Upload
trevor-marshall
View
39
Download
0
Embed Size (px)
Citation preview
INVESTIGAREA FRAUDELOR INFORMATICE
Prep.univ.drd.ing. IoanCosmin MIHAI Academia de Poliţie „Alexandru ioan Cuza”
Abstract
The Internet is a phenomenon which changed our lives and continue to change our lives in future too. Nowadays, almost everything can be obtained from the Internet. The online business had a big amplitude lately so as the number of the fraud on the Internet.
Like in the case of the real fraud, the investigator must consider the potential risk of the verifications such as: the alteration of the crime scene, the destruction of the important evidences or leaving behind remains which could alert the criminal.
In this paper I made the analysis of the procedure online made by the investigator, the information acquisition from the informatics domain, the localization and the identification of the investigate subject, the technological methods for the localization and identification, the effectuation of verifications and searching in informatics domain.
In the end I focus on the necessity of doing the verification and the perquisitions beside of qualified persons to identify the hidden files or the deleted files which can be recover with the help of special programs.
1. Introducere
Internetul este un fenomen care nea schimbat şi ne va schimba în continuare vieţile. Posibilitatea pe care o avem astăzi de a afla aproape orice informaţie printrun simplu click este un lucru pe care acum 10 ani foarte puţină lume şi lar fi putut imagina. Încetîncet vieţile noastre se mută online. Citim ziarele online, scriem emailuri, comunicăm cu prietenii online. Comandăm produse online. Aflăm informaţii despre partenerii de afaceri sau chiar facem afaceri online. Cu cât creşte amploarea afacerilor online, cu atât creşte şi numărul de fraude realizate pe Internet.
Ca şi în cazul fraudelor din lumea reală, investigatorul trebuie să ia în considerare riscurile potenţiale ale verificărilor cum ar fi alterarea locului faptei, distrugerea de probe importante sau lăsarea de urme ce îl pot alerta pe făptuitor.
De acea în cazul anchetelor desfăşurate în lumea virtuală a reţelelor, investigatorul trebuie să se cunoască foarte bine softwareul, instrumentele şi aplicaţiile folosite prin testarea acestora întrun mediu sigur, înainte de începerea cercetării propriuzise. De asemenea, trebuie studiate conceptele de bază ale funcţionării Internetului şi ale reţelelor locale (conceptul clientserver, modul de realizare a comunicaţiilor, securizarea datelor, etc.).
2. Procedura desfăşurării investigaţiilor online
Toată procedura constă în adunarea probelor şi mijloacelor de probă care să conducă în final la identificarea făptuitorului.
O reţea de calculatoare este alcătuită din computere, unele mai complexe şi mai sofisticate decât altele, în funcţie de sarcina pe care trebuie să o îndeplinească. În acest context, probele trebuie căutate ţinând cont de funcţia pe care o îndeplineşte computerul investigat în reţea şi de modul cum acesta este configurat. În toate situaţiile, însă, comportamentul utilizatorilor este înregistrat în fişiere care poartă numele de „log” (jurnal). Aceste fişiere reprezintă principala resursă pentru identificarea indiciilor şi probelor în investigaţiile online.
În funcţie de anumiţi factori şi setări, mărimea acestor fişiere tinde să crească foarte repede, putând ajunge la câţiva Gigabytes pe zi, în situaţia unui Internet Server Provider (ISP). De aceea, în general, administratorii unor asemenea sisteme îşi configurează computerele astfel încât fişierele jurnal să fie păstrate doar pentru câteva zile după care sunt în mod automat şterse. Acesta este principalul motiv pentru care investigatorul trebuie să acţioneze cu rapiditate. Un alt motiv este securizarea probei respective înainte ca suspectul să o distrugă prin diferite mijloace.
Un alt aspect important în desfăşurarea investigaţiilor informatice este cooperarea anchetatorilor cu furnizorii de servicii Internet, cu operatorii de telecomunicaţii şi cu alte organisme private din domeniul tehnologiei informaţiei şi nu numai.
Infrastructura, organizarea şi multitudinea de reţele implicate in cadrul Internetului fac ca investigaţiile desfăşurate în acest mediu să fie foarte dificile. De exemplu, pentru a supraveghea comportamentul online al unui suspect, de cele mai multe ori este necesară cooperarea între mai multe organizaţii cu activităţi şi responsabilităţi în acest domeniu.
Caracterul transfrontalier al Internetului şi al infracţionalităţi informatice necesită un răspuns pe măsură prin realizarea unei cooperări internaţionale între jurisdicţiile şi instituţiile naţionale cu atribuţii în combaterea infracţiunilor informatice. De aceea este esenţial ca investigatorii din diferite ţări să conlucreze în pofida diferenţelor legislative şi procedurale, prin formarea unor puncte de contact în rândul forţelor de poliţie competente în domeniu.
În cazul în care nu există posibilităţi imediate pentru a solicita operatorilor de servicii de Internet sau telecomunicaţii sau forţelor de poliţie din afara graniţelor punerea la dispoziţie a probelor şi mijloacelor de probă, se poate solicita securizarea acestora şi păstrarea lor până la îndeplinirea condiţiilor de formă. În acest mod se vor înlătura inconvenienţele procedurale în anchetele cu implicaţii internaţionale iar în investigaţiile cu caracter naţional, se va asigura respectarea angajamentelor de confidenţialitate făcute de operatorii de servicii Internet şi de telecomunicaţii faţă de clienţi.
În investigarea fraudelor informatice trebuie avut în vedere elementul timp, prin acesta înţelegânduse diferenţele de fus orar şi cele generate de sincronizarea setărilor unui sistem cu timpul real.
3. Culegerea informaţiilor din mediul informatic
Culegerea datelor în mediul informatic şi transformarea acestora în probe se va face în funcţie de indiciile existente în cazul investigat, caracteristicile acestora determinând procedura ce trebuie urmată.
Astfel, dacă se porneşte de la o adresă de email ([email protected]), în mod normal, primul lucru care va fi avut în vedere este identificarea posesorului acestei adrese.
In această situaţie se pot identifica mai multe posibilităţi :
adresa de email este gestionată de un operator naţional de servicii Internet, situaţie în care acesta trebuie contactat imediat, cu respectarea condiţiilor legale, în vederea aflării identităţii persoanei care utilizează adresa în cauză ;
adresa de email nu este gestionată de un operator naţional de servicii Internet, situaţie în care, prin cooperare internaţională şi cu respectarea procedurilor legale, se pot solicita datele de identitate furnizate de titularul adresei de email la constituirea acesteia. In acest caz se pot identifica adrese de email aparţinând unor locaţii care oferă serviciul de email gratuit (www.Yahoo.com; www.hotmail.com; etc.). Este motivul pentru care, la constituirea acestor adrese, utilizatorii furnizează date nereale cu privire la identitate, dat fiind faptul că aceste informaţii nu sunt verificate. Însă, în majoritatea cazurilor serverul va păstra suficiente informaţii referitoare la tipul de conectare şi la adresa de IP a utilizatorului.
De asemenea, cu ajutorul bazelor de date aparţinând unor siteuri dedicate acestui scop, se pot face căutări în vederea identificării eventualelor mesaje postate de titularul adresei respective de email în cadrul unor forumuri sau grupuri de discuţii.
Dacă indiciul existent face referire la o adresă Web (exemplu : http ://numeweb.ro/paginaweb), cu ajutorul unui browser trebuie vizualizat siteul în cauză, sau cu ajutorul unor aplicaţii acesta se poate copia în totalitate. Nu trebuie uitat faptul că adresa IP a calculatorului folosit pentru vizualizarea sau downloadul siteului poate fi colectată de serverul web investigat.
Dacă informaţia privind comiterea unei fraude informatice face referire la un nume (nickname) sau canal IRC este recomandată folosirea motoarelor de căutare pe baza unor cuvinte cheie. O parte din aceste motoare de căutare vor folosi baze de date orientate în plan local dar se pot folosi şi serviciile unor siteuri precum Yahoo, Altavista, Google, etc. pentru o căutare aprofundată.
4. Localizarea şi identificarea subiectului investigat
În general, un utilizator poate fi identificat şi localizat pe baza analizării fişierelor jurnal care conţin înregistrările unor acţiuni şi evenimente cum ar fi conectarea sau deconectarea de la reţeaua Internet.
Analiza fişierelor jurnal va furniza date importante referitoare la cine sa conectat de la un anume computer, unde este localizat acest computer, când sa stabilit conexiunea şi cât a durat aceasta. Calculatorul care va genera fişierul jurnal va folosi în mod normal timpul local şi aşa cum sa menţionat anterior trebuie luate în calcul diferenţele de fus orar şi cele legate de sincronizarea setărilor unui sistem cu timpul real.
Fişierele jurnal fac referire, în partea de început a acestora (header), la elementul timp sub forma unor abrevieri, ce trebuie cunoscute de investigator pentru a putea citi un asemenea log:
UT sau GMT – Universal/Greenwich mean time – timpul universal (Greenwich); EST sau EDT – Eastern Time Zone – timpul din zona Est Europeană; CST sau CDT – Central Time Zone – timpul din zona Central Europeană; PST sau PDT – Pacific Time Zone timpul din zona Pacificului; HHMM – orele (HH) şi minutele (MM) ce se scad din UT; +HHMM – orele şi minutele ce se adaugă la UT; Z – timpul universal; A – timpul universal (UT) minus o oră; M – timpul universal (UT) minus 12 ore; N – timpul universal (UT) plus o oră; Y – timpul universal (UT) plus 12 ore.
De asemenea, trebuie avut în vedere faptul că o conexiune la Internet prin intermediul liniei telefonice şi a furnizorului local de asemenea servicii se realizează în fapt prin intermediul altor calculatoare interconectate. De aceea, trebuie luat în considerare, în momentul comparării, diferenţele de timp ce vor fi înregistrate de fişierele jurnal generate de sistemele implicate în conexiune.
Tipuri de fişiere jurnal Fişierele jurnal ale serverelor (host), care vor fi diferite în funcţie de sistemul de operare
utilizat. În prezent se remarcă utilizarea din ce în ce mai răspândită a platformelor UNIX, fapt datorat în primul rând gratuităţii acestor sisteme de operare dar şi datorită stabilităţii şi securităţii sporite.
Majoritatea fişierelor de log generate de platforma UNIX sunt în format text şi stochează, fiecare în parte, în funcţie de configurarea sistemului în cauză, informaţii cu privire la toate procesele rulate de platforma de operare.
Fişierele jurnal ale aplicaţiilor client (programe pentru calculator scrise şi utilizate pentru a comunica cu un anumit server de pe Internet, în scopul asigurării unui anumit serviciu). Fiecare program de acest gen (browsere web, software de email sau IRC, etc.) va genera fişiere log specifice care conţin informaţii foarte utile pentru investigator.
Fişierele jurnal de telecomunicaţii – pot fi identificate în situaţia în care conectarea la Internet sa realizat prin intermediul unei reţele telefonice, iar înregistrarea acestora va putea fi solicitată, cu îndeplinirea condiţiilor legale, de la operatorul de telefonie prin care sa realizat legătura cu serverul operatorului de servicii de Internet.
Fişierele jurnal stocate de serverele ISP – fac referire la momentul accesării (login) serverului, durata conexiunii (session) şi momentul deconectării (logout), şi pot fi identificate de la operatorul de servicii Internet, aceştia stocând aceste informaţii pentru a calcula şi deduce costurile legate de acces. De asemenea, o parte din Internet Server Providers pot stoca, în scopuri care ţin de politica firmei (publicitate, marketing) informaţii referitoare la locaţiile de Internet vizitate de client în timpul sesiunii, date care pot fi extrem de valoroase pentru investigator.
Fişierele jurnal de accesare a Internetului de către un utilizator aparţinând unei reţele locale – situaţie în care dispozitivele şi programele de securitate instalate pentru protecţia reţelei în cauză generează fişiere log ce pot conţine informaţii importante pentru anchetator.
5. Mijloace tehnice de localizare şi identificare a subiectului investigat
Majoritatea mijloacelor şi instrumentelor de localizare şi identificare sunt dezvoltate sub platforme UNIX dar pot fi folosite şi în cazul sistemelor MS Windows sau MAC.
Instrumentele ce vor fi prezentate funcţionează pe principiile unor aplicaţii client care comunică cu serverele făcând schimb de informaţii.
Traceroute – stabileşte ruta până la o anumită adresă IP, identificând porţile de acces (prin numele şi adresa IP a serverului în cauză) dea lungul traseului parcurs. Acest instrument se poate folosi pentru a identifica locaţia unui calculator identificat prin IP;
Ping – verifică dacă serverul poate fi accesat prin trimiterea unei solicitări. Calculatorul verificat va răspunde confirmând starea sa de funcţionare şi faptul că o conexiune se poate stabili sau nu.
Whois – această aplicaţie oferă informaţii detaliate referitoare la aproape orice site web (numele domeniului, adresa de IP şi numele serverului, locaţia geografică, persoane şi informaţii de contact).
6. Mijloace de interceptare a datelor
Există mai multe posibilităţi de interceptare a datelor, dar aceste tehnici complexe necesită cunoaşterea şi înţelegerea în totalitate a modului de organizare şi funcţionare a transmiterii datelor.
În acest sens, dacă se respectă condiţiile legale, se pot folosi următoarele tehnici de interceptare şi monitorizare a traficului subiectului investigat.
Emailbox shadowing – constă în interceptarea şi copierea cu ajutorul operatorilor de Internet a mesajelor tip email adresate sau trimise de suspect, aceste emailuri trecând prin serverul de mail al ISPului;
Scanarea newsgroupurilor – cu ajutorul programelor pentru calculator dedicate acestui scop, pe baza unor cuvinte cheie, dat fiind volumul foarte mare de date care se stochează şi care împiedică verificare în totalitate a acestora;
Interceptarea comunicaţiilor – folosinduse dispozitive speciale (data analyser) care, dacă sunt plasate în anumite noduri de reţea (cât mai aproape de suspectul investigat), au capacitate de a intercepta şi filtra pachetele de date chiar în situaţia folosirii unor protocoale alternative. Unele din aceste dispozitive pot reface în totalitate fluxul informaţional original.
7. Efectuarea verificărilor şi percheziţiilor în mediul informatic
Deşi principiile stabilite de actele normative în vigoare pentru efectuarea unei verificări sau percheziţii nu se schimbă în mediul electronic, trebuie totuşi utilizate procese mentale şi aptitudini noi. Astfel, dacă în cazul unei percheziţii clasice, anchetatorul poate vizualiza obiectele ce ar putea constitui probe, în situaţia unei percheziţii efectuate întrun mediu informatic, dispozitivele de stocare a probelor electronice sar pute să nu fie atât de evidente pentru anchetator, mijloace importante de probă putând fi omise sau deteriorate în procesul de percheziţie.
Există trei probleme care trebuie abordate în legătură cu iniţierea şi executarea unei astfel de percheziţii:
prima ar fi ca în momentul solicitării autorizaţiei de percheziţie în cuprinsul acesteia să fie menţionat şi faptul că urmează să fie verificate şi mediile de stocare electronice.
cea de a doua priveşte locul unde se va efectua analiza probelor informatice, lucru care trebuie stabilit înainte de începerea verificării mediului informatic. Acestea sar putea desfăşura întrun laborator sau chiar la locul unde au fost descoperite probele, situaţie în care se va cunoaşte de la început dacă este necesară sau nu ridicarea elementelor de hardware în vederea verificării.
a treia problemă se referă la mediile ce vor fi cercetate, existând în esenţă trei categorii: calculatoarele de sine stătătoare, reţelele de calculatoare şi mediile de stocare portabile.
Pregătirea unei verificări sau percheziţii întrun mediu informatic necesită respectarea următoarelor etape:
colectarea informaţilor privind sistemele informatice ce urmează a fi verificate, tipul de stocare a datelor, locaţia echipamentului şi a dispozitivelor de stocare etc.
alegerea momentului efectuării verificării sau percheziţiei – depinde de doi factori: statutul sistemului informatic şi prezenţa sau absenţa anumitor persoane;
stabilirea participanţilor la verificare sau percheziţie – în afara investigatorilor vor participa şi persoane cu calificare tehnică adecvată (criminalişti, ingineri de sistem, etc.);
stabilirea logisticii ce urmează a fi folosită (instrumente, programe software, medii neînregistrate, etc.);
În desfăşurarea propriuzisă a verificării sau percheziţiei există câteva lucruri de o importanţă majoră ce trebuie realizate în primele minute imediat după iniţierea acţiunii, pe cât posibil în următoarea succesiune:
securizarea locului faptei prin îndepărtarea persoanelor aflate la calculatoare, întrucât o parte din acestea ar putea avea aptitudinile şi chiar motivaţia necesară distrugerii probelor electronice. Vor fi identificate probele ce se află în pericol imediat (de exemplu, procesul formatării unui disc – situaţie în care se va întrerupe această operaţie chiar dacă este necesară deconectarea sistemului);
stabilizarea mediului în care urmează să se desfăşoare verificarea prin asigurarea zonelor în care se află calculatoarele faţă de accesul tuturor persoanelor, respectiv prin stabilirea faptului dacă sistemul informatic verificat este conectat cu zona de afară – situaţie în care se va proceda la deconectare;
identificarea persoanelor care au cunoştinţe şi aptitudini informatice – ce urmează a fi audiate cu privire la atribuţiile de serviciu şi informaţiile stocate în sistemul informatic;
identificarea a cel puţin doi martori asistenţi neutri. Procedura verificării sau percheziţiei va continua prin inspectarea atentă a locului percheziţiei în
vederea identificării următoarelor elemente: numărul şi tipul unităţilor centrale de procesare; locaţia unităţii centrale de procesare; tipul şi topologia reţelei; sistemul de operare al reţelei; dimensiunea şi natura mediilor de stocare a reţelei; existenţa unor medii de efectuare a unor copii de rezervă.
8. Analizarea probelor şi transformarea acestora în mijloace de probă
Datele colectate referitoare la activităţile subiectului investigat se vor analiza prin mijloace specifice în vederea transformării acestora în mijloace de probă.
Analiza acestor date se va face în funcţie de natura acestora.
a. Mesajele de poştă electronică (email) Serviciul de email permite utilizatorului: să trimită (send) şi să primească (receive) mesaje; să răspundă (reply) şi să transmită mai departe (forward) mesajele primite; să trimită un mesaj în acelaşi timp la mai multe adrese de email; să ataşeze diferite fişiere mesajului trimis; să salveze sub diferite forme mesajul trimis şi să îl printeze; să cripteze şi să ascundă mesajul.
Adresa de email este formată din trei componente (de exemplu adresa [email protected]): nume utilizator „username” – (exemplu polacad);
numele serverului de mail unde este găzduită căsuţa poştală a utilizatorului – (exemplu Yahoo);
prescurtarea tipului domeniului – (exemplu com).
Mesajele email propriuzise sunt similare unei scrisori clasice, fiind formate din două părţi principale: partea superioară (header) a emailului, care conţine informaţii referitoare la numele şi adresa expeditorului respectiv destinatarului, precum şi subiectul mesajului trimis, şi „corpul” acestuia (body) care cuprinde mesajul efectiv transmis.
Pentru investigator prezintă importanţă ambele părţi ale mesajului dar mai ales headerul şi, în special, partea ascunsă a acestuia, respectiv proprietăţile mesajului.
Headerul emailului mai poate conţine şi alte informaţii, unele ajutând la descrierea mai exactă a sistemului de care dispune suspectul investigat, altele furnizând mai multe informaţii referitoare la tipul de mesaj analizat.
Astfel, serverele de mail ale Hotmail şi Yahoo adaugă la header o linie de text deosebit de importantă pentru anchetator, referitoare la adresa de IP (XoriginatingIP) a calculatorului de pe care sa realizat conexiunea la aceste servere.
Analiza headerului mesajelor primite sau trimise se poate face şi cu ajutorul unor programe pentru calculator speciale
Studierea fişierelor de email ale suspectului poate releva suficiente informaţii referitoare la activitatea infracţională a acestuia. Cu acest prilej, de o mare importanţă pentru investigator sunt fişierele ce se pot ataşa mesajelor de email (attachement). Este foarte uşor ca astfel de fişiere să fie redenumite şi salvate cu extensii diferite faţă de cele reale (fişierele document cu extensie .doc pot fi convertite în fişiere grafice .bmp, .jpeg, sau chiar întrun format inexistent), îngreunând astfel deschiderea şi citirea lor de către investigator.
b. Fişierele jurnal În analiza acestor fişiere trebuie avute în vedere câteva reguli de bază: Se va lucra numai cu copii ale fişierelor analizate, iar datele originale se vor stoca în locuri
sigure. De asemenea, este recomandabil ca datele obţinute să fie organizate şi stocate sub forma unor baze de date sau tabele, care să permită sortarea lor în funcţie de diferite criterii.
Utilizarea unui software de analiză a datelor culese, în vederea identificării legăturilor existente între aceste informaţii, se poate dovedi de mare valoare pentru investigator.
Evenimentele investigate vor fi regrupate pentru a stabili dacă acestea se încadrează întro linie cronologică firească;
Se va stabili ordinea cronologică a evenimentelor investigate pentru fiecare element în parte şi ulterior pentru toate fişierele de log, recalculând toate informaţiile în funcţie de tipul zonal în care se lucrează, cu sincronizările şi corecţiile necesare;
În cele din urmă se va verifica dacă ordinea cronologică a informaţiilor este respectată de toate fişierele jurnal, în succesiunea firească a acestora.
c. Paginile de web (WWW – World Wide Web) şi fişierele generate de activitatea pe Internet a suspectului
Multe organizaţii sau persoane îşi creează pagini de web speciale, cu informaţii referitoare la scopurile urmărite de structura respectivă, interesele individuale, etc. Atunci când conţinutul unor asemenea locaţii prejudiciază ordinea publică (propagandă rasistă, pornografie infantilă) sau interesele
altor persoane (încălcarea drepturilor de proprietate intelectuală) se impune identificarea entităţilor aflate în spatele acestora.
Prima etapă în desfăşurarea investigaţiei constă în observarea directă a siteului prin vizualizarea acestuia pentru a stabili dacă datele prezentate în paginile acestuia aduc atingere ordinii de drept sau intereselor publice sau personale. Cu această ocazie, pe baza linkurilor prezentate în pagina principală se poate crea o „hartă” a siteului, cu indicarea paginilor care conţin date în cauză.
Următorul pas constă în stabilirea locaţiei fizice a siteului, mai precis în identificarea serverului care îl găzduieşte. Această operaţie se face pe baza numelui de sau pe baza adresei de IP asociată numelui de domeniu.
Pentru stabilirea locaţiei siteului se pot folosi programe pentru calculator dedicate acestui scop (VisualRoute, SamSpade, etc.).
În vederea asigurării materialului probator, investigarea online a siteului în cauză poate necesita copierea (prin download) a unei părţi a informaţiilor conţinute de paginile acestuia sau a întregului site, operaţie ce se poate realiza, de asemenea, cu ajutorul unor programe pentru calculator specializate.
Paginile web (în secţiunea „Contact” şi nu numai) pot oferi, prin conţinutul propriuzis al acestora, informaţii importante pentru identificarea celui care a creat siteul (adrese de email şi chiar numere de telefon pentru eventualitatea în care vizitatorul doreşte să îl contacteze pe „titularul” site ului).
Dacă se constată că suspectul a creat siteul respectiv folosind calculatorul personal (ce trebuie identificat şi indisponibilizat în urma unei percheziţii), înainte ca acesta să fie încărcat (upload) pe serverul care îl găzduieşte, atunci informaţiile prezentate pe paginile web investigate vor fi regăsite pe mediile de stocare ale acestui computer. Mai mult, prin verificarea browserului folosit şi a directoarelor „History”, „Favourites”, „Cache/Temporary Internet Files” şi „Cookies”, anchetatorul va putea stabili locaţiile de Internet vizitate în mod uzual, determinând profilul suspectului.
d. IRC (Internet Relay Chat) IRC este un serviciu care permite comunicarea în scris între două sau mai multe persoane în
timp real. Utilizatorii, cunoscuţi sub un anumit nume („nickname”), rulează un program, denumit client (de exemplu mIRC etc.), cu ajutorul căruia se conectează la serverele sau reţeaua IRC unde vor intra pe unul din multele „canale” existente, unde pot comunica cu celelalte persoane.
Conversaţia respectivă poate să fie publică (situaţie în care toate persoanele aflate pe canalul în cauză vor putea citi ceea ce scriu ceilalţi) sau privată(între două sau mai multe persoane, fără ca celelalte persoane aflate pe canalul respectiv să poată citi mesajele transmise).
Există foarte multe canale, fiecare fiind împărţit între toate serverele şi reţelele IRC, astfel încât un utilizator nu trebuie să fie conectat la acelaşi server cu persoanele cu care corespondează. Unele din aceste canale sunt secrete, în sensul că accesul va fi permis numai unor indivizi selectaţi în prealabil.
Conversaţiile pe chat se desfăşoară folosinduse anumite prescurtări sau simboluri ce trebuie cunoscute de investigator pentru a înţelege ce se discută.
Investigarea fişierelor log ce se pot identifica în computerul suspectului sau în serverele de IRC pot scoate la iveală date foarte importante în legătură cu activitatea infracţională a celui în cauză.
e. Grupurile de discuţii(News GroupsUsenet) Spre deosebire de IRC, discuţiile în cadrul grupurilor de Usenet nu se desfăşoară în timp real. O
persoană care doreşte să trimită un mesaj unui anumit grup o poate face utilizând un software similar celui de email („group mail”) iar răspunsurile sau replyurile se pot transmite pe aceeaşi cale sau alternativ printrun email adresat direct persoanei care a trimis mesajul iniţial.
Grupurile de discuţii specializate în subiecte ilegale, precum pornografia infantilă, sunt găzduite de servere ce se află în alte ţări decât cea de origine a membrilor grupului
Aceste grupuri de discuţii sunt un mediu propice şi pentru comercializarea unor produse rezultate din activităţi infracţionale sau materiale audio, video sau software „piratat”.
Analizarea mesajelor de Usenet, care sunt similare cu cele de email, se va face în acelaşi mod ca în cazul acestora din urmă, în special în privinţa „headerului”, cu ajutorul unor programe pentru calculator specializate.
Internetul oferă şi alte servicii de comunicaţie precum ICQ – „I Seek You” (o variantă mai avansată de IRC, care permite notificarea utilizatorului în momentul în care o anumită persoană este conectată la Internet) sau Netmeeting (un program care oferă posibilitatea comunicării în timp real prin imagine şi sunet).
f. Fişierele temporare Informaţii importante pot fi identificate în diverse tipuri de fişiere temporare cum ar fi cele
stocate în directoarele Temporary, Temporary Internet Files (Windows Explorer), Cache (Netscape Navigator) sau în fişierul Swapfile (Windows).
Fişierele temporare sunt create de sistemul de operare în scopul de a creşte capacitatea de prelucrare şi memorare a datelor.
Analizarea acestor fişiere se va face cu respectarea regulilor enunţate mai sus, pentru a preveni distrugerea sau modificarea lor.
9. Analizarea mediilor de stocare indisponibilizate cu ocazia verificărilor
Scopul analizării mediilor de stocare indisponibilizate pe parcursul verificărilor este de a identifica probe care să confirme sau să înlăture suspiciunile referitoare la săvârşirea unei fraude informatice.
Un mediu de stocare poate conţine în mod normal următoarele tipuri de fişiere: fişiere ale unor programe pentru calculator; fişiere generate de utilizator; fişiere temporare de diferite tipuri,create de sistemul de operare. Probele legate de comiterea unei infracţiuni trebuie întotdeauna căutate în ultimele două
categorii enunţate, dar nu trebuie uitat faptul că date importante pot fi identificate în fişiere „ascunse” printre fişierele unor programe sau aplicaţii.
Fişierele şterse ar putea fi recuperate în totalitate cu ajutorul unor instrumente special concepute în acest sens.
Analizarea datelor stocate necesită cunoştinţe tehnice de specialitate dar şi răbdare, concentrare şi un mediu de lucru corespunzător, ferit de factori perturbanţi.
Datele stocate pe mediile originale (harddisk, CDROMuri, dischete, etc.) trebuie transferate prin copiere pe alte medii de stocare similare, acestea urmând să fie folosite în vederea studierii fişierelor. Aceasta este o regulă importantă ce trebuie respectată pentru a evita deteriorarea sau modificarea involuntară a informaţiilor şi folosirea acestei împrejurări de către făptuitor în apărarea sa.
În vederea efectuării acestor lucruri trebuie ca pregătirea unei verificări sau percheziţii întrun mediu informatic să se facă alături de persoane cu calificare tehnică adecvată în domeniul informatic.
La finalizarea analizei datelor cuprinse în diferitele fişiere enunţate, se va elabora un raport cu descrierea desfăşurării verificărilor, cuprinzând, în mod obligatoriu, următoarele date:
cine a efectuat analiza, locul unde a avut loc, intervalul de timp în care sa desfăşurat şi obiectul analizei;
ce software sa folosit în analiză; indicarea documentelor care au fost printate, cu menţionarea locului unde au fost
identificate.
Bibliografie
1. Criminalitatea informatică, Tudor AMZA, Ed. Lumina Lex, 2003 2. Combaterea criminalităţii informatice, Vladimir MELNIC, Ed. Lucman, 2002 3. Criminalitatea informatică, Ioana VASIU, Ed. Nemira, 2001 4. Internetul şi criminalitatea informatică, Dan BANCIU, raport tehnic, martie 2004 5. Dimensiuni ale infracţionalităţii în spaţiul virtual, Ciprian Pânzaru, raport tehnic, ianuarie
2005 6. Internetul, criminalitatea şi dreptul, Dan BANCIU, referat, iunie 2004 7. Damian, Vasile, Frauda pe Internet are sediul în România. Românii conduc detaşat în topul
celor mai ingenioşi hoţi din reţeaua mondială, în „Capital”, nr. 38, 21 septembrie 2000 8. Frauda la nivel european şi în România, Ileana Răducanu, referat, august 2003 9. http://www.upgploiesti.ro/sescom/pdf/s13/s13l34ir.pdf, 16 dec. 2004 10. http://www.mcti.ro/fileadmin/uploads/tehnologia%20informatiei/studii/Frauda_in_comertul
_electronic_romanesc.doc, 9 ian. 2005 11. http://linkmagazine.ro/prezentari/BCCO%20%20Virgil%20Spiridon.ppt, 9 ian. 2005 12. http://www.biblioteca.ase.ro/downres.php?tc=4510, 12. ian 2005 13. http://www.cnrcme.ro/FOREN2004/lucrari_foren_ro/s4/pdf_poster_s4/s4p10ro.pdf, 21
ian. 2005 14. http://www.securizare.ro/content/view/606/36/, 2 feb. 2005 15. http://www.legiinternet.ro/blogs/index.php?cat=20, 10 feb. 2005 16. http://ro.wikinews.org/wiki/Infrac%C5%A3iuni_informatice_%C5%9Fi_fraude_prin_Inter
net, 10 feb. 2005 17. http://www.marketwatch.ro/articles.php?ai=969, 15 feb. 2005 18. http://www.cnrcme.ro/FOREN2004/lucrari_foren_ro/s4/pdf_poster_s4/s4p10ro.pdf, 20
feb. 2005