Τ.Ε.Ι. ΚΑΒΑΛΑΣ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ & ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΛΗΡΟΦΟΡΙΩΝ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

Transcript

1 Τ.Ε.Ι. ΚΑΒΑΛΑΣ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ & ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΔΙΑΧΕΙΡΙΣΗΣ ΠΛΗΡΟΦΟΡΙΩΝ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΘΕΜΑ: Παράνομη χρήση, Απειλές, Μέθοδοι Προστασίας και Υποστήριξης της Ασφάλειας στις Τεχνολογίες της Πληροφορικής και Επικοινωνιών. ΠΑΤΕΡΟΠΟΥΛΟΥ ΑΡΓΥΡΩ ΕΠΙΒΛΕΠΩΝ: ΑΝΑΠΛΗΡΩΤΗΣ ΚΑΘΗΓΗΤΗΣ ΧΑΤΖΗΣ ΒΑΣΙΛΕΙΟΣ ΚΑΒΑΛΑ, ΣΕΠΤΕΜΒΡΙΟΣ 2006

2 ΠΕΡΙΕΧΟΜΕΝΑ 1. Γενικά Ηλεκτρονικό έγκλημα Διαδικτυακό έγκλημα Παράνομη εισχώρηση σε δεδομένα Hacking Crashing Cracking Απάτες στο Διαδίκτυο Προσβλητικό και παράνομο περιεχόμενο Πορνογραφικό υλικό Πορνογραφία ανηλίκων Προπαγάνδες Αποστολή απειλητικών μηνυμάτων ή αθέμιτων μηνυμάτων Μετάδοση διαφημιστικών μηνυμάτων spamming Απειλές στο Διαδίκτυο Ιός Δούρειος Ίππος (Trojan horse) Σκουλήκια (worms) Cookies Τρόποι Μετάδοσης Τρόποι Προστασίας Οικονομικά εγκλήματα Απάτη μέσω Η/Υ Ξέπλυμα χρήματος Κλοπή υπηρεσιών Εξαπάτηση Παραποιημένη εφαρμογή ηλεκτρονικών πληρωμών Παραποίηση λογιστικών λογαριασμών Πληροφορική κατασκοπεία Εκβιασμός Οικονομικά εγκλήματα e-banking ΜΕΘΟΔΟΙ ΑΠΑΤΗΣ ΣΤΙΣ Α.Τ.Μ Η Λιβανέζικη Θηλειά Το Ξάφρισμα Η Μέθοδος της Διαφανούς Ταινίας Η Ασφάλεια των Συναλλαγών Εγκλήματα στο Λογισμικό Πειρατεία Λογισμικού Κλοπή πνευματικής ιδιοκτησίας Αρχή προστασίας προσωπικών δεδομένων Αντιγραφή της άδειας τελικού χρήστη

3 Πλαστογραφία Οι κίνδυνοι του καταναλωτή Αντικείμενα πειρατείας Τύποι πειρατείας Domain name: Η ηλεκτρονική διεύθυνση Κυβερνοσφετερισμός Προστασία των Domain names Προσβολή Τηλεφωνικών Δικτύων Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (Α.Δ.Α.Ε.) Οι σημαντικότερες Αρμοδιότητες της Α.Δ.Α.Ε Στόχοι κακόβουλων ενεργειών ή ιών μπορούν να γίνουν τα κινητά τηλέφωνα Οι dialers αποτελούν την πιο επικίνδυνη απειλή Τεχνικά μέσα αντιμετώπισης Firewalls: Αδιαπέραστα τείχη Αντιβιοτικά κατά των ιών Norton Antivirus McAfee VirusScan Σε λογισμικό επίπεδο: Κρυπτογράφηση Μέθοδοι Κρυπτογράφησης Η Υποδομή του Δημόσιου Κλειδιού και η Κρυπτογράφηση στην πράξη PGP (Pretty Good Privacy) Χ Ηλεκτρονική Υπογραφή Πιστοποίηση της Ηλεκτρονικής Υπογραφής Ψηφιακό Υδατογράφημα Κατηγορίες Υδατογραφήματος Αποτύπωμα Ασφαλής πλοήγηση στο internet Ανωνυμία στο Internet: "Ταξιδιώτες" χωρίς όνομα Τεχνικές και λύσεις διατήρησης της ανωνυμίας στο Internet: Mixnets και Μixnet Reply Blocks R ers Ανώνυμο Web surfing Αντιμετώπιση ηλεκτρονικού εγκλήματος Νομοθετικό πλαίσιο στην Ελλάδα και την Ευρωπαϊκή Ένωση Νομοθετικό πλαίσιο σε άλλα κράτη Μη νομοθετικές παρεμβάσεις για την καταπολέμηση μερικών μορφών του ηλεκτρονικού εγκλήματος

4 7.2. Προβλήματα στην αντιμετώπιση του ηλεκτρονικού εγκλήματος Αδυναμίες της Νομοθεσίας Δυσκολίες των διωκτικών αρχών Χαρακτηριστικά και ιδιαιτερότητες του πληροφορικού εγκλήματος Προβλήματα στο Διαδίκτυο Προτάσεις για την αντιμετώπιση του Ηλεκτρονικού Εγκλήματος Θέματα νομοθεσίας και δικαίου Ζητήματα συνεργασίας, ασφάλειας και προστασίας πνευματικής ιδιοκτησίας Ηθικές κοινωνικές προεκτάσεις Διατάξεις της Σύμβασης του Συμβουλίου της Ευρώπης, Αύξηση στο Διαδικτυακό έγκλημα Για μια ασφαλέστερη Κοινωνία της Πληροφορίας Προτάσεις Συμπεράσματα Μεθοδολογία και Εμπειρικά Αποτελέσματα Στόχος - Σκοπός της Έρευνας Μεθοδολογία Το Δείγμα Μέγεθος Δείγματος Η Κύρια Έρευνα Το Ερωτηματολόγιο Αποτελέσματα της Έρευνας Δημογραφικά χαρακτηριστικά του Δείγματος Χρήση Η/Υ Χρήση Διαδικτύου ON-LINE ΟΙΚΟΝΟΜΙΚΕΣ ΣΥΝΑΛΛΑΓΕΣ Οικονομικές Συναλλαγές μέσω Α.Τ.Μ Συμπεράσματα Σύνοψη Αποτελεσμάτων Δοκιμασίες Ανεξαρτησίας Χρήση Η/Υ;Μόρφωση Χρήση Η/Υ; Ηλικία Χρήση Internet; Μόρφωση Χρήση Internet; Ηλικία Οικονομικές Συναλλαγές μέσω Internet; Μόρφωση Οικονομικές Συναλλαγές μέσω Internet; Φύλο ΠΑΡΑΡΤΗΜΑ ΒΙΒΛΙΟΓΡΑΦΙΑ

5 Η παρούσα εργασία εκπονήθηκε στα πλαίσια ανάλυσης Πτυχιακής Εργασίας του Τμήματος Διαχείρισης Πληροφοριών, της Σχολής Διοίκησης &Οικονομίας του Τ.Ε.Ι Καβάλας. Σκοπός της εργασίας είναι η έρευνα πάνω στο θέμα: Παράνομη χρήση, Απειλές, Μέθοδοι Προστασίας και Υποστήριξης της Ασφάλειας στις Τεχνολογίες της Πληροφορικής και Επικοινωνιών. Στο σημείο αυτό θα ήθελα να ευχαριστήσω τον επιβλέποντα καθηγητή κ. Χατζή Βασίλη Αναπληρωτή Καθηγητή του Τμήματος Διαχείρισης Πληροφοριών για την ανάθεση αυτής της πτυχιακής εργασίας, χωρίς την οποία δεν θα ήταν δυνατή η ολοκλήρωση των σπουδών μου. Οφείλω να εκφράσω τις θερμές ευχαριστίες μου για την πολύτιμη βοήθεια και καθοδήγησή του. Τέλος θέλω να εκφράσω ένα μεγάλο ευχαριστώ στην οικογένειά μου και ιδιαίτερα στον σύζυγό μου Κοσμίδη Ισαάκ για την κατανόηση και τη ψυχολογική συμπαράστασή του. Πατεροπούλου Αργυρώ Σεπτέμβριος

6 1. Γενικά Η ταχύτατη ανάπτυξη και η αλματώδης αύξηση της χρήσης των ηλεκτρονικών υπολογιστών προσφέρουν απεριόριστες δυνατότητες σε όλους τους τομείς της σύγχρονης οικονομικής και κοινωνικής ζωής. Η τεχνολογία των ηλεκτρονικών υπολογιστών παρέχει σημαντικές δυνατότητες, όπως επιτάχυνση των διαδικασιών, απλοποίηση εργασιών, οργάνωση των πληροφοριών, ακριβή και άμεσο υπολογισμό, διαχείριση ευρύτατου όγκου δεδομένων. Αυτές οι δυνατότητες οδήγησαν σε ριζική αλλαγή των προτύπων δράσης και προγραμματισμού δημοσίων οργανισμών, ιδιωτικών επιχειρήσεων και ιδιωτών. Η διάδοση του Διαδικτύου έδωσε δυνατότητες ενημέρωσης, μέσω του τεράστιου όγκου πληροφοριών που μεταδίδονται σε ταχύτατους ρυθμούς. Τα δεδομένα που είναι καταχωρημένα στο internet και οι πληροφορίες που διακινούνται καθημερινά σε παγκόσμια κλίμακα προσφέρουν σημαντικές διευκολύνσεις σε κάθε τομέα της ανθρώπινης δραστηριότητας. Οι αλλαγές αυτές δημιούργησαν κατάλληλες συνθήκες για την εμφάνιση νέων μορφών εγκληματικότητας, ενώ το Διαδίκτυο αποτέλεσε μέσο διάδοσης εγκληματικών φαινομένων και αδικημάτων. Όλες αυτές οι μορφές εμπεριέχονται στον όρο «ηλεκτρονικό έγκλημα» ή «πληροφοριακό έγκλημα» ή όπως έχει επικρατήσει παγκοσμίως «computer crime» Ηλεκτρονικό έγκλημα Αποτελεί έννοια που περιλαμβάνει όλες τις αξιόποινες πράξεις που τελούνται με τη χρήση ηλεκτρονικών υπολογιστών και συστημάτων επεξεργασίας δεδομένων. Η πληροφορική τεχνολογία κατέστησε δυνατή τη διάπραξη ενός φάσματος εγκληματικών πράξεων, οι οποίες απαιτούν 5

7 εξειδίκευση και αυξημένη κατάρτιση. Ο ηλεκτρονικός υπολογιστής μπορεί να αποτελέσει κύριο μέσο διάπραξης εγκλημάτων (πχ. Οικονομικά εγκλήματα) ή να χρησιμοποιηθεί ως βοηθητικό μέσω για την τέλεση εγκληματικών πράξεων ( πχ. Πορνογραφία ανηλίκων). [2] 1.2. Διαδικτυακό έγκλημα Οι επιπτώσεις από την εμφάνιση και την χρήση του διαδικτύου είναι τεράστιες. Νέες μορφές συμπεριφορών έχουν εμφανιστεί σε όλους τους τομείς της κοινωνικής ζωής, όπως στις συναλλαγές, στο εμπόριο, στην επικοινωνία, στη εκπαίδευση και γενικά σε όλους τους τομείς της ανθρώπινης δραστηριότητας. Το έγκλημα στο Διαδίκτυο είναι μια ολότελα καινούρια υπόθεση με τα δικά της χαρακτηριστικά και γνωρίσματα. Οι περισσότερες χώρες, μόλις τώρα αρχίζουν να διαμορφώνουν το κατάλληλο νομικό πλαίσιο για να προστατεύσουν τους πολίτες τους από τους κυβερνοπαρανόμους. Αύξηση στις δραστηριότητες που συνιστούν ηλεκτρονικό έγκλημα καταγράφει η Symantec στην ένατη έκθεσή της για τις απειλές στο internet. Επίσης, σύμφωνα με την έκθεση, το 80% των 50 πιο σημαντικών δειγμάτων επιβλαβούς κώδικα θέτει σε κίνδυνο εμπιστευτικά δεδομένα. [1] 6

8 2. Παράνομη εισχώρηση σε δεδομένα 2.1. Hacking Είναι η μη εξουσιοδοτημένη πρόσβαση σε ξένο υπολογιστή ή σύστημα υπολογιστών. Ο αρχικός σκοπός δεν είναι η υποκλοπή, η καταστροφή ή η κατασκοπεία, αλλά η ικανοποίηση από την επιτυχία παράκαμψης των συστημάτων ασφαλείας των Η/Υ. Η Ευρωπαϊκή Επιτροπή (21/4/2002) δίνει τον εξής ορισμό για το hacking: «Είναι η απόκτηση μη εξουσιοδοτημένης πρόσβασης σε πληροφοριακό σύστημα με σκοπό την πρόκληση ζημιών ή το οικονομικό κέρδος». Σχετικά με το Hacking επικρατούν δυο κυρίαρχες απόψεις. Η πρώτη υποστηρίζει το απόλυτο και απεριόριστο της πρόσβασης στους Η/Υ, τονίζοντας την προσωπική μέριμνα και προστασία του υπολογιστή από τον ιδιοκτήτη. Η δεύτερη άποψη υποστηρίζει ότι η πρόσβαση στους Η/Υ χωρίς εξουσιοδότηση είναι ανήθικη ή και εγκληματική. Βέβαια στην άποψη αυτή υπάρχει το θέμα της αποσαφήνισης του κρίσιμου σημείου, δηλ. του σημείου απ όπου η ενέργεια της πρόσβασης γίνεται εγκληματική και όχι μόνο ανήθικη. Η αντίληψη αυτή υποστηρίζει ότι εγκληματική είναι μόνο από τη στιγμή που το άτομο, το οποίο πετυχαίνει την πρόσβαση προχωρά σε περαιτέρω ενέργειες, όπως καταστροφή ή κλοπή αρχείων ή προγραμμάτων. [3] 2.2. Crashing Στόχος των crashers είναι όχι μόνο η παράνομη πρόσβαση σε ένα ξένο σύστημα, αλλά και καταστροφή των προγραμμάτων και των αρχείων που βρίσκουν, προκαλώντας μεγάλες οικονομικές ζημιές στους χρήστες. [3] 7

9 2.3. Cracking Είναι η αλλαγή των κωδικών πρόσβασης και η άρση της προστασίας των προγραμμάτων, η οποία καθιστά δυνατή την παράνομη αντιγραφή τους. Υπάρχει σύγχυση μεταξύ των όρων hacking και cracking. Το cracking είναι μια μορφή του hacking, η οποία εμπεριέχει πιο πονηρούς σκοπούς. Οι crackers είναι περισσότερο επικίνδυνοι για τα συστήματα των υπολογιστών, εφόσον έχουν την δυνατότητα να «σπάσουν» ένα πρόγραμμα ή τους κωδικούς password και να κάνουν παράνομη αντιγραφή. Επιπλέον, τραβούν εντονότερα την προσοχή των Μέσων Μαζικής Ενημέρωσης. [3] 2.4. Απάτες στο Διαδίκτυο Κατά τη χρήση του Διαδικτύου υπάρχει η δυνατότητα να τελεστούν απάτες, αφού ο υπολογιστής αποτελεί το μέσο τέλεσης αξιόποινων πράξεων. [2] Προσβλητικό και παράνομο περιεχόμενο Στην κατηγορία αυτή υπάγονται εγκλήματα κατά της ηθικής και της αξιοπρέπειας, με την προβολή βλαβερού και παράνομου περιεχομένου, που θίγει την προσωπικότητα και την ηθική του ατόμου. [2] Πορνογραφικό υλικό Πορνογραφία ανηλίκων Τα τελευταία χρόνια, η διαμάχη σχετικά με προσβλητικό περιεχόμενο που διαδίδεται μέσω του Διαδικτύου εστιάζεται στη διαθεσιμότητα πορνογραφικού υλικού στον κυβερνοχώρο. Το υλικό αυτό εντοπίζεται σε 8

10 όλες τις μορφές των πολυμέσων, όμως οι αρχές και η ευρύτερη κοινωνία ασχολούνται κυρίως, με περιεχόμενο, το οποίο χαρακτηρίζεται από αισχρότητα ή αποτελεί παιδική πορνογραφία. Το ζήτημα εστιάζεται στη βλάβη που μπορεί να προκληθεί κατά τη διάρκεια της παραγωγής του και γενικότερα στην επικινδυνότητα που εμπεριέχει το υλικό αυτό για ανάπτυξη συμπεριφορών που χαρακτηρίζονται από εχθρικές - προσβλητικές της αξιοπρέπειας του άλλου έως αντικοινωνικές και τελικά παράνομες. [2] Προπαγάνδες Στο Διαδίκτυο παρουσιάζεται η ρατσιστική προπαγάνδα, αλλά συνήθης είναι και η προπαγάνδα με φανατικό θρησκευτικό περιεχόμενο, το οποίο προσβάλλει πιστούς άλλων θρησκειών. Επιπλέον, συχνή είναι η εμφάνιση προπαγάνδας με χαρακτήρα που προσβάλλει ειδικές μειονότητες, όπως ομοφυλόφιλα άτομα. Τέλος εμφανίζονται και προπαγάνδες με ακραίο πολιτικό στίγμα, στις οποίες γίνεται άμεση πολεμική ενάντια συγκεκριμένων πολιτικών ή κρατικών μηχανισμών. [2] Αποστολή απειλητικών μηνυμάτων ή αθέμιτων μηνυμάτων Είναι η πρακτική κατά την οποία ένας αποστολέας προσβάλλει ή απειλεί έναν παραλήπτη ή αισχρολογεί σε βάρος του. Θεωρείται επικίνδυνη πρακτική, αφού υπάρχει η δυνατότητα να εξελιχθεί σε πληροφορικό εκβιασμό ή καταστροφή του υπολογιστικού συστήματος του παραλήπτη. [3] 9

11 Μετάδοση διαφημιστικών μηνυμάτων spamming Η κατηγορία αυτή αναφέρεται στην αποδοχή διαφημίσεων και εμπορικών προτάσεων από εταιρείες, οι οποίες απέκτησαν τις διευθύνσεις της ηλεκτρονικής αλληλογραφίας των παραληπτών, με νόμιμο ή παράνομο τρόπο. Το spamming ή αλλιώς, ο βομβαρδισμός του ηλεκτρονικού ταχυδρομείου, αφορά την αποστολή με διαφημιστικό περιεχόμενο σε χιλιάδες καταναλωτές χρήστες του Διαδικτύου. Πρόκειται για περίπτωση παραβίασης της ιδιωτικότητας των παραληπτών, εφόσον γίνεται χωρίς την θέληση και την έμπρακτη εκδήλωση ενδιαφέροντος από τη μεριά τους. Ωστόσο, παρουσιάζονται και άλλα προβλήματα, όπως είναι η περίπτωση του «junk fax», όπου δεσμεύεται η τηλεφωνική γραμμή για αρκετό διάστημα και σπαταλάται όγκος χαρτιού από τον παραλήπτη. Στην περίπτωση του «junk », ο υπολογιστής του αποδέκτη των μηνυμάτων δεσμεύει ενεργή και αποθηκευτική μνήμη για ανεπιθύμητα μηνύματα, ενώ καταναλώνει χρόνο για να τα διαγράψει. [3] 2.5. Απειλές στο Διαδίκτυο Μέσα στα πλαίσια του ηλεκτρονικού βανδαλισμού, ο οποίος αναφέρεται στην αυθαίρετη παρείσδυση σε ένα σύστημα υπολογιστή με σκοπό τη παρεμπόδιση της λειτουργίας του και μετέπειτα σε πρόκληση ζημιάς (hacking cracking) υπάγεται και μια άλλη κατηγορία, που αφορά την μετάδοση του ιού. Ο όρος «ηλεκτρονικός ιός» προέκυψε το έτος

12 στο πανεπιστήμιο Southern California, από τον Fred Cohen, γνωστό ως «πατέρα των ιών των προγραμμάτων». [4] Ιός Ο ιός του υπολογιστή είναι ένα κομμάτι προγράμματος, το οποίο αντιγράφει τον εαυτό του και επισυνάπτεται σε ένα νομότυπο πρόγραμμα με σκοπό να «μολύνει» άλλα προγράμματα. Όταν το μολυσμένο πρόγραμμα εκτελεστεί, κάτω από ορισμένες συνθήκες, προσπαθεί να μολύνει και άλλα προγράμματα, να διαγράψει, να αλλάξει ή να κρυπτογραφήσει αρχεία. Η ύπαρξη ιών είναι ένα από σημαντικότερα προβλήματα του Διαδικτύου. Υπάρχουν σήμερα χιλιάδες διαφορετικοί ιοί, οι οποίοι προσβάλλουν εκατομμύρια υπολογιστές σε όλο τον κόσμο. Πολλοί έχουν τη δυνατότητα να μεταλλάσσονται και να διαφέρουν σε μεγάλο βαθμό από τον αρχικό ιό. [4] Δούρειος Ίππος (Trojan horse) Πρόκειται για ένα είδος προγράμματος, το οποίο δεν αναπαράγεται και δρα «υπογείως», χωρίς ο χρήστης του υπολογιστή να αντιλαμβάνεται αρχικά την ύπαρξή του. Το πρόγραμμα αυτό ενεργεί ως μέσο μεταφοράς άλλων μορφών επιβλαβούς λογισμικού (malware), ενεργοποιείται σε συγκεκριμένο χρόνο και δημιουργεί ένα αντίγραφο του αυθεντικού προγράμματος που χρησιμοποιείται από το χρήστη, το οποίο θα δουλεύει κανονικά, σα να ήταν το αυθεντικό. Όταν ο χρήστης εκτελέσει το συγκεκριμένο πρόγραμμα χρησιμοποιεί την έκδοση του Δούρειου Ίππου, ο οποίος δρα καταστροφικά. [4] 11

13 Σκουλήκια (worms) Πρόκειται για προγράμματα υπολογιστών τα οποία αντιγράφουν τον εαυτό τους σε δίκτυα Η/Υ. χρησιμοποιούν το internet ως μέσο διάδοσής τους ( s, irc, chat κ.α.) Αναπαράγονται από υπολογιστή σε υπολογιστή, εκμεταλλευόμενα τα σφάλματα των λειτουργικών προγραμμάτων των υπολογιστών. Οι μολυσμένοι υπολογιστές μετά από κάποιο διάστημα κατακλύζονται από αντίγραφα του «σκουληκιού» και δε μπορούν να λειτουργήσουν. [4] Cookies Τα cookies είναι μικρά αρχεία που αποθηκεύονται στο σκληρό δίσκο του υπολογιστή. Γενικά είναι ακίνδυνα και χρησιμοποιούνται για την αναγνώριση των χρηστών, ώστε να μπορούν να λαμβάνουν μια ειδικά προσαρμοσμένη έκδοση της συγκεκριμένης ιστοσελίδας. Τα cookies περιέχουν πληροφορίες σχετικά με τις προτιμήσεις μας και επιτρέπουν την προσαρμογή μιας ιστοσελίδας στη χρήση που θέλουμε. [4] Τρόποι Μετάδοσης - Από μολυσμένη δισκέτα ή μολυσμένο cd - Από εκτέλεση ή άνοιγμα μολυσμένων αρχείων του υπολογιστή - Από εκτέλεση ή άνοιγμα μολυσμένων αρχείων που επισυνάπτονται σε μηνύματα ηλεκτρονικής αλληλογραφίας 12

14 - Από άνοιγμα ή ανάγνωση αγνώστων μηνυμάτων ηλεκτρονικής αλληλογραφίας που περιέχουν καταστροφικό κώδικα (malicious code) - Από άνοιγμα ή ανάγνωση μολυσμένων ιστοσελίδων.htm και.html [4] Τρόποι Προστασίας - Επιλογή ενός καλού αντιβιοτικού προγράμματος -Τακτική ανίχνευση όλου του δίσκου με το αντιβιοτικό πρόγραμμα -Συνεχής ανανέωση (update) του αντιβιοτικού προγράμματος -Έλεγχος κάθε δισκέτας /cd με το αντιβιοτικό πρόγραμμα πριν την εφαρμογή. - Τήρηση αντιγράφων ασφαλείας όλων των αρχείων σε cd ή δισκέτα. - Ανίχνευση μέσω του αντιβιοτικού κάθε νέου αρχείου - Διατήρηση και ανανέωση συχνά μια δισκέτα για αποκατάσταση ζημιών από ιούς, την οποία προσφέρουν συνήθως τα ίδια τα αντιβιοτικά προγράμματα. [4] 13

15 3. Οικονομικά εγκλήματα Στα πλαίσια της ελεύθερης αγοράς και της παγκοσμιοποιημένης οικονομίας, η ενεργή στήριξη της πληροφορικής τεχνολογίας θεωρείται αναγκαία, ώστε να μπορέσει η σύγχρονη επιχείρηση να λειτουργήσει ανταγωνιστικά. Με την τεράστια ανάπτυξη της διεθνούς οικονομίας, οι εγκληματικές συμπεριφορές που σχετίζονται με την πληροφορική έχουν ακολουθήσει ανοδική πορεία, σε βαθμό τέτοιο ώστε γίνεται ευρέως αντιληπτή η αύξηση τέλεσης πληροφορικών οικονομικών εγκλημάτων. Τις τελευταίες δεκαετίες, η πληροφορική αποτελεί βασικό εργαλείο στη λειτουργία των επιχειρήσεων. Συγχρόνως, όμως συμβάλλει στον εκσυγχρονισμό των μορφών του οικονομικού εγκλήματος, οι οποίες έχουν αρχίσει να διαπράττονται με διαφορετικό τρόπο, υπηρετώντας τους ίδιους σκοπούς. [3] 3.1. Απάτη μέσω Η/Υ Η κατηγορία αυτή περιλαμβάνει την παραποίηση δεδομένων που είναι αποθηκευμένα σε βάσεις δεδομένων ή σε προγράμματα με σκοπό το οικονομικό κέρδος και αναφέρεται κυρίως, στην κλοπή, διαγραφή, αλλοίωση ή προσθήκη δεδομένων. [3] Ξέπλυμα χρήματος Ο όρος «ξέπλυμα χρήματος» αναφέρεται στις διαδικασίες εκείνες κατά τις οποίες τα χρηματικά κέρδη των εγκλημάτων (βρώμικο χρήμα) 14

16 εμφανίζονται να προέρχονται από νόμιμες πηγές, καλύπτοντας τις παράνομες ρίζες τους. Η πληροφορική άσκησε σημαντική επίδραση στην απόκρυψη και διακίνηση των οικονομικών προϊόντων εγκληματικών ενεργειών. Με δεδομένη την αντικατάσταση του ρευστού χρήματος στις συναλλαγές από διάφορες μορφές ηλεκτρονικού χρήματος, αναμένεται να ισχυροποιηθεί ο ρόλος της πληροφορικής τεχνολογίας στο ξέπλυμα μαύρου χρήματος. [7] Κλοπή υπηρεσιών Η κλοπή υπηρεσιών, ή αλλιώς «χρονοκλοπή», αναφέρεται σε δραστηριότητες, που σχετίζονται με την επεξεργασία, την αποθήκευση και άλλες υπηρεσίες που παρέχουν οι υπολογιστές, από την πλευρά των εργαζομένων, έξω από τα πλαίσια της εργασίας τους, με σκοπό το προσωπικό όφελος. [3] Εξαπάτηση Εκτός από τη μεταφορά ηλεκτρονικών χρηματικών ποσών, μέσω της χρήσης του υπολογιστή, υπάρχει η δυνατότητα εξαφάνισης μετρητού χρήματος, εμπορευμάτων, πρώτων υλών ή ακόμη και εργαλείων από τις αποθήκες της επιχείρησης. Αν εξαφανιστεί κάποιο χρηματικό ποσό από τα αρχεία του υπολογιστή, τότε αυτό μπορεί να αποτελέσει αντικείμενο κατάχρησης, εφόσον δεν αναζητηθεί από κάποιον για μεγάλο χρονικό διάστημα. [7] 15

17 Παραποιημένη εφαρμογή ηλεκτρονικών πληρωμών Στην περίπτωση αυτή η απάτη σχετίζεται με την παρέμβαση στο σύστημα επεξεργασίας δεδομένων ενός οργανισμού ή μιας επιχείρησης και συναντάται σε ζητήματα μισθών, συντάξεων και τραπεζικών καταθέσεων. Εξάλλου, η δημιουργία τραπεζικών λογαριασμών είναι εύκολη υπόθεση, όπως είναι γενικότερα η παράνομη κατασκευή δεδομένων, αλλά και η παραβίαση καρτών συναλλαγής (ΑΤΜ cards) και ανάλογων μέσων πληρωμής. Αν και τέτοιες απάτες προκαλούν μικρές ζημιές, υπάρχει συχνή εμφάνιση περιπτώσεων κακής χρήσης καρτών. [3] Παραποίηση λογιστικών λογαριασμών Η απάτη σε βάρος μιας επιχείρησης ή ενός ιδιώτη και η παραποίηση δεδομένων που τους αφορούν, σχετίζεται με τους άϋλους πόρους, όπως για παράδειγμα χρηματικές καταθέσεις, οικονομικούς τίτλους (ομόλογα) και λογιστικά μεγέθη (πχ ισολογισμοί). [7] Πληροφορική κατασκοπεία Είναι το πρώτο πεδίο εμφάνισης του πληροφορικού εγκλήματος, αποτελώντας σήμερα ένα ειδικό πεδίο πληροφορικού οικονομικού εγκλήματος. Ουσιαστικά, πολλές νέες και παλαιότερες εφαρμογές δημιουργήθηκαν για λόγους κατασκοπείας μεταξύ κρατών, αλλά και παρακολουθήσεις πολιτικών αντιπάλων. Είναι ιδιαίτερα επικίνδυνη, συγκριτικά με την κλασσική οικονομική κατασκοπεία, εφόσον τα τεράστια δεδομένα που είναι αποθηκευμένα σε μικρό χώρο μπορούν 16

18 εύκολα να παραβιαστούν και να αντιγραφούν. Αυτά τα δεδομένα σχετίζονται κυρίως, με την άμυνα, την εμπορικότητα μιας επιχείρησης και τις διευθύνσεις πελατών. [7] Εκβιασμός Η τεχνολογία της πληροφορικής μπορεί να αποτελέσει μέσο και αντικείμενο εκβιασμού, αφού παρέχει απεριόριστες δυνατότητες στην οργάνωση και λειτουργία μιας επιχείρησης. Αυτός διαπράττει την αξιόποινη πράξη του εκβιασμού χρησιμοποιεί εκσυγχρονισμένες πρακτικές προς το θύμα, το οποίο δέχεται απειλές για καταστροφή ή σαμποτάζ του υπολογιστή στο σύνολό του ή σε μέρος των αποθηκευμένων δεδομένων. [7] 3.2. Οικονομικά εγκλήματα e-banking Παρά τις εξελιγμένες μεθόδους για τη διασφάλιση των τραπεζικών συναλλαγών, η συχνότητα των ηλεκτρονικών επιθέσεων αυξάνεται τα τελευταία χρόνια. Η αύξηση αυτή προκαλεί ανησυχία στους ειδικούς, καθώς διακυβεύονται τεράστια ποσά, ειδικά στις περιπτώσεις κατά τις οποίες θύματα απάτης γίνονται επιχειρήσεις. Οι επίδοξοι εισβολείς έχουν πολλούς τρόπους για να επιτύχουν τους σκοπούς τους. Οι μεγαλύτεροι κίνδυνοι δεν προέρχονται από ατέλειες των συστημάτων ασφαλείας και κρυπτογράφησης αλλά από τον ανθρώπινο παράγοντα. Έρευνες ειδικών σε θέματα ασφάλειας αποδεικνύουν ότι στις περισσότερες περιπτώσεις επιθέσεων, οι εισβολείς είτε είχαν την ακούσια -συνήθως- βοήθεια και κάποιου που εργαζόταν στην τράπεζα, είτε 17

19 υπέκλεψαν κωδικούς χρηστών. Οι επιχειρήσεις-πελάτες είναι συνήθως προσεκτικές και χρησιμοποιούν συστήματα ασφαλείας στα δίκτυά τους. Την ίδια "σοφία" ή προσοχή δεν δείχνουν και οι ιδιώτες πελάτες, οι περισσότεροι από τους οποίους δεν χρησιμοποιούν λογισμικό για ασφάλεια. Οι απλοί χρήστες γίνονται εύκολα θύματα προγραμμάτων που στην πραγματικότητα ανοίγουν "τρύπες" ασφάλειας στο σύστημα επιτρέποντας σε επιτήδειους να έχουν πρόσβαση σε αυτό. Ωστόσο και οι επιχειρήσεις δεν είναι πάντοτε ασφαλείς. Σε ορισμένες περιπτώσεις, εταιρίες συνεργάζονται με τράπεζες προκειμένου να διαχειριστούν τις πληρωμές των λογαριασμών και τις συναλλαγές με εταιρικούς πελάτες. Οι τράπεζες ενίοτε επιτρέπουν στις εταιρίες αυτές να διαχειρίζονται ολόκληρο το δίκτυό τους. Σε αυτήν την περίπτωση, οι επιτήδειοι μελετούν τον τρόπο με τον οποίο οι επιχειρήσεις επεξεργάζονται τις πληρωμές και μεταφέρουν τα χρήματα. Μόλις βρεθεί μια αδυναμία, μεταφέρουν με λίγες απλές κινήσεις ολόκληρους εταιρικούς λογαριασμούς στις προσωπικές τους θυρίδες. Να σημειωθεί, πάντως, πως η πρακτική αυτή, η διαχείριση δηλαδή τραπεζικού δικτύου από εταιρικό πελάτη, δεν συνηθίζεται στην Ελλάδα. Εξάλλου μέχρι σήμερα δεν έχουν δει το φως της δημοσιότητας περιπτώσεις απάτης στον τομέα του ελληνικού e-banking. Το οικονομικό έγκλημα ως γνωστόν, λόγω του διεθνικού-διακρατικού χαρακτήρα που το διέπει, είναι δυνατό να απειλήσει την οικονομία και την εθνική ασφάλεια μια χώρας, αλλά και σε παγκόσμιο επίπεδο, δεδομένου ότι επιπλέον κυριαρχείται από το στοιχείο της απάτης εκφραζόμενο από οργανωμένα κυκλώματα δραστών, προικισμένων με ιδιαίτερη και θαυμαστή οξύνοια, χρησιμοποιώντας ευχερώς την ηλεκτρονική, δηλαδή μια μετεξελιγμένη σύγχρονη μορφή του οικονομικού εγκλήματος. Το συνηθέστερο οικονομικό έγκλημα, το οποίο παρουσιάζει έξαρση, επικεντρώνεται, στην ιδιοποίηση τραπεζικών 18

20 λογαριασμών μέσω υπολογιστών και στις απάτες με τη χρήση των πιστωτικών καρτών. [12] 3.3. ΜΕΘΟΔΟΙ ΑΠΑΤΗΣ ΣΤΙΣ Α.Τ.Μ. Η πλέον «μοντέρνα» έκδοση του εγκλήματος τούτου, η οποία επί των ημερών έχει λάβει την μορφή επιδημίας, είναι οι μέθοδοι απάτης στις Αυτόματες Ταμειολογιστικές Μηχανές (Α.Τ.Μ.) των Τραπεζών. Οι χρησιμοποιημένες μέθοδοι και τακτικές από τους απατεώνες ποικίλουν ανάλογα με την τεχνολογική εξέλιξη και την επινόηση που μετέρχονται. Κλειδί όλων αυτών είναι η αποκάλυψη και γνώση του μυστικού κωδικού συναλλαγής του καταθέτου (ΡΙΝ), οπότε τα πάντα στη συνέχεια απλοποιούνται. Στην Ελλάδα, από τα μέχρι σήμερα περιστατικά της πρακτικής, οι εν λόγω μέθοδοι συνοψίζονται σε τρεις (3): [5] Η Λιβανέζικη Θηλειά Είναι η πλέον απλουστευμένη από απόψεως τεχνολογίας τακτική των απατεώνων. Τον κυριότερο ρόλο εδώ παίζει η ευγενική παρουσία και η πειθώ του απατεώνα και όχι κάποια ιδιαίτερης μορφής τεχνολογική υποδομή. Συγκεκριμένα, στην περίπτωση αυτή, η κάρτα του ανυποψίαστου θύματος μπλοκάρεται από μια δεύτερη σχισμή που τοποθετείται από πριν στην υποδοχή της κάρτας. Ο δήθεν τυχαία παρευρισκόμενος κακοποιός προθυμοποιείται να βοηθήσει τον αφελή, προτείνοντάς του να ξαναπληκτρολογήσει το ΡΙΝ, το οποίο στο μεταξύ ο δράστης έχει φροντίσει να απομνημονεύσει. Η κάρτα όπως είναι φυσικό, συνεχίζει να 19

21 είναι μπλοκαρισμένη, πράγμα που ανακοινώνεται στον κάτοχο ότι την έφαγε το μηχάνημα. Συνήθως ο κάτοχος της κάρτας αποχωρεί άπραγος και εξαπατημένος, ενώ ο δράστης με την ησυχία του συνεχίζει την διακοπείσα ανάληψη. [5] Το Ξάφρισμα Είναι η μέθοδος των απατεώνων η οποία απαιτεί χρήση προηγμένης τεχνολογίας και μεγάλη εξειδίκευση. Είναι ξενόφερτη με «εξπέρ» του είδους τους Βούλγαρους, οι οποίοι τον τελευταίο καιρό έχουν κάνει θραύση στις Α.Τ.Μ. αδειάζοντας τους καταθετικούς λογαριασμούς ικανού αριθμού καταθετών. Με τη μέθοδο αυτή τοποθετείται ειδικός μηχανισμός στην υποδοχή της κάρτας, ενώ σε ειδικό δέκτη, σε μερικές δεκάδες μέτρα πλησίον, δίδεται το σήμα με τον αριθμό της κάρτας (16ψήφιος), που στο μεταξύ αναγνώσθηκε κατά την είσοδο της κάρτας. Ταυτόχρονα κάποιος από την σπείρα που παρακολουθεί με κυάλια από μακριά, βλέπει το ΡΙΝ που πληκτρολογείται ή γίνεται και με τη χρήση φορητής μικροκάμερας τοποθετημένη στην οροφή της Α.Τ.Μ. η αντιγραφή της κάρτας είναι πλέον γεγονός. Αυτό πλέον εύκολα οδηγεί στην κατασκευή πλαστής κάρτας, της οποίας η χρήση είναι εύκολη και αποδοτική. [5] Η Μέθοδος της Διαφανούς Ταινίας Με την μέθοδο αυτή, γίνεται η αντιγραφή του μυστικού αριθμού (ΡΙΝ) μέσω της διαφανούς ταινίας που τοποθετείται εκ των προτέρων στο πληκτρολόγιο της Α.Τ.Μ. και κατά την πληκτρολόγηση αποτυπώνονται 20

22 στην ταινία αφανώς δια γυμνού οφθαλμού, όταν ο συναλλασσόμενος κάνει χρήση της κάρτας του για ανάληψη μετρητών. Τα περαιτέρω είναι πλέον πολύ εύκολα για τους απατεώνες της σπείρας. [5] 3.4. Η Ασφάλεια των Συναλλαγών Οι περισσότερες τράπεζες ακολουθούν το πρωτόκολλο SET (Secure Electronic Transaction), που υποστηρίζεται από τους δύο σημαντικότερους χρηματοπιστωτικούς οργανισμούς, τη MasterCard και τη Visa, καθώς και από εταιρίες όπως η IBM, η Microsoft και η Netscape. Το πρωτόκολλο SET βασίζεται στην κρυπτογραφία. Δύο είναι οι κύριες μέθοδοι κρυπτογράφησης: η συμμετρική και η ασύμμετρη. Στη συμμετρική, η κρυπτογράφηση υλοποιείται με τη χρήση του ίδιου "κλειδιού", τόσο στην κωδικοποίηση όσο και στην αποκωδικοποίηση. Πράγμα το οποίο σημαίνει ότι ο αποστολέας και ο παραλήπτης του μηνύματος μοιράζονται το ίδιο κλειδί. Το κλειδί αυτό θα πρέπει να είναι γνωστό μόνο στα εξουσιοδοτημένα μέρη και, κατά συνέπεια, απαιτείται κάποιο ασφαλές μέσο για τη μετάδοσή του, όπως μια προσωπική συνάντηση, κατά την οποία θα συμφωνηθεί το κλειδί που θα χρησιμοποιείται. Ένας από τους πιο γνωστούς αλγόριθμους που χρησιμοποιούν αυτή τη μέθοδο είναι το DES (Data Description Standard), που χρησιμοποιείται από τραπεζικούς οργανισμούς για τη δημιουργία των αριθμών PIN. Η ασύμμετρη κρυπτογράφηση χρησιμοποιεί δύο κλειδιά: το ένα (κοινό κλειδί) για να κωδικοποιήσει το μήνυμα και ένα άλλο (ιδιωτικό κλειδί) για να το αποκωδικοποιήσει. Ένα μήνυμα που θα κωδικοποιηθεί με το ένα κλειδί θα μπορέσει να αποκωδικοποιηθεί μόνο με το άλλο. Η τράπεζα μπορεί να διανείμει το κοινό κλειδί, κρατώντας το ιδιωτικό κλειδί για την αποκωδικοποίηση. 21

23 Όσον αφορά στις τραπεζικές συναλλαγές, κάθε τράπεζα ακολουθεί τη δική της λύση, όπως είναι οι αριθμοί PIN, τα ψηφιακά πιστοποιητικά και οι αριθμοί ΤΑΝ, που ακολουθούν κάθε συναλλαγή. Περισσότερες πληροφορίες είναι διαθέσιμες στη διεύθυνση όπου περιγράφονται αναλυτικά οι προδιαγραφές και οι προϋποθέσεις για να πιστοποιηθεί μια συναλλαγή. Υπάρχουν αρκετές εταιρίες που μπορεί να χρησιμοποιήσει ένας οργανισμός για να πετύχει ασφαλή πρόσβαση. Μία από αυτές είναι η VeriSign, το λογισμικό της οποίας χρησιμοποιείται στις τραπεζικές όσο και σε άλλου τύπου διαδικτυακές συναλλαγές. H πιστοποίηση της ταυτότητας του χρήστη και κάθε συναλλαγή του εξασφαλίζονται με τη βοήθεια ενός μοναδικού ψηφιακού πιστοποιητικού (digital certificate). Αυτό το πιστοποιητικό αναγνωρίζει τον υπολογιστή του χρήστη και επιτρέπει τις συναλλαγές και τις μεταφορές χρημάτων μεταξύ λογαριασμών μόνο από το συγκεκριμένο υπολογιστή. Τα πιστοποιητικά αυτά εξασφαλίζονται εγκαθιστώντας ένα πρόγραμμα από την αντίστοιχη εταιρία πιστοποίησης. [8,27] 22

24 4. Εγκλήματα στο Λογισμικό Πάνω από έξι στα δέκα προγράμματα υπολογιστών που χρησιμοποιούνται στην Ελλάδα είναι πειρατικά αντίγραφα, προκύπτει από παγκόσμια έρευνα για τη συχνότητα και τις οικονομικές επιπτώσεις της πειρατείας του λογισμικού. Η Ελλάδα καταλαμβάνει την πρώτη θέση στην Ευρωπαϊκή Ένωση, με ποσοστό πειρατείας 68% - η αξία του λογισμικού που διακινήθηκε παράνομα στη χώρα μας πέρυσι φτάνει τα 70.8 εκατ. Ευρώ. [3] 4.1. Πειρατεία Λογισμικού Αποτελεί μια ειδική κατηγορία πληροφορικού οικονομικού εγκλήματος, η οποία εμφανίζεται αρκετά συχνά στις σύγχρονες επιχειρήσεις και αφορά την καταπάτηση της πνευματικής ιδιοκτησίας την αναπαραγωγή και την αντιγραφή λογισμικού σε διάφορες μορφές. Η ηλεκτρονική πειρατεία στο Διαδίκτυο είναι στην ουσία ίδια με την πειρατεία με υλικά μέσα - κλοπή της δημιουργικότητας κάποιων ανθρώπων. Όμως η πειρατεία στο Διαδίκτυο είναι δυνητικά μεγαλύτερης έκτασης γιατί επιτρέπει στη μουσική να αναπαραχθεί, ή μάλλον να κλωνοποιηθεί, να συμπιεστεί και να διανεμηθεί σε όλον τον κόσμο. Πρόκειται για κλοπή μεγάλης κλίμακας και εμποδίζει την εφαρμογή νέων τεχνολογιών για νόμιμη ηλεκτρονική διάθεση μουσικής. Είναι αδύνατη η χρήση μιας τεχνολογίας με νόμιμα μέσα, όταν η ίδια τεχνολογία χρησιμοποιείται παράνομα για δωρεάν διάθεση ενός προϊόντος. Το πρόβλημα αυξήθηκε εκθετικά τα τελευταία τρία χρόνια, αλλά είναι αδύνατο να υπολογιστεί επακριβώς η οικονομική ζημιά της δισκογραφίας. Πριν δύο χρόνια 23