随着全球社会信息化、网络化大潮的推进,以计算机网络为代表的信息技术日益走进人类的工作、学习和生活,成为我们各个方面都不可缺少的一部分。我国大量建设的各种信息化网络系统已成为国家关键基础设施。但由于信息技术本身的特殊性,在整个信息化进程中,也同时存在巨大的信息安全风险,以计算机网络信息系统为犯罪对象和以计算机网络信息系统为犯罪工具的各类新型犯罪活动越来越多。它们将会给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全。所以打击利用计算机网络犯罪,确保信息安全,对于国家的经济发展和社会稳定具有重大现实意义,计算机网络犯罪的取证是其中的一个重要步骤。
一、什么是网络犯罪取证
网络犯罪是计算机犯罪的一种,随着互联网的进一步发展,单台计算机将逐渐失去其使用价值,所有的应用都将在网络上来完成,所以网络犯罪是计算机犯罪的主要表现形式。单靠网络安全技术打击计算机犯罪不可能非常有效,因此需要发挥社会和法律的强大威力来对付网络犯罪。计算机取证(ComputerForensics)也称计算机法医学,它是指把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。
二、网络犯罪的特点
网络犯罪是一种利用计算机知识在网络上进行的犯罪,和其他领域的犯罪相比较,主要有以下基本特征:
(一)犯罪人员的智能性
与传统犯罪相比,网络犯罪的目标大多钟对网络系统中存储的数据、信息及其运行系统,作案往往离不开计算机网络知识和技术;而网络系统的安全防范措施日趋严密,行为人必须具有相当高的专业技术和熟练的操作技能,否则很难实现侵入或破坏网络系统的目的。网络犯罪行为人作案前通过周密的预谋和精心的策划,通过Internet直接或间接地向计算机输入非法指令来篡改、伪造他人的银行账户、存折和信息卡等,实施贪污、盗窃、诈骗、破坏等行为,甚至还非法侵入国家军政机关或企事业单位的网络系统,窃取政治、经济和军事机密等。
(二)隐蔽性强,查处难度大
1.作为一种以高技术为支撑的犯罪,网络犯罪具有瞬时性、动态性的特点。许多网络犯罪可在瞬间完成,其作案时间很难判定;而犯罪证据又多存于电磁介质如程序、数据等无形信息中,很容易被更改和删除,有些犯罪甚至不留任何痕迹。
2.网络犯罪的出现使人们对犯罪和罪犯的传统印象大大改观。网络空间的犯罪现场往往“宁静而安详”,行为人多是文质彬彬之人,远非人们想象中的罪犯那样“穷凶极恶”。同时,由于信息资源、无形资产的价值尚未受到普遍关注,人们对以侵犯信息资源为主要形式的网络犯罪表现出相对宽容心态。
3.网络技术的发展,使计算机渗透到社会的各个角落,在网络上的任何一台计算机都可能成为计算机犯罪攻击的对象,这就为确定计算机犯罪的发案地点带来了困难。据统计,在号称“网络王国”的美国,计算机犯罪的破案率还不到10%,其中定罪的不到3%。
(三)犯罪手段的多样性
网络的迅速发展,尤其是信息技术的普及与推广,为各种信息犯罪提供了日新月异的多样化高技术作案手段,诸如偷窃机密、调拨资金、金融投机、剽窃软件、偷漏税款、盗码并机、发布虚假信息、私自解密入侵网络资源等信息犯罪活动层出不穷,花样繁多。例如,1999年郑州市某单位职工在某BBS上发布了一条虚假信息,致使郑州市交通银行陷入挤兑风潮,给社会带来了极坏的影响。
(四)危害的广泛性和后果的严重性
网络犯罪可以跨省、跨国作案;作案领域已扩展到政治、文化、科技、教育、军事等几乎所有领域,受害对象包括个人、单位甚至整个国家和社会。因此,网络犯罪具有广泛性。网络犯罪所产生的影响和后果也比传统犯罪要严重得多,尤其在信息技术日益发达的今天,有人形象地把这种犯罪比喻为“用电子束搬走黄金”,“键盘一响,黄金万两”。犯罪分子有时只需在键盘上轻轻敲几下,就有可能窃取巨额的款项。此外,信息犯罪对知识产权、个人隐私和国家安全也带来了巨大的威胁,尤其是涉及国家机密或战略决策的计算机系统,一已遭到侵犯或破坏,就可能给国家主权与安全带来灾难性的后果。
(五)内部人员犯罪可能性大,共同犯罪多
网络电子商务由多个社会部门分工协作组成严密体系,每一部门分管某一部分工作,如电子商务认证机构只负责确认交易各方身份和资信,而账户资金的划拨由电子金融机构来完成,因此单个人实施犯罪是很困难的,如果多个部门的内部人员相互勾结,或者部门内部人员和外部人员相互勾结作案,则容易得多。
(六)犯罪行为的复杂性
在网络环境下,全球已结成了一个庞大的信息网,其使用之多、发展之快、内容之广泛都是空前的。但同时它也存在着许多不足之处,尤其是与传统的法律体系相比,网络犯罪在定罪和量刑上更为复杂。由于信息网络在管理上是一个无主人的网,容易存在法律空白,这实际上就为一些人利用信息进行犯罪提供了可乘之机。另外,计算机往往只认口令不认人,因此,要在法律上确定谁是真正的责任行为人十分困难。因为行为人往往具有多种身份,可能是网络提供者,可能是业务提供者,也可能是信息提供者,还可能兼而有之,这无疑在很大程度上加重了破案的难度。
(七)虚拟现实性
现代科学技术的发展,网络技术的产生,尤其是互联网已经把全球变成一体,形成一个“地球村”。犯罪空间也由三维变成了更多种空间。如网络被称为“虚拟空间”,这种虚拟空间的虚拟性是指互联网的存在状态是无形的,它以知识、消息、信息、声音、图像、文字等作为自己的形式。随着工作动画及虚拟现实技术的不断完善,在互联网世界里创造了越来越逼真的环境,形成了一个新的时空概念,这种空间是无国界的,与现实中的地域概念不同,每个用户就是虚拟世界中的一员。通过互联网无处不在的联系,众多的虚拟商店、虚拟医院、虚拟学校、虚拟实验室、虚拟社区等如雨后春笋般地涌现,真正形成了虚拟世界、虚拟空间。
网络犯罪不同于现实空间的犯罪,第一,因为实施此类犯罪一定要在网上进行,如网络犯罪中的黑客入侵公共信息系统,删改、破坏数据,传播网上病毒。如果犯罪在网下进行,在网下场所实施犯罪,那么它就不是网络犯罪,这是网络犯罪一个很重要的特征。其次,网上犯罪表现在犯罪的实施地和结果地是分离的,即犯罪人在A地实施犯罪,导致B地的被害人被侵袭或加害,有时被害人是不特定的多数,许多都是无辜的被害人,而且这种空间管理和治理具有失控性,很难侦查破案。还有一点,在网络空间作案,犯罪可以在几秒种时间内完成,非常快捷,与传统犯罪也具有明显的区别。
三、网络犯罪取证的基本步骤
我们先分析计算机证据的特点。计算机证据以二进制编码表示、以数字信号方式存在,而数字信号的非连续特征,使任何人为因素或外力造成的对计算机数据的修改、剪接、合成、删除、覆盖等操作,从技术上是很难分辨的。计算机证据的这种易受损特性对收集证据、审查判断证据都提出了严格的程序要求。另外,计算机犯罪大部分是通过网络,犯罪分子甚至可以不需要到案发现场。由于网络的无国界性,不同国家在法律、道德和意识形态上是有差异的,可能会造成案件无法继续侦查的结果。
根据上述特点,计算机取证的原则是尽早地搜集整理证据,能够得到第一手的信息,并尽可能地争取做到取证的过程公正和公开。
这里我们归纳出计算机取证的几个步骤。
(一)保护现场和现场勘查
现场勘查是取证的第一步,这项工作可为下面的环节打下基础。冻结目标计算机系统,避免发生任何的改变、数据破坏或病毒感染。绘制计算机犯罪现场图、网络拓朴图,在移动或拆卸任何设备之前都要拍照存档,为今后模拟和犯罪现场还原提供直接依据。
必须保证“证据连续性”,即在证据被正式提交给法庭时,必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化,当然最好是没有任何变化。
整个检查、取证过程必须是受到监督的。也就是说,所有调查取证工作,都应该有其它方委派的专家的监督。
积极要求证人、犯罪嫌疑人配合协作,从他们那里了解操作系统、储存数据的硬盘位置、文件目录等等。值得提及的是,计算机犯罪的一个特点是,内部人员作案比例较高,询问的当事人很可能就是犯罪嫌疑人。
(二)分析数据
这是计算机取证的核心和关键。
分析计算机的类型、采用的操作系统,是否为多操作系统或有隐藏的分区,有无可疑外设,有无远程控制、木马程序及当前计算机系统的网络环境。注意开机、关机过程,尽可能避免正在运行的进程数据丢失或存在不可逆转的删除程序。
分析在磁盘的特殊区域中发现的所有相关数据。利用磁盘存储空闲空间的数据分析技术进行数据恢复,获得文件被增、删、改、复制前的痕迹。通过将收集的程序。数据和备份与当前运行的程序数据进行对比,从中发现篡改痕迹。
可通过该计算机的所有者,或电子签名、密码、交易记录、回邮信箱、邮件发送服务器的日志、上网IP等计算机特有信息识别体来取证分析。
结合全案其他证据进行综合审查。注意该计算机证据要同其他证据相互印证、相互联系起来综合分析;同时,要注意计算机证据能否为侦破该案提供其他线索或确定可能的作案时间、犯罪人,审查计算机系统对数据备份以及有否可恢复的其他数据。
(三)追踪
上面提到的计算机取证步骤是基于静态的,即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段升级,这种静态的分析已经无法满足要求,发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中,进行动态取证。整个取证过程将更加系统并具有智能性,也将更加灵活多样。
对某些特定案件,如网络遭受黑客攻击,应收集的证据包括:系统登录文件、应用登录文件、AAA登录文件(比如RADIUS登录)、网络单元登录(NetworkElementlogs)、防火墙登录、HIDS事件、NIDS事件、磁盘驱动器、文件备份、电话记录等等。
当在取证期间犯罪还在不断地入侵计算机系统,采用入侵检测系统对网络攻击进行监测是十分必要的,或者通过采用相关的设备或设置陷阱跟踪捕捉犯罪嫌疑人。
(四)提交结果
打印对目标计算机系统的全面分析结果,然后给出分析结论:系统的整体情况,发现的文件结构、数据、作者的信息,对信息的任何隐藏、删除、保护、加密企图,以及在调查中发现的其它的相关信息。标明提取时间、地点、机器、提取人及见证人。
四、网络犯罪取证技术的发展方向
网络犯罪的取证技术随着黑客技术提高而不断发展,为确保取证所需的有效法律证据,根据目前网络入侵和攻击手段以及未来黑客技术的发展趋势,以及计算机取证研究工作的不断深入和改善,计算机取证将向以下几个方向发展:
(一)取证工具向智能化、专业化和自动化方向发展
计算机取证科学涉及到多方面知识。现在许多工作依赖于人工实现,大大降低取证速度和取证结果的可靠性。在工具软件的开发上应该结合计算机领域内的其它理论和技术,以代替大部分人工操作。
现在国内和国际的一些公司,已经相继开发出了一些专门用于网络犯罪取证的专用设备,如:金诺网安公司研制的计算机犯罪取证勘察箱,美亚柏公司研制的“网警”电子数据取证勘察箱等等。
(二)计算机取证的相关技术发展
从计算机取证的过程看,对于电子证据的识别获取可以加强动态取证技术研究,将计算机取证结合到入侵检测、防火墙、网络侦听等网络安全产品中进行动态取证技术研究;对于系统日志可采用第三方日志或对日志进行加密技术研究;对于电子证据的分析,是从海量数据中获取与计算机犯罪有关证据,需进行相关性分析技术研究,需要高效率的搜索算法、完整性检测算法代化、数据挖掘算法以及优化等方面的研究。
对入侵者要进行计算机犯罪取证学的入侵追踪技术研究,目前有基于主机追踪方法的CallerID,基于网络追踪方法的IDIP、SWT产品。有学者针对网络层的追踪问题,研究基于概率的追踪算法优化,对于应用层根据信息论和编码理论提出采用数字水印和对象标记的追踪算法和实现技术,很有借鉴意义。在调查被加密的可执行文件时,需要在计算机取证中针对入侵行为展开解密技术研究。
五、结束语
网络犯罪是一个近几年才出现的高科技新型犯罪,随着计算机网络的发展不断地蔓延滋生,要有效地打击网络犯罪,取证是其重要的一环,利用犯罪分子留下的蛛丝马迹,必能将其绳之于法,因此推广网络犯罪取证具有十分重要的意义。
【作者介绍】河南公安高等专科学校信息安全系助教。
原标题:网络犯罪的调查取证初探
来源:法律信息网
牛律师刑事辩护团队编辑
牛律师刑事辩护网www.lawyer123.cn,依据最权威的法律法规,秉持最科学的刑辩技巧,坚持术有专攻成就刑事辩护品牌成功案例。为正在身陷囹圄或因犯罪即将追究刑事责任的犯罪嫌疑人、被告人及亲友提供无罪、罪轻、减轻处罚的服务。牛律师刑事辩护精英团队,专注刑辩领域,案例成就金牌!
服务热线:4006066148