În timp ce investigau gruparea de spionaj cibernetic Turla, cercetătorii Kaspersky Lab au descoperit modalitatea prin care acesta reușește să evite depistarea activității sale și localizarea geografică. Pentru a-și păstra anonimatul, gruparea folosește slăbiciunile din securitatea rețelelor de satelit globale.

Turla este o grupare de spionaj cibernetic sofisticată, formată din vorbitori de limba rusă, care activează de mai bine de 8 ani. Atacatorii care se ascund în spatele grupării Turla au infectat sute de calculatoare din peste 45 de țări, inclusiv Kazakhstan, Rusia, China, Vietnam și Statele Unite ale Americii. Printre tipurile de organizații care au fost infectate se numără: instituții guvernamentale și ambasade, precum și organizații din domeniul militar, al educației și cercetării și companii farmaceutice. În stadiul inițial al atacului, backdoor-ul Epic verifică profilul victimelor. Doar în cazul țintelor cu o miză foarte mare, atacatorii folosesc un mecanism de comunicare complex prin satelit, într-un stadiu al atacului mai avansat, fapt care îi ajută să-și ascundă urmele.

Comunicațiile prin satelit sunt, cel mai adesea, cunoscute drept un instrument de comunicare sigur pentru transmisia TV; cu toate acestea, sunt folosite și pentru a oferi acces la internet. Astfel de servicii sunt frecvent folosite în zine îndepărtate, unde toate celelalte modalități de acces la internet sunt fie instabile, fie au o conexiune lentă sau sunt indisponibile. Una dintre cele mai răspândite și necostisitoare tipuri de conexiune la internet prin satelit este asa-numita conexiune de tip downstream-only.

În acest caz, cererile de ieșire din PC-ul unui utilizator sunt comunicate prin linii convenționale (conexiune prin fir sau GPRS), traficul de intrare provenind prin satelit. Această tehnologie permite utilizatorului să obțină o viteză de descărcare relativ rapidă. Cu toate acestea, există un mare dezavantaj: întregul trafic descărcat se întoarce către computer necriptat. Orice utilizator obișnuit, cu softul și echipamentul potrivit ar putea intercepta, cu usurință, traficul și obține acces la toate informațiile pe care utilizatorii acestor legături le descarcă.

Gruparea Turla  profită de această slăbiciune într-un mod diferit, folosind-o pentru a-și ascunde locul unde se află serverele de comandă și control, una dintre cele mai importante părți ale infrastructurii malware. Serverul de comandă și control reprezintă, în esență, o “bază” pentru folosirea malware-ului asupra dispozitivelor vizate. Localizarea unui astfel de server poate conduce cercetărorii către descoperirea unor detalii despre actorul aflat în spatele acestei operațiuni. În continuare, sunt detaliate o serie de acțiuni prin care gruparea Turla evită astfel de riscuri:

Gruparea “ascultă”, mai întâi, traficul descărcat prin satelit, pentru a identifica adresele IP active ale utilizatorilor de internet prin satelit, care sunt conectate în acel moment.

Atacatorii aleg apoi o adresă IP online pentru a fi folosită în mascarea serverul de comandă și control, fără ca utilizatorul legitim să observe acest lucru.

Calculatoarele infectate de Turla sunt apoi programate să trimită informații către IP-urile selectate ale utilizatorilor obișnuiți de internet prin satelit. Informația călătorește prin linii convenționale către teleporturile furnizorilor de internet prin satelit, apoi mai departe către satelit și, în final, din satelit către utilizatorii cu IP-urile selectate.

Interesant este că utilizatorii a căror adresă IP a fost folosită de atacatori pentru a primi informații dintr-un calculator infectat, vor primi, de asemenea, aceste pachete de informații care sunt, însă, greu de observat. Acest lucru se întâmplă din cauza faptului că, atacatorii Turla setează calculatoarele infectate să trimită informația către porturi care, în majoritatea cazurilor, sunt închise în mod implicit. Prin urmare, computerul utilizatorului va livra doar aceste pachete, în timp ce serverul de comandă și control al grupării Turla, ce ține aceste porturi deschise, va primi și procesa informațiile transmise.

Un alt aspect interesant privind tacticile actorului Turla este că acesta tinde să folosească furnizorii de servicii de internet prin satelit situați în Orientul Mijlociu și țări din Africa. În timpul analizei, experții Kaspersky Lab au identificat faptul că gruparea Turla folosește IP-urile unor furnizori aflați în țări precum Congo, Liban, Libia, Niger, Nigeria, Somalia și Emiratele Arabe Unite.

Semnalele prin satelit folosite de către operatorii acestor țări nu acoperă, de obicei, teritorii din Europa și America de Nord, ceea ce, investigarea unor astfel de atacuri mult mai dificilă pentru cercetătorii în securitate din țările aflate în afara continentului.

“În trecut, am mai văzut cel puțin trei actori diferiți care foloseau linkuri de internet prin satelit pentru a-și masca operațiunile. Dintre aceștia, soluția dezvoltată de gruparea Turla este cea mai interesantă și neobișnuită.”, a explicat Ștefan Tănase, Senior Security Researcher în cadrul Kaspersky Lab.  “Sunt capabili să atingă cel mai înalt nivel al anonimatului exploatând o tehnologie utilizată la scară largă – internetul prin satelit de tip one-way broadband. Atacatorii pot fi oriunde pe raza satelitului ales, o suprafață care poate depăși mii de km². “Acest lucru face aproape imposibilă localizarea atacatorului. Pe măsură ce folosirea acestor metode devine din ce în ce mai cunoscută, este important ca administratorii de sistem să folosească strategii de apărare pentru preîntâmpinarea unor astfel de atacuri.”, a explicat Ștefan Tănase.

România a fost în perioada 12-13 august ținta a aproximativ 38.000 de atacuri cibernetice, potrivit Serviciului Român de Informații (SRI).

“În intervalul 12-13 august anul curent au fost semnalate în România aproximativ 38.000 de astfel de alerte. Alerte care au fost materializate în urma recepționării unor mesaje e-mail cu atașamente malițioase de tip ransomeware, ceea ce înseamnă criptare de date urmată de solicitarea unor recompense. SRI, în calitate de autoritate națională în domeniul cyber intelligence, investighează toate atacurile cibernetice ce vizează infrastructurile critice, în special cele de interes național și strategic și furnizează beneficiarilor informațiile necesare prevenirii, stopării și limitării consecințelor unor astfel de agresiuni cibernetice”, a afirmat Sorin Sava, purtătorul de cuvânt al SRI, scrie ziuaveche.ro.

El a arătat, însă, că nu numai România este țintă a unor astfel de atacuri, ci și alte state, inclusiv din spațiul euro-atlantic.

“Vorbind strict de România, este o țintă a atacurilor cibernetice din partea entităților ostile. Fie că vorbim de actori statali sau non-statali, faptul e confirmat de miile de alerte zilnice care sunt recepționate la nivelul senzorilor instalați în cadrul infrastructurilor critice naționale din România și nu numai. Vorbim de mii de atacuri zilnice”, a adăugat purtătorul de cuvânt al SRI.

Referindu-se la ce urmăresc atacatorii, Sava a arătat că sunt două situații, în funcție de cine sunt aceștia.

“Dacă este vorba de un actor statal, acesta poate urmări exfiltrarea de informații strategice despre un anumit stat, despre anumite instituții din acest stat, pe scurt vorbim de spionaj cibernetic. Dacă vorbim de infractorii cibernetici care doresc și urmăresc foloase financiare, aici lucrurile sunt mai simple (…). Orice infrastructură cibernetică, fie că privată, fie guvernamentală, dacă e afectată, poate aduce prejudicii majore atât cetățenilor, cât și entităților statale sau private”, a explicat oficialul SRI.

Anchetatorii americani cred că, cel mai sigur, Coreea de Nord a angajat hackeri din afara țării pentru a-i ajuta cu atacul împotriva Sony Pictures, de luna trecută, a susținut un oficial.

Oficialul a mai susținut că, din moment ce Coreea de Nord nu au avut capacitatea de a conduce  anumite elemente ale propriei campanii sofisticate,  anchetatorii americani s-au gândit la posibilitatea ca Phenianul să fi  ” contractat ” o parte din forța de  munca.

Atacul asupra Sony Pictures este considerat a fi cel mai distructiv atac împotriva unei companii de pe teritoriul Statelor Unite ale Americii , deoarece hackerii nu numai că au furat cantități mari de date , dar , de asemenea, au  șters hard disk-uri și au blocat o mare parte din rețeaua studioului pentru mai mult de o săptămână .În timp ce oficialii americani investigau dacă Coreea de Nord a primit ajutor de la contractori externi , FBI-ul a susținut declarația sa anterioară cum că Phenianul a fost principalul autor al atacului.

” FBI-ul a concluzionat că guvernul Coreei de Nord este responsabil pentru furtul și distrugerea datelor din rețeaua Sony Pictures Entertainment “, se arată într-un comunicat.

Coreea de Nord a negat că ar fi fost în spatele atacului și a promis că va reacționa  împotriva oricăror represalii ale Statelor Unite ale Americii.

Oamenii care au susținut ca au fost responsabili pentru hack, au declarat în postări pe internet că au fost stârniți de filmul Interviu al  Sony Pictures, o comedie despre un asasinat fictiv al liderului nord-coreean , Kim Jong-un.

Din cauza amenințărilor hackerilor , mai multe lanțuri de cinematografe din Statele Unite ale Americii au refuzat să arate filmul . Săptămâna trecută Sony a încheiat contracte cu 320 de cinematografe independente pentru a distribui filmul Interviul și a făcut , de asemenea, filmul disponibil online.

Unii experți privați în securitate au început să se întrebe dacă Phenian a fost în spatele atacului cibernetic asupra Sony, în cele din urma.Firma de consultanță Taia Global a declarat că rezultatele unei analize lingvistice a comunicațiilor dintre hackerii suspectați a sugerat că ei au mai multe șanse să provină din Rusia decât din Coreea de Nord . Firma de securitate cibernetică Norse a spus că suspectează că un om din interiorul Sony ar fi ajutat la lansarea atacului.

” Cred că guvernul a acționat prematur în a anunța fără echivoc că vinovată a fost Coreea de Nord înainte ca investigația să fi fost terminată “, a declarat Mark Rasch , un fost procuror federal în criminalitatea informatică . ” Există multe teorii despre cine a făcut-o și cum a făcut-o. Guvernul trebuie să le urmărească pe toate.

“FBI-ul a spus că presupunerea că atacul ar fi fost lansat de Coreea de Nord s-a bazat pe informații de la o varietate de surse , inclusiv din surse de spionaj , Departamentul de Securitate Internă , ​​partenerii străini și sectorul privat . ” Nu există nici o informație credibilă care să indice faptul că orice altă organizație este responsabilă de acest incident cibernetic “, a spus agenția.

Kevin Mandia , a cărui firma de securitate a fost angajată de către Sony pentru a investiga atacul , a declarat că singura cale de a ști cine au fost vinovații a fost urmărirea traficului de rețea înapoi la calculatoarele hackerilor . Numai furnizorii de servicii de internet și Guvernul au avut acest tip de vizibilitate , a adăugat el.

” Nu am datele pe care le-au folosit pentru a susține această concluzie , “a susținut  Mandia , ofițerul operator șef  al FireEye Inc, într- un interviu video cu Reuters . “Fiecare atac gravitează în jurul a numeroase calculatoare “, a spus el . ” Este ca și cum ai încerca să cojești o ceapă invers foiță cu foiță . Acesta nu este un lucru ușor de făcut .

“Mandia , care a supravegheat investigații în unele dintre cele mai mari atacuri cibernetice din lume , a declarat că situația Sony a fost fără precedent . ” Nimeni nu se aștepta ca, atunci când cineva va sparge sistemul să distrugă absolut toate datele, sau măcar să încerce și asta e deja ceva ce nimeni nu a mai văzut “, a spus el .

Cea mai des utilizată formă de săvârșire a acestor infracțiuni este nepredarea bunului pentru care s-a licitat. În această situație, câștigătorul licitației va fi înștiințat prin e-mail de către casa de licitații on-line să contacteze vânzătorul pentru a se stabili detaliile tranzacției (forma de plată, modalitatea de trimitere a bunului). În toate cazurile, făptuitorul va solicita plata în întregime sau în parte a sumei, ce reprezintă contravaloarea bunului înainte de trimiterea bunului, dar cumpărătorul de bună-credință va constata că, la data stabilită, nu a primit bunul pentru care a licitat.

Instrumentarea cauzelor care implică, ca modalitatea de săvârșire, nepredarea bunului pentru care s-a licitat, poate porni, ca mod de sesizare, de la plângerile formulate de persoanele păgubite, de la înștiințările primite de la instituțiile statelor ai căror cetățeni au fost înșelați în acest mod sau chiar de la sesizări din oficiu (de exemplu, în situația în care din investigarea unei reclamații vor rezulta date despre săvârșirea altor fapte de aceeași natură).

Fraudele comise cu prilejul organizării unor licitații prin internet au căpătat o amploare deosebită pe teritoriul României, în ultimii ani, aceste tipuri de infracțiuni fiind identificate și documentate cu sprijinul autorităților americane și al altor state ai căror cetățeni au fost prejudiciați.

În investigarea cazurilor care implică săvârșirea unei fraude în legătură cu mijloacele de plată electronică, trebuie în primul rând reconsiderate mijloacele criminalistice clasice, cum ar fi analiza amprentelor și examinarea documentelor, precum și folosirea experților în domeniu.

Verificarea amprentelor, în vederea identificării suspectului, mai ales atunci când există suspiciunea că titularul cardului este implicat în săvârșirea fraudei, va porni de la analizarea instrumentului de plată (dacă acesta a fost reținut), a formularelor completate de făptuitor și a oricărui obiect care ar fi putut păstra impresiuni papilare. Prelevarea acestor probe trebuie făcută cu maximă atenție, iar examinarea lor se va desfășura în cadrul unui laborator criminalistic, de către personalul specializat.

De asemenea, documentele scrise de suspect reprezintă probe importante a căror analiză se va face tot de către experți în materie (de exemplu, formele de înregistrare completate cu ocazia cazării la o unitate hotelieră, formularele tipizate semnate sau completate în parte de făptuitor).

Modelele de comparație, necesare verificării grafologice, se pot obține prin prelevarea unor probe de scris sau prin percheziționarea reședinței făptuitorului, unde se pot identifica și alte documente sau probe incriminatorii (agende cu însemnări referitoare la carduri bancare, cecuri sau facturi anulate, produsele achiziționate prin folosirea frauduloasă a unui card).

Verificarea criminalistică a înscrisurilor se poate face numai pe baza documentelor originale și, de aceea, investigatorii trebuie să acționeze cu operativitate în vederea asigurării acestor mijloace de probă, find cunoscut faptul că există posibilitatea distrugerii sau dispariției acestora din diverse cauze (de exemplu, instituțiile financiare, emitente de carduri de credit, păstrează documentele originale privind eliberarea unui card pentru o perioadă de cel mult 3 luni, timp suficient pentru identificarea unei fraude, ulterior arhivându-se prin fotocopiere pe film).

Totuși, pentru alte categorii de documente, care nu necesită verificări criminalistice, este foarte important să se obțină aceste înscrisuri indiferent de forma în care se găsesc: original, copie, microfilm, document printat cu ajutorul unei imprimante etc.

În funcție de natura fraudei investigate , se disting mai multe locuri, ce trebuie avute în atenție, în vederea identificării unor înscrisuri cu valoare probatorie și anume:

• asupra titularului cardului sau la reședința acestuia;
• la sediul comerciantului implicat în tranzacție sau la punctele de lucru unde acesta își desfășoară activitatea;
• la instituția emitentă a cardului bancar;
• la oficiile poștale;
• la reședința suspectului.

Documentele necesare pentru a proba un anumit gen de fraudă, implicând folosirea unui card bancar (cum ar fi furtul sau utilizarea neautorizată a unui card) variază de la caz la caz, în funcție de modul propriu-zis de săvârșire și de încadrare juridică a faptei.

Probarea acestui gen de fraudă se poate face pornind de la următoarele documente:

• cardurile bancare implicate: contractul încheiat între titularul cardului și instituția financiară emitentă (acolo unde este cazul);
• formularele completate de suspect (acolo unde este cazul);
• formularele imprimate, originale sau copii, păstrate de titularul cardului, comerciant, compania emitentă sau de către făptuitor;
• înregistrările și facturile existente la oficiile poștale, alte înscrisuri incriminatorii – formularele „în alb”, acte de identitate false sau „în alb”, probe scrise – identificate în posesia suspectului.

Folosirea mijoacelor criminalistice și a experților în materie este mai mult decât utilă și în investigarea cazurilor de falsificare a cardurilor bancare prin contrafacere sau alterare (de exemplu, prin examinare cu raze laser se poate identifica numărul de cont original sau alte date inscripțioate pe un card, care a fost falsificat prin modificarea acestor informații).

Din verificările efectuate, mai ales cu ocazia perchezițiilor, se poate stabili folosirea de către suspecți a unor sisteme informatice permanente, pentru punerea în aplicare, în mod direct, a rezoluțiilor infracționale sau pentru dinamizarea procesului infracțional. Este necesar ca aceste echipamente să fie asigurate împotriva oricăror modificări, ce ar putea interveni, și ridicate în vederea cercetării amănunțite, cu ajutorul unor programe pentru calculator adecvate, pentru a identifica eventualele informații incriminate sau aplicațiile software folosite în scopuri frauduloase (de exemplu, la reinițializarea benzilor magnetice ale cardurilor).

Pe parcursul cercetărilor se pot identifica dispozitive de codificare a benzilor magnetice utilizate la recodificarea informațiilor stocate pe benzile magnetice ale cardurilor pierdute sau furate. Aceste dispozitive pot fi identificate atașate prin cablu la un calculator personal, comunicând printr-un software adecvat. Dacă un astfel de dispozitiv este identificat cu prilejul executării unei autorizații de percheziție, trebuie acordată atenție listelor sau mediilor de stocare cu numere de conturi, care reprezintă indicii temeinice cu privire la săvârșirea unei fraude cu carduri bancare.

Întrucât aceste date ar putea fi stocate în fișiere ascunse, parolate sau protejate prin alte modalități, atât pe parcursul percheziției, cât și ulterior, se impune ca verificările să fie efectuate de personal calificat, în prezența investigatorului și a persoanei suspecte sau a reprezentanților acesteia.

Pe parcursul derulării unei investigații referitoare la fraude cu carduri bancare, trebuie realizate, de la caz la caz, cel puțin următoarele activități:

• stabilirea procedurilor pe baza cărora se efectuează tranzacția;
• stabilirea procedurilor pe baza cărora se efectuează tranzacția;
• identificarea tuturor înregistrărilor care s-au făcut în sistem (pornind de la titularul cardului până la instituția financiară emitentă);
• ridicarea în original sau în copie a formularelor completate și a oricărui alt material scris cu prilejul tranzacției;
• verificarea grafologică a înscrisurilor identificate;
• cercetarea la fața locului (dacă este cazul), identificarea și audierea persoanelor implicate și a martorilor;
• alcătuirea de portrete robot, pe baza descrierilor furnizate de partea vătămată și martori (dacă este cazul);
• verificarea sistemelor informatice implicate.

Toate aceste activități menționate vor fi documentate prin închierea actelor procedurale, solictate de legislația în materie.

Cercetarea fraudelor din domeniul telecomunicațiilor este aparent foarte dificilă. Unul dintre cei mai importanți factori care pot conduce la o investigație cu rezultate nesatisfăcătoare este lipsa de cunoștințe tehnice a persoanelor implicate în desfășurarea verificărilor privind această relativ nouă modalitate infracțională.

În scopul combaterii acestor amenințări, este necesară o strânsă cooperare cu furnizorii de servicii de telecomunicații și cu autoritățile responsabile cu autorizarea și verificarea operatorilor de rețele, precum și cu furnizorii de echipamente hardware si software pentru aceștia.

În acest sens, se pot stabili puncte de contact, identificându-se individual persoanele care pot furniza informații tehnice și modalități de contactare a acestora. În lipsa unui personal calificat în rândul polițiștilor criminaliști, ar putea fi atrași tehnicieni din companiile de telecomunicații, cu acordul angajatorilor acestora, pentru efectuarea unor activități operative, precum cercetarea la fața locului, verificări tehnice, percheziții, putând fi identificate astfel probe foarte importante.

Cercetarea acestor fapte solicită acțiuni operative, întrucât săvârșirea infracțiunii nu va dura mai mult decât timpul necesar autorului să asculte sau să utilizeze serviciile de telecomunicații. De aceea, probele trebuie identificate și indisponibilizate cât mai repede, asigurându-se că datele solicitate companiilor de telecomunicații acoperă întreaga perioadă a activității infracționale.

Primele verificări presupun contactarea reprezentanților companiilor de telecomunicații în scopul:

• înțelegerii modului de funcționare a sistemului;
• obținerii tuturor înregistrărilor referitoare la incidentul infracțional (facturi telefonice, fișiere jurnal ale sistemelor informatice etc.)
• analizării în comun a datelor deținute, precum și a înregistrărilor de sistem;
• obținerii de sprijin în activitățile ce urmează a fi întreprinse (percheziții, analize ale echipamentului capturat);
• verificării personalului implicat;
• verificării, activării sau schimbării măsurilor de siguranță;
• obținerea unei reclamații (în funcție de natura cazului investigat, dacă paguba urmează a fi suportată de furnizorul de servicii).

Analiza fraudelor în legătură cu telefonia mobilă

Unii operatori de rețele de comunicații mobile înregistrează încercările de accesare a unor telefoane mobile parolate, cât și a numărului de pe cardul SIM pe baza numărului IMSI (International Mobile Subscriber Identity), emitentului cardului SIM, putând astfel fi identificat deținătorul contului.

În cazul clonării unui telefon mobil analog, acesta va funcționa pe două frecvențe radio diferite în același timp, una fiind folosită de proprietarul legitim, cealaltă de infractor. Prin triangulație se poate identifica telefonul ilegal, folosit cu ajutorul unui dispozitiv (radio compas), localizat la stația de radio de bază radio (RBS), prin care comunică telefonul respectiv.

Analiza fraudelor referitoare la hacking și manipularea rețelelor de telecomunicații

Aceste tipuri de fraude sunt comise de persoane specializate în folosirea frauduloasă a rețelelor de telecomunicații și de aceea, investigatorul trebuie să stabilească dacă este vorba despre un grup infracțional organizat. Și în acest caz, eficiența verificărilor depinde de rapiditatea depistării și reclamării fraudei de către persoanele fizice sau juridice prejudiciate, precum și de posibilitatea folosirii unor mijloace tehnice adecvate de urmărire și supraveghere a conexiunilor realizate.

De asemenea, se vor efectua verificări în vederea identificării unor eventuale legături infracționale situate în interiorul companiei furnizoare de servicii telefonice sau a altor persoane (foști angajați, personal de întreținere etc.) care au avut acces la rețeaua în cauză.

Datorită naturii fraudelor, care implică folosirea programelor malițioase sau a virușilor informatici, investigarea acestora este foarte dificil de realizat.

În acest sens, este necesară formarea unei imagini complete asupra incidentului, în primul rând, prin audierea victimei, cu privire la următoarele aspecte:

• ce se cunoaște despre originea software-ului malițios sau a virusului – cum a ajuns acesta în sistemul infectat – de pe e-mail, dischete, internet etc.;
• ce program malițios (ce variantă a acestuia) este implicat în alterarea sistemului victimă – cal troian, virus, viermi etc.;
• modul de realizare a infectării și producerii replicării programului malițios / virusului – prin fișiere .EXE, COMBAT, comenzilor MACRO etc.;
• modul de manifestare a programului malițios / virusului – apariția unor erori ale tastaturii, modificări ale display-ului, afișarea unor instrucțiuni, schimbarea datelor sistemului, schimbarea dimensiunilor unor fișiere etc.;
• programul malițios / virusul a afectat mediile de memorare ale sistemului – sistemul operează mult mai încet sau are probleme de încărcare a fișierelor de boot;
• cum s-a declanșat programul malițios / virusul – care a fost evenimentul care a generat inițializarea;
• ce pierderi / distrugeri s-au cauzat sistemului;
• cum a fost detectat programul malițios / virusul, dacă s-a luat vreo măsură de prevenire a infectării sistemului sau de reparare a pagubelor produse.

Cea mai bună probă, în cazul acestor fraude, va fi realizarea unei copii a sistemului infectat („image copy”) și a dischetelor sau a altor medii de stocare virusate.

Atunci când se fac aceste copii, trebuie respectată o serie de reguli de bază:

• se vor întocmi procese-verbale cu toate activitățile desfășurate, în care se vor consemna, în mod detaliat, datele legate de tipul sistemului, locația calculatorului infectat, procedurile folosite pentru obținerea probelor etc.;
• se vor folosi dischete noi, formatate, folosindu-se calculatoare neinfectate, pentru a se realiza copii ale fișierelor infectate;
• în funcție de situație, se vor copia (în cazul sistemelor IBM sau compatibile) și fișierele .COM, .EXE, laolaltă cu fișierele de sistem COMMAND.COM, AUTOEXEC.BAT și CONFIG.SYS;
• dischetele respective vor fi protejate împotriva scrierii și inscripționate cu informații referitoare la virusul sau programul malițios identificat, data la care s-au făcut copiile etc.;
• în toate situațiile, se vor efectua copii duble (probă și contraprobă).

Pe baza informațiilor obținute din studierea probelor prelevate și din analizarea fișierelor jurnal ale sistemului se poate trece la efectuarea altor activități, în vederea identificării sursei infectării.

O data aduse in laborator, componentele trebuie asamblate pentru a reconstitui sistemul original. Pentru aceasta se vor folosi fotografiile sau casetele video filmate inainte de ridicarea probelor, respectandu-se conexiunile originale, precum si informatiile obtinute de la martori in legatura cu practicile de utilizare a sistemului informatic respectiv.

Primul pas in analiza probelor de natura electronica este legat de necesitatea asigurarii veridicitatii lor. Pentru a putea dovedi veridicitatea probelor, este necesara ambalarea si sigilarea acestora in modul amintit mai sus .

Primul pas in asigurarea protectiei impotriva modificarii datelor din sistemele informatice trebuie facut chiar in timpul perchezitiei, prin luarea masurilor de protejare fizica ala scriere a mediilor de stocare.

Se recomanda ca analiza criminalistica a continutului discului sa se realizeze pe o copie fidela aa discului original, realizata ain laborator cu ajutorul unor programe si dispozitive speciale. Procedeul nu presupune doar copierea tuturor fisierelor aflate pe disc, ci a intregului continut al discului, sector cu sector, inclusiv fisierele temporare, fisierele de schimb, fisierele sterse, chiar informatia aflata pe portiunile avariate ale discului, etc. O asemenea copiere de aceasta natura se realizeaza acu ajutorul unor programe speciale. Se recomanda realizarea a doua acopii, pe una dintre ele realizandu-se analiza propriu-zisa, cealalta fiind o copie de rezerva.

Copierea trebuie realizata dupa un procedeu demn de incredere. Pentru a putea avea aceasta caracteristica, copierea trebuie:

• sa asigure posibilitatea verificarii de catre terti; instanta de judecata sau partea adversa      trebuie sa poata sa verifice acuratetea copiei realizate.
• sa aiba ca rezultat copii sigure, ce nu pot fi falsificate.

Este recomandata consemnarea detaliata a intregului proces de copiere, indicand echipamentele, programele si mediile de stocare utilizate.

Pastrarea in siguranta a probelor se realizeaza in primul rand prin copierea continutului sistemelor informatice originale, si desfasurarea investigatiei criminalistice asupra unei copii de lucru, avand aceleasi caracteristici cu originalul.

Ca o metoda de siguranta in plus, se poate realiza autentificarea matematica a continutului unui mediu de stocare, fie el hard-disc sau discheta, mediu optic, etc. Acest procedeu consta ain realizarea prin procedee matematice a unei imagini a mediului de stocare respectiv, imagine ce poate servi ca referinta ain cazul in care este contestata integritatea acestuia. Autentificarea se realizeaza cu ajutorul unor programe speciale ce ofera un grad de siguranta de 1 la cateva milioane.

O data ajunsi la locul in care se afla sistemele informatice ce fac obiectul perchezitiei, investigatorii se vor asigura de accesul la acestea. Recomandarea Consiliului Europei (95) 13 mentioneaza ca necesara includerea in legislatiile nationale penale a obligatiei de a permite accesul la sistemele informatice, atat din partea celor care raspund de, cat si a oricaror persoane ce au cunostinta de modul de functionare a acestora. Pe langa accesul fizic, aceste persoane au datoria de a furniza si informatii referitoare la securitatea sistemului, informatii care sa permita investigatorilor accesul la datele stocate in sistemele informatice respective.

Inainte de a trece la examinarea sistemelor informatice, nu trebuie neglijate procedurile criminalistice traditionale de analiza a spatiului perchezitionat, cum ar fi prelevarea probelor fizice (amprente, alte urme materiale). De asemenea poate avea relevanta imaginea aflata pe ecranul monitorului in momentul patrunderii organelor de cercetare penala. Aceasta poate fi pastrata prin fotografiere, filmare, etc.

O prima decizie ce trebuie luata priveste analiza sistemului informatic la fata locului, sau ridicarea acestuia si analiza in laborator.

In luarea acestei decizii, trebuie avute in vedere urmatoarele aspecte:

1. calitatea superioara a analizei efectuate in conditii de laborator;
2. masura in care ridicarea sistemului informatic afecteaza activitatea suspectului.

In acest sens, trebuie retinute recomandarile Camerei Internationale de Comert ce mentioneaza regula evitarii ridicarii sistemelor informatice ale intreprinderilor, daca aceasta ar duce la afectarea desfasurarii activitatilor lor normale.

Urmatoarele criterii sunt utile in aprecierea oportunitatii ridicarii sistemelor informatice:

1. criteriul volumului probelor.
   Particularitatea sistemelor informatice de a permite stocarea unui volum foarte mare de informatie intr-un spatiu de dimensiuni fizice reduse face ca investigatia sa necesite un volum mare de timp pentru obtinerea probelor relevante. Astfel de cercetari pe o perioada ade timp mare pot fi conduse mult mai eficient in laborator.
2. criteriul dificultatilor de natura tehnica.
   1. problema evitarii distrugerii datelor in decursul investigatiei. Analiza sistemelor informatice de catre investigatori ce nu au cunostinte suficiente asupra echipamentului sau programelor utilizate poate duce la distrugerea din greseala a datelor.
   2. problema reconstituirii sistemului in laborator. Datorita avarietatii foarte mari a componentelor tehnice ale calculatoarelor, pentru ca sistemul sa poata functiona corect in laborator, este necesara ridicarea tuturor echipamentelor prezente la locul perchezitiei. In cazul ridicarii partiale a componentelor sistemului, este posibila prezenta unor incompatibilitati fie intre echipamentele sistemului informatic ridicat si cele din laborator (de exemplu incompatibilitatea calculatorului cu echipamentele periferice – imprimante, etc.), fie intre programele de pe sistemul ridicat si echipamentele din laborator.

O data decisa ridicarea sistemului informatic aflat la locul perchezitiei, trebuie luate unele masuri care sa permita reconstituirea exacta a acestuia in laborator. In primul rand, trebuie consemnat modul de aranjare in spatiu a echipamentelor sistemului informatic ridicat. Aceasta se poate face fie prin fotografierea sistemului din toate unghiurile, fie prin filmare video. In procesul de fotografiere sau filmare, este necesar sa se insiste asupra cablajelor ce conecteaza diferitele componente ale echipamentului. Consemnarea, in varianta foto sau video, are relevanta asi pentru a arata starea in care se gasea echipamentul in momentul ridicarii, prevenind astfel plangerile legate de o eventuala deteriorare a acestuia in decursul anchetei.

In procesul de ridicare a componentelor sistemului trebuie sa fie avuta in vedere necesitatea pastrarii integritatii si identitatii datelor. Orice avariere a suportului pe care se afla datele duce in mod inevitabil la distrugerea acestora. Organele de cercetare penala atrebuie instruite in mod special pentru a proteja probele de natura electronica.

Procedura ridicarii sistemelor informatice este urmatoarea:

Etapa 1: inchiderea sistemului. Daca sistemul a fost gasit inchis in momentul patrunderii investigatorilor, nu trebuie sub nici un motiv pornit. Se va proceda in continuare trecand la celelalte etape. Daca sistemul a fost gasit deschis, el trebuie inchis pentru a se putea proceda la ridicarea lui. Pentru inchiderea sistemului se pot folosi urmatoarele procedee:

• deconectarea de la alimentarea cu energie electrica;
• inchiderea conform procedurii normale.

Prima alternativa este de preferat in cazul in care investigatorul nu are cunostinte de informatica. Unele calculatoare dispun de surse de alimentare neinteruptibile (UPS). In acest caz, pe langa deconectarea de la sistemul de alimentare cu energie electrica, trebuie oprit si acest sistem. Deconectarea nu va produce, in cele mai multe cazuri, pierderea de date, dar poate evita stergerea unor informatii relevante, cum ar fi fisierele temporare, care se pot sterge in cadrul procesului normal de inchidere a calculatorului.

Cea de-a doua alternativa este de preferat atunci cand calculatorul este conectat in retea, sau atunci cand investigatorul este asistat de o persoana ce are cunostinte asupra modului de functionare a sistemului respectiv, precum si asupra procedurilor ce sunt folosite pentru inchiderea lui.

Etapa a 2-a: etichetarea componentelor. In cazul in care se impune dezasamblarea fiecare componenta a sistemului trebuie etichetata inainte de modificarea configuratiei in vederea ridicarii probelor. In cazul cablurilor, se eticheteaza atat cablul, cat si suporturile de unde a fost debransat. In cazul existentei unor suporturi care nu au conectate cabluri, este recomandabil ca sa fie etichetate “neocupat”. Se poate realiza si o schita a componentelor, cu precizarea simbolurilor folosite pentru etichetare.

Etapa a 3-a: protejarea la modificare. Toate suporturile magnetice de stocare a datelor trebuie protejate impotriva modificarii continutului lor. Unele tipuri de hard-discuri au contacte speciale care realizeaza protejarea la scriere. In cazul dischetelor, protejarea se va face prin mutarea martorului de permitere a modificarilor in pozitia “inchis”.

Etapa a 4-a: ridicarea propriu-zisa. Ridicarea probelor trebuie facuta cu multa agrija, evitandu-se orice avariere a componentelor. Este recomandabila aimpachetarea componentelor in ambalajul original, daca aacesta poate fi gasit, sau in ambalaj special ce asigura protectia electrostatica aa acestora. De asemenea, toate suporturile magnetice de stocare a datelor, vor fi ambalate si sigilate in asa fel incat accesul la ele nu este permis, pana la desfacerea in laborator.

Scopul analizarii mediilor de stocare indisponibilizate pe parcursul verificarilor este de a identifica probe care sa confirme sau sa inlature suspiciunile referitoare la savarsirea unei fraude informatice.

Un mediu de stocare poate contine in mod normal urmatoarele tipuri de fisiere:

• fisiere ale unor programe pentru calculator;
• fisiere generate de utilizator;
• fisiere temporare de diferite tipuri,create de sistemul de operare.

Probele legate de comiterea unei infractiuni trebuie intotdeauna cautate in ultimele doua categorii enuntate, dar nu trebuie uitat faptul ca date importante pot fi identificate in fisiere „ascunse” printre fisierele unor programe sau aplicatii.

Fisierele sterse ar putea fi recuperate in totalitate cu ajutorul unor instrumente special concepute in acest sens.

Analizarea datelor stocate necesita cunostinte tehnice de specialitate dar si rabdare, concentrare si un mediu de lucru corespunzator, ferit de factori perturbanti.

Datele stocate pe mediile originale (hard-disk, CD-ROM-uri, dischete, etc.) trebuie transferate prin copiere pe alte medii de stocare similare, acestea urmand sa fie folosite in vederea studierii fisierelor. Aceasta este o regula importanta ce trebuie respectata pentru a evita deteriorarea sau modificarea involuntara a informatiilor si folosirea acestei imprejurari de catre faptuitor in apararea sa.

In vederea efectuarii acestor lucruri trebuie ca pregatirea unei verificari sau perchezitii intr-un mediu informatic sa se faca alaturi de persoane cu calificare tehnica adecvata in domeniul informatic.

La finalizarea analizei datelor cuprinse in diferitele fisiere enuntate, se va elabora un raport cu descrierea desfasurarii verificarilor, cuprinzand, in mod obligatoriu, urmatoarele date:

• cine a efectuat analiza, locul unde a avut loc, intervalul de timp in care s-a desfasurat si obiectul analizei;
• ce software s-a folosit in analiza;
• indicarea documentelor care au fost printate, cu mentionarea locului unde au fost identificate.