Acasă » CONFERINȚE » Despre securitate cibernetică cu un specialist în percheziții informatice de la PCA Cluj, șeful BCCO Cluj și un procuror desemnat pe cybercrime

Despre securitate cibernetică cu un specialist în percheziții informatice de la PCA Cluj, șeful BCCO Cluj și un procuror desemnat pe cybercrime

O conferință deosebit de interesantă despre securitate cibernetică și criminalitate informatică a avut loc la sediul Baroului Cluj, pentru studenți, în cadrul unui proiect pe fonduri europene desfășurat de Facultatea de Drept UBB Cluj. Avocatul Călin Budișan a fost moderatorul conferinței și cel care i-a adunat la un loc pe Marius Morar – specialist percheziții informatice în cadrul Parchetului de pe lângă Curtea de Apel Cluj, Constantin Ilea- șeful Brigăzii de Combatere a Criminalității Organizate Cluj, Mirel Toader – procuror desemnat pe cybercrime în cadrul Parchetului de pe lângă Judecătoria Cluj-Napoca.

Moderatorul Călin Budișan a precizat: ”Aș vrea să le mulțumesc celor trei invitați, care sunt specialiști de primă mână în domeniile în care activează și care sunt extrem de ocupați și totuși au acceptat invitația pe care le-am făcut-o. Le mulțumesc pe această cale. Ieri când ne-am organizată să vedem cum vom proceda în cadrul acestui eveniment, am ajuns la o concluzie că evoluția aceasta este extem de rapidă, există o specializare la nivel neînchipuit de mine până la acest moment. Sigur că mă consider novice în ale informaticii. Ceea ce aș putea să vă învăț este cum să abordați avocățește problema în sensul că sunt trei principii, trei instituții pe nulități absolute.(..) Dacă veți fi avocați și veți identifica un viciu procedural, vă ajută să înlăturați acele probe care sunt lovite de nulitate.”

Budișan i-a îndemnat pe studenți să nu fie nici victime ale infracțiunilor informatice, nici autori ai acestora: ”să reușim să evităm să fim pe o parte a baricadei sau pe cealaltă, deci nici victimă a infracțiunilor, dar nici subiect activ al acestor infracțiuni”

Potrivit avocatului-moderator, abordările invitaților sunt complementare.

Procurorul Mirel Toader a început cu o prezentare mai teoretică despre medotele infractorilor cibernetici și infracțiunile informatice.

Instrumente și metode infracționale  în cyberspațiu:

1.Phishing – trimiterea de emailuri către victimă, pretinzând în mod nereal că provin de la o entitate legitimă, în încercarea de a determina victima să remită informații private necesare furtului de identitate (alte variante: Vishing, SMiShing, Spy-Phishing, Pharming, Watering Hole Attacks, SPAMs);

2.Ransomware – instalarea unui software ostil destinat să blocheze accesul la sistemul informatic şi la conținutul acestuia (prin criptarea datelor) până la plata unei răscumpărări de către victimă (ex. CryptoLocker, TeslaCrypt, SimpleLocker, Wannacry, NotPetya, GoldenEye, Locky);

3.Malware (malicious+software) – programe destinate să penetreze și să distrugă sistemele informatice;

4.Botnets (robot+network) – infestarea unei rețele de sisteme de calcul interconectate prin internet (IoT) cu un software ostil ce permite controlul de la distanţă al acelor sisteme;

5.Dos/Ddos (denial of service/distributed denial of service) – afectarea disponibilităţii unor sisteme informatice sau întreruperea serviciilor furnizate de acestea, prin inundarea sistemului cu cereri la nivel de rețea și supraîncărcarea acestuia astfel încât să nu mai răspundă unor cereri legitime;

6.Cryptojacking – preluarea controlului asupra unor sisteme informatice și transformarea acestora în sisteme de minare a monedei virtuale bitcoin. fără ca utilizatorul sistemului să cunoască despre acest fapt;

Procurorul a precizat ce i-ar putea interesa pe infractorii informatici: ”Bani, bunuri de valoare, creații intelectuale, secrete comerciale sau de serviciu, libertatea psihică ori sexuală, dreptul la imagine, onoare sau demnitate, etc.”

Pentru a evita să le cădem în plasă, procurorul Toader recomandă: ”Respectarea unor reguli elementare de igienă cibernetică (cyber hygiene): autoimpunerea unei politici de securitate cibernetică, atât în privința datelor prelucrate cât şi a informațiilor făcute publice ori a relațiilor socio-umane create şi întreținute în social media, realizarea unor backup-uri ale datelor informatice deținute, verificarea atentă a site-urilo comerciale şi a sistemelor de plăți electronice.”

Procurorul Mirel Toader (în picioare) și avocatul Călin Budișa (pe scaun)

Infracțiuni informatice propriu-zise:

art. 249 C.pen. – Frauda informatică Introducerea, modificarea sau ştergerea de date informatice, restricţionarea accesului la aceste date ori împiedicarea în orice mod a funcţionării unui sistem informatic, în scopul de a obţine un beneficiu material pentru sine sau pentru altul, dacă s-a cauzat o pagubă unei persoane, se pedepseşte cu închisoarea de la 2 la 7 ani.

Art. 250 C.pen. – Efectuarea de operațiuni financiare în mod fraudulos Efectuarea unei operaţiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri, prin utilizarea, fără consimţământul titularului, a unui instrument de plată electronică sau a datelor de identificare care permit utilizarea acestuia, se pedepseşte cu închisoarea de la 2 la 7 ani.

Art. 251 C.pen. – Acceptarea operaţiunilor financiare efectuate în mod fraudulos Acceptarea unei operaţiuni de retragere de numerar, încărcare sau descărcare a unui instrument de monedă electronică ori de transfer de fonduri, cunoscând că este efectuată prin folosirea unui instrument de plată electronică falsificat sau utilizat fără consimţământul titularului său, se pedepseşte cu închisoarea de la unu la 5 ani.

Art. 360 C.pen. – Accesul ilegal la un sistem informatic – (1) Accesul, fără drept, la un sistem informatic se pedepseşte cu închisoare de la 3 luni la 3 ani sau cu amendă. (2) Fapta prevăzută în alin. (1), săvârşită în scopul obţinerii de date informatice, se pedepseşte cu închisoarea de la 6 luni la 5 ani.

Art. 361 C.pen. –  Interceptarea ilegală a unei transmisii de date informatice Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică şi care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic se pedepseşte cu închisoarea de la unu la 5 ani.

Art. 362 C.pen. – Alterarea integrităţii datelor informatice Fapta de a modifica, şterge sau deteriora date informatice ori de a restricţiona accesul la aceste date, fără drept, se pedepseşte cu închisoarea de la unu la 5 ani.

Art. 363 C.pen. – Perturbarea funcţionării sistemelor informatice Fapta de a perturba grav, fără drept, funcţionarea unui sistem informatic, prin introducerea, transmiterea, modificarea, ştergerea sau deteriorarea datelor informatice sau prin restricţionarea accesului la date informatice, se pedepseşte cu închisoarea de la 2 la 7 ani.

Specialistul în percheziții informatice Marius Morar le-a prezentat studenților cazuri concrete cu infracțiuni informatice și le-a vorbit despre socializare: ”E foarte important să spunem că, pe lângă rețelele clasice de socializare, un mijloc de socializare foarte simplu, care ne scapă din vedere, e comunicarea verbală. Faptul că folosesc telefonul și comunic cu cineva, e un mijloc de socializare. SMS-ul e un mijloc de socializare. Din păcate și așa se pot comite infracțiuni, nu numai pe site-uri.”

Factori de risc privind utilizarea mijloacelor de comunicare socială:

  • Identitatea interlocutorului
  • Credulitatea
  • Transferul de date personale
  • Transferul de fotografii/filme personale
  • Transferul de date financiare / Transfer de bani
  • Utilizarea unor terminale infectate
  • Acceptarea instalării de către utilizator de software tip malware/spyware/virus
  • Oferirea de date despre alte persoane
  • Acceptarea unor oferte de câștig financiar facil sau a unor oferte de nerefuzat

Potrivit lui Morar, asistăm la o creștere a utilizării sistemelor informatice în scop infracțional.

”În majoritatea cazurilor când se comite o infracțiune, există o eroare a victimei raportată la infractor, crede că e altcineva. Ca urmare a acesti credibilități, se pot transfera date personale, fotografii personale, video-uri, date financiare, chiar bani, se pot utiliza chiar terminale infectate. De exemplu un mare risc este utilizarea rețelei WIFI în aeroport, rețea care este liberă sau care este creată de un potențial infractor, care emulează rețeaua dintr-un loc public. Deși credeți că vă conectați la o rețea WIFI legitimă, vă sunt captate toate datele și utilizate ulterior de persoana respectivă.

Trebuie să înțelegeți că utilizatorul este persoana cea mai vulnerabilă din întregul sistem de comunicare și socializare, adică veriga slabă.”, a spus specialistul de la PCA Cluj.

Cazuri concrete:

-cazul Funny Pay – firmă românească cu un partener extern din Canada. Corespondența implica plata a jumătate din suma pentru marfă în avans. S-a purtat o corespondență prin e-mail despre plata a 95.000 euro către o bancă din Hong Kong, pe care o indică partenerul. Banca românească refuză pe motiv că beneficiarul nu e același cu titularul contului. Din nou se face corespondență, apoi se încearcă către o bancă din Dubai, iar după al doilea reduz, către o bancă din Ungaria. Toată corespondența ulterioară pentru verificarea și confirmarea plății se poartă cu un reprezentant al firmei din Canada, care spune că nu a primit niciun e-mail anterior. Asta pentru că hackerul folosise o adresă similară.

-caz tinder – whatsapp: Comunicare pe Tinder între Dana și Fischer. Ulterior, comunicarea se transferă pe WhatsApp și telefonic. Dana este antrepenoare în Cluj, cu situație materială bună iar Fischer este om de afaceri din București. După circa 2 săptămâni, atât Dana, cât și Ficher, cunosc ”totul” unul despre altul: nume, adresă, situație materială, obiective, etc. Se ajunge la schimb de fotografii erotice explicite până la întâlnirea față în față, imposibilă datorită programului încărcat al amândurora. După trimiterea unui număr de fotografii, Fischer începe să solicite bani pentru a nu distribui fotografiile prietenilor de pe Facebook ai Danei

– caz dealer auto fictiv din Germania: Anunț pe OLX cu o ofertă auto de nerefuzat. Vânzătorul este medic român care locuiește în Germania și își vinde autoturismul. Cumpărătorul Sorin D. solicită date și acte despre autoturism, pentru a-l verifica. Vânzătorul solicită o copie a cărții de identitate a lui Sorin ca garanție, înainte de a îi trimite copiile actelor mașinii. După transmiterea copiei C.I. , vânzătorul nu mai răspunde email-urilor lui Sorin. La circa  6 luni după incident, în România se depun mai multe plângeri penale împotriva lui Sorin D., care ar fi încasat sume de bani ca avans pentru vânzarea mai multor autoturisme de lux fictive.

– caz viza SUA: Caz transmis de FBI. Zeci de cetățeni americani au trimis sume de bani unei persoane din România. Prejudiciu de peste 1.000.000 $. Persoanele vătămate au fost induse în eroare de o ”studentă din România” care nu avea bani de viză. ”Studenta” era, în fapt, o rețea bine pusă la punct de racolare de victime, comunicare, solicitare și încasare de bani. Logistica grupului implica laptopuri, telefoane, conturi bancare, sisteme de plată, copii de acte de identitate false sau reale. ”Legenda” de lucru pentru fiecare păgubit era notată meticulos într-o agendă

Alte cazuri prezentate de Morar se referă la PIN de card bancar compromis, vânzare de biclicetă fictivă pe publi24, cont Facebook, în care parola contului de Facebook era cunoscută de fostul soț și nu a mai fost schimbatăcazul ”shutdown”, în care cu 2 săptămâni înainte de incident, unul dintre administratorii de rețea a fost concediat, însă parola ”master” nu a fost resetată, și altele.

Concluziile specialistului:

  • Utilizatorul este elementul cel mai vulnerabil în întregul proces de comunicare/socializare
  • Nu se comunică nimănui credențialele (username, parolă, PIN)
  • Credențialele trebuie schimbate periodic, cel puțin o dată la 6 luni (recomandat o dată pe lună)
  • Persoana din spatele unui cont nu este întodeauna ceea ce credem, ea poate crea o aparență de realitate
  • Nu se transmit date personale sau financiare, fotografii, documente confidențiale persoanelor cunoscute prin intermediul rețelor de socializare
  • Toate activitățile informatice/online lasă urme care nu pot fi șterse
  • Comunicarea prin intermediul rețelelor sociale implică responsabilitate, pentru a nu deveni nici victimă, nici infractor

Întrebat de către un student dacă un antivirus gratuit e de ajuns să ne protejeze de amenințări, Marius Morar a răspuns: ”Inclusiv cele gratuite sunt suficiente în măsura în care nu se dau clickuri pe site-uri sau linkuri primite pe e-mail. Eu pe calculatorul de acasă am antivirus gratuit de zece ani și acum două săptămâni era să iau un virus, dar pentru că am încercat să instalez pentru testare un program de pe un site mai dubios. Pe cel profesional de la serviciu, avem antivirus de licență. În măsura în care aveți activități normale, pe site-uri normale, un antivirus gratuit e mai mult de cât suficient. Să fiți atenți la ceea ce primiți pe e-mail, chiar dacă pare că e de la cineva de la care ați mai primit. ”

Șeful BCCO Cluj, comisar-șef Constantin Ilea a vorbit despre ce este cloud computing, modele de cloud, implicații juridice și controverse, investigarea datelor informatice în cloud.

Clasificarea după aplicarea criteriul utilizatorului ne duce spre patru tipuri de cloud: cloud privat, cloud de comunitate, cloud public și cloud hibrid.

În funcție de cerințele utilizatorilor, există mai multe soluții de cloud computing disponibile pe piață, acestea pot fi grupate în trei categorii principale. Aceste modele se aplică, de  obicei, la ambele soluții cloud privat și public:

IaaS (Infrastructure as a Service): un furnizor închiriază o infrastructură tehnologică, adică servere virtuale la distanță, care pot înlocui înlocui sistemele IT de la sediul companiei sau pot fi folosite alături de sistemele existente. Astfel de furnizori specializați îți optimizează costurile având arhitectura construită pe principiul costului cel mai mic și se întinde în mai multe zone geografice.

SaaS (Software as a Service): un furnizor oferă prin intermediul de servicii web, diverse aplicații  și le pune la dispoziția utilizatorilor finali. Aceste servicii sunt adesea menite să înlocuiască aplicații convenționale instalate de utilizatori pe sistemele lor locale. Acesta este cazul de exemplu al aplicațiilor tipice de birou bazate pe web, cum ar fi foi de calcul, instrumente de procesare de text, registre computerizate și agende, calendare partajate, poștă electronică.

PaaS  (Platform as a Service): un furnizor oferă soluții de dezvoltare avansată și găzduire de aplicații. Aceste servicii sunt de obicei adresate companiilor pentru a dezvolta și găzdui soluții la cerere pentru a funcționarea companiei dar și pentru a oferi servicii către alte companii. PaaS poate fi soluția optimă a unei companii care nu dorește să se implice în administrarea acestor arhitecturi tehnologice.

Implicații juridice:

”Când vorbim de cloud computing trebuie să avem în vedere implicațiile juridice atât din punct de vedere comercial cât și implicațiile de natură penală. Din perspectiva comercială contractele de cloud computing nu au încă personalitate. În prezent, nu a fost găsită o soluție optimă pentru protecția juridică a datelor cu caracter personal și de răspunderea privind securitatea datelor

Contractele de cloud computing creează în esență un cadru în care utilizatorul are acces la capacități informatice cu o scalabilitate și flexibilitate infinită, în funcție de necesitățile sale. În prezent, flexibilitatea mai mare a cloud computingului în comparație cu externalizarea tradițională este adesea contrabalansată de siguranța redusă a clientului, cauzată de contractele insuficient de specifice și de echilibrate cu furnizorii de cloud. Având în vedere complexitatea foarte mare şi incertitudinea cadrului juridic, furnizorii de cloud propun un cadru contractual prestabilit care nu permite de cele mai multe ori clientului să negocieze răspunderea juridică privin confidenţialitatea şi securitatea datelor stocate în cloud. Utilizarea contractelor standard îi permite furnizorului să facă economii, însă adesea utilizatorul, și în special utilizatorul final, găsește condițiile inacceptabile. Astfel de contracte pot impune de asemenea alegerea legislației aplicabile sau pot interzice recuperarea datelor.

Pentru chestiunile care nu țin de legislația europeană comună în materie de vânzări, sunt necesare acțiuni complementare specifice pentru a garanta că celelalte aspecte contractuale relevante pentru serviciile de cloud computing pot fi de asemenea acoperite printr-un instrument opțional similar. Aceste acțiuni complementare trebuie să acopere aspecte precum conservarea datelor după încetarea contractului, divulgarea și integritatea datelor, amplasarea și transferul datelor, răspunderea directă și indirectă, dreptul de proprietate asupra datelor, modificarea serviciului de către furnizorii de cloud și subcontractarea.

Deşi legilaţia Uniunii Europene protejează consumatorii de cloud, de cele mai multe ori aceştia nu îşi cunosc drepturile, deoarece acestea nu sunt inserate în mod explicit în contract şi de asemena aceştia nu conosc care este legea şi jurisdicţia aplicabilă în materie de drept civil şi comercial. În scopul standardizării şi reglemtării serviciilor de cloud se impune elaborarea unor bune practici  în baza cărora să fie reglementat un cadru legal care să facă credibilă utilizarea serviciilor de cloud din perspectiva creerii a 2,5 miloane de locuri de muncă  şi o creştere a PIB-ului Uniunii Europene cu 1% până în anul 2020 (aproximativ 160 miliarde euro), conform unor estimări ale Comisiei Europene.”, a precizat Constantin Ilea.

Acesta le-a recomandat celor prezenți să fie atenți la clauzele contractului cu furnizorul de servicii cloud:

”În concluzie, până la elaborarea unui cadru specific care să reglementeze piaţa serviciilor de cloud, utilizatorul de cloud va trebui îşi cunoscă şi să îşi negocieze foarte strict clauzele contractuale care stabilesc responsabilităţii în ce priveşte protecţia datelor şi securitatea serviciilor oferite. Clientul de cloud trebuie să pună în balanţă necesitatea reducerilor costurilor cu câştigarea unor resurse mai eficiente şi posibilitatea producerii unor prejudicii prin sistemelor de securitate a providerului de cloud şi compromiterea datelor clientului. O soluţie în acest caz ar fi asigurarea utilizatorului la o societate de asigurări, dar un asemenea demers ar fi greu de cuantificat deorece o estimare în cazul producerii unui prejudiciu ar fi destul de dificilă. În același timp există discuții privind limitele acoperirii riscurilor de către societatea de asigurări. Majoritatea asigurătorilor exclud acoperirea unor daune în cazul în care providerul de cloud produce pagube din cauza calității managementului aplicat.

În concluzie orice evoluție implică pe lângă multitudinea de beneficii și multe dezavantaje mai ales în domeniul tehnicii. De foarte multe ori inovațiile din domeniul informatic sunt atât de dinamice încât legiuitorul nu poate să anticipeze și să reglementeze un set de reguli care să se bucure de stabilitate. De asemenea,  metodele de investigare și probare a infracțiunilor informatice sau a celor comise prin intermediul unor sisteme informatice presupun utilizarea unor softuri care sunt foarte scumpe a căror licențe sunt achiziționate în pachete limitate. Un alt impediment este numărul limitat de specialiști în domeniu care acceptă să lucreze pentru organizațiile de aplicare a legii care nu pot concura cu organizații private care oferă pachete salariale mult mai atractive.

Dincolo de neajunsuri, tehnologia cloud este o proiecție a viitorului care nu poate fi ignorată, ci doar experimentată și perfecționată continuu…”, a conchis comisarul.

Studenții au avut numeroase întrebări, de exemplu despre situația conturilor comune de Facebook, când i-ai dat parola celuilalt și, după despărțire, îți afectează imaginea. Procurorul Mirel Toader a spus că ”depinde ce reusesti să probezi,”. În acest context, Constantin Ilea a precizat despre  instalarea unui malware din gelozie: ”Acolo deja suntem într-o fază infracțională profundă și e o chestiune de timp până ajung la noi plângerile” Studenții au fost curioși și de utilizarea browserului TOR, care ascunde datele și pe care se face comerț online cu cryptomonede

Moderatorul Călin Budișan a pregătit o lucrare despre comportamentul în spațiul virtual și social media, dar a preferat să nu o mai prezinte pentru a lăsa timp invitaților, care i-au captat pe studenți. Vom publica în curând pe Clujust.ro lucrarea avocatului Călin Budișan, care se concentrează pe accesul ilegala la un sistem informatic și hărțuirea electronică.

Comments

comentarii

Lasă un răspuns

error: Conținut protejat. Contactați-ne la office@clujust.ro dacă vreți să preluați! Apăsați CTRL+P dacă vreți să printați pagina