea de 7 ori), pentru a şterge definitiv anumite date.

Fişierele temporare sunt fişierele create de sistemul de operare sau de un alt program pentru a fi utilizate în timpul sesiunii de lucru. În multe cazuri fişierele temporare nu sunt şterse de pe disc, putând fi astfel recuperate informaţiile conţinute în ele.

Fişierele de schimb (sau fişierele swap) sunt fişiere ascunse, create de sistemul de operare pentru a fi folosite la păstrarea de porţiuni ale fişierelor de program şi de date care nu încap în memorie. Fişierele de schimb sunt o formă de memorie virtuală. Informaţia din fişierele de schimb poate fi analizată cu ajutorul unor programe speciale.

Spaţiul "inactiv" (slack space) reprezintă spaţiul, aflat în cadrul unei unităţi fizice de stocare a datelor pe disc (cluster), ce nu este acoperit de porţiunea de fişier ce ocupă unitatea respectivă. Cum sistemul de operare DOS nu permite stocarea a mai mult de un fişier în cadrul unei unităţi de stocare, diferenţa între mărimea fişierului curent şi mărimea unităţii de stocare este considerată spaţiu "inactiv", neutilizat. Acest spaţiu poate conţine informaţii ce pot fi recuperate folosind programe specifice. De asemenea, acest spaţiu, ca şi unităţile de stocare considerate avariate, pot fi folosite de utilizatori avansaţi ai sistemelor informatice în scopul ascunderii de informaţii.

Program care permite lucrul cu spaţiu „inactiv”

Buffer-ul este o zonă de memorie rezervată utilizării ca depozit intermediar, în care sunt păstrate temporar datele ce aşteaptă să fie transferate dintr-o locaţie în alta. Datele aflate în buffer pot fi recuperate cu ajutorul unor programe speciale.

Clipboard-ul este o porţiune de memorie, cu caracter special, întreţinută de sistemele de operare bazate pe modul de lucru cu ferestre (cum ar fi Windows). În clipboard sunt stocate datele ce sunt transferate dintr-un program în altul. Datele copiate prin clipboard au un caracter static, ele nereflectând modificările ulterioare, şi pot fi obiectivate prin metode obişnuite de lucru.

Fişierele de date nu constituie sigurele posibilităţi de relevare a informaţiilor aflate în sistemele informatice. În categoria datelor despre sistemul informatic intră evidenţele de auditare, jurnalul activităţilor calculatorului, lista de control a accesului, precum şi alte informaţii ce nu pot fi imprimate.

Evidenţele de auditare sunt un mijloc de urmărire a tuturor activităţilor ce afectează ăanumite date, începând din momentul creării lor până la eliminarea din sistem. Ele sunt folosite de majoritatea programelor de gestiune a reţelelor de calculatoare. Aceste evidenţe, precum şi jurnalul computerului (computer log) pot oferi informaţii despre cine şi când a accesat sistemul, de unde şi pentru cât timp, precum şi operaţiunile făcute de acesta (modificări, copieri, ştergeri, etc.).

Pe lângă evidenţele de auditare, un număr mare de întreprinderi au instalate programe speciale de monitorizare a utilizării de către un angajat a sistemelor informatice proprii. Aceste programe pot furniza informaţii despre programele accesate, fişierele utilizate, mesajele de poştă electronică trimise si primite, siturile de Internet vizitate, etc.

Lista de control a accesului (ACL) este lista asociată unui fişier, ce conţine numele utilizatorilor şi grupurilor ce au permisiunea să acceseze şi să modifice acel fişier. Nivelul de acces a utilizatorilor la fişierele respective depinde de atribuţiile sau poziţia angajatului în cadrul întreprinderii.

Informaţiile ce nu pot fi imprimate sunt de asemenea surse importante pentru investigatori. Astfel de informaţii sunt: data şi timpul, ataşate fiecărui fişier, informaţiile despre crearea, accesarea şi modificarea unor fişiere (furnizate, de exemplu, de editoarele de text), comentariile şi notele ce nu sunt destinate imprimării, etc.

Este în prezent cel mai folosit mediu de conectare a calculatoarelor şi a echipamentelor de reţea. Printre avantajele sale se numără în primul rând preţul scăzut şi viteza destul de mare pe care o poate asigura transmisiilor de date. În plus, materialul este suficient de flexibil pentru a fi montat în pereţi şi tras până la orice birou.

De-a lungul ultimelor decenii s-au folosit mai multe tipuri de cablu. În trecut cel mai folosit era cablul coaxial (foarte asemănător cu cel de la antena TV), însă în ultima vreme, standardul de facto a devenit cablul torsadat – UTP (Unshielded Twisted Pairs). Reţelele care folosesc acest tip de cablu au o arhitectură de tip stea, deoarece toate calculatoarele sunt legate la un singur echipament, numit hub sau switch.

Interceptarea comunicaţiilor prin cablurile de cupru nu prezintă dificultăţi deosebite pentru profesionişti, bazându-se pe aceleaşi principii cu telefonia fixă, necesitând însă ăacces fizic la cablu. Acest ultim fapt face interceptarea destul de rară, deoarece cablul de cupru este folosit în general în interiorul birourilor unde accesul este lesne controlat.

(Ghid MCTI)

Wireless LAN, cunoscut şi sub denumirile de WLAN, 802.11 sau WiFi, deşi este cea mai recentă metodă de conectare, a cunoscut în ultimii ani o creştere fără precedent a popularităţii.

Această popularitate se datorează chiar principalei sale caracteristici: lipsa cablurilor. Calculatorul se află în reţea fără să aibă nevoie de cabluri sau conectori. Este un vis devenit realitate pentru cei care folosesc PC-uri mobile (laptop-uri sau PDA-uri) şi care obţin o libertate totală de mişcare în interiorul ariei acoperite de reţeaua fără fir.

Să luăm ca exemplu o firmă obişnuită, care are cabinetul Directorului la etajul 8 şi o Sală de Şedinţe la etajul 2 al unei clădiri de birouri.

Reţea fără fir

Reţeaua fără fir are drept componentă principală un echipament care se numeşte Punct de Acces. El este un releu care emite şi receptează unde radio către, respectiv de la dispozitivele din raza sa de acţiune.

În exemplul de mai sus am considerat că în reţea sunt două puncte de acces. Unul la etajul 8 al clădirii, în biroul directorului şi celălalt în Sala de Şedinţe de la etajul 2. Directorul poate să meargă la întâlniri luându-şi cu el laptop-ul şi deşi nu este în biroul său, poate să ăceară informaţii secretarei sau poate să îşi cerceteze poşta electronică pentru a fi la curent cu ultimele noutăţi, toate acestea fără să conecteze vreun cablu.

Există însăşi un revers al medaliei în cazul reţelelor fără fir. Pe lângă cea mai uşoară ăutilizare şi cea mai mare flexibilitate, o reţea fără fir este totodatăşi cea mai expusă din punct de vedere al vulnerabilităţii la interceptări neautorizate.

La nivelul fizic, oricine poate să acceseze o reţea fără fir. Nu este nevoie să tai cabluri, pentru că mediul de propagare al datelor este aerul. Ele pot trece prin ferestre, la fel de bine cum pot trece si prin pereţii subţiri din birourile obişnuite. Din fericire, nu este suficient în general sa ai acces la nivelul fizic pentru a obţine şi accesul efectiv la reţea, deoarece producătorii echipamentelor de comunicaţii au conceput modalităţi de criptare a informaţiilor, care să le facă inaccesibile intruşilor. Securitatea reţelelor wireless este un punct de discuţie foarte aprins, deoarece din motive de necunoştinţă a utilizatorilor sau de neprofesionalism al administratorilor, ori pentru a permite conectarea uşoară, aceste caracteristici de protecţie nu sunt întotdeauna activate.

Viitorul aparţine probabil unei combinaţii a tehnologiilor prezentate mai sus, la care se vor mai adăuga şi caracteristici venite din lumea telefoniei mobile.

(Ghid MCTI)

Este o tehnologie destul de recentăşi permite obţinerea unor capacităţi mult mai mari pentru transmiterea datelor informatice, fiind folosită în general între nodurile importante din reţea sau între reţele.

Fiind încă scumpă şi relativ dificil de manevrat şi conectat, fibra optică nu este folosită pentru conectarea echipamentelor din interiorul LAN-urilor, însă şi-a găsit aplicabilitatea perfectă ca parte a infrastructurilor furnizorilor de servicii, unde cerinţele de performanţă şi securitate sunt mai mari decât cele legate de preţ.

O conexiune pe fibră optică poate avea segmente de până la 4 kilometri, ceea ce reprezintă un alt avantaj faţă de cablurile de cupru care nu au acoperire mai mare de câteva sute de metri. Cablurile UTP si FTP au distanţa de acoperire de până în 100 de metri, distanţa pentru care sunt garantaţi parametrii de funcţionare a reţelei folosind acest tip de conexiune. Se foloseşte şi pe distanţe mai mari, însă garanţia funcţionării optime nu mai există. De asemenea, parametrii conexiunii pot fi dramatic perturbaţi de „zgomotul” pe care cablul îl percepe ca o antenă. Se pot folosi cabluri ecranate coaxiale de 75 ohmi, dar, şi în acest caz se întâlnesc aceleaşi limitări date de atenuarea de-a lungul cablului şi de zgomotul pe care cablul îl poate percepe.

Fibra optică are la bază un “fir”, mai subţire decât cel de păr, fabricat dintr-o sticlă foarte pură. Datele sunt transmise sub forma unor impulsuri luminoase (raze de lumină), care se reflectă de pereţii interiori, ajungând ca atare în celălalt capăt.

Transmiterea informaţiilor cu ajutorul luminii

Tehnologia pe care am descris-o mai sus are un avantaj neaşteptat. Fibra optică pe toată lungimea ei nu poate fi interceptată, deoarece nu emite radiaţii electromagnetice (prin ea nu circulă curent electric, ci lumină) şi nu poate fi secţionată (în cazul în care fibra se rupe, comunicaţia se întrerupe în totalitate). Acest aspect o face ideală pentru reţelele (sau segmentele de reţea) în care confidenţialitatea transferului este esenţială. Comunicaţia se întrerupe pe perioada secţionării, dar se poate relua imediat ce ruptura fibrei se remediază, chiar utilizând un adaptor prin care se poate capta traficul prin fibră.

(Ghid MCTI)

Calculatoarele sunt conectate în cadrul reţelele locale, metropolitane sau de mare întindere. La rândul lor, reţelele sunt legate între ele în ceea ce se numeşte Internet.

Internetul este o reţea globală de calculatoare. Orice calculator conectat la Internet poate să comunice cu orice alt calculator legat la Internet. Se poate face analogie cu reţeaua de străzi care permite unui autoturism ca plecând dintr-o localitate să ajungă în orice altă ălocalitate. Sunt străzi mai mici sau mai mari, iar ruta folosită nu este neapărat cea directă.

Internetul este o reţea descentralizată, în sensul că nu există o instituţie sau un stat care să îl deţină sau să îi guverneze funcţionarea. Susţinerea financiarăşi logistică se realizează de către companiile care îl accesează, iar administrarea sa este supravegheată de un comitet numit ICANN (Internet Corporation For Assigned Names and Numbers).

Datorită faptului că oricine din lume se poate conecta la Internet fără restricţii, acesta este considerat ca fiind public. Ca orice entitate deschisă accesului public, prezenţa pe Internet implică un risc considerabil, atât pentru persoane, cât mai ales pentru companii. Fiind un spaţiu deschis, Internetul permite şi persoanelor sau organizaţiilor rău intenţionate să ăcauzeze daune celorlalţi membri mai mult decât orice altă reţea.

În contextul în care informaţia a devenit foarte valoroasă, tentaţiile de fraudare a sistemelor care o conţin au devenit din ce în ce mai mari. Având ca motiv fie interese financiare, fie pur si simplu distracţia, infracţionalitatea şi-a găsit un loc bun şi în reţelele de calculatoare.

Pentru a permite companiilor să se protejeze de ameninţările venite din Internet, putând totodată să folosească avantajele care îl fac atât de popular, se foloseşte o arhitectură care poartă numele de Intranet. Intranetul este o reţea privată (spre deosebire de Internet care este publică) din interiorul unei firme sau instituţii. Calculatoarele din interiorul Intranetului nu sunt accesibile din exterior, însă pot accesa atât resursele interne cât şi resursele oferite de serverele din Internet. Acest lucru este posibil cu ajutorul unui dispozitiv numit firewall (nu există o traducere exactă în limba română, în unele lucrări este menţionat cu termenul de parafoc). Acesta este de fapt un filtru care permite conexiunile doar într-un singur sens, interior către exterior. O analogie destul de bună ăpentru un firewall este centrala telefonică privată, PBX, întâlnită la majoritatea firmelor cu mai mult de două birouri. Un firewall nu închide complet accesul din exterior decât dacă este programat să facă acest lucru; conexiunile prin firewall sunt bidirecţionale. Un firewall nu blochează, în mod curent, decât acele conexiuni neautorizate din exterior, lăsând utilizatorii Intranet să acceseze resurse atât din Intranet cât şi din Internet. Utilizatorii din afara Intranetului nu pot accesa decât acele informaţii la care firewall-ul permite accesul şi pentru care este configurat sa le pună la dispoziţie.

La fel ca şi telefoanele, calculatoare folosesc numere pentru a fi identificate. Acestea sunt organizate în patru grupuri de cifre, despărţite de semnul „ . ” (punct), numite adrese IP. Spre exemplu 193.230.122.12 este adresa unui server din Ministerul de Interne. Calculatoarelor dintr-o reţea le sunt alocate grupuri consecutive de câte 256, 128, 64, 32, 16, 8 sau 4 adrese, în funcţie de numărul echipamentelor care trebuie conectate. Un tip special de adrese IP îl reprezintă adresele private. Acestea sunt similare numerelor de interior din centralele PBX de care am vorbit mai sus.

Adresele private se recunosc uşor datorită faptului ca au o formă standard, adică ă10.xxx.xxx.xxx, 172.16.xxx.xxx, respectiv 192.168.x.x. Aceste adrese sunt folosite doar pentru calculatoarele din Intranet-uri.

Legătura între două reţele se face folosind un router. Acesta are câte o conexiune corespunzătoare fiecărei reţele din care face parte. În general, router-ul poate să fie un echipament dedicat, însăşi un PC obişnuit poate deservi acest rol.

Router-ul are rolul unui dispecer, care decide cărei reţele îi este destinată o informaţie pe care o primeşte, având în plus de multe ori rolul de firewall. Este cel mai răspândit echipament al Internetului, după PC, fiind punctul de intrare, respectiv de ieşire al informaţiilor dintre reţele. Este un fapt uzual ca între două calculatoare din Internet să fie mai multe router-e (pot fi chiar câteva zeci) care sunt tranzitate.

Informaţiile primite de către utilizatorul PC-ului de la server-ul partenerilor tranzitează mai multe routere

Datorită acestui rol important pe care îl are, router-ul este cel mai delicat echipament al reţelelor. Fiind echipamentul prin care sunt tranzitate atât de multe informaţii, compromiterea lui este echivalentă cu accesul, de obicei neautorizat, la toate aceste informaţii. În momentul în care controlezi accesul spre router-ul prin care o firmă se conectează la Internet, nu numai că ai acces la toate mesajele pe care firma le transmite partenerilor săi, dar obţii de asemenea o poartă deschisă către interiorul protejat al reţelei.

Atunci când o persoană compromite router-ul unei reţele, este foarte probabil să obţină controlul şi asupra altor resurse

(Ghid MCTI)

Acest capitol este dedicat înţelegerii posibilităţilor pe care le oferă reţelele de calculatoare şi Internetul, atât în ceea ce priveşte serviciile oferite, cât şi a posibilităţilor de a colecta informaţii despre acestea.

Internetul şi majoritatea reţelelor folosesc principiul client/server, de care am amintit în capitolul anterior. Servere de pe tot globul oferă anumite tipuri de servicii, iar clienţii (PCuri, calculatoare portabile sau telefoane) se conectează la acestea pentru a accesa informaţiile.

Principalele motive pentru folosirea atât de largă a acestei arhitecturi sunt:

• stocarea informaţiei într-un singur loc, de unde poate fi redistribuită cu uşurinţă ăcătre clienţi;
• dedicarea resurselor de calcul (a serverelor) unor sarcini specifice cum ar fi spre exemplu poşta electronică – unde este implicată mutarea informaţiilor în siguranţă dintr-un punct în altul.

Clienţii (adică acele computere ce funcţionează cu drept de client într-o reţea) pot avea o varietate foarte mare şi pot fi opriţi şi porniţi fără să afecteze buna funcţionare a reţelelor.

Ceea ce trebuie reţinut în primul rând în ceea ce priveşte marea majoritate a serviciilor de Internet este că există:

• un program (aplicaţie software) client pe de o parte;
• un program server de cealaltă parte;
• conexiuni între client şi server;
• conexiuni între mai multe servere;
• conexiuni directe între clienţi.

Procesul de transfer a fişierelor de pe server pe client poartă numele de download, iar cel invers este numit upload.

În toate aceste cazuri, relevant din punctul de vedere al securităţii este răspunsul la următoarele întrebări:

• cine „vorbeşte”?
• cu cine?
• pe ce cale?
• ce informaţii se schimbă?

Vom analiza cele mai importante dintre serviciile folosite pe Internet în acest capitol, după ăce vom descrie pe scurt câteva dintre noţiunile legate de protocoalele şi standardele ce stau la baza Internetului.

Principala dificultate care se întâlneşte atunci când sunt interconectate atât de multe calculatoare este găsirea unui limbaj comun pentru a schimba informaţii. Această ădificultate este rezolvată prin adoptarea unor standarde globale. În lumea Internetului, la fel ca şi în alte comunităţi, definirea acestor standarde se face într-o manieră colaborativă. Baza standardelor Internet este descrisă în documente care poartă numele de RFC-uri (Request for Comments). Există persoane care sunt responsabile de întreţinerea acestor documente, oricine fiind binevenit să completeze şi să le comenteze.

Aceste documente există pentru a defini protocoalele care sunt folosite în Internet. Un protocol este un limbaj (format de date) pe care două calculatoare îl folosesc pentru a trimite şi primi informaţii.

Există o mare varietate de protocoale din care se poate alege. Fiecare are avantaje şi dezavantaje; spre exemplu unele sunt mai simple decât altele, unele sunt mai sigure, în timp ce altele sunt rapide.

Locul în care se pot găsi informaţii foarte cuprinzătoare despre protocoale este la http://www.ietf.org/rfc.html. Aici se găsesc documentele RFC pentru fiecare standard al Internetului. Fiecare din aceste documente are asociat un număr de 3 sau 4 cifre. Spre exemplu, RFC822 tratează aspecte legate de formatul în care se face schimbul de mesaje de poştă electronică.

Pentru a înţelege în mare cum funcţionează Internetul, trebuie înţeles cum comunică între ele calculatoarele client şi server. Există două tipuri de comunicaţii care sunt importante: modul conectat şi modul fără conexiune. Acestea se bazează pe transferul datelor în pachete.

• pachetele TCP (Transmission Control Protocol) reprezintă modul conectat de comunicaţie. Clientul este conectat temporar la un server, după negocierea unui canal specific. Comunicarea se face tot prin pachete de date, însă există o ordine a acestora, continuitatea acestora fiind asigurată. Acest mod este similar cu telefonia, în sensul că pentru a putea vorbi se stabileşte o conexiune temporară;
• pachetele UDP (User Datagram Protocol) constituie modul de comunicaţie fără ăconexiune. Este similar cu sistemul poştal, în sensul că pachetele de informaţii (scrisorile) sunt trimise în general fără confirmare de primire, în speranţa că ele vor ajunge, fără a exista o legătură efectivă între expeditor şi destinatar.

Majoritatea protocoalelor despre care vom vorbi în acest capitol se bazează pe TCP, adică ămodul de transmitere a informaţiilor bazat pe conexiune.

Am definit în capitolul anterior noţiunea de adresa IP. Fiecare calculator şi deci şi fiecare server are o astfel de adresă. Cum un calculator poate defini mai multe servicii, trebuie să ăexiste o modalitate de a identifica aceste servicii. Pentru aceasta se foloseşte conceptul de port, adică un număr care identifică serviciul care trebuie accesat. Pentru a înţelege cel mai bine raţiunea pentru care există acest concept, cel mai uşor este să ne gândim la o adresă poştală: pentru a găsi o persoană nu este suficient să cunoaştem adresa clădirii în care lucrează – adică adresa IP pentru calculatoare, ci şi numărul biroului sau al camerei – adică portul.

Pe scurt, numărul portului indică serverului serviciul care se doreşte accesat. Spre exemplu 80 este numărul portului pentru HTTP (HyperText Transport Protocol), folosit pentru transferul paginilor de pe site-urile Web.

Adresele IP sunt prin natura lor numerice, pentru a putea fi uşor folosite de calculatoare. Oamenii însă reţin greu numere aparent aleatoare, iar pentru acest lucru a fost conceput un serviciu care poartă numele de DNS. DNS este prescurtarea de la Domain Name Service şi este pentru reţele ceea ce agenda din telefonul mobil este pentru numerele prietenilor, diferenţa fiind scara la care se realizează operaţiile. Un server DNS conţine deci corespondenţele între numele serverelor şi adresa lor IP, la fel cum agenda telefonului conţine corespondenţa între numele cunoştinţelor şi numerele lor de telefon.

Calculatoarele sunt organizate în domenii, cuprinse unele în celelalte. În figura de mai jos am luat ca exemplu o configuraţie obişnuită. În domeniul .ro (România), există domeniul ministerul-sanatatii, în care există domeniul cercetare. În aceste domenii existăşi servere care poartă alte nume.

Organizarea pe care am descris-o mai sus este la nivel logic (adică nu nivel fizic) şi poate la rândul ei să fie asemănată cu adresele poştale: în ţară (RO) există mai multe oraşe, în care există străzi, ş.a.m.d. Diferenţa este că pentru calculatoare nu există restricţii geografice. Un server sau un calculator poate aparţine unui domeniu cu toate că nu este nici măcar pe acelaşi continent cu celelalte.

Pentru a identifica unic un calculator se scriu domeniile separate de puncte, începând cu unitatea cea mai mică. Spre exemplu serverul din colţul din stânga al figurii de mai sus este identificat cu numele www.cercetare.ministerul-sanatatii.ro. Celelalte sunt www.ministerul-sanatatii.ro, respectiv videoconf.ministerul-sanatatii.ro.

Pentru a înţelege mai bine o adresă poştală obişnuită s-ar scrie: 19.speranţei.piteşti.ag.ro. Până acum am reuşit să adresăm unic un calculator. De aici până la utilizatorul acestuia a mai rămas doar un pas. Dacă am dori să îi scriem o scrisoare lui George, care stă în Piteşti, strada Speranţei, numărul 19, şi am folosi convenţiile din calculatoare, am scrie: george@19.speranţei.piteşti.ag.ro. Similar, pentru adresele de e-mail se foloseşte forma utilizator@nume-domeniu spre exemplu ipopescu@ministerul-sanatatii.ro.

(Ghid MCTI)

În general un transfer începe cu o cerere pe care clientul o face către server ca urmare a unei acţiuni a utilizatorului, cum ar fi introducerea unei adrese sau click-ul pe o legătură către una. Adresele mai poartă şi denumirea de URL-uri, acronim de la Universal Resource Locator. Acestea specifică protocolul care va fi folosit, server-ul şi portul TCP, indicând totodată informaţia care se doreşte căutată.

Un exemplu de URL, al unei pagini care furnizează informaţii despre UNESCO, este http://ro.wikipedia.org/wiki/UNESCO acesta cuprinzând următoarele informaţii:

• http:// - protocolul utilizat pentru transferul informaţiilor. În acest caz este vorba despre HTTP, despre care am vorbit mai devreme, însă, după cum vom vedea în cele ce urmează, ar putea să fie https://, ftp://, irc://, etc. Specificarea protocolului este necesară pentru a putea stabili un limbaj comun între calculatoare. Dacă acest mecanism ar fi aplicat spre exemplu la telefoane, acestea ar avea forma română://0721234321, pentru o conversaţie care se aşteaptă să fie în limba română, respectiv engleză://0721234321 sau fax://0721234321 pentru alte „protocoale”.
• ro.wikipedia.org – numele serverului la care trebuie să se realizeze conexiunea
• /wiki/UNESCO – calea resursei care se doreşte accesată.

(Sursa: MCTI)

E-mail-ul – poşta electronică – este probabil serviciul care a contribuit cel mai mult la creşterea atât de mare a popularităţii Internetului, fiind încă unul din principalele motive pentru care lumea se conectează la această reţea.

Cheia succesului constă chiar în caracteristicile sale: este rapid, foarte ieftin şi constituie o metodă excelentă de comunicare cu ceilalţi, pentru că un mesaj poate conţine orice: text, imagini, muzică sau chiar filmuleţe. În plus, în timp ce unei scrisori obişnuite îi trebuiesc zile sau săptămâni să ajungă la destinaţie, unui mesaj obişnuit îi sunt suficiente câteva secunde pentru a ajunge în celălalt capăt al planetei.

Din punctul de vedere al confidenţialităţii însă, lucrurile nu stau chiar atât de bine. Deşi simbolul folosit în general pentru a reprezenta acest serviciu este un plic închis, în realitate lucrurile nu stau de loc aşa. Un simbol mult mai potrivit pentru e-mail ar fi cartea poştală.

Deşi o carte poştală nu poate fi citită de oricine, este suficient săştii că poştaşul poate să o consulte înainte de a o livra pentru a îţi da seama că nu trebuie să scrii PIN-ul card-ului de credit sau o declaraţie de dragoste secretă pe spatele acesteia. Similar, mesajele de poştă ăelectronică sunt transferate în reţea folosind text clar, lucru care, combinat cu posibilitatea uşoară de a le intercepta, le face foarte vulnerabile.

Cea mai comună metodă de protecţie a e-mail-ului este criptarea sa. Sunt folosite în general două tehnologii pentru a face acest lucru: PGP (Pretty Good Privacy), respectiv PEM (Privacy Enhanced Mail). Ambele permit atât confidenţialitatea mesajelor prin criptarea conţinutului, cât şi verificarea originii cu ajutorul semnăturilor digitale.

Criptarea mesajelor, deşi a crescut procentual în ultimii ani, rămâne destul de puţin folosită, ceea ce face ca poşta electronică să fie considerată un mediu de comunicare nesigur. În ciuda acestui fapt, incidentele legate de e-mail sunt destul de rare.

Pentru a trimite, şi respectiv pentru a primi mesaje electronice sunt folosite mai multe protocoale: SMTP (Simple Mail Transfer Protocol) pentru transferul mesajelor de la expeditor la server, şi între servere, respectiv POP3 (Post Office Protocol) pentru primirea poştei. Un alt protocol care se foloseşte pentru e-mail este IMAP (Internet Message Access Protocol), o variantă îmbunătăţită a POP3.

În general, furnizorul de servicii de reţea – ISP (Internet Service Provider) este responsabil pentru crearea cutiilor poştale. Acestea au asociată una sau mai multe adrese de e-mail. O cutie poştală nu este decât un fişier pe un server de e-mail, unde sunt colectate mesajele primite către adresele asociate. Atunci când clientul se conectează la server, transferă mesajele din aceste fişiere pe calculatorul propriu.

În figura de mai jos este descris procesul care se desfăşoară pentru a trimite un mesaj de la George Popescu din Ministerul Transporturilor către John Doe, care lucrează la filiala din Londra a IBM:

Paşii care sunt efectuaţi sunt următorii:

1. .George compune mesajul în programul său de poştă electronică (aplicaţia client). Completează în câmpul Destinatar (To:) adresa de e-mail a lui John.

În acest program este configurat numele serverului de e-mail care conţine cutia sa poştală (corespunzătoare adresei george@mt.ro).

2. Atunci când apasă butonul Trimitere (Send) din program, se stabileşte o conexiune între calculatorul său şi portul 25, corespunzător protocolului SMTP al serverului, conexiune folosită pentru a trimite acestuia conţinutul mesajului.

3. Serverul de mail primeşte mesajul şi unul din programele sale (aplicaţia server) cercetează informaţia referitoare la destinatar. Din adresa john_doe@uk.ibm.com  decupează numele serverului, adică uk.ibm.com. Folosind serviciul DNS, află adresa IP a acestuia.

4. Serverul de e-mail din Ministerul Transporturilor stabileşte o conexiune directă cu serverul uk.ibm.com, a cărui adresă IP a determinat-o la pasul anterior, trimiţând prin canalul stabilit mesajul destinat lui Joe.

5. Serverul din Marea Britanie preia mesajul, validează adresa destinatarului, verificând faptul că john_doe este într-adevăr un utilizator al sistemului şi stochează acest mesaj în cutia poştală electronică a lui John.

6. Atunci când PC-ul lui John se conectează la Internet şi John solicită primirea poştei, programul client se conectează la server folosind protocolul POP3 (portul 110) sau IMAP (portul 143). Folosind conexiunea stabilită, de pe server sunt transferate toate mesajele primite de la ultima solicitare.

7. Programul client al lui John prelucrează datele primite, afişându-le pe ecran.

Spre ilustrare, iată cum arată conversaţia între două servere, mai întâi pentru protocolul SMTP, apoi pentru POP3.

SMTP (port 25):

user@unix.host:~$ telnet mtagate1.uk.ibm.com 25
Trying 195.212.29.134...
. Connected to mtagate1.uk.ibm.com.
. Escape character is '^]'.
. 220 IBM ESMTP Mail Service mtagate1.uk.ibm.com
HELO mt.ro
250 mtagate1.uk.ibm.com Hello [82.137.16.234], pleased to meet you
MAIL FROM: george@mt.ro
250 2.1.0 george@mt.ro... Sender ok
RCPT TO: john_doe@uk.ibm.com
250 2.1.5 john_doe@uk.ibm.com... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself ends message

John,

Ţi-am trimis confirmarea de plăţii pentru factura din Noiembrie 2003. Seria acesteia este 0123 456 786. Dacă mai ai nevoie de alte date, nu ezita să mi le ceri.

Cu respect,
George Popescu
Contabil Şef
Direcţia de Transporturi Speciale .
250 LAA13366 Message accepted for delivery

POP3 (port 110)

user@unix.host:~$ telnet pop3.uk.ibm.com 110
+OK POP3 pop3.uk.ibm.com v2001.78 server ready
user cdinu
+OK User name accepted, password please
pass email
+OK Mailbox open, 2 messages
retr 1
+OK 2539 octets

From - Fri Jan 02 19:54:57 2004
X-UIDL: 3fd8186b00000043
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
From: "George Popescu" <george@mt.ro>
To: <john_doe@uk.ibm.com>
Subject: =?iso-8859-2?Q?Confirmare_plat=E3?=
Date: Fri, 2 Jan 2004 19:40:13 +0200
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-RAVMilter-Version: 8.4.3(snapshot 20030212) (mta4.xnet.ro)
Status: RO

John,
Ţi-am trimis confirmarea de plăţii pentru factura din Noiembrie 2003.
Seria acesteia este 0123 456 786.
Dacă mai ai nevoie de alte date, nu ezita să mi le ceri.

Cu respect,
George Popescu
Contabil Şef
Direcţia de Transporturi Speciale

dele 1
+OK Message deleted
quit
+OK Sayonara

(Ghid MCTI)

Hyper Text Transport Protocol este nucleul traficului pe World Wide Web (sau WWW) în Internet sau în reţelele private şi este în esenţă un protocol foarte simplu. Se stabileşte o conexiune, se cere un document, trimiţându-se eventual un set de parametri.

HTTP a fost creat iniţial pentru a servi la organizarea mai bună a documentelor în lumea academică. Conceptul de bază de la care s-a plecat atunci când a fost proiectat a fost, după ăcum îi spune şi numele, acela de hipertext. Acesta este un sistem de reprezentare a informaţiei în care pot fi create legături între obiecte (text, imagini, secvenţe video). Atunci când un obiect este selectat, se pot vedea obiectele legate de el. Spre exemplu, citind un document despre muzica clasică, un click cu mouse-ul pe Concertul pentru clavecin şi orchestră, face ca pe ecran să fie afişate mai multe informaţii despre această creaţie, iar un click pe numele Mozart poate să afişeze o imagine a compozitorului. Un alt click poate descărca un fişier audio conţinând concertul.

Acest concept permite organizarea foarte bună a informaţiilor dispersate care formează prin legăturile dintre ele o reţea ca o plasă (web, în engleză). Atunci când informaţiile sunt stocate pe calculatoare din întreaga lume, această reţea devine World Wide Web sau, prescurtat WWW.

Iatăşi o descriere a componentelor implicate într-un transfer HTTP:

• software client: uzual poartă denumirea de browser, cel mai popular astfel de program fiind în acest moment Internet Explorer. Alternative sunt oferite de Netscape Navigator, Mozilla şi Opera;
• calculatorul clientului, care este conectat la o reţea (de regulă Internet);
• server-ul, conectat în aceeaşi reţea ca şi clienţii care îl accesează;
• aplicaţii pe server care implementează protocolul http.

2 noiembrie 1988 este o zi importantă pentru Internet. În acea zi un proaspăt absolvent al Universităţii Cornell din Statele Unite, Robert Morris Jr., a executat un program de tipul vierme, primul program care a afectat într-un mod foarte serios Internet-ul. În câteva secunde, mii de calculatoare de pe întreg teritoriul Statelor Unite au fost scoase din funcţiune de neobişnuitul program. Sute de reţele ale institutelor de cercetare, universităţilor, dar şi ale celor câteva companii care erau conectate în acea vreme la Internet au fost afectate.

În decursul a câteva ore a fost format un grup de voluntari care să rezolve cât mai rapid această situaţie urgentă. Membrii grupului, denumit „Virus Net”, comunicau cu ajutorul telefonului şi al segmentelor neafectate ale reţelei. În urma unui efort deosebit au reuşit să identifice cauza problemei, să izoleze programul virus şi să găsească o slăbiciune în codul acestuia. Această descoperire a făcut ca răspândirea virusului să fie oprită într-un timp record de 24 de ore de la apariţie.

Modalitatea prin care programul, denumit vierme, deoarece se propagă prin reţea, a infectat şi oprit atât de multe calculatoare este foarte simplă. După ce programul infecta un calculator crea două copii ale sale în memorie, al căror scop era să caute alte calculatoare care să poată fi infectate. Aceste două copii creau fiecare la rândul lor câte două copii ale virusului. Un calcul simplu, arată că la a 16-a „generaţie” pe calculator existau mai mult de 65 de mii de copii ale programului pe sistemul infectat, si alte 65 de mii de alte calculatoare cercetate pentru a fi infectate.

Cum programul nu se oprea, el ajungea în timp foarte scurt să consume toate resursele calculatorului, acesta nemaifiind capabil să răspundă comenzilor utilizatorilor legitimi. Deşi problema se rezolva printr-o simplă repornire a calculatorului, era foarte probabil ca acesta să fie reinfectat în foarte scurt timp, de către celelalte sisteme care rulau copii ale virusului.

Deşi nu a avut efecte catastrofale, Internet-ul fiind format din foarte puţine calculatoare la acea vreme (câteva zeci de mii, faţă de câteva sute de milioane câte sunt acum), acest incident a tras un serios semnal de alarmă în ceea ce priveşte securitatea sistemelor informatice în general şi a reţelelor în special.

Virusul lui Morris a revelat vulnerabilitatea Internetului şi a făcut să fie conştientizată nevoia de securizare a acestuia, având acelaşi efect asupra lumii informatice ca şi efectul primei deturnări a unui avion de pasageri, în 1960, asupra lumii aviaţiei.

Criminalitatea informatică reprezintă un fenomen al zilelor noastre, reflectat în mod frecvent în mass-media. Un studiu indică chiar că teama de atacuri informatice depăşeşte în intensitate pe cea faţă de furturi sau fraude obişnuite. Cercetările criminologice asupra infracţiunilor realizate prin sistemele informatice se află încă în stadiul tatonărilor. Chiar şi cele realizate până în acest moment tind să schimbe modul clasic în care sunt privite infracţiunile în sistemele actuale de justiţie penală.

Doar o mică parte din faptele penale legate de utilizarea sistemelor informatice ajung la cunoştinţa organelor de cercetare penală, astfel încât este foarte greu de realizat o privire de ansamblu asupra amplorii şi evoluţiei fenomenului. Dacă este posibil să se realizeze o descriere adecvată a tipurilor de fapte penale întâlnite, este foarte dificilă prezentarea unei sinteze fundamentate asupra întinderii pierderilor cauzate de acestea, precum şi a numărului real de infracţiuni comise. umărul cazurilor de infracţiuni informatice este în continuă creştere. Astfel, în Germania au fost înregistrate în 1996 32.128 de astfel de cazuri, în Olanda, în perioada 1981-1992 au fost întâlnite 1400 de cazuri, iar în Japonia, între 1971 şi 1995, 6671 de cazuri. S-a estimat că doar 5% din faptele comise ajung la cunoştinţa organelor de urmărire penală. Pentru a contracara această lipsă de informaţie, s-a recurs la procedeul sondajelor. Ultimul sondaj efectuat de Computer Crime Institute şi Federal Bureau of Investigation (FBI) în 2003 indică pierderi de 201.797.340 de dolari în cazul a 538 de întreprinderi şi instituţii din SUA chestionate. În cursul anului 2003, serviciile specializate din România au cercetat doar 200 de infracţiuni de natură ăinformatică din care 50% au fost licitaţii electronice frauduloase, 30% bunuri comandate on-line fraudulos, 10% au privit accesul neautorizat la sisteme informatice şi 10% referindu-se la scrisori nigeriene, transmiterea de viruşi, pornografie infantilă, folosirea de identităţi false.

Cifra neagră este motivată de mai multe cauze, dintre care amintim:

• tehnologia sofisticată utilizată de făptuitori;
• lipsa instruirii specifice a ofiţerilor din cadrul organelor de urmărire penală;
• lipsa unui plan de reacţie în caz de atacuri, din partea victimelor acestor fapte penale, fapt ce poate duce la neidentificarea pierderilor provocate;
• reţinerile în a raporta organelor de cercetare penală săvârşirea infracţiunilor.

În aceasta din urmă situaţie, chiar dacă infracţiunea a fost sesizată, victimele nu înştiinţează organele de urmărire penală în vederea descoperirii şi sancţionării făptuitorului. Motivaţiile acestui comportament sunt multiple. Dintre acestea, amintim preocupările faţă de imaginea publică, ce ar putea fi afectată de publicitatea în jurul infracţiunii; dorinţa de a nu suporta costurile unei eventuale investigaţii, având în vedere complexitatea unei asemenea cercetări; nu în ultimul rând, lipsa posibilităţii de a recupera pierderile suferite, chiar în cazul identificării făptuitorului.

În acelaşi timp, investigaţiile în domeniul infracţionalităţii informatice sunt, prin natura lor, complexe şi implică utilizarea de echipamente sofisticate, cu costuri ridicate. De asemenea, pregătirea personalului de specialitate este un proces de duratăşi implică ăcosturi mari. Asemenea investigaţii sunt consumatoare de timp. Un investigator în domeniul criminalităţii informatice poate lucra la maximum 3-4 cazuri pe lună, în timp ce un investigator tradiţional poate soluţiona între 40 şi 50 de cazuri în aceeaşi perioadă de timp.

Video: CyberCrime

Probele digitale sunt acele informaţii cu valoare doveditoare pentru organele de urmărire penală şi pentru instanţele judecătoreşti, care sunt stocate, prelucrate sau transmise prin intermediul unui sistem informatic. Ele sunt definite ca:

orice informaţie cu valoare probantă care este fie stocată, prelucrată sau transmisă ăîntr-un format digital.

Probele digitale cuprind probele informatice, probele audio digitale, video digitale, cele produse sau transmise prin telefoane mobile, faxuri digitale, etc.

Una dintre particularităţile acestui tip de probe este că ele aparent nu sunt evidente, fiind conţinute în echipamentele informatice ce le stochează. Este nevoie de echipamente de investigaţie şi de software-uri specifice pentru a face ca aceste probe să ăfie disponibile, tangibile şi utilizabile.

Un alt aspect este legat de faptul că astfel de probe sunt foarte „fragile”, în sensul că pot fi modificate sau pot dispărea foarte uşor, prin metode care de multe ori sunt la îndemâna făptuitorilor. Din această cauză investigatorii trebuie să ia măsuri speciale de protecţie pentru a strânge, păstra şi examina aceste probe. Păstrarea acestor tipuri de probe a devenit o preocupare crescândă a investigatorilor din întreaga lume.

Necesitatea uniformizării practicii în domeniu a dus la elaborarea de standarde cu privire la probele digitale. În Anexele V şi VI sunt prezentate, ca exemplu, Standardele cu privire la probele digitale elaborate de International Organization on Computer Evidence (IOCE) şi de Scientific Working Group on Digital Evidence (SWGDE).

(Ghid MCTI)

Art. 34 – Prezentul titlu reglementează prevenirea şi combaterea criminalităţii informatice, prin măsuri specifice de prevenire, descoperire şi sancţionare a infracţiunilor săvârşite prin intermediul sistemelor informatice, asigurându-se respectarea drepturilor omului şi protecţia datelor personale.

Art.35 – (1) În prezentul titlu, termenii şi expresiile de mai jos au următorul înţeles:

1. prin „sistem informatic” se înţelege orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic;
2. prin „prelucrare automată ăa datelor” se înţelege procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
3. prin „program informatic” se înţelege un ansamblu de instrucţiuni care pot fi executate de un sistem informatic în vederea obţinerii unui rezultat determinat;
4. prin „date informatice” se înţelege orice reprezentare a unor fapte, informaţii sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic. În această categorie se include şi orice program informatic care poate determina realizarea unei funcţii de către un sistem informatic ;
5. prin „furnizor de servicii” se înţelege:
   1. orice persoană fizică sau juridică ce oferă utilizatorilor posibilitatea de a comunica prin intermediul sistemelor informatice;
   2. orice altă persoană fizică sau juridică ce prelucrează sau stochează ădate informatice pentru persoanele prevăzute la pct.1 şi pentru utilizatorii serviciilor oferite de acestea;
6. prin „date referitoare la traficul informaţional” se înţelege orice date informatice referitoare la o comunicare realizată printr-un sistem informatic şi produse de acesta, care reprezintă o parte din lanţul de comunicare, indicând originea, destinaţia, ruta, ora, data, mărimea, volumul şi durata comunicării, precum şi tipul serviciului utilizat pentru comunicare;
7. prin “date referitoare la utilizatori” se înţelege orice informaţie care poate conduce la identificarea unui utilizator, incluzând tipul de comunicaţie şi serviciul folosit, adresa poştală, adresa geografică, adresa de IP, numere de telefon sau alte numere de acces şi modalitatea de plată a serviciului respectiv, precum şi orice alte date care pot conduce la identificarea utilizatorului;
8. prin „măsuri de securitate” se înţelege folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricţionat sau interzis pentru anumite categorii de utilizatori;
9. prin „materiale pornografice cu minori” se înţelege orice material care prezintă un minor având un comportament sexual explicit sau o persoană majoră care este prezentată ca un minor având un comportament sexual explicit ori imagini care, deşi nu prezintă o persoană reală, simulează, în mod credibil, un minor având un comportament sexual explicit.

2. În sensul prezentului titlu, acţionează fără drept persoana care se află ăîn una din următoarele situaţii:
   
   2. nu este autorizată, în temeiul legii sau al unui contract;
   3. depăşeşte limitele autorizării;
   4. nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfăşura cercetări ştiinţifice sau de a efectua orice altă operaţiune într-un sistem informatic.

CAPITOLUL I - Terminologie

ARTICOLUL 1 - Definiţii

În sensul prezentei convenţii:

1. expresia sistem informatic desemnează orice dispozitiv izolat sau ansamblu de dispozitive interconectate ori aflate în legătură, care asigură ori dintre care unul sau mai multe elemente asigură, prin executarea unui program, prelucrarea automată a datelor;
2. expresia date informatice desemnează orice reprezentare de fapte, informaţii sau concepte sub o formă adecvată prelucrării într-un sistem informatic, inclusiv un program capabil să determine executarea unei funcţii de către un sistem informatic;
3. expresia furnizor de servicii desemnează:
   
   1. orice entitate publică sau privată care oferă utilizatorilor serviciilor sale posibilitatea de a comunica prin intermediul unui sistem informatic;
      şi
   2. orice altă entitate care prelucrează sau stochează date informatice pentru acest serviciu de comunicaţii sau pentru utilizatorii săi;
4. datele referitoare la trafic desemnează orice date având legătură cu o comunicare transmisă printr-un sistem informatic, produse de acest sistem în calitate de element al lanţului de comunicare, indicând originea, destinaţia, itinerarul, ora, data, mărimea, durata sau tipul de serviciu subiacent.

1. Sunt stabilite condiţii sterile din punct de vedere criminalistic. Toate mediile de stocare folosite în timpul procesului de examinare sunt pregătite recent, curăţite de date neesenţiale, verificate anti-virus şi testate înainte de utilizare;
    
2. Toate programele informatice folosite au licenţă ăşi pot fi folosite de instituţia respectivă;
    
3. Sistemul informatic original este examinat fizic. Se realizează o descriere a hardware-ului care este înregistrată. Se comentează orice element ieşit din comun întâlnit în timpul examinării fizice a sistemului informatic.
    
4. Sunt luate toate precauţiunile în timpul copierii sau accesului la mediile de stocare originale în scopul de a preveni transferul de viruşi, programe distructive sau orice alte conţinuturi inadvertente de pe/pe mediile de stocare originale. Se recunoaşte faptul că datorită limitărilor hardware şi ale sistemelor de operare acest lucru nu este tot timpul posibil;
    
5. Sunt verificate conţinutul CMOS şi ceasul intern, iar corectitudinea datei şi orei este înregistrată. Data şi ora ceasului intern este în mod frecvent importantă ăîn stabilirea datei şi orei creării sau modificării unor fişiere.
    
6. În mod normal, mediile de stocare originale nu sunt folosite în investigare. O copie identică ăsau o imagine fidelă ăa mediului de stocare original va fi realizată. Această copie sau imagine va fi folosită pentru examinarea propriu-zisă. Va fi înregistrată o descriere detaliată a procesului de creare a copiei sau imaginii.
    
7. Copia sau imaginea hard-disk-ului original va fi examinatăşi o descriere a ceea ce s-a observat va fi înregistrată.
    
8. Datele de boot-are precum şi fişierele de comandă operaţionale şi de configurare a sistemului, definite de utilizator (cum ar fi CONFIG. SYS sau AUTOEXEC.BAT) sunt examinate şi o descriere a ceea ce s-a observat va fi înregistrată.
    
9. Toate fişierele şterse care mai pot fi recuperate vor fi salvate. Atunci când este util sau posibil, primul caracter al fişierelor recuperate va fi modificat din HEX E5 în „-„ sau în alt caracter unic, în scop de identificare.
    
10. Se realizează, în mod normal, o listare a tuturor fişierelor conţinute de mediul de stocare examinat, indiferent dacă acestea conţin sau nu potenţiale probe.
     
11. Dacă este cazul, spaţiul nealocat este examinat pentru identificarea de date ascunse sau pierdute.
     
12. Dacă este cazul, spaţiul inactiv corespunzător fiecărui fişier este examinat pentru identificarea de date ascunse sau pierdute.
     
13. Se examinează conţinutul fiecărui fişier de date din directoarele rădăcinăşi fiecare sub-director (dacă este cazul).
     
14. Fişierele protejate cu parolă sunt deblocate şi examinate.
     
15. Se realizează o imprimare sau o copie a tot ceea ce aparent constituie probe. Fişierul sau locaţia de unde aceste posibile probe au fost obţinute este notat(ă) pe fiecare foaie imprimată. Toate probele sunt marcate, numerotate în ordine şi asigurate şi transmise în mod corespunzător.
     
16. Programele executabile de interes specific vor fi examinate. Fişierele de date ale utilizatorului care nu au putut fi accesate prin alte mijloace vor fi examinate folosind aplicaţia implicită.
     
17. Comentariile şi concluziile vor fi documentate în mod corespunzător.

(Ghid MCTI)