Citeva aspecte privind infractiunea de acces fara drept la un sistem informatic

Bogdan Manolea www.legi-internet.ro

Institutul National de MagistraturaMartie 2007

Legea Romaneasca

● Art. 42. - (1) Accesul, fãrã drept, la un sistem informatic constituie infractiune si se pedepseste cu închisoare de la 3 luni la 3 ani sau cu amendã.

● (2) Fapta prevãzutã la alin. (1), sãvârsitã în scopul obtinerii de date informatice, se pedepseste cu închisoare de la 6 luni la 5 ani.

● (3) Dacã fapta prevãzutã la alin. (1) sau (2) este sãvârsitã prin încãlcarea mãsurilor de securitate, pedeapsa este închisoarea de la 3 la 12 ani.

Conventia privind criminalitatea informatica – art.2

● Fiecare parte va adopta mãsurile legislative si alte mãsuri considerate necesare pentru a incrimina ca infractiune, potrivit dreptului sãu intern, accesarea intentionatã si fãrã drept a ansamblului ori a unei pãrti a unui sistem informatic.

● Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right.

Conventia privind criminalitatea informatica – art.2

● O parte poate conditiona o astfel de incriminare de comiterea încãlcãrii respective prin violarea mãsurilor de securitate, cu intentia de a obtine date informatice ori cu altã intentie delictualã, sau de legãtura dintre încãlcarea respectivã si un sistem informatic conectat la alt sistem informatic.

Ce inseamna acces ?● "Access" comprises the entering of the whole or any

part of a computer system (hardware, components, stored data of the system installed, directories, traffic and content-related data). However, it does not include the mere sending of an e-mail message or file to that system.

● "Access" includes the entering of another computer system, where it is connected via public telecommunication networks, or to a computer system on the same network, such as a LAN (local area network) or Intranet within an organisation. The method of communication (e.g. from a distance, including via wireless links or at a close range) does not matter.

● Acces neautorizat – termen folosit in SUA

Definitii acces - doctrina

● Acces – desemeneaza intrarea in tot sau numai intr-o parte a sistemului informatic. Presupune o interactiune a faptuitorului cu tehnica de calcul vizata prin intermediul echipamentelor sau diverselor componente a sistemului vizat – M. Dobrinoiu

● Prin acces se intelege intrarea in tot sau intr-o parte a unui sistem informatic, capacitatea de a lansa comenzi, de a accesa date informatice sau de a efectua alte operatiuni informatice, fie direct de la tastatura, fie prin intermediul unei retele informatice – I Vasiu

Acces in concurs cu alte infractiuni informatice

● Acces ilegal – deseori primul pas pentru realizarea altor infractiuni (art. 43-45)

● Totusi, accesul ilegal nu reprezinta o situatie premisa a savirsirii celorlalte infractiuni

● Concurs de conexitate etiologica (accesul ilegal reprezinta mijlocul prin care se realizeaza infractiunea scop)

● Concurs de infractiuniVezi detalii : M. Dobrinoiu – Infractiuni in

domeniul informatic, Beck, 2006,

Cazuri practice

● Un utilizator priveste la ecranului unui alt calculator

● Un utilizator acceseaza fisierele unui calculator din retea

Acces la un cont de e-mail

● “Va rog sa imi raspundeti daca se poate actiona legal in cazul in care mi s-au schimbat toate datele din cont in adresa de email,cunosc persoana ,iar acesta imi creaza probleme mie si persoanelor din lista”

Sursa - http://groups.yahoo.com/group/legi-internet/message/3349

● Acces la email web-based – acces la o arie mult mai larga de servicii – acces la un cont virtual

Acces la un sistem infomatic - scop ?

● “ZIUA a reusit sa patrunda in reteaua informatica a ANAF, care contine date secrete, fara a folosi o aplicatie speciala sau sistem hardware pentru care sa fim acuzati de incalcarea legii “

● ZIUA a reusit sa patrunda in reteaua informatica, care nu este publica, a Ministerului Finantelor Publice si a vizualizat baza de date a ANAF. Mentionam cu nu am folosit nici o aplicatie speciala sau sistem hardware prin care sa fim acuzati de incalcarea legii. Demersul nostru nu se vrea decat un semnal la adresa autoritatilor asupra deficientelor care se inregistreaza la nivelul Directiei Generale de Tehnologia Informatiei.

● Vulnerabila ANAF - articol Ziua - 13.03.2007 http://www.ziua.net/display.php?data=2007-03-13&id=217445

Acces la un sistem infomatic - scop ? (2)

● Datele privind clientii BlueAir sunt accesibile direct printr-o interfata web. Informatia apare pe 13.12.2006 in mai multe bloguri romanesti

● “Se pare că site-ul Blue Air dezvoltat de OpenMind a avut o mică gaură de securitate (suficient de mare încât să treacă prin ea datele personale a aproximativ 1800 de clienţi Blue Air şi mesaje trimise/primite de Blue Air). Aceste date, un dump al unei baze de date care aparent are şi numere de carduri bancare, erau disponibile pentru orice persoană care nu trebuia nici măcar să aibă diplomă de hacker de Ferentari, ci doar cunoştinţe minime de dezvoltare web.”

● http://www.zoso.ro/2006/12/blueair-noi-zburam-cu-datele-dvs.html

● http://eblogs.ro/sorin/2006/12/16/internetul-e-vorba-doar-de-cine-invinge-si-cine-pierde/

Scanarea porturilor

● Scanarea porturilor – tentativa la infractiunea de acces ?

● Vezi http://groups.yahoo.com/group/legi-internet/message/2763

● “ Scanarea se face cu scopul bine definit de a obtine accesul neautorizat la o resursa... e clar o tentativa.”

● “Este un fapt demonstrat ca daca un administrator de sistem raspunde cu o scanare a calculatorului atacant peste 50% din crackeri inceteaza imediat atacul. DA este un fel de bau bau: "vezi ca stiu ca esti acolo, daca vrei sa ne masuram muschii hai la tranta dreapta sa vedem care pe care"

Acces fara drept

(2) În sensul prezentului titlu, actioneazã fãrã drept persoana care se aflã în una dintre urmãtoarele situatii:

a) nu este autorizatã, în temeiul legii sau al unui contract;

b) depãseste limitele autorizãrii;

c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, sã o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfãsura cercetãri stiintifice sau de a efectua orice altã operatiune într-un sistem informatic.

Acces la contul de admin

● Exista metode de acces la contul de administrator din Sistemul de operare Windows prin citeva “trucuri” sau comenzi, in functie de accesul la resursele sistemului

● Vezi detalii la http://www.hackernotcracker.com/2007-03/change-or-reset-any-windows-xp-password.html

● Este acces “fara drept”?

Accesul la locul de munca

● Exista viata privata la locul de munca ?● Cum trebuie utilizat calculatorul la locul de

munca ?● Stabilirea clara a drepturilor si obligatiilor ref la

utilizarea calculatorului si Internetului (CM, ROI, etc.)

● Depasirea drepturilor de acces de angajat● Depasirea drepturilor de acces de angajator● Depasirea drepturilor de acces de

administratorul de sistem

Grupul de Lucru – Articolul 29a) Principiul necesitaţii – angajatorul trebuie sa verifice

daca monitorizarea angajaţilor este necesara pentru un scop definit, inainte de a trece la orice activitate in acest sens. De asemenea datele colectate trebuie pastrate nu mai mult decat este necesar pentru indeplinirea scopului propus ;

b) Principiul finalitaţii – datele trebuiesc colectate pentru un scop specific, explicit si legitim si ele nu pot fi folosite in vreo activitate dincolo de scopul menţionat;

c) Principiul transparenţei – angajatorul trebuie sa fie clar si deschis in ceea ce priveste activitaţile sale. Aceasta include obligaţia de a furniza angajaţilor toate informaţiile cu privire la monitorizarea acestora in ceea ce priveste utilizarea Internet-ului ;

Grupul de Lucru – Articolul 29d) Principiul legitimitaţii – operaţiunile de procesare a datelor pot

avea loc numai in cazul unui scop legitim conform articolului 7 din Directiva 95/46/EC ;

e) Principiul proporţionalitaţii – datele personale, inclusiv cele incluse in monitorizare, trebuie sa fie relevante si adecvate in raport cu scopul specificat. De exemplu monitorizarea e-mail-urilor ar trebui limitata la datele de trafic si la perioada cand s-a facut comunicarea si sa nu priveasca conţinutul comunicarii ;

f) Principiul acurateţei si pastrarii datelor – datele care au fost colectate trebuie sa fie corecte, actualizate si sa nu fie pastrate mai mult decat este necesar ;

g) Principiul securitaţii – angajatorul este obligat sa ia toate masurile de securitate pentru ca datele colectate sa nu fie disponibile terţilor. Este important in acest sens si rolul pe care il are administratorul de sistem in ceea ce priveste accesul la datele colectate.

Definitie Kerr - Acces● Utilizatorul acceseaza un calculator de fiecare

data cind utilizatorul trimite o comanda catre acel calculator, comanda pe care calculatoruI o executa

● Accesul este orice interactiune reusita cu calculatorul

● Kerr, Orin S., "Cybercrime's Scope: Interpreting 'Access' and 'Authorization' in Computer Misuse Statutes" . NYU Law Review, Vol. 78, No. 5, pp. 1596-1668, November 2003 Available at SSRN: http://ssrn.com/abstract=399740

State vs. Allen● Curtea Suprema Kansas – un utilizator(Allen) nu a

accesat un calculator Bell prin cererea repetata a ferestrei de logare .

● Pentru ca utilizatorul nu a patruns “in calculatorul Bell” accesta nu a accesat calculatorul.

● Prin comanda repetata adresata calculatorului, Allen a primit de la calculator fereastra de logare, unde trebuia sa introduca numele de utilizator si parola. Calculatorul a raspuns pozitiv comenzii, trimitind fereastra de logare. Desi computerul nu i-a permits lui Allen sa vada alte informatii stocate, Allen a avut mai multe interactiuni reusite cu calculatorul.

● State v. Allen, 917 P.2d 848, 852 (Kan. 1996).● Opinie contrara – Curtea Suprema Washington

Resurse utile● www.legi-internet.ro ● http://www.riti-internews.ro/ro/ghid.htm - Ghid

introductiv pentru aplicarea dispozitiilor legale referitoare la criminalitatea informatica

● http://www.ssrn.com/lsn/index.html - The Legal Scholarship Network

● http://scholar.google.com/ - Cautare in lucrari stiintifice

● http://www.crime-research.org/ - Stiri criminalitate informatica

● http://www.cybercrimelaw.net/ - Legislatie din toata lumea privind cybercrime

Multumesc

Bogdan Manoleacontact@legi-internet.ro