Criminalistica
Motivatia & Efectele Criminalitatii InformaticeMotivatia & Efectele Criminalitatii Informatice Premisele Infractionalitatii informatice Un raspuns cat se poate de simplu si concret in ceea ce priveste titlul acestui capitol ar fi „Pentru ca se poate”. Nu neg, sunt si altele pe care cercetatori, oameni de cultura probabil le folosesc in cartile lor.In viziunea mea, a omului ce a stat printre ei, exista mai putine raspunsuri si mai multe intrebari.Stavinschi Radu, reprezentant al Bancii Nationale a Moldovei, intr-un articol al sau, relata faptul ca : „motivatiile in general se incadreaza in urmatoarele categorii : motivatie tehnica, motivatie sociala, motivatie politica si financiara”. ( Stavinschi Radu – „Fraudele Informatice si Subiectii Acestora” ). Imi iau libertatea de a fi de acord judecand aceste categorii de motivatie.Totusi o analiza a fiecareia dintre ele ar presupune ramificatii si sub-categorii si ne-am cufunda intr-o analiza fara orizont a tot ceea ce inseamna scuze si motive pentru savarsirea unei infractiuni.Totusi, privind in ansamblu toate aceste motive imi aduc aminte de „sincronism”.Aceasta „teorie a sincronismului” a lui E. Lovinescu, pare a justifica toate aceste categorii de motivatie enumerate mai sus. Daca dam timpul inapoi, analizand societatea romaneasca prin prisma secolului al XIX-lea vom observa o similitudine intre ceea ce se intampla atunci si ce se intampla in zilele noastre.Istoria se repeta? Teoria mea spune ca da. Domnul Ilie Badescu in cartea sa „ Sincronism European si Cultura Critica Romaneasca” , justifica raportat la situatia actuala teoria sincronismului lui Lovinescu astfel : „ Sincronizarile acestea de sus in jos, dinspre Occident spre Orient au creat, precizeaza Lovinescu o „civilizatie burgheza” pe largi temelii agrare”.( I.Badescu, Sincronism European si Cultura Critica Romaneasca, pag.51.). Printr-un paralelism intre secolul XIX si XXI, observam ca in ciuda elementelor occidentale aduse pentru a creste valoarea societatii romanesti din acele vremuri, nu exista cadrul socio-politic economic si cultural pentru a sustine schimbarile.Acelasi lucru se intampla si in secolul XXI cand in opinia mea, odata cu dezvoltarea tehnologiei si globalizarea potentialului acestuia nu eista un cadru legislativ, o cultura civica si o instruire culturala a populatiei in ceea ce priveste utilizarea ei.Aminteam in capitolele precedente de noile tehnologii, expansiunea internetului precum si beneficiile acestuia.Nu trebuie sa uitam si de faptul ca marea majoritate a fraudelor si a infractiunilor informatice, sunt efectuate de cetateni aflati in tari aflate in tranzitie politica sau in situatii economice precare.Astfel, un exemplu concret il avem pe teritoriul african unde fraudele de tip „fishing” cu ajutorul „spamming-ului” sunt cele mai des intalnite si se adreseaza societatii occidentale.Un alt exemplu, este cel autohton; in capitolul trecut exemplificand statistic zonele in care actioneaza infractorii aflati pe teritoriul nostru.”Teoria Formelor fara Fond” a lui Titu Maiorescu dupa parerea mea se regaseste in fondul problemei infractionalitatii in general si nu in particular, vorbind aici de criminalitatea informatica.Faptul ca informatia ajunge la om cu o viteza coplesitoare, ii exemplifica noi orizonturi, noi moduri de viata, noi tentatii in ceea ce priveste bunastarea.In tarile din lumea a II-a si a III-a, „american dream”(visul american) devine tot mai incitant de urmarit oamenii fiind de-a dreptul coplesiti de grandoare si lux urmarind metode de a-l atinge cat mai repede.De aici se ajunge la utilizarea unor mijloace ce contravin legilor si normelor sociale.De multe ori acestea in trecut nici nu corespundeau cu realitatea criminalitatii, multe din infractiuni nefiind cuprinse nici in codul penal nici in cel civil. La un curs al domnului Ilie Badescu am auzit lucruri pe cat de adevarate pe atat de bine conturate.” O minte combinatoare, intotdeauna va gasi noi metode de a-si atinge scopul folosindu-se de uneltele pe care le are la indemana”.Nimic mai adevarat.Cei ce cauta si descopera o viata noua pe internet, isi doresc sa o traiasca intr-un mod real, palpabil.Sa simta.Sa castige.Pasionati fiind de noua tehnologie incep sa descopere noi intrebuintari in diverse domenii de activitate ale calculatorului.Manati de dorinta de a avea putere financiara, prestigiu s.a.m.d. incep a incalca normele si valorile sociale in cadre sunt incadrati tocmai pentru a putea fi mai presus decat ceilalti.In gandirea lor, a putea avea ce nu au, reprezinta tocmai evadarea din tiparele sociale din care fac parte.Doresc aceasta sincronizare intre viata lor si viata celor pe care ii vad la televizor sau ii descopera pe internet.Isi doresc sa aiba in luni sau zile, ce altii au dobandit inr-o viata sau de-a lungul mai multor generatii. De aici si asemanarea cu sincronismul lui Lovinescu si implementarea in aceasta lucrare a principiului teoriei formelor fara fond. Aceste aspecte, nu e refera doar la justificarea motivatiei financiare din cazul criminalitatii.Sunt aplicabile si pentru motivatia de ordin politic, deoarece orice sabotare a unui concept politic reprezentat fiind de o persoana sau partid, se refera la schimbarea acestuia cu un alt model copiat dintr-o alta structura sociala.Totusi acea persoana ce se complace in acest sabotaj, nu detine cultura intelepciunea necesara de a-si exercta drepturile constitutionale oferite de vot si libera exprimare, ci simte nevoia de a iesi din aceste tipare sociale ridicandu-se mai presus de lege si de dreptul fundamental al omului atacand prin mijloacele ce le are la dispozitie in speta cele tehnologice.Motivatia sociala, este explicata in ambele cazuri enuntate mai sus, data fiind o asimilare precara a normelor de convietuire intr-o societate de catre acele persoane ce comit astfel de fapte.Mai ramane de analizat acea categorie de persoane a caror motivatie este una tehnologica.Ultima categorie pe care doresc sa o abordez insa nu cea din urma.Un scop clar m-a determinat sa o abordez la final si anume o analiza mai elaborata a fenomenului „hacker”. Definirea unui „hacker” este aparent simpla si se refera la acea persoana ce intra in sistemele informatice fara autorizatie gasind punctele vulnerabile ale acestuia si exploatanu-le din motivatii ce tin mai mult de distractie decat de orice altceva.In cartea Ioanei Vasiu, „Hackerii” autoarea explica intr-un mod cat se poate de concret confuzia in care traieste societatea moderna referitor la acesti hackeri.Atat in filme cat si in presa hackerii sunt confundati cu infractorii informatici deoarece aceste aspecte sunt cele mai promovate.Totusi exista pareri ca acestia sunt adevarate genii ce isi folosesc cunostintele in vederea imbunatatirii sistemelor informatice.Personal i-as numi „doctori ai sistemelor” deoarece gasesc punctele slabe iar o parte din ei, „hackerii etici” ajuta la rezolvarea problemelor.” A fi hacker nu este neaparat diabolic si hackerii prefera sa utilizeze cuvinte ca phreaker sau cracker pentru a-i descrie pe cei ce se abat de la calea cea dreapta.”. (Ioana Vasiu, Hackerii, 2001, pag.6 ). Tot in cartea Ioanei Vasiu, marturia unui fost hacker numit „cyberpunk” este edificatoare : „Am fost hacker la sfarsitul anilor ’70 si inceputul deceniului opt, cand noi doar intram in sisteme si ne uitam in jur.Am fost pe de-a dreptul pasnici.A existat un cod al onoarei hackeresti si cand vreunul dintre noi facea ceva ilicit sau malitios, unul dintre baietzii mai varstnici il pedepsea dupa regulile stabilite.Cuvantul hacker s-a degradat acum, din pricina acestor noi membri care comit acte criminale, dar de fapt, ei nu sunt hackeri.Noi ii numim phreakers.”.( citat al celui supranumit cyberpunk din cartea Ioanei Vasiu, Hackerii, 2001, pag.6). Aceasta marturie certifica o realitate de netagaduit si anume aceea ca hackerii se refera la acele persoane capabile.Avide de tehnologie de cunoastere, curioase si totodata inzestrate cu echipamentele necesare pentru a patrunde in alte sisteme.Este drept, incalcand normele si legile societatii ei devin victimele curiozitatii insa marea lor suparare revine din faptul ca sunt asimilati si confundati impreuna cu acei indivizi lipsiti de etica ce comit infractiuni cu ajutorul cunostintelor si mijloacelor pe care le detin. Hackerii au ca si caracteristici principale, conform unor studii precum „The On-Line Hacker Lexicon „ programarea cu entuziasm, demnitatea de a fi apreciata (hack-value), scrierea de programe cu rapiditate, aviditatea in ceea ce priveste provocarile, s.a.m.d.” (Monica Serbanescu, I.Botos, D.Zamfir, Law Crime & Net, 2002, pag.147.). Aceleasi ratiuni ale motivatiei hackerilor, se regasesc atat in cartea Ioanei Vasiu „hackerii” cat si in cea a Monicai Serbanescu, Ilie Botos si Dumitru Zamfir, Law Crime & Net.Acestea se refera la cele tehnice, politice, sociale.Totusi in Law Crime & Net apare si motivatia „oneroasa” ce se refera la insusirea de foloase materiale de catre cei ce savarssc faptele.Aici, intalnim o oarecare confuzie dat fiind faptul ca hackerii prin definirea lor in ambele publicatii sunt acele persoane ce se folosesc de cunotintele lor doar din curiozitatea de a gasi punctele slabe ale sistemelor in timp ce „phreaks” sunt cei ce comit lucruri ilegale.Dupa parerea mea exista aceste grupuri distincte guvernati de principii si scopuri diferite.Vorbind de infractori, imi iau libertatea de a vorbi de „phreaks” sau „crackeri”, aceia ce se folosesc de mijloacele tehnologice pentru a obtine foloase necuvenite.Mai sunt supranumiti si „palariile negre” . „Hackerii etici” sau „Palariile albe” sunt aceia a caror interventie prin sisteme este una inofensiva ce are doar rolul de a dezvaluii erorile si punctele slabe ce sunt ulterior aduse la cunostinta administratorilor de retea pentru a fi remediate.( M.Serbanescu, I.Botos, D.Zamfir, Law Crime & Net, 2002, pag.148 – 150 ; I.Vasiu, Hackerii , 2001, pag.11 – 12.; Profiling – Max Kilger Ofir Arkin, Jeff Stutzman, pag.505 – 510, https://old.honeynet.org/book/Chp16.pdf ). Analizand motivatia politica a acestor „crackeri” ce prin actiunile lor incalca legile, descoperim ca acestia sunt impinsi de crezuri politice diferite decat cele ale institutiilor atacate lasandu-si amprenta asupra sistemelor lor informatice cu propriile teorii si crezuri.Ei isi fac publice optiunile insa se diferentiaza de cei cu motivatie guvernamentala deoarece aici intervin actiunile unui guvern impotriva altui regim de stat. Din punct de vedere social, motivatia revine din acea dorinta de a fi privilegiat in grupul unde isi desfasoara activitatea, de a-i fi recunoscute meritele si de a-si insusi un oarecare grad de celebritate.Activitatea hackerilor autentici, tine de ratiuni tehnice deoarece acestia au motivatia de a scoate in evidenta imperfectiunile unei tehnologii sau sistem si determina prin penetrarea acestora luarea unor masuri pentru remedierea problemelor.( M.Serbanescu, I.Botos, D.Zamfir, Law Crime & Net, 2002, pag.148 – 149) Exista un numar impresionant de infractiuni si cazuri de patrundere ilegala in sisteme, furt de informatii s.a.m.d. Nu voi vorbi in aceasta lucrare despre acestea considerandu-le mult prea banale in contextul in care genialitatea unor oameni naste controverse in toate colturile lumii.Personal admir adevaratii hackeri.Ei sunt cei ce datorita curiozitatii si fanatismului tehnologic de care dau dovada tind a duce sistemele informatice catre perfectiune.Prin actiunile lor, ale „palariilor albe” tehnologia avanseaza si sunt totodata dusmanii celor supranumiti „crackeri” sau „palariile negre”. Cum viata totusi nu este doar in alb si negru, ne confruntam cu „palariile gri”, acei hackeri aflati intr-o criza de identitate ce nu au stabilita o granita concreta in ceea ce priveste etica actiunilor ce le desfasoara.Dupa parerea mea acestia sunt cei mai imprevizibili si periculosi deoarece oscileaza intre legalitate si ilegalitate.Totusi, o foarte mare parte din acestia aleg intr-un final latura intunecata a activitatii lor. Hacker, cracker si alte cuvinte sunt doar cuvinte.In spatele lor se afla totusi oameni.Acei oameni ce poarta aceste diverse titulaturi si care sunt recunoscuti intr-un mod pozitiv sau negativ in functie de faptele lor.Totusi un simbol al acestei lumi cibernetice este evidentitat in persoana lui Kevin Mitnick, acesta fiind „prima vedeta FBI” in ceea ce priveste atacurile informatice. In adolescenta sa neavand posibilitatea achizitionarii unui calculator personal, pierdea timpul la Radio Shack, un magazin unde avea acces la calculator..De mentionat faptul ca la doar 16 ani a intrat in reteaua de calculatoare a liceului unde studia fiind si prins.Mai tarziu, in 1982 a fost prins intrand ilegal in reteaua de telefonie vorbind gratuit peste granite si furand manuale tehnice e la o companie numita „Pacific Bell”.Intors la studii la universitate, a facut inchisoare timp de 6 luni tot datorita activitatii ilegale pentru ca in 1988 sa fie arestat iar pentru acces neautorizat la „Digital Equipment”.Pagubele sale ajungeau la suma de aproximativ 4 milioane de dolari iar echipamentul pe care il furase valora in jur de 1 milion. Desi in 1989 a fost gasit si condamnat, acest infractor modern a facut terapie pentru a scapa de „dependenta de hacking” iar in anii 1990 a fost cooptat de echipa Tel Tech ce se ocupa de investigatii.FBI-ul, a inceput sa il cerceteze atent iar in 1992 apoi Kevin a inceput o adevarata aventura cutreierand orasele la rand savarsind fapte ilegale cu ajutorul unui telefon mobil si a unui laptop.Anul 1994 si ziua de 25 decembrie marcheaza penetrarea de catre Kevin Mitnick a sistemului informatic de la compania Tsutomu Shimomura.In anul 1995, a fost prin de catre FBI atribuindu-se 23 de acuzatii insa a fost pastrata doar cea de „posesie ilegala si uz ilegal a 15 numere de credit card”.In anul 2000, Kevin a fost eliberat din penitenciar insa marea problema cu care s-au confruntat procurorii a fost reprezentata de fisiere ale lui Mitnick ce erau salvate si parolate in laptopurile sale cu care se presupunea ca va comite alte infractiuni.Apararea a incercat sa le obtina avansand teoria unor probe necesare pentru aparare.Acuzarea, nu a fost de acord cu eliberarea acelor fisiere deoarece nu au putut fi decodificate astfel incat le era frica de o potentiala „cutie a Pandorei” cu care Mitnick urma sa savaraseasca alte fapte.In urma unei intelegeri cu autoritatile, Mitnick a fost eliberat mai devreme insa a stat 3 ani sub stricta supraveghere.Incepand cu martie anul 2000, Kevin Mitnick a inceput sa vorbeasca in Congresul American despre infractiunile informatice, oferind sfaturi despre posibile metode de contracarare a acestora.Practic, cunostinte si sustinbatori ai lui Kevin Mitnick, au sustinut mereu faptul ca acesta nu comisese infractiuni iar atat autoritatile cat si presa exagerasera in ceea ce priveste faptele savarsite punand toate aceste evenimente pe seama „curiozitatii intelectuale aplicand ingenuitatea yankee”.(Ioana Vasiu, 2001, Hackerii pag. 93 – 97.). Un alt cracker celebru descris in cartea Ioanei Vasiu, este supranumit „Agentul Steal”.Pe numele sau real Justin Tanner Peterson, a devenit faimos datorita preluarii controlului telefoanelor cu ajutorul carora patrundea apoi in sistemele guvernului.Totusi, Justin a lucrat impreuna cu FBI-ul pentru prinderea celor ce desfasurau activitati ilegale.Anul 1991, a fost arestat pentru posesia unui autoturism furat iar cercetarile ulterioare i-au adus si alte acuzatii precum „utilizarea de nume false si acces neautorizat la sistemele informatice.”.Cazul insa a fost inchis odata cu transferarea lui in California deoarece lucra impreuna cu FBI-ul.El a pledat insa vinovat mai tarziu primind o pedeapsa de 40 de ani de inchisoare ce a fost suspendata datorita functiei de agent al guvernului.Anul 1993, l-a adus in fata unui procuror iar aceasta confruntare l-a determinat sa fuga dupa ce i-a recunoscut acestuia ca inca mai comite liegalitati.A fost prins in anul 1994 iar in 1995 a fost acuzat de „conspiratie la o actiune de transfer electronic ilegal de fonduri” primid o pedeapsa de 60 de ani de inchisoare fara posibilitatea de eliberare pe cautiune.( Ioana Vasiu, Hackerii, 2001, pag.97 – 98.). Exista o multitudine de exemple in ceea ce priveste oameni ascunsi in spatele titulaturii de hacker sau cracker.Unii sunt pusi intr-o lumina pozitiva datorita ajutorului oferit autoritatilor si companiilor private pentru sporirea securitatii informatice, altii intr-o lumina negativa datorita insusirii de foloase necuvenite de pe urma faptelor comise.Totusi o generalizare ar fi injusta si mai injust este faptul ca desi autoritatile s-au folosit de multe aceste genii informatice, au existat cazuri in care apoi le-au abandonat pepepsiundu-i drastic pentru faptele comise si probabil si pentru altele pentru care era nevoie de un „tap ispasitor”.
Este de remarcat totusi faptul ca impreuna cu acesti crackeri autoritatile si nu numai, reusesc a dezvolta noi strategii si sisteme pentru contracararea atacurilor.Ioana Vasiu in „Hackerii” il citeaza pe Maxfield ‚Hackerul cu doua fete” care spune „A fost o treaba murdara, dar gandesc ca hackerii nu trebuie lasati sa continue, pentru ca altfel ne vor distruge pe toti.”. Aceasta declaratie a fost data justificata fiind prin actiunile sale de colaborare cu autoritatile carora le furniza informatii depsre cei aflati in lumea virtuala cu scopul de a savarsi infractiuni.(Ioana Vasiu, Hackerii, 2001, pag.109.). Masuri de combatere a criminalitatii informatice Odata cu aparitia calculatoarelor a retelelor si in special a internetului s-au dezvoltat toate celelalte functii ale comunicatiei iar mijloacele de lucru s-au schimbat radical fata de sistemele clasice.Evident, cei mai interesati pentru imbunatatirea securitatii datelor au fost cei din domeniul militar al carui interes pentru tehnologia protectiei informatice este primordiala aceasta confundandu-se in proportie maxima cu securitatea de stat.Astfel, politicile de prevenire si combatere a infractionalitatii au inceput sa ia o alta turnura in clipa in care domeniile aflate in mediul civil precum cel politic, medical sau economic au inceput sa copieze sau sa fie interesate de aplicatiile folosite in politica de aparare militara a sistemelor informatice.In Anglia a fost introdus nivelul de informatii „restrictionate” ce a aparut in zona ce delimita informatiile „confidentiale” si cele „ neclasificate”.SUA de asemenea a adoptat aceasta clasificare insa odata cu legea „libertatii accesului la informatii” aceasta clasificare a disparut.Astfel, in SUA exista „FOUO” „For official use only” si „Unclassified but sensitive”.Exista anomalii atat in Marea Britanie, cat si in SUA referitor la aceste tipuri de clasificari ale informatiilor, exemplul fiind practica ce arata ca informatiile restrictionate sunt facute publice insa jurnalistii sunt sanctionati daca le dezvaluie.Totodata, informatiile „neclasificate” din SUA ce ajung in Marea Britanie devin „restrictionate” iar odata ce revin in SUA devin confidentiale, ceea ce reprezinta o ingrijorare pentru reprezentantii armatelor ce se ocupa de organizarea sistemelor militare de clasificare a datelor.Securitatea ca si sistem, este reprezentat de niveluri controlate datorita clasificarii tipului de informatie.Astfel, avem tipuri de informatii publice, confidentiale, secrete iar in varful piramidei sunt cele strict secrete.David Bell si LaPadula au implementat in anul 1973 un model de politca a securitatii foarte cunoscut si in zilele noastre in urma solicitarii venite din partea aviatiei militare americane.Acest model de sistem includea 3 principii; cel al securitatii simple, prin care nu era permisa citirea de date aflate la un nivel mai inalt decat cel autorizat, principiul stea, ce se referea la interzicerea de a scrie date de catre un proces pe un nivel inferior, cunoscut sub numele „No Write Down, NWD”.”Securitatea discretionara” este u alt principiu ce „introduce o matrice de acces pentru a specifica controlul accesului discretionar.Este cunoscut si ca „Trusted Subject”. Matricea ce controleaza accesul, reprezinta de asemenea un model de securitate aceasta oferind drepturi pentru accesarea unor informatii din cadrul sistemului.Aceste matrici sunt de genul „executa” , „citeste” sau „scrie”. ”.(Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag.87 – 89.). Ken Biba, este inventatorul unui sistem de asemenea consacrat in ceea ce priveste siguranta datelor acesta fiind viabil in ceea ce priveste securitatea siguranta sistemelor si nu are legatura cu confidentialitatea datelor.Modelul sau, se refera la protejarea datelor de modificari cu caracter neautorizat de catre persoane fara un acces autorizat, „asigurarea consistentei interne si externe a datelor” precum si schimbarea caracteristicilor datelor de catre persoane ce au acces la acele informatii in mod autorizat. ”.(Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag.90.). Toate aceste sisteme de securitate da datelor si ansamblurilor informatice, au totodata un sprijin venit din partea programelor informatice create tocmai pentru protectia diferitelor resurse aflate in posesia persoanelor, institutiilor de stat sau companiilor private.Aceste programe, este imperativ necesar sa aiba o stransa legatura cu politica de securitate bine definita a fiecarei companii sau societati daca vorbim de nivelul international unde fiecare stat are cadrul sau legislativ.Pentru o deservire mai buna, programul de securitate trebuie sa fie bazat pe normele legislative si sa urmareasca interesele celui ce il utilizeaza.Politicile de securitate, sunt adaptate de fiecare organizatie intr-un mod individual urmarind sa fie cat mai apropiate de cerintele contextuale ale structurii.Astfel, se porneste din varf de la grupul de conducere al acelei organizatii ce trebuie sa defineasca intr-un mod concret importanta resurselor aflate la dispozitia angajatilor sau a oamenilor ce se afla in contact cu structura organizationala.Exista o serie de proceduri si regulamente in ceea ce priveste controlul informatiei interne unele obligatorii iar altele recomandabile insa puternic promovate pentru ca participantii din sistem sa si le insuseasca.Exista politicile informative, ce se adreseaza tuturor oamenilor aflati in structura organizatiei respective fiind foarte bine conturate si explicate ce se refera doar la instiintarea personalului cu privire la diferite aspecte.In comparatie cu politicile recomandate acestea sunt asimilate mult mai usor, politica recomandata urmarind si un set de actiuni de monitorizare a angajatilor si a persoanelor aflate in contact cu structura acestea avand anumite responsabilitati. ”.(Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag.94 – 95 .).Dincolo ce aceste politici desfasurate in cadrul fiecarei institutii exista elemente ce se refera la detaliile acestor politici, acestea fiind cuprinse de manuale, carti, cursuri s.a.m.d. Standardele, denota o subdiviziunii ce se refera la uniformizarea impementarii tehnologice de securitate pentru un mai bun control in ceea ce priveste accesul si controlului accesului la resurse.Normele politicilor sunt reprezentate de metodele utilizate in securitatea informatiilor iar procedurile sunt acele instructiuni redate in detaliu destinate personalului in vederea cunoasterii modului de operare..(Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag.95 – 96.). Tot in cartea lui Dumitru Oprea, sunt redate exemple de politici de securitate, acestea referindu-se la prevenirea accesului fara autorizatie la resurse, asigurarea politicilor si normelor de securitate in cadrul organizatiei, detectarea eventualelor scurgeri de informatii si lansarea de masuri impotriva acestora si continuitatea ce se refera la functionarea permanenta a sistemelor fara a fi puse in pericol de calamitati, dezastre sau alte situatii neprevazute printr-un plac bine pus la punct.”Utilizarea adecvata”, se refera respectarea schemelor de acces a utilizatorilor de resurse din cadrul organizatiei, fiecare avand un cont de utilizator si responsabilitate fata de resursele accesate. ”.(Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag.98 – 99.). Departandu-ne de structurile organizationale si politicile de securitate informatica, avem ca optiune de securizare diferite modele tehnologice bazate pe programe create astfel incat sa ofere acces limitat, restrictionat sau sa nu il ofere deloc cand cazul o impune.Utilizarea parolelor este un argument in acest sens.In functie de sistemul cu care se opereaza acestea pot fi alfanumerice cu un numar de simboluri litere sau cifre intre 3 si 60.Este foarte important numarul acestor caractere folosite in compunerea unor parole deoarece fiind prea lungi acestea pot fi scrise de ctare utilizatorii contului parolat pe hartie sau in alte dispozitive de retinere a datelor electronice.O parola, este mai eficienta daca contine litere si cifre in mod aleatoriu, reprezentarea ei printr-un nume comun de orice fel avand un sens aparte putand fi descifrat de catre un cracker relativ repede.Totusi, deoarece cu parolele lucreaza oamenii iar memoria omului poate da gres la un moment dat, foarte multe sisteme permit introducerea cu precadere a 3 parole gresite inaintea taierii accesului la resurse intr-un mod definitiv.Semnaturile vocale, de asemenea sunt pe cale sa se raspandeaca in sistemele de securitate informatica.In ciuda faptului ca sunt inca in stadiu experimental, acestea se bazeaza pe un principiu de utilizare al sunetelor de catre un calculator ce le inregistreaza le analizeaza si le transpune intr-un tipar digital, urmand sa redea semnatura vocala.La analizarea frecventelor de sunet atunci cand se da comanda respectiva, calculatorul va permite sau nu va permite accesul dupa caz.Exista unele semne de intrebare legate de aceasta tehnologie cel putin in mintea mea deoarece vocea umana se poate deteriora datorita unor afectiuni astfel incat exista posibilitatea nerecunoasterii semnaturii vocale de catre calculator.Pattern-ele ochiului, sunt de asemenea caracteristici umane unice precum amprentele digitale si se refera la acea retea de vase sanguine situata in spatele retinei, ce poate fi scanata doar cu ajutorul razelor infrarosii.”Pentru a scana retina, este utilizata o raza infrarosie, folosind o cale circulara.Un detector situat in perifericul folosit masoara intensitatea luminii, asa cum este reflectata ea din diferitele puncte.Deoarece vasele sanguine nu absorb si reflecta aceeasi cantitate de infrarosu ca tesutul inconjurator, senzorul inregistreaza vasele ca un complicat pattern intunecat pe un fundal luminos.”( Ioana Vasiu, Criminalitatea Informatica, 2001, pag.151 – 152, 156 – 157.). Trecand dincolo de metode si tehnici de protectie a sistemelor informatice, a informatiilor si a tuturor resurselor aflate pe suport digital, nu trebuie sa scapam din vedere legislatia in vigoare la nivel international.Astfel, fiecare stat are propria-i structura legislativa si propria strategie de prevenire si combatere a criminalitatii informatice.Este evident faptul ca cea mai puternica organizare in acest sens se afla in tarile ocidentale ba mai mult, am sa ma refer la SUA, tara ce practic a inventat internetul si calculatorul. Astfel, in aceasta tara a democratiei si a „cuvantarii libere” Congresul este cel ce a analizat si si-a canalizat atentia asupra sigurantei informatice din ce in ce mai intens in ultimile doua decenii.Asta nu doar datorita cresterii importantei tehnologiei in viata cotidiana ci si datorita raspandirii internetului si a aplicatiilor acestuia pe plan mondial, fapt ce a dus la o sporire a riscurilor in ceea ce priveste propria-i securitate nationala in ceea ce priveste institutiile civile de stat sau cele militare.Cateva acte normative le voi da ca exemple elocvente pentru a defini o structura legislativa de baza as spune eu dupa care ceilalti actori globali au incercat sa adapteze principii si caracteristici.Astfel, exista „Legea privind dreptul de protejare a confidentialitatii datelor personale” ( Federal Privacy Act) adoptata in anul 1974.Aceasta, se refera la utilizarea si manipularea informatiilor cu caracter general ale persoanelor ce se folosesc in institutiile medicale, sau terte departamente federale.Prin aceasta lege, diversele agentii americane sunt obligate sa pastreze intr-un mediu sigur si confidential toate datele apartinand cetatenilor pe care le detin.Acest principiu al bunelor practici este definit prin „Codul principiilor de buna practica privind informatiile cu caracter personal, adoptat de Ministerul Sanatatii in 1973”.Incepand cu luna aprilie a anului 2003, exista si o standardizare referitoare la aceasta confidentialitate, reglementata prin „ Standardele pentru confidentializarea informatiilor identificabile privind sanatatea persoanelor”. „Legea privind libertatea electronica a informatiei ( Electronic Freedom of Information Act), se refera la disponibilitatea informatiilor aflate in posesia agentiilor de stat pentru publicul larg in vederea consultarii.Aceasta reprezinta o modificare a „Legii privind libertatea informatiei” a anilor 1974 si 1986.Astfel, toate institutiile si agentiile americane, trebuie sa foloseasca tehnologia noua in vederea imbunatatirii accesului publicului larg la informatii.Exista un set de obiective urmarite ale acestei legi ce se refera la asigurarea unei democratii prin punerea la dispozitie a informatiilor agentiilor de stat catre public, sporirea utilitatii informatiilor ce se regasesc in posesia institutiilor statului.”Legea privind accesul neautorizat, frauda si abuzul informatic”(Computer Fraud and Abuse Act) ce a aparut in anul 1984, reglementeaza dreptul de aobtine si a dezvalui informatii aflate sub protectie din considerente de securitate nationala, informatii apartinand agentiilor de stat ce au in administrare informatii personale confidentiale precum si informatiile ce sunt detinute in sistemul public in format electronic.Abuzul informatic, este si el reglementat de legislatia americana, prin „Legea privind frauda si abuzul informatic” ce dateaza din 1986 aceasta scotand in afara legii obtinerea de date de catre o persoana fara autorizatie ce poate afecta interesele unei societati comerciale, banci sau oricarei alte institutii financiar-bancare si nu numai.Este stipulata in lege denumirea de „persoana neautorizata” ca fiind „acea persoana ce in mod intentionat acceseaza un sistem informatic fara a avea acordata autoritatea necesara sau care isi depasteste limitele accesului permis de sistem.”. Confidentialitatea referitoare la modalitatile de comunicare electronica, este reglementata printr-o extensie a legii din 1968, si are propria titulatura „Legea privind confidentialitatea comunicatiilor electronice” (Electronic Communications Privacy Act) ce a fost instituita in anul 1988 si se refera si la legiferarea folosirii telefonului, mai precis dorind sa pedepseasca indivizii ce obtin acces neautorizat in retelele de telefonie in special datorita faptului ca se pot folosi aceste accese pentru a penetra celelalte sisteme informatice.Ca o consecinta a acestei legi, companiile de telefonie vor introduce mijloace de codificare a liniilor telefonice.O alta problema ingrijoratoare pentru Congresul american a fost reprezentata de accesul foarte facil al minorilor la internet si la materialele cu continut pornografic si nu numai.Exista o multitudine de informatii in spatiul virtual ce poate atenta la integritatea psihologica si intelectuala a minorilor astfel incat toate aceste lucruri trebuiau reglementate printr-un proiect de lege.In aceasta situatie a aparut „Legea privind protectia Online a copilului” in anul 1998 (Child Online Protection Act).Aceasta interzicea distibuirea materialelor interzise minorilor si favoriza dezvoltarea de noi tehnici in ceea ce priveste educarea copiilor si chiar restrictionarea materialelor considerate un risc pentru copii.( Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag.346 – 348.). Dincolo de reglementarile SUA referitor la criminalitatea informatica si securitatea datelor, avem cateva exemple europene referitoare la aceleasi domenii.Astfel, in Franta anul 1978 a adus prima lege referitoare la datele cu caracter personal.Ea oferea protectie cetatenilor francezi atat in sectorul public cat si in mediul privat specificand responsabilitati si obligatii ale institutiilot legate de informatiile personale.S-a infiintat si o comisie independenta pentru supravegherea prelucrarii si inregistrarii acestui tip de date din mediul privat dar si din cel public.In anul 1988 „Legea privind frauda informatica” a stabilit ca fiind fraude, patrunderea neautorizata intr-un sistem informatic, falsificarea actelor obtinute dupa prelucrare in defavoarea cetateanului, obtinerea de avantaje cu ajutorul unui document falsificat.Spatiul german, anul 1983 a propus Decizia Curtii Constitutionale referitoare la „ dreptul la personalitate, protejarea persoanelor impotriva colectarii, pastrarii prelucrarii si transmiterea datelor cu caracter personal fara acordul persoanei vizate.”.”Bundesdatenschutzgesetz”(BDSG), aparut in anul 1977 se refera la protectia acordata cetatenilor germani impotriva folosirii in mod fraudulos a datelor personale ale indivizilor.Aceasta reglementa faptul ca un acces la o informatie legata de un anume individ, necesita acordul celui vizat. ( Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag.342 – 343.).In legislatia Marii Britanii, temelia legiferarii infractiunilor informatice o reprezinta „ Legea protectiei datelor” din 1984 ce a fost inlocuita cu cea din 1998.Aceasta lege era aplicabila datelor cu caracter personal din domeniul public si privat, urmarind responsabilizarea institutiilor in ceea ce priveste crearea unui suport de securitate al informatiilor inca din faza proiectului sistemului informatic.Totodata, se urmarea un acces limitat la aceste date precum si instruirea si responsabilizarea personalului ce urma a lucra si opera cu toate aceste informatii.”Legea privind folosirea ilegala a calculatoarelor” a aparut in anul 1990 fiind aprobata si implementata cu succes definind un acces neautorizat ca reprezentare a unei infractiuni.Aceasta reglementa fapte precum accesul fara permisiune la diferite date si programe, accesul referitor la modificarea unor informatii in mod abuziv si accesul neautorizat in vederea crearii posibilitatii de comitere a unei fapte de natura infractionala. Aceste exemple de legi ale tarilor occidentale dezvoltate au fost definitivate mult mai devreme decat legislatia tarilor est-europene de exemplu ale caror demersuri in ceea ce priveste stoparea fenomenului de infractionalitate informatica au fost mult sub necesitatile unei societati moderne aflate in plina expansiune informatica.Ungaria anului 1992 propunea „Legea privind protectia datelor personale si publicarea informatiilor de interes public”.Aceasta protejeaza accesul la datele personale ale cetatenilor si reglementeaza colectarea si stocarea informatiilor de acest gen.Cehia, a adoptat copiind modelul american in anul 1999 „Legea privind accesul liber la informatii” ce completeaza „Legea accesului la dosarele create de politia secreta in perioada comunista” din 1996.( Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag.343 – 346 ). Legislatia Romaneasca a inceput sa se dezvolte inca de la inceputul anilor 1990.”Legea privind siguranta nationala a Romaniei” 51/1991, este una din primele ce abordeaza problema securitatii informatiilor si reglementeaza faptul ca Serviciul Roman de Informatii este institutia specializata in informatiile de pe teritoriul romanesc, Serviciul de Informatii Externe se ocupa cu obtinerea de date privitoare la siguranta nationala iar Servicul de Protectie si Paza deserveste protectia oficialitatilor romane si straine. „Legea 445/iulie 2001” se refera la „semnatura electronica” iar „Legea 544/2001” abordeaza „Accesul la informatia publica”.”Legea 445/iulie 2001”, defineste datele electronice ca fiind „reprezentare a informatiei sub forma conventionala adecvata crearii prelucrarii si trimiterii primirii si stocarii acesteia prin mijloace electronice”, defineste semnatura electronica ca fiind „ data in forma electronica ce este atasata sau logic asociata cu alte date sub forma electronica si care serveste ca metoda de identificare”.Aceasta lege, reglementeaza autenticitatea inscrisului electronic egala cu „inscrisurile sub semnatura privata avand acelasi efect ca actul autentic intre cei ce l-au subscris si cei ce le reprezinta drepturile”.”Legea 544/2001” referitoare la „accesul la informatia publica” se refera la „orice informatie care priveste activitatea sau care rezulta din activitatile unei autoritati publice sau institutii publice indiferent de suportul forma sau modul de exprimare a acesteia”.Aceasta lege reglementeaza modul de distribuire a informatiilor prin persoanele desemnate sau organismele special infiintate pentru informarea publicului.”Legea 676/2001” este cea ce se refera la manipularea datelor personale si protectia individuala in domeniul telecomunicatiilor.Aceasta, stipuleaza crearea de conditiid e securitate optima a datelor si informatiilor cu caracter personal, asigurarea d ecatre operatorii retelelor de telefonie a cadrului de infrastructura sigur , informarea abonatilor referitor la orice risc sa ofere informatii autoritatilor legate de orice risc sau potential risc.( Dumitru Oprea, Protectia si Securitatea Informatiilor, 2003, pag.353 – 359.). Aceste legi, reprezinta un oarecare fundament al legislatiei Romaniei in ceea ce priveste securizarea informatiilor in spatiul cibernetic.Totusi nu am putut sa nu observ faptul ca exista o serie de legi si amendamente extrem de interpretabile dar totodata „stufoase” pe alocuri contradictorii sau repetate sub alte forme astfel incat o incadrare juridica concreta va fi aproape imposibil de realizat.Totusi, nu voi mai continua enumerarea de legi si acte normative si ma voi concentra pe enumerarea unor.Bogdan Manolea, intr-un blog de informare juridica, transpune cateva amendamente din noul Cod Penal al Romaniei ce reglementeaza infractiunile informatice.Astfel, o serie de articole au suferit modificari majore, in paginile ce urmeaza enumerand o serie de prevederi si articole schimbate: „art. 230 - Folosirea fara drept a unui terminal de comunicatii al altuia sau folosirea unui terminal de comunicatii racordat fara drept la o retea, daca s-a produs o paguba (1) Furtul care are ca obiect un vehicul,
savarsit in scopul de a-l folosi pe nedrept, se sanctioneaza cu
pedeapsa prevazuta in art. 228 sau art. 229, dupa caz, ale
carei limite speciale se reduc cu o treime. Introducerea, modificarea sau stergerea de date
informatice, art. 311 - Falsificarea de titluri de credit sau instrumente de plata (1) Falsificarea de titluri de credit, titluri
sau instrumente pentru art. 314 - Detinerea de instrumente in vederea falsificarii de valori (1) Fabricarea, primirea, detinerea sau
transmiterea de instrumente sau materiale cu scopul de a servi la falsificarea
valorilor sau titlurilor prevazute in art. 310, art. 311 alin. (1) și
art. 312 se pedepseste cu inchisoarea de la unu la 5 ani. art. 325 - Falsul informatic Fapta de a introduce, modifica sau sterge,
fara drept, date informatice (1) Accesul, fara drept, la un sistem
informatic se pedepseste cu art. 362 - Alterarea integritatii datelor
informatice art. 363 - Perturbarea functionarii sistemelor
informatice Transferul neautorizat de date dintr-un sistem
informatic sau dintr-un art. 365 - Operatiuni ilegale cu dispozitive sau programe informatice Fapta persoanei care, fara drept, produce,
importa, distribuie sau Am ales sa prezint, aceasta serie de articole impreuna cu prevederile lor pentru o evidentiere a noilor infractiuni incluse in acest Nou Cod Penal, insa urmeaza a observa odata cu intrarea in vigoare si eficacitatea acestuia.Exista deja discutii si dezbateri pe blogurile de profil juridic ce exprima nemultumire datorita ambiguitatii termenilor si prevederilor.Un exemplu ar fi articolul 230, alineatul 2 ce se refera la „folosirea fara drept a unui terminal de comunicatii al altuia sau folosirea unui terminal de comunicatii racordat fara drept la o retea, daca s-a produs o paguba.”.Aici, trebuie luata in discutie utilizarea retelelor „wireless” la care te poti conecta „autorizat” sau „neautorizat” insa poti folosi „fara drept” un terminal de comunicatii cu care sa te conectezi legitim la orice retea wireless si sa ai actiuni ilegale impotriva unui alt sistem informatic.O alta exprimare interesanta reiese din articolul referitor la pornografia infantila: Alineatul
(1) din articolul 374 se refera la producerea, deținerea in vederea expunerii sau distribuirii,achiziționarea,
stocarea, expunerea, promovarea, distribuirea, precum și punerea la
dispoziție, in orice mod, de materiale pornografice cu minori se pedepsesc
cu inchisoarea de la un an la 5 ani. Efectele acestor neconcordante, si lacune in exprimarea legislativa, va avea urmari pe termen lung atunci cand autoritatile se vor confrunta cu aplocarea amendamentelor in cauza.Pana atunci, as vrea sa punctez cateva din efectele criminalitatii informatice in sine dezvalunind cateva din consecintele pe termen scurt mediu si lung ale faptelor ilegale savarsite in domeniul informatic. Efectele criminalitatii informatice Criminalitatea informatica, nu ar fi denumita astfel daca nu ar produce efecte negative prin toate actiunile grupate in aceasta sintagma.Desi in capitolele anterioare am enumerat o serie de astfel de infractiuni, tipuri de infractori impreuna cu mijloacele acestora de a sabota bunele moravuri sociale, nu am decis concluzionarea faptelor infractionale prin enumerarea efectelor.In ciuda tuturor politicilor de securitate informatica si a programelor de securitate, intotdeauna vor exista fraude ce vor duce la pierderi financiare semnificative, manipulari ale datelor cu caracter personal ce vor duce la crearea de facilitati in sistemele diferitelor institutii pentru terti indivizi, va exista mereu teama ca probabil copilul nostru va reusi sa acceseze pe internet materiale cu continut obscen pornografic menit sa-i afecteze integritatea psihologica s.a.m.d. De remarcat faptul ca acestea sunt doar o parte din efectele ce le presupune acest tip de infractionalitate.Privind la un nivel mai inalt, putem sa ne gandim la adevarate probleme de securitate nationala precum un eventual virus ce ar distruge bazele de date ale guvernelor armatelor etc.Totodata companiile private multinationale sau nu se confrunta cu spionajul industrial ce le cauzaeaza pierderi masive iar ironia face ca de cele mai multe ori aceasta practica sa nu fie descoperita.Imi vine in minte cazul de spionaj din Formula 1 cand echipa McLarren Mercedes a fost acuzata de catre Ferrari ca ar fi recurs la astfel de practici in 2007.Acesta reprezinta doar un „varf de iceberg” in ceea ce priveste acest furt de informatii cu caracter secret si intern al organizatiei.Pentru Ferrari a reprezentat un adevarat dezastru la vremea respectiva cand McLarren Mercedes s-a impus in fata sa la Monte Carlo si unde au gasit apoi in rezervoarele bolizilor un praf alb ca dovada a sabotajului.Totodata mecanicul lor a fost acuzat ulterior de”posesie ilegala de informatii tehnice” ce au fost inmanate ulterior omologului sau de la McLarren.( https://psihologie.myphpbb.eu/board/post9591.html) Pe langa pierderile financiare si cele de prestigiu suferite de o companie sabotata cu ajutorul sistemelor informatice, pot exista si pierderi de vieti omenesti atunci cand „crakerii” sunt persoane ce comit fapte cu caracter terorist.Acestia se pot ajuta de dispozitive electronice calculatoare mijloace de comunicatii s.a.m.d. in vederea savarsirii de crime.Pornind de la cele mai rele premise totusi ne gandim ca marea majoritate a „crackerilor” urmaresc insusirea de foloase materiale iar acest lucru se produce prin fraudarea comertului electronic sau a cardurilor bancare.Totodata pot exista indivizi ce penetrand sistemele de operare personale ale unor oameni de buna credinta cu functii publice si nu numai pot recurge la santaj in scopul obtinerii de avantaje financiare.Totodata lezarea imaginii si integritatii unor persoane poate fi considerata un efect al unui atac informatic ce ar duce la expunerea unor lucruri compromitatoare intime si personale ale acesteia.Este foarte important sa realizam gravitatea acestor fapte tinand contd e faptul ca odata ce avem un telefon mobil sau un calculator conectat la internet in permanenta putem fi tinta unor atacuri neprevazute dar totusi premeditate impotriva noastra.Aceasta constienta are ca efect dotarea sistemelor noastre de operare cu diverse programe de aparare impotriva „crackerilor” ceea ce duce evident la sporirea activitatii unei firme distribuitoare si producatoare de programe de securitate cu licenta software (asta daca nu ne multumim sa instalam gratuit un program antivirus „crackuit” inainte de cineva.).Toate resursele ce le folosim, de asemenea pot fi afectate de virusii informatici ce vor determina functiile sistemelor noastre de operare sa functioneze mai greu, sa raspunda cu o viteza mai mica la comenzi sau sa piarda din memorie anumite informatii vitale pentru activiattea noastra. Efectele nu sunt tocmai din cele mai placute cand vine vorba de infractiunile informatice si nu poate fi vorba nici pe departe de o etapa trecatoare din ceea ce inseamna „trend informatic”.In permanenta o noua tehnologie inventata va fi atacata iar utilizatorul ei va suferi pierderi de natura materiala si nu numai.In capitolul ce urmeaza am sa incerc sa dezvolt o teorie proprie in ceea ce priveste „infractorii informatici” pentru a intelege mai bine modul de operare motivatiile dar si caracteristicile vietii acestora.Este vital sa definim metodele de cercetare, sa stabilim concret ipotezele urmand ca odata cu dezvoltarea cercetarii sa stabilim concluziile finale pe baza rezultatelor obtinute.Nu poate fi un lucru usor insa consider ca fiind un concept interesant un interviu fata in fata cu un personaj ce in lumea virtuala este controversat urmarit si blamat, iar in lumea reala apare ca un domn respectabil a carui pasiune pentru arta si femei frumoase nu iese deloc din tiparele inaltei societati.
|