Home - Rasfoiesc.com
Educatie Sanatate Inginerie Business Familie Hobby Legal
Doar rabdarea si perseverenta in invatare aduce rezultate bune.stiinta, numere naturale, teoreme, multimi, calcule, ecuatii, sisteme




Biologie Chimie Didactica Fizica Geografie Informatica
Istorie Literatura Matematica Psihologie

Informatica


Index » educatie » Informatica
» PRACTICI INTERNATIONALE CU PRIVIRE LA INVESTIGATIILE INFORMATICE


PRACTICI INTERNATIONALE CU PRIVIRE LA INVESTIGATIILE INFORMATICE


PRACTICI INTERNATIONALE CU PRIVIRE LA INVESTIGATIILE INFORMATICE

Generalitati

Investigarea criminalistica a sistemelor informatice prezinta o serie de particularitati care o diferentiaza in mod fundamental de alte tipuri de investigatii. In acest capitol vom prezenta pe scurt elementele esentiale ale acestui tip de investigatie.

Investigarea criminalistica a sistemelor informatice poate fi definita ca:

Utilizarea de metode stiintifice si certe de asigurare, strangere, validare, identificare, analiza, interpretare, documentare si prezentare a probelor de natura digitala obtinute din surse de natura informatica in scopul facilitarii descoperirii adevarului in cadrul procesului penal.



Un posibil model de bune practici in domeniul investigatiilor criminalistice de natura informatica cuprinde urmatorii pasi:

1. Identificarea incidentului - recunoasterea unui incident si determinarea tipului acestuia. Nu reprezinta efectiv o etapa a investigatiei criminalistice dar are un impact semnificativ asupra urmatoarelor etape.

2. Pregatirea investigatiei - pregatirea instrumentelor, verificarea procedurilor, obtinerea documentelor ce permit perchezitia, etc.

3. Formularea strategiei de abordare - formularea unei strategii in functie de tehnologia implicata si de posibilele consecinte asupra persoanelor si institutiilor implicate. Scopul formularii acestei strategii este sa maximizeze potentialul obtinerii de probe relevante minimizand in acelasi timp impactul negativ asupra victimei.

4. Asigurarea probelor - izolarea, asigurarea si pastrarea probelor de natura fizica si digitala. Aceasta include indepartarea celor care ar putea denatura probele in orice fel.

5. Strangerea probelor - inregistrarea ambiantei fizice si copierea probelor digitale folosind practici si proceduri comune si acceptate.

6. Examinarea probelor - examinarea in profunzime a probelor, in cautarea elementelor care sunt in legatura cu fapta penala investigata. Acest lucru presupune localizarea si identificarea probelor precum si documentarea fiecarui pas, in scopul facilitarii analizei.

7. Analiza probelor - determinarea semnificatiei probelor si relevarea concluziilor cu privire la fapta investigata.

8. Prezentarea probelor - sintetizarea concluziilor si prezentarea lor intr-un mod inteligibil pentru nespecialisti. Aceasta sinteza trebuie sustinuta de o documentatie tehnica detaliata.

9. Restituirea probelor - daca este cazul, returnarea catre proprietarii de drept a obiectelor retinute in timpul investigatiei. Daca este cazul, determinarea, in functie de prevederile legilor procedurale penale, confiscarii obiectelor.

Investigarea criminalistica a sistemelor informatice trebuie sa prezinte o serie de caracteristici specifice, necesare asigurarii unui grad inalt de corectitudine a concluziilor rezultate.

Aceste caracteristici sunt:

1. autenticitate (dovada sursei de provenienta a probelor);

2. credibilitate (lipsa oricaror dubii asupra credibilitatii si soliditatii probelor);

3. completitudine (prelevarea tuturor probelor existente si integritatea acestora);

4. lipsa interferentelor si contaminarii probelor ca rezultat al investigatiei sau al manipularii     probelor dupa ridicarea acestora.

De asemenea, investigatia criminalistica mai presupune:

1. existenta unor proceduri pre-definite pentru situatiile intalnite in practica;

2. anticiparea posibilelor critici ale metodelor folosite, pe temeiul autenticitatii, credibilitatii, completitudinii si afectarii probelor oferite;

3. posibilitatea repetarii testelor realizate, cu obtinerea unor rezultate identice;

4. anticiparea problemelor legate de admisibilitatea probelor;

5. acceptarea faptului ca metodele de cercetare utilizate la un moment dat pot face subiectul unor modificarii in viitor.

In legatura cu acest ultim aspect, se reliefeaza o particularitate a investigatiei criminalistice a sistemelor informatice, si anume modificarea tehnicilor criminalistice intr-un timp foarte scurt, modificare data de avansul tehnologic extrem de rapid ce se manifesta la nivel global in domeniul informaticii.

Probele digitale

Probele digitale sunt acele informatii cu valoare doveditoare pentru organele de urmarire penala si pentru instantele judecatoresti, care sunt stocate, prelucrate sau transmise prin intermediul unui sistem informatic.

Ele sunt definite ca:

orice informatie cu valoare probanta care este fie stocata, prelucrata sau transmisa intr-un format digital.

Probele digitale cuprind probele informatice, probele audio digitale, video digitale, cele produse sau transmise prin telefoane mobile, faxuri digitale, etc.

Una dintre particularitatile acestui tip de probe este ca ele aparent nu sunt evidente, fiind continute in echipamentele informatice ce le stocheaza. Este nevoie de echipamente de investigatie si de software-uri specifice pentru a face ca aceste probe sa fie disponibile, tangibile si utilizabile.

Un alt aspect este legat de faptul ca astfel de probe sunt foarte "fragile", in sensul ca pot fi modificate sau pot disparea foarte usor, prin metode care de multe ori sunt la indemana faptuitorilor. Din aceasta cauza investigatorii trebuie sa ia masuri speciale de protectie pentru a strange, pastra si examina aceste probe.

Pastrarea acestor tipuri de probe a devenit o preocupare crescanda a investigatorilor din intreaga lume.

Necesitatea uniformizarii practicii in domeniu a dus la elaborarea de standarde cu privire la probele digitale. In Anexele V si VI sunt prezentate, ca exemplu, Standardele cu privire la probele digitale elaborate de International Organization on Computer Evidence (IOCE) si de Scientific Working Group on Digital Evidence (SWGDE).



Bune practici in investigarea sistemelor informatice

Acesta sectiune cuprinde o prezentare sintetica a bunelor practici internationale in materia investigarii infractiunilor informatice. Datorita avansului permanent al tehnicii de calcul, modul efectiv de realizare a investigatiilor informatice nu poate fi consemnat in acte normative. Din aceasta cauza, organizatiile raspunzatoare de aplicarea legii dezvolta in mod continuu practici si proceduri de natura sa ghideze modul in care se realizeaza investigatiile, la un anumit nivel al tehnicii. Aspectele prezentate in acest capitol sunt preluate din practica INTERPOL, a SUA si a Marii Britanii si se concentreaza mai degraba pe principiile investigatiilor si mai putin pe tehnologii sau instrumente folosite .

Prelevarea probelor

O data ajunsi la locul in care se afla sistemele informatice ce fac obiectul perchezitiei, investigatorii se vor asigura de accesul la acestea. Recomandarea Consiliului Europei (95) 13 mentioneaza ca necesara includerea in legislatiile nationale penale a obligatiei de a permite accesul la sistemele informatice, atat din partea celor care raspund de, cat si a oricaror persoane ce au cunostinta de modul de functionare a acestora. Pe langa accesul fizic, aceste persoane au datoria de a furniza si informatii referitoare la securitatea sistemului, informatii care sa permita investigatorilor accesul la datele stocate in sistemele informatice respective.

Inainte de a trece la examinarea sistemelor informatice, nu trebuie neglijate procedurile criminalistice traditionale de analiza a spatiului perchezitionat, cum ar fi prelevarea probelor fizice (amprente, alte urme materiale). De asemenea poate avea relevanta imaginea aflata pe ecranul monitorului in momentul patrunderii organelor de cercetare penala. Aceasta poate fi pastrata prin fotografiere, filmare, etc.

O prima decizie ce trebuie luata priveste analiza sistemului informatic la fata locului, sau ridicarea acestuia si analiza in laborator.

In luarea acestei decizii, trebuie avute in vedere urmatoarele aspecte:

. calitatea superioara a analizei efectuate in conditii de laborator;

. masura in care ridicarea sistemului informatic afecteaza activitatea suspectului.

In acest sens, trebuie retinute recomandarile Camerei Internationale de Comert ce mentioneaza regula evitarii ridicarii sistemelor informatice ale intreprinderilor, daca aceasta ar duce la afectarea desfasurarii activitatilor lor normale.

Urmatoarele criterii sunt utile in aprecierea oportunitatii ridicarii sistemelor informatice:

a. criteriul volumului probelor.

Particularitatea sistemelor informatice de a permite stocarea unui volum foarte mare de informatie intr-un spatiu de dimensiuni fizice reduse face ca investigatia sa necesite un volum mare de timp pentru obtinerea probelor relevante. Astfel de cercetari pe o perioada de timp mare pot fi conduse mult mai eficient in laborator.

b. criteriul dificultatilor de natura tehnica.

1. problema evitarii distrugerii datelor in decursul investigatiei. Analiza sistemelor informatice de catre investigatori ce nu au cunostinte suficiente asupra echipamentului sau programelor utilizate poate duce la distrugerea din greseala a datelor.

2. problema reconstituirii sistemului in laborator. Datorita varietatii foarte mari a componentelor tehnice ale calculatoarelor, pentru ca sistemul sa poata functiona corect in laborator, este necesara ridicarea tuturor echipamentelor prezente la locul perchezitiei. In cazul ridicarii partiale a componentelor sistemului, este posibila prezenta unor incompatibilitati fie intre echipamentele sistemului informatic ridicat si cele din laborator (de exemplu incompatibilitatea calculatorului cu echipamentele periferice - imprimante, etc.), fie intre programele de pe sistemul ridicat si echipamentele din laborator.

O data decisa ridicarea sistemului informatic aflat la locul perchezitiei, trebuie luate unele masuri care sa permita reconstituirea exacta a acestuia in laborator. In primul rand, trebuie consemnat modul de aranjare in spatiu a echipamentelor sistemului informatic ridicat. Aceasta se poate face fie prin fotografierea sistemului din toate unghiurile, fie prin filmare video. In procesul de fotografiere sau filmare, este necesar sa se insiste asupra cablajelor ce conecteaza diferitele componente ale echipamentului. Consemnarea, in varianta foto sau video, are relevanta si pentru a arata starea in care se gasea echipamentul in momentul ridicarii, prevenind astfel plangerile legate de o eventuala deteriorare a acestuia in decursul anchetei.

In procesul de ridicare a componentelor sistemului trebuie sa fie avuta in vedere necesitatea pastrarii integritatii si identitatii datelor. Orice avariere a suportului pe care se afla datele duce in mod inevitabil la distrugerea acestora. Organele de cercetare penala trebuie instruite in mod special pentru a proteja probele de natura electronica.

rocedura ridicarii sistemelor informatice este urmatoarea:

etapa 1: inchiderea sistemului. Daca sistemul a fost gasit inchis in momentul patrunderii investigatorilor, nu trebuie sub nici un motiv pornit. Se va proceda in continuare trecand la celelalte etape. Daca sistemul a fost gasit deschis, el trebuie inchis pentru a se putea proceda la ridicarea lui. Pentru inchiderea sistemului se pot folosi urmatoarele procedee:

. deconectarea de la alimentarea cu energie electrica;

. inchiderea conform procedurii normale.



Prima alternativa este de preferat in cazul in care investigatorul nu are cunostinte de informatica. Unele calculatoare dispun de surse de alimentare neinteruptibile (UPS). In acest caz, pe langa deconectarea de la sistemul de alimentare cu energie electrica, trebuie oprit si acest sistem. Deconectarea nu va produce, in cele mai multe cazuri, pierderea de date, dar poate evita stergerea unor informatii relevante, cum ar fi fisierele temporare, care se pot sterge in cadrul procesului normal de inchidere a calculatorului.

Cea de-a doua alternativa este de preferat atunci cand calculatorul este conectat in retea, sau atunci cand investigatorul este asistat de o persoana ce are cunostinte asupra modului de functionare a sistemului respectiv, precum si asupra procedurilor ce sunt folosite pentru inchiderea lui.

etapa a 2-a: etichetarea componentelor In cazul in care se impune dezasamblarea fiecare componenta a sistemului trebuie etichetata inainte de modificarea configuratiei in vederea ridicarii probelor. In cazul cablurilor, se eticheteaza atat cablul, cat si suporturile de unde a fost debransat. In cazul existentei unor suporturi care nu au conectate cabluri, este recomandabil ca sa fie etichetate 'neocupat'. Se poate realiza si o schita a componentelor, cu precizarea simbolurilor folosite pentru etichetare.

etapa a 3-a: protejarea la modificare Toate suporturile magnetice de stocare a datelor trebuie protejate impotriva modificarii continutului lor. Unele tipuri de hard-discuri au contacte speciale care realizeaza protejarea la scriere. In cazul dischetelor, protejarea se va face prin mutarea martorului de permitere a modificarilor in pozitia 'inchis'.

etapa a 4-a: ridicarea propriu-zisa. Ridicarea probelor trebuie facuta cu multa grija, evitandu-se orice avariere a componentelor. Este recomandabila impachetarea componentelor in ambalajul original, daca acesta poate fi gasit, sau in ambalaj special ce asigura protectia electrostatica a acestora. De asemenea, toate suporturile magnetice de stocare a datelor, vor fi ambalate si sigilate in asa fel incat accesul la ele nu este permis, pana la desfacerea in laborator.

Suspectul

In timpul investigatiei, daca suspectul este prezent, organul de urmarire penala trebuie sa impiedice orice apropiere a acestuia de sistemul informatic. Mai ales daca suspectul are pregatire superioara in domeniul informatic, acesta poate altera voit datele aflate pe calculatorul sau, fara ca investigatorii sa poata sesiza acest lucru. Calculatorul suspectului poate contine unele comenzi ce pot produce pierderea datelor, comenzi ce pot fi mascate sub numele unor comenzi uzuale ale sistemului de operare folosit.

Daca suspectul insista sa ajute investigatorii in procesul de inchidere a calculatorului sau a procesului de ridicare a componentelor sistemului, acestia pot cere suspectului sa le descrie operatiunile pe care acesta doreste sa le execute, si chiar sa le scrie pe hartie. Investigatorii nu vor urma indicatiile suspectului, ci le vor remite expertilor ce efectueaza analiza probelor. Acestia vor putea fi avertizati in acest mod de eventualele capcane introduse de suspect.

Rolul altor persoane

De la persoanele prezente la perchezitie, sau de la alte persoane care au

cunostinta de modul de operare a sistemului informatic respectiv pot fi obtinute informatii importante. Fiecare martor trebuie intervievat asupra modului in care sunt folosite sistemele informatice ridicate. Sunt relevante modalitatile de introducere, sortare si stocare a datelor pe computer, precum si practicile referitoare la diverse aspecte legate de utilizarea lui curenta.

In cazurile in care se ancheteaza incidente legate de patrunderea neautorizata in sisteme informatice ale unor intreprinderi, de cele mai multe ori specialistii intreprinderii-victima sunt cele mai importante ajutoare ale investigatorilor.

Astfel investigatorii nu trebuie sa foloseasca tehnici de patrundere activa in sistem pentru prelevarea probelor, bucurandu-se de sprijinul celor care administreaza sistemul.

In unele situatii speciale, calculatoarele altor persoane, situate la aceeasi locatie pot detine probe relevante. De exemplu, se citeaza cazuri in care documente relevante au fost gasite in calculatorul secretarelor persoanelor investigate.

Transportarea probelor in laborator

Transportarea probelor retinute trebuie facuta cu multa grija, avand in vedere fragilitatea lor. Este necesar sa fie luate precautiuni legate de protejarea fata de socuri fizice, umiditate, caldura si mai ales de influenta undelor electromagnetice.

In legatura cu acest din urma aspect trebuie evitata plasarea echipamentelor in apropierea surselor de radiatii electromagnetice, cum ar fi aparate de fax, copiatoare, statii radio, telefoane celulare. Este recomandabila masurarea cu instrumente speciale a campului electromagnetic in spatiile unde sunt depozitate echipamentele ridicate.

Analiza probelor

O data aduse in laborator, componentele trebuie asamblate pentru a reconstitui sistemul original. Pentru aceasta se vor folosi fotografiile sau casetele video filmate inainte de ridicarea probelor, respectandu-se conexiunile originale, precum si informatiile obtinute de la martori in legatura cu practicile de utilizare a sistemului informatic respectiv.

Primul pas in analiza probelor de natura electronica este legat de necesitatea asigurarii veridicitatii lor. Pentru a putea dovedi veridicitatea probelor, este necesara ambalarea si sigilarea acestora in modul amintit mai sus .

Primul pas in asigurarea protectiei impotriva modificarii datelor din sistemele informatice trebuie facut chiar in timpul perchezitiei, prin luarea masurilor de protejare fizica la scriere a mediilor de stocare.

Se recomanda ca analiza criminalistica a continutului discului sa se realizeze pe o copie fidela a discului original, realizata in laborator cu ajutorul unor programe si dispozitive speciale. Procedeul nu presupune doar copierea tuturor fisierelor aflate pe disc, ci a intregului continut al discului, sector cu sector, inclusiv fisierele temporare, fisierele de schimb, fisierele sterse, chiar informatia aflata pe portiunile avariate ale discului, etc. O asemenea copiere de aceasta natura se realizeaza cu ajutorul unor programe speciale. Se recomanda realizarea a doua copii, pe una dintre ele realizandu-se analiza propriu-zisa, cealalta fiind o copie de rezerva.



Copierea trebuie realizata dupa un procedeu demn de incredere. Pentru a putea avea aceasta caracteristica, copierea trebuie:

. sa asigure posibilitatea verificarii de catre terti; instanta de judecata sau

partea adversa trebuie sa poata sa verifice acuratetea copiei realizate.

. sa aiba ca rezultat copii sigure, ce nu pot fi falsificate.

Este recomandata consemnarea detaliata a intregului proces de copiere, indicand echipamentele, programele si mediile de stocare utilizate.

Pastrarea in siguranta a probelor se realizeaza in primul rand prin copierea continutului sistemelor informatice originale, si desfasurarea investigatiei criminalistice asupra unei copii de lucru, avand aceleasi caracteristici cu originalul.

Ca o metoda de siguranta in plus, se poate realiza autentificarea matematica a continutului unui mediu de stocare, fie el hard-disc sau discheta, mediu optic, etc. Acest procedeu consta in realizarea prin procedee matematice a unei imagini a mediului de stocare respectiv, imagine ce poate servi ca referinta in cazul in care este contestata integritatea acestuia. Autentificarea se realizeaza cu ajutorul unor programe speciale ce ofera un grad de siguranta de 1 la cateva milioane.

Pregatirea membrilor echipei ce participa la investigatie

Natura infractiunilor cere ca cercetarea penala sa se realizeze in cadrul unei echipe de investigatori. Necesitatea investigatiei in echipa reiese din nevoia garantarii unei obiectivitati sporite si eficiente, derivata din conjugarea competentelor si specializarilor membrilor echipei. Atat datorita caracteristicilor speciale ale echipamentelor ce fac obiectul investigatiei, cat si a metodelor intrebuintate in investigarea criminalistica a sistemelor informatice, membrii echipei de investigatori trebuie sa posede cunostinte si aptitudini adecvate specificului investigatiei.

Se apreciaza ca un bun investigator trebuie sa posede:

cunostinte suficiente asupra tehnicilor informatice, care sa ii permita sa inteleaga filozofia functionarii unui sistem informatic, sa analizeze documentatia tehnica si sa apeleze, daca este nevoie, la tehnici informatice evoluate care sa-l ajute in atingerea scopului urmarit;

cunostinte suficiente asupra tehnicilor utilizate de firme, in special asupra sistemelor contabile, pentru a putea intelege caracteristicile sistemelor care ar putea face obiectul unor fraude, astfel incat sa poata stabili atat modul de operare cat si sa dirijeze investigatia pana acolo unde ar putea gasi probele delictului;

cunostinte suficiente asupra tehnicilor de securitate interna, astfel incat investigatia sa poata fi efectuata cu rapiditate si fiabilitate, si sa fie indreptata in directia justa.

Pe langa nivelul de cunostinte al anchetatorilor, au fost reliefate aptitudinile ce trebuie sa existe sau sa fie dezvoltate in persoana investigatorilor, pentru ca acestia sa poata conduce ancheta. Astfel, putem aminti: personalitate extrovertita (datorita faptului ca, in general, specialistii in domeniile tehnice, si in special informatice, poseda mai putine abilitati de comunicare inter-umana), inclinare spre detaliu (foarte importanta, mai ales avand in vedere specificul probelor electronice: abundenta informatiilor aflate pe un spatiu de stocare de dimensiuni fizice reduse; cu toate acestea, este importanta pastrarea unei viziuni de ansamblu asupra anchetei), gandire logica, comunicare buna (importanta mai ales pentru a asigura prezentarea rezultatelor investigatiei intr-un mod relevant, atat in scris, cat si in fata instantei), obiectivitate. Pregatirea investigatorilor in domeniul infractiunilor informatice este o preocupare permanenta a organelor de cercetare penala din intreaga lume.

Instrumente (echipamente si programe pentru calculator) necesare investigatiei

Investigarea criminalistica a sistemelor informatice necesita utilizarea unor instrumente specifice. Ca echipamente, echipa de investigatori trebuie sa dispuna de medii de stocare a datelor, in cantitate suficienta, si de calitate superioara, pentru a permite copierea acestora de pe sistemul informatic analizat.

In analiza sistemelor informatice este folosit un numar semnificativ de programe de calculator. Cu titlu de exemplu se pot mentiona programe pentru copierea exacta a continutului memoriei fizice, pentru analiza si compararea fisierelor, pentru catalogarea continutului discului, pentru validarea si autentificarea matematica a datelor, pentru recuperarea fisierelor sterse, programe de decriptare sau programe antivirus. Este necesar ca programele de calculator folosite de organele de urmarire penala sa fie inregistrate din punct de vedere al protectiei drepturilor de autor apartinand producatorilor acestor programe.







Politica de confidentialitate





Copyright © 2024 - Toate drepturile rezervate