Presentation is loading. Please wait.

Presentation is loading. Please wait.

Citeva aspecte privind infractiunea de acces fara drept la un sistem informatic Institutul National de Magistratura Martie 2007 Bogdan Manolea www.legi-internet.ro.

Published byBudi Hartono Modified over 6 years ago

Similar presentations

Presentation on theme: "Citeva aspecte privind infractiunea de acces fara drept la un sistem informatic Institutul National de Magistratura Martie 2007 Bogdan Manolea www.legi-internet.ro."— Presentation transcript:

1 Citeva aspecte privind infractiunea de acces fara drept la un sistem informatic
Institutul National de Magistratura Martie 2007 Bogdan Manolea

2 Legea Romaneasca Art (1) Accesul, fãrã drept, la un sistem informatic constituie infractiune si se pedepseste cu închisoare de la 3 luni la 3 ani sau cu amendã. (2) Fapta prevãzutã la alin. (1), sãvârsitã în scopul obtinerii de date informatice, se pedepseste cu închisoare de la 6 luni la 5 ani. (3) Dacã fapta prevãzutã la alin. (1) sau (2) este sãvârsitã prin încãlcarea mãsurilor de securitate, pedeapsa este închisoarea de la 3 la 12 ani.

3 Conventia privind criminalitatea informatica – art.2
Fiecare parte va adopta mãsurile legislative si alte mãsuri considerate necesare pentru a incrimina ca infractiune, potrivit dreptului sãu intern, accesarea intentionatã si fãrã drept a ansamblului ori a unei pãrti a unui sistem informatic. Each Party shall adopt such legislative and other measures as may be necessary to establish as criminal offences under its domestic law, when committed intentionally, the access to the whole or any part of a computer system without right.

4 Conventia privind criminalitatea informatica – art.2
O parte poate conditiona o astfel de incriminare de comiterea încãlcãrii respective prin violarea mãsurilor de securitate, cu intentia de a obtine date informatice ori cu altã intentie delictualã, sau de legãtura dintre încãlcarea respectivã si un sistem informatic conectat la alt sistem informatic.

5 Ce inseamna acces ? "Access" comprises the entering of the whole or any part of a computer system (hardware, components, stored data of the system installed, directories, traffic and content-related data). However, it does not include the mere sending of an message or file to that system. "Access" includes the entering of another computer system, where it is connected via public telecommunication networks, or to a computer system on the same network, such as a LAN (local area network) or Intranet within an organisation. The method of communication (e.g. from a distance, including via wireless links or at a close range) does not matter. Acces neautorizat – termen folosit in SUA

6 Definitii acces - doctrina
Acces – desemeneaza intrarea in tot sau numai intr-o parte a sistemului informatic. Presupune o interactiune a faptuitorului cu tehnica de calcul vizata prin intermediul echipamentelor sau diverselor componente a sistemului vizat – M. Dobrinoiu Prin acces se intelege intrarea in tot sau intr-o parte a unui sistem informatic, capacitatea de a lansa comenzi, de a accesa date informatice sau de a efectua alte operatiuni informatice, fie direct de la tastatura, fie prin intermediul unei retele informatice – I Vasiu

7 Acces in concurs cu alte infractiuni informatice
Acces ilegal – deseori primul pas pentru realizarea altor infractiuni (art ) Totusi, accesul ilegal nu reprezinta o situatie premisa a savirsirii celorlalte infractiuni Concurs de conexitate etiologica (accesul ilegal reprezinta mijlocul prin care se realizeaza infractiunea scop) Concurs de infractiuni Vezi detalii : M. Dobrinoiu – Infractiuni in domeniul informatic, Beck, 2006,

8 Cazuri practice Un utilizator priveste la ecranului unui alt calculator Un utilizator acceseaza fisierele unui calculator din retea Este infractiunea de access

9 Acces la un cont de e-mail
“Va rog sa imi raspundeti daca se poate actiona legal in cazul in care mi s-au schimbat toate datele din cont in adresa de ,cunosc persoana ,iar acesta imi creaza probleme mie si persoanelor din lista” Sursa - internet/message/3349 Acces la web-based – acces la o arie mult mai larga de servicii – acces la un cont virtual

10 Acces la un sistem infomatic - scop ?
“ZIUA a reusit sa patrunda in reteaua informatica a ANAF, care contine date secrete, fara a folosi o aplicatie speciala sau sistem hardware pentru care sa fim acuzati de incalcarea legii “ ZIUA a reusit sa patrunda in reteaua informatica, care nu este publica, a Ministerului Finantelor Publice si a vizualizat baza de date a ANAF. Mentionam cu nu am folosit nici o aplicatie speciala sau sistem hardware prin care sa fim acuzati de incalcarea legii. Demersul nostru nu se vrea decat un semnal la adresa autoritatilor asupra deficientelor care se inregistreaza la nivelul Directiei Generale de Tehnologia Informatiei. Vulnerabila ANAF - articol Ziua Bresa de securitate O bresa in sistemele de securitate ale serverelor Ministerului Finatelor Publice permite oricarui utilizator al unui calculator conectat la Internet sa acceseze baza de date administrata de Agentia Nationala de Administrare Fiscala. In acest fel, se pot obtine informatii complete despre persoane fizice. Ne referim aici la nume, prenume, adresa completa, cod numeric personal si obligatiile financiare pe care o persoana fizica le are in raport cu Ministerul Finantelor Publice. In mod normal, o astfel de baza de date trebuie protejata atat prin folosirea unor softuri specializate de protectie si limitare a accesarii neautorizate cat si prin montarea unor dispozitive hardware, tip firewall. Se pare ca acest lucru nu exista in sistemul informatic de la Finante sau daca a fost instalat nu e administrat corect. Ca urmare, serverele pe care se gasesc informatii cu caracter secret sunt foarte usor de accesat. Acest lucru permite celor interesati sa afle date confidentiale despre o anumita persoana si, folosind aceste date, sa influneteze anumite decizii sau sa supuna santajului persoana respectiva. Ne referim aici la datele de identificare ale oricarui contribuabil, adresa de domiciliu, codul numeric personal si informatii despre obligatiile platii unor impozite si taxe catre bugetul de stat.

11 Acces la un sistem infomatic - scop ? (2)
Datele privind clientii BlueAir sunt accesibile direct printr-o interfata web. Informatia apare pe in mai multe bloguri romanesti “Se pare că site-ul Blue Air dezvoltat de OpenMind a avut o mică gaură de securitate (suficient de mare încât să treacă prin ea datele personale a aproximativ 1800 de clienţi Blue Air şi mesaje trimise/primite de Blue Air). Aceste date, un dump al unei baze de date care aparent are şi numere de carduri bancare, erau disponibile pentru orice persoană care nu trebuia nici măcar să aibă diplomă de hacker de Ferentari, ci doar cunoştinţe minime de dezvoltare web.” dvs.html cine-invinge-si-cine-pierde/ Bresa de securitate O bresa in sistemele de securitate ale serverelor Ministerului Finatelor Publice permite oricarui utilizator al unui calculator conectat la Internet sa acceseze baza de date administrata de Agentia Nationala de Administrare Fiscala. In acest fel, se pot obtine informatii complete despre persoane fizice. Ne referim aici la nume, prenume, adresa completa, cod numeric personal si obligatiile financiare pe care o persoana fizica le are in raport cu Ministerul Finantelor Publice. In mod normal, o astfel de baza de date trebuie protejata atat prin folosirea unor softuri specializate de protectie si limitare a accesarii neautorizate cat si prin montarea unor dispozitive hardware, tip firewall. Se pare ca acest lucru nu exista in sistemul informatic de la Finante sau daca a fost instalat nu e administrat corect. Ca urmare, serverele pe care se gasesc informatii cu caracter secret sunt foarte usor de accesat. Acest lucru permite celor interesati sa afle date confidentiale despre o anumita persoana si, folosind aceste date, sa influneteze anumite decizii sau sa supuna santajului persoana respectiva. Ne referim aici la datele de identificare ale oricarui contribuabil, adresa de domiciliu, codul numeric personal si informatii despre obligatiile platii unor impozite si taxe catre bugetul de stat.

12

13 Scanarea porturilor Scanarea porturilor – tentativa la infractiunea de acces ? Vezi internet/message/2763 “ Scanarea se face cu scopul bine definit de a obtine accesul neautorizat la o resursa... e clar o tentativa.” “Este un fapt demonstrat ca daca un administrator de sistem raspunde cu o scanare a calculatorului atacant peste 50% din crackeri inceteaza imediat atacul. DA este un fel de bau bau: "vezi ca stiu ca esti acolo, daca vrei sa ne masuram muschii hai la tranta dreapta sa vedem care pe care" Asociezi gresit scanarea cu umblau prin buzunare. Daca o asociezi cu hotul care suna la usa si vede daca-i raspunde sau nu cineva,asta nu mai e o "crima". La fel si cu scanarea. Si chiar daca s-ar pedepsi scanarea,tot ar fi o problema care e si acuma.Totul tine de provider in primul rand si apoi de legi. Parerea mea! Pe vremuri cand eram administrator la o firma din tara, am facut un script python care detecta o scanare de porturi si raspundea imediat cu o scanare a atacantului. Asa liniste si pace am avut dupa aia de nu-ti imaginezi.

14 Acces fara drept (2) În sensul prezentului titlu, actioneazã fãrã drept persoana care se aflã în una dintre urmãtoarele situatii: a) nu este autorizatã, în temeiul legii sau al unui contract; b) depãseste limitele autorizãrii; c) nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, sã o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfãsura cercetãri stiintifice sau de a efectua orice altã operatiune într-un sistem informatic.

15 Acces la contul de admin
Exista metode de acces la contul de administrator din Sistemul de operare Windows prin citeva “trucuri” sau comenzi, in functie de accesul la resursele sistemului Vezi detalii la 03/change-or-reset-any-windows-xp- password.html Este acces “fara drept”?

16 Accesul la locul de munca
Exista viata privata la locul de munca ? Cum trebuie utilizat calculatorul la locul de munca ? Stabilirea clara a drepturilor si obligatiilor ref la utilizarea calculatorului si Internetului (CM, ROI, etc.) Depasirea drepturilor de acces de angajat Depasirea drepturilor de acces de angajator Depasirea drepturilor de acces de administratorul de sistem

17 Grupul de Lucru – Articolul 29
a) Principiul necesitaţii – angajatorul trebuie sa verifice daca monitorizarea angajaţilor este necesara pentru un scop definit, inainte de a trece la orice activitate in acest sens. De asemenea datele colectate trebuie pastrate nu mai mult decat este necesar pentru indeplinirea scopului propus ; b) Principiul finalitaţii – datele trebuiesc colectate pentru un scop specific, explicit si legitim si ele nu pot fi folosite in vreo activitate dincolo de scopul menţionat; c) Principiul transparenţei – angajatorul trebuie sa fie clar si deschis in ceea ce priveste activitaţile sale. Aceasta include obligaţia de a furniza angajaţilor toate informaţiile cu privire la monitorizarea acestora in ceea ce priveste utilizarea Internet-ului ;

18 Grupul de Lucru – Articolul 29
d) Principiul legitimitaţii – operaţiunile de procesare a datelor pot avea loc numai in cazul unui scop legitim conform articolului 7 din Directiva 95/46/EC ; e) Principiul proporţionalitaţii – datele personale, inclusiv cele incluse in monitorizare, trebuie sa fie relevante si adecvate in raport cu scopul specificat. De exemplu monitorizarea - urilor ar trebui limitata la datele de trafic si la perioada cand s-a facut comunicarea si sa nu priveasca conţinutul comunicarii ; f) Principiul acurateţei si pastrarii datelor – datele care au fost colectate trebuie sa fie corecte, actualizate si sa nu fie pastrate mai mult decat este necesar ; g) Principiul securitaţii – angajatorul este obligat sa ia toate masurile de securitate pentru ca datele colectate sa nu fie disponibile terţilor. Este important in acest sens si rolul pe care il are administratorul de sistem in ceea ce priveste accesul la datele colectate.

19 Definitie Kerr - Acces Utilizatorul acceseaza un calculator de fiecare data cind utilizatorul trimite o comanda catre acel calculator, comanda pe care calculatoruI o executa Accesul este orice interactiune reusita cu calculatorul Kerr, Orin S., "Cybercrime's Scope: Interpreting 'Access' and 'Authorization' in Computer Misuse Statutes" . NYU Law Review, Vol. 78, No. 5, pp , November 2003 Available at SSRN:

20 State vs. Allen Curtea Suprema Kansas – un utilizator(Allen) nu a accesat un calculator Bell prin cererea repetata a ferestrei de logare . Pentru ca utilizatorul nu a patruns “in calculatorul Bell” accesta nu a accesat calculatorul. Prin comanda repetata adresata calculatorului, Allen a primit de la calculator fereastra de logare, unde trebuia sa introduca numele de utilizator si parola. Calculatorul a raspuns pozitiv comenzii, trimitind fereastra de logare. Desi computerul nu i-a permits lui Allen sa vada alte informatii stocate, Allen a avut mai multe interactiuni reusite cu calculatorul. State v. Allen, 917 P.2d 848, 852 (Kan. 1996). Opinie contrara – Curtea Suprema Washington Perhaps the most comprehensive discussion of “access” appears in a Kansas Supreme Court case from 1996, State v. Allen.111 Allen had used his computer repeatedly to dial up a Southwestern Bell Telephone computer that controlled long-distance telephone switches and could be manipulated to allow a user to place free long-distance calls.112 When Allen dialed up the Bell computers, he was confronted with a prompt requiring him to enter a username and password. Investigators speculated that Allen had guessed a password correctly and later erased the proof of his activity by deleting the logs. However, the forensic evidence established only that Allen had repeatedly dialed up the Bell computers and viewed the password prompt.113 Allen was charged with accessing the Bell computer without authorization in violation of the Kansas computer crime statute.114 Before the Kansas Supreme Court, Allen argued that there was no evidence he had actually accessed the Bell computer. The government relied on the broad statutory definition of access, fairly common among early state computer crime statutes,115 which stated that access means “to approach, instruct, communicate with, store data in, retrieve data from, or otherwise make use of any resources of a computer.” 116 The court responded that this definition was so broad that if taken seriously it would render the statute unconstitutionally vague.117 If “access” really meant “to approach,” the court noted, “any unauthorized physical proximity to a computer could constitute a crime.”118 In light of its overbreadth, the court refused to apply the definition, concluding that “the plain and ordinary meaning should apply rather than a tortured translation of the definition that is provided.” 119

21 Resurse utile www.legi-internet.ro
- Ghid introductiv pentru aplicarea dispozitiilor legale referitoare la criminalitatea informatica - The Legal Scholarship Network - Cautare in lucrari stiintifice - Stiri criminalitate informatica - Legislatie din toata lumea privind cybercrime

22 Multumesc Bogdan Manolea

Download ppt "Citeva aspecte privind infractiunea de acces fara drept la un sistem informatic Institutul National de Magistratura Martie 2007 Bogdan Manolea www.legi-internet.ro."

Similar presentations

Noua generaţie de clienţi. Noua generaţie de clienţi este....... aici.

Noua generaţie de clienţi. Noua generaţie de clienţi este aici.
 Ce e bravenet.COM ?  De ce bravenet.COM ?  Avantaje si dezavantaje in folosirea bravenet.COm Grupa 6: Lucian-Eduard Barticel Eduard Giurgiu Iany Ionut.

 Ce e bravenet.COM ?  De ce bravenet.COM ?  Avantaje si dezavantaje in folosirea bravenet.COm Grupa 6: Lucian-Eduard Barticel Eduard Giurgiu Iany Ionut.
Litigii privind numele de domenii.ro Moduri de rezolvare a litigiilor Bogdan Manolea.

Litigii privind numele de domenii.ro Moduri de rezolvare a litigiilor Bogdan Manolea.
2009 Pag. 1. 2009 Pag. 2 Agenda 1.Obiectivul proiectului 2.Parteneri 3.Autentificare versus identificare 4.Schema generala 5.Probleme de rezolvat / rezolvate.

2009 Pag Pag. 2 Agenda 1.Obiectivul proiectului 2.Parteneri 3.Autentificare versus identificare 4.Schema generala 5.Probleme de rezolvat / rezolvate.
Batalia sexelor O lume dominata de barbati vs o lume dominata de femei.

Batalia sexelor O lume dominata de barbati vs o lume dominata de femei.
“Platformă multifuncţională pentru optimizarea metodelor de diagnostic şi decizie în serviciile medicale – PROMED” DOMENIU APLICARE “ Platformă multifuncţională.

“Platformă multifuncţională pentru optimizarea metodelor de diagnostic şi decizie în serviciile medicale – PROMED” DOMENIU APLICARE “ Platformă multifuncţională.
ICF Capitol Local Bine ati venit. Ore de Pregatire Continua Sesiunea 1.

ICF Capitol Local Bine ati venit. Ore de Pregatire Continua Sesiunea 1.
Acum câteva zile, când mă plimbam pe Strada Vieţii am observat un magazin pe care era scris: “ Magazinul Raiului ”.

Acum câteva zile, când mă plimbam pe Strada Vieţii am observat un magazin pe care era scris: “ Magazinul Raiului ”.
POSTA ELECTRONICA Ana-Maria Tache Ioana Cristina Ciufu.

POSTA ELECTRONICA Ana-Maria Tache Ioana Cristina Ciufu.
”EUROPEAN PROJECT MANAGEMENT”

”EUROPEAN PROJECT MANAGEMENT”
Februarie 2018 ASE Bucuresti

Februarie 2018 ASE Bucuresti
ACTIVITATEA 1 -,, PROFESOR IT LA PAPI’’

ACTIVITATEA 1 -,, PROFESOR IT LA PAPI’’
Subinterogări multiple

Subinterogări multiple
IntraShip inovatie, flexibilitate, rapiditate.

IntraShip inovatie, flexibilitate, rapiditate.
Funcţii Excel definite de utilizator (FDU) în VBA

Funcţii Excel definite de utilizator (FDU) în VBA
Placa de bază.

Placa de bază.
ACCESUL LA POSTA ELECTRONICA

ACCESUL LA POSTA ELECTRONICA
Source: Robynejay.

Source: Robynejay.
Instrumente CASE Curs nr. 7.

Instrumente CASE Curs nr. 7.
Căutarea şi regăsirea informaţiei.

Căutarea şi regăsirea informaţiei.

Similar presentations

Ads by Google