11
INVESTIGAREA FRAUDELOR INFORMATICE Prep.univ.drd.ing. IoanCosmin MIHAI Academia de Poliţie „Alexandru ioan Cuza” [email protected] Abstract The Internet is a phenomenon which changed our lives and continue to change our lives in future too. Nowadays, almost everything can be obtained from the Internet. The online business had a big amplitude lately so as the number of the fraud on the Internet. Like in the case of the real fraud, the investigator must consider the potential risk of the verifications such as: the alteration of the crime scene, the destruction of the important evidences or leaving behind remains which could alert the criminal. In this paper I made the analysis of the procedure online made by the investigator, the information acquisition from the informatics domain, the localization and the identification of the investigate subject, the technological methods for the localization and identification, the effectuation of verifications and searching in informatics domain. In the end I focus on the necessity of doing the verification and the perquisitions beside of qualified persons to identify the hidden files or the deleted files which can be recover with the help of special programs. 1. Introducere Internetul este un fenomen care nea schimbat şi ne va schimba în continuare vieţile. Posibilitatea pe care o avem astăzi de a afla aproape orice informaţie printrun simplu click este un lucru pe care acum 10 ani foarte puţină lume şi lar fi putut imagina. Încetîncet vieţile noastre se mută online. Citim ziarele online, scriem emailuri, comunicăm cu prietenii online. Comandăm produse online. Aflăm informaţii despre partenerii de afaceri sau chiar facem afaceri online. Cu cât creşte amploarea afacerilor online, cu atât creşte şi numărul de fraude realizate pe Internet. Ca şi în cazul fraudelor din lumea reală, investigatorul trebuie să ia în considerare riscurile potenţiale ale verificărilor cum ar fi alterarea locului faptei, distrugerea de probe importante sau lăsarea de urme ce îl pot alerta pe făptuitor. De acea în cazul anchetelor desfăşurate în lumea virtuală a reţelelor, investigatorul trebuie să se cunoască foarte bine softwareul, instrumentele şi aplicaţiile folosite prin testarea acestora întrun mediu sigur, înainte de începerea cercetării propriuzise. De asemenea, trebuie studiate conceptele de bază ale funcţionării Internetului şi ale reţelelor locale (conceptul clientserver, modul de realizare a comunicaţiilor, securizarea datelor, etc.).

Investigarea fraudelor informatice

Embed Size (px)

Citation preview

Page 1: Investigarea fraudelor informatice

INVESTIGAREA FRAUDELOR INFORMATICE

Prep.univ.drd.ing. Ioan­Cosmin MIHAI Academia de Poliţie „Alexandru ioan Cuza”

[email protected]

Abstract

The Internet is a phenomenon which changed our lives and continue to change our lives in future too. Nowadays, almost everything can be obtained from the Internet. The on­line business had a big amplitude lately so as the number of the fraud on the Internet.

Like in the case of the real fraud, the investigator must consider the potential risk of the verifications such as: the alteration of the crime scene, the destruction of the important evidences or leaving behind remains which could alert the criminal.

In this paper I made the analysis of the procedure on­line made by the investigator, the information acquisition from the informatics domain, the localization and the identification of the investigate subject, the technological methods for the localization and identification, the effectuation of verifications and searching in informatics domain.

In the end I focus on the necessity of doing the verification and the perquisitions beside of qualified persons to identify the hidden files or the deleted files which can be recover with the help of special programs.

1. Introducere

Internetul este un fenomen care ne­a schimbat şi ne va schimba în continuare vieţile. Posibilitatea pe care o avem astăzi de a afla aproape orice informaţie printr­un simplu click este un lucru pe care acum 10 ani foarte puţină lume şi l­ar fi putut imagina. Încet­încet vieţile noastre se mută on­line. Citim ziarele on­line, scriem email­uri, comunicăm cu prietenii on­line. Comandăm produse on­line. Aflăm informaţii despre partenerii de afaceri sau chiar facem afaceri on­line. Cu cât creşte amploarea afacerilor on­line, cu atât creşte şi numărul de fraude realizate pe Internet.

Ca şi în cazul fraudelor din lumea reală, investigatorul trebuie să ia în considerare riscurile potenţiale ale verificărilor cum ar fi alterarea locului faptei, distrugerea de probe importante sau lăsarea de urme ce îl pot alerta pe făptuitor.

De acea în cazul anchetelor desfăşurate în lumea virtuală a reţelelor, investigatorul trebuie să se cunoască foarte bine software­ul, instrumentele şi aplicaţiile folosite prin testarea acestora într­un mediu sigur, înainte de începerea cercetării propriu­zise. De asemenea, trebuie studiate conceptele de bază ale funcţionării Internetului şi ale reţelelor locale (conceptul client­server, modul de realizare a comunicaţiilor, securizarea datelor, etc.).

Page 2: Investigarea fraudelor informatice

2. Procedura desfăşurării investigaţiilor on­line

Toată procedura constă în adunarea probelor şi mijloacelor de probă care să conducă în final la identificarea făptuitorului.

O reţea de calculatoare este alcătuită din computere, unele mai complexe şi mai sofisticate decât altele, în funcţie de sarcina pe care trebuie să o îndeplinească. În acest context, probele trebuie căutate ţinând cont de funcţia pe care o îndeplineşte computerul investigat în reţea şi de modul cum acesta este configurat. În toate situaţiile, însă, comportamentul utilizatorilor este înregistrat în fişiere care poartă numele de „log” (jurnal). Aceste fişiere reprezintă principala resursă pentru identificarea indiciilor şi probelor în investigaţiile on­line.

În funcţie de anumiţi factori şi setări, mărimea acestor fişiere tinde să crească foarte repede, putând ajunge la câţiva Gigabytes pe zi, în situaţia unui Internet Server Provider (ISP). De aceea, în general, administratorii unor asemenea sisteme îşi configurează computerele astfel încât fişierele jurnal să fie păstrate doar pentru câteva zile după care sunt în mod automat şterse. Acesta este principalul motiv pentru care investigatorul trebuie să acţioneze cu rapiditate. Un alt motiv este securizarea probei respective înainte ca suspectul să o distrugă prin diferite mijloace.

Un alt aspect important în desfăşurarea investigaţiilor informatice este cooperarea anchetatorilor cu furnizorii de servicii Internet, cu operatorii de telecomunicaţii şi cu alte organisme private din domeniul tehnologiei informaţiei şi nu numai.

Infrastructura, organizarea şi multitudinea de reţele implicate in cadrul Internetului fac ca investigaţiile desfăşurate în acest mediu să fie foarte dificile. De exemplu, pentru a supraveghea comportamentul on­line al unui suspect, de cele mai multe ori este necesară cooperarea între mai multe organizaţii cu activităţi şi responsabilităţi în acest domeniu.

Caracterul transfrontalier al Internetului şi al infracţionalităţi informatice necesită un răspuns pe măsură prin realizarea unei cooperări internaţionale între jurisdicţiile şi instituţiile naţionale cu atribuţii în combaterea infracţiunilor informatice. De aceea este esenţial ca investigatorii din diferite ţări să conlucreze în pofida diferenţelor legislative şi procedurale, prin formarea unor puncte de contact în rândul forţelor de poliţie competente în domeniu.

În cazul în care nu există posibilităţi imediate pentru a solicita operatorilor de servicii de Internet sau telecomunicaţii sau forţelor de poliţie din afara graniţelor punerea la dispoziţie a probelor şi mijloacelor de probă, se poate solicita securizarea acestora şi păstrarea lor până la îndeplinirea condiţiilor de formă. În acest mod se vor înlătura inconvenienţele procedurale în anchetele cu implicaţii internaţionale iar în investigaţiile cu caracter naţional, se va asigura respectarea angajamentelor de confidenţialitate făcute de operatorii de servicii Internet şi de telecomunicaţii faţă de clienţi.

În investigarea fraudelor informatice trebuie avut în vedere elementul timp, prin acesta înţelegându­se diferenţele de fus orar şi cele generate de sincronizarea setărilor unui sistem cu timpul real.

3. Culegerea informaţiilor din mediul informatic

Culegerea datelor în mediul informatic şi transformarea acestora în probe se va face în funcţie de indiciile existente în cazul investigat, caracteristicile acestora determinând procedura ce trebuie urmată.

Astfel, dacă se porneşte de la o adresă de e­mail ([email protected]), în mod normal, primul lucru care va fi avut în vedere este identificarea posesorului acestei adrese.

In această situaţie se pot identifica mai multe posibilităţi :

Page 3: Investigarea fraudelor informatice

­ adresa de e­mail este gestionată de un operator naţional de servicii Internet, situaţie în care acesta trebuie contactat imediat, cu respectarea condiţiilor legale, în vederea aflării identităţii persoanei care utilizează adresa în cauză ;

­ adresa de e­mail nu este gestionată de un operator naţional de servicii Internet, situaţie în care, prin cooperare internaţională şi cu respectarea procedurilor legale, se pot solicita datele de identitate furnizate de titularul adresei de e­mail la constituirea acesteia. In acest caz se pot identifica adrese de e­mail aparţinând unor locaţii care oferă serviciul de e­mail gratuit (www.Yahoo.com; www.hotmail.com; etc.). Este motivul pentru care, la constituirea acestor adrese, utilizatorii furnizează date nereale cu privire la identitate, dat fiind faptul că aceste informaţii nu sunt verificate. Însă, în majoritatea cazurilor serverul va păstra suficiente informaţii referitoare la tipul de conectare şi la adresa de IP a utilizatorului.

De asemenea, cu ajutorul bazelor de date aparţinând unor site­uri dedicate acestui scop, se pot face căutări în vederea identificării eventualelor mesaje postate de titularul adresei respective de e­mail în cadrul unor forumuri sau grupuri de discuţii.

Dacă indiciul existent face referire la o adresă Web (exemplu : http ://numeweb.ro/paginaweb), cu ajutorul unui browser trebuie vizualizat site­ul în cauză, sau cu ajutorul unor aplicaţii acesta se poate copia în totalitate. Nu trebuie uitat faptul că adresa IP a calculatorului folosit pentru vizualizarea sau download­ul site­ului poate fi colectată de serverul web investigat.

Dacă informaţia privind comiterea unei fraude informatice face referire la un nume (nickname) sau canal IRC este recomandată folosirea motoarelor de căutare pe baza unor cuvinte cheie. O parte din aceste motoare de căutare vor folosi baze de date orientate în plan local dar se pot folosi şi serviciile unor site­uri precum Yahoo, Altavista, Google, etc. pentru o căutare aprofundată.

4. Localizarea şi identificarea subiectului investigat

În general, un utilizator poate fi identificat şi localizat pe baza analizării fişierelor jurnal care conţin înregistrările unor acţiuni şi evenimente cum ar fi conectarea sau deconectarea de la reţeaua Internet.

Analiza fişierelor jurnal va furniza date importante referitoare la cine s­a conectat de la un anume computer, unde este localizat acest computer, când s­a stabilit conexiunea şi cât a durat aceasta. Calculatorul care va genera fişierul jurnal va folosi în mod normal timpul local şi aşa cum s­a menţionat anterior trebuie luate în calcul diferenţele de fus orar şi cele legate de sincronizarea setărilor unui sistem cu timpul real.

Fişierele jurnal fac referire, în partea de început a acestora (header), la elementul timp sub forma unor abrevieri, ce trebuie cunoscute de investigator pentru a putea citi un asemenea log:

­ UT sau GMT – Universal/Greenwich mean time – timpul universal (Greenwich); ­ EST sau EDT – Eastern Time Zone – timpul din zona Est Europeană; ­ CST sau CDT – Central Time Zone – timpul din zona Central Europeană; ­ PST sau PDT – Pacific Time Zone­ timpul din zona Pacificului; ­ HHMM – orele (HH) şi minutele (MM) ce se scad din UT; ­ +HHMM – orele şi minutele ce se adaugă la UT; ­ Z – timpul universal; ­ A – timpul universal (UT) minus o oră; ­ M – timpul universal (UT) minus 12 ore; ­ N – timpul universal (UT) plus o oră; ­ Y – timpul universal (UT) plus 12 ore.

Page 4: Investigarea fraudelor informatice

De asemenea, trebuie avut în vedere faptul că o conexiune la Internet prin intermediul liniei telefonice şi a furnizorului local de asemenea servicii se realizează în fapt prin intermediul altor calculatoare interconectate. De aceea, trebuie luat în considerare, în momentul comparării, diferenţele de timp ce vor fi înregistrate de fişierele jurnal generate de sistemele implicate în conexiune.

Tipuri de fişiere jurnal ­ Fişierele jurnal ale serverelor (host), care vor fi diferite în funcţie de sistemul de operare

utilizat. În prezent se remarcă utilizarea din ce în ce mai răspândită a platformelor UNIX, fapt datorat în primul rând gratuităţii acestor sisteme de operare dar şi datorită stabilităţii şi securităţii sporite.

Majoritatea fişierelor de log generate de platforma UNIX sunt în format text şi stochează, fiecare în parte, în funcţie de configurarea sistemului în cauză, informaţii cu privire la toate procesele rulate de platforma de operare.

­ Fişierele jurnal ale aplicaţiilor client (programe pentru calculator scrise şi utilizate pentru a comunica cu un anumit server de pe Internet, în scopul asigurării unui anumit serviciu). Fiecare program de acest gen (browsere web, software de e­mail sau IRC, etc.) va genera fişiere log specifice care conţin informaţii foarte utile pentru investigator.

­ Fişierele jurnal de telecomunicaţii – pot fi identificate în situaţia în care conectarea la Internet s­a realizat prin intermediul unei reţele telefonice, iar înregistrarea acestora va putea fi solicitată, cu îndeplinirea condiţiilor legale, de la operatorul de telefonie prin care s­a realizat legătura cu serverul operatorului de servicii de Internet.

­ Fişierele jurnal stocate de serverele ISP – fac referire la momentul accesării (login) serverului, durata conexiunii (session) şi momentul deconectării (logout), şi pot fi identificate de la operatorul de servicii Internet, aceştia stocând aceste informaţii pentru a calcula şi deduce costurile legate de acces. De asemenea, o parte din Internet Server Providers pot stoca, în scopuri care ţin de politica firmei (publicitate, marketing) informaţii referitoare la locaţiile de Internet vizitate de client în timpul sesiunii, date care pot fi extrem de valoroase pentru investigator.

­ Fişierele jurnal de accesare a Internetului de către un utilizator aparţinând unei reţele locale – situaţie în care dispozitivele şi programele de securitate instalate pentru protecţia reţelei în cauză generează fişiere log ce pot conţine informaţii importante pentru anchetator.

5. Mijloace tehnice de localizare şi identificare a subiectului investigat

Majoritatea mijloacelor şi instrumentelor de localizare şi identificare sunt dezvoltate sub platforme UNIX dar pot fi folosite şi în cazul sistemelor MS Windows sau MAC.

Instrumentele ce vor fi prezentate funcţionează pe principiile unor aplicaţii client care comunică cu serverele făcând schimb de informaţii.

­ Traceroute – stabileşte ruta până la o anumită adresă IP, identificând porţile de acces (prin numele şi adresa IP a serverului în cauză) de­a lungul traseului parcurs. Acest instrument se poate folosi pentru a identifica locaţia unui calculator identificat prin IP;

­ Ping – verifică dacă serverul poate fi accesat prin trimiterea unei solicitări. Calculatorul verificat va răspunde confirmând starea sa de funcţionare şi faptul că o conexiune se poate stabili sau nu.

­ Whois – această aplicaţie oferă informaţii detaliate referitoare la aproape orice site web (numele domeniului, adresa de IP şi numele serverului, locaţia geografică, persoane şi informaţii de contact).

Page 5: Investigarea fraudelor informatice

6. Mijloace de interceptare a datelor

Există mai multe posibilităţi de interceptare a datelor, dar aceste tehnici complexe necesită cunoaşterea şi înţelegerea în totalitate a modului de organizare şi funcţionare a transmiterii datelor.

În acest sens, dacă se respectă condiţiile legale, se pot folosi următoarele tehnici de interceptare şi monitorizare a traficului subiectului investigat.

­ E­mail­box shadowing – constă în interceptarea şi copierea cu ajutorul operatorilor de Internet a mesajelor tip e­mail adresate sau trimise de suspect, aceste e­mail­uri trecând prin serverul de mail al ISP­ului;

­ Scanarea newsgroup­urilor – cu ajutorul programelor pentru calculator dedicate acestui scop, pe baza unor cuvinte cheie, dat fiind volumul foarte mare de date care se stochează şi care împiedică verificare în totalitate a acestora;

­ Interceptarea comunicaţiilor – folosindu­se dispozitive speciale (data analyser) care, dacă sunt plasate în anumite noduri de reţea (cât mai aproape de suspectul investigat), au capacitate de a intercepta şi filtra pachetele de date chiar în situaţia folosirii unor protocoale alternative. Unele din aceste dispozitive pot reface în totalitate fluxul informaţional original.

7. Efectuarea verificărilor şi percheziţiilor în mediul informatic

Deşi principiile stabilite de actele normative în vigoare pentru efectuarea unei verificări sau percheziţii nu se schimbă în mediul electronic, trebuie totuşi utilizate procese mentale şi aptitudini noi. Astfel, dacă în cazul unei percheziţii clasice, anchetatorul poate vizualiza obiectele ce ar putea constitui probe, în situaţia unei percheziţii efectuate într­un mediu informatic, dispozitivele de stocare a probelor electronice s­ar pute să nu fie atât de evidente pentru anchetator, mijloace importante de probă putând fi omise sau deteriorate în procesul de percheziţie.

Există trei probleme care trebuie abordate în legătură cu iniţierea şi executarea unei astfel de percheziţii:

­ prima ar fi ca în momentul solicitării autorizaţiei de percheziţie în cuprinsul acesteia să fie menţionat şi faptul că urmează să fie verificate şi mediile de stocare electronice.

­ cea de a doua priveşte locul unde se va efectua analiza probelor informatice, lucru care trebuie stabilit înainte de începerea verificării mediului informatic. Acestea s­ar putea desfăşura într­un laborator sau chiar la locul unde au fost descoperite probele, situaţie în care se va cunoaşte de la început dacă este necesară sau nu ridicarea elementelor de hardware în vederea verificării.

­ a treia problemă se referă la mediile ce vor fi cercetate, existând în esenţă trei categorii: calculatoarele de sine stătătoare, reţelele de calculatoare şi mediile de stocare portabile.

Pregătirea unei verificări sau percheziţii într­un mediu informatic necesită respectarea următoarelor etape:

­ colectarea informaţilor privind sistemele informatice ce urmează a fi verificate, tipul de stocare a datelor, locaţia echipamentului şi a dispozitivelor de stocare etc.

­ alegerea momentului efectuării verificării sau percheziţiei – depinde de doi factori: statutul sistemului informatic şi prezenţa sau absenţa anumitor persoane;

Page 6: Investigarea fraudelor informatice

­ stabilirea participanţilor la verificare sau percheziţie – în afara investigatorilor vor participa şi persoane cu calificare tehnică adecvată (criminalişti, ingineri de sistem, etc.);

­ stabilirea logisticii ce urmează a fi folosită (instrumente, programe software, medii neînregistrate, etc.);

În desfăşurarea propriu­zisă a verificării sau percheziţiei există câteva lucruri de o importanţă majoră ce trebuie realizate în primele minute imediat după iniţierea acţiunii, pe cât posibil în următoarea succesiune:

­securizarea locului faptei prin îndepărtarea persoanelor aflate la calculatoare, întrucât o parte din acestea ar putea avea aptitudinile şi chiar motivaţia necesară distrugerii probelor electronice. Vor fi identificate probele ce se află în pericol imediat (de exemplu, procesul formatării unui disc – situaţie în care se va întrerupe această operaţie chiar dacă este necesară deconectarea sistemului);

­stabilizarea mediului în care urmează să se desfăşoare verificarea prin asigurarea zonelor în care se află calculatoarele faţă de accesul tuturor persoanelor, respectiv prin stabilirea faptului dacă sistemul informatic verificat este conectat cu zona de afară – situaţie în care se va proceda la deconectare;

­identificarea persoanelor care au cunoştinţe şi aptitudini informatice – ce urmează a fi audiate cu privire la atribuţiile de serviciu şi informaţiile stocate în sistemul informatic;

­identificarea a cel puţin doi martori asistenţi neutri. Procedura verificării sau percheziţiei va continua prin inspectarea atentă a locului percheziţiei în

vederea identificării următoarelor elemente: ­ numărul şi tipul unităţilor centrale de procesare; ­ locaţia unităţii centrale de procesare; ­ tipul şi topologia reţelei; ­ sistemul de operare al reţelei; ­ dimensiunea şi natura mediilor de stocare a reţelei; ­ existenţa unor medii de efectuare a unor copii de rezervă.

8. Analizarea probelor şi transformarea acestora în mijloace de probă

Datele colectate referitoare la activităţile subiectului investigat se vor analiza prin mijloace specifice în vederea transformării acestora în mijloace de probă.

Analiza acestor date se va face în funcţie de natura acestora.

a. Mesajele de poştă electronică (e­mail) Serviciul de e­mail permite utilizatorului: ­ să trimită (send) şi să primească (receive) mesaje; ­ să răspundă (reply) şi să transmită mai departe (forward) mesajele primite; ­ să trimită un mesaj în acelaşi timp la mai multe adrese de e­mail; ­ să ataşeze diferite fişiere mesajului trimis; ­ să salveze sub diferite forme mesajul trimis şi să îl printeze; ­ să cripteze şi să ascundă mesajul.

Adresa de e­mail este formată din trei componente (de exemplu adresa [email protected]): ­nume utilizator „username” – (exemplu polacad);

Page 7: Investigarea fraudelor informatice

­numele serverului de mail unde este găzduită căsuţa poştală a utilizatorului – (exemplu Yahoo);

­prescurtarea tipului domeniului – (exemplu com).

Mesajele e­mail propriu­zise sunt similare unei scrisori clasice, fiind formate din două părţi principale: partea superioară (header) a e­mail­ului, care conţine informaţii referitoare la numele şi adresa expeditorului respectiv destinatarului, precum şi subiectul mesajului trimis, şi „corpul” acestuia (body) care cuprinde mesajul efectiv transmis.

Pentru investigator prezintă importanţă ambele părţi ale mesajului dar mai ales header­ul şi, în special, partea ascunsă a acestuia, respectiv proprietăţile mesajului.

Header­ul e­mail­ului mai poate conţine şi alte informaţii, unele ajutând la descrierea mai exactă a sistemului de care dispune suspectul investigat, altele furnizând mai multe informaţii referitoare la tipul de mesaj analizat.

Astfel, serverele de mail ale Hotmail şi Yahoo adaugă la header o linie de text deosebit de importantă pentru anchetator, referitoare la adresa de IP (X­originating­IP) a calculatorului de pe care s­a realizat conexiunea la aceste servere.

Analiza header­ului mesajelor primite sau trimise se poate face şi cu ajutorul unor programe pentru calculator speciale

Studierea fişierelor de e­mail ale suspectului poate releva suficiente informaţii referitoare la activitatea infracţională a acestuia. Cu acest prilej, de o mare importanţă pentru investigator sunt fişierele ce se pot ataşa mesajelor de e­mail (attachement). Este foarte uşor ca astfel de fişiere să fie redenumite şi salvate cu extensii diferite faţă de cele reale (fişierele document cu extensie .doc pot fi convertite în fişiere grafice .bmp, .jpeg, sau chiar într­un format inexistent), îngreunând astfel deschiderea şi citirea lor de către investigator.

b. Fişierele jurnal În analiza acestor fişiere trebuie avute în vedere câteva reguli de bază: ­ Se va lucra numai cu copii ale fişierelor analizate, iar datele originale se vor stoca în locuri

sigure. De asemenea, este recomandabil ca datele obţinute să fie organizate şi stocate sub forma unor baze de date sau tabele, care să permită sortarea lor în funcţie de diferite criterii.

Utilizarea unui software de analiză a datelor culese, în vederea identificării legăturilor existente între aceste informaţii, se poate dovedi de mare valoare pentru investigator.

­ Evenimentele investigate vor fi regrupate pentru a stabili dacă acestea se încadrează într­o linie cronologică firească;

­ Se va stabili ordinea cronologică a evenimentelor investigate pentru fiecare element în parte şi ulterior pentru toate fişierele de log, recalculând toate informaţiile în funcţie de tipul zonal în care se lucrează, cu sincronizările şi corecţiile necesare;

­ În cele din urmă se va verifica dacă ordinea cronologică a informaţiilor este respectată de toate fişierele jurnal, în succesiunea firească a acestora.

c. Paginile de web (WWW – World Wide Web) şi fişierele generate de activitatea pe Internet a suspectului

Multe organizaţii sau persoane îşi creează pagini de web speciale, cu informaţii referitoare la scopurile urmărite de structura respectivă, interesele individuale, etc. Atunci când conţinutul unor asemenea locaţii prejudiciază ordinea publică (propagandă rasistă, pornografie infantilă) sau interesele

Page 8: Investigarea fraudelor informatice

altor persoane (încălcarea drepturilor de proprietate intelectuală) se impune identificarea entităţilor aflate în spatele acestora.

Prima etapă în desfăşurarea investigaţiei constă în observarea directă a site­ului prin vizualizarea acestuia pentru a stabili dacă datele prezentate în paginile acestuia aduc atingere ordinii de drept sau intereselor publice sau personale. Cu această ocazie, pe baza linkurilor prezentate în pagina principală se poate crea o „hartă” a site­ului, cu indicarea paginilor care conţin date în cauză.

Următorul pas constă în stabilirea locaţiei fizice a site­ului, mai precis în identificarea serverului care îl găzduieşte. Această operaţie se face pe baza numelui de sau pe baza adresei de IP asociată numelui de domeniu.

Pentru stabilirea locaţiei site­ului se pot folosi programe pentru calculator dedicate acestui scop (VisualRoute, SamSpade, etc.).

În vederea asigurării materialului probator, investigarea on­line a site­ului în cauză poate necesita copierea (prin download) a unei părţi a informaţiilor conţinute de paginile acestuia sau a întregului site, operaţie ce se poate realiza, de asemenea, cu ajutorul unor programe pentru calculator specializate.

Paginile web (în secţiunea „Contact” şi nu numai) pot oferi, prin conţinutul propriu­zis al acestora, informaţii importante pentru identificarea celui care a creat site­ul (adrese de e­mail şi chiar numere de telefon pentru eventualitatea în care vizitatorul doreşte să îl contacteze pe „titularul” site­ ului).

Dacă se constată că suspectul a creat site­ul respectiv folosind calculatorul personal (ce trebuie identificat şi indisponibilizat în urma unei percheziţii), înainte ca acesta să fie încărcat (upload) pe serverul care îl găzduieşte, atunci informaţiile prezentate pe paginile web investigate vor fi regăsite pe mediile de stocare ale acestui computer. Mai mult, prin verificarea browser­ului folosit şi a directoarelor „History”, „Favourites”, „Cache/Temporary Internet Files” şi „Cookies”, anchetatorul va putea stabili locaţiile de Internet vizitate în mod uzual, determinând profilul suspectului.

d. IRC (Internet Relay Chat) IRC este un serviciu care permite comunicarea în scris între două sau mai multe persoane în

timp real. Utilizatorii, cunoscuţi sub un anumit nume („nickname”), rulează un program, denumit client (de exemplu mIRC etc.), cu ajutorul căruia se conectează la serverele sau reţeaua IRC unde vor intra pe unul din multele „canale” existente, unde pot comunica cu celelalte persoane.

Conversaţia respectivă poate să fie publică (situaţie în care toate persoanele aflate pe canalul în cauză vor putea citi ceea ce scriu ceilalţi) sau privată(între două sau mai multe persoane, fără ca celelalte persoane aflate pe canalul respectiv să poată citi mesajele transmise).

Există foarte multe canale, fiecare fiind împărţit între toate serverele şi reţelele IRC, astfel încât un utilizator nu trebuie să fie conectat la acelaşi server cu persoanele cu care corespondează. Unele din aceste canale sunt secrete, în sensul că accesul va fi permis numai unor indivizi selectaţi în prealabil.

Conversaţiile pe chat se desfăşoară folosindu­se anumite prescurtări sau simboluri ce trebuie cunoscute de investigator pentru a înţelege ce se discută.

Investigarea fişierelor log ce se pot identifica în computerul suspectului sau în serverele de IRC pot scoate la iveală date foarte importante în legătură cu activitatea infracţională a celui în cauză.

e. Grupurile de discuţii(News Groups­Usenet) Spre deosebire de IRC, discuţiile în cadrul grupurilor de Usenet nu se desfăşoară în timp real. O

persoană care doreşte să trimită un mesaj unui anumit grup o poate face utilizând un software similar celui de e­mail („group mail”) iar răspunsurile sau reply­urile se pot transmite pe aceeaşi cale sau alternativ printr­un e­mail adresat direct persoanei care a trimis mesajul iniţial.

Page 9: Investigarea fraudelor informatice

Grupurile de discuţii specializate în subiecte ilegale, precum pornografia infantilă, sunt găzduite de servere ce se află în alte ţări decât cea de origine a membrilor grupului

Aceste grupuri de discuţii sunt un mediu propice şi pentru comercializarea unor produse rezultate din activităţi infracţionale sau materiale audio, video sau software „piratat”.

Analizarea mesajelor de Usenet, care sunt similare cu cele de e­mail, se va face în acelaşi mod ca în cazul acestora din urmă, în special în privinţa „header­ului”, cu ajutorul unor programe pentru calculator specializate.

Internetul oferă şi alte servicii de comunicaţie precum ICQ – „I Seek You” (o variantă mai avansată de IRC, care permite notificarea utilizatorului în momentul în care o anumită persoană este conectată la Internet) sau Netmeeting (un program care oferă posibilitatea comunicării în timp real prin imagine şi sunet).

f. Fişierele temporare Informaţii importante pot fi identificate în diverse tipuri de fişiere temporare cum ar fi cele

stocate în directoarele Temporary, Temporary Internet Files (Windows Explorer), Cache (Netscape Navigator) sau în fişierul Swapfile (Windows).

Fişierele temporare sunt create de sistemul de operare în scopul de a creşte capacitatea de prelucrare şi memorare a datelor.

Analizarea acestor fişiere se va face cu respectarea regulilor enunţate mai sus, pentru a preveni distrugerea sau modificarea lor.

9. Analizarea mediilor de stocare indisponibilizate cu ocazia verificărilor

Scopul analizării mediilor de stocare indisponibilizate pe parcursul verificărilor este de a identifica probe care să confirme sau să înlăture suspiciunile referitoare la săvârşirea unei fraude informatice.

Un mediu de stocare poate conţine în mod normal următoarele tipuri de fişiere: ­ fişiere ale unor programe pentru calculator; ­ fişiere generate de utilizator; ­ fişiere temporare de diferite tipuri,create de sistemul de operare. Probele legate de comiterea unei infracţiuni trebuie întotdeauna căutate în ultimele două

categorii enunţate, dar nu trebuie uitat faptul că date importante pot fi identificate în fişiere „ascunse” printre fişierele unor programe sau aplicaţii.

Fişierele şterse ar putea fi recuperate în totalitate cu ajutorul unor instrumente special concepute în acest sens.

Analizarea datelor stocate necesită cunoştinţe tehnice de specialitate dar şi răbdare, concentrare şi un mediu de lucru corespunzător, ferit de factori perturbanţi.

Datele stocate pe mediile originale (hard­disk, CD­ROM­uri, dischete, etc.) trebuie transferate prin copiere pe alte medii de stocare similare, acestea urmând să fie folosite în vederea studierii fişierelor. Aceasta este o regulă importantă ce trebuie respectată pentru a evita deteriorarea sau modificarea involuntară a informaţiilor şi folosirea acestei împrejurări de către făptuitor în apărarea sa.

În vederea efectuării acestor lucruri trebuie ca pregătirea unei verificări sau percheziţii într­un mediu informatic să se facă alături de persoane cu calificare tehnică adecvată în domeniul informatic.

La finalizarea analizei datelor cuprinse în diferitele fişiere enunţate, se va elabora un raport cu descrierea desfăşurării verificărilor, cuprinzând, în mod obligatoriu, următoarele date:

Page 10: Investigarea fraudelor informatice

­ cine a efectuat analiza, locul unde a avut loc, intervalul de timp în care s­a desfăşurat şi obiectul analizei;

­ ce software s­a folosit în analiză; ­ indicarea documentelor care au fost printate, cu menţionarea locului unde au fost

identificate.

Page 11: Investigarea fraudelor informatice

Bibliografie

1. Criminalitatea informatică, Tudor AMZA, Ed. Lumina Lex, 2003 2. Combaterea criminalităţii informatice, Vladimir MELNIC, Ed. Lucman, 2002 3. Criminalitatea informatică, Ioana VASIU, Ed. Nemira, 2001 4. Internetul şi criminalitatea informatică, Dan BANCIU, raport tehnic, martie 2004 5. Dimensiuni ale infracţionalităţii în spaţiul virtual, Ciprian Pânzaru, raport tehnic, ianuarie

2005 6. Internet­ul, criminalitatea şi dreptul, Dan BANCIU, referat, iunie 2004 7. Damian, Vasile, Frauda pe Internet are sediul în România. Românii conduc detaşat în topul

celor mai ingenioşi hoţi din reţeaua mondială, în „Capital”, nr. 38, 21 septembrie 2000 8. Frauda la nivel european şi în România, Ileana Răducanu, referat, august 2003 9. http://www.upg­ploiesti.ro/sescom/pdf/s13/s13­l34­ir.pdf, 16 dec. 2004 10. http://www.mcti.ro/fileadmin/uploads/tehnologia%20informatiei/studii/Frauda_in_comertul

_electronic_romanesc.doc, 9 ian. 2005 11. http://linkmagazine.ro/prezentari/BCCO%20­%20Virgil%20Spiridon.ppt, 9 ian. 2005 12. http://www.biblioteca.ase.ro/downres.php?tc=4510, 12. ian 2005 13. http://www.cnr­cme.ro/FOREN2004/lucrari_foren_ro/s4/pdf_poster_s4/s4p­10­ro.pdf, 21

ian. 2005 14. http://www.securizare.ro/content/view/606/36/, 2 feb. 2005 15. http://www.legi­internet.ro/blogs/index.php?cat=20, 10 feb. 2005 16. http://ro.wikinews.org/wiki/Infrac%C5%A3iuni_informatice_%C5%9Fi_fraude_prin_Inter

net, 10 feb. 2005 17. http://www.marketwatch.ro/articles.php?ai=969, 15 feb. 2005 18. http://www.cnr­cme.ro/FOREN2004/lucrari_foren_ro/s4/pdf_poster_s4/s4p­10­ro.pdf, 20

feb. 2005


Investigarea practicilor de incubaţie

Investigarea practicilor de incubaţie

Documents
Sistemele informatice

Sistemele informatice

Documents
proiectarea sistemelor informatice

proiectarea sistemelor informatice

Documents
Atestat- Investigarea nevoilor clientilor

Atestat- Investigarea nevoilor clientilor

Documents
managementul sistemelor informatice

managementul sistemelor informatice

Documents
Masuri de Prevenire a Fraudelor Cu Carduri Bancare

Masuri de Prevenire a Fraudelor Cu Carduri Bancare

Documents
SISTEME INFORMATICE PENTRU ASISTAREA … · economice integrate le sunt asociate sisteme informa ţionale integrate, respectiv sisteme informatice integrate. Sistemele informatice

SISTEME INFORMATICE PENTRU ASISTAREA … · economice integrate le sunt asociate sisteme informa ţionale integrate, respectiv sisteme informatice integrate. Sistemele informatice

Documents
Competente informatice

Competente informatice

Documents
Investigarea-experimentala- Schimbatori de Ioni

Investigarea-experimentala- Schimbatori de Ioni

Documents
Investigarea Personalitatii TESTE PSIHOLOGICE

Investigarea Personalitatii TESTE PSIHOLOGICE

Documents
Investigarea comportamentului simulat

Investigarea comportamentului simulat

Documents
Investigarea Criminalitatii Transfrontaliere

Investigarea Criminalitatii Transfrontaliere

Documents
Auditarea Sistemelor Informatice

Auditarea Sistemelor Informatice

Documents
Investigarea Punerii in Lucru

Investigarea Punerii in Lucru

Documents
Investigarea Imagistica a Ofertei Osoase

Investigarea Imagistica a Ofertei Osoase

Documents
Filosofia Sistemelor Informatice

Filosofia Sistemelor Informatice

Documents
INVESTIGAREA PROPRIETATILOR NEUTRINILOR FOLOSIND …

INVESTIGAREA PROPRIETATILOR NEUTRINILOR FOLOSIND …

Documents
BIBL - Investigarea Tulburarilor Metabolice

BIBL - Investigarea Tulburarilor Metabolice

Documents
Prevenirea și detectarea fraudelor în raportarea financiară din perspectiva auditorilor

Prevenirea și detectarea fraudelor în raportarea financiară din perspectiva auditorilor

Documents
2.1. Auditurile de sistem și prevenirea fraudelor

2.1. Auditurile de sistem și prevenirea fraudelor

Documents
Investigarea Sistemului Cardiovascular

Investigarea Sistemului Cardiovascular

Documents
Investigatii informatice

Investigatii informatice

Documents
1 INVESTIGAREA SENZATIILOR

1 INVESTIGAREA SENZATIILOR

Documents
programe informatice

programe informatice

Documents
TEZĂ DE DOCTORAT REZUMAT ACTIVITATEA DE ......în investigarea fraudelor de natură economico-financiară 126 2.3.2.4. Posibilităţi de perfecţionare a activităţii instituţiilor

TEZĂ DE DOCTORAT REZUMAT ACTIVITATEA DE ......în investigarea fraudelor de natură economico-financiară 126 2.3.2.4. Posibilităţi de perfecţionare a activităţii instituţiilor

Documents
sisteme informatice

sisteme informatice

Documents
IPLS_Infractiuni informatice

IPLS_Infractiuni informatice

Documents
Investigarea Aptitudinilor Psihice in Motricitate

Investigarea Aptitudinilor Psihice in Motricitate

Documents
proiect sisteme informatice

proiect sisteme informatice

Documents
Auditul sistemelor informatice

Auditul sistemelor informatice

Documents