Fenomenul Criminalitatii Informatice
Cuprins
Introducere………………………………………………………………………………………………………………..1
Capitolul 1. Considerații generale privind criminalitatea informatică………………………….2
1.1 Noțiunea de informație………………………………………………………………………………..2
1.2 Noțiunea de criminalitate informatică…………………………………………………………..4
1.2.1 Istoria apariției criminalității informatice…………………………………………4
1.2.2 Aspecte privind criminalitatea informatică……………………………………….7
1.3 Mediu, forme si particularități ale criminalității informatice…………………………..9 1.3.1 Aspecte introductive……………………………………………………………………….9 1.3.2 Specificul criminalității pe Internet………………………………………………..11
Capitolul 2. Infracțiunea digitală………………………………………………………………………………15
2.1 Conceptul de infracțiunea digitală…………………………………………………………….15
2.2 Instrumente folosite la săvârșirea infracțiunilor digitale………………………………16
2.3 Infracțiuni digitale prevăzute de Legea 161 din 2003…………………………………..23
2.4 Infracțiuni digitale prevăzute de noul cod penal………………………………………….25
Capitolul 3. Criminalitatea informatică prin intermediul Internetului………………………..26
3.1 Legislația privind Internetul……………………………………………………………………….26
3.2 Protecția împotriva virușilor, modalități practice………………………………………….28
3.3 Prevenirea criminalității informatice Legea 161/2003………………………………….35
3.4 Cooperarea internațională în domeniul prevenirii criminalitățiiinformatice…..36
Concluzii………………………………………………………………………………………………………………….39
Bibliografie………………………………………………………………………………………………………………41
Anexe………………………………………………………………………………………………………………………43
Familiile de viruși
Exemple de viruși
Introducere
Criminalitatea informatică reprezintă fenomenul social caracterizat prin comiterea infracțiunilor în domeniul informaticii.
Pentru prima dată noțiunea de infracțiune computerizată a fost întâlnită în legislația S.U.A. unde în anii 70 autoritățile au depistat o serie de încălcări comise în perioada anilor 50 -70 ai secolului. XX.
Criminalitatea informatică s-a dezvoltat o dată cu progresul științific. Potențialul distrugător al acestui fenomen este enorm analiștii ruși considera că terenul dezvoltării și răspândirii fenomenului dat reprezintă doar statele cu o industrie bine dezvoltată. Trebuie să reamintim că specificul criminalității informatice este lipsa unor hotare, imobilitatea cu care ea se săvârșește, lipsa necesității deplasării pentru comiterea ei și mulți alți factori.
Structura lucrarii mele este realizată din trei capitole, ce acoperă toată aria problemelor referitoare la tema studiată.
Astfel, în primul capitol, am studiat considerații generale privind criminalitatea informatică, ce este noțiunea de criminalitate informatică, mediul și particularitățile criminalității informatice și istoria Internet-ului
În cel de-al doilea capitol al lucrării am prezentat infracțiunea digitală cu instrumentele folosite la săvârșirea infracțiunilor digitale, și infracțiunile care sunt prevăzute în Legea 161 din 2003, infracțiunile digitale pevăzute de codul penal și investigarea infracțiunilor digitale.
În cel de-al treilea capitol, am abordat criminalitatea informatică pornind de la definiția cadrului legal în acest domeniu, aratând care sunt în concret posibilitățile săvârșirii criminalității informatice. Totodată am subliniat importanța pe care o are cunoașterea programelor folosite la protecția și asigurarea protecției unui sistem. Inclusiv importanța cooperării internaționale în domeniul prevenirii criminalității informatice.
Suplimentar, am atașat o anexă, ce cuprinde familiile de viruși și exemple de viruși.
Așadar, lucrarea de față atinge o multitudine de puncte de mare interes din ceea ce reprezintă cercetarea și soluționarea de criminalitate informatică.
De asemenea, problemele sunt tratate, în special din punct de vedere criminalistic, dar și tehnic.
Aceste aspecte ce sunt puse în evidență, au atât un suport teoretic, cât și unul exemplificativ, în anumite cazuri, pentru a putea sublinia importanța acestor informații.
Capitolul 1 Considerații generale privind criminalitateainformatică
1.1. Noțiunea de informație
Aserțiunile despre locul și importanța informației în dezvoltarea umanității nu mai sunt de mult expresia unor proiecții într-un viitor îndepărtat. Cu viteza celor mai dinamice câmpuri de cunoaștere, informația s-a instalat în conștiința păturilor elevate ale societății ca un factor incontestabil și hotărâtor de progres. De la înțelegerea valențelor ei în procesul intelectual, până la cuprinderea întregului spectru de implicări, la nivelul diferitelor componente ale organismului social, s-a traversat o etapă de recunoașteri majore, nu numai la nivel filozofic, ci și în cofigurareaactivitățiilor și relațiilor de producție, a metodologiilor de abordare și desfășurare a acestor activități și relații. Așezarea, recunoașterea și utilizarea informației, ca resursă fundamentală a dezvoltării societății umane, a determinat cea mai importantă schimbare de planuri în toate zonele sale de existență. O asemenea mișcare profundă a modificat raporturi proporții în circuitele materiale, a propulsat profesii dedicate și ceea ce este încă și mai important a început să producă schimbări profunde la nivelul conceptelor, reprezentărilor și deprinderilor indivizilor și structurii umane. Informația este, deja, un factor restructurat și recoordonator în evoluția contemporană a societății.
Noțiune de informație face parte din viața cotidiană. Orice decizie, în orice domeniu, are la baza informații ce se obțin din prelucrarea unor date culese despre obiectul activității respective. Pentru a deveni informații, datele privitoare la obiectul de activitate trebuie prelucrate în concordanță cu cerințele informaționale la locul unde sunt solicitate.
Obiectul prelucrării datelor constă în convertirea datelor în informații care să stea la baza luării deciziilor.
Datele privesc evenimente primare din diverse locuri, nedefinite sau organizate într-o formă care să stea la baza luării deciziilor.
Informațiile sunt mesaje obținute prin prelucrarea datelor, aceste mesaje trebuie să fie concise, actuale, complete și clare, astfel încât să răspundă cerințelor informaționale în scopul cărora au fost prelucrate datele.
Prelucrarea datelor se poate realiza manual sau cu ajutorul echipamentelor electronice de calcul prelucrarea automată a datelor, deoarece prelucrarea automată a datelorpresupune atât resurse materiale echipamente electronice de calcul cât și urme operatori, programatori organizate într-o formă care să permită funcționarea acestora ca un ansamblu unitar, acesta poartă denumirea de sistem de prelucrare automată a datelor(SPAD).
Pentru a caracteriza tratarea automată a informației, Philippe Dreyfus a propus în 1962 cuvântul informatică. Acest termen a fost acceptat de Academia Franceză în aprilie 1996 cu următoarea definiție: ,,Știința tratării raționale, în special cu mașini automate și al cunoașterii în domeniul tehnic, economic și social”.
Realitatea rețelelor informatice s-a impus concentric, de la planul local la cel național și mondial. O lume a rețelelor de interconectare este, în mod potențial, o lume a comunicării plenare și, ca urmare, o lume a marilor sensuri conjugate și a efortului eficient. Este suficient să se evalueze impactul Internetului, această rețea mondială de rețele, asupra comunicării contemporane și diversitatea privind unitatea și diversitatea lumii este mult mai mult decât o problema de comunicare. Internetul a schimbat dimensiunile materiale și spirituale ale lumii și a început să reconfigureze profilul omului contemporan.
În plan național, Internetul s-a dovedit un concept și o tehnologie suport pentu o nouă filozofie a dezvoltării. Existența internetului a impulsionat viziunile sistemice și a intensificat nevoia de legături și consensuri. Raportarea la modele și experiențe interacționale a devenit curentă, viteza deciziilor a sporit, dinamica mișcării ideilor este incomparabilă. Spații culturale și economice, aparent departe de nucleele vii ale progresului, s-au integrat, prin comunicare interactivă, ritmurilor mondiale. Ca urmare, dincolo de orice alte prioritați, prioritațile integrării informaționale au fost recunoscute, asumate și finanțate chiar și în țari cu standarde economice coborâte.
Tratarea automată a informației, în special cu ajutorul calculatoarelor, pune în legatură un mare număr de discipline științifice într-un câmp larg de aplicații (știință, economie, administrație).
1.2. Noțiunea de criminalitate informatică
1.2.1. Istoria apariției criminalității informatice
Pentru prima dată acest termen a fost întâlnit în literatură, în perioada anilor 60 ai secolului al XX-lea, abia atunci au avut loc primele depistări ale faptelor prejudiciabile pe care noi astăzi le numim infracțiuni în domeniul informaticii. Din cauza diversității săvârșirii lor, lipsei unei idei clare despre ceea ce constituie infracțiune în domeniul informaticii, precum și din cauza inexistenței unui termen unic ce ar caracteriza aceste fapte, în literatură se întâlnesc următoarele noțiuni: infracțiune computerizată,infracțiune în domeniul comunicației, ,,ciberbanditism”, infracțiune informațională, infracțiune în domeniul informaticii, etc. Toate aceste noțiuni în esență caracterizează aceleași fapte, cu mici diferențe, stabilite de legislația penală a fiecărui stat.
La mijlocul secolului XX, știința a progresat prin crearea mașinilor electronice de calcul dar nu prin inventarea lor, ci prin atribuirea unor dimensiuni mai compacte. Primele computere, care la aceel moment erau unicele mașini electronice de calcul, aveau dimensiuni enorme, de regulă de mărimea unor dulapuri de 2m înălțime și 1m lățime. Astăzi, datorită progresului științific pot fi purtate și depozitate în buzunarele de la haine, sunt mult mai bogate în sensul operațiuni pe care le efectuează, mai rapide și mai simple în exploatare.
Răspândirea utilizării mașinilor electronice de calcul (MEC) a generat nu doar probleme de ordin tehnic, dar și de ordin juridic. Consecințele negative de bază ale procesului de computerizare a societății sau așa numitele ,,infracțiuni computerizate”.
Tot conform datelor prezentate de savantul rus, dl. MaeypobB.A., apariția in anii 70 ai secolului, al XX-lea a computerelor personale compacte și relativ accesibile (nu scumpe) și dezvoltarea lor a dus la dispariția treptată a limitelor dintre micro și macro, a dat posibilitatea conectării la protocoalele informaționale unui număr mare de utilizatori, a dus la computerizarea activității de administrare, folosire și exploatare a tehnicii de calcul în scopul efectuării cercetărilor corpurilor cerești, dezvoltării științei energiei atomice, în domeniul apărării și a altor sfere ale vieții sociale, unde activitatea defectuoasă a tehnicii poate provoca accidente și chiar catastrofe soldate cu vieții omenești și prejudicii economice enorme.
Primul infractor din Statele Unite ale Americii care a comis o infracțiune prin intermediul MEC a fost AlifonceKonfessore. În 1969, prin acțiunile sale, a prejudiciat statulcu 620.000,00 USD și a fost găsit vinovat de comiterea infracțiunii computerizate de către instanțele judecătorești.
Inițial orice infracțiune comisă prin intermediul MEC era calificată drept infracțiune computerizată, astăzi deja făcându-se o diferențiere între infracțiunile unde MEC servește drept mijloc de comitere a infracțiunilor unde informația computerizată este obiectul atentării.
Deoarece în S.U.A. au avut loc primele progrese tehnologice în dezvoltarea tehnicii de calcul, această țară a și fost prima care s-a confruntat cu acest fenomen negativ nou. Organele de drept luptau cu acest fenomen după metodele clasice, calificând acțiunile drept furt, delapidare a averii străine, alte componente de infracțiuni. Însă timpul a demonstrat ineficiența metodelor tradiționale și necesitatea elaborării unor metode noi și adecvate fenomenului.
Astfel, în 1973, Suedia face primele modificări în legislație prin adoptarea legii privind răspunderea penală pentru modificarea neautorizată, distrugerea sauaccesarea înscrisurilor de pe suporții materiali informaționali. Aceleași măsuri, în anul 1985, au fost întreprinse de S.U.A., Marea Britanie, Austria, Canada, Danemarca, Australia, Franța și Portugalia au urmat exemplul, celorlalte state și în 1992 au efectuate modificările respective.
După cum am spus, S.U.A.a fost prima țară care s-a confruntat cu acest fenomen, dar după cum putem observa ea nu a fost prima care a reacționat ,,legislativ”.
Noul fenomen criminogen înregistrat a trezit spaima autorităților de stat, sectorului bancar și altor sectoare unde tehnica de calcul era un element indispensabil pentrudesfășurarea activitățiilor, astfel încât în anii 70 a fost ridicată problema protecției juridice a informației.În 1977, Senatului S.U.A. i-a fost prezentat proiectul legii cu privire la protecția sistemelor federale de computere, însă actul respectiv a fost adoptat de Congres abia în 1984.
Ulterior, după o analiză mai amplă a problemei, precum și după încercarea combaterii acestui fenomen, au fost efectuate câteva modificări în legea dată și astăzi ea este întâlnită sub
denumirea de ,, Legea anului1986 privind înșelăciunea și abuzul, ce ține de computer.
În 1985 deja 47 de state din S.U.A. au adoptat astfel de legi. Statul Florida a fost cel care a adoptat una din cele mai reușite legi în domeniu, după cum a demonstrat practica.
Legea cu privire la infracțiunile computerizate, conform acestui act normativ, categoria dată de infracțiuni poate fi divizată în 3 grupe:
infracțiuni contra proprietății intelectuale, care includ efectuarea intenționată și ilegală a modificărilor, distrugerea sau furtul de date, programe și documente ce țin de computer (art. 815.04);
infracțiuni ce prejudiciază utilajul computerului care duc la distrugerea sau deteriorarea sistemelor computerizate, a indicatoarelor etc. (art. 815.05);
infracțiuni ce atentează la utilizatorii computerului, orice folosire neautorizată a computerului străin, precum și tentativa de a prelucra date, îngrădirea accesului utilizatoruluila computerul sau (art. 815.06).
Modificări radicale în legislația penală au fost efectuate și în Germania, unde la mijlocul anilor 70 s-a pus problema despre necesitatea și raționalitatea elaborării normelor legale pentru incriminarea acțiunilor infracționale săvârșite prin intermediul MEC. Dezbaterile pe marginea problemei date s-aufinisat cu adoptarea, de către Bunderstag, a legii a doua la număr, privind combaterea infracțiunilor economice, care a introdus în Codul Penal al R.F.G. 8 paragrafe noi ce conțineau descrierea infracțiunilor computerizate. De exemplu: paragraful 202 prevede raspunderea penală a persoanelor care procurăilegal pentru sinesau pentru altcineva date nemijlocit insesizabile, ce suntstocate în memorie sau care sunt transmise și care sunt protejate de accesul neautorizat.Paragraful 263 prevede răspunderea penală a persoanelor ce au influențat rezultatele prelucrării informației pe calea întocmirii incorecte a programelor (manipularea cu sistemului operațional) prin folosirea incorectă sau incompletă a datelor, precum și prin intermediul folosirii ilegale a datelor sau influențarea procesului de prelucrare a informației cu ajutorul mijloacelor tehnice. Paragrafu1 3036 prevede răspunderea penală pentru sabotajul computerului, adicăîncălcarea procesului de prelucrare a datelor prin scoaterea din funcțiune, schimbarea sau distrugerea mijloacelor tehnice ale MEC sauale suportului informațional. Paragraful 274, prevede răspunderea penala pentru ștergerea ilegală, distrugerea sau modificarea parțială adatelor stocate în memoria computerului ce prezintă importanță etc.
Codul Penal al Franței, în 1992, a completat sistemul infracțiunilor contra patrimoniului cu un capitol nou ,,privind atentarea la sistemele automatizate de prelucrare a datelor", unde se prevedea răspunderea pentru:accesul neautorizat la o parte sau la întregul sistem automatizat de prelucrare a datelor; împiedicarea sau încălcarea funcționarii corecte a unui astfel de sistem, precum și introducerea pe calea înșelăciunii a informației, distrugerea sau modificarea bazeide date.
Trebuie menționat și rolul Consiliului Europei, care a elaborat o serie de Convenții ce urmează să stabilească criterii unice de delimitare a infracțiunilor informaționale de alte categorii de infracțiuni, în care sunt indicate măsurile ce trebuie întreprinse de state pentru combaterea comiterii lor,astfel îndemnând statele la aducerea în conformitate cu necesitățile sociale noi formate ale legislației.
Astfel de convenții sunt: "Convenția pentru Protecția Particularilor privind Procesarea Automatizată a Informației Personale" din 1981; Budapesta, 23 noiembrie 2001, "Convenția Europeană cu privire la criminalitatea informatică", precum și o seriedeRecomandări (R 88/2, 87115, 89/9 etc.). Aceste convenții și recomandări indică expres modificările ce urmează a fi făcute în legislație.
Acest fenomen lovește ferm și provoacă daune considerabile în statele unde:
Lipsescorganespecializate înacest domeniu;
Lipsește baza juridico-penalăpentru incriminarea acestor acțiuni;
Există un nivel slab de informatizare despre urmările acestui fenomen;
Există unele lacune în legislație;
Un factor important este existența unei rețele informaționale la nivel național.
Nu poți accesa ilegal, distruge sau fură o informație dintr-un computer străin, dacă nu există o oarecare legătură cu acel computer (conectarea lui la orice tip de rețea; la internet, existența unei legături radio etc.). Luând în calcul intenția și necesitatea computerizării atât a organelor administrației publice, cât și a întregii societăți, tendința creării unei rețele la nivel mondial, lipsa cunoștințelor profunde cu privire la masurile de protecție a informației computerizate noi devenim ținta și poligonul ideal pentru transpunerea în practicăa cunoștințelor despre săvârșirea acestor infracțiuni.
1.2.2. Aspecte privind criminalitatea informatică
Progresultehnicii și al tehnologiei s-a concretizat, printre altele, în apariția unor computere și programe cu foarte mare performanță care, în principal, au constituit pentru omenire un salt uriaș.
Calculatoare1e sunt larg răspândite în întreaga lume, fiind folosite pentru: calcule matematice,rezervarea de bilete în curse aeriene și la spectacole, lansarea pe orbită a unor nave spațiale, producerea materialelor în fabrici, asamblarea de autoturisme, realizarea desenelor tehnice, efectuarea unor operații medicale. Astfel, utilizarea computerului a devenit o necesitate socialăși, cu siguranță, pentru ziua de mâine el va fi o necesitate individuală.
Pe lângă preocuparea largă de a folosi computerul în interesul societății și cu respectarea legilor, această tehnologie a oferit posibilitatea unor indivizi dornici de beneficiile noilor invenții să profite de realizările noilor tehnologii, ocolind legea, dând naștere la criminalitatea informatică.
Criminalitatea informatică reprezintă totalitatea faptelor comise în zona noilor tehnologii, într-o anumită perioadă de timp și pe un anumit teritoriu bine determinat.
În studiile elaborate pe plan internațional se folosește expresia "criminalitatea legată de calculator" sau expresia "criminalitate informatică", care nu sunt însă în general recunoscute sau acceptate. Grupul de experți reuniți în cadrul OECD(Organisation of Economic Cooperation and Development) a adoptat următoarea definițiede lucru: "abuzul informatic este orice comportamentă ilegală sau contrar eticii sau neautorizat care privește un tratament automat de date și/sau o transmitere de date".
Unii autori au încercat să definească în diferite moduri criminalitatea informatică, pentru a servi studiilor efectuate în domeniu. Unul dintre acești experți a definit criminalitatea Informatică drept ,,orice acțiune ilegală în care un calculator constituie instrumentul sau obiectul delictului, altfel spus, orice infracțiune al cărui mijlocsau scop este influențarea funcției calculatorului". Un alt expert a definit abuzul informatic drept ,, orice incident legat de tehnica informatică în care o victimă a suferit sau ar fi putut să sufere un prejudiciu și din careautorula obținut sau ar fi putut obține intenționat un profit".
După părerea Comitetului European pentru Probleme Criminale, toate teoriile de definire a "criminalității informatice" prezintă unele inconveniente cenu se împacă ușor cu obiectivulformulării și cu acela de a nu lăsa nici o îndoială asupra importanței sau utilizării definiției.
Noțiunea de infracțiune informatică include infracțiuni foarte diferite, mai mult sau mai puțin incriminate de unele state membre. Odată cu redactarea principiilor directoare pentru legislatorii naționali, nu pare necesară adoptarea, pentru criminalitatea legată de calculator, a unei definiri formale, care ar crea mai multe dificultăți decât ar putea rezolva.
Criminalitatea în relație cu calculatorul se reduce la infracțiunile definite în principiile directoare pentru legislatorii naționali, care lasă în sarcina diferitelor state grija dea adapta această ,,definiție" la propriullor sistem juridic și la tradițiile lor istorice.
1.3. Mediu forme și particularități ale criminalității informatice
1.3.1 Aspecte introductive
Tehnicile de stocare au permis punerea la punct a sistemelor de arhivare ce pot conține miliarde de caractere de date accesibile în linie, însăacordarea privilegiilor diferențiate de acces diverșilor utilizatori ai acestor sisteme este, adesea, foarte, dificilă, pe de altă parte, ținând cont de metodele de acces la informațiile stocate, o singură eroare poate avea repercursiuni complexe, de care poate profita un individ rău intenționat.
Paralel, tehnicile degestionare a memoriei permit desfășurarea simultană a numeroase operațiuni independente, prin intermediul unui singur sistem de exploatare.
De asemenea, este posibil că princombinarea fișierelor independente pentru stabilirea diverselor elemente de date, să se poată obține un element nou, mai sensibil decât componentele inițiale. Centralizarea informațiilor și a funcțiilor de tratament facilitează, misiunea operatoruluisau sabotorului care dorește să acceadă la funcțiile unei organizații sau la resursele sale informaționale.
Datorita densității datelor stocate pe suporturi, cum ar fi: bande, dischete, casete, și microfilme, pierderea sau furtul unor astfel de suporturi ar putea să aibă consecințe grave.
Înainte ca securitatea sa devină un important criteriu de concepție, obiectivul era adesea acela de ase asigura o capacitate maximă de calcul unui număr cât mai mare posibil de utilizatori. Dar problemele de acces, altădată limitate la sala ordinatoarelor, care era zona protejată, se extind acum la cele mai îndepărtate terminale și la legăturile de interconexiune. Cu toate acestea, stațiile, terminale și circuitele de transmitere sunt rareori supuse controlului, așa cum este supus centrul, principal.
Existădouă forme de atac care exploatează posibilitățile de acces la distanță:
a) utilizarea codurilor de identificare și acces fraudulos pentru exploatarea resurselor unui sistem;
b) utilizarea neautorizată a unui terminal conectat de către o persoană autorizată, dar care a fost lăsată fără supraveghere.
Preocuparea de a asigura utilizatorilor posibilități maxime incită mai degrabă la acordarea unor privilegii nelimitate de acces, decât la restrângerea acestora din urmă la funcția aleasă, un sistem esențialmente tranzacțional rezervat operațiunilor de citire sau consultație este mai bine protejat decât un sistem integral protejat.
Un mare număr dintre sistemele utilizate la ora actuală permit decât un control foartelimitat al mijloacelor de acțiune în ceea ce privește datele pasive și programele fondate pe operațiunile de citire scriere sau deexecuție. De aceea, este adesea necesar să se plecedela principiul că fiecare utilizator este în măsura să utilizeze întreaga capacitate potențială a sistemului exploatat. O tehnică de penetrate bine cunoscută, care își are originea în această carență, constă în furnizarea instrucțiunilor de utilizare ca program de copiere a fișierelor sau inserarea într-unprogram existent. Atunci când este activatcodul ilegal, el îndeplinește funcții privilegiate, în comparație cu cele prevăzute pentru utilizatorul autorizat.
Pentru a asigura o mai mare securitate a sistemelor informatice, marilecompanii care produc sisteme de operare software ca de exemplu:microsoft, acționeazăca programele lor să constituie oîmbinare între accesibilitatea șiadăugarea lanoi funcții pe de o parte, și securitatea produsului, pe de altă parte. Aceste calități, în viitorulapropiat, vor trebui îndeplinite simultan de toate produsele Microsoft. Noul concept de "trust" lucrează să fie descoperite și remediate înainte de lansarea soft-ului pe piața.Se speră că, astfel, produsele microsoft sa schimbe felul în care acestea sunt percepute în întreaga lume.În viitor, cine nu va avea produse software fiabile și sigure, va dispărea de pe piață.Aceasta presupune, în primul rând, asigurarea unor condiții de securitate încă din faza conceperii produsului, astfel accesul sa fie limitat doar la persoanele autorizate.
Datorită faptului că se sprijină pe tehnologia electronică, sistemele informatice prezintă probleme de fiabilitate, fragilitate, dependență de mediu, precum și vulnerabilitate la intruziune și intercepție, în sistemele informatice,aceste carențe sunt extinse asupra întregii rețele exploatate.
Pentru infractori, tehnicile electronice de manevrare a datelor prezintă avantajul în raport cu tehnicile manualede a nu lăsa urme ce pot fi detectate. Datele informatice pot fi instantaneu modificate sau șterse fără mari riscuri dedetectare, spre exemplu: utilizarea virusurilorsau bombelor logice.Delicventul informatic poate sa modifice ușor un sistem pentru a comite oinfracțiune și să șteargă imediat orice urmă. Se estimează ca verificările efectuate pentru operațiunile informatice nu reprezintă decât ozecime din, controalele la care sunt supuse aceleași operațiuni manuale, lipsăcarefaciliteazăinfracțiunile nedetectabile.
Informația stocată pe discurile calculatoarelor este un bun asupra căruia se invocă în mediile economice un drept exclusiv în raport cu terții. Locul unde se face și se conservă această colectare de informații constituie, ipso facto, un loc vulnerabil pentru posesorul sau, proprietarul său. Calculatorul central, terminalele, liniile de comunicații, purtătorii de informații sunt puncte în care se poate produce cu ușurință un act răuvoitor și unde inițiativele specifice deprevenire sunt nu numai justificate, ci chiar necesare. Această problemă capătă odimensiune complementară când fluxul de date trece de la un calculator la altul (în securitatea rețelei) sau prezintă un caracter transfrontalier.
Este de asemenea, specific pentru modus operandi, proprii rutinelor automatice în sistemul ordinator existența unui jargon special care apelează la imaginație nefiind de natură săusureze munca juristului, ci dimpotrivă termeni ca: ,,fraudă salamis", "bombă logică", ,,vierme informatic", "virus informatic" fiind termeni ,,misterioși" 'pentru neinițiați.
Conținutul majorității suporturilor informatice nueste directprecis, personalul informatic fiind solicitat adesea să manevreze, fără să știe, fișiere sensibile.
Controlul elementelor de date devine deci problematic. Benzile șterse, microfilmele considerate rebuturi, dischetele deteriorate și memoriile centrale deconectate pot conțineurme de date ce pretind oatenție particulară. Deoarece nimeni nu este răspunzător de aceste elemente, protecția acestor date este adesea slăbită pe măsură ce ea este păstrată pentru aceeași informație, în alte parți ale sistemelor. Ușurința cu care se pot exploataaceste surse de informare a antrenat deseori intruziuni despre care s-a vorbit mult.
1.3.2. Specificul criminalității pe Internet
Definiție și caracteristici
Internetul este o rețea de calculatoare, această rețea include milioane de servere. Se poate afirma că internetul reprezintă un adevărat conglomerat de arhitecturi atât fiziccât și logic, extrem de complex.
Fiecare calculator conectat direct la Internet constituie un ,,nod Internet", fiecare nod de internet fiind determinat în mod unic de o adresă.
Se pot distinge următoarele caracteristici ale Internetului:
Este public;
Este orețea care se întinde pe toate continentele;
Este rețeaua cea mai deschisă din lume;
Nu este o rețeaconfidențială;
Nu prezintă nicio barieră socială;
Este convivială, interfața cu utilizatorul este ușor accesibilă și se poate realiza cu un minim de instruire de specialitate;
Este complet distribuit; conectarea unui utilizator la un furnizorde servicii Internet permite acelui utilizator să acceseze orice calculator din rețea;
Protocolul care stala baza comunicării pe Internet este TCP/IP, adică protocolul de control al transmisiei,(TCP) si protocolul Internet(IP);
Transferul informației se face prin "spargerea" respectivei informații în pachete care au adresa IP a sursei și a destinatarului.
Istoria Internetului
La originea Internetului de azi se află rețeaua ARPAnet,care a apărut în anii 60 ca o rețea cu scop militar,care-șipropunea să permită schimbul de informații între diferiteleunități ale Departamentului de Aparare al SUA.
Prima demonstrație publică a rețelei ARPA a avut loc la Conferința Internațională de Calculatoare din WashingtonD.C.în anul 1972. Atunci s-a născut ideea de a se crea o rețea de calculatoare care să acopere nevoile de comunicareîntre persoane și instituții situate la mari distanțe. În 1973 ARPAnet devine orețea internațională prin legăturile realizate cu instituțiile din Anglia și Norvegia, iar în 1995 intră sub controlul Departamentului de Apărare al SUA: Adăugarea la rețea a serviciului de poștă electronică, în 1977 și a serviciului Usenet, în 1979, a lărgit considerabil aria de utilizare și a dat onouă orientare în dezvoltarea Internetului.
Însă esențială în crearea Internetului de azi este introducerea protocolului de comunicație între calculatoare numit TCP/IP în anul 1983. Evoluția în continuare a Internetului este marcată de adăugarea unor servicii noi de acces la informații: serviciul Gopher în 1991 și celebrul serviciu World-Wide-Web (WWW) în 1992, acela care constituie astăzi un adevărat mijloc de revoluționare a Internetului. Acest serviciu oferă text, hypertext (legături cătrealte pagini găzduitepe alte servere),imagine și sunetîn același document.
Internetul a început să capete valențe comerciale, rețeaua fiind tot mai mult folosită în domenii dintre cele mai diverse, cum ar fi: educația; afacerile; comerțul; cercetarea; activitatea militară; și guvernamentală, pe întreaga planetă. Dimensiunile rețelei au crescut exponențial: 4 noduri în 1969, 213 în 1981, 300 în 1987, 530000 în 1991, 1,7 milioane 1993, 3,2 milioane în 1994, în 1995 circa 5 milioane.
În 1998 s-a ajuns la peste 25 demilioane decalculatoare interconectate. Ca număr de rețele, în 1994 erau cca 4500 de configurații în relație, pentru ca în 1996 săseajungă la cca 50000 de rețele; în peste 100 de țări, cu multmai mult de 50 de milioane de utilizatori și cu orată de creștere a acestora de 20% pe lună. Analiștii fenomenului apreciază ca ne aflăm încă în stadiul de început. Internetul își dublează acum dimensiunile la fiecare 100 de zile.
Viteza cu care evoluează tehnologia Internetului este impresionantă. Într-un studiu efectuat de United States Internet Council în 1993 se arată că în rețeauaInternet se aflauconcomitent cca. 90000 de utilizatori. Aceeași instituție dă astăzi publicității un număr de 300 demilioanedeutilizatori concomitenți pentru anul2000 șiun număr estimat de 700de milioane pentru anul 2005.
Internetul actual reprezintă mai mult decât o colecție online de text scrise. Paginile web pot conține imagini, video-clipuri sau sunete, toate acestea programate să interacționeze între ele și cu utilizator. Această abilitate de a furnizainformația sub formămulti-media a transformat Internetul de astăzi într-un puternic instrument educativ.
Nimeni nu deține, nu controlează Internetul în întregime, ci doar rețele care îl compun șinu existănicio autoritatecentrală care să fie responsabilă de organizarea și regularizarea conținuturilor prezentate pe web, fapt care elimină posibilitățile de cenzură a informațiilor. Autoritatea supremă a Internetului este Internet Society ISOC, organizație de voluntari care își propune să promoveze schimbul de informație prin Internet. Pentru ca schimbul de informație să aibă loc, fiecare rețea cooperează cu alte rețele. Împreună, aceste rețele formează lumea interconectată a Internetului.Pentruca rețelele și calculatoarele să coopereze în acest mod, trebuie să existe un acord general referitor la probleme ca procedurile Internet și standardele pentru protocoale. Aceste proceduri și standarde sunt expuse în RFC-uri (requests for comment) acceptate decătre utilizatori și organizațiile Internetului.
Intr-un fel sau altul, internetula afectat sau va afecta profund viețile noastre. El a schimbat fundamental modul în care societatea lucrează și comunică prin furnizarea unui mediu ieftin și rapid, cuocuprindere globală, pentru obținerea și comunicarea informațiilor.
Având rădăcini în aproape toate țările și fără o autoritate centralizată, Internetul este socotit de mulți ca ultima piață de idei liberă. Liberaliștii civili și activiștii on-lineduco luptă crâncenă pentru a feri Internetul de constrângeri. Astfel de constrângeri amenință expansiunea lui prin impunerea de sancțiuni civile și penale pentru activități neglijente sau ilegale.
Paleta faptelor ilegale comise pe rețeaua Internet este foarte diversificată. Neil Gallagner, director adjunct al Serviciului american de informații, FBI, susține că: "războiul mondial în ceea ce privește web-ul esteosursă nesfârșită de fraude, ticăloșii și piraterie„.
Crimele cel mai des întâlnite sunt: spargerile derețele spionajul industrial, operațiunile de piraterie pentru obținerea de informații în scopul vânzării acestora, nelivrarea comenzilor făcute pe Internet și a serviciilor on-line, sau făcute defectuos, vânzările prin licitație, defăimarea pornografia juvenilă, răspândirea de materiale cu caracter obscen, tulburarea folosinței locuinței,ofertele de carduri de credit, cărți sau alte servicii de instructaj asupra modului de a face, bani ilegali cu ajutorul rețelei Internet.
Capitolul 2. Infracțiunea digitală
2.1.Conceptul de infracțiunea digitală
Infracțiunea digitală este o expresie care nu reușește să redea decât foarte vag o anumită imagine asupra conținutului său. Infracțiunile “tradiționale” pot deveni aproape în totalitate infracțiuni digitale. Totodată, infracțiunea digitală mai poate fi cunoscută sub multe alte denumiri, ca “folosirea inadecvată a computerului/ Internet-ului”, “abuz cu computerul”, “fraudă informatizată”, etc.
Dacă până acum câțiva ani infracțiunile digitale erau relativ simple, rezumându-se la unele accesări neautorizate a bazelor de date, în ultimul timp, odată cu implementarea pe o scară din ce în ce mai largă a Internet-ului, gama infracțiunilor digitale s-a extins. Transferuri de bani electronici inexistenți, falsificarea cărților de credit, distrugeri de fișiere, terorism, toate sunt din păcate posibile și se intâmplă zi de zi.
S-ar putea crede că se comite un număr mic de astfel de infracțiuni, deoarece autoritățile primesc un număr mic de sesizări. Eroare! Statisticile arată că doar două din zece infracțiuni digitale sunt raportate. Și până la urmă este normal. Nici o bancă nu preferă să dea publicității faptul că a fost jefuită electronic, căci astfel prejudiciul suferit în ceea ce privește imaginea ar fi cu mult mai mare.
Așa numitele “dicționare informatice” se dezvoltă pe zi ce trece. Însă, din nefericire, ele tind să cuprindă un număr din ce în ce mai mare de “termeni negativi”, cum ar fi hackeri, crackeri, phreackeri, etc. Dezvoltarea acestor ocupații nu poate fi oprită, deoarece așa este natura unor persoane, de obține câștiguri în mod frudulos, sau doar de a face rău în mod intenționat, însă se poate realiza o prevenire eficientă. Prevenirea faptelor reprobabile în acest domeniu trebuie să se realizeze în strânsă cooperare. Autorități, programatori, beneficiari, trebuie să gasească soluții de comunicare. Expresia cheie este identificarea punctelor vulnerabile ale sistemelor de calcul., numai astfel este posibilă o oarecare contracarare a infracționalității informatice.
În România, aceste infracțiuni au început să fie luate în considerare doar de puțin timp. Astfel se explică faptul că organele judiciare nu sunt familiarizate cu modalitățile de folosire a calculatorului și nici cu modurile de săvârșire ale acestui tip de infracțiuni.
S-a sfarșit perioada când cei care penetrau ilegal un sistem informatic erau priviți drept niște “curioși” inofensivi. Pagubele săvârșite astfel au dus la renunțarea la această mentalitate.
Dealungul timpului, povești despre “viruși” au făcut deliciul publicului de specialitate, iar uneori au terifiat. Referința în acest domeniu este reprezentată de celebrul film “Wargames” realizat în anul 1983, care a tras un prim semnal de alarmă cu privire la puterea pe care o poate dobândi un profesionist al calculatoarelor fără respect față de lege.
Definirea “infracțiunii digitale” are la bază diferite criterii. Unii autori consideră că furturile în care materialul informatic nu constituie decât un simplu obiect constituie infracțiuni digitale. Într-un articol din “The European” (14-20 septembrie 1995), o victimă a unei asfel de infracțiuni declară: “Am fost victima unei crime informatice. Nu am fost rănit și nu am pierdut bani. Nici măcar nu mi-am dat seama decât atunci când am cercetat această poveste. Am descoperit că am cumpărat un calculator furat.” Această considerație este greșită, confuzia provenind din faptul că furtul este legat de calculator, mai bine zis de componenenta sa cea mai importantă: microcipul. Astfel de infracțiuni se încadrează mai bine în prevederile dreptului comun.
Se consideră că definiția care cuprinde în cea mai mare măsură toate elementele necesare este: orice infracțiune care implică folosirea calculatorului sau a echipamentelor sale periferice, precum și orice infracțiune pentru a cărei investigare sunt utilizate informații stocate într-un computer, poate fi considerată infracțiune digitală.
2.2. Instrumente folosite la săvârșirea infracțiunilor digitale
Considerații introductive
Instrumente de săvârșire a infracțiunilor digitale sunt o mulțime. Cei “porniți” pe așa ceva nu trebuie decât să aleagă. Atacurile asupra computerelor, folosind computerul devin din ce în ce mai dese și mai sofisticate, în special datorită “exploziei” numărului de utilizatori și a gradului de conectare la serviciile oferite de Internet.
În această secțiune voi prezenta principalele mijloace folosite de infractori pentru săvârșirea infracțiunilor digitale. Astfel, va fi tratată pe larg problema virușilor informatici, pentru ca apoi să fie prezentate în câteva cuvinte: “cai troieni”,” viermi” (Worms) și “bombe logice”(de timp).
Virușii și implicațiile captării acestora
Cuvântul “virus” este folosit în ziua de astăzi pentru a descrie un tip de program pentru calculator care este creat cu scopul de a distruge datele sau echipamentele calculatorului. Nu există o definiție clară dar trebuie remarcat ceva comun la toate definițiile date de specialiști:
un virus este o secvență de instrucțiuni;
se reproduce.
Definiția unui virus ar putea fi:"Virusul este o inteligență artificială lipsită de moralitate și sentiment, și-a dobândit inteligența de la programatorul care l-a creat, dar poate fi la fel de imoral ca și autorul".
Definiția cea mai adoptată este totuși: Virușii sunt programe de foarte mică dimensiune, de regulă invizibili cu mijloace uzuale ale sistemului, care se găsesc pe calculator fie ca un fișier executabil, fie atașați unor programe, caz în care se numesc "paraziți". Ei sunt capabili să se "infiltreze" în zone ce rămân "ascunse" utilizatorului obișnuit, să producă modificări distructive asupra datelor ce se află pe discuri, asupra altor componente ale calculatorului, și să se "reproducă".
VIRUȘII se clasifică în:
Viruși Hardware: sunt cei care afectează hard discul, floppy-discul și memoria;
Viruși Software: afectează fișierele și programele aflate în memorie sau pe disc, inclusiv sistemul de operare sau componente ale acestuia.
Câteva dintre efectele pe care le generează virușii software:
a) distrugerea unor fișiere;
b) modificarea dimensiunii fișierelor;
c) ștergerea totală a informaților de pe disc, inclusiv formatarea acestuia;
d) distrugerea tabelei de alocare a fișierelor, care duce la imposibilitatea citirii informației de pe disc;
e) diverse efecte grafice/sonore inofensive;
f) încetinirea vitezei de lucru a calculatorului până la blocarea acestuia.
Prezentarea virușilor.
Există o mare varietate de viruși. În fiecare an se semnalează sute de mii de infectări și probabil că un număr egal sau chiar mai mare nu sunt publicate, fiind tratate pe plan local. În anul 1995, spre exemplu, primii cinci viruși erau:
Jerusalim (într-unul din colțurile ecranului apare o gaură sau o casetă neagră, șterge fișierele program, încetinește funcționarea calculatorului);
Cascade (afișează caracterele căzute dezordonat, către partea de jos a ecranului);
Brian (redenumește eticheta de volum a discului calculatorului cu numele "Brian");
Ping-Pong (un caracter începe să sară pe ecran, ca o minge de tenis de masă);
Stoned (la pornirea calculatorului, uneori apare mesajul "Your PC isstonednow").
Virușii cu auto-multiplicare fac parte din categoria celor mai inteligenți, deoarece infectează tot ce ating. În lumea utilizatorilor DOS, majoritatea virușilor sunt transferați prin intermediul codurilor executabile, adică prin fișiere program (COM, EXE, DLL, SYS sau PIF), nu fișiere date. Efectul acestei auto-multiplicări depinde de a doua parte a programului de tip virus informatic. Prima parte este responsabilă de găsirea unui mijloc de a se auto-copia. Cea dea doua parte decide ce stricăciune să facă virusul pe disc. Există oameni care au capturat un astfel de virus, i-au modificat partea a doua și l-au repus în circulație.
Familiile de viruși sunt prezentate în anexa 1.
Cum acționează un VIRUS ?
Înainte de 1993, VesselinBontchev, absolvent al Universității Tehnice din Sofia și cu doctorat la Virus Test Center din Hamburg (sub conducerea profesorului Klauss Brunnstein) a propus o standardizare a modului de descriere a caracteristicilor unui virus, în scopul raportării lui. Această propunere, cunoscută sub numele de CAROBASE format sau fișa CARO, s-a bucurat de succes și a început să fie folosită intens în rapoartele despre viruși. În momentul de față, structura fișei (cu ideea de standardizare în continuă evoluție – creatorii de viruși nu sunt dispuși să se supună vreunui standard!) este gestionată de Anthony Naggs (Anglia).
Voi prezenta o clasificare a tipurilor de viruși, urmărind în linii mari caracteristicile esențiale precizate în fișa CARO și modul lor de acțiune. Astfel, virușii se clasifică după:
Ținta infecțiilor;
Locul de rezidență în memoria centrală;
Autorecunoașterea în memorie;
Autorecunoașterea pe disc;
Tehnici de autoapărare;
Tehnici de pătrundere în sistem;
Polimorfism;
Tehnici de ascundere.
Cum se produce contaminarea?
Contaminarea este inevitabilă datorită schimbului de informații. Există două modalități principale de infectare:
Prin intermediul dischetelor. Se recomandă scanarea dischetei înainte de fiecare copiere de pe aceasta și folosirea protecției la scriere în cazul în care se dorește doar citirea acesteia.
Prin transferul de fișiere din rețea (e-mail, internet, rețea locală). Se recomandă scanarea tuturor fișierelor transferate din rețea pe harddisk-ul local.
De obicei, asociem termenul de "computer virus" cu un mic program a cărui țintă este de a distruge informațiile de pe disc. Virușii nu sunt singurele forme intenționate de a atenta la securitatea datelor de pe calculator, mai sunt cai troieni, bombe logice, viermi.
Un virus apare în calculator prin diverse mijloace, își desfășoară activitatea, strică ce poate strica, se înmulțeste cât se poate înmulți, molipsește și alte calculatoare dacă are ocazia.
Dacă este un virus rău, va muri în cele din urmă odată cu sistemul pe care l-a infectat (și distrus), sau este curățat de un antivirus corespunzător. Dacă nu este un virus rău poate să "conviețuiască" mult și bine cu sistemul pe care l-a infectat, producând numai unele neajunsuri. Dar, poți fi sigur oare că un virus pe care îl are și care nu face, aparent, decât să distruga încet sistemul.
Așa cum am precizat anterior, principala caracteristică a unui virus este aceea de a se înmulți, deci de a infecta și alte fișiere, utilizând copii ale sale. Aceste replici pot fi identice cu el, dar pot fi mai mult sau mai puțin diferite de el și diferite între ele (ca în cazul virușilor polimorfi). Nici înmulțirea (din păcate) nu se face în mod haotic. Pentru a se ascunde cât mai mult timp, virușii își frânează în mod voluntar înmulțirea, infectând alte fișiere numai din când în când sau numai în anumite condiții.
Când consideră că s-au înmulțit destul (deci când se îndeplinesc anumite condiții), mai toți virușii încep, în fine, să-și manifeste prezența. Uneori, aceste efecte nu sunt chiar atât de grave. Funcționarea poate fi compromisă.
Prezența unui virus poate fi descoperită în urma mai multor simptome:
Creșterea memoriei utilizate;
Scăderea vitezei de operare a calculatorului;
Timp suplimentar la execuția programelor;
Accesarea excesivă a harddiscului sau a unei dischete protejate în unitatea de disc;
Programele nu mai pot fi executate (cazul virușilor overwrite);
Erori anormale de protecție la scriere;
Imposibilitatea de pornire a Windows-ului;
Blocarea Windows-ului prin accesarea directă a hardware-ului de către viruși;
Avertismentul Windows care semnalează faptul că nu se utilizează accesul pe 32 de biți.
Dacă se remarcă orice anomalie de funcționare a calculatorului (inclusă sau nu în lista anterioară) se recomandă devirusarea rapidă.
Exemple de viruși
1.”Win95.CIH.1003.A”
Ce infectează: Fișiere executabile Win32 PE
Când infectează: La execuție
Unde se scrie: în fișier: Fișierele executabile Win32 PE sunt structurate pe secțiuni și de cele mai multe ori secțiunile nu sunt utilizate integral. La infectare, virusul caută spațiile libere din fișierul atacat și le folosește pentru a-și scrie acolo codul executabil. Astfel, virusul infectează fără să lungească fișierele. După aceea modifică punctul de intrare în program în așa fel încât execuția să înceapă cu codul virusului. Execuția programului gazdă nu este perturbată deoarece virusul reține în corpul său unde începe programul din fișierul parazitat.
Cum se pot identifica fișierele infectate: Cel mai sigur este să fie utilizat un antivirus. În lipsa unui antivirus, se poate căuta în primii 1024 octeți din fișier semnătura "KBQPP" virusul nu este polimorf, dar acest lucru nu este sigur pentru că este posibil să existe un fișier dezinfectat care să mai conțină încă semnătura.
Acțiunea curentă a virusului: Virusul se poate înmulți oricând, se poate sta cu virusul în calculator luni de zile și să nu se observe nimic. Asta nu înseamnă că virusul nu face nimic în acest timp, el se înmulțește în liniște replicându-și codul în toate fișierele de tip Win32 PE care sunt executate.
Consecințele sunt de obicei dezastruoase:
a) Dacă virusul a distrus conținutul flash BIOS-ului, calculatorul nu mai pornește și flash BIOS-ul trebuie înlocuit. Există posibilitatea reparării, dar fără un flash BIOS bun nu se poate da drumul la calculatorului. Se poate încerca o reparare astfel: se dă drumul la calculator folosind un flash BIOS bun, se scoate din mers, se înlocuiește cu cel defect și se rescrie. Dacă se resetează calculatorul, atunci procedura trebuie reluată.
b) Dacă discul este partiționat în mai mult de o partiție, atunci toate partițiile în afară de prima se pot recupera foarte ușor, este suficient să fie refăcut primul sector de pe disc folosind programe specializate sau apelând la un specialist. Dacă prima partiție este formatată FAT32, atunci zonele sistem, fiind mai extinse, nu se distrug integral și pot fi refăcute, informația fiind redundantă. Dacă prima partiție este formatată FAT16, atunci zonele sistem sunt integral distruse și recuperarea datelor este extrem de dificilă, chiar imposibilă.
Cum se poate feri de acțiunea distructivă a virusului. Cea mai bună soluție este verificarea și eventual dezinfectarea folosind un antivirus. Alte soluții ar fi: salvarea datelor importante; schimbarea datei calculatorului sau nepornirea calculatorului.
2.”Win32.HLLP.Bora.11264”
Ce infectează: fișiere EXE (PE-uri) inserându-și codul la începutul fișierului.
Când un program infectat este rulat, codul virusului se execută și caută o nouă sursă care nu este infectată. Virusul încearcă să infecteze și fișierul RUNDLL32.EXE din directorul în care este instalat sistemul de operare.Virusul foloseste programul MIRC pentru a se autotrimite pe IRC. În directorul în care este instalat MIRC-ul, este creat un fișier infectat numit "WINTEST.EXE" și este modificat scriptul de inițializare (al MIRC-ului) astfel încât acest fișier să fie trimis pe IRC.
Virusul afisează mesajul: Virus =Temple=Build 002 Copyright (c) by Wit AKA CyberViper 1999.
Mai multe exemple de viruși sunt prezentate în anexa 2.
Cai troieni, viermi (worms), bombe logice și de timp
Calul troian informatic este un program distructiv foarte bine elaborat. Când este rulat, instrucțiunile secrete cuprinse în el (foarte dificil de detectat chiar de experți), ies la iveală și își produc efectele distructive. Calul troian permite “recrutarea” calculatoarelor în comiterea unor infracțiuni de cele mai multe ori foarte păgubitoare. Aceste infracțiuni presupun manipularea electronică a calculatoarelor infestate și de cele mai multe ori rămân nedescoperite.
Construirea unui cal troian informatic necesită abilități de programare deosebite, dar și abilități de a ascunde adevărata funcție a programului.
Un exemplu de infracțiune săvârșită cu ajutorul unui cal troian informatic este dat de d-na Ioana Vasiu: în vara anului 1985, directorul executiv la CBS Inc., New Jersey, în timp ce inspecta buletinele electronice (BBS), pentru a vedea dacă au apărut noi programe de calculator, a fost atras de un anumit soft, EGABTR, care promitea mărirea performanțelor plăcii grafice cu 50%. Când a lansat în execuție programul, pe ecran a apărut mesajul:”Arf, arf! Got you!”. Într-un timp foarte scurt, calul troian a șters aproximativ 900 de fișiere.
Viermii informatici (worms) sunt programe care pot cauta prin rețele pentru a se instala pe anumite calculatoare. Acest tip de program a fost inventat de către John Socha și Jon Hupp de la Xerox Corporation, cu titlu de experiment, la centrul de cercetări din Palo Alto, California. Autorii au sperat că astfel de programe vor putea prelua o serie de sarcini necesare într-o rețea de calculatoare.
Un astfel de “vierme” a intrat pe Internet (la acea dată existau cam 60.000 calculatoare conectate) și a încetinit și oprit mii de computere, în doar câteva ore. “Viermele” nu a cauzat pierderi de date, dar a solicitat eforturi mari pentru neutralizare.
Autorul a fost identificat ca fiind Robert Tappan Morris, absolvent al Universității Cornell, care era fiullui Robert Morris, expert în calculatoare la N.S.A. În instanță s-a susținut că unicul scop al “viermelui” era demonstrarea calităților autorului.
Morris a fost condamnat în 1990, conform Federal Computer FraudandAbuse la 400 ore de muncă în folosul comunității și 10.000 dolari amendă. “Cazul Morris” este singurul caz cunoscut de utilizare a unui “vierme” neautorizat.
Bombele logice și cele de timp sunt programe pentru calculator care “detonează” după îndeplinirea anumitor condiții, la un moment de timp specificat. Întinderea pagubelor depinde de natura instrucțiunilor. Spre exemplu: o bombă logică a “explodat” la Departamentul Apelor din Los Angeles, blocând folosirea fișierelor stocate pe calculatoare. Într-un alt caz, un programator francez, după ce a fost demis, a plasat o bombă logică în rețeaua de calculatoare a firmei. Bomba a “explodat” după doi ani, în ziua de anul nou, ștergând memoria calculatoarelor.
În rarele ocazii când o bombă logică este descoperită înainte de “detonare”, vinovatul poate fi identificat cu relativă ușurință. De obicei, bombele logice sunt descoperite de programe antivirus ce depistează acest fel de infestare.
2.3. Infracțiuni digitale prevăzute de Legea 161 din 2003
Considerații introductive
Apariția Legii 161/2003 reprezintă în același timp un punct de pornire și o importantă cotitură în domeniul legislației din România. Prin incriminarea unor fapte care implică folosirea abuzivă a calculatorului/ rețelelor de calculatoare, legislația română a reușit să facă un mare pas înainte către alinierea la legislația europeană. Cerută cu promptitudine atât de către informaticieni, cât și de juriști, Legea 161/2003 vine în întâmpinarea noilor realități sociale. Prevederile ei nu pot fi decât binevenite, în speranța asigurării unui climat cu o securitate mai mare în tot ceea ce privește munca cu calculatorul.
Titlul III al Legii face referire la criminalitatea informatică, fiind structurat pe cinci capitole. Titlul reglementează “prevenirea și combaterea criminalității informatice, prin măsuri specifice de prevenire, descoperire și sancționare a infracțiunilor săvârșite prin intermediul sistemelor informatice, asigurându-se respectarea drepturilor omului și protecția datelor personale”.
Sensul unor termeni folosiți
Prin următoarele expresii legiuitorul lasă să se înțeleagă:
a) sistemul informatic: orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relație funcțională, dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui program informatic;
b) prelucrare automată a datelor: procesul prin care datele dintr-un sistem informatic sunt prelucrate prin intermediul unui program informatic;
c) programul informatic: este un ansamblu de instrucțiuni care pot fi executate de un sistem informatic în vederea obținerii unui rezultat determinat;
d)datele informatice: orice reprezentare a unor fapte, informații sau concepte într-o formă care poate fi prelucrată printr-un sistem informatic. În această categorie se include și orice program informatic care poate determina realizarea unei funcții de către un sistem informatic;
e) furnizor de servicii:
Orice persoană fizică sau juridică ce oferă utilizatorilor posibilitatea de a comunica prin intermediul sistemelor informatice;
Orice altă persoană fizică sau juridică ce prelucrează sau stochează date informatice pentru persoanele de mai sus și pentru utilizatorii serviciilor oferite de acestea;
f) Datele referitoare la traficul informațional: sunt orice date informatice referitoare la o comunicare realizată printr-un sistem informatic și produse de acesta, care reprezintă o parte din lanțul de comunicare, indicând originea, destinația, ruta, ora, data, mărimea, volumul și durata comunicării, precum și tipul serviciului utilizat pentru comunicare;
g) Datele referitoare la utilizatori: pot fi orice informație care poate conduce la identificarea unui utilizator, incluzând tipul de comunicație și serviciul folosit, adresa poștală, adresa geografică, numere de telefon sau alte numere de acces și modalitatea de plată a serviciului respectiv, precum și orice alte date care pot conduce la identificarea utilizatorului;
h) Măsurile de securitate: sunt folosirea unor proceduri, dispozitive sau programe informatice specializate cu ajutorul cărora accesul la un sistem informatic este restricționat sau interzis pentru anumite categorii de utilizatori;
i) Materialele pornografice cu minori: sunt orice material care prezintă un minor având un comportament sexual explicit sau o persoană majoră care este prezentată ca un minor având un comportament sexual explicit ori imagini care, deși nu prezintă o persoană reală, simulează, în mod credibil, un minor având un comportament sexual explicit.
Acționează fără drept persoana care se află în una dintre următoarele situații:
a) Nu este autorizată, în temeiul legii sau al unui contract;
b) Depășește limitele autorizării;
c) Nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.
2.4. Infracțiuni digitale prevăzute de codul penal
Codul penalalocă o bună parte infracțiunilor pasibile a fi săvârșite cu ajutorul calculatorului. Astfel, întâlnim câteva delicte, plasate însă în diferite titluri, în funcție de relațiile sociale pe care le protejează.
În primul rând, în Titlul II. Infracțiuni contra patrimoniului, Capitolul IV. Fraude comise prin sisteme informatice și mijloace de plată electronice, în articolul 249 Frauda informatică care presupune Introducerea, modificarea sau ștergerea de date informatice, restricționarea accesului la aceste date ori împiedicarea în orice mod a funcționării unui sistem informatic, în scopul de a obține un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane, se pedepsește cu închisoarea de la 2 ani la 7 ani. Tentativa se pedepsește.
Următoarea reglementare se află în Titlul VII. Infracțiuni contra siguranței publice, Capitolul VI Infracțiuni contra siguranței și integrității sistemelor și datelor informatice, în articolele 360-Accesul ilegal la un sistem informatic, 361-Interceptarea ilegală a unei transmisii de date informatice, 362-Alterarea integrității datelor informatice, 363-Perturbarea funcționării sistemelor informatice, 364-Transferul neautorizat de date informatice, 365-Operațiuni ilegale cu dispozitive sau programe informatice. La toate aceste infracțiuni pedepsele sunt între 3 luni și 7 ani sau amendă, în funcție de încadrarea și gravitatea faptei. De asemenea, la oricare infracțiunie prevăzută în acest capitol, tentativa se pedepseste.
Articolul 374din Codul penal sancționează producerea, deținerea în vederea expunerii sau distribuirii, achiziționarea, stocarea, expunerea, promovarea, distribuirea precum și punerea la dispoziție, în orice mod, de materiale pornografice cu minori se pedepsește cu închisoarea de la un an la 5 ani. De asemenea, tentativa se pedepsește.
Capitolul 3. Criminalitatea informatică prin intermediul Internetului
Legislația privind Internetul
Susținând ideea necesității creării unui Drept al Internet-ului, nu trebuie uitat faptul că, având libertatea accesului la internet în toate țările lumii și lipsind o autoritate centrală, Internet-ul fiind considerat de liberaliștii civili și activiștii on-line ca o adevărată piață liberă a ideilor de tot felul. Nu se poate să nu se ia în considerație lupta lor stiințifică de a feri Internet-ul de constrângerile juridice care, prin impunerea unor sancțiuni civile sau penale pentru activitățile neglijente sau ilegale, ar amenința expansiunea și, nu în ultimul rând, spiritul acestei rețele.
Dar, totodată, așa cum a fost expicatanterior, oamenii doresc sa pună ordine în viața socială. Pentru a nu fi distrusă de acțiunile criminalilor, Internet-ul, care s-a constituit ca o “lume” nouă, el avand nevoie de o anumită disciplinare, de o minimă reglementare juridică.
Necesitatea reglementării juridice a Internet-ului reese și din anumite fapte comise cu ajutorulaceastei rețelecareadeseoricad sub incidența unor legi existente. Chear daca astfel de acțiuni și-au mutat locul desfașurarii nu își chimbă cu nimic natura lor criminală. Multe țări au conceput o serie deacte normative care, chiar dacă n-au vizat, spre exemplu: diseminarea materialelor obscene în rețeaua Internet, sunt aplicabile și se aplică și în cazul comiterii acestor fapte prin intermediul acestei rețele. Astfel, în Marea Britanie sunto serie de acte normative care acuză aspecte ale obscenității: Obscene Publications Act (Actul publicațiilor obscene) din 1959, Protection of Children Act (Actul protecției copilului) din 1978, Indecent Displays Act. (Actul afișajelor indecente) din 1981, Telecommunications Act (Actul telecomunicațiilor) din 1984, Criminal Justice Act (Actul justiției criminale) din 1988 sau Criminal Justiceand Public Order Act (Actul Justiției Criminale și a Ordinii Publice) din 1994.
Nu numai obscenitățile, chear si multe alte infrctiuni comise prin intermediul Internet-ului și care fac atingere directa intereselorpersonaelor și alecomunității, intră sub incidența legilor în curs din diferite țări. Dinnereficire, unele fapte indezirabile social care se petrec și s-au petrecut în rețeaua Internet sunt de obicei o faptă atât de nouă și cu o dezvoltare și o amploare atât de rapide încât ele n-au putut fi reglementate juridic și au scăpat chiar și celor mai noi legi din țările puternic informatizate, fără a mai aminti si celelalte țări rămase mult în urmă din punct de vedere informatic, cum este și România.
Chiar și faptele comise în Internet și care pot fi incriminate pe baza unor legi nespecifice, de cele mai multe ori nu pot fi aplicate pe baza acestor acte normative deja învechitedeoarece suntlasate in urmă de amploarea internetului, deoarece ele îmbracă aspecte noi în manifestările lor.
În ceea ce privește difuzarea materialelor obscene, faptă complex incriminată de legile anterioare, s-a resimțit lipsa unor reglementări privind comiterea acestei fapte prin Internet. Așa se face că anul 1996 a reprezentat începutul intervențiilor guvernamentale în această materie. Este cazul S.U.A., unde la 1 februarie 1996 Congresul a adoptat Telecommunications Reform Act (Actul reformei telecomunicațiilor) care stipula mai multe sancțiuni cu trimitere directă la diseminarea materialelor pornografice în Internet. La aceeași dată, guvernul Franței a mers mai departe și a lansat un apel pentru stabilirea unor standarde internaționale în legătură cu Internet-ul și adoptarea unor standarde etice în acest domeniu .
Iată că problemele instituirii unor reglementări juridice relative la desfășurarea anumitor tipuri de activități în Internet câștigă din ce în ce mai mult teren în rândul țărilor hightech, cum ar fi S.U.A., Marea Britanie, Franța, Germania, Japonia ș.a., dar și al unor organisme reprezentative ale unor comunități regionale sau ale comunității internaționale. Prin urmare, “oamenii sunt preocupați nu doar de folosirea eficientă și dezvoltarea continuă a domeniului tehnologiei informației și al Internet-ului, ci și de stabilirea cadrului legal în care să se desfășoare interacțiunile în acest domeniu, numit și Cyberspace sau Global Village”. În același timp, pornindu-se de la faptul că Internetul este o rețea publică deschisă, care traversează granițele tuturor statelor conectate, se conturează tot mai clar ideea că chiar instituirea unor legi naționale bune în această materie (ceea ce este încă departe de a se înfăptui) n-ar fi suficientă, astfel de legi ar fi inefective și ineficiente, întrucât un fenomen global cum este această rețea nu poate fi reglementat local. În condițiile în care este posibil, de exemplu: să se folosească un calculator din România pentru a se accesa un calculator din Germania, în scopul de a dobândi acces la un calculator aflat în S.U.A., este greu de crezut că legile naționale în materie de Internet vor fi eficiente. „Numai un spațiu juridic mondial va putea stăvili fuga înainte a mafiilor telemarketing-ului”, spun doi autori avizați precum Serge Le Doran și Philippe Rosé, referindu-se numai la un domeniu restrâns al activităților desfășurate în această rețea. Dar acest lucru este valabil pentru toate domeniile marilor rețele.
De aceea, “cunoașterea diferitelor legi ce guvernează Internet-ul și hotărârea comunității internaționale de a acoperi toate golurile acestei noi lumi și de a le armoniza este una foarte actuală”. În mod indiscutabil, aceste fapte vor trebui sa duta la cearea unui Drept al Internet-ului, la un drept transfrontalier și global cum este și această fabuloasă rețea informațională, iar în final la o lege a Cyberspace-ului.
3.2. Protecția împotriva virușilor – modalități practice
Programele antivirus
Sunt programe create special pentru combaterea acțiunii virușilor.
Programele antivirus pot efectua următoarele operațiuni:
– Să detecteze virușii prin verificarea conținutului fișierelor și semnalarea prezenței semnăturii unui virus cunoscut sau a unor secvențe suspecte în interiorul lor;
– Să dezinfecteze sau să șteargă fișierele infestate de viruși cunoscuți;
– Să prevină infectarea prin supravegherea acțiunilor din memorie și semnalarea întâlnirii unor anumite acțiuni ce ar putea fi generate de existența în memorie a unui virus.
Există două feluri de antiviruși, după modul în care acționează:
1. Programe care după ce au fost lansate rămân în memoria calculatorului și supraveghează fiecare, aplicație lansată în execuție.
2. Programe care sunt lansate de către utilizator numai atunci când el dorește să verifice calculatorul.
Programe antivirus cunoscute sunt:
AVX Professional 6 reprezintă prima soluție antivirus românească ce permite verificarea eficientă a breșelor de securitate din sistem. Mai mult decât un antivirus, AVX Professional este un firewall personal dedicat protecției datelor. Detectează peste 55 000 de semnături de virus și elimină toți virușii din RoWildList. Suplimentar, Laboratorul Antivirus SOFTWIN actualizează zilnic bazele de semnături.
RAV – antivirus creat în România și câștigator al numeroase premii internaționale, este dezvoltat pe computere Compaq și este în prezent utilizat pe plan global.
Symantec oferă o gamă largă de soluții de securitate: protecție împotriva virușilor, a intrușilor, filtrare e-mail etc.
Norton AntiVirus este unul dintre cei mai buni antiviruși din lume la ora actuală. Folosind tehnologie de ultimă oră, VirusScan detectează 100% din virușii din floppy. PC-cillin'sScanWizard conduce pas cu pas, printr-un proces simplu de detectare și eradicare a virușilor din computer. Fișierele infectate sau suspecte pot fi trecute în carantină de siguranță. Fișierele aflate în carantinî pot fi trimise mai departe la Trend Virus Hospital pentru analiză, șterse sau ținute pentru analiză mai amănunțită și reparate. Un sistem de backup protejează fișierele în timp ce sistemul este "curațat".
Norman Virus Control, antivirus folosit în toata lumea, asigură protecția împotriva virușilor și a altor programe răuvoitoare într-un mediu din ce în ce mai deschis.
Folosirea antivirușilor
Primii pași
Când este descoperită o infecție, trebuie executați următorii pași:
– Se oprește orice activitate a calculatorului și mai ales nu se execută alte programe. Trebuie notat mesajul, simptomele, contextul și chiar istoricul utilizării recente a calculatorului. Sistemul respectiv nu trebuie folosit până nu-i este verificată “integritatea”;
– Se contactează un specialist, oferindu-i-se acestuia toate informațiile corespunzătoare (mesaje, simptome etc.).
Altă variantă ar fi:
Se pornește calculatorul de pe o dischetă-sistem curată.
Se rulează un utilitar de scanare al virușilor și se curăță toate fișierele virusate utilizând un program de dezinfectare;
Se rescanează discul infectat pentru a exclude infectări multiple;
Eventual, se reinstalează toate aplicațiile de pe dischetele de distribuție;
Se scanează din nou pentru a detecta posibile programe infectate. Dacă scanarea nu mai indică nici o urmă de virus, se poate reîncepe folosirea normală a calculatorului;
Dupa ce sistemul este curățat, se scanează toate dischetele pentru a găsi sursa infecției.
Metode de rezolvare a problemei
Daca nu există o discheta “RESCUE”, majoritatea virușilor de boot pot fi curățati fără nici o pierdere de date, cu Metoda SYS/FDISK.
Metoda SYS/FDISK
Este o metodă extrem de folosită în cazul sistemelor DOS și este important ca toți pașii să fie urmați așa cum sunt descriși în continuare:
– Se obține o dischetă curată, boot-abilă (sistem), protejată la scriere, care conține aceeași versiune de DOS ca și calculatorul care trebuie curațat; se copiază SYS.COM și FDISK.EXE pe această dischetă.
– CMOS-ul trebuie setat pentru a se face încărcarea sistemului de pe drive-ul A:, se oprește calculatorul, se inserează discheta boot-abilă și se pornește calculatorul.
– Se verifică dacă tabela de partiții și sectoarele de boot ale partițiilor nu au fost stricate, tastând DIR pentru fiecare partiție disc; dacă drive-ul are doar o partiție, se tastează doar DIR C:. Dacă drive-ul C: (sau orice alte partiții disc) nu poate fi accesat, înseamnă că o tabelă de partiții este stricată și trebuie reparată înainte de a se încerca ștergerea virusului, cu un utilitar precum NDD. Dacă totuși este vorba de un virus care mută tabela de partiții (cum e virusul Monkey), lucrurile se complică și va fi nevoie de un utilitar mai puternic (de exemplu, KILLMN).
Dacă un drive este comprimat, probabil că nu se va putea vedea hard-discul decât dacă se vor include drivere pentru software de comprimare pe discheta de boot.
– De la prompterul A:, se tastează SYS C:. (se vor transfera 2 fișiere ascunse si command.com și se va suprascrie sectorul de boot unde poate rezida virusul – primul sector relativ al partiției.)
– Se va verifica dacă virusul a fost îndepărtat.
– Dacă virusul este încă prezent, se verifică din nou discheta. Dacă aceasta este totuși curată, se repetă pașii 2 și 3. Apoi de la prompterul A: se tastează: FDISK /MBR (va scrie noul cod în MBR la primul sector fizic al drive-lui și va suprascrie codul oricărui virus prezent.)
– O dată ce DOS returnează prompt-ul sistem, se scoate discheta boot și se pornește din nou calculatorul. Se verifică dacă sistemul este curat.
Cazuri speciale
Există viruși puțin diferiți de virușii obișnuiți de Master Boot sau Boot prin aceea că un astfel de virus nu permite accesul la hard disk decât dacă el (virusul) este activ în memorie.
Dacă virusul nu este în memorie, discul C: nu este vizibil, deci nici programul antivirus nu se poate lansa (fiind instalat pe hard disk). Pe de altă parte, dacă virusul este activ în memorie, el nu permite modificarea zonelor infectate, deci nu poate fi curățat.
Presupunând că infecția exista deja în momentul în care a fost procurat produsul antivirus (de exemplu AVX), pentru a rezolva această problemă se procedează astfel:
– Se încarcă sistemul de operare de pe hard disk-ul virusat;
– Se instalează antivirusul (chiar dacă virusul respectiv este activ în memorie);
– Se utilizează/creează o dischetă-sistem pe care se copiază anumite fișiere (în cazul de față AVXCMD.EXE, AVX.SIG și AVX.KEY);
– Se încarcă sistemul de operare pe calculatorul virusat;
– Se curațăhard-disk-ul infectat cu comanda: A:>AVXCMD C: /C;
– Se reîncarcă sistemul de operare de pe hard-disk.
C. Detectarea virușilor
Privind problema din punctul de vedere al cercetătorilor antivirus, voi trece în revistă câteva din metodele de detectare a virușilor. Aceste metode sunt perfecționate permanent, pentru a face față exploziei de clase noi de viruși:
– Scanarea este citirea fișierelor și a memoriei, precum și identificarea virușilor cunoscuți de programul antivirus respectiv;
– Devirusarea și verificarea integrității este extragerea virusului/ștergerea fișierului infectat, urmate de verificare;
– Monitorizare este operația prin care un antivirus existent în memorie verifică și semnalează sistematic eventuala apariție a unui virus.
Scanarea cunoaște două forme:
Scanarea semnăturilor
Un virus de calculatoare este un program, deci este format din instrucțiuni și date, memorate sub formă de numere. Anumite parți din el sunt unice, ceea ce înseamnă că nu vor fi găsite în alte programe. Deci, atunci când cineva va găsi o parte specifică a unui virus într-un program, el poate trage concluzia că acel calculator conține aproape sigur un virus. Partea unică utilizată pentru a descoperi un virus este deci o secvență de numere, numită semnătura virusului. Un scanner de semnături verifică toate fișierele unui disc de prezența unei semnături corespunzatoare unui virus.
Limitarea acestei metode este evidentă: numărul de viruși care trebuie descoperiți crește practic exponențial. În 1991 erau cam de douăzeci de ori mai mulți viruși decât în 1989.
Numărul de infecții raportate a sporit anual. Evident, orice virus nou determină adăugarea unei noi semnături la lista de semnături cunoscute de viruși. De aceea, orice scanner de semnături va avea nevoie de mai mult timp după fiecare actualizare a listei. Utilizatorii vor fi înclinați să nu mai folosească același scanner dacă sunt nevoiți să aștepte mai mult timp.
Alt dezavantaj este că, pentru ca un virus să poată fi găsit de către un scanner, el trebuie mai întâi să fie descoperit. Doar atunci se poate afla o semnătură și poate fi inclusă în listele de semnături ale scanner-ului.
Întrebarea care se pune, este, dacă există sau nu un număr semnificativ de viruși nedescoperiți. Atât timp cât scanarea de semnături este metoda de detecție cea mai des folosită, un virus foarte bine scris are toate șansele să ramână nedescoperit până la activare.
Pentru a identifica un virus polimorfic, el trebuie analizat și trebuie scris un algoritm specific de detecție. Acest lucru complică și mai mult munca de concepere a software-ului de scanare. La optsprezece luni de la descoperirea lui, cel mai sofisticat virus polimorfic de până acum, putea fi deja detectat, inclusiv toate formele sale, de aproximativ jumătate din scannerele existente. Acest virus se consideră că este de câteva ori mai simplu decât schema utilizată de MutationEngine (MTE).
Scanarea euristică
În loc să încerce să detecteze orice virus pe baza unei semnături unice, un scanner ar putea să caute operațiile care sunt caracteristice virușilor. Acest tip de scanare se numește euristică. Un scanner euristic conține un set de reguli care descriu operații posibile ale virușilor.
Exemple de astfel de reguli sunt:
– Programul începe cu o instrucțiune de jump (salt) aproape de sfârșitul fișierului;
– Programul interceptează o cerere de execuție pentru un anumit proces și apoi deschide fișierul programului în modul citire/scriere.
În prezent, această metodă nu este destul de sigură pentru a putea reprezenta o alternativă reală: principala problemă este raportarea de falși pozitivi și falși negativi. Un fals pozitiv apare atunci când scannerul raportează “cod suspect”, care de fapt nu face parte dintr-un virus. Dacă un scanner produce mai multi falși pozitivi, un utilizator va tinde să nu mai creadă rezultatele sale. Un fals negativ apare atunci când un scanner consideră un fișier “curat”, când de fapt el a fost infectat de un virus. În prezent, metoda de scanare euristică nu este capabilă de rate de detecție ca ale celor mai bune scannere de semnături existente și chiar dacă produce un pozitiv adevărat, mesajul pe care îl da utilizatorului nu este definitiv, ca cel pe care îl produce un scanner de semnături. Următoarele meaje se refera la același program infectat:
Scanarea euristică:
“Acest program se modifică el însuși într-un mod foarte suspect. Este fie infectat, fie un program scris foarte prost care suprascrie codul cu date.”
Scanarea de semnături:
“Infecția: nouă sau o variantă a lui Cascade”
Dacă un utilizator a folosit scanarea euristică, probabil că dupa ce a citit mesajul de mai sus va anunța operatorul de sistem. Dacă face așa, operatorul nu va fi capabil să identifice virusul sau să-l elimine; pentru asta va avea nevoie de un scanner de semnături.
Scriitorii de scannere euristice țin o listă cu programele care determină falși pozitivi, pentru ca să poată să-i recunoască drept falși negativi pe viitor. Este foarte important ca pentru un astfel de program să fie definit exact contextul în care poate să aibă loc o operație. Dacă, de exemplu: programul de DOS FORMAT ar putea să formateze, atunci un virus ar putea să-l infecteze și ar putea să conțina un cod legitim pentru a formata discul fix.
După părerea specialiștilor de la AVX, regula euristică va deveni mult mai cuprinzătoare, iar scannerele consecvent euristice vor avea o rată din ce în ce mai mare de detecție. De fapt, în prezent, scannerele euristice au o rată de detecție de 80-95%. Oricum, acest fapt nu elimină problema falșilor pozitivi: în prezent, rata acestora e de aproximativ 1-10%. Principalul avantaj al metodei de scanare euristică este abilitatea ei de a detecta virușii care nu pot fi găsiți de către scannerele de semnături. Printre aceștia ar fi virușii care folosesc mutationengine, viruși încă nedescoperiți și viruși care se scriu pe moment. Astfel, dacă metoda se îmbunătățește și rata de falși pozitivi este redusă semnificativ, ea poate fi o metodă ce se va utiliza în primul rând: după ce va raporta un program suspect, va fi folosit un scanner de semnături pentru a vedea dacă virusul poate fi identificat. Daca scannerul de semnături nu va reuși să identifice virusul, se va avea cel puțin în vedere examinarea ulterioară a programului suspect.
Verificarea integrității
Utilitarele de verificare a integrității calculează o valoare virtuală unică pentru fiecare fișier din sistem. Prima oară când se face acest lucru, aceste valori de autentificare (sau date de integritate, bazate pe sume de control), sunt memorate fie într-un fișier separat, fie în fișiere diferite, câte unul în fiecare subdirector. Odată la câtva timp, verificatorul este rulat din nou pentru a constata dacă s-au făcut sau nu schimbări asupra fișierului. Verificatorul recalculează valorile pentru fiecare fișier și le compară cu valorile memorate.
Astfel de valori pot fi calculate folosind metoda numită verificarea ciclică a redundanței (CRC). Această metodă asigură o verificare destul de sigură, cu scopul de a constata dacă un fișier a fost sau nu modificat: dacă se utilizează o metoda CRC pe 32 de biți, șansele ca o schimbare să ramână neobservată sunt de 1 la peste patru miliarde, în afara cazurilor când valoarea CRC-ului pentru un fișier este aceeași înainte ca și după ce el s-a schimbat.
O cale de a evita acest lucru, este de a încărca sistemul de pe o dischetă-sistem originală, protejată la scriere. Dacă presupunem că fișierele de pe dischetă nu sunt infectate, nici un fel de viruși stealth nu vor fi în memorie după bootare. Oricum, discul sistemului ar putea să fie infectat, fie de la producător, fie din timpul când, pentru un motiv oarecare, nu a fost protejat la scriere. Deci această strategie nu asigură o securitate perfectă, dar este foarte aproape de ea.
Un virus ar putea să infecteze un fișier în așa fel încât modalitatea de autentificare să ramână aceeași, sau ar putea să o recalculeze. De exemplu: dacă un scriitor de viruși ar fi avut acces la polinomul care a fost folosit pentru a calcula CRC-ul, acest lucru ar fi relativ ușor. Sunt vulnerabile în special valorile care sunt memorate în interiorul fișierului. O soluție ar fi generarea unui polinom aleator când este instalat software-ul antivirus.
Utilizarea unui verificator de integritate de încredere, care îl informează întotdeauna pe utilizator dacă a avut loc o schimbare, nu garantează că nici un virus nu va mai infecta niciodată sistemul. Există viruși care infectează un executabil exact în momentul când a fost schimbat. Deși verificatorul de integritate va raporta schimbarea, utilizatorul o va permite totuși.
Monitorizarea
Un program de monitorizare este invocat în timpul pornirii sistemului și rămâne rezident în memorie. El monitorizează întreruperile care sunt apelate de obicei de către viruși și cer utilizatorului să confirme orice acțiune care ar putea proveni de la un virus.
Dificultatea este cum să determini care acțiuni sunt determinate de viruși și care nu. La fel ca și scanarea euristică, acest lucru cauzează mulți falși pozitivi. Un monitor trebuie să păstreze, de asemenea, o listă de falși pozitivi și să memoreze ce are voie să facă un program și ce nu. Utilizatorul este alertat dacă un monitor detectează o acțiune cauzată de un virus. Monitorul oferă apoi posibilitatea de a renunța la acțiune sau nu. Datorită naturii tehnice a acestor acțiuni, doar un utilizator care este un foarte bun cunoscător al sistemului poate să ia o acțiune responsabilă, adică să permită sau nu operația în curs.
O serie de viruși existenți atacă anumite produse anti-virus, cu scopul de a le dezactiva sau de a le invada. Există deja viruși inteligenți, care pot detecta prezența unui program de monitorizare și se pot abține de la orice acțiuni de tip virus în timp ce monitorul este activ. În general, un virus poate manipula oricând un monitor. Pe sistemele DOS un virus poate, de asemenea, să treacă de un monitor prin apelul direct al ROM BIOS: monitorul interceptează doar apeluri de întreruperi.
3.3. Prevenirea criminalității informaticeLegea 161 din 2003
În țara noastră, legislația prevede reglementări care fac trimitere directă la modurile de prevenire a faptelor reprobabile în domeniul informatic. Aceste dispoziții sunt cuprinse în special în Legea 161/2003 (articolele 36-40).
Astfel pentru asigurarea securității sistemelor informatice și a protecției datelor personale, autoritățile și instituțiile publice cu competențe în domeniu, furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile desfășoară activități comune și programe de prevenire a criminalității informatice.
Autoritățile și instituțiile publice cu competențe în domeniu, în cooperare cu furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile promovează politici, practici, măsuri, proceduri și standarde minime de securitate a sistemelor informatice.
Autoritățile și instituțiile publice cu competențe în domeniu, în cooperare cu furnizorii de servicii, organizațiile neguvernamentale și alți reprezentanți ai societății civile organizează campanii de informare privind criminalitatea informatică și riscurile la care sunt expuși utilizatorii de sisteme informatice.
Ministerul Justiției, Ministerul Administrației și Internelor, Ministerul Comunicațiilor și Tehnologiei Informației, Serviciul Român de Informații și Serviciul de Informații Externe constituie și actualizează continuu baze de date privind criminalitatea informatică.
Institutul Național de Criminologie din subordinea Ministerului Justiției efectuează studii periodice în scopul identificării cauzelor care determină și a condițiilor ce favorizează criminalitatea informatică.
Ministerul Justiției, Ministerul Administrației și Internelor, Ministerul Comunicațiilor și Tehnologiei Informației, Serviciul Român de Informații și Serviciul de Informații Externe desfășoară programe speciale de pregătire și perfecționare a personalului cu atribuții în prevenirea și combaterea criminalității informatice.
Proprietarii sau administratorii de sisteme informatice la care accesul este interzis sau restricționat pentru anumite categorii de utilizatori au obligația de a avertiza utilizatorii cu privire la condițiile legale de acces și utilizare, precum și cu privire la consecințele juridice ale accesului fără drept la aceste sisteme informatice. Avertizarea trebuie să fie accesibilă oricărui utilizator.
3.4. Cooperarea internațională în domeniul prevenirii criminalității informatice
Legea 161/2003 prevede modalități concrete de combatere a criminalității informatice.
Astfel, autoritățile judiciare române cooperează în mod direct, în condițiile legii și cu respectarea obligațiilor decurgând din instrumentele juridice internaționale la care România este parte, cu instituțiile având atribuții similare din alte state, precum și cu organizațiile internaționale specializate în domeniu.
Cooperarea poate avea ca obiect, după caz, asistența judiciară internațională în materie penală, extrădarea, identificarea, blocarea, sechestrarea și confiscarea produselor și instrumentelor infracțiunii, desfășurarea anchetelor comune, schimbul de informații, asistența tehnică sau de altă natură pentru culegerea și analiza informațiilor, formarea personalului de specialitate, precum și alte asemenea activități.
La solicitarea autorităților competente române sau ale altor state, pe teritoriul României se pot desfășura anchete comune, în vederea prevenirii și combaterii criminalității informatice.
Anchetele comune se desfășoară în baza acordurilor bilaterale sau multilaterale încheiate de către autoritățile competente în domeniu.
Reprezentanții autorităților competente române pot participa la anchete comune desfășurate pe teritorii ale altor state, cu respectarea legislațiilor acestora.
Pentru asigurarea cooperării internaționale imediate și permanente în domeniul combaterii criminalității informatice se înființează, în cadrul Secției de Combatere a Criminalității Organizate și Antidrog din Parchetul de pe lângă Înalta Curte de Casație și Justiție, Serviciul de combatere a criminalității informatice, ca punct de contact disponibil permanent.
Serviciul de combatere a criminalității informatice are următoarele atribuții:
a) acordă asistență de specialitate și oferă date despre legislația română în materie punctelor de contact similare din alte state;
b) dispune conservarea imediată a datelor, precum și ridicarea obiectelor care conțin datele informatice sau datele referitoare la traficul informațional solicitate de o autoritate străină competentă;
c) execută sau facilitează executarea, potrivit legii, a comisiilor rogatorii solicitate în cauze privind combaterea criminalității informatice, cooperând cu toate
autoritățile române competente.
În cadrul cooperării internaționale, autoritățile străine competente pot solicita Serviciului de combatere a criminalității informatice conservarea imediată a datelor informatice ori a datelor referitoare la traficul informațional, existente într-un sistem informatic de pe teritoriul României, cu privire la care autoritatea străină urmează să formuleze o cerere de asistență judiciară internațională în materie penală.
Cererea de conservare imediată cuprinde următoarele:
a) autoritatea care solicită conservarea;
b) o scurtă prezentare a faptelor care fac obiectul urmăririi penale și încadrarea juridică a acestora;
c) datele informatice care se solicită a fi conservate;
d) orice informație disponibilă, necesară pentru identificarea deținătorului de date informatice și a localizării sistemului informatic;
e) utilitatea datelor informatice și necesitatea conservării lor;
f) intenția autorității străine de a formula o cerere de asistență judiciară internațională în materie penală.
Cererea de conservare se execută pentru o perioadă care nu poate fi mai mică de 60 de zile și este valabilă până la luarea unei decizii de către autoritățile române competente cu privire la cererea de asistență judiciară internațională în materie penală.
Dacă în executarea cererii formulate potrivit se constată că un furnizor de servicii al altui stat este în posesia unor date referitoare la traficul informațional, Serviciul de combatere a criminalității informatice va informa de îndată despre aceasta autoritatea străină solicitantă, comunicând totodată informațiile necesare identificării respectivului furnizor de servicii.
O autoritate străină competentă poate avea acces la sursele publice române de date informatice publice, fără a fi necesară formularea unei solicitări în acest sens către autoritățile române.
O autoritate străină competentă poate avea acces sau poate primi, prin intermediul unui sistem informatic existent pe teritoriul său, date informatice stocate în România, dacă are aprobarea persoanei autorizate, potrivit legii, să le pună la dispoziție prin intermediul acelui sistem informatic, fără a fi necesară formularea unei solicitări în acest sens către autoritățile române.
Autoritățile române competente pot transmite, din oficiu, autorităților străine competente, cu respectarea prevederilor legale privind protecția datelor cu caracter personal, informațiile și datele deținute, necesare pentru descoperirea infracțiunilor săvârșite prin intermediul sistemelor informatice sau pentru soluționarea de către autoritățile străine competente a cauzelor referitoare la aceste infracțiuni.
Concluzii
Criminalitatea informatică reprezintă fenomenul social caracterizat prin comiterea infracțiunilor în domeniul informaticii
Pe parcursul lucrarii este evidențiată importanța informației în dezvoltarea umanității. Noțiunea de informație face parte din viața cotidiană. Orice decizie, în orice domeniu, are la bază informații ce se obțin din prelucrarea unor date culese despre obiectul activității respective.
Calculatoarele sunt larg răspândite în întreaga lume, fiind folosite pentru: calcule matematice, rezervarea de bilete în curse aeriene și la spectacole, lansarea pe orbită a unor nave spațiale, producerea materialelor în fabrici, asamblarea de autoturisme, realizarea desenelor tehnice, efectuarea unor operații medicale. Astfel, utilizarea computerului a devenit o necesitate socială și, cu siguranță, pentru ziua de mâine el va fi o necesitate individuală. Instrumente de săvârșire a infracțiunilor digitale sunt o mulțime. Cei “porniți” pe așa ceva nu trebuie decât să aleagă. Atacurile asupra computerelor, folosind computerul devin din ce în ce mai dese și mai sofisticate, în special datorită “exploziei” numărului de utilizatori și a gradului de conectare la serviciile oferite de Internet.
Virușii și implicatiile lor, “virusul” un tip de program pentru calculator care este creat cu scopul de a distruge date sau echipamentele calculatorului. Contaminarea cu viruși se produce în doua feluri- prin intermediul dischetelor sau prin intermediul transferului de fișiere din rețea.
Reglementarea juridică a Internet-ului este deosebit de importantă.
Toate serviciile oferite de Internet s-au bucurat și se bucură de o atenție din ce în ce mai mare din partea criminalilor.
Din păcate, toate domeniile Internet-ului, atât de benefice pentru majoritatea zdrobitoare a utilizatorilor cinstiți ai acestei rețele informaționale, reprezintă, în același timp, câmpuri infracționale dintre cele mai “bănoase” pentru cei interesați să le folosească în astfel de scopuri.
Acțiunile de prevenire a criminalității informatice sunt numeroase, două feluri de antiviruși, după modul în care acționează:
1. Programe care după ce au fost lansate rămân în memoria calculatorului și supraveghează fiecare aplicație, lansată în execuție.
2. Programe care sunt lansate de către utilizator numai atunci când el dorește să verifice calculatorul.
În țara noastră, noua legislație prevede reglementări care fac trimitere directă la modurile de prevenire a faptelor reprobabile în domeniul informaticii. Aceste dispoziții sunt cuprinse în special în Legea 161/2003 (articolele 36-40).
Ministerul Justiției, Ministerul Administrației și Internelor, Ministerul Comunicațiilor și Tehnologiei Informației, Serviciul Român de Informații și Serviciul de Informații Externe desfășoară programe speciale de pregătire și perfecționare a personalului cu atribuții în prevenirea și combaterea criminalității informatice.
Autoritățile judiciare române cooperează în mod direct, în condițiile legii și cu respectarea obligațiilor decurgând din instrumentele juridice internaționale la care România este parte, cu instituțiile având atribuții similare din alte state, precum și cu organizațiile internaționale specializate în domeniu.
Bibliografie
1. Amza T., (2002),Criminologie Tratat de terotie si politică criminologică, București, Ed. Lumina Lex;
2. Cohen F., (2000),Computer Viruses, București, Ed. Teora;
3. Damian V., (2000),Frauda pe Internet are sediul în România, București, Ed. Teora;
4. Gheorghe A., Barbăneagră A., (2006),Reglementarea penală și investigarea criminalistică a infractiunilor din domeniul informatic, București, Ed.Pinguin Book;
5. Hanga V., (1991),Dreptul și calculatoarele, București, Ed. Academiei;
6. Kubika J., (2000),Posibilități de combatere a criminalității informatice și pe Internet, București, Ed. Academica;
7. Mârșa R., (2000),Manual de informatică, București, Ed.All;
8. Mârșanu R., (1998),Sisteme de calcul, București, Ed. Didactică și Pedagogică;
9. Miloșescu M., (2000),Manual de informatică, București, Ed. Teora;
10. Paraschiv T., Stoi I., Bota M., (1998),Informatică juridică, Timișoara, Ed. Augusta;
11. Patriciu V. V., Vasiu I., Patriciu Ș. G., (1999),Internetul și dreptul, București, Ed. Bic All;
12. Pețină M., Călugareanu C. M., (2005), Criptografia – Cel mai important aspect al sistemelor de management al informației, în Rolul și contribuția probelor criminalistice și medico-legale în stabilirea adevărului, București, Ed. Luceafărul;
13. Spircu T., (2000),Introducere in informatică, București, Ed. Teora;
14. Stoica I., (2001),Criza în structurile infodocumentare,Constanța, Ed. Ex Ponto;
15. TofflerA.,Toffler H., (1995),Război și antirăzboi, București, Ed. Antet;
16. Ugran A., (2001),Virușii informaticii, București, Ed. All;
17. Vasiu I., (1998),Criminalitatea informatică, București, Ed. Nemira;
18. Vasiu I., (2001),Criminalitatea informatică, București, Ed. Nemira;
19. Voicu C., Dascălu I., Stan E., (2001),Investigarea infracțiunilor digitale, București, Ed. Argument.
Legislație:
*** Legea 161 din 2003;
*** Codul Penal și Codul de procedură penală
Reviste:
Infracțiuni săvârșite cu ajutorul calculatorulu, in revista CHIP nr.11/2012;
Dobre M., Ce sunt virușii, în PC World România nr.12/2001;
Stancu E., Terorism și Internet, în revista „Pentru Patrie”, nr. 12/2000.
Anexa 1. Familiile de viruși
Dorința cu motivații obscure a unora de a produce viruși a dus, prin copierea și modificarea unor viruși existenți, la apariția unor familii de viruși ce numără de la câțiva membri până la peste o sută.
Există mai multe mijloace prin care aceste familii de viruși și-au mărit numărul, mijloace pe care le voi prezenta mai jos. Dar mai întâi câteva cuvinte despre denumirea virușilor, lucru legat destul de mult de familiile de viruși.
Denumirea virușilor:
Existența familiilor de viruși a dus la necesitatea stabilirii unor convenții de denumire a virușilor, care să pună în evidență, într-o oarecare măsură, “relațiile de rudenie între viruși”. O astfel de convenție a fost propusă în 1991 de un comitet CARO format din FridrikSkulason (editor tehnic al revistei Virus Bulletin), Alan Solomon (de la S&S International) și VesselinBontchev (pe atunci la universitatea din Hamburg).
S-a stabilit astfel ca denumirea CARO a virușilor să conțină până la patru câmpuri separate cu punct. Cele patru câmpuri pot fi urmate de ':' și apoi de un modificator.
– Primul câmp este numele familiei.
– Al doilea câmp este numele grupului în cadrul familiei (un fel de subfamilie deci).
– Al treilea câmp este varianta majoră și este de obicei reprezentat ca un număr care dă lungimea virusului.
– Al patrulea câmp este varianta minoră și este de obicei reprezentat printr-o literă mare.
Modificatorul reprezintă mecanismul folosit pentru a indica mijloacele folosite pentru modificarea virusului (de exemplu, mecanismul de criptare folosit). Un modificator poate fi el însuși reprezentat prin mai multe câmpuri separate cu punct. Pot fi eventual mai mulți modificatori separați cu “:”
1.Familii obținute prin prelucrarea codului
Prima, cea mai dificilă dar în mod ciudat cea mai răspândită cale de realizare a familiilor de viruși este cea prin care virușii au fost dezasamblați (probabil), analizați și modificați pentru a se comporta altfel.
Pentru a vedea maniera prin care pornind de la un virus s-au obținut diverse alte variante, voi lua ca exemplu virusul “Cascade” cunoscut și sub numele “FallingLetters”.
Detectat prima oară în 1987 în California, virusul se caracterizează în primul rând prin efectul său vizibil: produce căderea literelor de pe ecranul calculatorului către baza acestuia. În varianta sa inițială, fenomenul se producea doar în anii 1980-1988, lunile septembrie, octombrie și decembrie. Ca mod de funcționare, virusul infectează fișiere COM și se instalează în memorie ca un TSR.
Virusul ar fi trebuit să devină inofensiv în 1987. Dar n-a fost așa. Varianta 1701-B produce aceleași efecte, în aceleași luni, doar că în fiecare an.
Pentru că efectele nu păreau prea grave, o altă variantă, 1704 Format realizează și formatarea discului.
Cineva, care avea probabil o afecțiune pentru calculatoarele IBM PC, a creat varianta 1704 care nu mai producea efecte nedorite pe acest tip de calculatoare. În general, variantele cu lungimea de 1704 octeți au această proprietate. Altcineva însă, supărat probabil de această discriminare, a produs varianta 1704-D care, deși are 1704 octeți, afectează și calculatoarele IBM PC.
Între timp, programatorii antivirus nu au stat nici ei degeaba și au produs antiviruși corespunzători. Ca urmare, pentru a îngreuna munca lor, au apărut: 1701 Mutation care avea 2 octeți modificați (și a trebuit alt antivirus!), 17Y4, care are un singur octet modificat, 1701- YAP care are, de asemenea, modificări speciale pentru a împiedica detecția cu antivirușii realizați anterior.
Un creator de viruși mai econom a realizat Cascade 1701.E, care produce căderea unui singur caracter. În fine, varianta numita Cunning a început să cânte!
Și acestea nu sunt toate variantele virusului FallingLetter, care și-a început cariera cu circa 24 ani în urmă.
2.Familii obținute prin surse publicate de viruși
O cale surprinzătoare pentru inițierea unor familii de viruși o constituie publicarea, pur și simplu, de către diverși autori, a unor surse de viruși. Motivațiile pentru astfel de publicări sunt relativ obscure (ca multe alte aspecte ale domeniului virușilor). Autorii au vrut să tragă poate un semnal de alarmă ca să arate că virușii chiar există, au vrut să se amuze sau au vrut poate să demonstreze cât de ingenioși sunt. Greu de spus. Oricum, astfel s-a dat un imbold uluitor conceperii de viruși noi. Un exemplu celebru este virusul “Vienna”, care a ajuns să aibă peste 110 variante, fiind probabil cea mai numeroasă familie cunoscută.
Virusul Vienna a fost creat de un student din Viena (de aceea el se mai numește și Austria) și sursa sa, în BASIC și PASCAL, a fost publicată în 1987 în cartea “Computer Viruses: A HighTechDisease”, de către Burger. Prima oară a fost detectat la Moscova în 1988 în cadrul unei tabere de copii organizată de UNESCO (de aceea un alt pseudonim al virusului este UNESCO). Are lungimea de 648 octeți (de unde pseudonimul 648) și infectează fișiere COM cărora le modifică numărul de secunde al datei din director, la valoarea imposibilă de 62s (de unde pseudonimul DOS-62). La fiecare al șaselea fișier COM analizat de virus, el va face modificarea privitoare la numărul de secunde, va altera, în plus, primii cinci octeți ai fișierului cu valoarea hexa EAFOFF00F0, dar nu va infecta programul! Când se va rula programul astfel alterat, el va produce reboot-area sistemului. Dupa cum se vede, programul care va produce necazuri nu va fi unul infectat. Uneori însă și unele programe infectate pot produce blocaje de sistem când se termină.
Din numeroasa familie a virusului voi enumera câteva exemplare:
Virusul W13 (numit astfel deoarece modifică luna programului infectat în 13) are mai bine de 15 descendenți. Printre aceștia se află și virusul Plumbum-M1, originar din Polonia, care conține (neafișat) "Be carefull!!! in your computer isonepowerfullcreeper", dar care nu este dăunator, căci el doar se multiplică.
Virusul Violator, originar din Canada, are circa 12 descendenți. Unul dintre ei este virusul Baby, care conține mesajul "byby baby". Nu se știe ce mai face Baby, în afară de faptul că se înmulțește.
3.Familii obținute cu ajutorul unor instrumente specializate
Dacă publicarea surselor unor viruși pare surprinzătoare, atunci distribuirea unor instrumente de creat viruși este de-a dreptul uluitoare. Și totuși, astfel de instrumente există, și încă destul de numeroase:
»VCS – Virus Construction Set a fost realizat în 1990 de “VerbandDeutscherVirenliebhaber” (Asociația Iubitorilor Germani de Viruși)
»VCL – Virus CreationLaboratory a apărut în 1992 și a fost creat de un personaj misterios care își spune Nowhere Man (Omul de Niciunde).
»PS-MPC – Phalcon/Skism Mass Producer Code generator 1992, a fost creat de un alt personaj ciudat numit Dark Angel (Îngerul Negru).
»IVP- Instant Virus Production kit (IVP) a apărut tot în 1992 și este de fapt o variantă foarte asemănătoare cu PS-MPC. Autorul se autointitulează YAM – YoungsterAgainstMcAfee.
»G2 – Second Generation în Virus Creation a apărut în 1993 și este o tot o perfecționare a lui PS-MPC. Îmbunătățirea constă în faptul că virușii sunt generați după un algoritm de randomizare a secvențelor de instrucțiuni, astfel că practic nu se produc doi viruși identici.
Fiind vorba de niște instrumente de creare a virușilor, este evident că toți virușii creați cu un anumit instrument vor avea elemente comune, alcătuind astfel o familie.
Pentru exemplificare voi prezenta câțiva dintre virușii generați cu astfel de instrumente. Virușii generați cu VCS au toți lungimea de 1077 octeți. Inițial, VCS generează (la indicațiile utilizatorului) un fișier numit VIRUS.COM. Când acest fișier va fi executat, el va infecta unu din trei fișiere COM. După o perioadă de incubație (precizată în număr de generații), virusul declanșează efecte colaterale care constau în alterarea fișierelor CONFIG.SYS și AUTOEXEC.BAT. Din această familie fac parte: VCS, DarkSide, Paranoimia, VCS-POST, Manta.
Virușii generați cu VCL infectează, de asemenea, numai fișiere COM, dar, deoarece programul de generare are mult mai multe instrucțiuni referitoare la efectele colaterale și condițiile lor de declanșare, lungimile și caracteristicile virușilor variază. Se cunosc peste 60 viruși realizați cu această mașinărie. Există variante care virusează și fișiere EXE. Unele dintre variante lucrează destul de complicat, folosindu-se și de mecanisme de tip companion. Astfel, virusul VCL.587, raportat prima oară în iulie 1994, acționează cam în felul următor: când se execută, el creează pentru 3 fișiere EXE câte un companion COM, care conține corpul virusului. De asemenea, la un anumit moment dat afișează mesajele "Well, nobodyisgoingtogive a damnwhentheyfoundyourdead, limp body în therivernextweekwith a knifethroughyourheart. They just laughandsay… Good I hatedanyway. FAKE DARK AVENGER!!! cBeePoP / PuKeWaReZ 1992." Mesajele sunt urmate de un blocaj al sistemului.
Anexa 2. Exemple de viruși
“Win95.Tip.2475”
Este un virus rezident care funcționează numai pe Windows 95, 98, ME, dar nu pe NT sau Windows 2000. Virusul infectează fișierele EXE (PE-urile) atunci când sunt deschise.
Virusul se adaugă la sfârșitul fișierului infectat și se criptează.
Payload-ul este împrumutat de la alt virus (CIH).
Pe 26 aprilie virusul încearcă să șteargă conținutul Flash BIOS-ului.
În corpul virusului se găsește următorul text:
"Thisis PFL
32 v1.0".
X97M.Barisada.A”
Este un virus care infectează fișierele xls. Virusul inserează în fiecare fișier infectat un macro ce conține codul viral. Codul este salvat și în fișierul hjb.xls care la infectarea sistemului este creat în directorul în care Microsoft Excel ține fișierele de inițializare (XLSTART).
Pe data de 24 aprilie (dacă se deschide un fișier infectat) virusul afișează un mesaj variabil.
Dacă se răspunde cu "No", virusul afișează alt mesaj.
Dacă se răspunde cu "No", virusul va șterge datele din fișierul Excel pe care l-a infectat.
Dacă se răspunde cu "Yes", datele nu sunt șterse.
“I-Worm.Hybris”
Tip: Internet-worm, polimorfic, executabil
Alte nume: W32/Hybris.A@mm, I-Worm. Hybris.A .. I-Worm.Hybris.E
Dimensiune: variabilă
Mod de infectare: Utilizatorul primește un mail cu următorul format:
“Subject: SnowhiteandtheSevenDwarfs – The REAL story!
Body: Today, Snowhitewasturning 18. The 7 DwarfsalwayswhereveryeducatedandpolitewithSnowhite. Whentheygo out work at morning, theypromissed a *huge* surprise. Snowhitewasanxious. Suddlently, thedoor open, andtheSevenDwarfsenter…”
Atașament: scr sau joke.exe sau midgets.scr sau dwarf4you.
De departe, cel mai răspândit virus în acest moment, I-Worm.Hybris are raportate de trei ori mai multe atacuri decât următorul de pe lista din AVX "Dangerous Zone". Raportat în peste 120 de țari (primele trei sunt Marea Britanie, SUA și Austria), este declarat cel mai activ virus al lunii februarie. Una dintre manifestările cele mai enervante este "spirala hipnotică" care va apărea pe calculatorul infectat în fiecare al 59-lea minut din ora. Pentru a se apăra, virusul activează o rutină care blochează accesul pe site-urile producătorilor de antiviruși.
Hybris este un virus de tipul Internet-Worm. Se împrăștie prin mail interceptând traficul de rețea (inclusiv Internet) prin intermediul WSOCK32.DLL. Pentru a se înmulți, virusul caută adrese de e-mail valide în datele care se transmit/recepționează prin intermediul WSOCK32.DLL (pagini HTML, e-mail-uri, etc.) și se trimite la respectivele adrese sub forma unui EXE sau SCR cu nume ales aleator dintr-o listă existentă.
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Fenomenul Criminalitatii Informatice (ID: 127892)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.