觸目驚心的計(jì)算機(jī)犯罪

文/沈臻懿

觸目驚心的計(jì)算機(jī)犯罪

Investigation and Evidence Collection of Computer Crime

文/沈臻懿

隨著現(xiàn)代科技的發(fā)展，計(jì)算機(jī)在步入日常生活的同時(shí)，涉及計(jì)算機(jī)與網(wǎng)絡(luò)的犯罪活動(dòng)亦不斷呈現(xiàn)。與傳統(tǒng)犯罪相比，計(jì)算機(jī)犯罪所具有的顯著特點(diǎn)，給案件偵查與取證帶來了諸多挑戰(zhàn)。這就要求在計(jì)算機(jī)犯罪案件偵查中，必須運(yùn)用專門的技術(shù)與手段，以有效應(yīng)對這一違法犯罪活動(dòng)。

據(jù)瑞典互聯(lián)網(wǎng)市場研究公司Royal Pingdom發(fā)布的研究報(bào)告顯示，2012年全球網(wǎng)民人數(shù)的總量已突破22億，較2007年的11.5億人增加了將近100%。從這一仍在不斷攀升的數(shù)據(jù)中我們不難發(fā)現(xiàn)，計(jì)算機(jī)及網(wǎng)絡(luò)科學(xué)技術(shù)已與人們的日常生活密切相關(guān)。在對于此類技術(shù)高度依賴的同時(shí)，涉及計(jì)算機(jī)及網(wǎng)絡(luò)的科學(xué)技術(shù)也悄然出現(xiàn)在犯罪活動(dòng)中。作為現(xiàn)代科技的產(chǎn)物，計(jì)算機(jī)在一定程度上也成了犯罪手段、犯罪方式、犯罪工具、犯罪目標(biāo)、犯罪證據(jù)以及儲(chǔ)存有關(guān)犯罪行為的信息庫。

與傳統(tǒng)犯罪相比，計(jì)算機(jī)犯罪所蘊(yùn)含的科技性、隱蔽性以及犯罪后果的嚴(yán)峻性，給案件偵查與取證帶來了極大挑戰(zhàn)。面對刑事司法領(lǐng)域中犯罪活動(dòng)高科技化的嚴(yán)峻現(xiàn)實(shí)，以及犯罪現(xiàn)場中形形色色的計(jì)算機(jī)證據(jù)與電子數(shù)據(jù)，偵查人員也必須依賴高科技的偵查與取證技術(shù)，應(yīng)對日益頻發(fā)的計(jì)算機(jī)犯罪。

觸目驚心的計(jì)算機(jī)犯罪

據(jù)英國《每日電訊報(bào)》報(bào)道，2011年上半年，美國聯(lián)邦調(diào)查局曾破獲了一起全球性的計(jì)算機(jī)犯罪驚天要案。該案件的查獲，不僅使人們看到了全球在打擊計(jì)算機(jī)犯罪行動(dòng)方面所取得的顯著勝利，更令人們真切感受到了計(jì)算機(jī)犯罪活動(dòng)的觸目驚心。美國司法部證實(shí)，該案件的始作俑者系一伙大規(guī)模的網(wǎng)絡(luò)犯罪團(tuán)伙，其利用惡意軟件控制了全球200多萬臺(tái)電子計(jì)算機(jī)，并利用上述受到病毒感染的計(jì)算機(jī)所組成的“僵尸網(wǎng)絡(luò)”，獲取了一億多美金的犯罪所得。

該案的犯罪手段與方法，無疑充滿著高科技的元素。犯罪人借助于“僵尸網(wǎng)絡(luò)”這一受到病毒感染的互聯(lián)網(wǎng)計(jì)算機(jī)群，通過遠(yuǎn)程控制的方式發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊。譬如，向網(wǎng)站傳播惡意代碼，實(shí)施分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊以及發(fā)送大批量垃圾郵件等。利用這一方式，犯罪人往往可以肆意竊取儲(chǔ)存于“染毒”計(jì)算機(jī)內(nèi)的銀行賬號、密碼以及其他敏感信息，并利用網(wǎng)絡(luò)匯款和銀行詐騙等方式來盜竊資金。為此，該網(wǎng)絡(luò)犯罪團(tuán)伙通過計(jì)算機(jī)專業(yè)技術(shù)，制造出了一款名叫Coreflood的惡意軟件，并利用美國微軟公司“視窗”操作系統(tǒng)的漏洞，成功入侵了全球233萬臺(tái)電子計(jì)算機(jī)，而美國本土就占到了其中的185萬臺(tái)。

經(jīng)過一段時(shí)間的偵查與取證，調(diào)查人員成功摧毀了這一名為Coreflood的“僵尸網(wǎng)絡(luò)”，不僅部分切斷了感染病毒的計(jì)算機(jī)與主服務(wù)器之間的聯(lián)系，且關(guān)閉了上述網(wǎng)絡(luò)系統(tǒng)。據(jù)美國司法部與聯(lián)邦調(diào)查局的聯(lián)合聲明顯示，在該案的偵破過程中，調(diào)查人員查獲了5臺(tái)主控服務(wù)器與29個(gè)網(wǎng)絡(luò)域名，并逮捕了13名犯罪嫌疑人。雖然該案所造成經(jīng)濟(jì)損失的確切數(shù)字仍未可知，但據(jù)相關(guān)安全專家估計(jì)，其被盜資金總數(shù)已超過1億美金。這一計(jì)算機(jī)犯罪的受害者中，一家位于田納西州的國防承包商損失了24萬美金，另一家位于密歇根州的房地產(chǎn)公司則損失了近12萬美金，而一家位于卡羅萊納州的律師事務(wù)所亦損失了8萬美金左右。

上述案例僅僅只是當(dāng)前頻發(fā)的計(jì)算機(jī)犯罪活動(dòng)中的一個(gè)典型縮影。從該案例中我們不難發(fā)現(xiàn)，為了應(yīng)對計(jì)算機(jī)犯罪的高科技屬性，偵查人員也必然需要引入專門技術(shù)，對此類案件進(jìn)行有效偵查與取證。

計(jì)算機(jī)犯罪活動(dòng)的顯著特點(diǎn)

一提到計(jì)算機(jī)犯罪，人們往往首先想到的就是那些智商過人、行為隱蔽的犯罪人。與那些傳統(tǒng)犯罪相比，計(jì)算機(jī)犯罪的確可稱得上高科技、高智商犯罪的典型代表。由于計(jì)算機(jī)信息技術(shù)自身所蘊(yùn)含的現(xiàn)代科技屬性，使得從事此類犯罪活動(dòng)的作案人必然也需具備這方面的科學(xué)技術(shù)。因而，最初的計(jì)算機(jī)犯罪人往往主要集中于白領(lǐng)階層。上述人群擁有的較高教育背景，且最先頻繁接觸與使用計(jì)算機(jī)，由此滋生出了所謂的計(jì)算機(jī)犯罪。然而時(shí)至今日，隨著計(jì)算機(jī)的日益普及，這一現(xiàn)代科技的產(chǎn)物也被更多人群所認(rèn)知，甚至部分犯罪人通過“自學(xué)成才”，掌握這一現(xiàn)代技術(shù)，并利用其實(shí)施犯罪活動(dòng)。

除了具有高科技性這一特點(diǎn)外，計(jì)算機(jī)犯罪手段的隱蔽性同樣不容忽視。實(shí)施這一違法活動(dòng)時(shí)，犯罪人往往采取了篡改程序、惡意代碼、錯(cuò)誤指令等方式、手段。上述犯罪手段并不會(huì)對計(jì)算機(jī)硬件及信息載體造成物理性損害，且往往不留痕跡，這也令普通人難以察覺計(jì)算機(jī)內(nèi)部所發(fā)生的一系列變化。犯罪人正是基于這一特性，“悄然無聲”地竊取被害人的機(jī)密信息、賬戶資金等。而計(jì)算機(jī)犯罪極具隱蔽性的特點(diǎn)，也使得執(zhí)法部門在偵查過程中面臨著諸多困境。與傳統(tǒng)偵查活動(dòng)不同的是，偵查人員在面對計(jì)算機(jī)犯罪時(shí)，往往需借助于現(xiàn)代科技手段，有時(shí)還需借助于專門的計(jì)算機(jī)專家來借助進(jìn)行現(xiàn)場勘查與取證工作。

計(jì)算機(jī)網(wǎng)絡(luò)的無國界性，使得計(jì)算機(jī)網(wǎng)絡(luò)犯罪的空間跨度往往較大，涉及面也極廣。司法實(shí)踐中常常出現(xiàn)跨省、跨國、跨洲的大型計(jì)算機(jī)網(wǎng)絡(luò)犯罪活動(dòng)。2011年年末時(shí)，歐洲各國警方曾聯(lián)合破獲了一起特大跨國兒童網(wǎng)絡(luò)色情案件。該案犯罪人利用計(jì)算機(jī)視頻技術(shù)，在網(wǎng)絡(luò)上肆意傳播各類加密的兒童性侵視頻。經(jīng)過為期一年的偵查取證，由丹麥主導(dǎo)，法國、德國、奧地利、波蘭、比利時(shí)等多國參與的歐洲警方不僅破譯與分析了大量加密淫穢視頻，并在22個(gè)國家中成功抓獲了112名犯罪嫌疑人。

傳統(tǒng)犯罪所針對的對象，大多涉及人身安全與財(cái)產(chǎn)案件。而計(jì)算機(jī)犯罪的對象，則覆蓋了公共安全、經(jīng)濟(jì)秩序乃至國家安全。毫不夸張地說，計(jì)算機(jī)犯罪能夠使個(gè)人隱私泄露、企業(yè)倒閉破產(chǎn)，甚至國家經(jīng)濟(jì)癱瘓。其所造成的嚴(yán)重危害，遠(yuǎn)非普通犯罪所能比擬。域外計(jì)算機(jī)犯罪專家曾坦言：“當(dāng)前沒有任何一種犯罪，能夠像計(jì)算機(jī)犯罪那樣，不費(fèi)吹灰之力就能得到巨額財(cái)產(chǎn)?！薄澳锼谷湎x”案件可謂計(jì)算機(jī)發(fā)展史上最為出名的一起刑事犯罪活動(dòng)。該案始作俑者莫里斯在1988年冬天時(shí)編寫了一個(gè)被稱之為“蠕蟲”的電腦病毒，并將其送入了互聯(lián)網(wǎng)。隨即，這一入侵者就立即進(jìn)行自我復(fù)制，并在短短的時(shí)間內(nèi)充斥了電腦內(nèi)存，使得大批大批的計(jì)算機(jī)因感染病毒而“死亡”。該案不僅令成千上萬的數(shù)據(jù)資料毀于一旦，更直接造成了其上億美元的經(jīng)濟(jì)損失！

有別于傳統(tǒng)案件的現(xiàn)場勘查

一提到犯罪現(xiàn)場，大部分人的第一反應(yīng)往往是美劇CSI（犯罪現(xiàn)場調(diào)查）中那些橫尸野外、滿目狼藉的命案現(xiàn)場。與此類犯罪現(xiàn)場相似，犯罪人通過計(jì)算機(jī)及其網(wǎng)絡(luò)實(shí)施犯罪行為后，也會(huì)在一定空間內(nèi)遺留相應(yīng)證據(jù)。然而，計(jì)算機(jī)證據(jù)與傳統(tǒng)證據(jù)相比，往往更為復(fù)雜，如果未能通過專門方式妥善予以處理，極易使計(jì)算機(jī)證據(jù)發(fā)生變化或遭到不可逆轉(zhuǎn)的破壞。因此，偵查部門就需要依靠具有計(jì)算機(jī)證據(jù)收集、提取專門知識(shí)的勘查人員與技術(shù)專家，在計(jì)算機(jī)犯罪現(xiàn)場中開展勘查活動(dòng)，從而確保所提取到的計(jì)算機(jī)證據(jù)能夠成功地在法庭上得以運(yùn)用。

計(jì)算機(jī)犯罪的現(xiàn)場勘查，普遍均需進(jìn)行計(jì)算機(jī)系統(tǒng)的操作，但為了不破壞原有系統(tǒng)，并獲得更多與犯罪有關(guān)的證據(jù)，一般都不會(huì)使用現(xiàn)場遺留的計(jì)算機(jī)系統(tǒng)、硬件與軟件。這就要求偵查人員在實(shí)施勘查活動(dòng)前，除需備有常規(guī)勘查設(shè)備，如固定、記錄現(xiàn)場及物證所用的攝影設(shè)備、攝像設(shè)備外，還應(yīng)準(zhǔn)備專門的計(jì)算機(jī)信息系統(tǒng)勘查設(shè)備。在硬件配備方面，勘查人員應(yīng)當(dāng)備有便于搜集證據(jù)，且使用方便的便攜式電腦。此外，計(jì)算機(jī)取證勘查箱也是犯罪現(xiàn)場勘查中必備的專門設(shè)備，以用于對不同案件中的信息數(shù)據(jù)進(jìn)行收集、取證。需要注意的是，技術(shù)人員在對計(jì)算機(jī)犯罪現(xiàn)場進(jìn)行勘查時(shí)，應(yīng)當(dāng)自備電源插座與不間斷電源。否則一旦現(xiàn)場突然斷電并導(dǎo)致計(jì)算機(jī)關(guān)閉后，極易使得計(jì)算機(jī)內(nèi)部的信息與運(yùn)行程序消失或清除。特殊情況下，勘查人員還需備有專門的拆卸工具，以便能及時(shí)、妥善地將被調(diào)查的計(jì)算機(jī)及其相關(guān)設(shè)備帶回檢驗(yàn)機(jī)構(gòu)作進(jìn)一步的分析與鑒定。

與傳統(tǒng)案件現(xiàn)場勘查不同的是，計(jì)算機(jī)犯罪現(xiàn)場勘查中還常常涉及各類系統(tǒng)軟件與應(yīng)用程序。由于計(jì)算機(jī)類型的不同，其操作系統(tǒng)也存在著諸多差異。如微軟的Windows系列，蘋果的Mac OS X系列等。這就要求勘查人員除硬件設(shè)備外，還需備有各類軟件設(shè)備，以滿足不同計(jì)算機(jī)犯罪案件偵查的實(shí)際需求。此外，各類專業(yè)應(yīng)用軟件在計(jì)算機(jī)犯罪案件的勘查與取證中，也往往占有極為重要的作用。譬如，利用EasyRecover數(shù)據(jù)恢復(fù)軟件可對磁盤中丟失、刪除、格式化的數(shù)據(jù)信息進(jìn)行有效恢復(fù)；而NeoTracePro軟件，則可用以追蹤服務(wù)器的位置與IP位置。諸如此類的應(yīng)用軟件，均是計(jì)算機(jī)犯罪案件偵查取證中不可或缺的重要手段與專門技術(shù)。

現(xiàn)代科技背景下的取證技術(shù)

計(jì)算機(jī)犯罪現(xiàn)場勘查的一大重點(diǎn)，即是從現(xiàn)場中收集與案件相關(guān)的證據(jù)材料。此類證據(jù)普遍以數(shù)字化形式存在，具有復(fù)雜性、隱蔽性、技術(shù)性等特點(diǎn)，其取證方法與傳統(tǒng)證據(jù)相比，存在著顯著的區(qū)別。因此，勘查人員在對計(jì)算機(jī)犯罪現(xiàn)場上所涉及的電子證據(jù)進(jìn)行收集、固定時(shí)，必須采取相應(yīng)的專門取證技術(shù)。偵查實(shí)踐中，常用的取證方法一般包括搜索技術(shù)、收集技術(shù)、恢復(fù)技術(shù)以及分析技術(shù)等專門手段。

計(jì)算機(jī)及其網(wǎng)絡(luò)空間內(nèi)，均儲(chǔ)存著不計(jì)其數(shù)，且紛繁復(fù)雜的數(shù)據(jù)信息。此類材料中，往往只有極少一部分內(nèi)容與案件事實(shí)相關(guān)。而計(jì)算機(jī)犯罪案件偵查取證的前提，則是如何收集此類與案件相關(guān)的證據(jù)材料。因此，偵查人員就需事先運(yùn)用搜索或檢查等專門方法，以過濾計(jì)算機(jī)及網(wǎng)絡(luò)空間內(nèi)無用的數(shù)據(jù)信息，進(jìn)而確定與案件事實(shí)相關(guān)的證據(jù)材料。從理論層面而言，無論是人工方式還是計(jì)算機(jī)自動(dòng)處理方式，均可用以數(shù)據(jù)信息搜索。然而在偵查實(shí)踐中，通過人工方法在虛擬空間中探尋證據(jù)材料的方式幾乎是完全不可想象的。一方面，案件偵查都必須在限定時(shí)間內(nèi)予以完成；而另一方面，計(jì)算機(jī)證據(jù)往往需要借助于特定設(shè)備及載體才能為人們所認(rèn)知。一項(xiàng)或多項(xiàng)合理運(yùn)用的自動(dòng)搜索技術(shù)，不僅能快速搜尋與定位及案件相關(guān)的信息，又不會(huì)過多地搜索出各類無關(guān)信息。可見，運(yùn)用技術(shù)方法自動(dòng)收集與案件相關(guān)的證據(jù)材料，已成為當(dāng)前計(jì)算機(jī)犯罪偵查取證中必不可少的環(huán)節(jié)之一。

計(jì)算機(jī)證據(jù)的易失性、無形性、脆弱性、精確性等顯著特點(diǎn)，決定了其與物證、書證等傳統(tǒng)證據(jù)存在著諸多差異之處。因而，偵查人員及技術(shù)專家在收集此類證據(jù)時(shí)，所采用的方式、手段也必然與一般證據(jù)所不同。根據(jù)計(jì)算機(jī)證據(jù)易失性的特點(diǎn)，偵查取證實(shí)踐中常常會(huì)用到專門的易失性數(shù)據(jù)收集技術(shù)。此類易失性數(shù)據(jù)多指內(nèi)容中儲(chǔ)存的數(shù)據(jù)以及某些更新較快的數(shù)據(jù)，通常包含了系統(tǒng)基本信息、系統(tǒng)狀態(tài)信息、網(wǎng)絡(luò)運(yùn)行信息以及用戶使用信息等方面。具體操作時(shí)，則需登錄或遠(yuǎn)程連接至被調(diào)查的計(jì)算機(jī)，并使用特定的工具軟件進(jìn)行取證。除了易失性數(shù)據(jù)外，勘查人員如在犯罪現(xiàn)場上無法即刻判明某些數(shù)據(jù)與案件是否有關(guān)，或是否能對案件事實(shí)起到證明作用時(shí)，往往需要采取完全收集的辦法，以待于后續(xù)實(shí)驗(yàn)室的進(jìn)一步檢驗(yàn)與分析。

偵查取證過程中，一旦遇到計(jì)算機(jī)內(nèi)含的數(shù)據(jù)因損壞、刪除、格式化等行為而令系統(tǒng)無法讀取或反映此類數(shù)據(jù)時(shí)，就需運(yùn)用到計(jì)算機(jī)恢復(fù)技術(shù)以還原或恢復(fù)此類數(shù)據(jù)。該技術(shù)通常包含了基于文件系統(tǒng)的數(shù)據(jù)恢復(fù)技術(shù)、基于文件特征的數(shù)據(jù)恢復(fù)技術(shù)、基于冗余信息的數(shù)據(jù)恢復(fù)技術(shù)、基于物理信號的數(shù)據(jù)恢復(fù)技術(shù)以及硬件恢復(fù)技術(shù)。目前，計(jì)算機(jī)取證中常用的數(shù)據(jù)恢復(fù)軟件包括ENCASE數(shù)據(jù)恢復(fù)軟件、EasyRecover數(shù)據(jù)恢復(fù)軟件以及FTK數(shù)據(jù)恢復(fù)軟件等。通過這一專門技術(shù)，可以有助于偵查人員收集、提取已被人為刪除或無法正常顯示的數(shù)據(jù)信息，從而獲取到各類有價(jià)值的證據(jù)材料。

經(jīng)過搜索、收集、恢復(fù)等技術(shù)獲取的計(jì)算機(jī)數(shù)據(jù)信息，往往存在著與案件存在何種聯(lián)系，能否證明案件事實(shí)以及哪些事項(xiàng)可得到證明等問題。而這些問題的解答，很大程度上需要專門技術(shù)人員對其作出分析與鑒定后才能準(zhǔn)確判定。這一分析技術(shù)活動(dòng)，通?？捎删哂袑ｉT檢驗(yàn)?zāi)芰Φ娜藛T進(jìn)行。某些情形下，則需依據(jù)相關(guān)法律，實(shí)施計(jì)算機(jī)司法鑒定，并由具有相應(yīng)資質(zhì)的司法鑒定人進(jìn)行鑒定。

由于計(jì)算機(jī)司法鑒定涵蓋的內(nèi)容范圍極廣，其涉及的鑒定事項(xiàng)亦各有不同。根據(jù)鑒定內(nèi)容的不同，又可進(jìn)一步將其分為來源鑒定、內(nèi)容鑒定、同一鑒定、相似性鑒定等主要事項(xiàng)。來源鑒定，即是根據(jù)計(jì)算機(jī)特定資源的唯一性，如計(jì)算機(jī)序列號、IP地址、MAC地址等，來確定設(shè)備或軟件的最初來源。該鑒定技術(shù)在計(jì)算機(jī)犯罪偵查中，主要可用以確定犯罪人所使用計(jì)算機(jī)設(shè)備的位置以及軟件的最初制作者等。內(nèi)容鑒定，則是對文檔內(nèi)容的真實(shí)性作出分析、判斷，并對儲(chǔ)存介質(zhì)內(nèi)隱藏的數(shù)據(jù)信息進(jìn)行恢復(fù)并分析。同一鑒定，通常即是對兩份軟件或數(shù)據(jù)是否真實(shí)一致進(jìn)行鑒定。具體而言，則是判明兩者的來源是否同一，內(nèi)容是否一致。相似性鑒定，顧名思義，即是對兩份軟件的程序、源代碼等內(nèi)容進(jìn)行分析與比對，以確定兩者在實(shí)質(zhì)層面是否相似……

編輯：黃靈 yeshzhwu@foxmail.com