Infractiunea de interceptare ilegala a unei transmisii de date informatice
de dr. Maxim DOBRINOIU
Revolutia tehnologiei informatiei a dus la schimbări fundamentale în societate si este foarte probabil ca aceste schimbări profunde să se producă în continuare.
Unul din efectele progresului tehnologic este impactul asupra evolutiei telecomunicatiilor. Comunicarea clasică, prin intermediul telefoniei, a fost depăsită de noile metode de transmitere la distantă nu numai a vocii, ci si a datelor, muzicii, fotografiilor ori filmelor. Aceste schimburi de informatii nu mai apar numai între oameni, dar si între oameni si sisteme informatice ori numai între acestea din urmă.
Folosirea postei electronice sau accesul la pagini web prin intermediul internetului constituie exemple ale acestei evolutii, modificând profund societatea noastră.
Usurinta accesului la informatii în sistemele informatice, combinată cu posibilitătile practic nelimitate de schimb sau diseminare a acestora, indiferent de granitele geografice sau nationale, a dus la o crestere explozivă a cantitătii de informatie disponibilă si a cunostintelor care pot fi extrase din aceasta.
Această evolutie a dat nastere la schimbări economice si sociale fără precedent, dar în acelasi timp foloseste si scopurilor mai putin legitime: aparitia unor noi infractiuni, ori săvârsirea infractiunilor traditionale prin intermediul noii tehnologii.
Conceptele juridice existente sunt puse la încercare de aparitia noii tehnologii. Adesea locul săvârsirii infractiunii diferă de locul unde se găseste infractorul. Printr-o simplă apăsare a unui buton acesta poate declansa catastrofe la mii de kilometri depărtare.
Dreptul trebuie să facă fată noilor provocări ridicate de dezvoltările tehnologice. Iată de ce în ultimii ani legiuitorul român a fost preocupat de elaborarea unui cadru normativ care să reglementeze accesul si desfăsurarea activitătii prin intermediul sistemelor informatice în diferite sectoare.
În prezent, legislatia penală română traversează o perioadă de tranzitie. Se preconizează o reformă penală de amploare, ce presupune modificări ale structurii Codului Penal român. În ceea ce priveste criminalitatea informatică, în noul Cod Penal, preconizat a intra în vigoare în septembrie 2006, a fost introdus un titlu distinct, Titlul X, denumit „Delicte contra datelor si sistemelor informatice”, în care sunt preluate, cu unele modificări, infractiunile din Legea 161/2003. Întrucât noile prevederi sunt mai cuprinzătoare si respectă dispozitiile Conventiei Europene asupra Criminalitătii Informatice din 2001, ratificată de tara noastră, am considerat oportun să fac referiri în completare.
În cuprinsul Legii nr. 161/2003 privind unele măsuri pentru asigurarea transparentei si exercitarea demnitătilor publice, a functiilor publice si mediul de afaceri, prevenirea si sanctionarea coruptiei (1), găsim definite trei categorii de infractiuni, astfel:
a) infractiuni contra confidentialitătii si integritătii datelor si sistemelor informatice:
- infractiunea de acces ilegal la un sistem informatic;
- infractiunea de interceptare ilegală a unei transmisii de date informatice;
- infractiunea de alterare a integritătii datelor informatice;
- infractiunea de perturbare a functionării sistemelor informatice;
- infractiunea de a realiza operatiuni ilegale cu dispozitive sau programe informatice.
b) infractiuni informatice:
- infractiunea de fals informatic;
- infractiunea de fraudă informatică.
c) pornografia infantilă prin intermediul sistemelor informatice.
În cele ce urmează vom prezenta o analiză a infractiunii de interceptarea ilegală a unei transmisii de date informatice:
Astfel, potrivit art.43 alin. 1) din Legea nr.161/2003 constituie infractiune „interceptarea, fără drept, a unei transmisii de date informatice care nu este publică si care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic”.
Constituie o modalitate asimilată infractiunii, potrivit alin. 2), „interceptarea, fără drept, a unei emisii electromagnetice provenită dintr-un sistem informatic ce contine date informatice care nu sunt publice”.
Obiectul juridic special al infractiunii este reprezentat de relatiile sociale referitoare la telecomunicatii si comunicatiile informatice, în general, respectiv la comunicatiile de date (informatice) care nu sunt publice, în special.
Obiectul material este reprezentat de fluxul de pachete informatice (succesiunea de biti „0” si „1”, adică succesiunea de impulsuri electrice rezultată din variatia controlată a tensiunii), care sunt transportate de la un echipament de calcul către altul sau în interiorul aceluiasi sistem informatic, si spre care se îndreaptă interesul făptuitorului.
În mod particular, obiectul material poate fi chiar suportul tehnic prin care se realizează comunicatiile de date între echipamente, pornind de la port-urile de iesire ale statiilor de lucru (conectorii plăcilor de retea sau telefonici ai modem-urilor) si continuând cu cablurile de transport (de retea sau telefonice), casetele de conexiuni (în care se găsesc comutatoarele de retea – switch-urile), distribuitorii de retea, router-ele etc.).
În cazul alin. 2), obiectul material este constituit din energia (emisia) electromagnetică, ce radiază sau se găseste în formă reziduală ori necontrolată (necontrolabilă) în imediata vecinătate a echipamentelor electronice care alcătuiesc sistemul informatic vizat. Astfel, emisia electromagnetică din jurul unui echipament (imprimantă, monitor, cablu etc.) nu va putea fi considerată drept obiect material dacă, în momentul actiunii de interceptare (captare), acesta nu era conectat la un sistem informatic în conditiile alin. 2).
Subiect activ al infractiunii analizate poate fi orice persoană responsabilă penal. În general, acesta este comun tuturor infractiunilor informatice. În cazul de fată, făptuitorul trebuie neapărat să folosească (în mod direct) anumite echipamente electronice special destinate interceptărilor în mediul IT, fără ca detinerea unor cunostinte specifice în domeniu să aibă vreo relevantă.
În particular, se pune problema cine ar fi aceste persoane interesate de urmărirea sau captarea transmisiilor electronice? Unii pot fi persoane pe care „victima” le cunoaste, dar care au interesul de a o urmări. De exemplu, un sef (prin intermediul administratorului de retea) ar putea fi interesat să afle dacă un subordonat transmite documente clasificate prin sistemul email al companiei. Un angajator ar dori să se asigure că angajatul nu este implicat online în actiuni care ar putea să lanseze un proces de hărtuire sexuală ori fraudă informatică sau că nu îsi pierde timpul navigând pe Internet etc.
De asemenea, guvernul este foarte interesat să urmărească traseele online ale infractorilor sau suspectilor în numele conceptului de combatere a criminalitătii organizate, antidrog sau sigurantă natională. Sistemul Carnivore poate fi un foarte bun exemplu în acest sens.
Nu în ultimul rând, crackerii (hackerii malitiosi) doresc să fure identitatea victimelor, să le vandalizeze datele ori să le stânjenească trimitând în numele lor mesaje nepotrivite diferitelor persoane.
Participatia este posibilă în toate formele sale: coautorat, instigare sau complicitate.
Subiect pasiv va fi persoana fizică sau juridică detinătoare de drept a sistemului informatic ori a componentelor de legătură (transmisiuni) între două sau mai multe sisteme informatice. În mod adiacent, subiect pasiv va fi detinătorul de drept al datelor informatice interceptate sau persoana vizată în mod direct de prelucrarea automată a acestor date. (2)
Latura obiectivă. Elementul material. Prin „interceptare” (în sens tehnic) se întelege actiunea de a capta, cu ajutorul unui dispozitiv electronic special fabricat în acest scop sau a unui computer, impulsurile electrice, variatiile de tensiune sau emisiile electromagnetice care tranzitează în interiorul unui sistem informatic sau se manifestă ca efect al functionării acestuia ori se află pe traseul de legătură dintre două sau mai multe sisteme informatice care comunică.
Interceptarea pachetelor reprezintă una dintre infractiunile cele mai dificil de realizat, si este, de asemenea, o amenintare serioasă la adresa comunicatiilor prin Internet. Fiecare pachet trimis prin Internet poate tranzita un număr mare de calculatoare si retele înainte de a ajunge la destinatie. Prin intermediul unui interceptor de pachete, hackerii pot intercepta pachetele de date (inclusiv cele cu mesaje de login, transmisii ale identificatorilor numerici ai cărtilor de credit, pachete email etc.) care călătoresc între diferite locatii din Internet. După ce interceptează un pachet, hackerul îl poate deschide si poate fura numele host-ului, al utilizatorului, precum si parola asociată pachetului. Hackerii folosesc unul dintre cele mai comune tipuri de interceptări de pachete înaintea unor atacuri IP. Expertii în materie de securitate denumesc deseori interceptarea pachetelor ca „spionaj în retea” (network snooping) sau „supraveghere ascunsă” (promiscous monitoring).
Pentru a preveni atacurile prin interceptare asupra retelelor distribuite, administratorii de sistem folosesc în general scheme de identificare, cum ar fi un sistem cu parolă unică (one-time password systems) sau un sistem de autentificare prin tichete (cum este Kerberos). Administratorii pot folosi o varietate de sisteme cu parolă unică. De exemplu, unele sisteme de acest gen furnizează unui utilizator următoarea parolă de intrare de fiecare dată când utilizatorul iese din sistem. Desi atât sistemele cu parolă unică, cât si sistemele Kerberos pot îngreuna sensibil interceptarea unei retele nesecurizate pentru orice hacker, ambele metode sunt expuse la atacuri active dacă nu criptează si nu semnează fluxul de date.
În general, un dispozitiv sau calculator intrus se poate plasa în orice punct al unui sistem informatic sau al unei retele de calculatoare, având ca obiectiv interceptarea traficului de mesaje.
Atacurile care pot fi executate sunt de două feluri (3):
- atacuri pasive, în cadrul cărora intrusul „observă” informatia care trece prin canal, fără să interfereze cu fluxul sau continutul mesajelor;
- atacuri active, în care intrusul se angajează fie în furtul mesajelor, fie în modificarea, reluarea sau inserarea de mesaje false etc.
A. Cel mai simplu atac Hacker (4)
Fiecare calculator dintr-o retea are o adresă IP unică. În cazul unei conexiuni, calculatorul atasează fiecărui pachet trimis adresa IP de destinatie si un număr unic, denumit „număr de secventă”. În cadrul unei conexiuni TCP/IP, calculatorul receptor, la rândul său, acceptă numai pachete cu adrese IP si numere de secventă corecte. De asemenea, multe dispozitive de securitate, inclusiv router-ele, permit transmisiunea în cadrul unei retele numai spre si dinspre calculatoarele cu anumite adrese IP. Atacul TCP/IP cu predictia numărului de secventă foloseste modalitatea de adresare a calculatoarelor în retea si schimburile de pachete pentru a obtine acces într-o retea.
În esentă, hackerul efectuează atacul TCP/IP cu predictia numărului de secventă în două etape. În prima etapă, hackerul încearcă să determine adresa IP a serverului, fie prin interceptarea pachetelor din Internet încercând în ordine unele numere de host, fie prin conectarea la un site printr-un browser Web si urmărirea adresei de IP a site-ului în bara de stare. Deoarece hackerul stie că alte calculatoare din retea au adrese IP identice cu adresa serverului pe unele portiuni, acesta va simula un număr de adresă IP pentru a evita router-ul si a accesa sistemul ca un utilizator intern. De exemplu, dacă un sistem are adresa IP 192.0.0.15, hackerul (care stie că o retea de clasă C poate contine maximum 256 de calculatoare) va încerca să ghicească toate numerele de adresă reprezentate de ultimul octet din serie. După ce începe să încerce adresele de retea, hackerul trece la monitorizarea numerelor de secventă ale pachetelor transferate de la un calculator la altul în retea. După supravegherea transmisiunilor, hackerul va încerca să anticipeze următorul număr de secventă pe care îl va genera serverul, iar apoi „simulează” acel număr, plasându-se efectiv între utilizator si server. Deoarece dispune, de asemenea, de adresa IP a serverului, hackerul va genera pachete cu numere de secventă si adresele IP corecte care îi permit interceptarea transmisiunilor cu utilizatorul. După ce hackerul a dobândit acces intern la sistem prin predictia numărului de secventă, acesta poate accesa orice informatie transmisă serverului de către sistemul de comunicatie, inclusiv fisierele-parolă, nume de login, date confidentiale sau orice alte informatii transmise prin retea. De obicei, un hacker va folosi predictia numărului de secventă pentru a pregăti un atac mai puternic asupra serverului sau pentru a-si asigura o bază de unde să-si lanseze atacurile asupra unui server apropiat din retea.
B. atacurile active prin desincronizare
O conexiune TCP impune un schimb sincronizat de pachete. De fapt, dacă din anumite motive numerele de secventă ale pachetelor nu sunt cele asteptate de către calculatorul receptor, acesta va refuza (sau ignora) pachetul si va astepta pachetul cu numărul corect. Hackerul poate exploata cererea de număr de secventă a protocolului TCP pentru interceptarea conexiunilor.
Pentru a ataca un sistem folosind atacurile prin desincronizare, hackerul induce sau fortează ambele extremităti ale unei conexiuni TCP într-o stare desincronizată, astfel încât aceste sisteme să nu mai poată efectua schimburi de date. Apoi, hackerul foloseste un host tert (adică un alt calculator conectat la mediu fizic care transportă pachetele TCP) pentru a intercepta pachetele reale si pentru a crea pachete de înlocuire acceptabile pentru ambele calculatoare din conexiunea originală. Pachetele generate de host-ul tert mimează pachetele reale pe care sistemele aflate în conexiune le-ar fi schimbat în mod normal.
C. deturnarea prin postsincronizare
Să presupunem, pentru moment, că hackerul poate asculta orice pachet schimbat între două sisteme care formează o conexiune TCP. În continuare, să presupunem că după interceptarea fiecărui pachet, hackerul poate falsifica orice tip de pachet IP doreste si să înlocuiască originalul. Pachetul falsificat al hackerului îi permite să se dea drept client sau drept server (iar mai multe pachete falsificate permit hackerului să folosească ambele identităti). Dacă hackerul este capabil să pună în aplicare toate aceste consideratii, atunci acesta poate determina toate transmisiunile client-server să devină transmisiuni client-hacker, respectiv server-hacker.
D. furtuna TCP ACK
Atacul de deturnare detaliat anterior are un singur dezavantaj de bază, în sensul că generează pachete TCP ACK (de confirmare) în număr extrem de mare. Specialistii retelelor numesc aceste mari cantităti de pachete ACK furtună TCP ACK. Când un host (client sau server) primeste un pachet inacceptabil va confirma pachetul prin trimiterea numărului de secventă asteptat înapoi către generatorul pachetului. Acesta este un pachet de conformare sau pachet TCP ACK.
În cazul unui atac TCP activ, primul pachet TCP ACK include propriul număr de secventă al serverului. Calculatorul-client nu va accepta acest pachet de conformare, deoarece clientul nu a trimis la început pachetul cu cererea modificată. Ca atare, clientul îsi generează propriul pachet de confirmare, care, la rândul său, determină serverul să genereze un alt pachet de confirmare etc., creând ceea ce se numeste, cel putin în teorie, un ciclu infinit pentru fiecare pachet de date trimis.
Deoarece pachetele de confirmare nu transportă date, emitătorul pachetului ACK nu retransmite pachetul dacă receptorul îl pierde. Cu alte cuvinte, dacă un sistem pierde un pachet în ciclul de furtună ACK, ciclul se încheie. Din fericire, TCP foloseste IP pe un nivel de retea nesigur. Cu o rată de pierdere a pachetelor nenulă, nivelul de retea încheie rapid ciclul. De asemenea, cu cât mai multe pachete sunt pierdute în retea, cu atât mai scurtă este durata furtunii ACK. În plus, ciclurile ACK sunt cu autoreglare, astfel, cu cât hackerul creează mai multe cicluri, cu atât mai mult creste traficul primit de client si de server, ceea ce determină o crestere a congestiei, deci a pierderilor de pachete si, implicit, a ciclurilor încheiate.
Interceptarea informatică se poate realiza, în mod direct, prin interactiunea făptuitorului cu componentele externe ale sistemului informatic (cabluri, comutatoare, routere, computere etc.). Spre exemplu, comunicatia între două computere într-o retea locală LAN (Local Area Network) a unei institutii poate fi interceptată de un intrus după ce acesta se conectează fizic la traseul de cablu al retelei vizate, prin sectionarea firelor si legarea acestora (în paralel) cu cablul conectat la propriul computer unde va receptiona fluxul de date informatice.
Indirect sau de la distantă, interceptarea poate să ia forma utilizării unor aplicatii specializate (asa-numitele sniffere – „a mirosi”) care sunt capabile să monitorizeze traficul pachetelor într-o retea si să salveze datele de interes în cadrul unor fisiere de tip log. În general, sniffer-ele sunt utilizate de administratorii de retea sau de Internet Service Provideri (ISP) pentru realizarea analizei de trafic în cadrul unei retele în scop tehnic, de mentenantă. Totodată, acestea sunt folosite de către administratorii retelelor unor institutii pentru monitorizarea comunicatiilor (interne sau externe) ale angajatilor, adesea pentru a preîntâmpina scurgerile de informatii, desfăsurarea de activităti ilegale în cadrul sistemului (de ex. descărcarea de programe supuse protectiei copyright-ului, expunerea de materiale cu continut pornografic infantil etc.) ori chiar pentru ca managementul să aibă o reprezentare cât mai exactă a timpului petrecut de subordonati în retea ori în Internet.
E. Sistemul Carnivore (5)
Specialistii sunt la curent cu existenta aplicatiei Carnivore, un program controversat dezvoltat de către Biroul Federal de Investigatii al SUA (FBI), menit să faciliteze agentiei accesul la activitătile informatice desfăsurate de potentialii infractori.
Desi proiectul Carnivore a fost abandonat de FBI în favoarea unor sisteme informatice integrate comerciale din ianuarie 2005, programul ce promitea odată reînnoirea influentei specifice a Biroului în lumea comunicatiilor si tehnologiei informatiilor continuă să stârnească curiozitatea si să alarmeze societatea civilă, date fiind structura si modalitătile sale de operare.
În ceea ce priveste evolutia proiectului, Carnivore a reprezentat cea de-a treia generatie de programe si aplicatii de supraveghere electronică folosite de FBI.
Informatii despre prima versiune nu au fost niciodată date publicitătii, multi specialisti sustin că aceasta stă la baza unui program comercial actual denumit Etherpeek.
În 1997, FBI a dezvoltat si pus în serviciu o a doua generatie de programe de interceptare si monitorizare IT sub titulatura Omnivore. Potrivit unor date furnizate chiar de FBI, Omnivore a fost creat în special pentru supravegherea traficului de mesaje de postă electronică ce ajungeau (rutate) printr-un anumit ISP (Internet Service Provider) si captarea acestora în functie de emitent (sursă). Omnivore a fost abandonat la sfârsitul lui 1999 în favoarea unui alt sistem, mult mai complex, intitulat DragonWare Suite, care permitea FBI să reconstruiască (recompună, reconfigureze) mesaje de e-mail, fisiere descărcate din Internet si chiar pagini Web.
Suita de programe DragonWare era alcătuită din trei părti:
- Carnivore - un program ce rula pe o platformă Windows NT sau 2000 în scopul captării de informatii;
- Packeteer - aplicatie de reasamblare a pachetelor de retea captate sau a elementelor unor pagini de Web;
- Coolminer - aplicatie de analiză a informatiilor extrase (conform unor algoritmi sau criterii de căutare) din continutul mesajelor sau pachetelor de date captate (monitorizate).
Pe baza acestor succinte informatii furnizate de FBI s-a putut, initial, contura concluzia că programul Carnivore nu era altceva decât un Packet Sniffer (Interceptor de pachete de retea) mai evoluat.
Tehnic, Packet Sniffing-ul este o operatiune larg răspândită printre administratorii de retele, care o folosesc în scopul de a monitoriza activitatea echipamentelor, a traficului derulat sau pentru a executa programe speciale de diagnostic sau a trata diferite probleme. Un sniffer este un program care poate „observa” si analiza absolut toate pachetele de date care tranzitează reteaua la care este conectat. În mod normal, un computer este „interesat” doar de pachetele de date care îl privesc sau care îi sunt adresate si ignoră restul traficului din retea. Când o aplicatie (sau un dispozitiv) Packet Sniffer rulează pe un computer, interfata acestuia cu reteaua este automat setată pe modul „amestecat” (promiscous), ceea ce înseamnă că va capta si analiza fiecare dată sau informatie tranzitată. Adesea, cantitatea de informatii (pachete de date) tranzitată printr-un calculator conectat la o retea depinde de localizarea echipamentului în cadrul retelei respective.
Astfel, un „client” izolat va putea „vedea” doar un mic segment din datele traficate în cadrul retelei, în timp ce un server de domeniu principal va putea capta totul.
Un Packet Sniffer poate fi setat să opereze în două moduri:
- nefiltrant - captează absolut toate pachetele de date;
- filtrant - captează doar acele pachete care contin date de interes.
Astfel, pachetele interceptate care au în continut datele căutate de sniffer, vor fi copiate si livrate imediat înapoi în trafic. În functie de configurare, sniffer-ul va copia datele în memorie sau direct pe Hard Disk-ul computerului pe care rulează.
Când un utilizator se conectează la Internet, în mod obligatoriu el se alătură unei retele coordonate de un ISP. Această retea va fi conectată la alte retele deservite de alti ISP-isti. Un eventual sniffer care ar rula pe serverele ISP-ului de bază va putea monitoriza activitatea utilizatorului astfel: ce pagini au fost vizitate si ce continut a fost vizualizat pe respectivele pagini, căror adrese le-a fost expediat un mesaj de e-mail, continutul mesajelor transmise de către utilizator, continutul descărcat din Internet, dacă se folosesc în Internet aplicatii audio-video sau de telefonie si cine vizitează pagina de Web a utilizatorului.
În ceea ce priveste modul de operare al aplicatiei Carnivore, în general, FBI-ul obtine prin mijloace si metode specifice date si informatii privind eventuala activitate infractională a unei persoane. Pe baza acestora, agentia obtine adesea mandat pentru începerea supravegherii operative a persoanei în cauză, în principal a comunicatiilor. O componentă importantă a comunicatiilor unei persoane o reprezintă astăzi Internetul. Cele mai obisnuite mandate emise prevăd posibilitatea ca FBI să procedeze la interceptarea si copierea continutului mesajelor de postă electronică.
Folosit în materia interceptărilor telefonice, termenul de „ascultarea continutului” (content-wiretap) se referă la faptul că tot continutul pachetelor va fi captat si folosit. O altă modalitate este „interceptează si urmăreste” (trap-and-trace), astfel că FBI va putea să capteze doar informatiile privind destinatia unui anumit mesaj de e-mail sau adresa paginii de Web pe care suspectul a vizitat-o fără a putea lua la cunostintă cu privire la continutul comunicărilor.
Varianta inversă se numeste pen register si determină adresele de la care au fost trimise mesaje de e-mail către adresa suspectului sau cine anume (IP-urile) a vizitat un anumit site Web.
După obtinerea informatiilor din interceptări, conform mandatului emis de instantă, FBI contactează ISP-ul în reteaua căruia activează suspectul si solicită copii back-up ale operatiunilor derulate de acesta online. În mod normal, un ISP nu păstrează informatii despre activitătile online ale clientilor ca parte a rutinei sale de back-up. Pentru a elimina acest „neajuns”, FBI procedează la „plantarea” unui computer pe care rulează aplicatia Carnivore. În esentă, echipamentul este compus din: sistem Pentium III cu sistem de operare Windows NT/2000, cu 128 Mb de RAM; software de comunicatii; aplicatie scrisă în C++ care lucrează în conjunctie cu programul de comunicatii pentru interceptarea si filtrarea pachetelor de date; un sistem de protectie cu parolă a sistemului; un „dispozitiv de izolare în retea”, care va face aplicatia Carnivore invizibilă în retea (pentru a preîntâmpina orice atac asupra sistemului din afară); medii externe de stocare.
FBI va configura aplicatia Carnivore prin furnizarea adresei IP a suspectului, astfel încât programul va intercepta numai traficul înspre sau dinspre această adresă si va ignora celelalte pachete de date.
Copierea pachetelor de interes de la/către computerul suspectului se va face fără afectarea fluxului de pachete în retea. Odată pachetele copiate, acestea ajung la un program de filtrare care va retine doar pachetele corespunzătoare mesajelor e-mail. Filtrul este în măsură să determine continutul pachetelor pe baza protocolului SMTP.
Acest tip de supraveghere electronică nu poate dura mai mult de o lună fără un ordin expres al instantei. De îndată ce au fost strânse datele necesare, sistemul este debransat de la reteaua ISP.
Ulterior, datele astfel captate si stocate sunt procesate corespunzător cu ajutorul programelor Packeter si Coolminer. Dacă rezultatul furnizează destule dovezi, FBI le va putea folosi în cazul penal instrumentat împotriva suspectului în cauză.
La vremea dezvoltării aplicatiei, FBI folosea Carnivore numai în cazuri bine determinate, cu relevantă în lupta împotriva terorismului, pornografiei infantile si exploatării copiilor, spionajului, războiului informational si fraudelor cibernetice.
Bineînteles, au fost (si încă sunt) si aspecte care au ridicat anumite semne de întrebare asupra legalitătii folosirii sistemului Carnivore din punctul de vedere al:
- intimitătii - oamenii au perceput utilizarea aplicatiei drept o „violare gravă a vietii private a unei persoane”. În fapt, legalitatea interceptării este pe deplin asigurată de mandatul sau ordinul instantei de judecată, singura în măsură să analizeze gravitatea faptelor imputabile unei persoane.
- reglementării - a existat o temere generală cu privire la posibilitatea ca sistemul să permită Guvernului un control strict asupra resurselor Internet. Însă, pentru ca acest lucru să fie posibil, ar fi fost necesară o infrastructură gigantică, cu puncte de lucru la fiecare ISP din lume, ceea ce este aproape imposibil.
- libertatea de exprimare - oamenii trăiesc cu impresia că acest gen de instrumente de interceptare sunt programate să filtreze continuturile tuturor mesajelor de postă electronică ce ar contine cuvinte comune, nu doar a acelora care ar putea reprezenta dovezi privind implicarea în activităti infractionale, ceea ce ar însemna o îngrădire a libertătii de opinie sau de exprimare.
- Echelon - multi specialisti au făcut adesea referire la utilitarul Carnivore ca făcând parte din sistemul integrat Echelon, dezvoltat de Agentia pentru Securitate Natională a SUA (NSA) - specializată în spionaj electronic si protectie a telecomunicatiilor guvernamentale americane.
F. Banala tastatură - aliata spionilor (6)
Pentru a descoperi ce se află într-un sistem informatic, persoanele interesate au la dispozitie o nouă metodă diabolic de simplă, căreia nu-i rezistă niciun Firewall, antivirus sau alt program de securitate informatică. În esentă, se pot decoda sunetele produse de butoanele tastaturii.
Cercetătorii de la Berkley, Universitatea California, au descoperit că o simplă înregistrare a sunetelor produse de tastatură poate fi folosită pentru descifrarea textului scris de utilizator, indiferent dacă este o parolă, o scrisoare de dragoste sau un secret de stat.
Expertii în computere ai renumitei institutii academice au înregistrat timp de 10 minute sunetele produse de o tastatură. Fisierul audio rezultat a fost introdus într-un computer si „decriptat” cu ajutorul unui software special. Au fost recuperate cu exactitate 96% din caracterele scrise de utilizator. Asta înseamnă că textul a putut fi dedus fără nicio problemă, chiar dacă mai lipsea câte o literă la câteva cuvinte.
Cercetări asemănătoare au fost făcute de doi experti ai IBM: Rakesh Agrawal si Dimitri Asonov. Acestia au reusit sa descifreze 80% din text. În cazul IBM, studiul a fost făcut în cazul unei singure persoane, care a utilizat aceeasi tastatură, cu ajutorul unui algoritm bazat pe un text cunoscut si a unei mostre de sunet corespunzătoare.
Spre deosebire de studiile IBM, programul de decriptare folosit de cercetătorii de la Berkley descifrează scrisul indiferent de stilul de tastare folosit de diversi utilizatori si filtrează fără probleme zgomotele de fond din încăpere. (7)
Aceasta înseamnă că utilizatorul nu prea are la dispozitie metode de protectie, în caz că cineva se hotărăste să-i „asculte” sunetele tastaturii de la distantă. Microfoanele directionale capabile să înregistreze o soaptă de la sute de metri distantă există pe piată de zeci de ani. De asemenea, aparate cu laser care înregistrează sunetele dintr-o încăpere analizând vibratia ferestrelor.
Ultimul refugiu al secretelor rămâne camera izolată fonic, fără ferestre.
O altă metodă de interceptare indirectă sau de la distantă o constituie folosirea programelor tip keylogger, adware, spyware. Programele de tip adware si spyware se încarcă automat în PC-ul personal în momentul vizitării unei anumite pagini Web. Scopul lor este de a înregistra „traseul online” si transmite înapoi celor care le-au trimis (de obicei este vorba despre companii care fac comert prin Internet, firme de marketing si publicitate) date si informatii despre preferintele utilizatorului în materie de pagini Web, continut, tematică etc. (8) Un program keylogger este o aplicatie specializată care înregistrează fiecare tastă pe care o apasă un utilizator si trimite informatiile către persoana care a instalat programul. Acest software poate extrage informatii extrem de folositoare pentru un hacker, cum ar fi numărul cărtii de credit, rapoarte ale companiei, informatii secrete dintr-o institutie sau date cu caracter financiar.
Tot în aceeasi gamă există si programele de monitorizare a email-urilor (Websense, MIMEsweeper, FastTrack etc.).
În alin.2) este prevăzută o modalitate asimilată de săvârsire a infractiunii, respectiv interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic ce contine date informatice care nu sunt publice. Aceasta presupune captarea emisiilor parazite ori a câmpurilor electromagnetice prezente (pe o anumită distantă determinată stiintific) în jurul oricărui dispozitiv tranzitat de impulsuri electrice sau electromagnetice. Astăzi este de notorietate modalitatea modernă prin care persoane interesate captează, cu ajutorul unor dispozitive speciale, radiatiile electromagnetice existente în imediata vecinătate a monitorului computerului tintă, pe care le „traduc” transformându-le în impulsuri electrice si, mai apoi, în caractere alfanumerice. Tehnologia de protectie a sistemelor de calcul împotriva captării emisiilor se numeste TEMPEST - Transient ElectroMagnetic Pulse Emanation STandardizing.
G. Securitatea radiatiilor (9)
Toate echipamentele are functionează pe bază de energie electrică produc energie electrică, emisă prin semnale electromagnetice necontrolabile, transmisibile prin aer, ca undele radio, sau de-a lungul firelor sau materialelor conductibile, ca orice curent electric. Este în natura lucrurilor un astfel de fenomen si nimic nu îl poate stopa. Astfel de radiatii de la calculatoare sau de la cablurile de comunicatii pot fi purtătoare de informatii, ce pot fi extrase de către persoane interesate din afară, după o analiză mai specială.
Protectia echipamentelor de prelucrare automată a datelor utilizate pentru informatiile speciale împotriva riscului generat de propriile lor radiatii este una dintre cele mai dificile probleme puse în fata agentiilor specializate. Ele nu sunt de competenta utilizatorilor finali si nici a personalului cu atributii în cadrul sistemelor, dar este foarte important ca acestia să cunoască si să constientizeze efectele unor astfel de procese.
Zgomotele care însotesc functionarea sistemelor informatice se numesc „radiatii acustice”. În paralel cu acestea, echipamentele electronice si cele electromagnetice mai furnizează în mediul înconjurător si „radiatii electrice sau electromagnetice”.
În general, complexitatea radiatiilor emise de echipamente depinde de felul lor si de mediul în care se utilizează:
a) echipamentele periferice, în special imprimantele si aparatura video, emit semnale puternice, fără zgomote, ce pot fi usor „percepute” de la distantă;
b) semnalele produse de unitatea centrală de prelucrare sunt mult mai complexe si mai greu de descifrat. De asemenea, zonele aglomerate cu multe echipamente video si imprimante, cum sunt oficiile de calcul, produc semnale sesizabile mai greu, dar nu imposibil de descifrat, prin „citirea” numai a unora dintre ele, cele care prezintă interes pentru atacatori;
c) modul în care un echipament anume produce radiatii depinde, în mare parte, de măsurile de protectie încorporate în fazele de proiectare, fabricatie, instalare si utilizare ale respectivului echipament;
d) de regulă, radiatiile de la un echipament de birou pot fi detectate de la o distantă de până la 100 de metri, desi există si numeroase exceptii.
Pentru preîntâmpinarea sau diminuarea pericolelor radiatiilor s-au realizat echipamente speciale, despre care literatura de specialitate are următoarele păreri:
- există o mare preocupare pe linia promovării si comercializării aparaturii de distrugere a radiatiilor necontrolate tip TEMPEST. În Marea Britanie a fost mediatizată descoperirea unui cercetător care a demonstrat că oricine dispune de un aparat TV cu anumite modificări ar putea citi ecranul unui computer de la o distantă de 15 km;
- semnalele interceptate sunt numai cele care se transmit la un moment dat. Pentru detectarea datelor cu regim special, cum ar fi cazul parolelor, trebuie să fie urmărite toate radiatiile, ceea ce presupune un mare consum de timp si de resurse;
- pentru a se obtine un semnal corect si util, e nevoie ca atacatorii să se situeze la o distantă optimă, care să le permită efectuarea cu succes a interceptării. Ori, în cazul unui microbuz străin stationat în apropierea unui centru de calcul, practic în zona de securitate, oricine poate să-i sesizeze prezenta si să-i anunte pe cei în drept. Echipamentele cu gabarit mai redus sunt mai putin performante, iar cele portabile au o utilitate foarte mică.
- fenomenul captării radiatiilor necontrolate nu este foarte lesne de realizat. Acest lucru presupune înalte cunostinte tehnice, echipamente scumpe, timp si sansă, dar si expunerea persoanei care interceptează la un mare risc (în cazul interceptării ilegale).
Există un număr substantial de măsuri, relativ ieftine, de diminuare a pericolului răspândirii datelor prin intermediul radiatiilor necontrolate. Dintre ele amintim:
a) zonele sterile - se recomandă crearea unor zone sterile în jurul echipamentelor de prelucrare automată a datelor, în special al monitoarelor si imprimantelor, prin îndepărtarea tuturor corpurilor metalice din apropierea lor. Nu se recomandă folosirea birourilor metalice, nici măcar cu picioare din metal si nici cosuri de gunoi metalice;
b) telefoanele - monitoarele sunt veritabile surse de informatii, iar pentru bunul mers al operării, alături de ele se plasează telefonul, numai că, în timp ce datele se afisează pe ecran, telefonul, chiar dacă este în repaus, poate transmite datele oriunde în afara organizatiei. De aceea, pe cât posibil, toate componentele telefonului, inclusiv cablurile, să fie tinute la distantă de echipamentele ce prelucrează date speciale;
c) curentii filtranti - radiatiile necontrolate pot fi diminuate prin transmiterea în cablu a unor curenti filtranti;
d) accesul - un rol important va reveni controlului accesului în organizatie al persoanelor sau al prezentei vehiculelor în apropierea centrului de prelucrare a datelor;
a) amplasarea echipamentelor în birouri - este recomandat a se evita plasarea echipamentelor de calcul lângă ferestre, monitoarele se vor pozitiona cu ecranele spre interiorul camerei, desi radiatiile necontrolate pot fi oricum interceptabile. De asemenea, se vor plasa toate componentele fizice în centrul sălii sau clădirii, pentru a beneficia de rolul protector al zidurilor si altor materiale izolatoare;
b) echipamentele moderne - seturile actuale de echipamente electronice de calcul tind să dea mai putine radiatii în afară decât vechile modele. Preocupările au fost concentrate spre protejarea operatorilor de a nu mai fi expusi radiatiilor, ceea ce a dus implicit la diminuarea radiatiilor necontrolate;
c) curătirea ecranelor - scurgerile de date pot avea loc doar atunci când ele sunt afisate pe ecran sau în timpul procesului de imprimare. Personalul va trebui instruit să steargă ecranul după ce nu mai are nevoie de datele afisate si, de asemenea, nu se recomandă listarea de probă de prea multe ori a documentelor ce contin date secrete;
d) derutarea - datele importante pot fi protejate prin crearea unui val de scurgeri de informatii nesemnificative, ceea ce se concretizează prin aglomerarea, în jurul pieselor de bază ale centrului de prelucrare automată a datelor, a unor echipamente care să prelucreze date lipsite de importantă, dar care vor fi interceptate de inamicii sistemului.
O cerintă a existentei infractiunii este aceea ca făptuitorul să fi actionat fără drept. Actul va fi legitim dacă persoana care procedează la interceptare:
- are dreptul de a dispune de datele cuprinse în pachetele de transmisie (este cazul proprietarilor sau detinătorilor sistemelor informatice);
- dacă actionează în baza unui contract, la comanda sau cu autorizatia participantilor la procesul de comunicatie (este cazul administratorilor de retea, furnizorilor de servicii Internet - ISP);
- dacă datele sunt destinate uzului propriu sau marelui public;
- dacă, pe fondul unei dispozitii legale specifice, supravegherea este autorizată în interesul securitătii nationale sau pentru a permite serviciilor speciale ale statului să aducă la lumină infractiuni grave (este cazul organelor specializate care detin aparatură corespunzătoare si sunt abilitate prin lege).
Orice actiune care se situează în afara celor de mai sus sau depăseste termenii de legitimitate va fi considerată în mod automat ca fiind fără drept.
Urmarea imediată si legătura de cauzalitate Din punct de vedere fizic, urmarea constă în interferenta cu căile prin care se realizează comunicatiile de date. Spre exemplu, bransarea la cablurile de fibră optică ce leagă un sistem „client” de unul „server” într-o retea.
Din punct de vedere juridic, sub aspectul consecintelor pe care actiunea incriminată le are asupra valorii sociale ce constituie obiectul juridic, urmarea este tocmai starea de pericol, de amenintare, pentru valoarea socială pe care legea penală o apără.
Între activitatea făptuitorului si urmarea produsă trebuie să existe o legătură de cauzalitate. Aceasta rezultă ex re, adică din materialitatea faptei.
Latura subiectivă. Infractiunea de interceptare ilegală se comite numai cu intentie directă. Din analiza elementului material al laturii obiective, rezultă că este imposibil ca făptuitorul, prevăzând rezultatul actiunii sale, să capteze (si, eventual, să înregistreze) pachetele de date ale unei comunicatii într-un sistem informatic sau între două astfel de sisteme fără să urmărească acest lucru, acceptând numai posibilitatea producerii rezultatului.
Forme. Modalităti. Sanctiuni si aspecte procesuale
Actele pregătitoare, desi posibile, nu sunt incriminate si ca atare nu sunt pedepsite. Anumite acte pregătitoare sunt incriminate ca infractiuni de sine stătătoare, cum ar fi art. 42 - accesul ilegal la un sistem informatic ori art. 46 - operatiuni ilegale cu dispozitive sau programe informatice.
Tentativa se pedepseste (art. 47 din lege).
Consumarea infractiunii se realizează în momentul interceptării fără drept a unei transmisii de date informatice sau a emisiei electromagnetice a uneia din componentele sistemului informatic.
Infractiunea analizată prezintă două modalităti normative, respectiv interceptarea unei transmisii de date si captarea emisiei electromagnetice radiante. Acestor modalităti normative pot să le corespundă variate modalităti de fapt.
Pentru ambele forme ale infractiunii, pedeapsa principală este închisoarea de la 2 la 7 ani .(10)
Actiunea penală se pune în miscare din oficiu.
Note
1 Publicată în M.Of. nr.279 din 21 martie 2003.
2 A se vedea prevederile Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, publicată în M. Of. nr. 1101 din 25 noiembrie 2004.
3 V.V. Patriciu, Criptografia și securitatea rețelelor de calculatoare, Editura Tehnică, București,1994, p. 22.
4 L. Klander, Anti – Hacker, Editura All Educațional, București,1998, p. 248.
5 L. Bird, Internet - Ghid complet de utilizare, Editura Corint, București, 2004, p. 331.
6 http://www.berkeley.edu.
7 http://www.securizare.ro/informatii/banala_tastatura_aliata_spionilor.html.
8 L. Bird, op. cit., p. 329.
9 D. Oprea, op. cit., p. 207.
10 Aceeași pedeapsă principală este prevăzută și la art. 441 din noul Cod penal. În plus, persoana juridică se sancționează cu amendă între 1.000 și 500.000 RON, la care se pot adăuga una sau mai multe din pedepsele complementare.