新華網 正文
大數據時代 電子取證怎樣鎖定“黑手”
2017-09-22 08:42:52 來源: 法制日報
關注新華網
微博
Qzone
評論
圖集

  涉互聯網犯罪日趨多發 新技術應用增加取證難度

  大數據時代 電子取證怎樣鎖定“黑手”

  隨著互聯網和計算機技術發展,電子數據搜集和審查判斷已經成為刑事司法活動中的基礎性、普遍性工作。2016年,最高人民法院、最高人民檢察院、公安部聯合發布《關于辦理刑事案件收集提取和審查判斷電子數據若幹問題的規定》,這一“規定”是我國電子數據取證相關法律法規不斷發展完善的必然結果。

  基于大數據、人工智能帶動的公有雲計算的市場需求空間,使得數據越來越多地從終端設備向雲端遷移,同時很多涉網犯罪行為也向雲端遷移。鑒于雲計算模式下網絡犯罪更趨復雜,當務之急是落實運營商主體責任。根據反恐怖主義法和網絡安全法規定,網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助

  9月16日至9月24日是國家網絡安全宣傳周,其間,如何進一步打擊網絡犯罪、有力保障網絡安全成為社會各界關注的焦點。

  近幾年,網絡犯罪日趨多發,與之對應,在打擊網絡犯罪中越來越多運用到電子取證。

  電子取證,是指利用計算機軟硬件技術,以符合法律規范的方式對計算機入侵、破壞、欺詐、攻擊等犯罪行為進行證據獲取、保存、分析和出示的過程。

  最高人民法院、最高人民檢察院、公安部曾聯合發布《關于辦理刑事案件收集提取和審查判斷電子數據若幹問題的規定》,其中指出,“電子數據是案件發生過程中形成的,以數字化形式存儲、處理、傳輸的,能夠證明案件事實的數據”“偵查機關應當遵守法定程序,遵循有關技術標準,全面、客觀、及時地收集、提取電子數據;人民檢察院、人民法院應當圍繞真實性、合法性、關聯性審查判斷電子數據”。

  在近日召開的第五屆中國互聯網安全大會電子取證技術與發展論壇上,業內有關專家對與電子取證有關的若幹問題進行了詳細探討。

  電子取證相關法律法規不斷完善

  “電子證據第一次出現是在1998年,當時公安機關網安部門在偵辦某網絡案件時對有關證據進行了提取,並被法院採納。在具體法律規定方面,我國較發達國家而言相對晚一些,其中一方面在于可以用于證明案件事實的材料都是證據,與案件相關的電子證據自然屬于證據范疇;另一方面在于刑事訴訟法中將證據種類限定為7種,並沒有設定電子證據。2012年3月14日,第十一屆全國人民代表大會第五次會議通過了《關于修改〈中華人民共和國刑事訴訟法〉的決定》,根據該決定,電子證據成為法定證據類型,進一步適應現代化技術的發展,進一步豐富了證據范圍,困擾才得到解決。”原公安部網絡安全保衛局巡視員顧堅説。

  2016年,最高人民法院、最高人民檢察院、公安部聯合發布《關于辦理刑事案件收集提取和審查判斷電子數據若幹問題的規定》時,顧堅曾參與起草和制定工作。

  據顧堅介紹,“規定”的出臺有著多重背景,其中包括:截至2017年6月,中國網民規模已經達到7.51億,手機網民規模達到7.24億,佔比達96.3%;針對互聯網的犯罪日益猖獗,我國已經成為“黑客”攻擊破壞的主要國家之一;網絡賭博、詐騙、網上販賣公民個人信息等利用互聯網的違法犯罪形勢嚴峻,嚴重污染網絡環境;網絡犯罪趨勢日益凸顯,大量犯罪實施均借助網絡技術運用而實現,技術門檻和犯罪成本大大降低,犯罪規模和危害程度擴大,犯罪分工更加精細,犯罪手法更加復雜;恐怖分子利用網絡制作傳播暴力恐怖的視頻,煽動實施恐怖活動。

  “隨著互聯網和計算機技術發展,電子數據搜集和審查判斷已經成為刑事司法活動中的基礎性、普遍性工作。2015年,公安機關網安部門辦理網絡犯罪案件的數量已經超過了17萬起,但是由于電子數據的專業性很強,公檢法部門在司法實踐中對電子數據的證據規格、效率和證明率等問題缺少統一的判定標準,已有規定操作性不強,相關證據依然難以採納,影響了司法活動的順利開展。”顧堅説。

  顧堅認為,“規定”的出臺是我國電子數據取證相關法律法規不斷發展完善的必然結果。  據介紹,“規定”解決的主要問題包括:

  對現有電子證據規則、司法操作性不強的問題,在《最高人民法院關于適用〈中華人民共和國刑事訴訟法〉的解釋》確立了電子證據基本規則的基礎上,進一步提出電子證據搜集、提取、審查、判斷的基礎方法;

  對現有法律法規缺乏對電子證據明確定義的問題,進一步明確了電子證據的內涵和外延,對證據類型進行列舉,特別是對數字化形式的證人、證言、被害人陳述口供和辯解、筆錄等證據與電子證據的關係問題進行了明確。

  針對雲計算、大數據管理下難以將海量數據分層、扣押以及數據難以調取的問題,根據實踐作用提出了凍結的措施,為該類電子證據固定難題提出了法律解決的依據;

  對電子證據搜集過程中規范的問題,進一步梳理電子證據的搜集面臨的各種情形,確定了以原始存儲為主、直接或遠程提取為輔、打印拍照為例外的搜集提取規范,明確了電子證據搜集的圖紙、電子證據調取、電子證據檢查、偵查實驗有關流程規范,並規定了相關筆錄、見證人及錄像要求;

  對司法實踐中電子證據審查難的問題提出了電子證據真實性、合法性、判斷的要點,將電子證據完整性納入真實性范疇之中,提出了完整性的保護和審查方法,明確了電子證據、瑕疵證據和非法證據的情形;

  對現有電子證據有關規定過于分散和零散問題,對已有電子證據有關條款集中進行了匯編。

  簡而言之,這個規范性文件是截至目前辦理刑事案件中涉及電子證據問題最為全面的規范性文件。

  雲計算環境下電子取證難度加大

  雲計算是互聯網未來發展趨勢之一,對于電子取證也帶來了深遠影響。

  “雲計算是以最簡便的途徑和按需的方式通過網絡配制計算資源。2017年,中國公有雲(通常指第三方提供商為用戶提供的能夠使用的雲)市場規模將超過150億元,基于大數據、人工智能帶動的公有雲的市場需求空間,使得數據越來越多地從終端設備向雲端遷移,同時很多涉網犯罪的行為也向雲端遷移。比如,在2014年,某著名遊戲公司受到流量攻擊有453.8GB。再比如,像iCloud數據的外傳,某電商泄露了大量個人信息等。還有一些利用雲盤傳播淫穢色情信息牟利案件。為什麼我們提出凍結的操作方式?因為需要在這些案件中進行取證調查。至去年10月,網絡犯罪數量已經佔犯罪總數的三分之一,我們面臨的現實危險主要來自于網絡空間。”公安部第三研究所所長助理、首席科學家、公安部網絡偵查技術研發中心副主任金波説。

  金波認為,雲計算一定要看其本身的計算模式和傳統模式的差別,傳統IT不管是在企業網還是在互聯網上,除了網絡這個層次的資源可能是公有的外,其他的資源都是私有的。“當我們説起雲計算,就必然要從雲計算模式與傳統IT相比帶來的變化出發,我們就必然面臨雲計算模式下的一些困難。比如,怎麼搜集雲平臺的數據、搜集以後怎麼分析、數據搜集怎麼定位等。再比如,雲上IP並不意味著是真實IP地址,其中就涉及管轄問題,另外由于雲存儲的數據用完以後隨時會釋放掉,怎麼固定也是一個問題”。

  除此之外,在雲計算模式下,調查取證還面臨其他困難。

  “雲平臺的共享特點使得涉案虛擬服務器所挂載的虛擬硬盤等數據處于離散狀態,部分雲服務提供商甚至採用了動態伸縮的存儲技術,虛擬服務器釋放出來的空間會被立即分配給其他虛擬服務器使用。如果我們做靜態分析,不同服務商的格式可能不一樣,海量的數據難以分析。另外,雲服務商提供的不是一臺虛擬機,而是提供虛擬網絡服務,要構建出整個雲服務的環境,不僅僅是把一臺虛擬機請來就行,這時候怎麼進行組網?這是很迫切的問題。”金波説,像公有雲服務,用完以後可以馬上釋放掉數據,再想找到就會很困難。有些不法分子作案後將服務器一刪了事,再查就非常困難了,這就提出了時效性的需求。

  “我們一定要在服務器被釋放之前能夠做好這些服務器的工作,這幾乎是對抗雲反取證的唯一手段。”金波説。

  鑒于雲計算模式下網絡犯罪更趨復雜,當務之急是完善制度,落實運營商主體責任。

  “今年,公安部網安局專門出臺了一個部門規章,對雲服務提供商在協助調查取證以及安全管理方面提出了要求,這是一個非常重要的雲計算合規要求。”金波説。

  據金波介紹,上述規章要求雲服務提供商要有專門隊伍配合公安機關工作,這些人員要進行專門的培訓、簽訂保密協議。此外,還有相應的技術標準。

  “另外,還有一個制度設計是關于基礎建設的。我們要求雲服務提供商要落實安全基礎措施,做好流程,為公安機關防范、調查違法犯罪活動提供必要的技術解密、技術支持和協助,這實際上就是一個服務提供商的主體責任落實。”金波説,反恐怖主義法第十八條規定,電信業務經營者、互聯網服務提供者,應當為公安機關、國家安全機關依法進行防范調查提供技術接口和解密等技術支持和協助。網絡安全法第二十八條規定,網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪活動提供支持和協助。雲服務提供商應建立涉嫌違法犯罪的線索報告和配合調查制度,發現違法犯罪及異常情況應保留相關證據,24小時之內向當地公安機關報告。

  雲服務商協助取證要留存哪些數據?

  金波認為,這些數據包括雲U注冊數據、用戶資源使用數據、用戶業務數據、網絡流量日志、安全事件數據和其他服務。

  二維碼犯罪取證首先在于解析

  二維碼犯罪是當前比較常見的網絡犯罪形式。

  “現在的二維碼非常普遍,我們都接受了這種方式。二維碼從出現到現在不過兩三年的時間,但是普及非常迅速,其中的關鍵原因是太方便了。二維碼鋪天蓋地而來,很多小朋友都知道掃一掃。”山東警察學院網絡空間安全與執法協同創新中心秘書、電子學會取證專委會委員張璇説。

  二維碼的廣泛應用給一些不法分子以可乘之機。

  “二維碼的替換非常容易,不需要技術含量,生成和變造是非常簡單的。二維碼支付也越來越簡便,我們不用像原來那樣需要專業的設備,只要手機這樣一個終端就可以完成二維碼支付活動。普通群眾可能根本分不清什麼是付款碼和收款碼,所謂收款和付款是相對于用戶來説的。很多不法分子會利用大家對二維碼認識的不足,騙取大家的付款碼,相當于不法分子獲取了我們的付錢憑證。二維碼本身的變造也非常容易,如果是一個PS高手,他會把二維碼PS成各種新鮮的格式,就是為了誘導大家掃這個二維碼,如果其中有一些木馬程序,危害可能就比較大了。”張璇説。

  當二維碼犯罪出現後,應該如何追查?

  “第一步就是解析二維碼,解析出來到底是惡意的信息還是支付的二維碼。如果是惡意信息,我們就可以進一步進行研判;如果是支付相關的信息,我們要分辨到底是收款碼還是付款碼,然後調取第三方支付平臺上的對應賬戶。第三方支付平臺並沒有很好地提供解析工具,如果要作為證據來用,但他們不能蓋章。現在只能是通過受害人資金的流水來進行關聯,受害人在什麼時間支付了哪一筆錢到什麼賬號,如果能和二維碼對應起來,就可以作為證據鏈條,下一步還需要第三方支付平臺提供這樣的解析工具。”張璇説。

  一個騙碼團夥的犯罪鏈條是怎樣的?

  “我們從聊天記錄中發現,他們只是一個負責騙碼的團夥。有了二維碼怎麼變成錢呢?他們有非常成熟的鏈條,有時候不是自己來掃,而是讓專門的掃碼團夥來掃,這些團夥成員是注冊了很多虛假身份的商戶,他們有POS機等設備。另外,掃碼團夥還會把結果再交給第三方平臺進行解碼。整個鏈條是一個大的體係,是一個産業鏈。如果我們要取證,就涉及到二維碼的犯罪取證,我們首先要搞清楚在整個犯罪行為中是如何應用二維碼的,第二就是如何解析二維碼,第三就是要把受害人資金的流水和二維碼做一個對應,目前來看還值得改進。”張璇説。

  取證過于依賴自動化是好是壞

  隨著電子取證的發展,也引起了越來越多的思考。

  遼寧省大連市公安局網安支隊七大隊大隊長、全國刑事技術標準化技術委員會電子物證分技術委員會專家、中國合格評定國家認可委員會主任評審員劉浩陽從中總結了電子取證的經驗。

  “自動取證這個功能現在非常普及和流行,但從實際來講,我們一直對自動化取證有爭議,那就是自動化取證究竟是提高了我們的能力還是降低了我們的能力。”劉浩陽説,“剛開始從國外引進電子數據取證時叫計算機取證,主要針對臺式機取證,後來出現了筆記本,再後來就是我們現在最流行的手機,未來可能是雲計算和物聯網設備。”

  就手機取證而言,劉浩陽認為,手機實際上包含了所有的個體信息,包括物理身份和虛擬身份,尤其是虛擬身份。目前來看,手機網民遠遠超過了PC網民。“手機是我們現在每個人必不可少的東西,手機一直是取證的一個焦點,也是近些年來電子數據取證發展非常迅速的一個部分。手機取證設備也非常多,從實際來講,當你擁有一套手機取證設備時,不需要解鎖直接拿來就可以了,裏面存儲了大量的數據”。

  劉浩陽在對比了6個手機取證工具之後認為,“現在取證工具的穩定性和可信性是最大的問題。這些工具的原理其實非常簡單,在突破手機的安全機制後,實際工作的目標或者對象就是手機裏的數據庫,但是這些工具多多少少都犯了一些錯誤,要麼是解析不到位,要麼是解析錯誤”。

  近年來,有關部門在打擊偽基站犯罪方面取得了一係列成果,對取證工作也有一定啟示。

  據劉浩陽介紹,偽基站就是未取得電信設備進網許可和無線電發射設備型號核準,能夠搜索手機用戶信息,是電子設備的一種。“偽基站基本是工作在900赫茲形態中,大家見得多的是車載偽基站,也就是在運行汽車上查獲的,更加隱蔽的偽基站是潛入在車體內部的。此外,還有背包型、固定型等”。

  “之前曾經發布過《關于辦理擾亂無線電通訊管理秩序等刑事案件適用法律若幹問題的解釋》,一直到今年發布的《關于審理破壞公用電信設施刑事案件具體應用法律若幹問題的解釋》,這個文件目前是權威性的解釋。偽基站的運行原理比較復雜,其中存儲的數據有幾種,第一種就是存在係統裏,第二種是有一個數據庫,第三種就是其桌面上會有一係列的TST文件。現在還沒有純粹的偽基站取證工具,因為還沒有人把偽基站的原理了解得如此透徹。我們在寫偽基站的材料時,把所有代碼都看完了,寫了70多個小時,將近好幾百頁。專家型的取證從業者應該高于自動取證,天天依賴自動取證功能,水平能力會越來越差。”劉浩陽説。制圖/李曉軍

  鏈接

  《中華人民共和國反恐怖主義法》第十八條規定,電信業務經營者、互聯網服務提供者應當為公安機關、國家安全機關依法進行防范、調查恐怖活動提供技術接口和解密等技術支持和協助。

  反恐怖主義法第八十四條規定,電信業務經營者、互聯網服務提供者未依照規定為公安機關、國家安全機關依法進行防范、調查恐怖活動提供技術接口和解密等技術支持和協助的,由主管部門處二十萬元以上五十萬元以下罰款,並對其直接負責的主管人員和其他直接責任人員處十萬元以下罰款;情節嚴重的,處五十萬元以上罰款,並對其直接負責的主管人員和其他直接責任人員,處十萬元以上五十萬元以下罰款,可以由公安機關對其直接負責的主管人員和其他直接責任人員,處五日以上十五日以下拘留。

  《中華人民共和國網絡安全法》第二十八條規定,網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。

  網絡安全法第六十九條規定,網絡運營者違反本法規定,拒不向公安機關、國家安全機關提供技術支持和協助的,由有關主管部門責令改正;拒不改正或者情節嚴重的,處五萬元以上五十萬元以下罰款,對直接負責的主管人員和其他直接責任人員,處一萬元以上十萬元以下罰款。(記者 杜曉  實習生 張希臣)

+1
【糾錯】 責任編輯: 楊婷
新聞評論
加載更多
墨西哥地震死亡人數升至273人
墨西哥地震死亡人數升至273人
第72屆聯大一般性辯論進入第三天
第72屆聯大一般性辯論進入第三天
墨西哥城:強震過後
墨西哥城:強震過後
護航“復興號”
護航“復興號”
010020020120000000000000011199701121705817