În momentul de față, piața serviciilor de comunicații electronice este în plină dezvoltare, iar acest avânt nu va putea fi estompat nici măcar de criza economică. Diferențiat pe state, dar indiferent de clasament, studiile în domeniu indică o creștere a interesului persoanelor pentru serviciile societății informaționale, cu un accent semnificativ pe mobilitatea resurselor.
Internetul este acum mai mult decât o „rețea a rețelelor”, a devenit un mod de viață, iar dependența utilizatorilor de echipamentele de calcul și serviciile de comunicații electronice relevă adesea aspecte interesante, dar în același timp, controversate.
În acest moment, asumându-ne excepțiile inerente, putem totuși lansa o analiză în baza următoarelor premise:
a) utilizatorii sunt din ce în ce mai interesați de serviciile societății informaționale. Pe lângă simpla conectare la Internet, tot mai multe segmente ale economiei și societății cunosc o dezvoltare accentuată în mediul informatic (ex.: comerț electronic, e-banking, plata taxelor sau a impozitelor, mass media, petiționare etc.);
b) utilizatorii continuă să migreze către „tehnologia fără fir”. Piața de produse electronice este orientată cu prioritate pe segmentele Bluetooth și Wireless, vânzările telefoanelor inteligente (smartphones), PDA-urilor sau laptopurilor care oferă conectivitate la Internet ”fără fir” întrecând orice așteptări;
c) utilizatorii preferă din ce în ce mai mult „conectivitatea fără fir”. Lumea este într-o continuă mișcare, iar timpul pare a se comprima. Fie că este vorba despre asigurarea legăturii cu partenerii de afaceri sau prietenii prin conexiuni voce-video tip VoIP, de consultarea mesajelor de poștă electronică, de cititul presei, aflarea prognozei meteo, realizarea transferurilor bancare sau plata facturilor, efectuarea tranzacțiilor la bursă sau simpla căutare a unor informații (inclusiv de localizare), oamenii utilizează o gamă largă de dispozitive electronice performante, care să le asigure nivelul de mobilitate și conectivitate dorit;
d) deși costurile s-au diminuat în timp, oamenii au tendința de a „căuta” posibilități de conectare la Internet fără plată. Simpli cetățeni sau oameni de afaceri, studenți sau angajați, tineri sau vârstnici, bărbați sau femei, suntem cu toții tentați adesea să ne bucurăm atunci când avem posibilitatea de a beneficia fără plată de un anumit serviciu. Aceeași satisfacție o avem și în ceea ce privește conectarea la Internet și accesarea serviciilor de comunicații electronice, chiar dacă operatorii de telecomunicații sau furnizorii acestor servicii oferă în prezent o paletă largă de posibilități de contractare;
e) din rațiuni de protecție sau chiar de ascundere a unor fapte, mulți utilizatori sunt „fascinați” de posibilitatea mascării activității online și a propriei identități în mediul virtual. Pentru realizarea acestei ”securități individuale” există azi o gamă variată de procedee tehnice care permit anonimizarea navigării pe Internet, ascunderea identității expeditorului unui mesaj de poștă electronică sau a locației unui echipament de calcul care generează un atac informatic. Pe lângă folosirea binecunoscutelor servere Proxy sau a metodelor de Spoofing, câștigă tot mai mult teren conectarea anonimă la punctele de acces tip Wi-Fi (wireless), care oferă exact mediul de lucru căutat de persoanele rău intenționate. Wi-Fi este acronimul sub care specialiștii și, în general, publicul larg identifică azi, tehnologic ori comercial, accesarea serviciilor societății informaționale prin conectivitatea ”fără fir”. În esență, este vorba despre posibilitatea dispozitivelor echipate wireless de a se conecta la Internet prin intermediul unor puncte de acces (Access Point) wireless și obține servicii de comunicații electronice.
Punctele de acces (denumite și hotspots) reprezintă acele dispozitive electronice care primesc semnal Internet de la un furnizor de servicii (ISP) și îl redistribuie sub formă de emisie electromagnetică (radio broadcast) într-o anumită arie de acoperire (în funcție de puterea semnalului și existența factorilor perturbatori).
Ansamblul rezultat în urma conectării unuia sau mai multor dispozitive echipate wireless (în standardul Wi-Fi) la un punct de acces poartă numele de rețea Wi-Fi, rețea wireless sau WLAN.
Hotspot-urile pot fi publice sau private. Ele pot fi situate (pot opera) în locuri publice sau private. Pe de altă parte, undele radio se propagă multidirecțional, putând ajunge din spații private în spații publice și invers. Tocmai de aceea, utilizarea acestor dispozitive, respectiv conectarea la acest tip de rețele reprezintă o provocare de ordin juridic căreia, mai devreme sau mai târziu, legiuitorul (român sau străin) va trebui să îi găsească o soluție adecvată.
Scopul analizei de față este acela de a scoate în evidență nu atât avantajele utilizării rețelelor Wi-Fi, cât mai ales aspectele contradictorii sau insuficient reglementate, care se circumscriu conectării la punctele de acces wireless. Ca modus operandi, literatura de specialitate (nu neapărat tehnică) a reținut două tipuri de activități pe care persoanele interesate le practică în legătură cu rețelele Wi-Fi și anume:
Wardriving, care presupune deplasarea pe jos ori cu un vehicul în scopul descoperirii și marcării pe o hartă a rețelelor (punctelor de acces) wireless care oferă conectivitate la Internet. Tehnic, dispozitivul folosit de persoana interesată (PDA, Smarphone, laptop etc.) captează semnalul radio (broadcast) emis de punctul de acces (routerul IP) și printr-o interfață specializată, oferă informații despre acesta, cum ar fi: numele punctului (SSID), puterea de emisie (puterea semnalului radio), existența măsurilor de protecție și algoritmul de criptare utilizat (ex. WEP, WPA, WPA-2), adresa de IP alocată, adresa serverului DNS (Sistem Nume de Domeniu care permite translatarea unui nume de domeniu într-o adresă IP în Internet).
Toate aceste date sunt consemnate electronic, o analiză ulterioară putând oferi informații clare despre situația punctelor de acces Wi-Fi care furnizează servicii de comunicații electronice (conectare la Internet) într-o anumită arie de interes. Important de reținut este faptul că, în acest caz, echipamentul Wi-Fi al persoanei nu obține automat servicii de comunicații electronice, pentru aceasta fiind necesară lansarea unei comenzi de conectare.
Piggybacking (trad.: „cărat în spate”), definește accesarea cu intenție a unei conexiuni Internet wireless prin plasarea unui dispozitiv echipat Wi-Fi în raza de acoperire a unui punct de acces (Access Point) și utilizarea serviciilor Internet fără cunoștința ori permisiunea expresă a posesorului (deținătorului legal, abonatului etc.) respectivei conexiuni. Cel mai adesea, conectarea la serviciile de comuncații electronice prin intermediul rețelelor Wi-Fi are loc în spații publice (baruri, cafenele, hoteluri, aeroporturi, universități etc.), iar accesul se prezumă a fi legal, permis, îndreptățit. Cu toate acestea, este foarte posibil ca deținătorul rețelei ori al punctului de acces (AP) să solicite, direct ori indirect, o anumită compensație financiară pentru facilitatea Wi-Fi oferită sau să supravegheze conectarea clienților la rețea printr-un schimb nepatrimonial, ca de exemplu comunicarea parolei de conectare după obținerea datelor de identificare ale persoanei interesate.
De exemplu, proprietarul unei cafenele oferă servicii de comunicații electronice printr-un punct de acces wireless clienților săi, aceștia „răsplătind” facilitatea oferită de acesta prin plata consumației. Dar ce se întâmplă în momentul în care un trecător pe stradă descoperă, accidental sau intenționat, semnalul radio de acces la Internet emis de punctul de acces din cafenea și se conectează la diferite servicii de comunicații electronice? Cât de legală sau ilegală va fi acea conectare? Pe de altă parte, îngrijorător este, în opinia noastră, faptul că piggybacking-ul se manifestă din ce în ce mai frecvent în raport cu rețelele wireless particulare (private), indiferent că acestea aparțin unor persoane fizice sau juridice.
Fiind vorba despre o emisie radio (broadcast), semnalul poate fi captat cu ușurință prin zidul care ne desparte de apartamentul vecinului, prin geamul firmei de vis-a-vis sau g ardul care împrejmuiește o instituție, însă accesul la serviciul Internet depinde strict de măsurile de securitate asociate punctului de acces (routerului), cum ar fi: folosirea unui algoritm de criptare (WEP- Wired Equivalent Privacy, WPA – Wi-Fi Protected Access sau WPA2), filtrarea MAC-urilor, adresare IP fixă, tokenuri hardware sau software etc.
Cât de legală sau de morală este însă o asemenea conectare la serviciile societății infor maționale prin intermediul punctelor de acces wireless rămâne de analizat, subiectul aflându-se deja în dezbaterea legiuitorilor din multe țări. În România, practica judiciară în materie nu a înregistrat (încă) astfel de cazuri, ceea ce nu înseamnă însă că acestea nu se manifestă în realitate, abordarea lor de către practicieni (polițiști, procurori sau judecători) putând fi o adevărată provocare legislativă. Cu instrumentele juridice existente, simularea unor scenarii posibile relevă următoarele aspecte:
Punctul de Acces (Access Point) identificat ca dispozitiv electronic prin Routerul Wi-Fi (cunoscut și ca Router IP) este un sistem informatic în accepțiunea art. 35 din Titlul III prevenirea și combaterea criminalității informatice, Legea 161/2003, întrucât:
– este un dispozitiv electronic (eventual, interconectat cu alte dispozitive electronice);
– funcționează în baza unui program informatic (Firmware care, în baza unui set minimal de instrucțiuni, asigură funcționarea de bază a respectivului dispozitiv electronic).
Însă, în cazul piggybacking-ului, routerul nu este accesat fizic, nici direct și nici de la distanță, atenția utilizatorilor îndreptându-se numai spre semnalul radio purtător de date informatice (de conexiune la Internet), nu spre datele interne (setări, fișiere log etc.) ori Firmware-ul aparatului. Astfel, considerăm că nu sunt întrunite condițiile unui acces ilegal la un sistem informatic (faptă prevăzută și pedepsită de art. 42 din Legea 161/2003).
Mai mult, chiar folosirea sintagmei „accesarea rețelei Wi-Fi” este de natură să producă anumite confuzii, întrucât utilizatorii realizează doar o conectare la serviciile de Internet furnizate (prin unde radio) de către Router și nicidecum o „intrare” (în tot sau doar într-o parte) în sistemul informatic reprezentat de router și restul dispozitivelor electronice echipate wireless aflate într-o relație similară de „conectare” cu punctul de acces.
Dacă, însă, nu conectarea la Internet, ci Punctul de Acces sau rețeaua Wi-Fi (protejată sau nu) reprezintă țintele persoanei interesate (ex.: hacker, cracker), pot exista incriminări în baza art. 42 din Legea 161/2003 doar cu condiția să existe probe (digitale) relevante din care să rezulte intenția făptuitorului de a accesa setările sau fișierele Routerului ori de a interacționa cu celelalte componente ale rețelei (computere, telefoane inteligente, PDA-uri etc.). Tehnic, acest lucru este posibil, dacă sunt efectuate anumite setări în sistemul de operare al dispozitivului „intrus” ori prin folosirea unor aplicații dedicate.
Pe de altă parte, din punct de vedere strict tehnic, simpla conectare la semnalul Internet Wi-Fi se poate realiza adesea automat, în funcție de setările dispozitivului folosit de prezumtivul făptuitor, fără știrea acestuia, în acest caz fiind exclusă existența vinovăției, deci și a infracțiunii.
Opiniile exprimate de unii specialiști, potrivit cărora ne-am putea afla în condițiile ”interceptării fără drept a unei emisii electromagnetice provenită dintr-un sistem informatic ce conține date informatice care nu sunt publice…” (art. 43 alin 2 din Legea 161/2003) nu sunt pertinente și sustenabile, întrucât datele informatice conținute în emisia electromagnetică (respectiv broadcast-ul radio) purtătoare a semnalului Internet sunt publice.
În aceste condiții, singura posibilitate de încadrare juridică a conectării la serviciile de comunicații electronice furnizate de un punct de acces Wi-Fi ar putea să o reprezinte infracțiunea de furt (prevăzută și pedepsită de art. 208 alin 2 Cod Penal), în condițiile „furtului unei energii care are valoare economică”, întrucât semnalul Internet, respectiv accesul la serviciile societății informaționale, sunt obținute de proprietarul, deținătorul ori utili-zatorul legal al Routerului IP de la un furnizor de servicii Internet (ISP) în schimbul unei sume de bani (abonament lunar etc.).
Această încadrare este, bineînțeles, forțată și oarecum imorală, însă, până la o reglementare adecvată, poate fi practică mai ales în cazul rețelelor (punctelor de acces) private. Susținătorii (și practicanții) piggy-backing-ului sunt de părere că acțiunile lor seamănă mai degrabă cu:
– citirea ziarului într-un mijloc de transport în comun, peste umărul celui care l-a cumpărat;
– ascultatul și dansatul pe muzica pusă de un vecin;
– odihnitul pe o bancă într-un loc public;
– cititul noaptea la lumina unei lămpi stradale;
– mâncatul resturilor unui client într-un restaurant.
În replică, oponenții piggybacking consideră că aceste fapte sunt similare cu:
– intratul în locuința altuia pe motiv că “ușa era deschisă”;
– agățatul pe spatele unui mijloc de transport în comun pentru a călători gratis;
– conectarea la cablul de curent electric sau cel de TV al vecinului (abonat).
Totuși, în procesul de reglementare corespunzătoare a acestei fapte, trebuie avut în vedere că piggybacking-ul este din ce în ce mai utilizat de către acele persoane care intenționează să desfășoare activități infracți-onale în mediul cibernetic, cum ar fi: furt de identitate, phishing (Tip de fals informatic prin care un utilizator este ademenit, prin mijloace de comunicare abile cunoscute sub numele de inginerie socială, să acceseze o anumită pagină web contrafăcută, aflată sub controlul atacatorilor, și să furnizeze date personale sau date financiar-bancare), fraudă informatică, pharming (Tip complex de fals informatic prin care atacatorul reușește să modifice în cadrul unui server DNS (Sistem Nume de Domeniu) datele de corespondență între numele de domeniu și adresele IP asociate în scopul de a determina un anumit utilizator să acceseze pagini web contrafăcute pentru a furniza date personale sau financiar-bancare etc.), pornografie infantilă online, keylogging (Instalarea, în mod direct sau de la distanță, a unui dispozitiv electronic ori program informatic, special create pentru a capta, stoca și transmite la distanță (folosind în mod ascuns protocolul SMTP) a codurilor generate prin apăsarea tastaturii unui PC. În acest mod, atacatorul poate obține date personale și financiare, parole și ID-uri de acces, conținutul documentelor redactate, al email-urilor sau mesageriei instant (chat), istoricul accesărilor web (URL) ori capturi video ale paginilor web vizitate de victimă), e-mail spoofing (Tehnică prin care atacatorul informatic modifică datele din antetul unui mesaj de poștă electronică în scopul inducerii în eroare a destinatarului cu privire la adevărata sursă a mesajului), spam (Trimiterea de mesaje comerciale nesolicitate prin intermediul mijloacelor de comunicații electronice, de obicei, poșta electronică), denial-of-service (Atac informatic ce vizează perturbarea funcționării unui sistem informatic prin inundarea porturilor acestuia cu solicitări false care determină în cele din urmă „refuzul serviciului”).
Prin utilizarea punctelor de acces la Internet Wi-Fi neprotejate, persoanele rău intenționate mizează pe posibilitatea ascun-derii propriei identități, întrucât la nivelul furnizorului de servicii Internet va fi vizibilă exclusiv adresa de IP a routerului asociată în mod unic cu persoana abonatului.
Chiar dacă, în raport cu routerul IP, dispozitivul Wi-Fi intrus va comunica propria adresă fizică de rețea (adresa de MAC Media Access Control), pe toată durata conexiunii, identificarea acestuia, respectiv a posesorului (făptuitorului) va fi extrem de dificilă (dacă nu imposibilă), mai ales în condițiile în care acesta s-a aflat o singură dată și doar pentru o scurtă perioadă de timp în raza de acțiune a punctului de acces.
Pentru ca această analiză juridico-tehnică să concluzioneze într-un demers concret, consider că următoarea propunere de lege ferenda ar fi utilă în eventualitatea unei viitoare reglementări penale sau contravenționale a accesului la Internet prin intermediul rețelelor Wi-Fi (și nu numai), astfel:
„obținerea de servicii de comunicații electronice prin conectarea la un punct de acces și utilizarea acestora fără permisiunea celui în drept să o acorde este infracțiune (contravenție) și se pedepsește cu închisoarea de la… luni la….ani (sau cu amendă de la …lei la … lei)” urmând ca permisiunea să se prezume a fi acordată în condițiile în care:
– Punctul de acces la serviciile societății informaționale este public;
– Conectarea se realizează la un punct de acces situat într-un loc public și neprotejat prin măsuri de securitate.
Nu în ultimul rând, unii operatori de telecomunicații sau furnizori de servicii Internet au prevăzut, în cuprinsul contractelor de abonament încheiate cu clienții, interdicția ca aceștia să redistribuie, la rândul lor, semnalul către alți utilizatori (indiferent de modalitatea de realizare: cablu sau wireless). Încălcarea acestei inderdicții poate avea numai caracter contravențional, în plus existând și posibilitatea restricționării sau chiar a încetării furnizării serviciului de comunicații electronice.
Ca o concluzie, putem afirma că, cel puțin până la o reglementare adecvată a situațiilor descrise anterior, asigurarea unui climat propice dezvoltării societății informaționale și stimularea mobilității conectării cetățenilor la aceste ser vicii (inclusiv prin intermediul rețelelor Wi-Fi) rezidă în aplicarea corespunzătoare a principiilor culturii de securitate în domeniul IT&C.
Autor: Maxim Dobrinoiu
