涉網犯罪日趨多發 電子取證怎樣鎖定“黑手”
涉網際網路犯罪日趨多發新技術應用增加取證難度
大資料時代電子取證怎樣鎖定“黑手”
隨著網際網路和計算機技術發展,電子資料蒐集和審查判斷已經成為刑事司法活動中的基礎性、普遍性工作。2016年,最高人民法院、最高人民檢察院、公安部聯合釋出《關於辦理刑事案件收集提取和審查判斷電子資料若干問題的規定》,這一“規定”是我國電子資料取證相關法律法規不斷髮展完善的必然結果。
基於大資料、人工智慧帶動的公有云計算的市場需求空間,使得資料越來越多地從終端裝置向雲端遷移,同時很多涉網犯罪行為也向雲端遷移。鑑於雲計算模式下網路犯罪更趨複雜,當務之急是落實運營商主體責任。根據反恐怖主義法和網路安全法規定,網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支援和協助
□ 本報記者 杜 曉
□ 本報實習生 張希臣
9月16日至9月24日是國家網路安全宣傳週,其間,如何進一步打擊網路犯罪、有力保障網路安全成為社會各界關注的焦點。
近幾年,網路犯罪日趨多發,與之對應,在打擊網路犯罪中越來越多運用到電子取證。
電子取證,是指利用計算機軟硬體技術,以符合法律規範的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、儲存、分析和出示的過程。
最高人民法院、最高人民檢察院、公安部曾聯合釋出《關於辦理刑事案件收集提取和審查判斷電子資料若干問題的規定》,其中指出,“電子資料是案件發生過程中形成的,以數字化形式儲存、處理、傳輸的,能夠證明案件事實的資料”“偵查機關應當遵守法定程式,遵循有關技術標準,全面、客觀、及時地收集、提取電子資料;人民檢察院、人民法院應當圍繞真實性、合法性、關聯性審查判斷電子資料”。
在近日召開的第五屆中國網際網路安全大會電子取證技術與發展論壇上,業內有關專家對與電子取證有關的若干問題進行了詳細探討。
電子取證相關法律法規不斷完善
“電子證據第一次出現是在1998年,當時公安機關網安部門在偵辦某網路案件時對有關證據進行了提取,並被法院採納。在具體法律規定方面,我國較發達國家而言相對晚一些,其中一方面在於可以用於證明案件事實的材料都是證據,與案件相關的電子證據自然屬於證據範疇;另一方面在於刑事訴訟法中將證據種類限定為7種,並沒有設定電子證據。2012年3月14日,第十一屆全國人民代表大會第五次會議通過了《關於修改〈中華人民共和國刑事訴訟法〉的決定》,根據該決定,電子證據成為法定證據型別,進一步適應現代化技術的發展,進一步豐富了證據範圍,困擾才得到解決。”原公安部網路安全保衛局巡視員顧堅說。
2016年,最高人民法院、最高人民檢察院、公安部聯合釋出《關於辦理刑事案件收集提取和審查判斷電子資料若干問題的規定》時,顧堅曾參與起草和制定工作。
據顧堅介紹,“規定”的出臺有著多重背景,其中包括:截至2017年6月,中國網民規模已經達到7.51億,手機網民規模達到7.24億,佔比達96.3%;針對網際網路的犯罪日益猖獗,我國已經成為“駭客”攻擊破壞的主要國家之一;網路賭博、詐騙、網上販賣公民個人資訊等利用網際網路的違法犯罪形勢嚴峻,嚴重汙染網路環境;網路犯罪趨勢日益凸顯,大量犯罪實施均藉助網路技術運用而實現,技術門檻和犯罪成本大大降低,犯罪規模和危害程度擴大,犯罪分工更加精細,犯罪手法更加複雜;恐怖分子利用網路製作傳播暴力恐怖的影片,煽動實施恐怖活動。
“隨著網際網路和計算機技術發展,電子資料蒐集和審查判斷已經成為刑事司法活動中的基礎性、普遍性工作。2015年,公安機關網安部門辦理網路犯罪案件的數量已經超過了17萬起,但是由於電子資料的專業性很強,公檢法部門在司法實踐中對電子資料的證據規格、效率和證明率等問題缺少統一的判定標準,已有規定操作性不強,相關證據依然難以採納,影響了司法活動的順利開展。”顧堅說。
顧堅認為,“規定”的出臺是我國電子資料取證相關法律法規不斷髮展完善的必然結果。 據介紹,“規定”解決的主要問題包括:
對現有電子證據規則、司法操作性不強的問題,在《最高人民法院關於適用〈中華人民共和國刑事訴訟法〉的解釋》確立了電子證據基本規則的基礎上,進一步提出電子證據蒐集、提取、審查、判斷的基礎方法;
對現有法律法規缺乏對電子證據明確定義的問題,進一步明確了電子證據的內涵和外延,對證據型別進行列舉,特別是對數字化形式的證人、證言、被害人陳述口供和辯解、筆錄等證據與電子證據的關係問題進行了明確。
針對雲計算、大資料管理下難以將海量資料分層、扣押以及資料難以調取的問題,根據實踐作用提出了凍結的措施,為該類電子證據固定難題提出了法律解決的依據;
對電子證據蒐集過程中規範的問題,進一步梳理電子證據的蒐集面臨的各種情形,確定了以原始儲存為主、直接或遠端提取為輔、列印拍照為例外的蒐集提取規範,明確了電子證據蒐集的圖紙、電子證據調取、電子證據檢查、偵查實驗有關流程規範,並規定了相關筆錄、見證人及錄影要求;
對司法實踐中電子證據審查難的問題提出了電子證據真實性、合法性、判斷的要點,將電子證據完整性納入真實性範疇之中,提出了完整性的保護和審查方法,明確了電子證據、瑕疵證據和非法證據的情形;
對現有電子證據有關規定過於分散和零散問題,對已有電子證據有關條款集中進行了彙編。
簡而言之,這個規範性檔案是截至目前辦理刑事案件中涉及電子證據問題最為全面的規範性檔案。
雲計算環境下電子取證難度加大
雲計算是網際網路未來發展趨勢之一,對於電子取證也帶來了深遠影響。
“雲計算是以最簡便的途徑和按需的方式透過網路配製計算資源。2017年,中國公有云(通常指第三方提供商為使用者提供的能夠使用的雲)市場規模將超過150億元,基於大資料、人工智慧帶動的公有云的市場需求空間,使得資料越來越多地從終端裝置向雲端遷移,同時很多涉網犯罪的行為也向雲端遷移。比如,在2014年,某著名遊戲公司受到流量攻擊有453.8GB。再比如,像iCloud資料的外傳,某電商洩露了大量個人資訊等。還有一些利用雲盤傳播淫穢色情資訊牟利案件。為什麼我們提出凍結的操作方式?因為需要在這些案件中進行取證調查。至去年10月,網路犯罪數量已經佔犯罪總數的三分之一,我們面臨的現實危險主要來自於網路空間。”公安部第三研究所所長助理、首席科學家、公安部網路偵查技術研發中心副主任金波說。
金波認為,雲計算一定要看其本身的計算模式和傳統模式的差別,傳統IT不管是在企業網還是在網際網路上,除了網路這個層次的資源可能是公有的外,其他的資源都是私有的。“當我們說起雲計算,就必然要從雲計算模式與傳統IT相比帶來的變化出發,我們就必然面臨雲計算模式下的一些困難。比如,怎麼蒐集雲平臺的資料、蒐集以後怎麼分析、資料蒐集怎麼定位等。再比如,雲上IP並不意味著是真實IP地址,其中就涉及管轄問題,另外由於雲端儲存的資料用完以後隨時會釋放掉,怎麼固定也是一個問題”。
除此之外,在雲計算模式下,調查取證還面臨其他困難。
“雲平臺的共享特點使得涉案虛擬伺服器所掛載的虛擬硬碟等資料處於離散狀態,部分雲服務提供商甚至採用了動態伸縮的儲存技術,虛擬伺服器釋放出來的空間會被立即分配給其他虛擬伺服器使用。如果我們做靜態分析,不同服務商的格式可能不一樣,海量的資料難以分析。另外,雲服務商提供的不是一臺虛擬機器,而是提供虛擬網路服務,要構建出整個雲服務的環境,不僅僅是把一臺虛擬機器請來就行,這時候怎麼進行組網?這是很迫切的問題。”金波說,像公有云服務,用完以後可以馬上釋放掉資料,再想找到就會很困難。有些不法分子作案後將伺服器一刪了事,再查就非常困難了,這就提出了時效性的需求。
“我們一定要在伺服器被釋放之前能夠做好這些伺服器的工作,這幾乎是對抗雲反取證的唯一手段。”金波說。
鑑於雲計算模式下網路犯罪更趨複雜,當務之急是完善制度,落實運營商主體責任。
“今年,公安部網安局專門出臺了一個部門規章,對雲服務提供商在協助調查取證以及安全管理方面提出了要求,這是一個非常重要的雲計算合規要求。”金波說。
據金波介紹,上述規章要求雲服務提供商要有專門隊伍配合公安機關工作,這些人員要進行專門的培訓、簽訂保密協議。此外,還有相應的技術標準。
“另外,還有一個制度設計是關於基礎建設的。我們要求雲服務提供商要落實安全基礎措施,做好流程,為公安機關防範、調查違法犯罪活動提供必要的技術解密、技術支援和協助,這實際上就是一個服務提供商的主體責任落實。”金波說,反恐怖主義法第十八條規定,電信業務經營者、網際網路服務提供者,應當為公安機關、國家安全機關依法進行防範調查提供技術介面和解密等技術支援和協助。網路安全法第二十八條規定,網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪活動提供支援和協助。雲服務提供商應建立涉嫌違法犯罪的線索報告和配合調查制度,發現違法犯罪及異常情況應保留相關證據,24小時之內向當地公安機關報告。
雲服務商協助取證要留存哪些資料?
金波認為,這些資料包括雲U註冊資料、使用者資源使用資料、使用者業務資料、網路流量日誌、安全事件資料和其他服務。
二維碼犯罪取證首先在於解析
二維碼犯罪是當前比較常見的網路犯罪形式。
“現在的二維碼非常普遍,我們都接受了這種方式。二維碼從出現到現在不過兩三年的時間,但是普及非常迅速,其中的關鍵原因是太方便了。二維碼鋪天蓋地而來,很多小朋友都知道掃一掃。”山東警察學院網路空間安全與執法協同創新中心秘書、電子學會取證專委會委員張璇說。
二維碼的廣泛應用給一些不法分子以可乘之機。
“二維碼的替換非常容易,不需要技術含量,生成和變造是非常簡單的。二維碼支付也越來越簡便,我們不用像原來那樣需要專業的裝置,只要手機這樣一個終端就可以完成二維碼支付活動。普通群眾可能根本分不清什麼是付款碼和收款碼,所謂收款和付款是相對於使用者來說的。很多不法分子會利用大家對二維碼認識的不足,騙取大家的付款碼,相當於不法分子獲取了我們的付錢憑證。二維碼本身的變造也非常容易,如果是一個PS高手,他會把二維碼PS成各種新鮮的格式,就是為了誘導大家掃這個二維碼,如果其中有一些木馬程式,危害可能就比較大了。”張璇說。
當二維碼犯罪出現後,應該如何追查?
“第一步就是解析二維碼,解析出來到底是惡意的資訊還是支付的二維碼。如果是惡意資訊,我們就可以進一步進行研判;如果是支付相關的資訊,我們要分辨到底是收款碼還是付款碼,然後調取第三方支付平臺上的對應賬戶。第三方支付平臺並沒有很好地提供解析工具,如果要作為證據來用,但他們不能蓋章。現在只能是透過受害人資金的流水來進行關聯,受害人在什麼時間支付了哪一筆錢到什麼賬號,如果能和二維碼對應起來,就可以作為證據鏈條,下一步還需要第三方支付平臺提供這樣的解析工具。”張璇說。
一個騙碼團伙的犯罪鏈條是怎樣的?
“我們從聊天記錄中發現,他們只是一個負責騙碼的團伙。有了二維碼怎麼變成錢呢?他們有非常成熟的鏈條,有時候不是自己來掃,而是讓專門的掃碼團伙來掃,這些團伙成員是註冊了很多虛假身份的商戶,他們有POS機等裝置。另外,掃碼團伙還會把結果再交給第三方平臺進行解碼。整個鏈條是一個大的體系,是一個產業鏈。如果我們要取證,就涉及到二維碼的犯罪取證,我們首先要搞清楚在整個犯罪行為中是如何應用二維碼的,第二就是如何解析二維碼,第三就是要把受害人資金的流水和二維碼做一個對應,目前來看還值得改進。”張璇說。
取證過於依賴自動化是好是壞
隨著電子取證的發展,也引起了越來越多的思考。
遼寧省大連市公安局網安支隊七大隊大隊長、全國刑事技術標準化技術委員會電子物證分技術委員會專家、中國合格評定國家認可委員會主任評審員劉浩陽從中總結了電子取證的經驗。
“自動取證這個功能現在非常普及和流行,但從實際來講,我們一直對自動化取證有爭議,那就是自動化取證究竟是提高了我們的能力還是降低了我們的能力。”劉浩陽說,“剛開始從國外引進電子資料取證時叫計算機取證,主要針對桌上型電腦取證,後來出現了筆記本,再後來就是我們現在最流行的手機,未來可能是雲計算和物聯網裝置。”
就手機取證而言,劉浩陽認為,手機實際上包含了所有的個體資訊,包括物理身份和虛擬身份,尤其是虛擬身份。目前來看,手機網民遠遠超過了PC網民。“手機是我們現在每個人必不可少的東西,手機一直是取證的一個焦點,也是近些年來電子資料取證發展非常迅速的一個部分。手機取證裝置也非常多,從實際來講,當你擁有一套手機取證裝置時,不需要解鎖直接拿來就可以了,裡面儲存了大量的資料”。
劉浩陽在對比了6個手機取證工具之後認為,“現在取證工具的穩定性和可信性是最大的問題。這些工具的原理其實非常簡單,在突破手機的安全機制後,實際工作的目標或者物件就是手機裡的資料庫,但是這些工具多多少少都犯了一些錯誤,要麼是解析不到位,要麼是解析錯誤”。
近年來,有關部門在打擊偽基站犯罪方面取得了一系列成果,對取證工作也有一定啟示。
據劉浩陽介紹,偽基站就是未取得電信裝置進網許可和無線電發射裝置型號核准,能夠搜尋手機使用者資訊,是電子裝置的一種。“偽基站基本是工作在900赫茲形態中,大家見得多的是車載偽基站,也就是在執行汽車上查獲的,更加隱蔽的偽基站是潛入在車體內部的。此外,還有揹包型、固定型等”。
“之前曾經發布過《關於辦理擾亂無線電通訊管理秩序等刑事案件適用法律若干問題的解釋》,一直到今年釋出的《關於審理破壞公用電信設施刑事案件具體應用法律若干問題的解釋》,這個檔案目前是權威性的解釋。偽基站的執行原理比較複雜,其中儲存的資料有幾種,第一種就是存在系統裡,第二種是有一個數據庫,第三種就是其桌面上會有一系列的TST檔案。現在還沒有純粹的偽基站取證工具,因為還沒有人把偽基站的原理了解得如此透徹。我們在寫偽基站的材料時,把所有程式碼都看完了,寫了70多個小時,將近好幾百頁。專家型的取證從業者應該高於自動取證,天天依賴自動取證功能,水平能力會越來越差。”劉浩陽說。
製圖/李曉軍
連結
《中華人民共和國反恐怖主義法》第十八條規定,電信業務經營者、網際網路服務提供者應當為公安機關、國家安全機關依法進行防範、調查恐怖活動提供技術介面和解密等技術支援和協助。
反恐怖主義法第八十四條規定,電信業務經營者、網際網路服務提供者未依照規定為公安機關、國家安全機關依法進行防範、調查恐怖活動提供技術介面和解密等技術支援和協助的,由主管部門處二十萬元以上五十萬元以下罰款,並對其直接負責的主管人員和其他直接責任人員處十萬元以下罰款;情節嚴重的,處五十萬元以上罰款,並對其直接負責的主管人員和其他直接責任人員,處十萬元以上五十萬元以下罰款,可以由公安機關對其直接負責的主管人員和其他直接責任人員,處五日以上十五日以下拘留。
《中華人民共和國網路安全法》第二十八條規定,網路運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支援和協助。
網路安全法第六十九條規定,網路運營者違反本法規定,拒不向公安機關、國家安全機關提供技術支援和協助的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下罰款。