如何應對越來越高發多變的網路犯罪?
據統計,中國網路犯罪占犯罪總數的1/3 ,並以每年30%以上速度增長。面對網路犯罪持續高發多發、犯罪形勢複雜多變的態勢,要求我們對網路犯罪要有全面深入的認識,以應對打擊網路犯罪偵查變革性的要求。
今天小編就要給大家推薦一篇關於網路犯罪介紹的深度文章,詳細的介紹了我國網路犯罪發展歷程與趨勢、網路犯罪調查策略發展、灰色產業鏈打擊治理難點、網路犯罪與電子取證,希望這篇文章能讓大家對網路犯罪有更深入的了解和認識。
本文內容轉載於微信公眾號網安雜談,內容稍有刪減。
前言
2018年1月31日,中國互聯網路信息中心(CNNIC)發布第41次《中國互聯網路發展狀況統計報告》截至2017年12月,我國網民規模達7.72億,普及率達到55.8%,手機網民規模達7.53億,我們越來越真切的感受到,網路與空氣、水一樣,給我們創造了一個賽博空間。隨著人工智慧、虛擬現實、物聯網、雲計算、大數據等技術的進步,將來現實社會中的犯罪類型會更多的發生在網路空間,並且可能滋生出網路空間特有的犯罪類型。今年總理在政府工作報告中提出:「推進平安中國建設,嚴密防範和堅決打擊暴力恐怖活動,依法開展掃黑除惡專項鬥爭,懲治盜搶騙黃賭毒等違法犯罪活動,整治電信網路詐騙、侵犯公民個人信息、網路傳銷等突出問題,維護國家安全和公共安全」,可見網路空間環境的平安已經成為平安中國重要的組成部分。
網路犯罪(Cyber Crime)並不是獨立於傳統犯罪的全新犯罪類型,而是犯罪在信息時代的必然發展。互聯網+犯罪時代,傳統犯罪由「現實空間」延展為「現實空間」和「網路空間」,犯罪行為跨越網路空間和現實社會兩個平台 。恐怖主義、分裂主義、極端主義等勢力利用網路煽動、策劃、組織和實施暴力恐怖活動;網路欺詐、黑客攻擊、侵犯個人信息等不法行為高發,嚴重損害國家、企業和個人利益,影響社會和諧穩定。據統計,中國網路犯罪占犯罪總數1/3 ,並以每年30%以上速度增長。
根據某互聯網公司的調研和測算,中國黑灰產業規模大概在1000億左右,從事互聯網底下黑色產業鏈的規模大概超過40萬人。其中包括觸及法律底線,構成網路犯罪的行為,也包括利用網路規則漏洞,從事灰色產業的從業者。網路犯罪已經發展為成熟的產業鏈條,分工明確,環環相扣,各取所需,危害整個網路生態安全。目前以電信詐騙為代表的網路犯罪已成為影響社會穩定和群眾安全感的突出犯罪問題。
面對網路犯罪持續高發多發、犯罪形勢複雜多變的態勢,對網路犯罪偵查打擊也提出了變革的要求,執法機關應該建立科學指揮、技術支撐的新機制,提高防範打擊新型犯罪的能力和水平。
互聯網+犯罪的時代,電子證據無疑是證明網路犯罪事實的最佳武器,如果想了解網路犯罪調查與電子數據取證,推薦三部影視劇《網路犯罪調查》(CSI:Cyber)、《幽靈》和《巨額來電》。
第1章 網路犯罪簡介與發展歷程
(一)網路犯罪
簡言之,網路犯罪(Cyber crime)是針對和利用網路進行的犯罪。大家可能注意到了,我們這裡用得是Cyber,而不是Network或Internet,原因就是網路空間已經成為我們賴以生存的第五空間。
網路犯罪並非法定概念,不是刑法中單獨規定的罪名,而是犯罪學意義上對一類犯罪的統稱。網路犯罪表現形式多種多樣。狹義的網路犯罪是指刑法所規定的網路犯罪活動。按照《中華人民共和國刑法》可將網路犯罪分為以網路為對象的犯罪和以網路為工具的犯罪。包括非法侵入計算機系統、破壞計算機信息安全,及以計算機為犯罪手段的各種犯罪活動,利用計算機實施盜竊、詐騙、非法經營活動等。從廣義的角度看,只要涉及計算機和網路的犯罪行為都是網路犯罪。
廣義的網路犯罪定義太過寬泛,使網路犯罪的內涵和外延的界限模糊不清。目前理論界多使用狹義概念,但隨著網路犯罪的發展,新形式的網路犯罪例如網路空間犯罪講逐漸增多,使用狹義的網路犯罪概念同樣是值得探討的。
在偵查實踐中,2014年最高人民法院、最高人民檢察院、公安部發布《關於辦理網路犯罪案件適用刑事訴訟程序若干問題的意見》,明確網路犯罪案件主要包括以下四種形式:危害計算機信息系統安全犯罪案件;通過危害計算機信息系統安全實施的盜竊、詐騙、敲詐勒索等犯罪案件;在網路上發布信息或者設立主要用於實施犯罪活動的網站、通訊群組,針對或者組織、教唆、幫助不特定多數人實施的犯罪案件;主要犯罪行為在網路上實施的其他案件。
從公安實戰的角度出發,公安管轄職能下經常涉及的計算機信息網路犯罪案件的具體類型可分為:案件侵害的客體為計算機信息系統或計算機信息網路;主要犯罪行為通過計算機信息系統或計算機信息網路實施;被害人的損失主要體現在計算機系統或計算機信息網路內;案件與計算機信息系統或計算機信息網路無關,但留有線索的。
(二)網路犯罪發展趨勢
1.萌芽期
回顧網路犯罪的發展過程,大家可能並不了解我們國家第一起計算機犯罪是什麼時間。經考證我國第一起網路犯罪,教科書里是這樣寫的,1986年深圳破獲了我國第一起計算機犯罪案件。作案者是中國銀行深圳分行蛇口支行會計兼電腦控制機主管員陳某和中國銀行深圳分行東門支行會計蘇某。先由陳犯盜抄銀行帳號,非法查閱帳戶情況,偽造中國銀行電腦活期儲蓄存摺,後由蘇犯憑假存摺按銀行手續順利騙取出現金3萬元港幣和2萬元人民幣。陳犯於1987年1月29日投案自首。同年6月,陳、蘇二犯被判有期徒刑6年。
2.發展期
時間來到了2006年,很多人都對這個可愛的小熊貓圖標記憶尤新。熊貓燒香病毒被評為2006年毒王,感染百萬台機器,造成大量數據被破壞,編寫者李俊也成為大家口中的傳奇,當時採用了多種方式傳播病毒,以自己出售和由他人代賣的方式,在網路上將該病毒銷售給120餘人,非法獲利10萬餘元。李俊也因此獲刑三年,並成為國內因製造病毒而獲刑的第一人。
實際上在熊貓燒香案中,已經形成了龐大的犯罪鏈條中,處於利潤最豐厚環節的「老闆」,可能通過比「熊貓燒香」隱蔽得多的病毒,或者是其他不為外人所知的手段,每個月攫取200萬元的財富。
這一時期網路犯罪套路日漸成熟,他們追逐的兩大目標,一個是數據,一個就是流量。但相應的法律法規遠遠沒有跟上犯罪的發展,據說很多安全圈大佬的安全之路就是從2000年左右起步的,從抓肉雞(攝像頭看妹子)、破解遊戲開始的。
3.專業化運作期
十年之後的2016年,徐玉玉案獲得了大家的廣泛關注。這個案例從專業化的角度來看並不是那麼複雜,他們從網上買來數據,數據是黑客從某報名信息平台當中竊取的,利用web漏洞攻擊進入之後進行脫庫,陳文輝從網上找來劇本、電話卡、銀行卡、身份證,然後指揮自己的人進行詐騙,取款的團伙是位於福建泉州。這種手法具有很強的地域性特點。
實際上2016年暑假還有兩起學生被詐騙不幸去世這樣的新聞。細究之下,他們分別採用了不同的犯罪手法。
同樣是山東臨沂發生的宋振宇被詐騙案,宋振寧手機上接收到一條顯示發自「95599」的簡訊,稱他的一張信用卡將被扣除1980元的年費。於是就撥打簡訊中留下的電話,假冒的銀行客服說他有大額不正常消費,讓其撥打警察電話,宋信以為真,撥打了冒充警察的電話,騙子以各種借口誘騙受害人向指定賬戶轉賬匯款。實際上這條簡訊是偽基站發出的。
廣東省惠來縣高考錄取新生蔡淑妍接到不法分子假冒「奔跑吧,兄弟」欄目組發出的虛假中獎簡訊,蔡淑妍回撥簡訊中的電話號碼,被嫌疑人誘騙點擊登錄釣魚網站,並填入相關個人信息。隨後,嫌疑人又以繳納「保證金」、「個人所得稅」等理由誘騙受害人向嫌疑人提供的賬戶匯款,分三次共匯入9800元。犯罪嫌疑人陳某等在海南海口設立簡訊群發和釣魚網站窩點,指使另外的人員海南儋州設立話務詐騙窩點。犯罪嫌疑人首先使用電腦軟體群發虛假中獎簡訊,然後由話務窩點人員誘導受害人點擊釣魚網站獲取精確個人信息,再以各種理由誘騙受害人向嫌疑人提供的賬戶匯款。
這三個令人心痛的案例告訴我們,網路詐騙的專業化運作已成熟,而且帶有鮮明的地域特色。
2017年11月29日,國務院打擊治理電信網路新型違法犯罪工作部際聯席會議辦公室發出通報,決定對10個掛牌的電信網路詐騙犯罪及傳統盜搶騙犯罪重點地區予以摘牌,同時宣布啟動第二輪重點地區掛牌整治工作,並新增福建安溪縣等9個重點地區實行掛牌整治。截至目前,全國共有13個電信網路詐騙犯罪重點地區為:福建安溪縣(赴境外詐騙窩點作案人員流出地);福建南靖縣(赴境外詐騙窩點作案人員流出地);湖北孝昌縣(虛假辦卡貸款詐騙);廣東饒平縣(遊戲幣詐騙);廣西陸川縣(福利彩票中獎詐騙);海南東方市(遊戲幣詐騙);遼寧鞍山市(生產銷售「黑廣播」);河南上蔡縣(冒充軍人採購詐騙);湖北仙桃市(冒充公檢法詐騙);湖南雙峰縣(PS照片詐騙);廣西賓陽縣(QQ詐騙);海南儋州市(機票改簽詐騙);四川德陽市(利用網上點卡平台洗錢詐騙)。
4.網路犯罪2.0
2017年還發生了一個特別典型的案例,受害人不知不覺的時候他的錢已經沒有了,也沒有什麼明顯的徵兆。盜竊分子從網上購買受害人個人信息四大件(身份證、銀行卡、密碼、手機號),購買之後進行釣魚簡訊傳播,我們看到這個圖裡面他要去綁定受害人的手機號作為副號,如果受害人他的手機在關機狀態下,發的簡訊全轉到詐騙人手機上去。因為受害人用的是某品牌智能手機,該手機雲服務功能很強,可以發送銷毀資料,還可以強制關機。他通過某電商平台消費、貸款,一共竊取了5萬多元。
這個案例給我們的警示是:相當長時間以來,我們對個人信息的保護意識不足,打擊治理不到位,造成我們個人的信息已經是相當的泛濫。冰凍三尺非一日之寒。行話中把各種個人信息稱為料,根據來源不同又分為菠菜料、軌道料、攔截料、釣魚料等等,泄露個人信息的途徑太多了。基於精準的數據分析,專業化體系運作,專門化技術服務,網路犯罪已然進入2.0時代。
這是一個日新月異的時代,太多新事物湧現,我們目睹了太多網路犯罪的發生,勒索軟體攻擊醫院等關鍵信息基礎設施,幣安遭遇「黑客+金融」式割韭菜等等事件,讓我們真切的感受到網路犯罪的威脅確實無處不在。魔高一尺,道高一丈,網路犯罪的威脅不斷增多,影響更為深遠,反觀我們是否已經具備了與之抗衡的資源與素養?
(二)網路暗流
在網路犯罪的暗流中可以看到各種形形色色的團伙,他們的目標就是一個,錢。而錢是建立在流量和數據的基礎上。
我們可以把整個網路暗流分為三個層次,第一個層次就是基礎的設施,既然要實施網路的詐騙,必然要有域名,網路的接入,存儲的空間、支付的流通、通訊的線路。還有專門對他們的犯罪行為進行犯罪服務的,比如黑客技術,黑客攻擊,木馬研發,推廣傳播,數據交易、黑卡買賣。真正犯罪實施的環節是我們受害人能夠感受到,但上游的這些環節可能受害人不能直接感受到,但對整個網路環境是巨大的破壞。網路安全生態確實需要大家共同努力和擔當。
當然,網路詐騙作為一類網路犯罪,是目前我們最關注,打擊力度最大的,但並不是網路犯罪的全部。從網路作為犯罪的對象,到網路作為工具,再到網路作為犯罪空間,立法在逐步適應和修改,但應當看到,面對新的、變化迅速的犯罪類型,立法稍顯滯後。
(三)魔之進化
網路犯罪的進化速度是超出我們想像的,利益的驅使是第一動力。例如以Wannacry為代表的勒索軟體,其犯罪技術的迭代、方法的更新是相當快的。國內知名的詐騙重點地區廣西賓陽,詐騙嫌疑人最早通過QQ尾巴傳播木馬,後來盜號,播放針對性的詐騙留學生家長,目前最新犯罪手法是通過安卓木馬,攔截簡訊,進一步實施犯罪。
1.網路犯罪即服務
而且現在還有一個趨勢就是實施網路犯罪已有成熟的服務,原來我們可能需要有一些技術的基礎才能夠實施一些詐騙行為,比如真正搭個網站得找人幫忙搭,現在犯罪實施者只需要享受惡意軟體服務,勒索服務,DDOS服務就可以了,只要買平台帳號可以自動生成釣魚網站,成本和技術門檻進一步降低了。
2.隱秘信道&加密數字貨幣
藉助暗網的犯罪將會是未來打擊的難點,信息流方面以TOR為代表的匿名網路,資金流以比特幣為代表的加密數字貨幣,對網路犯罪調查溯源製造了障礙。大家對FBI 打擊絲綢之路、Alphabay等非法交易平台的案例津津樂道,然而,如果不是其管理員在暗網運營過程中出現了破綻,溯源和打擊的難度還是相當大的。
從Wannacry的肆虐到近期國內多家機構包括醫院遭受GlobeImposter等勒索軟體的攻擊,都採用了TOR匿名網路傳播信息+勒索Bitcoin、Dash等加密數字貨幣的模式,新的挑戰,也是全世界網路犯罪對抗面臨的共同問題。
3.身份認證機制突破
目前業內安全的一些基礎面臨巨大的挑戰,比如身份認證,很多應用要求要上傳手持身份證的照片,這樣一種驗證機制甚至我們手機號驗證碼驗證機制都不是特別完美,我們很多環節都可以進行突破,比如街頭辦一些活動,讓老頭老太太把身份證號拿手裡照一下,他都很願意的,釣魚wifi等等有很多環節。通過軟體能夠用人的照片自動的生成搖頭、點頭的動畫,這樣我們人臉識別進行身份驗證基礎面臨著威脅。
AI技術已經用在了網路犯罪的領域,打碼平台,原來是人工打碼,很多人一分鐘可以打好多,這是人海戰術,而現在更先進的一種打碼方式,通過分散式的AI驗證碼識別系統,進行人工智慧打碼,進一步降低了他們的成本。
第2章 網路犯罪調查策略發展
網路犯罪藉助互聯網隱蔽與無界的特點,與傳統犯罪相比,主要特點體現在手法新,利用的技術新。具有高發頻發、犯罪手段屢屢翻新、產業鏈複雜完善、侵財型案件多發、地域性明顯、跨地域作案等。在新形勢下,需要將一案一破的傳統思路,轉變為運用信息技術、大數據分析預測技術,立足防範,行刑銜接,打源頭、打團伙、打利益鏈條,既要懲戒犯罪分子,又要整治網路平台,徹底剷除滋生網路犯罪的源頭,切斷助推網路犯罪的黑色產業鏈。
網路犯罪調查首先需要解決的是虛擬世界的數據和現實社會人員身份落地關聯的問題。網路環境下的IP、域名、郵箱、社交網路賬號、網路流量、惡意代碼、設備指紋信息等數據,要落地轉換為實體世界的地址、交通工具、銀行賬號、電話、親友關係等。從數據到實體,調查的過程也是構建虛實世界關聯的過程。梳理近年來網路犯罪調查策略的進步,大致經過了三次大的跨越。
1.從傳統偵查方法向信息化偵查跨越
傳統案件偵查立足於現場和案件調查,運用刑事案件偵查的基本原理分析判斷案情,通過物證調查、摸排走訪等傳統偵查手段發現、查找犯罪嫌疑人。而網路犯罪痕迹存於網路,在整個犯罪過程中痕迹以電子形式存在。電子痕迹本質上是反映客體特徵的信息,遵循著從「物理空間」到「單機空間」再到「網路空間」的信息轉移規律。如果說DNA、指紋等與犯罪疑犯身份是直接的強聯繫,電子痕迹廣泛存在於網路空間,在很多時候需要經過複雜的梳理、分析、綜合、比對、關聯,剝繭抽絲,突破和跨越虛實空間的隔閡,才能真正追擊疑犯,懲治犯罪。
2.從被動偵查模式到情報主導警務
雲計算技術作為第四次產業革命的發展趨勢,將為公安信息化帶來創新式的突破。大數據警務雲建設將有效聚焦違法犯罪問題熱點區域和成因,指導集約化開展打防行動,把數據變成線索、把線索變成指令,起到主動預測犯罪、防範犯罪的作用。
縱觀警務信息化的發展歷程,從資源平台的初步建設到整合,再到運用雲計算等信息技術,利用大數據分析、預測方法進行案件偵查,20年的時間的發展,是案件偵查的需求,也帶動了偵查思維和模式的變革和發展,實現了從傳統偵查方法到信息化偵查的跳躍,也在情報主導警務理念指導下進行了很多有益的探索。
然而在網路犯罪高發的今天,僅僅依靠公安一家已經遠遠無法滿足實踐需求。要藉助社會、企業的力量,利用廣大的社會資源,才能真正實現精準打擊。
3.從事後打擊到打防控一體
網路犯罪職業化、動態化特點突出,作案手法不斷翻新,涉案資金轉移極快,作案過程隱秘。迫切需要打通公安內部各部門以及與通訊運營商、金融機構、互聯網企業之間的壁壘,從頂層設計、犯罪源頭治理,建立高效、便捷、全覆蓋的「跨界」合成作戰機制和一體化運作模式。
以近來危害突出的 「假冒公檢法詐騙」類案件為例, 此類案件往往涉案金額大,打擊難度大。分析其作案手法,專業化、集團化、跨境犯罪的特點非常鮮明。首先騙子通過各種途徑購買個人信息後,就會物色目標,撥打電話,通過編造涉案罪名製造恐慌,精心編造出洗錢、詐騙、販毒、逃稅等等各種罪名,攻破受害人心理防線。2016年清華教師被騙1700多萬的案例,就是受害人在賣房後信息被騙子獲取。騙子假稱其有偷稅嫌疑,利用受害人恐慌心理,進行詐騙。
根據已偵破的案例分析,這類案件信息流、資金流、通訊流的梳理複雜,由於犯罪人員位於境外,追蹤溯源需要跨境協作,款項難追回,同時還折射出相關部門在線路租借、呼叫改號、信息泄露方面監管不到位的情況。任何一種犯罪現象的發生都不是孤立的,在分析某種犯罪現象打擊難點的時候,都是需要我們反思和調整的時候。以珠海警方偵破的特大電信詐騙案件「4·30專案」為例,該案致使全國幾百位名受害人被騙3000多萬元,但為偵破案件,打擊投入成本1000多萬元,贓款大多沒有被追回。因此,單純的被動打擊成本高,難以挽回經濟損失,必須轉變思路,打防控一體。
快速層層分解的資金流動是有規律的,具有明顯的特徵。反洗錢法明確了大額交易和可疑交易報告制度並制定了相應的管理辦法,如果可以通過大數據分析研判模型,深度研判、比對、提鍊形成指向明確的行動線索,進行精準打擊,同時從通訊流、資金流的異常發現犯罪線索,進行境外電信詐騙電話攔截、漫遊境外詐騙電話關停、涉案銀行賬戶預警等防範工作。
網路犯罪的打擊講究道法自然,也就是充分了解犯罪規律,建立數據模型,進行溯源、預警。例如,犯罪分子通過改號軟體進行詐騙,那麼我們能否建立改號、撥打時間、撥打規律、設備使用情況的模型來預警呢?有的公司已經這樣做了,也收到了不錯的效果。那麼通過機器學習、人工智慧等方法和技術進行黑詞發現、惡意url識別、風險通訊、風險銀行卡、風險交易、冒用身份等行為的發現,將大大提高犯罪成本。
第3章灰色產業鏈打擊治理難點
當前黑灰產業無疑已經成為互聯網的毒瘤,有的企業基於自身業務形態,將黑灰產業的識別控制納入反欺詐、風控範疇。所謂黑產主要指的是能造成直接法律後果,有明確的法律法規依據的網路犯罪行為。比如一類是涉嫌網路攻擊行為的黑客團伙,一類是盜取公民個人信息和財產賬號的盜號團伙,還有各類利用釣魚網站、木馬程序進行犯罪的團伙,這些都是大家不陌生的典型的違法犯罪行為,在實踐中也有很多案例。
相比而言,黑灰產鏈條更加隱秘,也更加難以界定。比較典型的如「惡意註冊」,「虛假認證」等活動,用於刷單,線上黃牛,薅羊毛,甚至詐騙等活動。由於其本身沒有直接產生危害後果,遊走在法律的邊緣,所以被稱為灰色產業。
有的黑灰產從業人員也不認為自己的行為違法。但這些虛假註冊隨後可以會引發一系列的詐騙等活動,比如我們經常會遇到的微信美女打招呼求加好友,背後隱藏著陷阱。黑灰產已經成為黑產活動的土壤和基礎,也是黑產的上游產業,不能放任和姑息。有一些報道中,我們也看到有的互聯網企業為了數據好看,甚至歡迎黑灰產行為,這無疑是飲鴆止渴。當前對黑灰產打擊治理的難點主要有:
(一)缺乏相關法律依據
在刑法修正案九當中,將網路犯罪的幫助犯和預備犯獨立入罪,兩高一部在關於辦理電信網路詐騙等刑事案件適用法律若干問題的意見中並未對虛假註冊等黑灰產行為進行規制。
隨著互聯網應用的進一步發展,很可能會出現更多遊走在法律邊緣的黑灰色產業鏈條,需要立法部門未雨綢繆,關注新的犯罪形態,打擊懲治犯罪。
由於灰產打擊法律依據不足,難度大,所以現實情況中,主要依賴一些企業和平台主動的防控措施,例如運用大數據的技術來識別和封停異常賬號。
(二)業務場景複雜
很多互聯網企業,給用戶提供的服務非常豐富,但同時覆蓋的風險也是非常複雜的。因此在防護上也需要釐清業務場景,做到全方位多層次的業務風控。
(三)識別難度大
灰產產業鏈為了規避互聯網平台的封堵,一般都會採用各種技術手段突破風控技術。由於現有的風控技術大多基於已知行為的建模,還是比較容易被鑽空子的。灰產自身的特點決定了平台上留下的痕迹是大量的虛假數據,如何從這些虛假數據表面,挖掘出其深層的、背後的東西,溯源到異常行為的源頭,難度是非常大的。
很多企業已經把傳統的人工風控升級到自動的異常識別,也結合了生物學特徵來識別人機,通過用戶行為分析、畫像等技術,結合大數據、機器學習、人工智慧演算法,未來一定會把灰產風險控制到更低的水平。我想這也是警學企研可以深度協作創新的一個很好的切入點,各自發揮優勢,共同實現黑灰產打擊的目標。從實名認證到實人認證。
(四)取證難度大
說到取證的問題,這也是很多網路犯罪無法有效打擊面臨的共同問題,網路犯罪最主要的證據是電子數據,而電子數據本身具有易失性,時效性,易篡改等特點。電子數據的獲取,固定,審查判斷和開示都需要嚴格遵守相關法律法規和標準。網路犯罪的電子證據來源十分複雜,隨著互聯網的普及應用,幾乎涉及到我們衣食住行的各個環節,證據鏈條的構建也相應複雜化,民警在偵查辦案的過程中,大量的時間是耗費在證據的調取和數據的分析上。灰產溯源難,取證難實際也是遲遲沒有進入立法視野的一個重要原因。同時,證據的固定、展示也是電子數據運用的難題。筆者認為,互聯網應用企業安全建設應做到留痕和去偽存真,一旦出現網路攻擊等安全問題,可以快速進行溯源取證。根據《網路安全法》的要求,做好日誌留存,並增加取證溯源專業設備。
(五)企業間的協作與數據共享
針對企業的黑灰產業就像蝗蟲一樣,哪裡有利益就撲到哪裡,企業難以獨善其身,所以要構建一個安全健康的生態,首先要解決企業間的協作與數據共享問題,數據流動起來才具有價值,威脅情報平台的信息共享已經發揮了作用。
第4章打擊網路犯罪重視電子數據取證
(一)電子數據:證據之王
2016年快播公司王欣等被告人涉嫌傳播淫穢物品牟利罪案一審開庭採取了網路直播的方式,控辯雙方圍繞證據有效性開展了充分的論述,獲得了社會的廣泛關注。案件最關鍵性證據就是行政機關查獲的四台伺服器及從中檢出的淫穢視頻,這些數據對於證明被告人涉嫌罪名構成要件,定罪量刑和間接認定被告人的主觀方面要件至關重要。
2016年兩高一部《關於辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》(以下簡稱規定)以定義和列舉的方式,對電子數據做了明確規定:電子數據是案件發生過程中形成的,以數字化形式存儲、處理、傳輸的,能夠證明案件事實的數據。電子數據包括但不限於下列信息、電子文件:網頁、博客、微博客、朋友圈、貼吧、網盤等網路平台發布的信息;手機簡訊、電子郵件、即時通信、通訊群組等網路應用服務的通信信息;用戶註冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日誌等信息;文檔、圖片、音視頻、數字證書、計算機程序等電子文件。
基於互聯網廣泛應用、無界、隱蔽等特性,網路犯罪也具有明顯區別於傳統犯罪的特徵,使得網路犯罪的溯源打擊難度增大。犯罪形態發生了變化,相應的證據形態也發生了變化,電子數據無疑是證明網路犯罪行為的關鍵證據。2002年何家弘教授曾經預言:「就司法證明方式的歷史而言,人類曾從『神證』時代走向『人證』時代,又從『人證』時代走向『物證』時代。也許,我們即將走入另一個新的司法證明時代,即電子證據時代。「實踐中,互聯網技術廣泛應用的背景下,電子數據與我們的生活息息相關,不僅網路犯罪,各類刑事案件,民事糾紛都涉及到電子數據。
回顧我國電子數據證據地位的確立過程,2012年《民事訴訟法》第63條將「電子數據」作為獨立的訴訟證據種類。2012年《刑事訴訟法》第48條將「電子數據」首次納入法定證據種類,電子數據在刑事訴訟中取得了獨立的法律地位。2014年《行政訴訟法》第33條將電子數據作為獨立的訴訟證據之一。三大訴訟法不約而同將電子數據寫入,是我國證據種類立法的巨大進步,司法實踐中的應用日益廣泛,電子證據已經成名副其實的「證據之王「,電子數據取證應用空間日益廣闊。
(二)電子數據的特點
與其他傳統證據例如書證相比較,電子數據的記錄方式具有很大的特殊性。其記錄方式決定電子數據的信息與載體是可分離的,並可複製多份副本。筆者認為電子數據的特點主要有以下幾點:
電子化:電子數據本質上是以電子形式存儲或者傳輸的數據。
易篡改:通過操作電子證據可以很輕易的改動或者被刪除,因此在取證的過程中強調規範和嚴謹。
技術依賴性:電子數據的生成、存儲、提取、檢驗均以軟硬體技術為基礎。
易失性、時效性:內存數據在關機時會丟失,基於網路的電子證據可能是無時無刻不在變化中,時效性很重要
因此強調普通偵查人員應具備電子證據的意識和敏感性,並掌握一定的取證技術。
相對穩定性:電子證據通過合適的載體,在合適的保管條件下可以長時間的保持不變。而某些條件下被破壞的數據可以通過技術手段恢復。
基於這些特點,由英國高級警官協會(ACPO)發布的 「Good Practice Guide ACPO Good Practice Guide for Digital Evidence v5.0「總結了電子數據取證四大基本原則,在電子數據取證領域獲得了廣泛認同:
原則1.執法機構及其僱傭人員不得採取任何導致可能向法庭提交的數據發生改變的措施。
原則2.在必須訪問原始數據的情況下應保證人員資質與技術水平,並說明其相關性和活動的應用。
原則3. 取證過程必須創建審計追溯記錄或其他記錄,並加以保存,任何獨立的第三方機構經過程驗證都以得出相同的結果。
原則4.調查人員應負責遵守法律法規及原則
電子數據的特點也決定了其在刑事司法運用中的特殊性。因此在兩高一部《規定》中,特彆強調電子數據真實性、完整性、合法性、關聯性的審查判斷。
(三)電子數據取證法律法規、行業標準
每個國家都有自己的電子數據取證相關的法律法規、行業標準,取證的整個過程必須符合相關規定,這也是保證電子數據真實性、完整性、合法性、關聯性的關鍵。電子數據取證必須是一個嚴謹的過程,必須從「人、機、料、法、環」等多個方面規範電子數據取證工作。
目前,對電子數據相關問題進行規範的法律法規主要有:計算機犯罪現場勘驗與電子證據檢查規則(公信安[2005]161號)、公安機關電子數據鑒定規則 (公信安[2005]281號)、最高人民檢察院《電子證據鑒定程序規則(試行)》、《人民檢察院電子證據勘驗程序規則(試行)》(2009)、《關於辦理網路犯罪案件適用刑事訴訟程序若干問題的意見》(公通字〔2014〕10號)、公安機關執法細則(第三版,2016)、《公安機關鑒定規則》(公通字〔2017] 6號)等等。
相關技術規範國家標準《電子物證數據恢複檢驗規程》、《電子物證文件一致性檢驗規程》、《電子物證數據搜索檢驗規程》等4個;公共安全行業標準22個;司法鑒定技術規範10個,初步形成了比較成熟的標準體系。
另外一些行業協會編寫的指導書也值得實踐參考。如中華全國律師協會發布的《律師辦理電子數據證據業務操作指引》(2012)。
國際標準化組織(ISO)及國際電工委員會(IEC)制定了電子取證系列標準,美國國家標準與技術研究院(NIST)、英國標準學會(BSI)、英國高級警官協會(ACPO)等機構也制定了值得參考的標準和指導書。
(四)電子數據取證過程
Keith Inman 和Norah Rudin共同提出的英曼.魯丁範式(Inman-Rudin paradigm)將電子數據取證分為四個過程,分別是辨識、關聯、分類、重建。
電子數據取證的基本過程和步驟包括:
(1)電子數據證據的發現,通過偵查和現場勘查收集原始證據。
(2)電子數據證據的固定,保證現場勘查和偵察獲得的數據的完整性和真實性。
(3)電子數據證據的提取,本質上說就是從眾多未知和不確定性中找到確定性的線索。
(4)電子數據證據的分析,證實信息的存在、信息的來源及信息傳播途徑,重構犯罪行為、動機及嫌疑人特徵
(5)電子數據證據的報告和展示,把獲取的相關證據按照法庭的要求以一定的格式客觀、準確地報告事實
(五)電子數據取證在網路空間安全學科的地位
電子數據取證是一門交叉學科,涉及到法律、技術、管理等多個領域。僅從技術層面來看,電子數據取證是網路空間安全學科的重要組成部分。
在我國,2010年《信息安全專業指導性專業規範》中將數字取證技術作為信息系統安全的一門選修課程,要求掌握電子證據的概念,了解電子證據相關法律,熟悉基本的數字取證技術,了解電子數據取證技術的應用。目前,國內院校網路空間安全學科一般將電子數據取證放到應用安全方向,作為一門課程。
警察院校及部分政法院校開設的網路安全與執法專業,以培養打擊信息領域犯罪的執法人才為目標,電子數據取證是重要主幹課程,以刑警學院為例,其網路安全與執法專業下設網路犯罪偵查和電子物證兩個專業方向。
近日,ACM和 IEEE發布了網路空間安全課程指導(CSEC 2017),將網路空間安全分為數據、軟體、組件、連接、系統、人、組織、社會安全八大知識域。其中,數據安全將電子數據取證作為核心知識單元,同時系統安全等部分也包含電子數據取證知識單元。CSEC2017電子數據取證知識單元主要包括概念介紹、法律法規、取證工具、調查過程、證據獲取與保存、證據分析、結果展示、證據鑒定、報告及事件響應與處理、移動取證等部分。
(六)電子數據取證技術
電子數據取證的對象日漸繁雜,對應的取證技術也是日新月異,快速的發展更新變化,其分類標準難以統一。
按照取證針對的操作系統分為Windows取證、Linux取證、Android取證、Mac取證……;
按照計算機取證狀態分為靜態取證和動態取證;
按照取證流程可分為發現、固定、提取、分析、展示技術……;
按照取證技術細分可分為內存、註冊表、日誌、文件、資料庫、電子郵件、瀏覽器、社交軟體、病毒木馬取證……;
按照部門工作規範可分為現場取證、遠程勘驗、檢驗鑒定……;
按照取證工作模式可分為單機取證、網路取證……
另外新的IT應用背景下,雲取證,人工智慧設備取證、物聯網設備取證、智能汽車取證等細分領域也開始湧現。
因此,取證人需要了解和掌握的知識門類多,更需要不斷的學習、更新、儲備知識。
最後,網路犯罪的威脅與挑戰是我們無法迴避的,網路空間和現實空間一樣存在陰暗的一面,只有認識,了解,研究,實踐網路犯罪的溯源取證、打擊治理才能創造更加安全的網路空間環境,共建一個更美好的網路生態!
市場變化日新月異,技術更新迅速迭代。效率源將不忘初心,堅持技術創新,把握市場趨勢,順應市場變化,不斷打磨客戶實際需求的產品和服務,也非常歡迎大家來跟我們分享行業新技術、新需求。
TAG:效率源科技 |